Защита будущего: истоки безопасности

Сегодняшние информационные технологии представляют собой довольно сумбурную смесь высококлассных инноваций вперемежку с старыми – наследуемыми — технологиями, среди которых есть и такие, что применялись на протяжении десятилетий и редко при

Сегодняшние информационные технологии представляют собой довольно сумбурную смесь высококлассных инноваций вперемежку с старыми – наследуемыми — технологиями, среди которых есть и такие, что применялись на протяжении десятилетий и редко при этом менялись. Это «сосуществование» старого и нового привело к выявлению чудовищных ошибок, остававшихся вне поля зрения в течение долгих лет.

Прошлое не отпускает

Ранее в этом году мы обнаружили Shellshock, серьезную и мерзкую уязвимость в Bash, затаившуюся еще с 1992 года. Bash является неотъемлемой частью большинства Unix-подобных системах, код которых не проверяли достаточно тщательно, чтобы выявить торчавший у всех на виду изъян. Его обнаружение вызвало глобальную панику, тем более, первые попытки залатать его по разным причинам не удались.

Совсем недавно Microsoft нашла ошибку в Internet Explorer, которая таилась аж со времен Windows 95. Остается только гадать, были или не были уязвимости нулевого дня в популярном программном обеспечении, активно эксплуатировавшиеся злоумышленниками без ведома разработчиков ПО и легальных экспертов по безопасности.

Вендоры программного обеспечения, особенно разработчики операционных систем, вынуждены переносить из программы в программу горы унаследованного кода, чтобы обеспечить обратную совместимость с устаревшим аппаратным и программным обеспечением, на которые существует спрос. Иногда они могут прибегать к поддержке старых версий своих операционных систем для удовлетворения потребностей клиентов. Так было в случае с Windows XP, которая оставалась востребованной слишком долго: многие пользователи решили хранить верность ей вместе с ее старомодным интерфейсом… и древними багами. Эти ошибки не будут уже исправлены, поскольку Microsoft прекратила поддержку XP в апреле 2014 года. Это означает, что вышеупомянутый античный баг в IE не будет исправлен для оставшихся (легионы их!) пользователей Windows XP, что делает их уязвимыми для атак. Общую ситуацию с кибербезопасностью такое не улучшает.

Вершки и корешки

Еще один пример проблем безопасности из-за сращивания новых и старых технологий заключается в сложившейся опасной ситуации с критической инфраструктурой. Оборудование порой служит десятки лет. Его разрабатывали как «закрытый ящик», и вдруг — как снег на голову — интернет-подключение добавляют к устаревшему оборудованию, и безопасность его сразу ухудшается.

Адам Файрстоун, генеральный менеджер и президент департамента решений правительственной безопасности «Лаборатории Касперского», подчеркнул, что нет худа без добра: сейчас представилась уникальная возможность радикально улучшить защиту, заменив старые системы новыми, изначально разработанными с учетом требований безопасности.

Вот что мы имеем в виду под «истоками безопасности». Есть два подхода к безопасности, которая бывает «добленная» и «встроенная». Первая предполагает, что изначально в проекте вопросы безопасности не рассматривались и были решены уже впоследствии, как правило, с относительным успехом. Это как прививка деревьев: некоторые ей поддаются, некоторые нет, независимо от количества сделанных попыток.

Более адекватным и надлежащим подходом является «встроенная» безопасность, которая принималась в расчет с самого начала процесса разработки.

Смартернет

Не секрет, что будущее за интернетом вещей и миром, в котором всё взаимосвязано. Все мыслимые устройства станут когда-нибудь «умными», подключенными к сети и дистанционно управляемыми.

Какой будет жизнь в таком мире? Мы можем только предполагать. Определенно, будет удобнее, но и рисков тоже станет больше. Появится ли возможность «спровоцировать экономический кризис» одним точным кликом? Или обратить в руины критически важные объекты инфраструктуры по всему миру небольшой вредоносной программой, скормленной подходящей уязвимости?

Притом, что многие технологии еще полностью не поняты (или не могут быть укрощены), дистопические прогнозы, о которых мы писали в предыдущем посте, кажутся вероятными. Неизбежно ли это? Отнюдь.

Медленно, но заинтересованные стороны все-таки приходят к согласию касательно необходимости учета вопросов кибербезопасности в сферах, где используются информационные технологии, а используются они практически повсеместно.

Безопасность должна быть и, надеюсь, будет закладываться в «корнях дерева» информационных технологий, вместо того чтобы быть впоследствии привитой. По-прежнему будут неудачи и ошибки, но вендоры решений кибербезопасности, такие как «Лаборатория Касперского» всегда будет готовы защитить пользователей, независимо от того, что готовит нам будущее.

wide_video2

Эволюция ИТ-угроз в третьем квартале 2014 года: гонка вооружений продолжается, кто победит?

«Лаборатория Касперского» опубликовала отчет о кибербезопасности за третий квартал 2014 года. Его основные моменты: уязвимость Shellshock, Crouching Yeti/Energetic Bear, APT-кампании Epic Turla, значительное увеличение числа вредоносных атак (различных видов) и

Советы