Читаем Журнал "Компьютерра" N745 полностью

Тон встрече, вряд ли сам того желая, задал один из первых докладчиков, профессор информатики Пенсильванского университета Мэтт Блэйз (Matt Blaze). Свою речь о состоянии компьютерной безопасности он начал примерно такими словами: "В инфотехнологической области, которая за последние несколько десятилетий была отмечена грандиозными человеческими свершениями, наше направление не назовешь иначе как провалом".

Произнесенное устами авторитетного специалиста, такое признание невольно вызвало у собравшихся нервный смех. Однако в словах этих никакой шутки в общем-то не было. Несмотря на впечатляющие достижения технологий, подавляющее большинство компьютерных пользователей по сию пору довольствуется теми же неуклюжими процедурами безопасности, которые были в ходу несколько десятилетий назад. При этом многие чувствуют себя менее защищенными, чем прежде.

Безопасность (как подчеркнул во вступительной речи Брюс Шнайер) — это одновременно ощущение и реальность. Следует четко понимать, что чувствовать себя в безопасности и быть в безопасности — далеко не одно и то же. Давным-давно, когда язык только начинал развиваться, оба этих понятия, возможно, обозначали одну и ту же вещь. Однако в современных языках так и не появилось, к примеру, слова, означающего "быть в безопасности, но при этом не чувствовать себя безопасно".

Из-за существенных расхождений между реальной ситуацией и ее восприятием возникает масса проблем, потому что люди принимают решения на основе своих ощущений, а не реальности.

В теории уже имеется понимание, что всякое проектирование безопасности — по природе своей дело психологическое. Однако очень многие разработчики систем безопасности этот факт игнорируют. А укоренившиеся в сознании людей когнитивные предрассудки и предубеждения ведут к неверной оценке рисков. Хорошо известно, скажем, что в автомобили практически все люди садятся без страха, хотя жертв на дорогах гораздо больше, чем в небе. Напротив, в салоне авиалайнера многие чувствуют себя менее безопасно, чем это есть на самом деле. Другой созвучный пример — из Интернета. Знакомая всем пиктограмма ключика или замка в углу окошка браузера, обозначающая защищенный сеанс, заставляет людей чувствовать себя в большей безопасности, хотя сама по себе никакой гарантией она не является.

Беда в том, что подобного рода предрассудки успешно используются злоумышленниками. Многие атаки на информационные системы эксплуатируют психологию в большей степени, нежели технологию. Все уже, наверное, наслышаны о фишинг-атаках, обманом завлекающих людей на фальшивые веб-сайты, которые выглядят как подлинные, но в действительности воруют пароли.

Технические меры, конечно, могут предотвратить часть фишинг-атак, однако важнейшим звеном тут являются люди, предостеречь которых от глупых действий и неверных решений гораздо труднее. И сегодня атаки, базирующиеся на обмане, представляют самую большую угрозу для онлайновой безопасности.

Чтобы быть эффективными, системы защиты должны быть удобны в использовании и понятны не только компьютерным асам, но и самым обыкновенным людям. А всякое исследование о практичной и удобной безопасности — не только в сети, но и в быту, в жизни, повсюду — неизбежно должно иметь психологический компонент. Ныне, к счастью, диалог между исследователями в областях безопасности и психологии начал быстро расширяться. Здесь сходятся все больше и больше дисциплин — от практической безопасности в инжиниринге, дизайне протоколов, приватности и политике с одной стороны, до социальной психологии, эволюционной биологии и поведенческой экономики — с другой.

Личность как пароль

Пользователям Интернета наверняка доводилось сталкиваться с вебсайтами, которые желают знать о посетителе примерно такие вещи: имя первой учительницы, или имя любимого домашнего животного, или девичью фамилии матери, или, скажем, год окончания школы.

Это лишь некоторые из типичных "контрольных вопросов" регистрации, которые сайты зададут клиентам, если те вдруг забыли пароль доступа к своему аккаунту и хотели бы его восстановить. Как показывает практика, многим людям вспомнить через несколько лет свой собственный ответ на контрольный вопрос почти так же трудно, как вспомнить забытый пароль.

С другой стороны, эта же технология чрезвычайно облегчает несанкционированный владельцем доступ к аккаунту, поскольку радикально сокращает количество опробуемых вариантов пароля. Например, вариантов с годом окончания школы раз-два и обчелся. Что же касается других вопросов, то в Сети известны места, где собраны типичные клички домашних животных, распространенные имена людей и тому подобные списки.