Компьютерра - Журнал "Компьютерра" №710 Страница 10

Еще один важный вопрос, поднятый патриархом экономического анализа информационной безопасности Россом Андерсоном (Ross Anderson): кто отвечает за безопасность? Очевидно, что ответственность за безопасность должна возлагаться на того, кто имеет возможность ее обеспечивать. Однако в условиях, когда компьютер домохозяйки может использоваться для атаки на сайт Microsoft, а неграмотно настроенный SMTP-сервер - поставить под удар всю сеть, в которой он находится, это далеко не тривиальная проблема. Сколько вы готовы заплатить за то, чтобы обеспечить безопасность Microsoft? Думаю, немного. И уж конечно, вы практически ничем не рискуете, отказываясь от добровольной помощи редмондскому гиганту - Microsoft вряд ли будет судиться с вами в случае участия вашего компьютера в DDoS-атаке (как мы уже видели, бороться с отдельными участниками распределенной угрозы никто не будет, кроме разве что RIAA и MPAA, но этот клинический случай мы не рассматриваем).

В экономике такая ситуация известна под названием "трагедия ресурсов общего пользования" (Tragedy of the Commons) и описывается обычно так. Пусть 100 жителей деревни пасут своих овец на общинной земле. Если кто-то из них добавляет лишнюю овцу в свое стадо, он получает существенную выгоду, тогда как остальные 99 жителей страдают лишь от незначительного ухудшения состояния пастбища. Вряд ли они поднимут вой по этому поводу - скорее сами добавят по овце. Со временем такая стратегия приводит к безграничному росту общего числа овец и полному истощению земли.

Подобные ситуации, когда эгоистичные (или рациональные, что в данном случае одно и то же) действия отдельных участников сообщества по отношению к общественному ресурсу приводят к краху всей системы, наблюдаются в компьютерной безопасности буквально на каждом шагу. Общественным ресурсом в данном случае является общая безопасность информационной среды, стоимость которой распределяется между участниками. Например, пользователь локальной сети, купив соответствующее ПО и упрочив защиту своего компьютера, повышает общую безопасность.Однако стимул вкладывать личные деньги, по сути, в общее дело невелик: возникает соблазн подождать, когда это сделают другие (а они этого не сделают по тем же самым причинам). Аналогичным образом замена устаревших технологий новыми безопасными аналогами (например, DNSSEC вместо существующего DNS) идет черепашьими темпами: поскольку на начальном этапе (когда пользователей новой технологии немного) затраты велики, каждый участник рынка ждет, когда их возьмет на себя кто-то другой. Социальных механизмов борьбы с этим явлением пока не существует.

Андерсон приводит еще один пример, связанный с ответственностью: он касается банков и их взаимоотношения с клиентами. Если кто-то украл деньги с какого-то банковского счета, то виноватым может оказаться как банк (например, использовалась небезопасная инфраструктура для аутентификации пользователей или украдена база данных), так и клиент (например, записал пароль на бумажке, наклеенной на монитор офисного компьютера, а файл с цифровым сертификатом положил на "Рабочий стол"). По законодательству США, действует презумпция виновности банка: ему придется доказывать, что "лоханулся" пользователь, либо возмещать убытки. Во многих европейских странах ситуация противоположная. Нетрудно догадаться, что банки США в среднем лучше и эффективнее защищают свои системы, хотя и тратят на это меньше денег.

В условиях отсутствия легального рынка уязвимостей, единственное, что получает исследователь, публикующий свои изыскания - известность, имя и славу. В такой ситуации говорят об "экономике репутаций". Когда-то именно вопрос репутации был основным движущим фактором развития вредоносного кода. Впрочем, в индустрии безопасности имя можно конвертировать в деньги сравнительно просто: громкое "разоблачение" может стать неплохим пиаром и привести к исследователю толпы клиентов, жаждущих безопасности (даже от мнимых угроз).

Во время обсуждения ситуации вокруг руткита Blue Pill Виталий Камлюк сказал, что, с его точки зрения, публикация кода руткита была поступком не очень этичным и может оказаться помощью "темной стороне". Мы попросили Джоанну Рутковску прокомментировать это мнение.

"Конечно, у меня другой взгляд. Во-первых, заметьте, что эксплойты и proof-of-concept-код (например, Blue Pill) не создают новых уязвимостей в системе - они только используют уже существующие уязвимости. Если бы компьютерные системы были правильно спроектированы и реализованы, эксплойтов не было бы. Публично доступные эксплойты и другой подобный код только показывают возможные опасности и позволяют изучать возможные способы противодействия таким проблемам.

Должна сказать, что очень удивлена позицией, высказанной "Лабораторией Касперского". Как производитель систем безопасности, они должны быть благодарны другим исследователям за публикацию своих результатов, которые позволяют (например, самой "Лаборатории Касперского") работать над предотвращением таких угроз.

Пожалуйста, учитывайте также, что опубликованная версия Blue Pill не может считаться malware, поскольку не содержит никакого вредоносного кода. Эта базовая версия лишь устанавливает очень "тощий" гипервизор и перемещает запущенную в данный момент ОС в виртуальную машину, контролируемую гипервизором. Ничего больше! Конечно, кто-то может использовать этот скелет для создания перехватчика паролей, но точно так же можно представить себе создание системы-ловушки (honeypot system), отладчика или даже anti-rootkit-системы на основе нашего скелета.

Более того, Blue Pill не использует никаких дыр, а полагается только на документированную функциональность, как она описана в руководствах AMD. Так что его даже нельзя классифицировать как эксплойт."

Впрочем, описанные проблемы - это не все плохое, что бывает на свете. Даже если мы распределим ответственность правильно, это будет только шагом на пути к безопасности. Дело в том, что в современных условиях рыночные механизмы не могут обеспечивать выигрыш более защищенных систем в свободной конкурентной борьбе. Это связано с тем, что рынок ИТ представляет собой рынок с асимметричной информацией, на котором продавец обладает более подробными и точными данными о товаре, чем покупатель.

За изучение подобных рынков американский экономист Джордж Акелроф получил в 2001 году Нобелевскую премию по экономике. Предложенная им модель довольно проста; она носит название "лимонного рынка". Рассмотрим рынок подержанных машин. Допустим, что на нем продаются как хорошие авто ("сливы", объективная цена которых - $3000), так и "битые" ("лимоны", стоящие реально $1000), причем покупатель не может отличить одни от других (пока не проедет пару тысяч миль). Если предположить, что вероятность "наколоться" составляет 50%, складывается впечатление, что равновесная рыночная цена должна быть по $2000 за машину; однако по такой цене никто не будет продавать "сливы", и рынок заполонят "лимоны". Как только покупатели это обнаружат, рыночная цена упадет вообще до $1000.

Мораль: в условиях отсутствия информации у покупателей рынок подталкивает производителей к поставке некачественного товара. Именно это и происходит с безопасностью: несмотря на все исследования, пользователь никогда не может достоверно оценить степень защищенности того или иного продукта, и ему приходится полагаться на заявления производителя. К чему это приводит, мы уже видим.

Можно пытаться решить проблему оценки надежности экономическими методами. Безопасность системы может быть оценена через стоимость новой (zero-day) уязвимости, найденной для этой системы. Это логично: чем надежнее система, тем больше людей ей доверяют, тем эффективнее будет zero-day-атака и тем дороже информация для ее осуществления; и наоборот: если система надежна, нам придется крепко поработать и потратить много денег, чтобы ее взломать. Проблема в том, что открытого легального рынка уязвимостей, который бы позволял оценивать их настоящую стоимость, в настоящий момент практически не существует, и даже не вполне понятно, каким он должен быть, чтобы приносить наибольшую пользу обществу.

Райнер Бёме (Rainer Bцhme) рассматривает несколько типов рынков уязвимостей. "Баг-челленджи" (bug challenges) и "баг-аукционы" (bug auctions) относятся к самым простым и известным видам. Например, Дональд Кнут обещает выплачивать за каждую найденную ошибку в издательской системе TeX некоторую сумму, увеличивающуюся со временем. Аналогично Mozilla Foundation платит исследователям за уязвимости, найденные в браузере Firefox. В зависимости от заявленной цены исследователь может предпочесть продать уязвимость вендорам, вместо того чтобы использовать ее для создания эксплойта. Для этого, однако, цена должна быть достаточно большой и увеличиваться с ростом количества установок и внедрений.