`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Виталий Кобальчинский

Назад к Plain Text: безопасность минимализма

+55
голосов

Пресса винит в участившихся и приобретающих всё больший масштаб прорывах компьютерной безопасности всё и всех: устаревшее оборудование для сетевой защиты, пассивные службы поддержки, бездействующие правоохранительные органы, изощрённую креативности авторов скама. И это, в общем-то действительно так.

Плюс, виноват ещё конечно же сам пользователь не стремящийся овладеть навыками профессионального веб-разработчика. Только такая квалификация позволит разобраться в наслоениях кода HTML, JavaScript и пр., чтобы оценить какие последствия будет иметь нажатие на предложенную ссылку.

Всё это та правда, которая неэквивалентна истине. А истина заключается в том, что современные браузеры, а также почтовые клиенты, отображающие веб-страницы, в принципе созданы небезопасными. С точки зрения экспертов информационной защиты вся концепция динамического и интерактивного веб-контента это капитальная ошибка, на которую потратили и продолжают тратить многие миллиарды долларов и многие годы труда программистов. Ошибка, которая привела к рождению также многомиллиардной индустрии фишинга.

 безопасность минимализма

Браузеры сконструированы так, чтобы «склеивать» между собой содержимое, поступающее из разных источников: текст с одного сервера, реклама с другого, картинки и видео с третьего, отслеживающие пользователей кнопки «like» с четвёртого и так далее. Современная веб-страница напоминает сноровисто смётаное лоскутное одеяло, причём происхождение конкретных его компонентов и то куда ведут ссылки остаётся загадкой для наблюдателя. Хуже того, также подписанные ссылки могут перенаправлять совсем в другое место, способы таких манипуляций, предоставляемые сегодняшними веб-технологиями, исчисляются десятками.

Сегодняшние системы электронной почты, базирующиеся в Веб, напоминают минное поле. Они требуют или манят сделать заветный клик и, чем дальше, тем больше превращаются в среду интерактивного взаимодействия. В активное участие пользователя стремиться вовлечь не только Gmail или Yahoo Mail: даже десктопные почтовые клиенты, такие как Outlook, отображают сообщения тем же рискованным способом.

Многие люди считают себя достаточно разумными, чтобы не стать жертвами фишингового скама. Ещё бы, ведь для этого всего лишь не нужно нажимать на подозрительные ссылки в электронных письмах.

Допустим они прошли упомянутые курсы веб-профессионалов и смеются над подначками методов социального инженеринга. Вероятность того, что они совершат оплошность мала, но не равна нулю. А в организации со штатом более сотни человек даже один процент вероятности нажатия пользователем на вредоносную ссылку превращается практически в неизбежность.

Поэтому те рекомендации, что слышатся сегодня отовсюду — повышение бдительности, своевременная установка патчей безопасности, пользование сертифицированным ПО и контентом из проверенных источников — не решают проблемы в принципе.

Нужный ответ, как это часто бывает, находится прямо перед глазами. Безопасный браузер это мёртвый браузер. То есть, тот, что отображает статичный контент. А безопасная веб-почта — такая, которая ограничена пересылкой простой текстовой информации, без встроенных ссылок и изображений.

Такой шаг, возврат к текстовым истокам Интернета, конечно выглядит слишком радикальным (особенно для рекламодателей), но именно к нему склоняются даже ведущие эксперты US CERT (United States Computer Emergency Readiness Team) в советах тем, кто наиболее серьёзно заботится о своей безопасности — отдельным людям, организациям или правительству.

Лауреат премии Тьюринга 1980 г., профессор Оксфорда Чарльз Хоар (Charles Anthony Richard Hoare), утверждал, что лишь стремясь к максимальной простоте возможно обрести подлинную надёжность. Эта же идея звучит в документе US CERT, размещённом на сайте Министерства внутренней безопасности США: «Организации должны убедиться, что они отключили использование HTML в электронных письмах, а также дезактивировали ссылки. Всё должно быть принудительно переведено в простой текст. Это снизит вероятность пересылки потенциально опасных скриптов или ссылок в теле письма, а также уменьшит шансы для пользователя случайно на что-либо нажать. При использовании обычного текста пользователю придётся напечатать ссылку или скопировать её и перенести. Этот лишний шаг предоставить пользователю дополнительную возможность поразмыслить, прежде чем нажимать на ссылку».

+55
голосов

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT