Введення


Коли в лісі падає дерево і нікого не немає поблизу, у будь-якому випадку лунає гучний тріск. Проте якщо комп'ютерна мережа містить ваду в системі захисту і нікому про це невідомо, то на перший погляд здається, що таку мережу можна вважати за надійну. Лише найбільший ідеаліст може посперечатися з цим твердженням, проте дуже скоро ви побачите, що все далеко не так очевидно.
Мережа з вадою в підсистемі зашиті виявляється незахищеною для тих, кому відомо про цей пролом. Якщо про неї не знає ніхто, тобто вада до справжнього моменту ще не була виявлена, то можна вважати, що мережа в безпеці. Якщо хоч би одна людина дізнається про це слабке місце, то мережа стане для нього уразливою, проте вона як і раніше буде захищеною від всіх останніх. Якщо ж про недолік стане відомо виробникові устаткування... Якщо фахівці якої-небудь дослідницької групи дізнаються про це... Якщо ця інформація потрапить до рук співтовариства хакерів... У будь-якій з цих ситуацій незахищеність мережі зросте у багато разів і ця новина миттєво стане загальним надбанням.
Чи так це насправді? Вада існує незалежно від того, відомо про нього кому-небудь чи ні. Публікація матеріалів із цього приводу безпосередньо не приводить до незахищеності мережі. Подібне твердження може збити з пантелику. Публікація матеріалів підвищує вірогідність того, що зломщик скористається цим слабким местомом, проте це ніяк не характеризує саму ваду. В той же час інформаційні повідомлення збільшують і вірогідність того, що будуть зроблені відповідні контрзаходи. Точно так, як і зловмисник не зможе скористатися невідомою вадою, так і захистити мережу не можна буде до тих пір, поки про її слабке місце не стане відомо.
Отже збереження інформації про виявлену ваду в секреті є далеко не кращим способом боротьби з ним. Такий підхід виявляється корисним лише до того моменту, поки цей секрет таким і залишатиметься. Проте все, що пов'язане з інформацією, приводить до її розповсюдження. Одні розголошують секрети випадково. Інші — з певною метою. Іноді секрети потрапляють до рук третіх осіб. Проте як тільки ця інформація перестала бути секретною, її вже ніколи не вдасться заховати.
Процес забезпечення безпеки, при якому отримані дані без обмеження надаються широкій громадськості, виявляється найбільш робастним. Звичайно, зломщики теж дізнаються про це, проте вони зможуть отримати необхідну інформацію і в будь-якому іншому випадку. Що істотніше, важливі дані стануть доступні і фахівцям, розробляючим системи захисту, виробникам програмне і апаратне забезпечення, які зможуть усунути виявлені вади і випустити відповідні модулі оновлення, і системним адміністраторам, які зможуть прийняти необхідні контрзаходи. Чим більше людей знають про ваду, тим більше підвищується вірогідність його усунення. Набудувавши себе на надання інформації, а не на її заховання, ви сприяєте підвищенню рівня захищеності, а не його пониженню.
Приведені роздуми лежать в основі складної проблеми забезпечення безпеки зі всіма пов'язаними з нею аспектами, що в результаті приводить до поліпшення захищеності мережі Internet впродовж багатьох років. Після публікації результатів досліджень і демонстраційної коди виробники програмного забезпечення приділяють більше часу усуненню відомих вад. Різні компанії не в змозі усунути проблеми, згадка про яких з'являється в газетах. Internet як і раніше залишається практично незахищеною, проте буде набагато гірше, якщо всі з існуючих вад безпеки залишаться прихованими від громадськості.
Із-за того що загальнодоступна інформація автоматично не потрапляє до рук більшості людей, і з'явилася ця книга. "Секрети"хакеров — це дуже докладна інформація про способи забезпечення комп'ютерної безпеки. У цьому виданні міститься повний опис вад в системах зашиті: що вони є, як їх можна використовувати і які у відповідь контрзаходи слід робити. Після читання цієї книги ви знатимете про свою мережу значно більше і, що ще важливіше, зможете захистити її набагато краще, ніж за допомогою відомостей, що містяться в будь-якому іншому аналогічному виданні. Ця книга містить по-справжньому безцінну інформацію.
Звичайно, отримані знання можна використовувати як для захисту, так і для нападу. Хто-небудь може скористатися цими відомостями як керівництвом для реалізації власних атак. Майже напевно саме це і трапиться, що достатньо сумно. Проте насправді все йде трохи інакше. Раніше вже з'являлося керівництво по нападах на комп'ютерні системи і мережі. Їх можна знайти на різних Web-узлах і в інтерактивних службах. Вони набагато раніше були призначені для хакинга, хоча і не були описані так детально, як в цій книзі. Тут містяться відомості для тих, кому необхідно знати про те, які дії робляться хакерами, як функціонують використовувані при цьому засоби і які вади приховані в системі захисту експлуатованих мереж.
Перше видання цієї книги стало справжнім бестселером серед книг на комп'ютерну тематику: більше 70 тисяч екземплярів було продано менш ніж за один рік. Той факт, що авторам довелося так швидко відновити вміст книги, говорить про те, що з'явилося настільки багато нової інформації, що знадобилося випустити друге видання.
Ось біблейський вислів, який можна висікти на камені: "Прагнете до істини, і вона зробить вас вільними". Знання — це велика сила, оскільки вони дозволяють ухвалювати зважені рішення, засновані на законах реальності ...а не на тому, як це виглядає у ваших власних очах. Ця книга надасть нові знання і у багато разів примножить вашу силу. Скористайтеся ними повною мірою.