Эксперт по безопасности: Подход к защите ПК устарел
По мнению директора по архитектуре безопасности проекта One Laptop per Child Ивана Крштича (Ivan Krstic), который выступил в понедельник на конференции AusCert 2007 в Австралии, система защиты персональных компьютеров не должна базироваться на предпосылке 35-летней давности, согласно которой программное обеспечение может работать с теми же привилегиями, что и пользователь. «Ошибка номер один заключается в очень простой предпосылке, что все программное обеспечение в настольном ПК должно наделяться всеми правами, исходя из предположения, что это процессы пользователя, — заявил Крштич. — В результате для всех основных операционных систем — включая Linux, Mac OS и Windows — написано множество программ, которые могут отформатировать ваш жесткий диск, шпионить за вашим компьютером, подслушивать и подсматривать через микрофон и видеокамеру или передавать управление компьютером третьим лицам».
Крштич пояснил, что такие программы, как Minesweeper, могут воздействовать на другие программы благодаря допущению, восходящему к 1971 году, когда Кен Томпсон и Деннис Ричи предложили первую версию Unix и когда загрузка программы в компьютер была отнюдь не тривиальным делом. В 1971 году «перенести программу из одного места в другое можно было только посредством перфокарт или магнитной ленты. Их физически загружали в машину, и она исполняла эту программу. Тот, кто это делал, отвечал за все, что творит программа в его компьютере».
«Тридцать пять лет спустя мы используем ту же фундаментальную предпосылку в отношении безопасности», — сказал Крстич, напомнив участникам конференции, что современные компьютеры «исполняют неизвестно какой код при каждом посещении любого веб-сайта».
www.securitylab.ru