01 Июля 2002 13:07 | 01 Июл 2002 13:07 | |

Поделиться

Сеть и Безопасность: Проверка открытого источника

Первый месяц "спокойного" лета на исходе, и пока, на первый взгляд, ничего сверхъестественного или знаменательного не происходит. Особенно, если не брать в расчет более или менее серьезных или надуманных дискуссий о новых концептуальных вирусах, безопасности продуктов, разработанных open source, и якобы сверхактуальных кибератаках разгневанных радикальных исламистов. Все остальное говорит о том, что налицо небольшой штиль, или, другими словами, небольшая пауза перед очередным рывком в водоворот "жарких" событий осени. На этой неделе в продолжение историй прошлой не удалось поставить точку в вопросе реальности вируса нового формата, равно как безопасности разработок open source. Так называемый W32/Perrun вызвал бурное обсуждение между независимыми экспертами и представителями антивирусных компаний о серьезности угрозы нового концептуального вируса, особенно в части его способности исполнять тот или иной код. И проблема состоит, скорее, не в том, где и как отделить зерна "действительности" от плевел publicity, а в том, насколько опасен вирус в своем потенциале, т.е. в своей концепции, в своих параметрах развития. Ведь это просто необычная наработка, которая может стать ступенью как для качественного изменения самого вредоносного кода, так и для модификации антивирусных платформ. Это все равно как войти через окно, перестав "ломиться" в дверь, когда твою фигуру ждали именно в дверном проеме. Поэтому и чувствуется, что в этой дискуссии стороны говорят о разных вещах. Хотя аргументация скептиков, выраженная в упреке в стимулировании продаж продавцами антивирусного программного обеспечения, выглядит вполне резонной.

Другой небольшой "болевой" точкой на этой неделе послужила уязвимость, открытая в среде OpenSSH. Даже последняя версия 3.3 этого продукта оказалась уязвимой. Разработчики не открывают данных о дыре и взяли паузу на несколько дней, чтобы как можно быстрее выпустить патч и распространить его среди дистрибьюторов. Сама скрытность разработчиков open source оказалась, мягко выражаясь, не по душе всему сообществу, разработчики объясняют это все нежеланием продавцов и дистрибьюторов помочь, а также тем, что проблему придется решать при весьма ограниченных ресурсах и дефиците времени. Единственное, что было скупо рекомендовано, - это разделить процессы на привилегированный и простой в надежде защитить наиболее ценные данные. Забавно то, что бойцом, отправившим OpenSSH в нокдаун, оказалась небезызвестная компания ISS, которая неделю назад сделала то же самое с Apache. Чуть позднее появилась первая скудная, но весьма ценная информация о самой уязвимости OpenSSH. Возвращаясь к дыре в Apache, по наличию которой даже сайт российского президента был признан уязвимым, следует отметить, что у многих вызвало, мягко выражаясь, недоумение или, буквально, "неприятный привкус во рту" факт того, что вышеупомянутая ISS после предупреждения группы основных разработчиков почти моментально выложила информацию об уязвимости http://online.securityfocus.com/columnists/91. Группа других компаний, да и сама группа основных разработчиков, оказалась один на один с проблемой, которую нужно было разрешить чем быстрее, тем лучше. Зная, что большая часть серверов Сети использует данное программное обеспечение, в этой компании твердо полагали, что одного рабочего дня open source хватит, чтобы найти достойный ответ. Неужели это скрытый удар или просто проверка open source?! Поэтому легко понять, почему сообщество open source и все связанные с ним не то чтобы недоуменно, а критически отнеслись к такому "раскрытию" информации, которое фактически было признано "выходящим за рамки стандартов". Возвращаясь же обратно к OpenSSH, стоит указать на первые наработки по найденной дыре.

Из этого всего можно сделать вывод, что проблемы в лоне безопасности исходят не только от хакеров и авторов вирусов, но и от конфликтов интересов, нескоординированности и отсутствия понимания между членами других сообществ. И нагнетать обстановку, обвиняя во всем взломщиков, нелепо, когда за спиной безответственно остаются уязвимые сайты или чьи-то интересы. Так, например, существуют же предположения, что если и могут быть взломаны p2p-системы обмена медиафайлами разного формата, то, по всей видимости, не без интереса звукозаписывающих медиагигантов. Конечно же, неделя не обошлась без очередного обещания Microsoft сделать безопасным все, что можно, что не могло не вызвать критического отклика и дебатов privacy vs security, которые все больше напоминают игру "Что? Где? Когда?".

При этом все мы, как игроки, задаем вопросы, подразумевая, что слежение ведется за каждым. Естественно, информация бывает социально полезна, и сейчас ведутся разработки, как сделать данные агрегированными с уничтожением приватности посредством введения в них случайных элементов. Получается, что на выходе есть только единая статистика, а информация о конкретном пользователе неизвестна. Тем временем, пока такие решения не реализованы, информация случайно или безответственно может быть доступна многим, и ничто с этим, к сожалению, не поделаешь. И это, когда фактически наступает эпоха возрождения публичного слежения. Среди других новостей на минорной ноте можно выделить информацию о том, что "дырявое" ПО обходится американской экономике в $60 млн., и о том, что пароли пользователей наиболее уязвимы, если их только не менять ежемесячно и избегать тривиального подхода к их генерации.

Поделиться

Короткая ссылка