Наверх
15 октября 2019
USD EUR
Погода
Без рубрики

Архивная публикация 2006 года: "«На планете нет полностью безопасных технологий»"

Нет также человека, который хотя бы раз в жизни не проклинал, потеряв данные, Microsoft, Windows и лично Билла Гейтса. Главный советник по безопасности корпорации Microsoft в регионе EMEA (Европа, Ближний Восток, Африка) Детлеф ЭКЕРТ обсудил с корреспондентом «Профиля» Андреем АННЕНКОВЫМ вопросы ответственности корпорации перед потребителем.   — В зоне вашей компетенции находятся миллионы пользователей Windows. Вы спокойно спите по ночам?

   — О да, очень хорошо сплю! После Bluster (сетевой вирус, эпидемия которого имела место в 2003 году. — «Профиль») никаких крупных инцидентов не было. Кое-какие проблемы были, конечно, но они не сравнятся с Bluster. Пока рано говорить, что у нас все под контролем, однако ситуация намного лучше, чем прежде. Кроме того, я не единственный человек в Microsoft, отвечающий за безопасность наших пользователей.

   — А если вдруг произойдет что-то похуже Bluster, кто в Microsoft будет за это отвечать?

   — Мы отладили процедуру действий в чрезвычайных ситуациях. Ответственность несет специализированная команда, она сидит в Редмонде (штаб-квартира Microsoft. — «Профиль»). Эта команда вносит необходимые изменения, поправки, оценивает риск возникающих угроз.

   — Я не о реакции на возникшую угрозу. Я об ответственности. Угроза безопасности — следствие чьей-то ошибки. Кто будет отвечать, если у меня, пользователя, пропадут данные или операционная система перестанет работать?

   — Если какое-то исправление или обновление не является качественным, то ответственность ляжет на тех, кто вносил это исправление или обновление.

   — В случае с исправлением понятно. А кто отвечает за ошибки в исходном коде программных продуктов Microsoft?

   — Это не ошибки, это, скорее всего, эксплойты (от английского exploit — использовать, эксплуатировать. — «Профиль»). Некие умники обнаруживают узкое место в коде и эксплуатируют его, нарушая безопасность. Да, мы можем найти того, кто виноват в появлении эксплойта, кто создал уязвимый код. Но намного важнее не искать виноватого, а наладить процесс, который позволит избежать этого.

   Теперь разработка каждого программного продукта Microsoft вписывается в некий жизненный цикл. Мы предъявляем требования к безопасности каждого компонента программного обеспечения. Все разработчики проходят обучение, предполагающее глубокие знания в области проблем безопасности. Налажена отчетность. Каждый член команды разработчиков говорит: мы сделали это, мы проделали то, и это все хорошо документировано. Происходит анализ кода, его тестирование на устойчивость к попыткам взлома. Потом — итоговое решение о выпуске продукта, которое подписывает представитель службы, отвечающей за безопасность.

   — Когда отвечают все, это значит, что не отвечает никто. А мне бы хотелось, чтобы за сбои на моем компьютере кого-нибудь из сотрудников Microsoft казнили.

   — Ну, не обязательно кого-нибудь в Microsoft расстреляют, если у вас пропадут данные. Дело не в разделенной ответственности. Дело в том, что мы не можем сказать: все, отныне наши продукты не имеют проблем с безопасностью.

   — Когда в программных продуктах Microsoft последний раз обнаруживали «пасхальные яйца» — недокументированные участки кода — следствие шалости программистов?

   — Я слышал о том, что такое когда-то было. Теперь такого нет.

   — Представить страшно, что может натворить террорист, проникший в ряды сотрудников Microsoft.

   — Случайному человеку не получить доступ к исходному коду наших программных продуктов. Процедуры доступа к исходному коду тщательно документируются.

   — Это гарантирует служба внутренней безопасности Microsoft?

   — Не знаю. Но они информируют нас при необходимости. Мы не продаем безопасность, наша основная цель — делать защищенное, безопасное программное обеспечение. Конкурировать на рынке программных продуктов для безопасности — антивирусов, например — мы собираемся лишь впоследствии.

   — Microsoft и так присутствует на всех участках софтверного рынка, от компьютерных игр до систем автоматизации бизнеса.

   — Не на всех.

   — Разве? Приведите, пожалуйста, пример.

   — ERP-системы (системы автоматизации компаний. — «Профиль») верхнего уровня. Но в том, что мы крупнейший поставщик программного обеспечения, вы правы.

   — Что Microsoft имеет в виду, когда говорит «безопасность»?

   — Мы очень часто встречаемся с мнением, что информационная безопасность — это антивирусы, брандмауэры (системы защиты компьютера от внешних проникновений. — «Профиль») и т.д. Люди готовы купить все, что угодно, за любую цену, еще до того как разберутся, что им нужно на самом деле. Мы же рекомендуем видеть безопасность как защиту ваших ресурсов. Это могут быть данные ваших заказчиков, доступность вашего сервера etc. Мы рекомендуем вам проанализировать и понять, какие есть угрозы для ваших ресурсов. Причем у каждой компании свои особенности. Например, для Microsoft критична бесперебойная работа почтовой службы, а для вашей компании это, возможно, не столь важно.

   Тут есть три момента. Во-первых, не надо начинать с технологий, начинайте с процессов. Вам надо прежде всего подумать о правилах и процедурах доступа к данным. Вы должны определить, что только определенные сотрудники имеют доступ к определенным функциям работы с информацией. Во-вторых, сами сотрудники. Надо правильно воспитать пользователя и немножко ограничить его поведение. И только в-третьих — технологии. Следует внедрять те из них, что подходят к выбранному вами сценарию защиты информации.

   Есть пример, который поясняет, почему надо думать именно так. Традиционно люди и компании уделяют большое внимание «безопасности периметра», изоляции ресурсов от внешних источников опасности. Но такая защита неэффективна против инсайдеров. Не учитывать это — значит плохо выполнить анализ угроз. Поэтому вместо того, чтобы начинать с технологий, сначала думайте о том, как защитить данные.

   — Технологии важны не только «в-третьих», но и сами по себе. Например, еще в 95-м Microsoft реализовала опасную, без возможности контроля, поддержку USB, вследствие чего инсайдеры воруют данные с помощью MP3-плееров.

   — На планете нет полностью безопасных технологий. Рынок потребовал сменные USB-носители, и Microsoft обеспечила такую возможность. Если рынок требует безопасности, появляются средства контроля использования USB как канала обмена данными между корпорацией и внешним миром.

   — Microsoft планирует технологическую защиту своего софта от нелегального копирования?

   — Такая защита существует в виде ключа активации Windows XP.

   — Эту защиту легко обойти.

   — Мы отказываем в некоторых видах поддержки нелегальным пользователям.

   — Но критически важная для безопасности поддержка нелегальных пользователей будет осуществляться и впредь?

   — Не знаю. Контрафактный софт, замечу, изначально бывает не в состоянии воспринять официальные обновления.

   — Может, я не задал вопрос, на который вам бы хотелось ответить?

   — Лучше я сам спрошу. Как пользователь, вы видите достижения в области обеспечения безопасности?

   — Защита от вирусов и хакеров удовлетворительна, но я жду от вас помощи в борьбе со спамом.

   — Да, угрозы безопасности тоже эволюционируют, хотя и медленнее, чем средства защиты. Пользователь должен сам решать, какой уровень защиты ему нужен. Кому-то достаточно бесплатной антивирусной программы, но если вы по 12 часов в день проводите в Интернете, нужны активные средства защиты от вирусов и spyware (софт для слежки за чужим компьютером. — «Профиль»), а также понимание характера потенциальной опасности. Если на вашем жестком диске лежат фотографии семьи за много лет, имеет смысл сделать резервное копирование. Каждый информационный ресурс, повторюсь, требует своего метода защиты.

   Биометрический консьерж

   На международной выставке «Охрана, безопасность и противопожарная защита» (MIPS 2006) НПО «Информация», специализирующееся на биометрических технологиях, продемонстрировало устройство, названное биометрическим турникетом. Оно использует технологию трехмерного сканирования и распознавания лица американской компании A4Vision, созданной российскими инженерами. На лицо опознаваемого человека проецируется «сетка» пересекающихся полосок света, которая образует уникальное для каждого трехмерное изображение, автоматически распознаваемое специальной компьютерной программой. Точность распознавания настолько высока, что позволяет различать близнецов. При этом размер хранимого «шаблона» изображения невелик — всего около 5 килобайт.

   Любой человек, проходящий через биометрический турникет, на ходу идентифицируется и сравнивается с базой данных людей, которым разрешен вход. Пропускная способность биометрического турникета — 15 человек в минуту.

   

   В США появляются общедоступные WiMAX-сети

   На ежегодной торговой выставке CTIA WIRELESS 2006 американское отделение компании Samsung совместно с компанией Arialink планирует развернуть первую коммерческую Mobile WiMAX-сеть на территории США, сообщает 3DNews.Ru. В 2007 году начнется массовое создание сетей WiMAX.

   WiMAX — беспроводная технология передачи данных, обеспечивающая широкополосное соединение с Интернетом на больших расстояниях (сотни метров и даже километры) от точки доступа. Не исключено, что следующий год пройдет под знаком WiMAX, благодаря чему совсем скоро подключиться к Интернету можно будет в любом месте современного города.

   

   Календарь от Google

   Как сообщает AP, компания предложила интернет-пользователям новый сервис, названный Web calendar. Он представляет собой органайзер — программу, автоматизирующую составление расписаний и напоминающую о запланированных событиях. Web calendar будет доступен пользователям почтовой службы Google (Gmail), которую разработчики сумели снабдить принципиально важными функциональными особенностями по сравнению со множеством аналогичных сервисов. Этого же ждут от Web calendar.

Больше интересного на канале: Дзен-Профиль
Скачайте мобильное приложение и читайте журнал "Профиль" бесплатно:

Зарегистрируйтесь, чтобы получить возможность скачивания номеров

Войти через VK Войти через Google Войти через OK