В Counterpane Internet Security мы считаем, что одни только технические средства не могут защитить от нападений, осуществляемых человеком, поэтому основная наша деятельность заключается в предоставлении услуг квалифицированных специалистов по безопасности. Мы собираем информацию с разных устройств в сетях клиентов и тщательно выискиваем следы нападений. Все сколько-нибудь подозрительное исследуют наши аналитики, которые знают все о нападениях, могут определить, действительно ли происходит нападение, и знают, как на него реагировать.
Я понял, что проблема не в технологиях, а в их использовании. В своей фирме мы используем симбиоз человеческих способностей и возможностей машины. Люди – наиболее уязвимое звено любой системы безопасности, в том числе компьютерной.
И если читателю покажется, что эта книга написана в рекламных целях, то он будет отчасти прав. И книга, и новая компания появились на свет благодаря открытию того, что самую надежную защиту можно обеспечить только с помощью опытных специалистов, занимающихся обнаружением и реагированием. Эта книга отражает ход моих мыслей, связанных с преобразованием нашей компании, и поясняет, чем мы занимаемся.
Вы можете узнать больше о нас на сайте www counterpane com.
Спасибо за внимание.
Многие идеи этой книги были почерпнуты автором в работах других людей. Я намеренно не прерывал повествование сносками или цитатами. В конце книги я решил поместить список некоторых наиболее полезных источников.
Некоторые специалисты открыто осуждают Интернет за то, что не поддается систематизации как архив, поскольку URL постоянно меняются. Так что вы можете использовать этот список, чтобы попытаться подтвердить или опровергнуть этот взгляд.
Работы Росса Андерсона (Ross Anderson) всегда интересны и заслуживают внимания. Его веб-сайт: www cl cam ac uk/users/rjal4/. Ищите его книгу Security Engineering: A Comprehensive Guide to Building Dependable Distributed Systems (John Wiley& Sons, 2000).
Дороти Деннинг (Dorothy Denning) писала о криптографии, компьютерной безопасности и защите баз данных, а позже об информационной войне. Я использовал ее самую последнюю книгу Information Warfare and Security (Addison-Wesley, 1999), а также ее классическую работу Cryptographyand Data Security (Addison-Wesley, 1982).
Работы и речи Вита Диффи (Whit Diffie) также повлияли на мои размышления. Я рекомендую книгу, написанную им в соавторстве со Сьюзен Ландау (Susan Landau) Privacy on the Line (MIT Press, 1998).
Карл Эллисон (Carl Ellison) продолжает писать эссе и статьи об инфраструктуре открытого ключа. Многие его работы можно найти на веб-сайте: world std com/~cme/.
От Эда Фелтона (Ed Felton) я узнал много нового о ненадежности модульного программного обеспечения и о средствах безопасности Java. Именно он показал мне однажды рисунки, воспроизведенные в этой книге под номерами 10.1 и 10.2.
Речи Дэна Гира (Dan Geer) были столь же содержательны.
Превосходная работа Дитера Голлманна (Dieter Gollmann) Computer Security (John Wiley&Sons, 1999) содержит много полезных сведений.
Классическая книга Дэвида Кана (David Kahn) The Codebreakers изобилует интересными историческими фактами из области криптографии. [русский перевод книги доступен на http://lib aldebaran ru/author/kan_dyevid/kan_dyevid_vzlomshiki_kodov/ Прим сост. FB2]
Стюарт МакКлур (Stuart McClure), Джоел Скрамбрей (Joel Scrambray) и Джордж Курц (George Kurtz) написали книгу Hacking Exposed (Osborne/McGraw-Hill,1999), которую я настоятельно рекомендую. Я написал предисловие ко второму ее изданию, которое уже должно выйти к моменту публикации этой книги.
Гэри Макграу (Gary McGraw) подробно описал разработку надежного программного обеспечения, а также все плюсы и минусы открытого исходного кода. Я использовал его книгу Securing Java (John Wiley&Sons, 1999), написанную в соавторстве с Эдом Фелтоном (Ed Felton).
Наблюдения Питера Неймана (Peter Neumann) настолько глубоки и очевидны, что я часто забываю, что не всегда верил ему. Его колонка Inside Risks на последней странице журнала Communications of the ACM всегда интересна. Я также настоятельно рекомендую его книгу Computer-Related Risks (Addison-Wesley, 1995).
Эссе, речи и застольные шутки Маркуса Ранума (Marcus Ranum) долго были для меня источником вдохновения и здравого смысла. Я настоятельно рекомендую прочитать все, что он написал. Его веб-сайт: http://pubweb nfi-.net/~mjr/.
Эви Рувин (Avi Ruvin), Дэн Гир (Dan Geer) и Маркус Ранум (Marcus Ranum) совместно написали книгу Web Security Sourcebook (John Wiley&Sons, 1997), которую я тоже рекомендую.
Книга Винна Швартау (Winn Schwartau) Time Based Security (Interpact Press, 1999) содержит схожие с моими идеи о важности обнаружения и реагирования.
Диомидис Спинеллис (Diomidis Spinellis) приводит данные о сложности операционных систем и языков программирования в своей статье Software Reliability: Modern Challenges (in G.I.Schueller and P.Kafka, editors, Proceedings ESREL'99 – The Tenth European Conference on Safety and Reliability, pages 589—592, Munich-Garching Germany, September 1999).
Размышления Ричарда Тиема о хакерстве и эпистемологии Интернета были для меня источником вдохновения. Вы можете найти его работы на сайте: www thiemeworks com.
Сотни эссе и статей о компьютерной безопасности публикуются каждый год. Если бы я все их прочитал, то, несомненно, все мысли, идеи, размышления, нюансы и умные остроты, собранные там, попали бы в эту книгу. Я приношу свои извинения за то, что не могу выразить благодарность каждому, кто заслуживает этого.
Брюс Шнайер – президент криптографической компании Counterpane Systems (США), член совета директоров Международной ассоциации криптологических исследований (IACR) и член консультативного совета Информационного центра электронной приватности (EPIC). Шнайер известен как автор нескольких бестселлеров и признанный эксперт в области прикладной криптографии и компьютерной безопасности. Его книги давно стали настольными энциклопедиями для множества людей, интересующихся вопросами защиты информации.
В своей новой книге Брюс Шнайер развеивает миф о том, что информация в цифровом мире может быть абсолютно конфиденциальной. Он проповедует собственный подход к защите информации. Безопасность данных для него – не только систематизация, обнаружение и отражение угроз, главное – управление рисками, своевременные превентивные меры для снижения риска угроз, каждодневная кропотливая работа по системному обеспечению безопасности предприятия.
«…Наконец-то я могу предложить решения для обозначенного круга проблем, показать путь из тьмы, дать надежду на будущее компьютерной безопасности…»
Брюс Шнайер
От английского bug (жучок). Однозначного русского перевода не существует. – Примеч. ред.
Группа рассылки новостей в сети USENET, посвященная коллекционированию марок. – Примеч. ред
Путешественники по Интернету. – Примеч. ред.
Так это уже прошло (фр.). – Примеч. ред.
Торговая марка, пользующаяся широкой известностью. – Примеч. ред.
Предприимчивый Гари Кремен из Сан-Франциско зарегистрировал домен Sex com в 1994 году. Еще более предприимчивый Стивен Майкл Коэн сфабриковал фальшивое письмо в VeriSign, в результате чего притягательное имя было передано во владение Коэна. Гари Кремен вышел из зала суда с победой, но отсуженных 65 миллионов долларов так и не получил. Тогда он пустился во все тяжкие и включил в следующий процесс нового оппонента – VeriSign. И выиграл бы, если бы в 1994 году была принята практика платить за регистрацию домена. В результате процесс вокруг секс-домена тянется до сих пор. – Примеч. ред.
Карманный компьютер, созданный корпорацией 3Com. – Примеч. перев.
AZT – препарат, использующийся для ВИЧ-терапии. Был разработан в 1960–х годах как химиотера-певтическое средство для больных лейкемией. Подавался как панацея, но, похоже, не оправдал ожиданий. – Примеч. ред.
Это заняло 1, 5 часа. – Примеч. ред.
Приведена нижняя граница. Верхняя – 2 года. Другая часть закона Мура говорит, что на разработку и организацию серийного выпуска процессоров удвоенной производительности компании вынуждены затрачивать на порядок большие денежные средства. – Примеч. ред.
База США в Германии Bad Aibling, выполнявшая с 1947 года радиопрослушивание стран Восточной Европы, а в последние годы работавшая на систему ECHELON, расформировывается в 2002 году вследствие недоверия немцев. Высказывались опасения, что Bad Aibling в числе прочего занимается промышленным шпионажем. – Примеч. ред.
Это утверждение больше напоминает проблему отцов и детей. Внештатный эксперт PC Magazine и автор многих книг по информационным технологиям Джефф Просис провел собственное расследование по следам раскрытия алгоритма защиты информации Netscape. В опубликованной им статье говорится, что Netscape разразилась подобным заявлением, но только в ответ на сообщение аспиранта из Франции Долигеса, который, используя мощности 120 рабочих станций и двух суперкомпьютеров, за 8 дней «в лоб» рассчитал значение 40-битового ключа SSL-сообщения. Эту задачу ранее пытались решить многие с целью убедить правительство США снять экспортные ограничения на средства шифрования (для работы американских компаний за пределами США). Долигес «сделал это», но за месяц до того, как действительно два студента Беркли решили другую задачу – обнаружили, что ключ задается на базе ненадежного случайного числа. Им удалось сузить диапазон возможных ключей, и они определили, что уровень защиты шифрования Netscape Navigator равносилен ключу длиной 47 разрядов. Вот тогда Netscape засуетилась и срочно начала работы по пересмотру алгоритма генерации ключей. Кстати, Голдберг и Вагнер использовали всего один персональный компьютер. А вот в чем соглашается Просис со Шнайером, так это в том, что прочность любой защиты определяется прочностью ее наименее стойкого звена. – Примеч. ред.
