Максимальная Безопасность:

Руководство Хакера по Защите Вашего Internet Сайта и Сети

Предыдущая главаСледующая главаСодержание

1

Почему я Написал Эту Книгу?

Взлом это действие, которое генерируют интенсивный общественный интерес. Истории взломанных серверов и побеждённых Internet провайдеров появляются регулярно в национальных новостях. Следовательно, издатели соревнуются в поставке книг по этим темам. К их чести, издательское семейство не потерпело неудачу в этом решении. Книги по безопасности появляются на полках в постоянно увеличивающихся количествах. Однако, публика остаётся осторожной. Потребители распознают коммерцию, когда они видят это, и понятно подозрительны к книгам такого типа. Они нуждаются только в обзоре полок их местного книжного магазина, чтобы точно оценить ситуацию.

Книги по безопасности в Internet поверхностны (технология сетевого устройства защиты, кажется, доминирует в списке тем). В таких книгах, информация часто разреженна, ограничена узким диапазоном программ. Авторы типично включают полнотекстовое воспроизводство несвежих документов, которые всегда доступны в Сети. Это создаёт проблему, главным образом, потому что такие тексты непрактичны. Опытные читатели уже знают этих источниках, а неопытные плохо обслуживаются ими. Следовательно, потребители знают, что они могли бы сохранить свои деньги. Из-за этой тенденции, книги по безопасности в Internet продаются плохо в книжных магазинах Америки.

Другая причина, по которой такие книги продаются плохо это то, что публика ошибочно полагает, что, чтобы ломать, Вы должны сначала быть гением или гуру UNIX. Ни одно из этого неистинно, хотя по общему признанию, уверенное использование требует расширенного знания операционной системы. Однако, использование может теперь быть упрощено через утилиты, которые доступны для широкого диапазона платформ. Несмотря на доступность таких программ, однако, публика остаётся озадаченной взламыванием, и поэтому, сдержанной, чтобы тратить сорок долларов для книги по взлому.

Так, в начале, Sams.net погрузилась в довольно необычное путешествие в издании этой книги. The Sams.net imprint occupies a place of authority within the field. Better than two thirds of all information professionals I know have purchased at least one Sams.net product. For that reason, this book represented to them a special situation.

Взлом и безопасность в Internet являются взрывными темами. Есть чёткое различие между публикацией учебника по C++ и публикацией руководства по взлому. Книга типа этого представляет некоторую опасность, включая:

Если любая из этих опасностей осуществится, Sams.net будет подвергнута исследованию или возможно даже осуждению. И так, если всё это верно, почему Sams.net издала эту книгу?

Sams.net издала эту книгу (и я согласился написать её) потому что в ней реальная потребность. Я хотел бы объяснить эту потребность, потому что это вопрос некоторого спора внутри Internet сообщества. Много людей чувствуют, что эта потребность придумана продавцами программного обеспечения, специализирующимися на программах защиты. Эта обвинение, как читатель скоро поймёт, является необоснованным.

Сегодня тысячи учреждений, предпринимателей и просто людей взаимодействуют интерактивно. Это явление, которому дали дюжину различных названий, чаще всего упоминается как взрыв Internet. Этот взрыв решительно изменил состав Internet. Составом Internet я ссылаюсь к киберграфии Сети, или демографии киберпространства. Это качество используется, чтобы выразить разнообразную смесь пользователей (которые имеют различную степень опыта) и их операционных систем.

Десятилетие назад, большинство серверов поддерживалось персоналом с по крайней мере элементарными знаниями сетевой безопасности. Этот факт не предотвращал сбоев, конечно, но они происходили редко пропорционально числу потенциальных адресатов. Сегодня, население Internet во власти людей без прочного знания безопасности. Число жизнеспособных адресатов колеблется.

Точно так же отдельные пользователи не сознают, что их персональные компьютеры находятся в опасности проникновения. Люди через страны занимаются серфингом в Сети, используя операционные системы с сетевой структурой, забывая об опасностях, общих для их платформы. Чтобы быть прямолинейным, многие из американцев идут в сеть невооружёнными и неподготовленными.

Вы могли бы задаться вопросом, почему Sams издаёт книгу типа этой. В конце концов, не распространение ли такой информации вызывает (а не предотвращает) сбои компьютеров?

Ответ короток, да. Некоторые читатели будут использовать эту книгу для тёмных и непреднамеренных целей. Однако, эта деятельность не будет ослаблять сетевую безопасность. Она усилит её. Чтобы продемонстрировать почему, я хотел бы кратко исследовать две наиболее общих причины нарушений безопасности:

Неправильная Конфигурация Узла Жертвы

Основная причина нарушений безопасности это неправильная конфигурация узла жертвы. Большинство операционных систем отправляется в небезопасном состоянии. Существует два проявления этого явления, которое я классифицирую как активное и пассивное состояния ненадежности в отправленном программном обеспечении.

Активное Состояние

Активное состояние ненадежности в отправленном программном обеспечении прежде всего включает сетевые утилиты. Некоторые сетевые утилиты, когда допускается, создают серьёзный риск для безопасности. Много программных изделий отправляется с такими допускаемыми опциями. В результате риск остаётся, пока системный администратор не дезактивирует или должным образом не сконфигурирует рассматриваемую утилиту.

Хороший пример опций сетевой печати (возможность печати по Ethernet или Internet). Эти опции можно допустить при установке, оставляя систему небезопасной. Системного администратор (или пользователь) могут отключить эти утилиты. Однако, чтобы отключить их, администратор (или пользователь) должен сначала знать об их существовании.

Вы могли бы задаться вопросом, как пользователь мог не знать о таких утилитах. Ответ прост: Подумайте о вашем любимом текстовом процессоре. Как много Вы знаете о нём? Если Вы обычно пишете макросы в среде обработки текстов, Вы опытный пользователь, один из немногих. Напротив, большинство людей использует только основные функции текстовых процессоров: текст, таблицы, проверку правописания и т.д. Нет конечно ничего неправильно в этом подходе. Однако, большинство текстовых процессоров имеет большее количество расширенных возможностей, которые часто пропускаются случайными пользователями.

Например, сколько читателей, которые использовали DOS версию WordPerfect, знали, что она включала утилиту командной строки для копирования экрана? Она называлась Grab. Она захватывала экран в любой DOS программе. В то время такие функциональные возможности были неслыханны в текстовых процессорах. Программа Grab была чрезвычайно мощна, когда использовалась вместе с родственной утилитой по имени Convert, которая использовалась, чтобы преобразовывать другие форматы графических файлов в файлы *.wpg, формат, подходящий для импорта в документ WordPerfect. Обе утилиты вызывались из командной строки из каталога C:\WP. Ни одна не была доступен непосредственно изнутри среды WordPerfect. Так, несмотря на мощность этих двух утилит, они не были известны.

Точно так же пользователи могли бы знать немного о внутренней работе своей любимой операционной системы. Для большинства стоимость приобретения такого знания далеко превышает его значение. О, они подбирают лакомые кусочки за эти годы. Возможно они читают компьютерные периодические издания, которые показывают случайные советы и уловки. Или возможно они учатся, потому что это требуется в работе или по другой официальной позиции, где предлагается обширное обучение. Независимо от того, как они приобретают знание, почти каждый знает кое-что крутое об их операционной системы. (Пример: пасхальное яйцо группы программистов Microsoft в Windows 95.)

Пасхальное яйцо группы программистов Microsoft: Пасхальное яйцо группы программистов Microsoft это программа, скрытая в основе Windows 95. Когда Вы вводите правильные сочетания клавиш и предпринимаете правильные действия, эта программа показывает имена каждого программиста, ответственного за Windows 95. Чтобы просмотреть это пасхальное яйцо, выполните следующие шаги:
1. Щёлкните правой кнопкой мыши Рабочий Стол и выберите Создать|Папку

2. Назовите эту папку and now the moment you've all been waiting for.

3. Щёлкните правой кнопкой мыши на папке и выберите Переименовать.

4. Переименуйте папку we proudly present for your viewing pleasure.

5. Щёлкните правой кнопкой мыши на папке и выберите Переименовать.

5. Переименуйте папку The Microsoft Windows 95 Product Team!.

6. Откройте папку, дважды щёлкнув её.

Предшествующие шаги приведут к появлению мультимедиа представления о людях, которые написали Windows 95. (Слова предостережения: представление продолжается весьма долго.)

К сожалению, не отставать от времён трудно. Программная промышленность это динамическая среда, и пользователи вообще на два года позади её развития. Эта задержка в ассимиляции новой технологии только способствует проблеме безопасности. Когда группа разработчиков операционной системы существенно изменяет своё изделие, большой класс пользователей внезапно начинают знать меньше. Microsoft Windows 95 хороший пример этого явления. Новая поддержка была добавлена для многих различных протоколов: протоколы, с которыми средний пользователь Windows мог бы не быть знаком. Так, возможно (и вероятно) что пользователи могли бы не знавать о сетевых утилитах для работы с их операционными системами.

Это особенно так с операционными системами UNIX, но по немного другой причине. UNIX большая и в сущности сложная система. Сравнение её с другими операционными системами может быть поучительно. DOS содержит возможно 30 обычно используемых команд. Напротив, готовый дистрибутив UNIX (без рассмотрения оконных систем) поддерживает несколько сотен команд. Далее, каждая команда имеет один или большее количество опций командной строки, увеличивая сложность каждой утилиты или программы.

В любом случае, в активном состоянии ненадежности в отправленном программном обеспечении, утилиты допускаются, и этот факт неизвестен пользователю. Эти утилиты, в то время как допускается, могут способствовать лазейкам в секретности различной величины. Когда машина, конфигурированная этим способом связана с Сетью, это ожидание того, что произойдёт взлом.

Проблемы активного состояния легко исправимы. Решение состоит в том, чтобы отключить (или должным образом сконфигурировать) утилиту или службу. Типичные примеры проблем активного состояния включают:

Из перечисленных примеров, пароли по умолчанию наиболее общие. Наиболее многопользовательские операционные системы на рынке имеют по крайней мере один пароль по умолчанию (или учётную запись не требующую никакого пароля вообще).

Пассивное Состояние

Пассивное состояние вовлекает операционные системы со встроенными утилитами безопасности. Эти утилиты могут быть весьма эффективными когда допускаются, но оставаться ничего не стоящими, пока системный администратор не активизирует их. В пассивном состоянии, эти утилиты никогда не активизируются, обычно, потому что пользователь не сознаёт, что они существуют. Снова, источник проблемы тот же самый: пользователь или системный администратор испытывают недостаток адекватного знания системы.

Чтобы понять пассивное состояние, рассмотрим утилиты регистрации. Многие операционные системы с сетевой структурой обеспечивают хорошие утилиты регистрации. Они включают краеугольный камень любого исследования. Часто, эти утилиты не установлены в активный режим при инсталляции. (Продавцы могут оставлять этот выбор системному администратору по разнообразным причинам. Например, некоторые утилиты регистрации потребляют пространство на локальных дисках, генерируя большие текстовые файлы или файлы баз данных. Машины с ограниченной памятью это бедные кандидаты на проведение тяжёлой регистрации.) Поскольку продавцы не могут делать предположения об аппаратной конфигурации машины потребителя, выбор регистрации почти всегда оставлен конечному пользователю.

Другие ситуации, которые приводят к ненадежности пассивного состояния, могут возникать: Ситуации, где знание пользователя (или недостаток их) не проблема. Например, некоторые утилиты безопасности просто непрактичны. Рассмотрим программы безопасности, которые управляют привилегиями доступа к файлу (типа тех, которые ограничивают доступ пользователя в зависимости от уровня безопасности, времени дня и т.д.). Возможно ваша маленькая сеть не может работать с текучестью и эффективностью, если расширенные ограничения доступа допускаются. Если так, возможно реализовать другие процедуры безопасности для компенсации. В сущности, эти проблемы основание теории безопасности: Вы должны сбалансировать риск против практических мер безопасности, основанных на чувствительности ваших сетевых данных.

Обратите внимание, что и активное и пассивное состояния ненадежности в программном обеспечении следуют из недостатка знаний потребителя (не от действия любого продавца или оплошности). Это проблема образования, и образование - тема, которая повторяется повсюду в этой книге.

ПРИМЕЧАНИЕ: Проблемы образования это вопросы полностью в пределах вашего управления. То есть Вы можете устранить эти проблемы обеспечив себя или ваших партнёров адекватным образованием. (Другой путь, взломщики могут извлекать пользу и наиболее эффективно нападать на сети, где такого знания недостаёт.) Я хочу исследовать вопросы, которые могли бы быть вне пределов управления конечного пользователя.

Системные Недостатки или Неточность Ответа Продавца

Системные недостатки или неточность ответа продавца это вопросы вне управления конечным пользователем. Хотя продавцы могли бы обсудить это, имеется факт: Эти факторы - второй наиболее общий источник проблем безопасности. Любой, кто подпишется на почтовый список ошибки, узнает это. Каждый день ошибки или слабости программирования находятся в сетевом программном обеспечении. Каждый день они регистрируются в Internet в консультациях или предупреждениях. К сожалению, не все пользователи читают такие консультации.

Системные недостатки не должны классифицироваться во многие подкатегории. Достаточно говорить, что системный недостаток это любой элемент программы, который является причиной того, что программа:

Я обеспокоен двумя типами системных недостатков. Первый, который я назвал, чистый недостаток, является недостатком безопасности, находящийся в пределах структуры безопасности непосредственно. Этот недостаток свойственен связанной с защитой программе. Эксплуатируя его, взломщик получает несанкционированный доступ к системе или её данным.

Недостаток уровня безопасных разъёмов Netscape: В январе 1996 два студента в отделе Информатики Калифорнийского Университета, Berkeley выявили серьёзный недостаток в схеме кодирования Netscape Navigator. Их результаты были изданы в журнале Dr. Dobb. Статья была названа Randomness and the Netscape Browser Ian Goldberg и David Wagner. В ней Goldberg и Wagner объясняют, что реализация криптографического протокола Netscape по имени Уровень Безопасных Разъёмов (SSL) была в сущности испорчена. Этот недостаток позволил бы безопасную связь, перехваченную на WWW быть взломанной. Это превосходный пример чистого недостатка. (Здесь должно быть отмечено, что недостаток в SSL реализации Netscape был первоначально обнаружен индивидуумом во Франции. Однако, Goldberg и Wagner были первые личности в Соединённых Штатах, которые провели детальный анализ этого.)

Наоборот, имеются вторичные недостатки. Вторичный недостаток это любой недостаток, возникающий в программе полностью несвязанный с безопасностью, и открывает лазейку в секретности в другом месте системы. Другими словами, программистов обвинили в создании небезопасной функциональной программы. Никто (во время разработки программы) не находил причин для беспокойства, и при этом они не воображали, что такой недостаток может возникнуть.

Вторичные недостатки гораздо более общие чем чистые недостатки, особенно на платформах, которые традиционно не были ориентированы на безопасность. Пример вторичного недостатка безопасности - любой недостаток в программе, которая требует специальные привилегии доступа, чтобы завершить свои задачи (другими словами, программа, которая должна работать с корневыми привилегиями или привилегиями суперпользователя). Если эта программа будет атакована, взломщик может работать через эту программу, чтобы получить специальный, привилегированный доступ к файлам. Исторически, утилиты принтера были проблемы в этой области. (Например, в конце 1996 SGI решила, что корневые привилегии могут быть получены через утилиту Netprint в её операционное системе IRIX.)

Или чистые или вторичные системные недостатки особенно опасны для Internet сообщества, потому что они часто появляются в программах, которые используются ежедневном, типа FTP или Telnet. Эти критичные к задаче приложения формируют самую основу Internet и не могут быть внезапно забыты, даже если недостаток безопасности существует них.

Чтобы понять эту концепцию, вообразите, что обнаруживали, что Microsoft Word полностью небезопасен. Люди прекратили бы использовать его? Конечно нет. Миллионы офисов во всем мире полагаются на Word. Однако есть большое различие между серьёзным недостатком безопасности в Microsoft Word и серьёзным недостатком безопасности в NCSA HTTPD, который является популярным пакетом Web сервера. Серьёзный недостаток в HTTPD подверг бы сотни тысяч серверов (и поэтому, миллионы учётных записей) опасности. Из-за размера Internet и услуг, которые он предлагает, недостатки, свойственные его структуре безопасности имеют международное значение.

Так, всякий раз, когда недостаток обнаруживается в sendmail, FTP, Gopher, HTTP или других необходимых элементах Internet, программисты разрабатывают заплаты (маленькие программы или исходный текст), чтобы временно решить проблему. Эти заплаты распределяются по миру в целом, наряду с детальными консультациями. Это подводит нас к ответу продавца.

Ответ Продавца

Ответ продавца традиционно был хорош, но это не должно дать Вам ложный смысл безопасности. Продавцы находятся в бизнесе по продаже программного обеспечения. Для них нет ничего хорошего в том, что обнаруживаются дырки в системе. В лучшем случае лазейка в секретности представляет потерю дохода или престижа. Соответственно, продавцы быстро дают гарантии, чтобы смягчить опасения пользователей, но фактическое исправление иногда может быть долго не сделана.

Причины для этого могут быть сложны, и часто продавец не виноват. Иногда, немедленное исправление не выполнимо по следующим причинам:

В этих образцах, заплата (или другое решение) может обеспечить временную помощь. Однако, для того, чтобы система работала эффективно, все пользователи должны знать, что заплата доступна. Уведомление людей, казалось бы, является ответственностью продавца и, было бы справедливо, если бы продавцы посылали такие заплаты группам безопасности и спискам адресатов. Однако, продавцы не всегда предпринимают дополнительные шаги, чтобы информировать людей. Во многих случаях, это деньги.

Ещё раз, эта проблема упирается в знания. Пользователи, которые имеют хорошее знание своих сетевых утилит, дыр и заплат, хорошо подготовлены. Пользователи без такого знания имеют тенденцию быть жертвами. Это основная причина, почему я написал эту книга. Образование по безопасности лучшая политика.

Почему Образование в Безопасности Важно

Традиционно люди, занимающиеся безопасностью, попытались затенять информацию о безопасности от среднего пользователя. Также, специалисты по безопасности имеют престиж в вычислительном мире. Они расцениваются как высокие священники тайного и неясного знания, которое является недоступным обычным людям. Было время, когда этот подход имел смысл. В конце концов, пользователям должна предоставляться такая информация только на при необходимости. Однако, средний американец теперь достиг состояния необходимости.

И так, я излагаю вопрос снова: Кто должен быть образован по безопасности в Internet? Ответ: Все мы. Я надеюсь, что эта книга, которая является и руководством взломщика и рекомендацией по безопасности в Internet, заставит выйти на передний план эту проблему, которая будет обсуждена. Кроме того, я написал эту книгу, чтобы усилить понимание безопасности среди широкой публики. Эта книга начинается основной информацией и продолжается информацией более сложностью. Для абсолютного новичка, эта книга подходит лучше всего. Те читатели, которые знакомы с безопасностью, могут сразу перейти к более поздним главам.

Ответ на вопрос относительно важности образования и безопасности в Internet зависит от вашей места в жизни. Если Вы торговый или деловой человек, ответ прямой: Чтобы вести торговлю в Сети, Вы должны быть уверены в некотором разумном уровне безопасности данных. Эта причина также относится к потребителями. Если взломщики способны к захвату сетевого трафика, содержащего важные финансовые данные, зачем делать покупки по Internet? И конечно, между позициями потребителя и торговца есть другой класс индивидуальной заинтересованности в безопасности данных: продавец программного обеспечения, который поставляет инструментальные средства, чтобы облегчить торговлю. Эти стороны (и их причины в заинтересованности безопасностью) очевидны. Однако, существуют некоторые не столь очевидные причины.

Секретность, одна из таких причин. Internet представляет первое реальное доказательство того, что Orwellian общество может быть установлено. Каждый пользователь должен знать, что незашифрованная связь по Internet полностью небезопасна. Аналогично, каждый пользователь должен знать, что правительственные агентства, не взломщики, представляют самую большую угрозу. Хотя Internet это замечательный ресурс для исследования или отдыха, это не ваш друг (по крайней мере, не, если Вы имеете что скрывать).

Существует большее количество других конкретных причин для продвижения образование в безопасности. Я буду сосредотачивать на них внимание. Internet становится все более популярной. Каждый день фирмы разработчики представляют новые творческие способы использования Сети. Вероятно, в течение пяти лет, Internet станет важной и функциональной частью нашей жизни.

Корпоративный Сектор

На момент, отложим драматические сценарии типа корпоративного шпионажа. Эти темы захватывающи для обсуждения, но фактически они редки. Вместо этого, я хотел бы сконцентрироваться на очень реальной проблеме: стоимость.

Средняя корпоративная база данных разработана с использованием частного программного обеспечения. Лицензионные платы за эти большие пакеты базы данных может составлять десятки тысяч долларов. Затраты на эти базы данных включают плату за программирование, обслуживание и модернизацию. Короче говоря, разработка и длительное использование большой, корпоративной базы данных дорогостоящая и трудоёмкая работа.

Когда фирма поддерживает такую базу данных локальной, без подключения её к Internet, безопасность ограничивается предприятием. Чтобы быть справедливым, администратор должен понимать основы сетевой безопасности, чтобы предотвратить стремление хакеров в том или ином отделе от получения несанкционированного доступа к данным. Однако, число потенциальных преступников ограничено, и доступ обычно ограничивается несколькими, известными протоколы.

Теперь возьмём эту же базу данных и подключим её к Сети. Внезапно картина резко меняется. Во-первых, число потенциальных преступников неизвестно и неограниченно. Нападение может произойти отовсюду, даже из заграницы. Кроме того, доступ больше не ограничен одним или двумя протоколами.

Самая простая операция соединения этой базы данных с Internet открывает множество направлений доступа. Например, архитектура доступа к базе данных могла бы требовать использования одного или более иностранных языков, чтобы получить данные из базы данных на HTML страницах. Я видел сценарии, которые были невероятно сложны. В одном сценарии я наблюдал процесс с шестью частями. В момент, когда пользователь нажимал кнопку Отослать, предпринимался ряд операций:

1. Переменные поиска терминов, представленные пользователем, извлекались и анализировались Perl сценарием.

2. Perl сценарий передавал эти переменные промежуточной программе, предназначенной для связи с помощью интерфейса с частным пакетом базы данных.

3. Частный пакет базы данных возвращал результат, передавая его Perl сценарию, который форматировал данные в HTML.

Любой, кто занимается безопасностью в Internet может видеть, что этот сценарий опасен. Каждый этап операции имеет потенциальную лазейка в секретности. По этой причине, разработка методов защиты базы данных теперь является горячей темой во многих кругах.

Административный персонал иногда поспешно прекращает (или ограничивает) финансирование безопасности в своей корпорации. Они считают эти затраты ненужными, в значительной степени, потому что они не понимают страшные последствия взлома. Действительность такова: Один или более талантливых взломщиков могут за минуту или часы уничтожить несколько лет работы по вводу данных.

Прежде чем бизнес в Internet может проводиться надёжно, должен быть достигнут некоторый приемлемый уровень безопасности. Для компаний, образование это экономный способ достижения по крайней мере минимальной безопасности. Все, что они потратят сейчас, может сохранить во много раз больше потом.

Правительство

Слухи и здравый смысл говорят, что правительственные агентства знают кое-что большее, кое-что специальное о компьютерной безопасности. К сожалению, это не так (за исключением Агентства Национальной Безопасности). Как Вы узнаете, правительственные агентства обычно терпят неудачу в поисках безопасности.

В следующих главах я буду исследовать различные отчёты (включая очень недавние), которые продемонстрируют слабую безопасность, поддерживаемую Американскими правительственными серверами. Важность данных, доступных хакерам, изумляет.

Это оружие правительства (и различных его учреждений) содержат некоторые из наиболее персональных данных об Американцах. Более важно, что эти люди хранят важные данные, связанные с национальной безопасностью. Как минимум, эта информация должна быть защищена.

Операционные Системы

Существует большая конкуренция в Internet между пользователями различных операционных систем. Позвольте мне прояснить одну вещь: Не имеет значения, которую операционную система Вы используете. Если это не безопасная операционная система (то есть та, в которой основная цель проектирования не сетевая безопасность), будут всегда иметься лазейки в секретности, очевидные или нет. Правда, исследования показали, что до настоящего времени меньшее количество дыр было найдено в Mac- и PC-основанных операционных системах (в противоположность UNIX, например), по крайней мере по отношению к Internet. Однако, такие исследования вероятно преждевременны и ненадёжны.

Открытые Системы

UNIX это открытая система. Её исходный код доступен публике для изучения. Фактически, многие из общих программ UNIX поступают только в форме исходного кода. Другие включают двоичные файлы, но всё ещё содержат исходный код. (Этот пример иллюстрирует пакет Gopher от Университета Штата Миннесота.) Из-за этого, очень много известно об операционной системы UNIX и её недостатках безопасности. Хакеры могут установить Linux на своих компьютерах и ломать посинения.

Закрытые и Частные Системы

Наоборот, исходный код частных и закрытых операционных систем недоступен. Изготовители такого программного обеспечения очень сильно защищают исходные тексты, требуя, чтобы они было торговым секретом. Поскольку эти частные операционные системы стремятся в Сеть, их недостатки безопасности становятся более очевидными. Чтобы быть откровенным, этот процесс зависит в значительной степени от сообщества взломщиков. Поскольку взломщики испытывают эти операционные системы (и их реализацию TCP/IP), интересные результаты несомненно появятся. Но, это моя точка зрения.

Мы больше не живём в мире, управляемом исключительно одной операционной системой. Поскольку Internet растёт в размере, все операционные системы, известные человечеству, станут неотъемлемыми частями сети. Поэтому, конкуренция операционных систем должна быть заменена более разумным подходом. Сетевая безопасность теперь зависит от наличия хорошего, общего знания безопасности. (Или, с другой стороны, успешное взламывание зависит от знания всех платформ, не только какой либо одной.) Так что я прошу, чтобы мои читатели временно отложили свои пристрастия. По крайней мере с точки зрения Internet, безопасность каждого из нас зависит от нас всех, а не от какой ни будь тривиальной инструкции.

Как Эта Книга Затронет Internet Сообщество?

Этот раздел начинается с короткого рассказа перед сном. Он называется The Loneliness of the Long-Distance Net Surfer.

Информационная Супермагистраль это опасное место. О, основная магистраль не так плоха. Prodigy, America Online, Microsoft Network ... все это довольно чистые пути. Они красиво выложены, с красочными знаками и полезными подсказками о том, куда идти и что делать. Но стоит выбрать неправильный выход, и Вы оказываетесь на другом пути: заваленном сожжёнными машинами, разбросанным мусаром и надписями на стенах. Вы видите дым, поднимающийся от костров по обеим сторонам дороги. Если прислушаетесь, Вы можете услышать отдалённое эхо подземки, смешанное со странной, экзотической музыкой.

Вы останавливаетесь и опускаете окно. Безумный человек ковыляет по аллее, его разодранная одежда развевается на ветру. Он наклоняется к вашему автомобилю, его сезонные ботинки скрипят по разбитому стеклу и бетону. Бормоча он приближается к вашему окну. Он наклоняется и Вы ощущаете его вонючее дыхание. Он улыбается, во рту отсутствуют два передних зуба, и он говорит: "Эй, приятель ... дай огоньку?" Вы достаёте зажигалку, а он достаёт нож. Когда он разрезает ваше горло, его сообщники появляется из тени. Они уезжают на вашем автомобиле, пока Вы теряете сознание. Одни ужасаются происшедшему. Другие осуждают вас. Он должен был остаться на главной дороге! Разве люди в пабе не говорили ему об этом? Неудачник.

Этот отрывок преувеличение, пародия на истории ужаса, часто появляющиеся в Сети. Чаще всего, они публикуются коммерческими организациями или людьми, стремящимися извлечь выгоду из ваших опасений и ограниченного понимания Internet. Эти истории неизменно сопровождаются подтверждениями для той или иной программы. Защитите ваш бизнес! Оградите себя сейчас! Это пример явления, которое я называю как Internet колдовство. Практикующим это секретное искусство, средний пользователь представляется как довольно легковерный малый. Сосунок.

Если эта книга не выполняет ничего другого, я надеюсь, что она сыграет небольшую роль в уничтожении Internet колдовства. Она обеспечит достаточно образования, чтобы оградить пользователя (или системного администратора) от недобросовестных сил Сети. Такие силы плохо отзываются о безопасности в Internet.

Я сомневаюсь в том, что эта книга может произвести другие эффекты на Internet сообществе. Я подозреваю, что эти эффекты будут незначительными или даже незаметными. Некоторые из этих эффектов могли бы по общему признанию быть отрицательными, и за это я приношу извинения. Я думаю, что Глава 9, "Сканеры", где я делаю большинство известных сканеров доступными и понятыми любому, вероятно закончится массой сетевых нападений (вероятно инициализированными молодёжью, только начинающей своё образование во взломе). Однако, я надеюсь, что сетевые администраторы также применят эти утилиты против собственных сетей. В сущности, я попробовал обеспечивать путь к знаниям, через который любой пользователь может стать грамотным в безопасности. Я полагаю, что широкое распространение материала по безопасности приведёт к увеличению числа хакеров (и возможно взломщиков).

Итог

Я надеюсь, что эта глава ясно сформулировала причины, по которым я написал эту книгу:

Существует также другая, менее значимая причина: я хотел сузить разрыв между радикальной и консервативной информацией о безопасности в Internet. Существенно, что много ценных вкладов в безопасность Internet исходили из периферии (сектор, редко признаваемый за его работу). Чтобы обеспечить Internet сообщество ценной книгой, эти элементы должны быть включены.

Неприятность, если Вы изучаете документы по безопасности с периферии, они очень революционны. Этот стиль, который является однозначно американским, часто очень кусач для правильных людей, занимающихся безопасностью. Аналогично, серьёзные документы по безопасности могут быть душными, академическими и откровенно скучными. Я хотел сделать книгу одинаково приятной читателям, относящимся к любому лагерю. Я думаю, что я добился этого.

Предыдущая главаСледующая главаСодержание


Macmillan Computer Publishing USA

Macmillan Computer Publishing.


Все мессаги сюда:yanich@inbox.ru
Hosted by uCoz