[2] Scott Berinato/CIO, "Whos Stealing Your Passwords? Global Hackers Create a New Online Crime Economy".
[3] Ross Anderson, "Why Information Security is Hard - An Economic Perspective".
[4] Ross Anderson, Tyler Moore, "Information Securty Economics - and Beyond". Там же.
[5] Rainer Bцhme, "Vulnerability Markets: What is the economic value of a zero-day exploit?".
[6] Charlie Miller, "The Legitimate Vulnerability Market: Inside the Secretive World of 0-day Exploit Sales".
книги: Недетские игры
Автор: Киви БердВряд ли хоть кто-то, пребывая в здравом рассудке, станет отрицать, что учиться на своих ошибках - это признак ума. Признак же мудрости - способность учиться на ошибках других. Однако Эд Фелтен, профессор Принстона и видный специалист по защите информации, недавно отметил, что специалисты по компьютерной безопасности, увы, регулярно демонстрируют неспособность учиться на ошибках - как чужих, так и собственных. То ли старательно скрывают уже допущенные промахи, то ли притворяются, будто их просто не существует.
8/12
В самую популярную в мире многопользовательскую онлайновую игру World of Warcraft, по состоянию на лето 2007 года, играли 8 млн. человек, каждый из которых платит за право участия в ней 14 долларов в месяц. По оценкам аналитиков, к 2009 году игровой рынок достигнет 12 млрд. долларов.
Сформулированная Фелтеном идея, конечно же, не была внезапным откровением. О неблагоприятном положении дел с компьютерной безопасностью прекрасно осведомлены все эксперты и даже многие несведущие в этой области люди. Постоянно прилагаются усилия, чтобы переломить унылую тенденцию и перестать, наконец, наступать на одни и те же грабли. Частью этой работы стала новая книга американских авторов Грега Хоглунда и Гэри Макгроу "Эксплуатация онлайновых игр: жульничество в массивно-распределенных системах"["Exploiting Online Ga-mes: Cheating Massively Distributed Systems" by Greg Hoglund and Gary McGraw, Addison-Wesley Professional, 2007, www.exploitingonline-games.com.]. В книге подробно рассказывается о промахах, допускаемых игровыми компаниями, и о последствиях этих промахов. Фирмам, разрабатывающим компьютерные игры, это издание поможет извлечь уроки из своих ошибок, да и из ошибок коллег по индустрии. По этой книге можно научиться заранее замечать ловушки, подстерегающие разработчика, - и избегать их.
Волею судьбы выход книги совпал по времени с большущим интернет-скандалом вокруг популярного онлайнового казино AbsolutePoker.com (См. заметку "Абсолютная афера" в КТ #708 - Прим. ред.). Завсегдатаи этого сайта - заядлые картежники - вдруг стали замечать, что некоторые игроки демонстрируют поистине сверхъестественные способности. Своими точными ходами, умелыми ставками и регулярными крупными выигрышами эти счастливчики попирали все законы теории вероятностей, словно видя карты соперников насквозь. Администрация сайта-казино, следуя традиции, ни в какую не признавала очевидные факты жульничества и категорически не желала проводить расследование. Тогда за дело взялись сами посетители сайта. Они собрали массу информации, документально подтверждающей
мошенничество, которое стало возможным вследствие слабостей программного обеспечения. Улики, изобличившие одного из технических сотрудников казино, оказались столь вескими, что компания была вынуждена официально извиниться и привлечь к судебной ответственности собственные кадры.
Кроме того, Хоглунд и Макгроу выдвигают еще несколько веских, по их мнению, доводов относительно полезности своей работы. Во-первых (этот аспект многократно подчеркивается и другими авторами по самым разным поводам), в виртуальных мирах игр ныне крутятся реальные и весьма большие деньги. Во-вторых, огромное множество игроков по сию пору совершенно не в курсе, каковы подлинные масштабы жульничества. И в-третьих, безопасность программ для онлайновых игр имеет не просто много, а очень много критически важных моментов, которые напрямую связаны с проблемами безопасности других, более важных разновидностей программного обеспечения.
Как практикующие эксперты по компьютерной безопасности, авторы книги уверены, что для всестороннего понимания системы надо знать не только как она работает, но и как она ломается. Единственный же путь к этому - выявлять и досконально изучать все слабые места системы.
Массивно-распределенные онлайновые игры имеют чрезвычайно сложное программное обеспечение. Благодаря гигантскому числу пользователей это ПО постоянно проверяет на прочность распределенные клиент-серверные архитектуры. Поскольку почти любое современное ПО в конечном счете становится массивно-распределенным, сегодняшние игры - это завтрашний день остальных программ.
Предисловие, вступление и первая глава "Эксплуатации онлайновых игр" дают развернутое объяснение причин, побудивших авторов взяться за описание средств и методов жульничества. Хоглунд и Макгроу принадлежат к довольно узкой группе специалистов, умеющих работать в стиле "хакинг для защиты". Подробно исследуя всевозможные уязвимости систем, они выпустили уже несколько книг об эксплуатации слабостей защиты программного обеспечения. По всеобщему признанию это весьма полезные руководства для тех, кто пытается строить надежные, хорошо защищенные программы.