Из-за внезапного появления на рынке нового товара (продукта) неразумно менять не только hardware, но и software.
Зачем же потребителю прилагать усилия, чтобы подстроиться под производителя? :) Его товар (например, новое предложение от Twitter) настолько ценен?
Если товар действительно очень ценен и потребитель готов приложить усилия, чтобы под него подстроиться, он вносит соответствующие изменения в software. Так сказать, меняет одну перфоленту в своем механическом пианино на другую, чтобы соответствовать текущей моде светского общества :)
Вряд ли можно утверждать, что стек вызовов (тем более, единственный на всю вычислительную систему) — это неотъемлемое свойство любой (произвольной) вычислительной системы как таковой.
У Вас отличное чувство юмора :) Это очень хорошо сказано :) Но не исключаете ли Вы, что однажды нечто подобное, не дай Бог, случится?
И не окажется ли катализатором именно свойство определенной hardware-архитектуры, наделяющее программы (в т.ч. программы, выпускаемые 5-6 крупнейшими корпорациями планеты) свойством самомодифицируемости? Вы же хороший специалист, подумайте!
В вычислительном устройстве с абсолютно фиксированной программой никаких вирусов быть не может. Вы полагаете, это утверждение является ложным?
В конечном итоге, это вопрос определения вируса, верно? В зависимости от определения, указанное утверждение может быть как ложным, так и истинным. Каково Ваше определение?
Из этого утверждения следует, что Вы специалист. Именно это мы и утверждаем: фон-неймановская архитектура создана профессионалами для профессионалов.
А если перед Вами задача разработать компьютер, обладающий перечисленными свойствами, но — для массового применения неквалифицированными пользователями?
Самомодифицируемость программ :) Самомодифицируемость программ, предусмотренная на уровне hardware. Она усугубляется самомодифицируемостью программ, предусмотренной на уровне системного и прикладного ПО.
Верно. Компьютер должен запускать все, что Вы хотите. Лично Вы.
Именно об этом мы и говорим: в идеальном случае безопасности компьютер не обладает свойством автопрограммируемости. Не он сам решает, какой код запускать, а Вы — его хозяин.
Подумайте, какую архитектуру должен иметь такой компьютер? Это не так сложно, как может показаться сначала.
Это программная система. Она эмулирует взаимную изоляцию приложений программно. Без аппаратной поддержки, реализованной на уровне hardware, абсолютно надежная изоляция практически невозможна. Что, в частности, доказывает эффект джейлбрейка.
Обратите внимание, что наделить компьютер полезным свойством изоляции программ, одновременно лишив его множества других полезных свойств — прежде всего, возможности установить на него произвольную программу — это категорически неправильно. Как Вы уже заметили, большинство обитателей «Хабрахабра» совершенно не хочет быть лишенным этого ключевого свойства нормального компьютера.
Владелец компьютера — это царь и бог по отношению к своему компьютеру. Никто, кроме владельца, никакой производитель и никакой «магазин» не имеют права принимать решения о том, какую программу на компьютере разрешается запустить, а какую — не разрешается. Это решает только владелец. Вы согласны?
Разумный человек также, разумеется, не хочет, чтобы право доступа с привилегиями root к его собственному компьютеру имел кто-то, кроме него самого (например, сервер компании-производителя). В то время как ему самому — владельцу компьютера — компания-производитель выдавала бы лишь право доступа уровня user.
Как Вы думаете, что мешает — например, лично Вам — сделать компьютер, в котором одновременно выполняются следующие условия:
— отсутствие эффекта автопрограммируемости; система взаимной изоляции приложений;
— полный контроль (root) над компьютером со стороны владельца, т.е. Вас; возможность написать, установить, запустить произвольную программу;
— полная гарантия отсутствия у кого-либо другого не только контроля на уровне root, но и какого-либо доступа к Вашему компьютеру на уровне user.
1. Вы правы в том, что главная причина неприятностей — социальная. У бизнеса нет возможностей обзавестись специалистами должного уровня. Бизнес не знает, где их раздобыть. Методика поиска хорошего ИТ-специалиста значительно менее отработана, чем, скажем, методика поиска нефти :) Эта тема будет одной из самых важных в нашем блоге.
2. Триллионы долларов от гибкости архитектуры экономика за полвека уже получила. Самое время вложить эти средства в научные разработки, чтобы попробовать разобраться, к примеру: способен ли человек раз и навсегда решить пресловутую проблему переполнения буфера? :) Пока же людям приходится возвращаться едва ли не каждую неделю. Это слишком частое попадание на одни и те же грабли, что заставляет задуматься о закономерности.
3. Почему Вы думаете, что гибкость архитектуры может быть достигнута только с помощью наделения программы свойством самомодификации (а компьютера в целом, соответственно, — свойством автопрограммируемости)? Вы уверены, что без этого свойства архитектура не может быть настолько гибкой, чтобы соответствовать потребностям экономики?
Вы хотите сказать, что фактов бесконтрольного поведения компьютеров — в том числе, в системообразующих компаниях из списка Fortune 500 — не существует? Вы хотите сказать, что Роберт Гейтс (шеф Пентагона) не говорил публично на международном форуме 4 июня 2011 года о том, что проблема стала «крайне серьезной»? C инфраструктурой Международного валютного фонда все в порядке? Акции Sony не падали? Никаких ежегодных многомиллиардных убытков мировой экономики от бесконтрольного поведения компьютеров нет?
Речь, конечно, идет о контроле над компьютерами их номинальных владельцев, а не хакеров :)
Чтобы прочувствовать убытки других, попробуйте представить себе, что не миллиард, а хотя бы 10 тысяч долларов потеряли лично Вы. Это уже можно назвать термином «кошмар» или еще нет?
С крупными убытками в результате цифровых инфекций сталкиваются очень многие компании, государственные и межгосударственные организации. И если взглянуть на происходящие события с их точки зрения, получается, что невозможность предсказать наверняка, будут ли компьютеры работать завтра — это сущий кошмар. Без преувеличения. Разве нет?
Да, верно. Право программы менять собственный конфигурационный файл — это еще не беда. А право программы менять конфигурационные файлы других программ делает систему весьма далекой от соответствия требованиям безопасности.
Только обратите внимание, пожалуйста, что термин «программы» (в значении нескольких отдельных программ) применим к более высокому уровню системы, чем тот, который мы на данный момент рассматриваем. Мы пока говорим о самом низком, физическом уровне, на котором у традиционного процессора нет понятия нескольких разных программ: он исполняет такт за тактом одну-единственную программу, начиная с первой команды, на которую подается управление.
Если веб-страница (т.е. сервер, принадлежащий не вам, а кому-то другому) в качестве обязательного условия для просмотра требует исполнения на вашей стороне (т.е. на вашем компьютере) произвольной программы, пересылаемой вам сервером, то такую страницу в идеально безопасной системе, как Вы верно заметили, посмотреть не удастся.
Такое определение свойства безопасной системы Вас устраивает?
1. Очень хороший вопрос! Если вы получили программу (картридж, SIM-карту, диск, чип, файл и т.п.) из сомнительного источника, там с большой вероятностью окажется нечто нехорошее. Например, вирус. С этим простым фактом надо смириться.
Да, это очень просто — взять картридж (SIM-карту, диск, чип и т.п.) с программой, сделать его дубликат, дописав к нему свой кусочек кода и продать (подарить, подложить и т.п.) кому-либо. Но очень просто и предотвратить заражение таким путем: не принимать ничего от неизвестных или сомнительных лиц. Если незнакомый человек подойдет к вам на улице и предложит пирожок — вы согласитесь его съесть?
2. В этой гипотетической ситуации они, скорее всего, занимались бы производством какого-либо другого программного обеспечения :) Если бы на Земле не существовало картошки, то компании, ныне производящие картошку, выращивали бы, например, пшеницу, верно? :)
Кстати, обратите внимание, что проблемой вирусов сфера информационной безопасности не ограничивается.
Интерпретировать данные как код вы можете и без применения архитектуры с фиксированной программой. Эта архитектура — средство иллюстрации математически идеального случая безопасной вычислительной системы. В такой системе никакая программа не может быть запущена без явного разрешения, внешнего по отношению к системе. Это правило соблюдается строго и независимо от того, состоит ли программа из машинных кодов (выполняемых физическим процессором) или же из высокоуровневых, скриптовых команд (выполняемых программно реализованным процессором).
Иными словами, в идеальном случае запрет запуска последовательности команд без внешнего разрешения реализуется одновременно на всех структурных уровнях вычислительной системы.
Указанный Вами подход доминирует в большинстве компаний.
Безусловно, их системные администраторы вправе доверять программному обеспечению право самостоятельного принятия решений о самомодификации. Более того, они вправе не видеть связь между таким решением и сложившейся к лету 2011 года ситуацией, когда даже представители военного департамента США публично заявляют, что отныне главную угрозу видят именно со стороны компьютеров (см. ссылку в статье).
Мы считаем, что право принятия всех решений — о том, обновлять или не обновлять ядро, закачивать драйвер или не закачивать и т.д. — должно быть только у человека. У системного администратора, полностью отвечающего за все процессы, происходящие в его системе.
Если он передал часть своих полномочий программе — это его решение. И он за него отвечает. После принятия такого решения программа начинает самостоятельно скачивать и устанавливать то, что считает нужным. Самомодифицируемость на уровне hardware усугубляется самомодифицируемостью на уровне системного и прикладного ПО.
К сожалению, цепочка на практическом производстве именно такова. Это относится не только к заводу, но и к банку, к медицинскому учреждению, к любому государственному институту (вроде полиции), в электростанции и так далее. Человек привык принимать решения на основании информации, которую ему выдает компьютер.
Если компьютер показывает, что давление в норме, оператор верит. Именно таким образом были разрушены вирусом урановые центрифуги Ирана. Если компьютер показывает, что автомобиль с номером 222-333 находится в розыске, то водителя арестовывают. Если в базе данных есть запись о том, что пациенту уже делали операцию удаления аппендикса, то диагноз аппендицита при острой боли в правой подвздошной области не рассматривается. Если компьютер сообщает, что вы — должник банка, то ваши дела плохи. И так далее.
Подмена информации — страшная опасность. В большинстве случаев ключ к подмене — заражение вирусом, который затем изнутри открывает все двери.
Совершенно верно! Несколько выпусков нашего блога будут посвящены именно экономическому аспекту ИБ. Это очень важная тема. При правильном подходе безопасность обходится дешево. При неправильном — многократно дороже.
Мы полностью одобряем приведенное Вами архитектурное решение и именно его описали в статье. В идеале программа должна быть фиксированной, но обязательно с возможностью ее замены внешними по отношению к этой программе средствами — полной или частичной замены.
Приведенный Вами пример механического переключателя совершенно правилен. В положении переключателя «0» программа компьютера является фиксированной. Но ее можно поменять произвольным образом (как перфоленту в механическом пианино), для чего требуется изменить состояние переключателя на «1». Главное, чтобы управлять этим переключателем не могла сама программа. В классической фон-неймановской среде это условие не выполняется.
Очень трудно, практически невозможно дать строгое научное определение понятию «вредоносность».
Поэтому понятие «вирус» лучше не основывать на понятии «вредоносность».
Ноу-хау успешной антивирусной защиты заключается в существенном расширении понятия «вирус» по сравнению с теми узкими формулировками, которые обычно встречаются в учебниках. Речь идет о резком, качественном расширении понятия. Мы подробно расскажем об этом.
1. UNIX появился в 1969 году, за два десятилетия до Великого червя.
2. Система безопасности Linux и в самом деле проста и удобна. И в последнее время в самом деле все чаще продаются компьютеры на основе Linuх, используемые эмо-девочками. И в самом деле ОС Microsoft при установке по умолчанию разрешает слишком многое, т.е. после установки с дистрибутива приходится сначала выполнить работу по настройке безопасности, а только потом продавать компьютер эмо-девочкам.
Windows — система для профессионалов. Вы правы: сразу после установки она представляет собой лишь полуфабрикат, который еще не готов к эксплуатации и требует настройки. И это обязанность производителя компьютера. Каждый производитель настраивает компьютер так, как считает нужным для соблюдения интересов своих клиентов.
OEM-производитель приобретает у Microsoft дистрибутив операционной системы — сырье, из которого изготавливает свой продукт — компьютер для эмо-девочек. Если он делает это некачественно, забывая о создании системы безопасности — это вопрос к такому производителю.
У эмо-девочки есть возможность перед покупкой компьютера обратиться за консультацией к знакомому ИТ-специалисту, верно? И тогда ответственность за выбор OEM-производителя, продающего компьютеры только после качественной настройки, будет лежать уже на консультанте. В Европе, США, Японии консалтинг распространен очень широко.
3. Если Вы считаете, что вирусов для Mac не существует, то у Вас есть возможность заработать на этом их свойстве миллиарды долларов :) Вы обладаете ключевым ноу-хау: поставляя любой заинтересованной компании компьютеры Apple, Вы можете гарантировать отсутствие вирусов? Вы готовы подписать контракт с таким обязательством? Если готовы, то Вы сможете очень хорошо заработать на этих поставках, решив проблемы множества компаний в самых разных сферах экономики.
Но если окажется, что вирусы для Mac OS все-таки существуют, придется платить неустойку, верно? Подумайте, пожалуйста. Возможно, Mac не лишен уязвимостей?..
Зачем же потребителю прилагать усилия, чтобы подстроиться под производителя? :) Его товар (например, новое предложение от Twitter) настолько ценен?
Если товар действительно очень ценен и потребитель готов приложить усилия, чтобы под него подстроиться, он вносит соответствующие изменения в software. Так сказать, меняет одну перфоленту в своем механическом пианино на другую, чтобы соответствовать текущей моде светского общества :)
И не окажется ли катализатором именно свойство определенной hardware-архитектуры, наделяющее программы (в т.ч. программы, выпускаемые 5-6 крупнейшими корпорациями планеты) свойством самомодифицируемости? Вы же хороший специалист, подумайте!
В конечном итоге, это вопрос определения вируса, верно? В зависимости от определения, указанное утверждение может быть как ложным, так и истинным. Каково Ваше определение?
А если перед Вами задача разработать компьютер, обладающий перечисленными свойствами, но — для массового применения неквалифицированными пользователями?
У Вас отличное чувство юмора :)
Именно об этом мы и говорим: в идеальном случае безопасности компьютер не обладает свойством автопрограммируемости. Не он сам решает, какой код запускать, а Вы — его хозяин.
Подумайте, какую архитектуру должен иметь такой компьютер? Это не так сложно, как может показаться сначала.
Обратите внимание, что наделить компьютер полезным свойством изоляции программ, одновременно лишив его множества других полезных свойств — прежде всего, возможности установить на него произвольную программу — это категорически неправильно. Как Вы уже заметили, большинство обитателей «Хабрахабра» совершенно не хочет быть лишенным этого ключевого свойства нормального компьютера.
Владелец компьютера — это царь и бог по отношению к своему компьютеру. Никто, кроме владельца, никакой производитель и никакой «магазин» не имеют права принимать решения о том, какую программу на компьютере разрешается запустить, а какую — не разрешается. Это решает только владелец. Вы согласны?
Разумный человек также, разумеется, не хочет, чтобы право доступа с привилегиями root к его собственному компьютеру имел кто-то, кроме него самого (например, сервер компании-производителя). В то время как ему самому — владельцу компьютера — компания-производитель выдавала бы лишь право доступа уровня user.
Как Вы думаете, что мешает — например, лично Вам — сделать компьютер, в котором одновременно выполняются следующие условия:
— отсутствие эффекта автопрограммируемости; система взаимной изоляции приложений;
— полный контроль (root) над компьютером со стороны владельца, т.е. Вас; возможность написать, установить, запустить произвольную программу;
— полная гарантия отсутствия у кого-либо другого не только контроля на уровне root, но и какого-либо доступа к Вашему компьютеру на уровне user.
Итак?
2. Триллионы долларов от гибкости архитектуры экономика за полвека уже получила. Самое время вложить эти средства в научные разработки, чтобы попробовать разобраться, к примеру: способен ли человек раз и навсегда решить пресловутую проблему переполнения буфера? :) Пока же людям приходится возвращаться едва ли не каждую неделю. Это слишком частое попадание на одни и те же грабли, что заставляет задуматься о закономерности.
3. Почему Вы думаете, что гибкость архитектуры может быть достигнута только с помощью наделения программы свойством самомодификации (а компьютера в целом, соответственно, — свойством автопрограммируемости)? Вы уверены, что без этого свойства архитектура не может быть настолько гибкой, чтобы соответствовать потребностям экономики?
Речь, конечно, идет о контроле над компьютерами их номинальных владельцев, а не хакеров :)
Чтобы прочувствовать убытки других, попробуйте представить себе, что не миллиард, а хотя бы 10 тысяч долларов потеряли лично Вы. Это уже можно назвать термином «кошмар» или еще нет?
С крупными убытками в результате цифровых инфекций сталкиваются очень многие компании, государственные и межгосударственные организации. И если взглянуть на происходящие события с их точки зрения, получается, что невозможность предсказать наверняка, будут ли компьютеры работать завтра — это сущий кошмар. Без преувеличения. Разве нет?
Только обратите внимание, пожалуйста, что термин «программы» (в значении нескольких отдельных программ) применим к более высокому уровню системы, чем тот, который мы на данный момент рассматриваем. Мы пока говорим о самом низком, физическом уровне, на котором у традиционного процессора нет понятия нескольких разных программ: он исполняет такт за тактом одну-единственную программу, начиная с первой команды, на которую подается управление.
Такое определение свойства безопасной системы Вас устраивает?
Да, это очень просто — взять картридж (SIM-карту, диск, чип и т.п.) с программой, сделать его дубликат, дописав к нему свой кусочек кода и продать (подарить, подложить и т.п.) кому-либо. Но очень просто и предотвратить заражение таким путем: не принимать ничего от неизвестных или сомнительных лиц. Если незнакомый человек подойдет к вам на улице и предложит пирожок — вы согласитесь его съесть?
2. В этой гипотетической ситуации они, скорее всего, занимались бы производством какого-либо другого программного обеспечения :) Если бы на Земле не существовало картошки, то компании, ныне производящие картошку, выращивали бы, например, пшеницу, верно? :)
Кстати, обратите внимание, что проблемой вирусов сфера информационной безопасности не ограничивается.
Иными словами, в идеальном случае запрет запуска последовательности команд без внешнего разрешения реализуется одновременно на всех структурных уровнях вычислительной системы.
Безусловно, их системные администраторы вправе доверять программному обеспечению право самостоятельного принятия решений о самомодификации. Более того, они вправе не видеть связь между таким решением и сложившейся к лету 2011 года ситуацией, когда даже представители военного департамента США публично заявляют, что отныне главную угрозу видят именно со стороны компьютеров (см. ссылку в статье).
Мы считаем, что право принятия всех решений — о том, обновлять или не обновлять ядро, закачивать драйвер или не закачивать и т.д. — должно быть только у человека. У системного администратора, полностью отвечающего за все процессы, происходящие в его системе.
Если он передал часть своих полномочий программе — это его решение. И он за него отвечает. После принятия такого решения программа начинает самостоятельно скачивать и устанавливать то, что считает нужным. Самомодифицируемость на уровне hardware усугубляется самомодифицируемостью на уровне системного и прикладного ПО.
Если компьютер показывает, что давление в норме, оператор верит. Именно таким образом были разрушены вирусом урановые центрифуги Ирана. Если компьютер показывает, что автомобиль с номером 222-333 находится в розыске, то водителя арестовывают. Если в базе данных есть запись о том, что пациенту уже делали операцию удаления аппендикса, то диагноз аппендицита при острой боли в правой подвздошной области не рассматривается. Если компьютер сообщает, что вы — должник банка, то ваши дела плохи. И так далее.
Подмена информации — страшная опасность. В большинстве случаев ключ к подмене — заражение вирусом, который затем изнутри открывает все двери.
Приведенный Вами пример механического переключателя совершенно правилен. В положении переключателя «0» программа компьютера является фиксированной. Но ее можно поменять произвольным образом (как перфоленту в механическом пианино), для чего требуется изменить состояние переключателя на «1». Главное, чтобы управлять этим переключателем не могла сама программа. В классической фон-неймановской среде это условие не выполняется.
Поэтому понятие «вирус» лучше не основывать на понятии «вредоносность».
Ноу-хау успешной антивирусной защиты заключается в существенном расширении понятия «вирус» по сравнению с теми узкими формулировками, которые обычно встречаются в учебниках. Речь идет о резком, качественном расширении понятия. Мы подробно расскажем об этом.
2. Система безопасности Linux и в самом деле проста и удобна. И в последнее время в самом деле все чаще продаются компьютеры на основе Linuх, используемые эмо-девочками. И в самом деле ОС Microsoft при установке по умолчанию разрешает слишком многое, т.е. после установки с дистрибутива приходится сначала выполнить работу по настройке безопасности, а только потом продавать компьютер эмо-девочкам.
Windows — система для профессионалов. Вы правы: сразу после установки она представляет собой лишь полуфабрикат, который еще не готов к эксплуатации и требует настройки. И это обязанность производителя компьютера. Каждый производитель настраивает компьютер так, как считает нужным для соблюдения интересов своих клиентов.
OEM-производитель приобретает у Microsoft дистрибутив операционной системы — сырье, из которого изготавливает свой продукт — компьютер для эмо-девочек. Если он делает это некачественно, забывая о создании системы безопасности — это вопрос к такому производителю.
У эмо-девочки есть возможность перед покупкой компьютера обратиться за консультацией к знакомому ИТ-специалисту, верно? И тогда ответственность за выбор OEM-производителя, продающего компьютеры только после качественной настройки, будет лежать уже на консультанте. В Европе, США, Японии консалтинг распространен очень широко.
3. Если Вы считаете, что вирусов для Mac не существует, то у Вас есть возможность заработать на этом их свойстве миллиарды долларов :) Вы обладаете ключевым ноу-хау: поставляя любой заинтересованной компании компьютеры Apple, Вы можете гарантировать отсутствие вирусов? Вы готовы подписать контракт с таким обязательством? Если готовы, то Вы сможете очень хорошо заработать на этих поставках, решив проблемы множества компаний в самых разных сферах экономики.
Но если окажется, что вирусы для Mac OS все-таки существуют, придется платить неустойку, верно? Подумайте, пожалуйста. Возможно, Mac не лишен уязвимостей?..