Posłowie Bruce Schneier

Specjalizują sie, w technologiach bezpieczeństwa. Moja praca polega na sprawianiu, by ludzie czuli się bezpiecznie.

Zastanawiam się nad sposobem działania systemów bezpieczeństwa i nad tym, jak je złamać. A potem jak uczynić je bardziej bezpiecznymi. Systemy bezpieczeństwa. Systemy nadzoru. Systemy bezpieczeństwa lotów oraz maszyny do głosowania. Układy scalone RFID i tak dalej.

Cory zaprosił mnie na ostatnie strony tej książki, bo chciał, żebym wam powiedział, że tworzenie systemów bezpieczeństwa to zabawa. Niesamowita zabawa. To zabawa w kotka i myszkę, kto kogo przechytrzy, łowca kontra ofiara. Myślę, że to najzabawniejsza praca, jaką można sobie wymyślić. Jeśli bawiło was czytanie o tym, jak Marcus za pomocą kamieni w butach przechytrzył kamery rozpoznające chód, pomyślcie, jaką mielibyście satysfakcję, gdybyście wpadli na ten pomysł jako pierwsi na świecie.

W pracy nad systemami bezpieczeństwa trzeba sporo wiedzieć o technologii. A czasem również o komputerach, sieciach lub kamerach i sposobie ich działania albo o właściwościach chemicznych wykrywaczy bomb. Ale tak naprawdę bezpieczeństwo to nastawienie. To sposób myślenia. Marcus to świetny przykład takiego sposobu myślenia.

Zawsze szuka błędów w systemach bezpieczeństwa. Założę się, że nie wszedłby do sklepu, nie rozgryzając najpierw, jak można by coś ukraść. Nie po to żeby to zrobić – istnieje różnica między wiedzą, jak pokonać system bezpieczeństwa, i jego pokonaniem – ale żeby się dowiedzieć, czy jest to możliwe.

W taki właśnie sposób rozumują ludzie zajmujący się systemami bezpieczeństwa. Wciąż szukamy takich systemów i zastanawiamy się, jak je obejść; nie możemy nic na to poradzić.

Taki sposób myślenia jest ważny bez względu na to, po której stronie jesteście. Jeśli zatrudniono was, żebyście stworzyli sklep odporny na kradzieże, lepiej najpierw zastanówcie się, jak można by z niego coś ukraść. Jeśli konstruujecie system kamer monitorujących sposób chodzenia poszczególnych ludzi, lepiej zróbcie go z myślą o tych, którzy wkładają do butów kamienie. Bo inaczej nic dobrego z tego nie wyjdzie.

Któregoś dnia, gdy będziecie się włóczyć po okolicy, poobserwujcie przez chwilę otaczające was systemy bezpieczeństwa. Przyjrzyjcie się kamerom w sklepach, w których robicie zakupy. (Czy zapobiegają przestępstwom, czy tylko powodują, że złodzieje przenoszą się do sąsiedniego sklepu?) Popatrzcie, jak funkcjonuje restauracja. (Jeśli płaci się po posiłku, dlaczego więcej ludzi nie wychodzi, nie regulując rachunku?) Zwróćcie uwagę na systemy bezpieczeństwa na lotniskach. (Jak można by wnieść broń na pokład samolotu?) Zaobserwujcie, co robi kasjer w banku. (Systemy zabezpieczeń bankowych mają być po to, żeby zarówno kasjer, jak i klient nie mogli niczego ukraść). Popatrzcie na mrowisko. (Owady bardzo dbają o bezpieczeństwo). Przeczytajcie konstytucję i zauważcie, w jaki sposób próbuje chronić ludzi przed rządem. Spójrzcie na światła drogowe i zamki w drzwiach, i wszystkie te systemy bezpieczeństwa w telewizji i w filmach. Zastanówcie się, jak działają, przed jakimi zagrożeniami chronią, a przed jakimi nie, jakie mają wady i jak można by je wykorzystać.

Poświęćcie temu trochę czasu, a zobaczycie, że zaczniecie inaczej postrzegać świat. Zaczniecie zauważać, że wiele z tych systemów bezpieczeństwa nie działa tak, jak powinno, i że większość działań na rzecz bezpieczeństwa narodowego to strata pieniędzy. Zaczniecie rozumieć, że prywatność to podstawa bezpieczeństwa, a nie jej przeciwieństwo. Przestaniecie się martwić o rzeczy, którymi zamartwiają się inni, i zaczniecie martwić się o to, o czym inni nawet nie myślą.

Czasem zauważycie w systemie bezpieczeństwa coś, nad czym nikt wcześniej się nie zastanawiał. I może znajdziecie nowy sposób na złamanie tego systemu.

Przecież phishing wynaleziono zaledwie kilka lat temu.

Często zdumiewa mnie, jak łatwo można złamać znane systemy bezpieczeństwa. Dzieje się tak z wielu powodów, ale najważniejszy to ten, że nie da się udowodnić, że coś jest bezpieczne. Możecie jedynie spróbować dany system złamać. Jeśli się wam to nie uda, wiecie, że to coś jest na tyle bezpieczne, że wy nie możecie się tam dostać. Ale co będzie, jeśli znajdzie się ktoś sprytniejszy od was? Każdy może stworzyć system bezpieczeństwa, który będzie na tyle mocny, że sam nie będzie w stanie go złamać.

Zastanówcie się nad tym przez chwilę, bo to wcale nie jest takie oczywiste. Nikt nie jest na tyle kompetentny, żeby sprawdzić własne programy zabezpieczające, bo wtedy jedna osoba o tych samych możliwościach musiałaby być jednocześnie programistą, jak i osobą sprawdzającą. Kontrolą bezpieczeństwa musi zająć się ktoś inny, bo system musi chronić nas przed rzeczami, na które nie wpadł jego twórca.

Oznacza to, że każdy z nas musi sprawdzać systemy zaprojektowane przez innych. Zaskakująco często ktoś jakiś łamie. Wyczyny Marcusa nie są naciągane; takie rzeczy dzieją się cały czas. Wejdźcie do sieci i poczytajcie o kluczach uderzeniowych lub o blokadach rowerowych Kryptonite otwieranych przy użyciu długopisu Bic; znajdziecie tam kilka naprawdę ciekawych historii o pozornie mocnych systemach bezpieczeństwa, które złamano za pomocą podstawowych technologii.

A jeśli już jakiś złamiecie, pamiętajcie, żeby opublikować to gdzieś w internecie.

Tajemnica i bezpieczeństwo to nie to samo, mimo że tak się wam może wydawać. Tylko kiepskie systemy bezpieczeństwa opierają się na tajemnicy; dobre systemy działają nawet wtedy, gdy wszelkie szczegóły są jawne.

A pisanie o słabych punktach tych systemów zmusza ich twórców do projektowania jeszcze lepszych rozwiązań, a z nas wszystkich czyni lepszych użytkowników tych systemów. Gdy kupujecie zapięcia rowerowe Kryptonite, które można otworzyć za pomocą długopisu Bic, to płacicie za kiepskie zabezpieczenie. Podobnie gdy grupka bystrych dzieciaków potrafi przechytrzyć antyterrorystyczne technologie DBW, to znaczy, że nie pomogą one w walce z prawdziwymi terrorystami.

Sprzedawanie prywatności w zamian za bezpieczeństwo jest dość głupie; wydawanie pieniędzy na niezbyt dobre zabezpieczenia jest jeszcze głupsze.

Lepiej więc zamknijcie książkę i idźcie na spacer. Świat jest pełen systemów bezpieczeństwa. Złamcie jakiś.


Bruce Schneier

www.schneier.com

Загрузка...