Ключевая роль человеческого фактора в проблеме защиты информации.
Люди, которые занимаются компьютерным взломом, занимаются также и предотвращением компьютерных преступлений. Недавно несколько компаний по компьютерной безопасности из разных стран мира решили подвергнуть свою продукцию проверке. Они опубликовали телефонные номера, по которым хакеры могли звонить и пытаться проникнуть в систему. Конечно, это был рекламный трюк, но сама идея хороша. Она позволила получить несанкционированный доступ к системе из лучших побуждений.
Хакер, который использует свои незаконные методы для предотвращения преступлений, - человек высокой нравственности. Это хакер в белой шляпе. Обнаружив дыру в защите системы (и не воспользовавшись ею!) он предупреждает о ней системного администратора. Таким образом, он помогает обществу свободно и безопасно пользоваться информацией. Мы только можем надеяться, что жизненное кредо хакеров не позволит им вести себя неэтично.
К сожалению, природа несанкционированного доступа чаще всего привлекает людей морально неразвитых или просто порочных, которые питают слабость к вандализму и чужим кредитным карточкам.
Встречаются люди, которые осуществляют несанкционированный доступ по найму. Частные лица готовые оплачивать эти нечистоплотные услуги по изменению информации: счетов, уровней доступа и так далее. Иногда кому-то требуется уничтожить информацию о себе, чтобы скрыть подробности своего прошлого. Частные детективы также могут воспользоваться услугами людей, которые занимаются компьютерным взломом, чтобы найти телефонные номера, адреса и другую необходимую им приватную информацию, которая хранится в компьютерах: Сотрудники офисов нанимают компьютерных специалистов, чтобы прочитать электронную почту и файлы своих коллег и конкурентов. Хакеры могут заниматься не только промышленным, но и государственным шпионажем. Все это существует, и несанкционированный доступ к чужим системам - обычная оплачиваемая услуга в нашем несовершенном мире.
Разнообразные издания по взлому систем перенасыщены подробностями об оборудовании, программном и аппаратном обеспечении, о том, что необходимо для взлома, и многом другом.
Литература же, посвященная защите информации, излишне оптимистична. Оказывается, ошибки в программах уже исправлены, бреши в системах зашиты моментально залатываются, а времена наивных пользователей давно прошли.
Тогда почему несколько лет назад Роберту Моррису-младшему удалось проникнуть в систему, используя ошибки, которые никто не потрудился выявить и исправить? Кто знает, сколько еще программных оплошностей и ошибок притаились в ожидании своего звездного часа? Почему бы не вспомнить о демонстрационных версиях, работающих в своем первоначальном виде?
В июле 1987 г. группа членов клуба Chaos Computer Club получила несанкционированный доступ к компьютерной сети системы NASA SPAN. Хакеры использовали недостаток в инфраструктуре VMS, по заявлению DEC Corporation, реконструированной тремя месяцами ранее. Как следствие - более ста VAX компьютеров с неисправной операционной системой. Члены клуба свидетельствовали, что для защиты этой системы часто использовались примитивные пароли из руководства пользователя. С одной стороны - секретные компьютеры, опекаемые NASA, с другой - 4000 пользователей этих компьютеров, которые не смогли сохранить тайну.
В наши дни получение несанкционированного доступа к системам обработки информации может показаться более сложным занятием, чем раньше, но это не так. Конечно, меры безопасности стали строже, но человеческие слабости неизменны. Пользователь по-прежнему весел, беззаботен, ленив и добродушен. И не любит усложнять. Он не выберет пароль bWoQtO-@vbM-34trwX51; скорее всего, ему подойдет что-то легко запоминаемое.
Сегодня создано немыслимое количество операционных систем, в которых работает множество пользователей. Каждый может купить компьютер и приступить к работе. Профессиональная подготовка по работе на ПК уже не является необходимостью. И далеко не все помнят о компьютерной безопасности. Всегда можно утверждать, что большая часть компьютерных систем не защищена от вторжения. Многие это понимают, но ситуация от этого не меняется.
Причин, по которым компании не повышают уровень компьютерной безопасности, несколько. При этом приводятся следующие веские аргументы.
Усиление защиты может повлиять на открытые и доверительные отношения, которые мы стремимся развивать.
Компьютерная защита слишком неудобна и отвлекает от основной работы. Сильная защита привлечет любителей острых ощущений. Закрывать лазейки в защите слишком дорого и сложно. Исправление программы может создать новые проблемы с безопасностью. У нас никогда не было проблем с безопасностью. Наша информация не нужна никому, кроме нас.
Мы только что подверглись несанкционированному доступу, и следующая атака будет не скоро.
А разве хакеры еще существуют?
Аргументация, конечно же, некорректная. Последний довод вообще не выдерживает критики: компьютеры имеют настолько большое значение, что для любителей "закрытой информации" всегда найдется интересная работа.