Программное обеспечение для всех основных операционных систем работает бесконтрольно, но каждой программе доверять нельзя, утверждает эксперт. Современные компьютеры «исполняют неизвестно какой код при каждом посещении любого веб-сайта».

По мнению директора по архитектуре безопасности проекта One Laptop per Child Ивана Крштича (Ivan Krstic), который выступил в понедельник на конференции AusCert 2007 в Австралии, система защиты персональных компьютеров не должна базироваться на предпосылке 35-летней давности, согласно которой программное обеспечение может работать с теми же привилегиями, что и пользователь.

«Ошибка номер один заключается в очень простой предпосылке, что все программное обеспечение в настольном ПК должно наделяться всеми правами, исходя из предположения, что это процессы пользователя, — заявил Крштич. — В результате для всех основных операционных систем — включая Linux, Mac OS и Windows — написано множество программ, которые могут отформатировать ваш жесткий диск, шпионить за вашим компьютером, подслушивать и подсматривать через микрофон и видеокамеру или передавать управление компьютером третьим лицам».

В качестве одного из примеров такой программы он привел игру Minesweeper, которая прилагается к любой версии Microsoft Windows. «Это не преувеличение. Против того, что Minesweeper может делать все это, возразить нечего. Это означает, что где-то допущена серьезная ошибка».

Крштич пояснил, что такие программы, как Minesweeper, могут воздействовать на другие программы благодаря допущению, восходящему к 1971 году, когда Кен Томпсон и Деннис Ричи предложили первую версию Unix и когда загрузка программы в компьютер была отнюдь не тривиальным делом. В 1971 году «перенести программу из одного места в другое можно было только посредством перфокарт или магнитной ленты. Их физически загружали в машину, и она исполняла эту программу. Тот, кто это делал, отвечал за все, что творит программа в его компьютере».

«Тридцать пять лет спустя мы используем ту же фундаментальную предпосылку в отношении безопасности», — сказал Крштич, напомнив участникам конференции, что современные компьютеры «исполняют неизвестно какой код при каждом посещении любого веб-сайта».

Иван Крштич считает, что подход к защите ПК устарел

Algonet.ru

22 мая, 2007

*