Интернет сигурността: Няма награда за второто място

---

На 18 март в София се проведе международната конференция по информационна сигурност „IDC IT Security Roadshow“, организирана от IDC България. Специален гост на конференцията беше главният съветник по информационна сигурност за EMEA на Microsoft Роджър Халбхер.След своята лекция той даде интервю за читателите на PC Magazine Bulgaria.
На 18 март в София се проведе международната конференция по информационна сигурност „IDC IT Security Roadshow“, организирана от IDC България. Събитието беше част от специализирана серия конференции, които през тази година IDC провежда в 25 страни в Централна и Източна Европа, Близкия изток и Африка. Специален гост на конференцията беше главният съветник по информационна сигурност за EMEA на Microsoft Роджър Халбхер, който изнесе лекция под наслов „Интернет сигурността: Няма награда за второто място“. В своята лекция Халбхер очерта няколко основни житейски факта, свързани със сигурността, сред които все по-изразяващата се нужда на потребителите от повече гъвкавост, трансформирането на мотива на вирусописачите от забавлението към финансовата изгода, извода, че уязвимостите ще ги има винаги, но трябва да се редуцират, и тенденцията сигурността да се превърне не само в нещо, което подпомага бизнеса, но и в предпоставка за създаването на такъв. След своята лекция Роджър Халбхер даде интервю за читателите на PC Magazine Bulgaria. Господин Халбхер, бихте ли разказали повече за естеството на вашата работа? Аз съм главен съветник по сигурността за EMEA към Microsoft, поддържам общност от главни съветници по сигурността. Имаме около 30 съветници в Европа и Източна Африка, като това са хора, работещи локално с правителствата, клиентите и медиите. Те се грижат за това нашите клиенти да използват нашите технологии, за да се защитят от опасностите. Ръководейки общността, аз се опитвам с респект към членовете й да служа като връзка между тях и нашия отдел за разработка, не толкова относно нови възможности, колкото за сценарии, които те искат да видят. Работя и с държавни подразделения, които нямат главни съветници по сигурността, тъй като те по различни причини са много малки, така че се налага много да пътувам из Европа и Африка. Например, работим с нигерийското правителство, за да им помогнем да се справят в борбата с измамите. Нигерия разбра, че това е голям проблем за тяхната икономика. Кой би искал да инвестира пари в Нигерия, ако не вярват на правителството й? Също така ние работим в тясно сътрудничество с Интерпол и Европол, за да се заловяват престъпниците, когато имаме оплаквания от наши клиенти. С тези две служби работим и за да споделяме информация относно тенденциите сред престъпността, както и си сътрудничим при обучението на специалисти в развиващите се страни, които имат голяма нужда именно от такива професионалисти. Смятате ли, че технологиите могат да се справят със слабия фактор в сигурността – човека? Знаете, че социалният инженеринг е нещо, с което технологията поне засега изпитва трудности да се пребори. До определено ниво мисля, че да. Но има граница. Ако погледнете днешните системи, ще видите, че те имат вградени множество технологии за защита против зловреден софтуер, шпионски и спам. Това дава на потребителя определено ниво на защита. Но ако аз ви подмамя на моя уебсайт да свалите софтуер, който да ви причини зло, браузърът ще ви попита дали наистина искате да го свалите. Ако кажете „да“, системата ще ви попита и дали искате да дадете на изпълнимия файл привилегии да се изпълни. И вие ще кажете „да“ отново. Ако е познат зловреден софтуер, вашата антивирусна програма ще го блокира и няма да ви позволи да го стартирате, дори и да желаете. Ако е непознат, се получава същото, като с таргетираните атаки, насочвани най-често към банките. Никой не знае, че приложението носи троянски кон, дори и антивирусната програма и тя ще ви позволи да стартирате зловредния софтуер. Потребителят е подлъган да стартира приложението, като той се съгласява сам да поеме риска от изпълнението му. Дали потребителят съзнава с какво се е съгласил? Не съм много сигурен. Дали моят дядо разбира с какво точно се е съгласил и какъв риск е поел, натискайки „да“? Не съм сигурен. За съжаление не мога да ви кажа, че потребителят трябва да прави това, това и това, за да се предпази от този вид атаки. Мисля, че потребителският интерфейс е важна част от процеса, но не съм сигурен и не мога да бъда сигурен и в бъдеще, че технологиите за защита ще могат да се справят със социалният инженеринг. Колкото и софтуер за защита да се инсталира, при социалният инженеринг хората биват атакувани във физическия свят, а това е място, където софтуерът трудно може да ги защити. В своята лекция вие казахте няколко думи относно интелектуалната собственост. Можете ли да дадете повече информация относно новите методи за борба с пиратството? Мисля, че повечето софтуерни компании, включително и Microsoft, се борят с пиратството до определена степен. Дори и в развиващите се пазари. Аз съм швейцарец и в моята страна имаме ниво на пиратство от 23%, и то в една от най-богатите страни в света. Това може да се смята за ниската граница. В други държави имаме 90-95% пиратство и това е проблем не само за Microsoft. Така че ние трябва да намерим баланс между защитата на нашата интелектуална собственост и да я направим дружелюбна за потребителите. И със сигурност, без да нарушаваме неприкосновеността на потребителите. А това е едно от най-големите предизвикателства, тъй като ние не се интересуваме кой сте вие, ние само искаме да сме сигурни, че ползвате легитимно копие на софтуера ни. Как ще завърши това? Не знам. Като човек, занимаващ се със сигурността, проблемът с пиратството ме плаши. Наистина ме плаши. Защото на пазар, на който имаме 90 % пиратство, аз очаквам 90% от системите да не са актуализирани със защитни ъпдейти. Дали имаме право да защитим нашата интелектуална собственост? Мисля, че да. Как ще го правим в бъдеще? Не мога да ви кажа. Да, но тези 90% от системите, които не са актуализирали своя софтуер, са потенциална мишена за атаки и един червей би могъл да ги използва, за да срине цяла мрежа с компютри, които са инсталирали легитимен софтуер. Не съм толкова притеснен за интелектуалната собственост, колкото съм притеснен за сигурността. От една страна, ние трябва да се грижим за нашата интелектуална собственост – имаме право да правим това. От друга страна, ние трябва да сме сигурни, че можем да защитим екосистемата от хората, ползващи пиратски софтуер. Не ме интересува сигурността на хората, ползващи пиратски софтуер. Но ме интересува сигурността на хората, ползващи легитимно нашите технологии и атакувани индиректно от компютри на собственици с пиратски софтуер. Това е причината, поради която решихме да предоставяме защитни обновления към пиратските копия. Това не е за да защитим тях, а да защитим екосистемата и ние ще продължим да правим това. Говоря за обновленията, разпространявани автоматично чрез Windows Update, поправящи критични пролуки в операционната система. Това е важно уточнение, защото хората често бъркат понятията. Ако отидете на Windows Update с нелегитимно копие на Windows, то вие няма да получите никакви ъпдейти. Ако сте пират и настроите Windows да получава автоматични ъпдейти, то ще получавате ъпдейти за критични пролуки.