WWW.KNIGI.KONFLIB.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

 
<< HOME
Научная библиотека
CONTACTS

Pages:     || 2 | 3 | 4 | 5 |   ...   | 88 |

«Wiley Computer Publishing John Wiley & Sons, Inc. New York • Chichester • Weinheim • Brisbane • Singapore • Toronto Б. ШНАЙЕР СЕКРЕТЫ И ЛОЖЬ БЕЗОПАСНОСТЬ ДАННЫХ В ...»

-- [ Страница 1 ] --

SECRETS AND LIES

DIGITAL SECURITY

IN A NETWORKED WORLD

Bruce Schneier

Wiley Computer Publishing

John Wiley & Sons, Inc.

New York • Chichester • Weinheim • Brisbane • Singapore • Toronto

Б. ШНАЙЕР

СЕКРЕТЫ

И ЛОЖЬ

БЕЗОПАСНОСТЬ ДАННЫХ

В ЦИФРОВОМ МИРЕ

Москва • Санкт-Петербург • Нижний Новгород • Воронеж Ростов-на-Дону • Екатеринбург • Самара Киев • Харьков • Минск 2003 ББК 32.973.23-07 УДК 681.322 Ш76 Ш76 Секреты и ложь. Безопасность данных в цифровом мире / Б. Шнайер. — СПб.: Питер, 2003. — 368 с.: ил. — (Серия «Классика computer science»).

ISBN 5-318-00193- В этой книге Брюс Шнайер — автор нескольких бестселлеров и признанный специалист в области безопасности и защиты информации, опираясь на собственный опыт, разрушает заблуждения многих, уверенных в конфиденциальности и неприкосновенности информации. Он разъясняет читателям, почему так сложно предотвратить доступ третьих лиц к личной цифровой информации, что нужно знать, чтобы обеспечить ее защиту, сколько средств следует выделять на обеспечение корпоративной безопасности и многое, многое другое.

ББК 32.973.23- УДК 681. Информация, содержащаяся в данной книге, получена из источников, рассматриваемых издательством как надежные. Тем не менее, имея в виду возможные человеческие или технические ошибки, издательство не может гарантировать абсолютную точность и полноту приводимых сведений и не несет ответственности за возможные ошибки, связанные с использованием книги.

© 2 0 0 0 by Bruce Schneier ISBN 0-471-25311-1 (англ.) © Перевод на русский язык ЗАО Издательский дом «Питер», ISBN 5-318-00193-9 © Издание на русском языке, оформление, ЗАО Издательский дом «Питер», 2 0 Краткое содержание Предисловие Глава 1. Введение Часть I. Ландшафт Глава 2. Опасности цифрового мира Глава 3. Атаки Глава 4. Противники Глава 5. Потребность в секретности Часть II. Технологии Глава 6. Криптография Глава 7. Криптография в контексте 8. Компьютерная безопасность Глава 9. Идентификация и аутентификация Глава 10. Безопасность компьютеров в сети Глава 1 1. Сетевая безопасность Глава 12. Сетевые защиты Глава 13. Надежность программного обеспечения Глава 14. Аппаратные средства безопасности Глава 15. Сертификаты и удостоверения Глава 16. Уловки безопасности Глава 17. Человеческий фактор Глава Часть III. Стратегии Глава 18. Уязвимости и их ландшафт Глава 19. Моделирование угроз и оценки риска Глава 2 0. Политика безопасности и меры противодействия Глава 2 1. Схемы нападений Глава 2 2. Испытание и верификация программных продуктов Глава 23. Будущее программных продуктов Глава 24. Процессы безопасности Содержание Часть I. Ландшафт Распространение технических приемов Кража интеллектуальной собственности Широкомасштабное электронное наблюдение Атаки, приводящие к отказам в обслуживании Часть II. Технологии Ядра безопасности и надежная вычислительная база 8 Содержание Глава 10. Безопасность компьютеров в сети Распределенные нападения типа «отказ в обслуживании» Глава 13. Надежность программного обеспечения..... Глава 14. Аппаратные средства безопасности Часть III. Стратегии Глава 19. Моделирование угроз и оценки риска Глава 2 0. Политика безопасности и меры Доверяемое клиенту программное обеспечение Компьютеризированные лотерейные терминалы 10 Содержание Дерево атак для чтения сообщения электронной почты.... Глава 2 2. Испытание и верификация программных Выявление недостатков защиты продуктов при использовании Сложность программного обеспечения и безопасность Предисловие Я написал эту книгу во многом для того, чтобы исправить собственную ошибку.

Семь лет назад мною была написана книга «Прикладная криптография» («Ap¬ plied Cryptography»). В ней я создал математическую утопию — алгоритмы, тыся¬ челетиями хранящие ваши глубочайшие секреты, протоколы передачи данных, обеспечивающие воистину фантастические возможности: неконтролируемые из¬ вне финансовые операции, необнаружимую аутентификацию, анонимную оплату.

И все это — незаметно и надежно. В моем видении криптография была великим технологическим уравнителем: с ее помощью каждому дешевому (и дешевеюще¬ му с каждым годом) компьютеру могла быть обеспечена такая же безопасность, как и компьютерам всемогущего правительства. Во втором издании той книги я зашел так далеко, что написал: «Недостаточно защищать себя с помощью закона;

мы нуждаемся и в том, чтобы защитить себя с помощью математики».

Все это — неправда. Криптография не может ничего подобного. И не потому, что она стала хуже с 1994 года или написанное мною тогда перестало быть правдой сегодня, но оттого, что криптография существует не в вакууме.

Криптография — это раздел математики и, как и прочие ее разделы, связана с числами, уравнениями и логикой. Безопасность — реальная, ощутимая безопас¬ ность, столь необходимая нам с вами, — связана с людьми: с уровнем их знаний, их взаимоотношениями и с тем, как они управляются с машинами. Информационная безопасность связана с компьютерами — сложными, нестабильными, несовершен¬ ными компьютерами.

Математика абсолютна; окружающий мир субъективен. Математика совершен¬ на; компьютеры могут ошибаться. Математика логична; люди, как и компьютеры, ошибаются, они своевольны и едва ли предсказуемы.



Ошибка «Прикладной криптографии» была в том, что я рассуждал обо всем независимо от контекста. Я говорил о криптографии так, как будто она и есть Ответ™. Я был потрясающе наивен.

Результат же был вовсе плох. Читатели поверили, что криптография — род не¬ коей магической пыли, которая покроет их программное обеспечение и сделает его неуязвимым. И они произносили магические заклинания вроде «128-битовый ключ» или «инфраструктура открытого ключа». Как-то однажды коллеги поведа¬ ли мне, что мир наполнился плохими системами безопасности, сконструирован¬ ными людьми, прочитавшими «Прикладную криптографию».

С момента написания той книги я занимался тем, что давал консультации по криптографии: по всем вопросам, связанным с разработкой и анализом систем безопасности. К своему несказанному удивлению, я обнаружил, что слабые места в системах безопасности отнюдь не определяются недостатками математических моделей. Они были связаны с аппаратурой, программами, сетями и людьми. Пре¬ 12 Предисловие красные математические ходы становились никчемными из-за небрежного про¬ граммирования, гнусной операционной системы или просто выбора кем-то плохо¬ го пароля.

В поисках слабины я научился смотреть шире, рассматривая криптографию как часть системы. Я начал повторять пару сентенций, которые красной нитью прохо¬ дят через всю эту книгу: «Безопасность — это цепь: где тонко, там и рвется» и «Бе¬ зопасность — это процесс, а не продукт».

Любая реальная система — запутанная серия взаимодействий. Защита должна распространяться на все компоненты и соединения этой системы. И в этой книге я старался показать, что в современных системах настолько много компонентов и связей — некоторые из них неизвестны даже создателям, а тем более пользовате¬ лям, — что угроза для безопасности всегда остается. Ни одна система не совершен¬ на; ни одна технология не есть Ответ™.

Сказанное очевидно каждому, кто знаком с проблемами безопасности на прак¬ тике. В реальном мире за словом «безопасность» скрывается ряд процессов. Это не только упреждающие мероприятия, но и обнаружение вторжения, его пресече¬ ние и целая судебная система, позволяющая выследить виновного и преследовать его по суду. Безопасность — не продукт, она сама является процессом. И если мы должны обеспечить безопасность нашей вычислительной системы, нам необходи¬ мо начать разработку этого процесса.

Несколько лет назад я слышал цитату, которую слегка изменил: «Если вы ду¬ маете, что технология может решить проблемы безопасности, то вы не понимаете ни проблем безопасности, ни технологии».

Эта книга о проблемах безопасности, о технологических ограничениях и о по¬ иске решения.

Как читать эту книгу Читайте эту книгу по порядку, от начала до конца.

И это действительно необходимо. Во многих технических книгах авторы сколь¬ зят по поверхности, лишь эпизодически залезая поглубже; чаще всего они следу¬ ют структуре справочника. Эта книга не такова. В ней прослеживается четкая ли¬ ния: это повествование, рассказ. И подобно любому хорошему рассказу, мало толку читать ее беспорядочно. Главы основываются одна на другой, и вы сможете вку¬ сить все радости окончательной победы, только пройдя весь путь до конца.

Более того, я хотел бы, чтобы вы прочли книгу один, а потом еще и второй раз.

Эта книга доказывает, что для понимания безопасности системы необходимо рассматривать ее целиком, а не раскладывать на отдельные технологии. Безопас¬ ность сама по себе — взаимосвязанная система, и это означает, что сначала нужно приобрести некоторые знания по всем имеющим к ней отношение вопросам, а за¬ тем уже углубляться в тот или иной предмет.

Но два прочтения... Возможно, я хочу слишком многого. Забудьте об этом.

Книга состоит из трех частей:

• часть I «Ландшафт» дает общий вид картины: кто такие взломщики, чего они хотят и что нужно делать, чтобы предотвратить угрозу;

• часть II «Технологии» в основном описывает различные технологии безопас¬ ности и их ограничения;

• часть III «Стратегии» в соответствии с окружающим ландшафтом и ограни¬ чениями технологий определяет, что же мы теперь должны делать.

Я думаю, безопасность информационных систем — самая потрясающая вещь, которой можно заниматься в наши дни, и книга отражает это мое ощущение. Это серьезно, но и весело — несомненно. Читайте и получайте удовольствие.

Благодарности Очень многие люди читали эту книгу на разных стадиях ее подготовки. Я хотел бы поблагодарить тех, кто читал наиболее ранний вариант этой книги: Стива Басса, Сьюзен Гринспан, Криса Холла, Джона Келси и Мадж. Их советы помогли мне окон¬ чательно определить как содержание, так и стиль изложения. Мне хотелось бы так¬ же выразить благодарность Бет Фридман за ее помощь в основательном редактиро¬ вании книги, когда она была написана еще лишь наполовину, и редактировании других ее частей, а также за помощь в руководстве работой редактора и корректора, Карен Купер за помощь в корректуре и Рафаилу Картеру за помощь в редактирова¬ нии, когда работа над книгой уже близилась к концу. Ценные замечания при чтении книги или ее частей сделали: Микеланджело, Кен Айер, Стив Басс, Дэвид ДайерБеннетт, Эд Беннетт, Рассел Бранд, Карен Купер, Дэвид Коуен, Уолта Куртис, До¬ роти Деннинг, Карл Эллисон, Эндрю Фернандес, Гордон Форс, Эми Форсайт, Дин Гэлон, Дрю Гросс, Грегори Гуерин, Питер Гутманн, Марк Харди, Дейв Инат, Крис Джонстон, Джеймс Джораш, Ариен Ленстра, Стюарт Мак Клур, Гэри Мак Гроу, Дуг Меррилл, Джефф Мосс, Симона Несс, Артимадж Нельсон, Питер Ньюман, Эндрю Одлизко, Дуг Прайс, Джеймс Риордан, Бернард Руссели, Том Роули, Эви Рубин, Риан Рассел, Адам Шостак, Симон Сингх, Джим Уолнер и Элизабет Цвикки. Бла¬ годаря этим людям книга стала более завершенной, точной и интересной. Все недо¬ статки, пропущенные ошибки и чрезмерное многословие остаются на совести автора.

От издательства Ваши замечания, предложения и вопросы отправляйте по адресу электронной по¬ чты comp@piter.com (издательство «Питер», компьютерная редакция).

Мы будем рады узнать ваше мнение!

Все исходные тексты, приведенные в книге, вы можете найти по адресу http:// www.piter.com/download.

Подробную информацию о наших книгах вы найдете на веб-сайте издательства http://www.piter.com.



Pages:     || 2 | 3 | 4 | 5 |   ...   | 88 |
 








 
© 2013 www.knigi.konflib.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.