The Economist задается вопросом защиты программного обеспечения от взломов. В последнее время регулярно возникают сообщения о больших утечках данных по итогам кибератак. В прошлом году говорили о киберпохищении $81 млн. из банка в Бангладеш. Также большой историей стали две массовые утечки данных у Yahoo, что едва не привело к срыву продажи Yahoo фирме Verizon.
Это, объясняет автор одного из материалов, только некоторые проявления деятельности черного хакерского рынка, на котором продаются похищенные цифровые продукты. По мере распространения цифровых технологий в повседневной жизни проблема будет только расти. Если раньше в основном воровали электронные деньги с электронных счетов, то теперь к Сети подключается огромное количество устройств, вплоть до автомобилей. Для хакеров здесь открываются новые возможности.
Конечно, противовесом этому может быть встречный процесс – технологическое совершенствование защит. Проблема в том, что производители слабо мотивированы к внедрению такого рода усовершенствований. Они больше заинтересованы в разработке новых продуктов, что означает порождение всё большего количества кода, нуждающегося в тщательном тестировании, но редко его получающего. В среднем каждый новый программный продукт насчитывает 14 уязвимостей. Каждая их них может быть использована для нелегального доступа.
Автор оговаривает, что в прочих областях жизни тоже существуют риски и уязвимости. Например, использование автомобиля может привести к аварии. Но человечество обычно придумывает способы минимизации рисков – начиная с правового регулирования и заканчивая страхованием. В применении к цифровой сфере тоже необходимо повышение безопасности. В частности, правительствам следует сосредоточиться на разработке стандартов безопасности цифровых продуктов.
В другом материале в The Economist автор рассуждает о системных изъянах компьютерной безопасности. Уязвимость проистекает из основ, на которых стоят информационные технологии, из культуры разработки ПО, а также из противоречивых интересов правительств. Однако сейчас бурное развитие киберпреступности начинает вынуждать компании, правительства и научные институты к действиям.
Современный компьютер, объясняет автор, представляет собой комбинацию компонентов, происходящих из самых разных источников – начиная с комплектующих и операционных систем и заканчивая пользовательскими приложениями. Каждый из компонентов может содержать в себе неисправности (допущенные по ошибке или преднамеренно), которые в совокупности создают уязвимость.
Некоторые крупные компании сейчас пытаются решать проблемы с безопасностью. Microsoft энергично призывает пользователей заменять устаревшие версии операционной системы на более новые и совершенные. Многие фирмы привлекают фрилансеров к тестированию своих продуктов, вознаграждая тех, кому удается обнаружить уязвимость. Google и Amazon разрабатывают свои собственные протоколы шифрования персональных данных. И опять-таки предлагают их тестировать. Однако такой краудсорсинг работает только в тех случаях, когда вокруг проекта складывается большое и увлеченное сообщество разработчиков.
Более фундаментальный подход к проблеме разрабатывает Управление перспективных исследовательских проектов минобороны США (DARPA). Там задействуются так называемые формальные методы тестирования, когда поведение ПО проверяется на основании матлогики. Такие методы применялись в информатике.
