Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире

Но это не ситуация «все или ничего». Раньше, если уж Ева умела подслушивать, то она могла бы подслушать всех. А если бы у нее не было такой возможности, то ей не удалось бы подслушать никого. Сегодня все иначе. Можно украсть деньги, но не слишком много. Пират-одиночка может сделать несколько копий DVD, но не десятки тысяч. Нападающий может проникнуть в сеть и поковыряться в ней минут десять, после чего он будет обнаружен и выдворен.

Реальный мир полон опасностей. Это не значит, что их нужно избегать, невозможно делать деньги, ничем не рискуя. В выигрыше оказывается не та компания, которая лучше всех отводит угрозы, а та, которая лучше всех управляет рисками. (Вспомните систему кредитных карт.)

В Counterpane Internet Security мы считаем, что одни только технические средства не могут защитить от нападений, осуществляемых человеком, поэтому основная наша деятельность заключается в предоставлении услуг квалифицированных специалистов по безопасности. Мы собираем информацию с разных устройств в сетях клиентов и тщательно выискиваем следы нападений. Все сколько-нибудь подозрительное исследуют наши аналитики, которые знают все о нападениях, могут определить, действительно ли происходит нападение, и знают, как на него реагировать.

Я понял, что проблема не в технологиях, а в их использовании. В своей фирме мы используем симбиоз человеческих способностей и возможностей машины. Люди – наиболее уязвимое звено любой системы безопасности, в том числе компьютерной.

И если читателю покажется, что эта книга написана в рекламных целях, то он будет отчасти прав. И книга, и новая компания появились на свет благодаря открытию того, что самую надежную защиту можно обеспечить только с помощью опытных специалистов, занимающихся обнаружением и реагированием. Эта книга отражает ход моих мыслей, связанных с преобразованием нашей компании, и поясняет, чем мы занимаемся.

Вы можете узнать больше о нас на сайте www counterpane com.

Спасибо за внимание.

Многие идеи этой книги были почерпнуты автором в работах других людей. Я намеренно не прерывал повествование сносками или цитатами. В конце книги я решил поместить список некоторых наиболее полезных источников.

Некоторые специалисты открыто осуждают Интернет за то, что не поддается систематизации как архив, поскольку URL постоянно меняются. Так что вы можете использовать этот список, чтобы попытаться подтвердить или опровергнуть этот взгляд.

Работы Росса Андерсона (Ross Anderson) всегда интересны и заслуживают внимания. Его веб-сайт: www cl cam ac uk/users/rjal4/. Ищите его книгу Security Engineering: A Comprehensive Guide to Building Dependable Distributed Systems (John Wiley& Sons, 2000).

Дороти Деннинг (Dorothy Denning) писала о криптографии, компьютерной безопасности и защите баз данных, а позже об информационной войне. Я использовал ее самую последнюю книгу Information Warfare and Security (Addison-Wesley, 1999), а также ее классическую работу Cryptographyand Data Security (Addison-Wesley, 1982).

Работы и речи Вита Диффи (Whit Diffie) также повлияли на мои размышления. Я рекомендую книгу, написанную им в соавторстве со Сьюзен Ландау (Susan Landau) Privacy on the Line (MIT Press, 1998).

Карл Эллисон (Carl Ellison) продолжает писать эссе и статьи об инфраструктуре открытого ключа. Многие его работы можно найти на веб-сайте: world std com/~cme/.

От Эда Фелтона (Ed Felton) я узнал много нового о ненадежности модульного программного обеспечения и о средствах безопасности Java. Именно он показал мне однажды рисунки, воспроизведенные в этой книге под номерами 10.1 и 10.2.

Речи Дэна Гира (Dan Geer) были столь же содержательны.

Превосходная работа Дитера Голлманна (Dieter Gollmann) Computer Security (John Wiley&Sons, 1999) содержит много полезных сведений.

Классическая книга Дэвида Кана (David Kahn) The Codebreakers изобилует интересными историческими фактами из области криптографии. [ русский перевод книги доступен на http://lib aldebaran ru/author/kan_dyevid/kan_dyevid_vzlomshiki_kodov/Прим сост. FB2]

Стюарт МакКлур (Stuart McClure), Джоел Скрамбрей (Joel Scrambray) и Джордж Курц (George Kurtz) написали книгу Hacking Exposed (Osborne/McGraw-Hill,1999), которую я настоятельно рекомендую. Я написал предисловие ко второму ее изданию, которое уже должно выйти к моменту публикации этой книги.

Гэри Макграу (Gary McGraw) подробно описал разработку надежного программного обеспечения, а также все плюсы и минусы открытого исходного кода. Я использовал его книгу Securing Java (John Wiley&Sons, 1999), написанную в соавторстве с Эдом Фелтоном (Ed Felton).

Наблюдения Питера Неймана (Peter Neumann) настолько глубоки и очевидны, что я часто забываю, что не всегда верил ему. Его колонка Inside Risks на последней странице журнала Communications of the ACM всегда интересна. Я также настоятельно рекомендую его книгу Computer-Related Risks (Addison-Wesley, 1995).