Журнал Компьютерра - Журнал "Компьютерра" N745
Из-за существенных расхождений между реальной ситуацией и ее восприятием возникает масса проблем, потому что люди принимают решения на основе своих ощущений, а не реальности.
В теории уже имеется понимание, что всякое проектирование безопасности — по природе своей дело психологическое. Однако очень многие разработчики систем безопасности этот факт игнорируют. А укоренившиеся в сознании людей когнитивные предрассудки и предубеждения ведут к неверной оценке рисков. Хорошо известно, скажем, что в автомобили практически все люди садятся без страха, хотя жертв на дорогах гораздо больше, чем в небе. Напротив, в салоне авиалайнера многие чувствуют себя менее безопасно, чем это есть на самом деле. Другой созвучный пример — из Интернета. Знакомая всем пиктограмма ключика или замка в углу окошка браузера, обозначающая защищенный сеанс, заставляет людей чувствовать себя в большей безопасности, хотя сама по себе никакой гарантией она не является.
Беда в том, что подобного рода предрассудки успешно используются злоумышленниками. Многие атаки на информационные системы эксплуатируют психологию в большей степени, нежели технологию. Все уже, наверное, наслышаны о фишинг-атаках, обманом завлекающих людей на фальшивые веб-сайты, которые выглядят как подлинные, но в действительности воруют пароли.
Технические меры, конечно, могут предотвратить часть фишинг-атак, однако важнейшим звеном тут являются люди, предостеречь которых от глупых действий и неверных решений гораздо труднее. И сегодня атаки, базирующиеся на обмане, представляют самую большую угрозу для онлайновой безопасности.
Чтобы быть эффективными, системы защиты должны быть удобны в использовании и понятны не только компьютерным асам, но и самым обыкновенным людям. А всякое исследование о практичной и удобной безопасности — не только в сети, но и в быту, в жизни, повсюду — неизбежно должно иметь психологический компонент. Ныне, к счастью, диалог между исследователями в областях безопасности и психологии начал быстро расширяться. Здесь сходятся все больше и больше дисциплин — от практической безопасности в инжиниринге, дизайне протоколов, приватности и политике с одной стороны, до социальной психологии, эволюционной биологии и поведенческой экономики — с другой.
Личность как пароль
Пользователям Интернета наверняка доводилось сталкиваться с вебсайтами, которые желают знать о посетителе примерно такие вещи: имя первой учительницы, или имя любимого домашнего животного, или девичью фамилии матери, или, скажем, год окончания школы.
Это лишь некоторые из типичных "контрольных вопросов" регистрации, которые сайты зададут клиентам, если те вдруг забыли пароль доступа к своему аккаунту и хотели бы его восстановить. Как показывает практика, многим людям вспомнить через несколько лет свой собственный ответ на контрольный вопрос почти так же трудно, как вспомнить забытый пароль.
С другой стороны, эта же технология чрезвычайно облегчает несанкционированный владельцем доступ к аккаунту, поскольку радикально сокращает количество опробуемых вариантов пароля. Например, вариантов с годом окончания школы раз-два и обчелся. Что же касается других вопросов, то в Сети известны места, где собраны типичные клички домашних животных, распространенные имена людей и тому подобные списки.
Понятно, что для алгоритма восстановления пароля хотелось бы иметь нечто более надежное и эффективное. Об одном из новых альтернативных решений на конференции в Бостоне рассказал Маркус Джекобсон (Markus Jakobsson), ведущий ученый PARC, Исследовательского центра Пало-Альто. В новом методе, поэтично названном Blue Moon Authentication, при регистрации нового пользователя программа просит дать ответы типа "да/нет" на довольно длинный список вопросов о личных предпочтениях: нравится или нет вам музыка стиля панк-рок, игра гольф, блюда южной кухни и т. п. И если вдруг случится конфуз с позабытым паролем, то клиенту предъявляется уже известный перечень вопросов. Но тут для восстановления пароля не надо ничего вспоминать — надо просто быть самим собой.
Исследования на полутысяче добровольцев-студентов показали, что у людей обычно нет никаких проблем с тем, чтобы "вспомнить, кто они есть". Для злоумышленников же новый тест стал гораздо более сложной задачей — без тщательной специальной подготовки вероятность правильного ответа на все вопросы оказывается заметно меньше одного процента.
Правда, пока не очень ясно, насколько существенными для этого алгоритма могут быть изменяющиеся за несколько лет предпочтения людей.
Идеи и вопросы
В краткой статье, конечно, не расскажешь обо всех докладах, сделанных на бостонском семинаре. Однако несколько заметных выступлений — для общего впечатления — упомянуть следует.
Джин Кэмп (Jean Camp), исследовательница из Университета Индианы, рассказала о ментальных моделях, которые используют опытные и неопытные компьютерные пользователи при оценке возможных рисков в онлайне. Как правило, отметила Кэмп, люди довольно легко могут оценивать риски, если располагают физическими ключами к ситуации. Например, при поиске стоянки для автомашины водители склонны избегать темные и безлюдные площадки. Беда в том, что в онлайне почти нет физических ключей подобного рода для оценки потенциальной опасности сайта. Из-за этого, в частности, пожилые люди не чувствуют себя безопасно в Интернете. Конкретные проблемы доверия к Сети Кэмп изучает вместе с обитателями находящегося по соседству с нею дома престарелых. Как вариант решения, она изготовила большой, мерцающий разными цветами бокс, который расположен рядом с дисплеем и управляется специальной программой. На основе множества характеристик алгоритм программы оценивает каждый из посещаемых сайтов, а сигнальный бокс, соответственно, светит зеленым, когда сайт рекомендован как безопасный, и красным, когда рискованным. В таких условиях дедушки-бабушки чувствуют себя комфортнее и более склонны воспользоваться преимуществами Интернета для регулярных связей со своей семьей.
С другой стороны, интенсивная борьба за то, чтобы люди чувствовали себя более безопасно, порой может приводить и к прямо противоположному эффекту.
Фрэнк Фьюреди (Frank Furedi), известный британский автор по проблематике рисков и страхов в обществе, описал в своем докладе нарастающую истерию, как он это называет, по поводу педофилии в Великобритании. К следующему году, говорит Фьюреди, треть всех британских граждан будет обязана пройти на сей счет проверку в полиции. В результате некоторые родители запретят своим детям играть с теми детьми, чьи родители такую проверку не проходили. То есть, отмечает докладчик, нас тревожат уже не педофилы — мы беспокоимся по поводу людей, которых полиция не проверила. Иначе говоря, в ответ на небезопасность общество порождает еще больше источников небезопасности. Довольно часто, отмечает Фьюреди, властям проще создавать видимость безопасности, нежели реальность безопасности.
Среди свежих и нестандартных идей, обсуждавшихся на семинаре, прозвучала, к примеру, такая. Компьютеры получились чересчур доброжелательными к человеку. Сенсоры опасности, данные людям от природы, неплохо работают, скажем, при употреблении несвежей пищи. Или предупреждая о том, что поблизости может быть опасное животное. Однако эти сенсоры никуда не годятся для предупреждения о киберугрозах.
А разработчики программ и железа затратили массу усилий, чтобы сделать компьютер максимально дружелюбным к пользователю. Быть может, это была ошибка.
Так, по крайне мере, считает Николас Хэмфри (Nicholas Humphrey) из Лондонской школы экономики. Порой здоровый "первобытный" страх мог бы очень помочь осторожности в онлайне. Например, на экране могла бы неожиданно появляться здоровенная акула — дабы "пробить" человека до примитивных страхов и разбудить его дремлющую бдительность.
Эксперт по приватности Алессандро Аккуисти извлек похожую концепцию из педагогики — идею "момента научения". Сотрудники фирм, как известно, с большой неохотой читают или конспектируют инструкции по безопасности. Однако если устроить им нечто вроде живых противопожарных учений, поведение и реакция могут измениться очень существенно. Представим, что раз в месяц ИТ-департамент без предупреждения рассылает всем вполне благонамеренного вида электронное письмо, к которому, однако, прицеплен какой-нибудь ложный вирус. Те сотрудники, что попадутся на эту уловку и откроют приложение, тут же получат нагоняй от начальства и грозное напоминание не кликать те файлы, которые не были заказаны. В более критических обстоятельствах подобный прокол может найти отражение в ежегодной характеристике или помешать карьерному росту. В условиях контролируемого теста, говорит Аккуисти, компьютерные пользователи гораздо быстрее обучаются принципам безопасного поведения, нежели при традиционном изучении инструкций.