воскресенье, 21 сентября 2008 г.

iPhone: “Безопасность” это “Контроль”

Автор: Брюс Шнайер.

Оригинал: “With iPhone, ‘Security’ Is Code for ‘Control’” by Bruce Schneier.Vendor Lock-in

Покупка iPhone это не то же самое, что и покупка автомобиля или тостера. Ваш iPhone поставляется со сложными списками правил относительно того, что вы можете или не можете делать с ним. Вы не можете установить в телефон не одобренные Apple приложения сторонних разработчиков. Вы не можете разлочить его и использовать с другим мобильным оператором по вашему выбору. И Apple серьезно относится к этим правилам: в сентябре 2007 года выпущено обновление программного обеспечения, которое стирает несанкционированное ПО и, в некоторых случаях, разблокированные телефоны перестают работать.

Компьютерные компании хотят большего контроля над продуктами, которые они продают вам и они прибегают ко все более жестким мерам защиты, чтобы получить контроль. Эти причины носят экономический характер.

Контроль позволяет компании ограничивать конкуренцию на вспомогательные продукты. Она может способствовать конкуренции, когда нужно и оставляет за собой монопольное положение, когда она хочет. И может диктовать условия любой компании, которая хочет продавать программное обеспечение и аксессуары для iPhone.

Это увеличивает доходы Apple. Но основная польза для Apple от всего этого контроля заключается в том, что она увеличивает “Lock-in”.

“Lock-in” является экономическим термином для обозначения трудности перехода к конкурирующим продуктам.

(Такие вещи еще называются Vendor Lock-in, или барьер для смены поставщика. Прим.пер.)

У некоторых продуктов, например, колы нет блокировки “Lock-in”. Я могу выпить “Колы” сегодня, а завтра - “Пепси”. Но для других продуктов это сделать труднее.

Например, смена текстовых процессоров, требует установки новых приложений, обучению новому интерфейсу и новому набору команд, преобразование всех файлов (которые не смогут точно преобразоваться) и пользовательские программы (которые, безусловно, потребуют переписывания) и, возможно, даже покупки нового оборудования.

Lock-in является чем-то новым. Именно поэтому все игровые консоли разных производителей не будут играть картриджи с любой другой консоли, и компании могут снизить цены на консоли и сделать прибыль за счет продажи игр. Именно поэтому Microsoft никогда не захочет открыть свои форматы файлов с тем, чтобы другие приложения могли читать их. И именно поэтому музыка приобретенная у Apple для вашего iPod не будет работать на других марках музыкальных проигрывателей. Именно поэтому каждая сотовая компания США воюет против переносимости телефонного номера. И т.д.

(Большая часть мебели, продававшейся в свое время в IKEA, обладала нестандартными размерами. Благодаря этому, компания смогла успешно организовать продажу постельного белья для своей же мебели. Прим.пер.)

Как только возведен достаточный барьер “Lock-In”, компания снижает уровень обслуживания клиентов, поднимает цены, отказывается вводить новшества и допускает иные злоупотребления своей клиентской базой.

Экономисты Carl Shapiro и Hal Varian доказали, что стоимость программного обеспечения компании - это тотальный lock-in.

Вот схема:

Предположим, что у вас есть 100 человек в компании, которые используют MS Office стоимостью от $500 каждый. Если стоимость компании менее $50,000, то она будет переходить на Open Office. Если стоимость компании превышает $50,000, то Microsoft увеличит свои цены.

Компании в основном увеличивают свой lock-in через механизмы защиты.

Иногда с помощью патентов, но чаще всего используется защита от копирования, управления цифровыми правами (digital rights management - DRM), цифровым кодом подписи или иными механизмами защиты.

Эти функции защиты, не имеют никакого отношения к безопасности: они не защищают нас от внешних угроз, они защищают компании от нас.

Microsoft планировала такого рода механизмы контроля через безопасность на протяжении многих лет. Используются методы, запрещающие доступ к “несанкционированным” файлам или предотвращающие запуск несанкционированного программного обеспечения.
Когда-то это называлось NGSCB (Next-Generation Secure Computing Base).

Конкурентные преимущества Microsoft этом плане огромны (PDF).

Конечно, дело не в том, как Microsoft рекламирует эти механизмы. Microsoft преподносит их как меры безопасности, защита пользователей от червей, троянов и других вредоносных программ.

Но контроль не равен безопасности, и такого рода контроль, ориентированный на ограничения, иногда делает нас более уязвимыми по отношению к другим угрозам.

Возможно, именно поэтому Microsoft тихо убила NGSCB, но мы получили BitLocker, и мы могли бы получить некоторые другие элементы такой “безопасности” в случае включения специальных аппаратных средств в материнские платы.

В случае с Apple и iPhone, я не знаю, что еще они собираются сделать.

Apple будет пытаться сохранить контроль путем применения секретного ключа, который потребуется для всех “официальных” сторонних приложений, но он, естественно, уже взломан.

И гонка “защитных” вооружений (я бы перевел как “средств извлечения суперприбылей”, прим.пер.) продолжается …

Дополнительная информация

5 причин, чтобы избегать iPhone

PS от переводчика. На одном из сайтов рунета, а именно на секьюрити-лаб очень любят переводить Брюса Шнайера. И перед началом работы я поискал там,- вдруг уже перевели. Нет, не нашел. Потом посмотрел вниз их страницы, гда выведено “работает под управлением Windows Server“, о… пардон, все ясно. Вот такие у нас “картонные” спецы по ИБ ;) или по IT-безопасности, кто их там разберет. А что? - бизнес есть бизнес. Кстати, они переводят из Брюса Шнайера какой-то бред ни о чем, поэтому сначала у меня сложилось о нем нехорошее мнение. Но оказалось, что я ошибся, Брюс Шнайер - вменяемый человек ;)

Отправить комментарий

Неактивный атрибут "скрытый" или как снять атрибут скрытый после вируса

Некоторые пользователи компьютеров часто сталкиваются с проблемой, когда папки и файлы вдруг становятся скрытыми. Или, проще говоря, исчез...