Написание программного обеспечения для вредоносного мира

Как мы пишем программное обеспечение, которое выживает в мире вредоносных программ? Это просто вопрос написания более безопасного кода или необходимо изменить некоторые из наших основных предположений? Придется ли нам, как пользователям, изменить то, как мы используем наш компьютер? К сожалению, в сфере безопасности много неопределенности. Есть только две вещи, которые мы знаем наверняка: наши данные ценны, и мы плохо справляемся с тем, чтобы отпугивать плохих парней.

Все ценно

Меры безопасности часто сопоставляются с ценностью данных, которые они защищают. Чем ценнее что-то, тем больше усилий оправдано для его защиты. Мы покупаем сейф для паспорта, но книги оставляем на полке. Мы кладем деньги в банк, а носки кладем в ящик. В офлайн-мире мы относительно хорошо защищаем наши ценности или, по крайней мере, понимаем их ценность.

Тем не менее, мы все еще боремся в онлайн-мире. Мы недооцениваем ценность нематериальных данных и не можем предвидеть, как нас могут использовать.

Взятие электронной почты и пароля к сайту социальной сети может быть разрушительным. Новая книга автора, дипломная работа или новая песня группы могут быть возвращены их владельцу. Историю публикаций пользователя в Facebook можно использовать для манипулирования его эмоциями.

Злоумышленники все время находят все более изобретательные способы использования небольших кешей данных. И им всегда даются новые способы доступа к нему.

Рассмотрим вопрос масштаба. Большая часть нашего основного программного обеспечения установлена ​​на миллиардах устройств. Практически все устройства используют справочную библиотеку для загрузки изображений PNG. Уязвимости в этом коде, которых было много, могут коснуться каждого. Простое причудливое приложение, не представляющее реального интереса, внезапно устанавливается на миллионы устройств. Кража миллионов электронных писем из одного сервиса может быть использована для атаки на другие или даже для изменения политики с помощью массового мошенничества с идентификацией.

Незначительные нарушения безопасности превращаются в большие восторги, если их применить к миллионам людей. Неинтересные данные становятся чрезвычайно привлекательными, когда их собирают в большом количестве.

По мере того, как наш мир становится все более взаимосвязанным, насилие становится все более вероятным. Как разработчики, мы должны перестать относиться к вещам как к приложениям, устройствам и протоколам. Все это врата в жизнь человека, с которыми мы должны обращаться с особой осторожностью.

Проблема высокого забора

Наша первая реакция на любую уязвимость — устранить брешь. Хотя это необходимо, это мало что дает в долгосрочной борьбе с злоумышленниками. Они найдут новую дыру. Они всегда делают.

Нам нужно предположить, что кто-то прорвал первую линию обороны, возможно, даже вторую линию. Представьте, что вредоносный червь постоянно присутствует в наших компьютерных системах. Что мы делаем?

Простые удобства - наш недостаток здесь. Нам нравится, что все больше устройств могут общаться друг с другом. Мы предпочитаем не вводить пароли, чтобы открыть документ или отправить электронное письмо. Мы считаем важным, чтобы наши приложения для обмена сообщениями могли обмениваться контактной информацией. Нам нравится смотреть фильмы или играть в игры одним нажатием кнопки.

От какой части этого удобства мы должны отказаться, чтобы иметь безопасную систему? Ответ, к сожалению, не нулевой. В какой-то момент мы, как пользователи, должны столкнуться с реальностью, что наш компьютерный опыт должен измениться во имя безопасности.

Что мы делаем?

Большой вопрос заключается в том, как нам добраться из того места, где мы сейчас находимся, в более безопасное место. Есть бесчисленное множество вещей, которые разработчики могут сделать для повышения безопасности, но кто будет вкладывать ресурсы? Зачем вообще беспокоиться, когда наши конкуренты получают лишь пощечину за массовые утечки данных.

Как вообще может выглядеть более безопасная работа за компьютером? Пользователям сложно навязать изменения, поскольку они часто отказываются от любых неудобств. Способны ли наши нынешние операционные системы обеспечить необходимую нам безопасность?

В этой паутине неопределенности одно остается ясным: мы должны исходить из того, что злоумышленники всегда рядом. Мы должны относиться к нашему программному обеспечению как к транспортным средствам для жизни людей и стремиться обеспечить этим людям безопасное путешествие.

Первоначально опубликовано на сайте mortoray.com 30 мая 2017 г.