Читаем Итоги № 40 (2013) полностью

«Это ПО, которое имеет открытый доступ к исходному коду, — поясняет Сергей Вихорев, заместитель генерального директора по развитию «ЭЛВИС ПЛЮС». — Но что это дает для обеспечения защиты? Теоретически доступ к исходному коду позволяет выявить не только ошибки, но и те самые «черные двери», если они существуют. Но вопрос в другом: кто это способен сделать?» Блондинка, выкладывающая в соцсети фото с вчерашней вечеринки? Баба Маня из деревни Гадюкино, осваивающая портал госуслуг? Кто даст гарантии, что среди СПО-профессионалов нашлось несколько бескорыстных энтузиастов, которые прочесали миллионы строк кода на предмет закладок? Даже честность основателя Linux Линуса Торвальдса поставлена под сомнение — программисты подняли шум из-за генератора псевдослучайных чисел (опять этот генератор!), разработанного компанией Intel, который Торвальдс включил когда-то своей властью в ядро Linux.

Дмитрий Белявский не верит в возможность принудительного внедрения «черных ходов» в алгоритмы шифрования в открытом софте типа OpenSSL или GnuTLS. Однако напоминает, что сами эти алгоритмы Шнайер тоже считает надежными, хотя стандарты NIST на их базовую математику эллиптических кривых вызывают сомнения — никто не знает, откуда взялись начальные параметры некоторых кривых и не умеет ли АНБ использовать их в своих целях. «Наверное, на волне интереса к безопасности информационного взаимодействия компании из сферы IT-секьюрити смогут дополнительно заработать денег»,— резюмирует Сергей Кирюшкин, советник гендиректора компании «Газинформсервис». Но вот вопрос: как справится обычный пользователь с комплектом рекомендуемого Шнайером защитного ПО? Ведь сам Брюс признается, что далеко не всегда следует собственным советам, поскольку удобство часто перевешивает профессиональную осторожность. Другое дело, что далеко не все обыватели поддерживают алармизм Шнайера.

Действительно, разве плохо, что в США не было с 2001 года инцидентов масштабов «11 сентября»? «Если на одной чаше весов — риск того, что кто-то прочтет мою переписку, а на другой — шанс поймать террориста, спасти сотни или тысячи жизней, я за меры, которые помогают снизить угрозу терроризма», — считает Сергей Потанин, начальник Центра информационной безопасности банка «Союз». Правда, в предложениях Шнайера просматривается еще одна идея, близкая многим обывателям, — создание глобального безопасного Интернета.

За мир во всем мире

Концепция доверенной среды — важный постулат теории информационной безопасности. Вопрос в том, можно ли реально сделать ее всемирной? Господин Шнайер сводит проблему доверия — случайно или намеренно — к аппаратной и программной платформам, к каналам передачи информации. А она на самом деле гораздо шире, подчеркивает Сергей Вихорев: «Для того чтобы среда была доверенной, надо обеспечить доверие ко всему, что ее формирует: к окружению и субъектам, правилам функционирования». А это значит, что не должно быть загадок, что за ПО записано в BIOS вашего компьютера или закрытой области процессора. «Разговоры о создании Интернета-2, то есть защищенной Сети, идут давно,— напоминает эксперт. — Однако пока не будет принято политическое решение и страны не научатся не только вводить какие-то правила, но и строго их выполнять, все останется на уровне разговоров».

Кстати, уж полтора десятка лет тому, как на свет божий появился руководящий документ ФСТЭК России (тогда Гостехкомиссии России) о контроле за отсутствием недекларированных возможностей в ПО, а организации, в том числе государственные, продолжают закупать зарубежное оборудование и ПО, закрывая глаза на опасность получить закладку. Путешествие по Сети сегодня сродни плаванию в нейтральных водах, где у каждой страны есть свои правила. «Однако же суда ходят! — подчеркивает Сергей Вихорев. — И с нарушениями безопасности (читай — пиратством) борются! Где надо, информацией обмениваются, а где надо, ее скрывают. Правда, для того чтобы все оказалось так, пришлось создать международное морское право». Но с правовой точки зрения единый защищенный Интернет — это непаханая целина.

Вассал моего вассала

Николай Федотов подметил интересный парадокс: «Интернет концентрирует в себе самые передовые технические идеи. Но при этом в гуманитарном отношении Сеть — это самая отсталая часть современной цивилизации, где-то на уровне Средневековья». В чем это выражается? Пожалуйста: дикие сетевые «племена», живущие без малейшей оглядки как на национальное, так и международное законодательство. Вольные города и самозваные вожди. Кровная месть и право первой ночи. Вассальная зависимость и идеократия. Именно на этом в виртуале сегодня делаются яркие биографии и большие деньги. Вопрос в том, какая модель управления придет на смену племенному реликту. Но на этот вопрос нет однозначного ответа. Есть лишь возможные варианты.