Officer X*
„Първата мисъл на глупака е да включи компютъра…” – Венцеслав Константинов
Сигурността се състои както от технология, така и от политика – тоест комбинацията от технологията и начина, по който се използва, определя в крайна сметка колко сигурни са вашите системи. Скот Пълп (Scott Pulp) е служител по сигурността в Microsoft. Дълги години работи в отдела Microsoft Security Response Center. На тази длъжност той получава и обработва хиляди сигнали за проблеми с компютърната сигурност от цял свят.
Натрупаният от него опит показва, че голяма част от инцидентите са предизвикани не от недостатъци на софтуера, а поради неразумни човешки действия. През 2000 г. той публикува 10 постулата за компютърната сигурност, които получават названието 10 Immutable Laws of Security. Тези закони не са свързани с технически аспекти, а подчертават първостепенната необходимост от разумна преценка на потребителя. Технологията е достатъчно защитена само при наличие на информиран и разумен потребител. 21 години по-късно тези закони все още са напълно актуални. Към тях ще прибавя и личен коментар.
1. „Ако злонамерено лице може да ви убеди да стартирате негов софтуер на вашия компютър – това вече не е вашият компютър.”
Това е неприятен факт, чиято основа е заложена в същността на компютърните системи. Софтуерът прави това, за което е програмиран да прави без оглед на последствията от неговата дейност. Когато стартирате програма на вашата система, вие „прехвърляте” контрола и фактически се съгласявате външен за операционната система програмен код да изпълнява заложените му функции. Трябва да се подхожда с голямо внимание към софтуер от неизвестен или подозрителен източник.
2. „Ако злонамерено лице може да прави промени по операционната система на вашия компютър – това вече не е вашият компютър.”
Операционната система (ОС) е средата, която позволява да управлявате вашия хардуер. В общия случай различните ОС предлагат определянето на привилегии и йерархия на потребителите. Обикновено единствено потребителят с пълни привилегии (administrator, root, superuser, supervisor) има право да прави системни промени. Ако злонамерен човек получи такива привилегии, в общи линии – край на играта.
В крайна сметка ОС е просто сбор от единици и нули, които се интерпретират от процесора. Всеки, който може да променя тези данни, става господар на хардуера. Модерните операционни системи предлагат надеждни защити срещу нерегламентиран достъп и единственият начин някой да навреди по тази линия е да се добере до администраторски акаунт. Отговорът е пред очите ви. Не работете в администраторски акаунти и ги дръжте заключени с надеждни пароли.
3. „Ако злонамерено лице има физически достъп до вашия компютър – това вече не е вашият компютър.”
Тук коментарът е излишен. Мисля, че е твърде ясно.
4. „Ако злонамерено лице има достъп до управление на вашата интернет страница – това вече не е вашата интернет страница.”
Този закон няма отношение само към интернет страниците, а и към нашите публични социални профили. Всички активности в социални мрежи, форуми, чатове, електронна поща и други услуги, които изискват създаването на личен профил, оформят нашата онлайн самоличност. Потребителите първосигнално приемат автора на всяко действие онлайн за този, чиято собственост е профилът. Това води до успешни злоупотреби като кражба на самоличност, фалшиви профили, измами. Не слагайте знак за равенство между онлайн самоличност и реална самоличност. Подлагайте на съмнение дори комуникацията с популярни компании и държавни институции, техните онлайн ресурси също могат да бъдат компрометирани, особено ако става дума за финансови плащания или други материални активи.
5. „Слабите пароли обезсмислят високата сигурност.”
Каква е ползата от технологична и солидна входна врата, ако използвате ненадеждна ключалка? Или ако ключалката е надеждна, но оставите ключа на достъпно място? Повечето от предлаганите онлайн услуги имат разработени сложни и ефективни системи за защита на личните ви профили, но каква е ползата, когато използвате слаба и предсказуема парола?
6. „Една компютърна система е дотолкова сигурна, доколкото можем да имаме доверие на администратора.”
Всяка електронна система има администратор. Лицето, което има пълен контрол над услугите и ресурсите на системата. Задължително условие в компютърната сигурност е администраторът да е проверено и доверено лице, но това условие невинаги е изпълнено. Телефонът и лаптопът са си ваши, но онлайн ресурсите, които използвате, са чужди. В ситуациите, при които използваме системи, които са чужда собственост, не трябва да се забравя, че администраторът на тези системи разполага с достъп до информацията, с която оперираме. Администраторът може да проследи и запише нашите действия и данни. Често ме питат за „облачните системи” – облаци няма, има само чужди компютри и вашите данни стават техни. Много важен постулат за Въоръжените сили.
7. „Криптираните данни са толкова сигурни, колкото е ключът за декриптиране.”
Най-сигурните и устойчивите на криптоанализ алгоритми се компрометират, когато не са взети необходимите мерки за защита на ключовете за декриптиране. Защитата на ключовете е толкова важна, колкото е значимостта на криптираната информация. Съхранението, пренасянето и използването на ключове за декриптиране трябва да бъдат извършвани с особено внимание.
8. „Остарял антивирусен софтуер не е по-добър от липсата на такъв софтуер.”
За да бъдат ефективни и надеждни програмите за борба със зловредния софтуер, трябва да бъдат ежедневно обновявани. Съвет ужасно стар, банален и непрекъснато повтарян. Въпреки това опитът показва, че масово не се спазва. Особено за системи, които нямат връзка с интернет. Това изискване се обуславя от принципа на работа на този вид софтуер или по-конкретно от модула „файлов скенер”. Този скенер използва библиотека от „вирусни дефиниции” (образци на низове от зловреден софтуер) и ги сравнява с файловете в системата. Нови видове зловреден софтуер се появяват ежедневно и ако в библиотеката няма „вирусна дефиниция” на всяка нова заплаха, е почти невъзможно да бъде открита. Проблемът се задълбочава и от факта, че новите образци зловреден софтуер се разпространяват най-бързо и причиняват най-много щети непосредствено след първоначалното си появяване, именно защото няма налични обновления с тяхната дефиниция и антивирусните програми не успяват да ги открият.
9. „Абсолютната анонимност е неосъществима – както в реалния, така и в дигиталния свят.”
Всички човешки взаимоотношения включват в себе си обмен на информация. Ако някой систематизира тази информация, тя би идентифицирала еднозначно всеки от нас. По същия начин всички наши дейности в киберпространството оставят следи. Не отнема много време технически подготвено лице да събере достатъчно информация, за да разбере кой сте. Пълна анонимност е равнозначна на пълна изолация.
10. „Технологията не е панацея.”
Технологията се развива непрекъснато. Това развитие осигурява все по-евтин и по-мощен хардуер, както и усъвършенстван софтуер. Тези факти създават предпоставки технологията да се приема като нещо съвършено. Това обаче не е реалистично. Абсолютната сигурност изисква ниво на съвършенство, което не съществува. Това важи както за софтуера и хардуера, така и за всички области на човешкия живот. Разработването на софтуер е несъвършена наука и всеки има технологични пропуски.
*Материалът е подготвен от експерти в Стационарната опорна комуникационна мрежа
