Последнее обновление: 11 Мая 2020 г.

Заметки о безопасности компьютерных систем: как обеспечить безопасность?

Конечно, ответ на этот вопрос не может быть сколь угодно подробно изложен в одной статье. Поэтому ограничимся лишь краткими рекомендациями, в частности, от такого признанного специалиста в области операционных систем, как Эндрю Таненбаум. Это человек в своей время даже разработал собственную операционную систему MINIX, предназначенную для студентов, в учебных целях.

Приведем отрывок из его книги под названием «Современные операционные системы», 2004 г. Несмотря на, вроде бы, довольно старый год издания, эти рекомендации не устарели и сейчас.

Вот что он писал еще в 2004 г. Компьютерная промышленность также должна серьезно относиться к вирусной угрозе и изменить некоторые свои схемы поведения, представляющие опасность. Во-первых, следует производить простые операционные системы. Чем больше в операционной системе всяких прибамбасов, тем больше дыр в системе безопасности. Это медицинский факт.

В этой связи можно привести массу контрпримеров, когда этот принцип нарушается. Как в самих операционных системах (Windows, Linux, …), так и, скажем, в браузерах, представляющих собой, по сути, самостоятельные аналоги микрооперационных систем. Увы, с каждым годом браузеры становятся все сложнее, в них зачем-то (зачем, зачем??...) внедряются все более и более новые технологии, несмотря на то, что вполне можно при этом обойтись и добрыми старыми, уже имеющимися; так не лучше ли взамен отшлифовать последние? Но, увы, разработчики современных браузеров считают, как правило, иначе.

Во-вторых, не применяйте активное содержимое документов. С точки зрения безопасности это катастрофа. Для просмотра присланного видеосервером документа не должна запускаться содержащаяся в документе программа. Например, JPEG-файлы не содержат программ и поэтому не могут содержать вирусов. Все документы должны работать подобным образом.

Это особенно относится к таким вебтехнологиям, как java-апплеты и Adobe Flash Player (уже не используются в современных браузерах) и WebAssembly (недавно разработанная технология, еще практически вообще не апробированная, представляющая собой даже не то, что дыру, а огромную дыру, ПРОПАСТЬ в безопасности).

По сути, WebAssembly пришла на замену первым двум перечисленным технологиям. С одним лишь отличием: если использование как java-апплетов, так и Adobe Flash Player можно было заблокировать в браузере, запретить их выполнение, чем можно было обезопасить себя от большой части опасностей, то WebAssembly в будущем планируется в качестве… веб-стандарта(!). Кто имеет уши, как говорится, тот слышит.

Кроме того, для запуска активного содержимого в браузерах используется также и всем известный javascript. Однако, он, в отличие от навязываемой нынче WebAssembly, является гораздо, на несколько порядков более безопасным, так как выполняется в так называемой «песочнице». Это – интерпретируемый язык с очень ограниченными возможностями, он неспособен напрямую обратиться к устройствам компьютера, к его оперативной памяти. Тогда как в WebAssembly принципиальных запретов для этого… нет. Представьте себе, на что может быть способен программный код, работающий в рамках этой технологии, пришедший на компьютер откуда-то с интернета(!). Понятно, что – всё, что угодно. Однако, эту технологию так или иначе поддерживают практически все… современные браузеры.

Поэтому совет такой: если кто желает обезопасить себя, свой компьютер, не стоит рисковать и устанавливать новые браузеры. Не стоит обновлять их до тех версий, в которых «прошита» эта технология. Например, в Firefox она функционирует, начиная с версии 52.

В-третьих, должен быть способ избирательно устанавливать защиту записи на цилиндры определенного диска, чтобы вирусы не могли заразить программы, хранящиеся в этих цилиндрах. Подобная защита может быть реализована с помощью битового массива в контроллере, в котором перечисляются все защищенные цилиндры. Изменение содержимого этого битового массива должно разрешаться только тогда, когда пользователь переключил механический переключатель на передней панели компьютера.

На наш взгляд, это также достаточно очевидное предложение. Раньше, лет 30…40 назад, на компьютерах присутствовали специальные системные жесткие диски. Чтобы записать на них информацию, требовалось не только ввести пароль, но и механически разрешить это (вставив специальный железный ключик в корпус жесткого диска и повернув его). Запись информации без ввода пароля и без механической защиты возможна была только на прикладной (пользовательский) диск. Таким образом полностью защищалась операционная система компьютеров от вирусов. Внести вирус если и было возможно, то лишь по ошибке записав на системный диск зараженную операционную систему или иную программу. Ну, а на пользовательском диске вирус мог функционировать, максимум, до момента очередной перезагрузки компьютера. После чего превращался просто в кучку байтов, бессильный мусор, вместо которого могла быть записана другая (полезная) информация. В частности, поэтому-то их (вирусов) в те времена не было.

Если же не пользоваться отдельным системным диском, МЕХАНИЧЕСКИ блокируемым для записи, как (более опасный) вариант – можно сделать так, как предлагает Таненбаум: можно, действительно, записывать критическую, системную информацию на специальные защищенные цилиндры жесткого диска. Но, в самом деле, разве же производители, с одной стороны, будут делать это? Разве, с другой стороны, пользователи будет искать именно такие жесткие диски? Очень едва ли. В самом деле, ведь достаточно многим современным пользователям не нужны 100% защищенные операционные системы. Зачем, мол, и так пойдет.

Ну, а тех, кому это все-таки надо, в интернете зачастую называют… параноиками. Чем делается попытка сделать непопулярным желание таких пользователей – обезопаситься от вирусов.

Можно было бы порассуждать: интересно, а от КОГО исходят подобные рассуждения о том, что, мол, «не надо быть «параноиками»?... От хакеров, что ли и т.п.? Или от производителей антивирусов?

В-четвертых, флэш-ПЗУ представляет собой прекрасную идею, но запись в него также должна разрешаться только при определенном положении механического переключателя, что может сделать пользователь, устанавливая новую версию BIOS.

Ну, так это, наверное, тоже очевидно, опять-таки. Раньше, во времена существования дискет емкостью 1,45 МБ такая возможность имелась: на каждой дискете присутствовала специальная защелка, передвинув которую, можно было заблокировать запись на нее. При  этом чтение было возможно, как обычно.

Ну, а сейчас? Где же это мы найдем флешку с подобной механической защитой? Ну, возможно, таковые и есть. Но, кто-нибудь видел их вживую, пользовался ими?... Практически все пользуются самыми обычными флешками, не защищенными механически от несанкционированной записи.

Само собой, ни одно из этих предложений не будет восприниматься всерьез, пока действительно большой жареный вирусный петух нас всех не клюнет. Например, обнулив всё банковские счета во всем мире. Хотя тогда что-либо предпринимать будет уже поздно.

На что, кстати, вполне могут сослаться в целях принудительной организации, например, глобального кризиса. Не знаю, как на Западе, а вот в России это может произойти вообще легко. Все серверы, мол, обнулились, ах, надо было раньше прислушаться к Таненбауму, но уже, типа того, поздно. Ну, а если еще и будет произведен переход исключительно на электронную форму денежных расчетов (куда в последние годы прямо-таки насильно заталкивают всех, кого возможно), исключительно на электронную форму прав на недвижимость и др., тогда, естественно, никаких претензий никто ни к кому в подобной ситуации не предъявит и даже не сможет предъявить. Придется попросту принять обнуление серверов как данность.

Далее, на следующий странице Э. Таненбаум пишет: когда вы имеете дело с вирусом, не бойтесь прослыть параноиком.

Вот такие вот рекомендации, еще раз, от одного из гуру, разработчиков операционных систем. Как он совершенно верно отмечает, на указанные меры, конечно же, практически никто не обращает внимания, не принимает всерьез. И так, мол, работает, зачем «заморачиваться».

Несмотря на то, что соблюдение подобных мер могло бы свести вирусы практически на нет.