Слабость системы компьютерной безопасности может привести мир к хаосу


Зайдя на Web-узел лаборатории Лос-Аламоса, можно обнаружить на нем довольно странную смесь общедоступных сведений и информации, предназначенной для внутреннего использования
Последнее время при обсуждении темы безопасности в прессе чаще всего мелькало слово "слабость", независимо от того, шла ли речь о трагедии со стрельбой в школе, об атаках компьютерных вирусов или же о похищении ядерных секретов. Заголовки типа "Абсолютная безопасность гарантирована" встречались в прессе крайне редко.

Но после посещения Национальной лаборатории в Лос-Аламосе (кстати говоря, сотрудник этой лаборатории Вен Хо Ли был обвинен в краже ядерных секретов) у меня едва ли повернется язык назвать имеющуюся там систему безопасности слабой.

Чтобы проникнуть в суперкомпьютерный центр, необходимо пройти через небольшую комнату, в которой осуществляется проверка прав доступа. После того как двери за вами закроются, необходимо положить ладони на сканер. Если компьютер распознает отпечатки пальцев, распахнется вторая дверь. Но поскольку моих отпечатков в базе данных, естественно, не оказалось, я был освобожден от этой процедуры и в сопровождении охранника сразу прошел в хранилище через специальный проход.

Попав в центр, я увидел вокруг себя множество красных лампочек, предупреждавших о том, что сегодня в помещении находится неопознанный посетитель, то есть я.

Как только я оказался в комплексе, система безопасности тут же идентифицировала и зарегистрировала мой бадж с надписью "Посетитель", после чего мой спутник посоветовал оставить портфель, чтобы избежать повторных проверок.

Поделившись со спутником своими впечатлениями, я вызвал только улыбку. Он заметил, что все это лишь цветочки по сравнению с системой безопасности, находящейся в помещениях, где продолжаются работы по созданию ядерного оружия.

Итак, что же изменилось с того момента, как Ли похитил программное обеспечение и данные, имевшие высшую степень защиты, и перенес их в общедоступную сеть?

Мы, наверное, никогда не узнаем, сумел ли он передать секретные сведения Китаю, а если это все же произошло, то каким образом Китай их использовал. В 1992 году под давлением общественности США отказались от проведения реальных взрывов ядерных зарядов. Отныне для получения всех результатов проводилось сложное компьютерное моделирование, а испытания атомного оружия ограничивались разработкой и запуском соответствующего программного обеспечения. Проверка работы модели осуществлялась при помощи сравнения с данными, накопленными в ходе десятилетий проведения реальных ядерных взрывов.

Конечно, сами по себе украденное программное обеспечение и данные не позволяли точно скопировать ядерное оружие США. Однако в руках похитителей оказывалось слишком много секретной информации о ходе ядерной программы. Особенно важное значение эти сведения имели для Китая, который также подписал соглашение о запрещении ядерных испытаний и вынужден был не выходить за рамки компьютерного моделирования.

При создании системы обеспечения безопасности необходимо рассчитать два основных параметра: вероятность взлома средств защиты и получения доступа к секретной информации, а также стоимость работ, которые необходимо выполнить для того, чтобы такая попытка увенчалась успехом.

И тем не менее имевшиеся в наличии системы безопасности, как правило, не справлялись со своими функциями. В результате их владельцы получили два важных урока (впрочем, и тот и другой не несли в себе ничего принципиально нового). Во-первых, компании очень часто относятся к построению систем информационной безопасности не столь серьезно, как к обеспечению безопасности физической. А ведь атака на компьютерную систему происходит незаметно для глаз и обнаружить ее очень сложно. Во-вторых, подавляющее большинство компьютерных преступлений совершается самими сотрудниками, которые имеют возможность обойти стандартные средства защиты (например, межсетевые экраны).

Зайдя на Web-узел лаборатории Лос-Аламоса (http://www.lanl.gov), я обнаружил на нем довольно странную смесь общедоступных сведений и информации, предназначенной для внутреннего использования.

Можно, к примеру, получить доступ к ежедневному бюллетеню и ознакомиться с меню местного кафетерия или узнать повестку дня очередного заседания комитета по выработке политики в отношении заработной платы. Открыты также каталог электронной почты и телефонных номеров служащих. Хорошо еще, что в каталоге больше нет информации о Ли и отсутствует кнопка с надписью "Атомные секреты".

В верхней части домашней страницы можно прочитать: "Основная задача лаборатории - уменьшить вероятность глобальной атомной катастрофы". Остается лишь молить Бога о том, чтобы слабость системы компьютерной безопасности не привела мир к необратимому ядерному хаосу.