Kompiuterių saugumo specialistams 2018-ieji prasidėjo su trenksmu. Kompiuterių saugumas tapo dar pažeidžiamesnis: praėjusį trečiadienį pranešta apie dvi naujai aptiktas kompiuterių saugumo spragas. Paprastai ir suprantamai apie šį reiškinį – nuolatinės „The New York Times“ apžvalgininkės, Šiaurės Karolinos universiteto (JAV) profesorės, knygų autorės Zeynep Tufekci rašinyje.
Dėl minėtų saugumo spragų gali kilti bėdų su beveik visų populiariausių mikroprocesorių lustais. Pasinaudodami šiomis saugumo spragomis, programišiai gali nesunkiai pavogti informaciją tiek iš asmeninių kompiuterių, tiek iš debesijoje laikomų išteklių. Pasklidus žiniai, spragas pulta šalinti. Sistemų administratoriai visuose pasaulio kraštuose liko be išeiginių.
Spragų nepastebėta dešimtmečius
Eiliniam kompiuterio naudotojui perdėm panikuoti nereikėtų, bent kol kas. Spragos jų kompiuteriuose bus pašalintos atsinaujinus programoms, taigi jokių papildomų priemonių imtis nebūtina. Na, gal dar vertėtų pagalvoti apie reklamos blokavimo įrankių įsidiegimą, nes kai kurios reklamos gali turėti kenkėjiškų elementų. Ir tai, ko gero, yra viskas, ką gali padaryti eilinis kompiuterių naudotojas.
Vis dėlto, kad ir kaip paprastą žmogų stengtųsi raminti specialistai, gyvenant pasaulyje, kuriame skaitmeninės technologijos vis intensyviau diegiamos visur – ne tik telefonuose, bet ir automobiliuose, kūdikių monitoriuose ir t. t., – vis tiek darosi neramu.
Skaitmeninį pasaulį pasistatėme per greitai. Jis kilo sluoksnis po sluoksnio, tačiau niekas nesitikėjo, kad apatiniams sluoksniams ateityje teks atlaikyti tiek daug: apsaugoti mūsų asmeninę korespondenciją, mūsų finansus ir visą mūsų gyvenimo infrastruktūrą. Įvairias optimizavimo priemones, ypač – saugumo aukojimą dėl didesnės spartos ar atminties, galbūt ir buvo galima pateisinti, tačiau tik tada, kai kompiuterių vaidmuo mūsų gyvenime buvo gerokai mažesnis nei dabar. Šiandien tie apatiniai sluoksniai kelia didžiulių problemų. Spragos, apie kurias pranešta praėjusią savaitę, juose slypėjo dešimtmečius. Galbūt jų niekas iki šiol nepastebėjo, o gal pastebėjo ir seniai jomis naudojosi.
Kai bando nuspėti veiksmus ir suklysta
Beveik visi šiuolaikiniai mikroprocesoriai geba atlikti tam tikrus triukus, kad iš atitinkamų kompiuterių programų „išspaustų“ kuo daugiau naudos. Vienas iš įprastų triukų – nuspėti, ką programa darys toliau, ir pradėti tai daryti dar prieš gaunant nurodymą tai padaryti. Šiuolaikinį mikroprocesorių būtų galima palyginti su rūpestingu liokajumi – antrą taurę vyno jis įpils dar prieš jums sužinant, kad jos norite.
O kas, jei antros taurės vyno jūs nė neplanavote gerti? Kas, jei planavote paprašyti portveino? Jokių problemų: vyną liokajus išpils į pamazgas ir atneš stiklą portveino. Taip, šiek tiek laiko sugaišta. Bet, vertinant apskritai, kadangi bendras laikas, skirtas jūsų reikmėms patenkinti, viršija prarastą laiką, viskas yra gerai.
Deja, gerai yra ne viskas. Įsivaizduokite, kad detalių apie savo vyno rūsį jūs nepageidaujate atskleisti tretiesiems asmenims. Tačiau pasirodo, kad, stebėdami jūsų liokajaus elgesį, tie tretieji asmenys pasidaro apie jūsų rūsį nemažai išvadų. Jie sužino tai, ko nebūtų paaiškėję, jei rūpestingasis liokajus būtų kantriai laukęs tolesnio jūsų nurodymo, užuot mėginęs jūsų būsimus pageidavimus atspėti pats. Beveik visi šiuolaikiniai mikroprocesoriai atlieka tai, ką mėgino atlikti liokajus, ir palieka pėdsakus. Būtent šiais pėdsakais programišiai ir gali pasinaudoti.
Galimi du scenarijai
Atsižvelgiant į susidariusias aplinkybes, staiga susizgribta organizuoti papildomą kompiuterinių sistemų apsaugą, ir kurį laiką to gal ir pakaks, rašo Z. Tufekci. Ko tikėtis geriausiu atveju? Pasak jos, geriausiu atveju būsimi laikini įrangos patobulinimai kainuos. Tačiau, turint galvoje, kad problema glūdi aparatinėje įrangoje, t. y. milijarduose lustų, kurių neįmanoma taip paprastai imti ir pakeisti, – ją pašalinti gali būti nežmoniškai brangu.
O štai blogiausiu atveju bet kokie mėginimai įrangą taisyti gali būti pavėluoti. Spragas, apie kurias pranešta praėjusią savaitę, aptiko trys nepriklausomos specialistų komandos, kurių tyrimų dėmesio centre tuo pat metu atsidūrė ta pati bėda. Tikėtina, kad mažiau sąžiningi veikėjai jau taip pat yra aptikę šias spragas, tik niekam apie jas nepranešė, o, užuot tai padarę, jomis sėkmingai pasinaudojo.
Šiuolaikinė kompiuterių apsauga – tarsi sukrypęs namelis, kurį reikia perstatyti iš pagrindų. Pastaraisiais metais vis pasitaikydavo nedidelių nesklandumų šen bei ten, tačiau didesnio dėmesio tai niekada nesusilaukdavo. Iš už tai atsakingų bendrovių nebūdavo reikalaujama praktiškai jokios atskaitomybės, net ir tada, kai apie galimus nesklandumus būdavo galima numanyti iš anksto dėl pernelyg mažų investicijų į saugumo užtikrinimą arba dėl to, kad į nustatytas saugumo procedūras buvo žvelgiama pro pirštus.
Rekomenduoja atsikratyti programinėmis šiukšlėmis
Pasak straipsnio autorės, kompiuterines sistemas tikrai galima padaryti saugesnes. Pavyzdžiui, įvairias jų dalis galima labiau atsieti vienas nuo kitų, saugumo užtikrinimo funkcijas diegiant tik į griežtai kontroliuojamą aparatinę įrangą, o programinę įrangą (kuri visada yra gerokai pažeidžiamesnė) kuo labiau nuo jų izoliuojant. Neįmanoma įsilaužti ten, kur neįmanoma prieiti. Tai galbūt reiškia, kad dėl saugumo teks paaukoti šiek tiek spartos.
Kita vertus, mūsų kompiuteriai jau ir taip yra pakankamai spartūs. Jei galutiniam naudotojui vis dėlto atrodo, kad kompiuteris veikia per lėtai, greičiausiai taip yra dėl to, kad jis pilnas programinių šiukšlių, vadinamųjų bloatware. Tai, pavyzdžiui, blogai įrašytos programos ar reklamos skriptai, kurie, bandydami susekti jūsų veiksmus internete, gali pridaryti labai didelių nemalonumų. Atsikračius šių šiukšlių, kompiuterio sparta iškart padidėtų, o svarbiausia – nebeliktų, kas stebi jūsų veiksmus internete ir galimai kėsinasi į jūsų duomenis.
Na, o kol kas, pasak Z. Tufekci, tenka susitaikyti: vienas įsilaužimas po kito, viena saugumo spraga po kitos. Jei taip reguliariai iš dangaus kristų keleiviniai lėktuvai, mes ne tik gūžčiotume pečiais. Priešingai – mes investuotume į geresnį skrydžių dinamikos supratimą, reikalautume atsakomybės iš įmonių, nesilaikiusių nustatytų saugumo procedūrų, nuodugniai analizuotume naujus netikėtai mus užklupusius incidentus ir iš jų mokytumėmės. Kas trukdo visų šių priemonių imtis tam, kad užtikrintume savo skaitmeninių sistemų saugumą?