Адрес документа: http://itsec.ru/newstext.php?news_id=37328
Зоя Новикова: Ваше имя в последнее время называют в ряду самых известных исследователей в области компьютерной безопасности. Вы давно занимаете этим? Джоанна Рутковска: Я занимаюсь компьютерами где-то лет с 11-ти. Мне трудно сказать, в какой именно момент я увлеклась именно безопасностью: долгое время я интересовалась тем, что касается устройства операционных систем, программирования на "Ассемблере". В начале я занималась не безопасностью как таковой, но накопила хорошую базу знаний для этого. З.Н.: Как считаете, хакинг — это скорее технический или творческий процесс? Д.Р.: Мне бы хотелось избежать дискуссии о том, что такое "настоящий" хакинг, и что значит быть хакером, и т.д. Я не считаю себя хакером (хотя в прессе меня часто так называют). Я считаю себя исследователем в области компьютерной безопасности, а с недавних пор — ещё и бизнесвумен. Сейчас я управляю своей собственной компанией, Invisible Things Lab ( "Лаборатория невидимых вещей" — примеч. ROSTOV.RU). Кстати, в команде ITL работает Александр Терешкин: он русский, живёт в Таганроге, что очень близко к Ростову :). Возвращаясь к вашему вопросу: как и многие другие научные дисциплины, компьютерная безопасность требует предельно творческого подхода. Хотя есть и "скучная" часть работы, требующая систематичного и педантичного мышления. З.Н.: А если бы в мире не существовало компьютеров, вы бы чем занимались тогда? Д.Р.: Мне нравится решать проблемы и играть по строго определенным правилам, как, например, в математике. Мне кажется, в гуманитарных науках и в искусстве я бы не очень преуспела. Наверное, я могла бы быть следователем или детективом, распутывать какие-нибудь таинственные преступления. Или, может, адвокатом?.. З.Н.: Почему вы интересуетесь именно безопасностью операционных систем Windows в последнее время? Почему не Unix или Linux? Д.Р.: Когда я работала в другой компании (а свой бизнес у меня появился месяцев шесть назад), я много занималась Windows Vista. На то была совершенно прагматичная причина — большинство заказчиков интересовались безопасностью именно этой системы. Понятно, почему: операционные системы Microsoft распространены в мире более всех остальных. З.Н.: Какая операционная система стоит у вас на домашнем компьютере? Д.Р.: У меня много разных ОС на разных компьютерах. Но на двух основных машинах я пользуюсь Vista :). З.Н.: Крупнейшие производители ОС бьются над безопасностью своих систем, хотя зачастую слабым звеном безопасности оказывается сам пользователь. Какие есть пути решения этой проблемы? Д.Р.: Это, несомненно, очень большая проблема. Я думаю, защитить пользователя от самого себя невозможно. Другими словами, если пользователь наивен (или давайте просто скажем: он тупица), то с этим ничего нельзя поделать, его просто надо учить. Многие люди, вовлеченные в сферу IT, заходят ещё дальше, заявляя, что "человеческий фактор" — это самый большой вызов для системы безопасности. Я не совсем согласна с этим утверждением: есть много трудно решаемых технических задач, помимо человеческого фактора. Иными словами, сейчас структура операционных систем так плоха, что даже пользователи, сведущие в компьютерных технологиях, не могут чувствовать себя защищёнными. Я, например, считаю себя продвинутым пользователем, но я не могу быть уверена, что моя машина не будет подвергнута опасности из-за какого-нибудь бага, предположим, в драйвере Wi-Fi. З.Н.: Вредоносные программы становятся всё сложнее и "умнее". Успевают ли производители средств безопасности за темпами развития технологий "плохих парней"? Д.Р.: Я думаю, мы не сможем выиграть битву с авторами вредоносных программ без двух вещей: во-первых, без изменения структуры существующих ОС, во-вторых, без разработки обучающих программ. Может, изучение в школе основ безопасного использования компьютеров, это неплохая идея? Или, может, люди, перед тем, как подключиться к интернету, будут проходить какие-то специальные тренинги и получать сертификаты? Точно так же, как люди, желающие получить права, должны сдать экзамен по вождению. З.Н.: Все чаще появляются комментарии специалистов о возможности несанкционированного получения дополнительной информации о пользователях крупными корпорациями (Windows Mobile Backdoor, просмотр почты пользователей Google). Как вы к этому относитесь? Д.Р.: Мы должны различать тут случай, когда производители программ или оборудования встраивают секретный код в свои продукты и шпионят потом за пользователем, и случай, когда поставщик сервисов (например, почтового), злоупотребляет своим положением (тем, что ему доступны персональные данные клиента), и следит за ним. Первый случай — крайне рискованное дело для производителей. Они должны осознавать, что рано или поздно код будет обнаружен, и если исследователи смогут доказать, что он был встроен намеренно, вендору придётся очень несладко. Если же рассмотреть второй сценарий, то здесь пострадает скорее потребитель. Представьте себе провайдера почтового сервиса, или, ещё лучше, провайдера Exchange хостинга (который позволяет держать на своём сервере не только почту, но и календарь, и адресную книгу, и список задач). Провайдер имеет полный доступ ко всем данным пользователя и предлагает в конце концов сервис для отслеживания персональных сведений о клиенте. Большинство не осознаёт этого. Люди доверяют провайдерам, верят в их слоганы "все зашифровано" и т.д. Безусловно, все взаимодействия зашифрованы, но это касается только взаимодействия между клиентом и сервером. На сервере же данные никогда не шифруются, иначе провайдер не смог бы распоряжаться этими данными. Возьмите к примеру Google. Они предлагают различные сервисы, включая Gmail, Google Calendar и Google Documents. И посмотрите, сколько людей их используют: много! Но это всё равно, что выложить свои тайны на поднос! Google теперь может устанавливать связь между поисковыми запросами в сети и индивидуальным почтовым ящиком, видеть, с кем вы встречаетесь вечером, знать, какой продукт ваша компания выпустит на следующей неделе, так как вы готовили презентацию с помощью Google. И всё это без всяких потайных кодов: мы сами снабжаем сервер Google этой информацией! З.Н.: Назовите три вещи на вашем столе, от которых вы бы избавились. :) Д.Р.: Хммммм.... Я на самом деле достаточно аккуратный человек, поэтому на моем столе нет большого беспорядка :) З.Н.: А без каких трех вещей вы не смогли бы прожить? Д.Р.: Без зубной щётки или, по крайней мере, жевательной резинки. Без неё я не могу прожить даже несколько часов :). Ещё одна вещь — удобная кровать. Чтобы нормально функционировать, мне надо много спать. В общем, я достаточно требовательный человек в том, что касается быта, пищи. Короче, испорченная городская девочка :). З.Н.: Что вы считаете сейчас своим самым большим достижением? Д.Р.: Счастливую жизнь с моим партнёром. З.Н.: Кем бы вы хотели видеть своих детей? Д.Р.: У меня пока нет детей, но если бы были, я бы не стала говорить им, что они должны или не должны делать. Я категорически против того, чтобы родители "имели представление" о том, как должна выглядеть жизнь их детей и заставляли их отвечать этим "представлениям". Обычно это приводит к тому, что родители оказываются неудовлетворены, а дети — разочарованы.
Copyright © 2004-2019, ООО "ГРОТЕК"
15 ноября в "Вертол-Экспо" открывается форум IT-директоров. Кроме директоров, в нём примет участие Джоанна Рутковска, автор нескольких нашумевших атак на систему безопасности Windows Vista. За это её тут же стали включать в топ-листы лучших хакеров планеты, а она в письме Зое Новиковой написала, что она против того, чтобы её так называли.
