Служба новостей IDG, Бостон
По мнению Брюса Шнайера, основателя и технического директора компании Counterpane Internet Security, технологические достижения, такие как двухфакторная идентификация, не смогут защитить клиентов, пользующихся услугами электронной коммерции. Ужесточение правительственного регулирования — вот что заставит банки и Internet-торговцев серьезно позаботиться о безопасности
В своем недавнем отчете компания Federal Deposit and Insurance, придя к выводу о том, что хищения средств со счетов клиентов обусловлены несовершенством систем безопасности, призвала банки к переходу от опознания пользователей по паролю к двухфакторной идентификации, использующей уникальный пароль в сочетании с картой безопасности или с аппаратным ключом, генерирующим коды. Брюс Шнайер не согласен с подобными выводами. Свои взгляды он изложил в статье Two-Factor Authentication: Too Little, Too Late, опубликованной в журнале Communications of the ACM (с ней можно ознакомиться в Internet по адресу www.schneier.com/essay-083.html), а также поделился ими в интервью службе новостей IDG.
Какой урок удастся извлечь из крупных инцидентов нарушения безопасности в течение нескольких последних недель в компаниях ChoicePoint, Paymaxx, Reed Elsevier, LexisNexis и DSW? Атаки велись по разным направлениям, но есть ли в них что-то общее, что необходимо усвоить?
Проблема состоит в том, что мы утратили возможность контролировать сохранность большей части своих данных. Это сравнительно новое явление. Лет двенадцать назад, если бы кому-то захотелось просмотреть вашу почту, ему пришлось бы вламываться в ваш дом. Сегодня для этого достаточно просто взломать сервер вашего Internet-провайдера. Десять лет назад ваша голосовая почта хранилась на домашнем автоответчике, теперь она находится в компьютере телефонной компании. Ваши финансовые счета запоминаются на Web-сайтах, защищенных лишь паролями, ваша кредитная история сохраняется — и продается — компаниями, о существовании которых вы даже не подозреваете. Списки книг, которые вы покупаете и читаете, хранятся в компьютерах онлайновых книготорговцев. Ваша клубная карта информирует ближайший универсам о том, какие товары вы любите. Данные, которые обычно находились под вашим непосредственным контролем, теперь контролируются кем-то другим.
Вы утверждаете, что распространение «троянцев» и других угроз делает двухфакторную идентификацию устаревшей. Но, рассматривая положение дел как в краткосрочной, так и в долгосрочной перспективе, разве наличие второго фактора идентификации не усложнит задачу мошенникам в подавляющем большинстве онлайновых преступлений и случаев хищения пользовательских данных?
Нет. Все, что может сделать второй фактор, — это заставить мошенников изменить свою тактику. Двухфакторная идентификация защищает лишь от использования ранее украденных кодов доступа. Современные же виды мошенничества отличаются активностью и непосредственностью. Злоумышленник либо организует поддельный Web-сайт и действует как «незаконный посредник» (man-in-the-middle), приглашая пользователя ввести коды доступа и затем немедленно используя их для входа на настоящий сайт финансовой организации, либо устанавливает «троянского коня» на компьютере пользователя и украдкой совершает мошеннические транзакции на этом сайте во время легальной сессии пользователя. В обоих случаях от двухфакторной идентификации нет никакого толку.Недавняя компрометация базы данных LexisNexis продемонстрировала недостатки схемы «имя-пароль». Неужели аппаратные ключи не предотвратили бы попадание в руки хакеров идентификационных данных 32 тыс. человек?
Какие-то случаи мошенничества второй фактор идентификации может предотвратить, а какие-то — нет. В случае с ChoicePoint преступники под видом законопослушных пользователей получили учетные записи в системе компании. При двухфакторной системе идентификации преступники стали бы ее легальными пользователями. В Bank of America потеряли резервную ленту с конфиденциальной информацией о 1,6 млн. человек; двухфакторная идентификация не помогла бы и в этом случае. Мы не знаем, как произошел взлом LexisNexis, но возможно, что при двухфакторной идентификации этого инцидента не было бы.
Если многофакторная идентификация не работает из-за того, что никогда нельзя быть уверенным в безопасности платформы конечного пользователя, не означает ли это, что ни одна онлайновая транзакция не может быть безопасной? В любой системе Windows может быть установлен «троянец» или rootkit. Так можно ли вообще использовать для электронной коммерции подключенную к Internet систему на базе Windows, Unix или Linux?
Онлайновая транзакция не может быть абсолютно безопасной, но то же самое можно сказать и о передаче наличных денег из рук в руки. Степень безопасности — величина непрерывная, ее нельзя мерить в дискретных единицах «есть» или «нет». Цель — не абсолютная безопасность, а обеспечение высокого уровня управления рисками, так чтобы могла продолжаться коммерческая деятельность. Мне кажется, мы неправильно подходим к проблеме. Проблема не в том, как обезопасить компьютер пользователя или как идентифицировать его самого. Проблема в мошеннических транзакциях. И ее решение состоит в том, чтобы возложить ответственность за них на финансовые учреждения. Вспомните, как было с кредитными картами. Пока за мошеннические операции с картой отвечал ее владелец, компании, выпускавшие кредитные карты, совершенно не беспокоились о безопасности. Но как только мошенничество стало их проблемой, поскольку владелец кредитной карты несет ответственность лишь в размере 50 долл., компании-эмитенты много сделали для повышения безопасности. И они не заботились о том, правильно ли хранятся карты в бумажниках пользователей, они сконцентрировались на выявлении мошенничества в своих собственных базах данных. Как только удастся возложить ответственность за онлайновое мошенничество на финансовые учреждения, они сами научатся управлять рисками.
А за что отвечают пользователи? Если мы все будем шифровать свою электронную почту и данные на жестких дисках, а при просмотре Web-сайтов использовать SSL или другие разновидности безопасных соединений, не поможет ли это справиться с «троянцами»?
Еще раз повторяю, шифрование может защитить лишь от некоторых типов атак. Если на вашем компьютере есть «троянец», шифрование не дает никаких преимуществ, потому что «троянец» может следить за нажатиями клавиш и видит любой текст, который вы набираете.
В последнее время такие банки, как U.S. Bancorp и e-Trade, а также крупные Internet-провайдеры наподобие America Online стали шире применять аппаратные ключи для многофакторной идентификации своих клиентов. Не являются ли эти программы просто напрасной тратой времени? Вы хотите сказать, что и через пять, и через десять лет они по-прежнему будут бороться с теми же самыми проблемами?
В ближайшей перспективе это поможет. От новых типов атак это не спасет, а злоумышленники, крадущие пароли, найдут себе другое поле деятельности. Но по мере того, как все больше финансовых учреждений будут внедрять двухфакторную идентификацию, банки заметят снижение эффективности этого способа. В конечном счете это не сработает. Масштабы мошеннических операций не сократятся.
Microsoft уже предлагает пользователям Windows многофакторную идентификацию (RSA SecurID for Microsoft Windows), но не так уж много людей пожелали ею воспользоваться. Разве не правда, что онлайновые покупатели по-настоящему не заботятся о безопасности, пока их не обворуют?
Это лишь половина правды. Вторая половина состоит в том, что банки тоже по-настоящему не заботятся о безопасности, если нет прямой угрозы их жизненным интересам. Хочу подчеркнуть, что я не отрицаю полезности двухфакторной идентификации. Есть приложения, где она прекрасно работает. В организации, которая хочет управлять доступом сотрудников к серверам и приложениям, двухфакторная идентификация имеет смысл как хорошее дополнение к системе безопасности.