В последнее время меня все чаще спрашивают: «Зачем вы учите студентов взламывать компьютерные системы и разрушать критически важную инфраструктуру?» Должно быть, для преподавателя по компьютерной безопасности все это похоже на знаменитую черту в зале суда: «А когда вы сами перестали воровать?» И нужные слова замирают на языке.
Можно, конечно, отказаться отвечать на сформулированный подобным образом вопрос. Но каждый из тех, кто обучает других компьютерной безопасности, должен определить основополагающие моменты. Для коллег, администрации, журналистов, народа и для себя лично. Перечислим главные.
- Где следует провести черту при обсуждении систем безопасности?
- Следует ли описывать реальные бреши в реальных системах или же ограничиться анализом моделей существующих изъянов?
- Нужно ли уделять основное внимание архитектуре системы, ошибкам, являющимся общими для всех систем, или же и тому, и другому?
- Стоит ли заниматься практическими упражнениями, и если да, то как осуществлять контроль и какие меры безопасности должны быть приняты?
- Следует ли ограничить допуск к занятиям и проведению соответствующих исследований?
- Каковы педагогические цели, положенные в основу нашей методологии?
Отвечать на вопросы, связанные с тем, кого, чему, когда и где учить, преподавателям приходится не впервой. Возьмем, к примеру, химию. Совершая свои первые шаги в этой области, я встретилась с двумя ассистентами преподавателя, которые в графической форме демонстрировали нам, что происходит, если смешать химические реагенты в неверных пропорциях или выбрать их «недопустимые» сочетания. Эти уроки «безопасной» химии не только помогли мне сохранить свои пальцы в целости, но и научили технологии, которую я использовала при изготовлении взрывчатых веществ и получении ядовитых газов из обычных бытовых продуктов. Исторически сложилось так, что знание вопросов безопасности является палкой о двух концах. Знания, позволяющие защитить системы, процессы или людей, могут быть использованы и для разрушения или уничтожения тех же самых систем, процессов и людей. Разница состоит в том, каким образом применяются соответствующие навыки. Различия отражаются в оценках тех людей, которые судят о характере использования полученных знаний.
Компьютерная безопасность отличается от химии тем, что почти каждая лекция посвящена вопросам поддержки средств, которые делают невозможным взлом или разрушение каких-то компонентов системы или помогают понять, почему эти компоненты были взломаны или разрушены. Это комбинированное изучение как обороны, так и атаки делает нас по духу кровными братьями с инструкторами военного дела. Каким образом осуществляется передача информации в данных областях? Традиционные мастера военного дела, особенно те, профиль преподавания которых ориентирован на оборону, никогда не предоставляют сразу всей информации новым ученикам, допущенным к занятиям в школе самбо. Все это помогает приобрести критически важные для организации необходимой обороны навыки тем, кто в них нуждается и готов разумно использовать полученные знания.
Что говорить?
Все это подводит нас к вопросу, который возникает в первую очередь: что следует изучать? Дебаты вокруг философий обучения, которых придерживаются преподаватели технологий безопасности, ведутся уже на протяжении достаточно долгого времени. Сегодня битва развернулась главным образом между сторонниками двух философий — обеспечения гарантированной защиты и постижения принципов и особенностей атаки. Большая часть преподавателей в той или иной степени отдает предпочтение одному из этих направлений.
Гарантии защиты
Сторонники модели гарантированной защиты ориентируются на соответствующие способы построения систем, которые будут работать согласно заранее определенной политики безопасности, занимаются созданием средств защиты, не имеющих слабых мест, и изучают способы надежного достижения поставленных целей. Атакующие системы рассматриваются со специфической точки зрения — в свете обнаружения и блокирования данных технологий. Слабые места в системе безопасности должны описываться в контексте нарушения работоспособности базовых технологий, с примерами того, каким образом впоследствии можно ликвидировать обнаруженные изъяны.
Один из мотивов развития данного подхода заключается в том, что поскольку «безопасность за счет покрытия системы мраком неизвестности» предоставляет лишь ограниченную по времени защиту, для обеспечения долгосрочной безопасности систему необходимо проектировать с учетом сохранения устойчивости ее работы независимо от количества известной о ней информации.
Инструкторы, придерживающиеся данной философии, большую часть учебного времени уделяют тому, как сделать все правильно, и не распространяются особо о типичных ошибках. Знание особенностей атак в данном контексте менее важно по сравнению со знанием принципов построения удачной архитектуры. Сторонники данного подхода указывают, что расширение познаний студентов о стратегиях атак, имеющих одну цель, вряд ли поможет им лучше защищать системы, где важно поддерживать бдительность на всех уровнях.
Постижение атак
Осмысление философии атак предполагает изучение стратегий атак и стратегий обороны. Изучая действия, предпринимаемые атакующими на практике, студенты лучше начинают понимать, каким образом выявляются слабые места системы, как разрабатывать конструкции, которые позволят закрыть бреши, и наконец, как следует устанавливать средства защиты, с тем чтобы устранить имеющиеся недостатки. В идеале, постижение атак должно тесно переплетаться с осмыслением оборонительных мероприятий.
В процессе такого обучения студенты могли бы обсуждать особенности проведенных атак и брешей, через которые атакующие проникают в систему, заниматься проработкой новых атак и способов их использования в контексте своей учебной деятельности. Впоследствии можно обсудить архитектуру системы с точки зрения ее устойчивости по отношению к этим атакам, возможности выявления новых атак и т.д. Данный подход помогает студентам научиться подходить к оценке безопасности системы с практической, а не с формальной точки зрения.
В теории или на практике?
При определении изучаемого материала необходимо учитывать практические вопросы. Денег на оборудование не хватает, высоких зарплат добиться весьма затруднительно, все направлено на повышение доходности и оборота. Иногда это заставляет преподавателей отдать предпочтение тренировке наступательных действий, поскольку «студентам это нравится», и классы наполняются быстрее, или же уделить больше внимания моделированию, которое «не требует инвестиций в хорошо оборудованные испытательные лаборатории». Естественно, отбираются наиболее интересные упражнения и тренировки, затраты на которые укладываются в отведенный бюджет. Такие решения оказывают самое непосредственное воздействие на общий уровень получаемого образования и к их принятию следует подходить с особой тщательностью. Процесс принятия решений не стоит смешивать с выбором философии постижения атак или гарантий защиты.
На то чтобы отдать предпочтение какому-то одному подходу перед другими, существует множество причин. Наши цели зависят от того, чем студенты будут заниматься после занятий. Соответствующим образом формулируется и критерий: научить студентов четко и эффективно реагировать на возникновение нештатной ситуации — это одно, а подготовить хорошего разработчика безопасных операционных систем — совсем другое. Практический подход требует большего количества ресурсов: соответствующего оборудования, постоянного мониторинга, реакции на возможное возникновение непредвиденных (и неблагоприятных) обстоятельств. Ответы на вопросы «где» и «почему» при выборе конкретных условий обучения безопасности во многих случаях определяются тем, от «кого» и от «чего» мы отталкиваемся в нашей философии образования. Решения на все случаи жизни здесь просто не существует.
Кому позволено слушать?
Этот основополагающий вопрос можно сформулировать и следующим образом: «кого» и «чему» учить? При определении политики информационных потоков мы ищем баланс между тем, «что» именно предоставлять и «кому» все это предоставлять. Рассмотрим информационный поток в классе обучения безопасности. Гнев преподавателя проще всего вызвать, предложив наложить внешние ограничения на свободу слова. Фундаментальные свободы являются краеугольным камнем: ограничение права на свободную публикацию, обсуждение и распространение идей справедливо вызывает всеобщую обеспокоенность.
Однако при проведении исследований в области компьютерной безопасности и разработке соответствующих образовательных программ американские университеты зачастую стремятся сократить или ограничить распространение информации. К участию во многих программах обеспечения безопасности допущен узкий круг лиц, которому доступны лишь определенные материалы. Примеров этому великое множество. В некоторых американских агентствах такие программы доступны только лицам, имеющим гражданство США. В других либо устанавливается какой-то интервал между завершением работы и ее открытой публикацией, либо требуется получение предварительного согласия уполномоченного органа на вынесение работы за рамки участников проекта. Образовательные институты в свою очередь также могут запрещать или ограничивать публичное оглашение предварительных результатов до получения патента, который гарантирует защиту всей интеллектуальной собственности. После регистрации авторских прав или патента институты оказывают помощь в публикации трудов.
Иногда работы по контракту проводятся при условии, что компания первой сможет воспользоваться результатами или пройдет некоторое время, прежде чем конкуренты получат доступ к материалам. Законодательные акты в области информационной безопасности окажут самое непосредственное воздействие на выбор темы исследования преподавателями и студентами. Таким образом, несмотря на твердую веру в обеспечение фундаментальных свобод некоторые преподаватели и академические институты добровольно ограничивают свою сферу исследований и допуск других к определенным темам в силу каких-то собственных интересов, нормативных правил или других важных факторов, выходящих за рамки фундаментальных свобод.
Возможно, некоторые из вас не согласятся со мной, напомнят о том, что большая часть всего изучаемого материала уже опубликована в Internet, доступна участникам конференций, распространяется на DVD или в печатных изданиях. Вы правы. Так и есть. Вы скажете, что распространители этой информации не налагают на нее никаких ограничений, а предлагаемые ими товары может приобрести любой покупатель. В конечном итоге политика отсева кандидатов на обучение не имеет никакого смысла — кот все равно выпрыгнет из мешка. Согласна. Действительно, он уже давно вырвался наружу.
Большую часть технических компонентов информации, представляемой в аудиториях, несложно найти и в других местах. Можно просто купить книги по безопасности, в которых подробно описаны атаки на компьютерные системы. Некоторые из них даже снабжены дисками с соответствующими инструментальными средствами. Преподаватели добавляют к этому лишь понимание — глубину анализа. Почему срабатывают атаки, почему работают механизмы защиты, как разрабатывать и внедрять системы, которые в той или иной степени смогут противодействовать этим атакам. Трудно понять, зачем нужно накладывать дополнительные ограничения, если базовые материалы распространяются совершенно свободно.
Тем не менее, вопрос «кого и чему учить» по-прежнему остается на повестке дня. Преподаватели методов обеспечения безопасности и исследователи открытых институтов уже имеют возможность убедиться в том, что мы должны либо добровольно пожертвовать результатами некоторых научных исследований, самостоятельно контролируя ситуацию, либо отказаться от публичного распространения определенной информации. Чему в этом случае отдать предпочтение?
Несколько мыслей в заключение
Компьютеры появились относительно недавно, а вот методы обеспечения безопасности и защиты имеют очень глубокие корни. В наших аудиториях можно найти как древние труды Сунь-Цзы, так и свежие материалы IEEE Security & Privacy. Растущая потребность в профессионалах в области безопасности и преподавателях соответствующих дисциплин для создания безопасной критически важной инфраструктуры является дополнительным аргументом для повышения доступности знаний, в то время как хрупкость защищаемых нами структур заставляет создавать искусственные препятствия на пути распространения этой информации.
- Итак, что же представлено в наших аудиториях?
- Кто, на ваш взгляд, должен быть допущен к обучению?
- Принимаете ли вы дополнительные меры предосторожности при предоставлении материалов, и если да, то какие?
- Ограничиваете ли вы сферу своих исследований в зависимости от возможных областей применения полученных результатов?
- Поддерживаете ли вы дружеские отношения со своими однокашниками «на всякий случай»?
Деб Фринке (frincke@cs.uidaho) — адъюнкт-профессор кафедры информатики университета штата Айдахо. Соучредитель и содиректор центра Center for Secure and Dependable Software. Ее нынешние исследования посвящены компьютерной безопасности с упором на вопросы обнаружения вторжений и управления.
Deb Frinke, Who Watches the Security Educators? IEEE Security & Privacy, May-June 2003. IEEE Computer Society, 2003, All rights reserved. Reprinted with permission.