Книга состоит из трех частей:

• часть I «Ландшафт» дает общий вид картины: кто такие взломщики, чего они хотят и что нужно делать, чтобы предотвратить угрозу;

• часть II «Технологии» в основном описывает различные технологии безопасности и их ограничения;

• часть III «Стратегии» в соответствии с окружающим ландшафтом и ограничениями технологий определяет, что же мы теперь должны делать.

Я думаю, безопасность информационных систем – самая потрясающая вещь, которой можно заниматься в наши дни, и книга отражает это мое ощущение. Это серьезно, но и весело – несомненно. Читайте и получайте удовольствие.

Очень многие люди читали эту книгу на разных стадиях ее подготовки. Я хотел бы поблагодарить тех, кто читал наиболее ранний вариант этой книги: Стива Басса, Сьюзен Гринспан, Криса Холла, Джона Келси и Мадж. Их советы помогли мне окончательно определить как содержание, так и стиль изложения. Мне хотелось бы также выразить благодарность Бет Фридман за ее помощь в основательном редактировании книги, когда она была написана еще лишь наполовину, и редактировании других ее частей, а также за помощь в руководстве работой редактора и корректора, Карен Купер за помощь в корректуре и Рафаилу Картеру за помощь в редактировании, когда работа над книгой уже близилась к концу. Ценные замечания при чтении книги или ее частей сделали: Микеланджело, Кен Айер, Стив Басс, Дэвид Дайер-Беннетт, Эд Беннетт, Рассел Бранд, Карен Купер, Дэвид Коуен, Уолта Куртис, Дороти Деннинг, Карл Эллисон, Эндрю Фернандес, Гордон Форс, Эми Форсайт, Дин Гэлон, Дрю Гросс, Грегори Гуерин, Питер Гутманн, Марк Харди, Дейв Инат, Крис Джонстон, Джеймс Джораш, Ариен Ленстра, Стюарт Мак Клур, Гэри Мак Гроу, Дуг Меррилл, Джефф Мосс, Симона Несс, Артимадж Нельсон, Питер Ньюман, Эндрю Одлизко, Дуг Прайс, Джеймс Риордан, Бернард Руссели, Том Роули, Эви Рубин, Риан Рассел, Адам Шостак, Симон Сингх, Джим Уолнер и Элизабет Цвикки. Благодаря этим людям книга стала более завершенной, точной и интересной. Все недостатки, пропущенные ошибки и чрезмерное многословие остаются на совести автора.

Ваши замечания, предложения и вопросы отправляйте по адресу электронной почты comp@piter com (издательство «Питер», компьютерная редакция).

Мы будем рады узнать ваше мнение!

Все исходные тексты, приведенные в книге, вы можете найти по адресуpiter com/download.

Подробную информацию о наших книгах вы найдете на веб-сайте издательстваpiter com.

В марте 2000 года я занимался тем, что собирал воедино сведения из различных источников о событиях, связанных с проблемой компьютерной безопасности. Вот эти сведения.

• Кто-то взломал веб-сайт SalesGate com (электронная коммерция В2В, business-to-business) и украл около 3000 записей, содержащих номера кредитных карт клиентов и информацию частного характера. Часть этой информации он поместил в Интернете.

• В течение нескольких лет частная информация утекала с веб-сайтов (таких как Intuit) к рекламодателям (например, DoubleClick). Когда посетители производили расчеты на сайте Intuit, вводимая ими информация посылалась и на DoubleClick благодаря ошибке, допущенной программистами при создании сайта. Все это происходило без ведома пользователей и, что более удивительно, без ведома Intuit.

• Осужденный за свои преступления хакер Кэвин Митник в показаниях Конгрессу сказал, что наиболее уязвимое место в системе безопасности – «человеческий фактор». Он зачастую выведывал пароли и другую секретную информацию, действуя под чужим именем.

• Опрос службы Гэллапа показал, что каждый третий из тех, кто делает покупки через Интернет, будет делать их, пожалуй, менее охотно в свете последних событий, связанных с проблемами безопасности.

• Частные данные клиентов, заказывавших PlayStation 2 на веб-сайте корпорации Sony, «утекли» к неким другим клиентам. (Это – актуальная проблема всех типов сайтов. Многие посетители «отмечаются» на них в надежде получить информацию о покупателях сайта.)

• Директор ЦРУ отрицал, что Соединенные Штаты участвовали в экономическом шпионаже, но не стал отрицать существования обширной разведывательной сети, называемой ECHELON.

• Некто Пьер-Гай Лавойе, 22 лет, был осужден в Квебеке за взлом системы безопасности нескольких правительственных компьютеров США и Канады. Он провел 12 месяцев в заключении.

• Министерство обороны Японии приостановило внедрение новой компьютерной системы безопасности после того, как установило, что программное обеспечение было разработано членами секты Аум Синрике.

• Новый почтовый вирус, названный «Чудесный парк» (Pretty Park), распространился через Интернет. Это новая разновидность вируса, появившегося годом раньше. Он рассылался автоматически по всем адресам, имеющимся в почте пользователей программы Outlook Express.

• Novell и Microsoft продолжают препираться по поводу замеченных ошибок в системе безопасности Active Directory операционной системы Windows 2000: кто из них должен обеспечивать параметры безопасности, установленные вами для своего каталога (я лично верю, что это конструктивный недостаток Windows, а не ошибка).

• Двое сицилианцев (Джузеппе Руссо и его жена Сандра Элазар) были арестованы за кражу через Интернет около тысячи кредитных карт США. Они использовали эти карты для закупки лучших товаров и лотерейных билетов.

• Отражена серия атак, направленных на отказ в обслуживании, проведенных хакером (на самом деле – скучающим подростком) по имени Кулио (Coolio). Он признал, что в прошлом вскрыл около 100 сайтов, в том числе сайт криптографической компании RSA Security и сайт, принадлежащий государственному департаменту США.