Пока в этом году в сознание масс - прежде всего у нас, в США, - усиленно внедрялись термины вроде "zombie agents" и "script kiddies", волна распределенных атак (distributed denial-of-service attacks) заставила сетевых администраторов и пользователей всерьез задуматься над проблемой, которую часто игнорируют: проблемой безопасности в сети. Несмотря на то, что множество компаний уже тогда занимались распространением соответствующих программных продуктов, группа экспертов потихоньку готовилась к запуску совершенно нового онлайнового проекта по обеспечению безопасности. Компания @Stake (www.atstake.com), возглавляемая такими специалистами, как Джон Рэндо, бывший вице-президент Compaq, и Тед Джулиан, ранее работавший аналитиком в Forrester Research, предлагает услуги безопасности, не занимаясь при этом распространением программного обеспечения.

Компания воспользовалась методом, который уже давно практикуется, хоть в этом избегают признаваться: стала приглашать хакеров и взломщиков на должности консультантов по безопасности. Но в отличие от других, @Stake не стала выуживать для себя работников в хакерских чатах. В этом году произошло ее слияние с L0pht (www.l0pht.com), известнейшей онлайновой компанией, предлагающей услуги безопасности, и "мозговым центром", собравшим самых знаменитых хакеров мира - за исключением тех, что прославились благодаря своим сложностями с законом.

Например, ведущий научный сотрудник L0pht (и своего рода знаменитость) Доктор Мадж, который не раз держал речь перед сенатом США и был приглашен в Белый Дом для встречи с американским президентом Клинтоном, занял в @Stake должность директора по исследованиям и разработкам, пополнив сборную команду, которая способна сделать компанию-новичка лидером в своей области.

Компания @Stake предлагает услуги обеспечения безопасности коммерческих сетевых операций и другой деятельности с использованием мощностей Интернета. Имея офисы в Ресерч-Трайэнгл-Парк, штат Северная Каролина, Сан-Франциско и Сиэттле, к концу этого года компания надеется выйти на международный рынок.

Летом @Stake создала Совет технических консультантов, пригласив специалистов по безопасности из Counterpane, Intel, MIT и UUNet. Одна из задач совета, как ее понимает руководство компании, - это "постоянное обновление представления о стратегии сетевой безопасности". Не так давно @Stake приобрела лондонскую компанию Cerberus Information Security (CIS), Ltd, предлагающую услуги по тестированию на преодоление защиты и проверке безопасности. Недавно у нас состоялся разговор с Тедом Джулианом, нынешним директором по маркетингу и развитию бизнеса в @Stake, о проблемах безопасности сетевого сообщества в век интернет-коммерции и о том, что называют "кибер-преступлением" и "кибер-терроризмом".

Мэтью В. Бил: По вашему собственному определению, ваша компания - это группа профессионалов, нацеленная на создание "новой парадигмы" сетевой безопасности, как вы любите это называть. Расскажите, пожалуйста, нашим читателям, что это значит.

Тед Джулиан: Теперь, когда в нашу жизнь вошел интернет и, в частности, интернет-коммерция, проблема безопасности из тактической - связанной со стремлением свести к минимуму расходы на безопасность - стала превращаться в стратегическую, ведь главным образом от этого зависит степень открытости компании, а значит, и степень эффективности ее интернет-стратегии.

М.В.Б.: Ваша компания произвела сенсацию, пригласив к себе работать команду суперхакеров из L0pht. Расскажите немного о L0pht: как вам удалось завязать с ними сотрудничество, и что они делают для @Stake?

Т.Дж.: Я пришел в нашу компанию из Forrester Research. Там я был ведущим аналитиком по вопросам безопасности, поэтому многие годы знал о том, что такое L0pht. Когда мы все вместе стали составлять список сотрудников, которых мечтали увидеть у нас, в нем, конечно же, оказались специалисты L0pht. Нас свел вместе общий знакомый, и мы принялись рассказывать им о том, какой видится нам наша компания.

Что действительно вызвало у них отклик и, как мне кажется, очень удачно связало все воедино, - так это, прежде всего, то, что проблема смены парадигмы, о которой мы только что с вами говорили, оказалась им очень близка. Сегодня нужно быть одновременно и открытым, и защищенным - вот в чем парадокс проблемы безопасности. Простая блокировка теперь уже не проходит - слишком уж велики могут быть потери фирмы, если она не использует благоприятные возможности. Кроме того, их привлекла наша независимость. Пользователи остро нуждаются в консультанте по вопросам безопасности, которому можно доверять и который не связан необходимостью реализовать какой-нибудь продукт, ведь все, что такому в конечном счете нужно, - это продать товар. Не хотят они иметь дело и с компанией, которая, скажем, на 40 процентов принадлежит Cisco и потому вряд ли станет рекомендовать им продукты или услуги конкурирующей фирмы. Так вот, специалистов L0pht прежде всего привлекала идея независимости; они понимали, как нужен пользователям компетентный и универсальный поставщик услуг безопасности, и почувствовали, что мы - та компания, у которой все это есть.

М.В.Б.: Компания L0pht - известный сторонник политики под названием "полное разглашение" ("full disclosure"): это когда специалисты по безопасности делают общедоступной информацию об уязвимости системы, видя, что компания никак не пытается себя защитить. Что вы думаете по этому поводу?

Т.Дж.: Эти ребята не делают ничего особенного. Если в системе безопасности есть изъяны, то никуда от этого не денешься. Они просто находят эти изъяны. А что бы сделали вы, если бы сами их обнаружили? Стали бы умалчивать об этом, надеясь, что никто не заметит и ими не воспользуется? Это немного наивно. Наши клиенты просто счастливы, если им сообщают о таких проблемах, - они и в самом деле хотят узнавать о них в ту же минуту, как кто-нибудь другой их обнаружит, чтобы иметь возможность себя обезопасить.

По-моему, это очень просто. Единственное, что можно сделать, - это раскрыть информацию, чтобы каждый имел возможность себя защитить. Важно предупредить клиента, и мы, конечно же, это делаем. Мне также кажется, что полезно сосредоточить внимание людей на какой-то одной идее, и это нам тоже обычно удается.

М.В.Б.: Как мне представляется, информацию об уязвимости системы раскрывают в связи с отсутствием ответной реакции компании. Начинает ли эта ситуация меняться сейчас?

Т.Дж.: А как же! Думаю, компании достаточно пару раз поплатиться за свою пассивность, чтобы на нее снизошло просветление. Нам, конечно, еще есть над чем работать. Но в последние годы мы далеко продвинулись в том, что касается серьезности подхода к этой проблеме и предупредительных мер, - мне кажется, это не вызывает сомнений. И, честно говоря, я думаю, что это стало возможным лишь благодаря бдительности таких групп, как L0pht, - наших теперешних специалистов и разработчиков.

Наш случай не уникален - стоит лишь вспомнить о той роли, которую сыграли отзывы потребителей в развитии автомобильной промышленности, - и таких аналогий, я уверен, можно привести множество. Думаю, что мы находимся в процессе эволюции, которую переживали и другие отрасли.

М.В.Б.: В феврале волна распределенных атак, сообщениями о которых пестрили газетные заголовки, стала для многих своеобразным сигналом к пробуждению. Существует ли еще какая-то опасность, о которой следует знать нашим читателям?

Т.Дж.: Этот вопрос можно рассматривать с разных точек зрения. Прежде всего, имеет место некоторый процесс, который, как я только что говорил, требует смены парадигмы и представляет собой опасность. Я поясню это чуть позже. Но имеется и конкретная угроза, о которой, как и об опасности распределенных атак, хорошо знают, хоть с ней нам еще не приходилось сталкиваться. Эта угроза исходит от самозапускающихся приложений. Дело в том, что Active X-объекты и Java-апплеты можно использовать со злым умыслом. До сих пор вирусы в основном передавались через прикрепленные файлы. Чтобы запустить вирус, вы должны были открыть такой файл.

Опасность же, о которой я говорю, намного серьезней, поскольку тут действует совсем другой механизм. Теперь клиенты электронных почтовых служб имеют возможность не только получать почту в текстовом формате, но и просматривать веб-страницы. А поскольку веб-страница может содержать программу на Java или объект Active X, все, что нужно сделать, - это открыть письмо, хотя бы в окне предварительного просмотра. Нет необходимости открывать прикрепленный файл - нужно просто открыть письмо, и это приведет к запуску Java-апплета или объекта Active X. И если они содержат вирус, то тут-то ракета и выстреливает.

Принципиально то, насколько быстро и беспрепятственно сможет распространяться эта опасность, когда мы ее уже осознаем. А на это нам потребуется еще некоторое время.

Все, о чем мы здесь говорили - по поводу вирусов и даже распределенных атак, - по моему ощущению, вписывается в единый процесс, который уже запущен и не собирается останавливаться, а будет лишь усложняться и идти все дальше. Это реальность, и компаниям придется научиться справляться с такими трудностями, чтобы каждый раз, как они возникают, не наступала катастрофа. Слишком уж дорого это бы обходилось.

Серьезные компании найдут выход из положения. Главное - это подготовить сотрудников. Знают ли они, что делать, если начнется распределенная атака? Обучен ли каждый из них, знаком ли каждый из них с процедурой устранения неполадок настолько, что способен произвести ее, даже если его поднимут среди ночи? Все очень просто, но не так уж легко осуществимо. Идем дальше: техническая сторона вопроса. Каким образом сотрудники могут снизить вероятность проблем с безопасностью и, если они возникнут, свести к минимуму последствия? Они должны легко справляться и с распределенными атаками, и с вирусами, чтобы не впасть в зависимость от таких проблем.

На самом деле все это чисто административные вопросы. А ведь есть еще и другие стратегические проблемы безопасности, и, боюсь, многие компании их просто избегают или не придают им особого значения. Возьмем, скажем, обеспечение доступа к данным SAP для составления описей и инвентаризации. Хороший пример сложной и каверзной проблемы безопасности, сумев разрешить которую, компания открывает для себя новые горизонты и может, например, создавать прекрасные веб-страницы для своих партнеров, фирменных магазинов и покупателей.

Использование этого типа данных и этого типа доступа к хранилищам информации открывает возможности, от которых потребитель приходит в восторг и изумление. И вот один из первых примеров: год или два назад мы получили возможность в реальном времени отслеживать маршрут отправленных по почте посылок. Когда появилась эта услуга, потребители на ней просто помешались, что дало громадное преимущество перед конкурентами американской почтовой службе FedEx и другим компаниям, которые первыми сообразили, что к чему. А все потому, что эти компании ввели в свой интерфейс отсылки к серверным системам, что позволило просматривать на сайте информацию, которая там хранится. Это лишь один из примеров использования доступа к хранилищам данных для создания прекрасных веб-страниц. Так вот, к вопросу об обеспечении доступа к SAP. Все мы знаем, что это непросто. Необязательно быть продвинутым ученым, чтобы понимать: не может быть и речи об отсылке к таким важнейшим для всего бизнеса системам, пока вы не сможете обеспечить их защиту. Меня беспокоит, что наши клиенты не очень-то озабочены стратегическими проблемами такого рода.

Это значит, что конкурентам не составит труда опередить их, стоит лишь им разработать гибкую систему безопасности, позволяющую без труда обеспечивать доступ к любым системам и, как результат, создавать потрясающие сайты, от которых придет в восторг любой клиент. Тем самым они получат громадное преимущество перед конкурентами, а менее поворотливые компании могут в конечном счете и вовсе оказаться за бортом. Вряд ли вас сможет вывести из дела какой-нибудь там вирус, но если вы упускаете свой шанс, отказываясь от использования новых возможностей, связанных с доступом к хранилищам данных, вы так или иначе окажетесь за бортом.

М.В.Б.: Что вы думаете о попытках борьбы с "кибер-терроризмом", которые предпринимает администрация Клинтона, и каков должен быть вклад государства в обеспечение безопасности сетевой деятельности?

Т.Дж.: Задавшись такой целью, можно, конечно, найти недостатки в том, что они делают. Но как средство повышения информированности - и самого правительства, и населения в целом - это отличный ход, в этом можно не сомневаться. От Клинтона эта информированность распространяется на все федеральное правительство, так что все это замечательно. И, думаю, они сыграли не последнюю роль в том, что отношение к проблеме безопасности стало постепенно принимать стратегический характер. Этому способствовали распределенные атаки и вирусы, но также Клинтон и иже с ним, воспринявшие их как сигнал к действию.

Если конкретнее, я думаю, что им лучше всего подходит та позиция, которую они избрали в отношении других проблем интернета: оставаться в самой тени, помогая лишь воздействовать на установившиеся нормы и формулируя критерии общепринятости, и, как правило, давать сетевой индустрии двигаться собственным курсом. Так что можно сказать, что сперва они совершили ошибку, начав зашифровывать собственные документы, но потом несколько выправились, смирившись с сетевой реальностью и найдя другой, более приемлемый выход из положения. Неважно, как мы к этому относимся, - главное, что то, к чему они в конечном счете пришли, имеет гораздо больше шансов сработать, в этом я не сомневаюсь.

М.В.Б.: Что отличает @Stake от других компаний, занимающихся безопасностью сетевой деятельности?

Т.Дж.: Мы ничего не продаем и, думаю, никогда не будем продавать. Это и отличает нас от поставщиков всех видов и мастей, которые, как правило, предлагают услуги лишь для того, чтобы продвигать свой товар. Они образуют первый лагерь. Ко второму лагерю относятся компании, предлагающие услуги разного рода, и услуги безопасности "в том числе". Будь это компания, занимающаяся веб-дизайном, консалтинговая фирма или одна из крупных бухгалтерских компаний, сетевая безопасность для них - лишь одна из областей деятельности. Такова общая картина: кто-то занимается безопасностью "в первую очередь", кто-то "в том числе", но, по сути, для всех них это лишь средство продвижения в другой области деятельности.

Мы, правда, надеемся, что со временем таких, как мы, станет гораздо больше. Но в настоящий момент - по крайней мере, так было, когда образовалась наша компания, - мы единственные в своем роде.

М.В.Б.: Каким вам представляется положение с сетевой безопасностью через год, как будут развиваться события?

Т.Дж.: Год или около того будет потрачен на переход от тактического к стратегическому восприятию проблемы безопасности. Мы увидим, как компании будут совершать этот переход, потому что их будут к этому вынуждать. Потом мы будем наблюдать, как благодаря этим изменениям они начнут постепенно отделяться от основной массы и накапливать преимущество перед конкурентами. Процесс этот пойдет в двух областях. Прежде всего, они больше не будут зависеть от проблем, связанных с эксплуатацией системы - вирусов и тому подобного, - и перестанут терять на этом клиентов. Во-вторых, они смогут создавать сногсшибательные сайты, которые будут строиться на доступе к серверным хранилищам информации (что станет возможным благодаря новой стратегии), и постепенно устранять барьеры между группами безопасности и группами сетевой коммерции внутри одной организации.

Думаю, это главная перемена, которая нас ожидает. В области технологий тоже произойдет сдвиг, но это будет позже. И все же мне кажется, что изменение самого подхода - гораздо более важный процесс, чем любые технологические перемены, ведь именно смена парадигмы открывает путь новым технологиям.