Регистрация15.02 // Брюс Шнайер: безопасность и контроль
Известный специалист в области криптографии и сетевой безопасности Брюс Шнайер в своей статье знакомит читателя с возможными последствиями подмены понятий «безопасность» и «контроль», рассматривая их соотношение на примере схемы «привязки» (lock-in), набирающей популярность, в последнее время, среди производителей ПО и компьютерного оборудования.
Покупка iPhone это не одно и то же, что покупка машины или тостера. Ваш iPhone вы получаете вместе со сложным набором правил о том, что можно делать и что нельзя. Например, вы не можете устанавливать несанкционированное ПО стороннего разработчика. Вы не можете разблокировать iPhone и использовать сотового оператора по своему выбору. И Apple очень серьезно следит за соблюдением правил — обновление прошивки в сентябре 2007 года удалило все несанкционированное ПО и, в некоторых случаях, сделало разблокированные телефоны непригодными для дальнейшего использования. Появился даже особый термин – «Bricked» (от слова brick (англ.) — кирпич; наиболее близкий перевод «окирпичен») и, похоже, Apple не очень сожалеет по поводу испорченных устройств.
Компьютерные компании хотят получить больше контроля над теми продуктами, которые продают, прибегая ко все более драконовским мерам безопасности. Причины чисто экономические. Контроль позволяет компании управлять конкуренцией для сопутствующих продуктов. Например, для компьютеров Mac любой может продавать любое ПО. Но Apple взялась сама определять кто и какие программы может продавать для iPhone. Такая позиция позволяет, если потребуется, усилить конкуренцию или закрепить за собой монопольное положение. Это позволяет диктовать условия другим компаниям, которые хотели бы продавать ПО для iPhone.
Но основная выгода от усиления контроля заключается в усилении привязанности (lock-in). «Привязанность» – это экономическое условие для затруднения перехода на конкурирующий продукт. Для некоторых продуктов, например для колы, не существует привязанности. Я могу пить Coke сегодня и Pepsi завтра. Но для иных товаров это сложнее.
Смена текстового редактора, для примера, требует установки нового ПО, обучению новому интерфейсу и набору команд, конвертации всех созданных файлов (которые не всегда могут быть сконвертированы корректно) и, в некоторых случаях, покупки нового оборудования. Мой текстовой редактор может раздражать меня долгое время, прежде чем я просто рассмотрю возможность проведения всех этих работ и затрат.
Идея «привязки» не нова. Именно поэтому, все производители игровых консолей делают свои игры несовместимыми с другими игровыми консолями, иначе как бы они могли, продавая консоль себе в убыток, зарабатывать на продаже самих игр? Именно поэтому, Microsoft никогда не стремится раскрыть свои форматы файлов, чтобы другие приложения могли их читать. Именно поэтому, музыка, приобретенная у Apple для iPod не будет играть на других музыкальных проигрывателях. Именно поэтому, американские сотовые операторы выступают против возможности сохранения номера при смене оператора.
Используя привязанность, компании могут защитить свой объем продаж даже если компания снижает уровень обслуживания клиентов, поднимает цены, отказывается от инноваций и пренебрегает клиентской базой. Это особенно заметно для IT-компаний: однажды открыв для себя такую стратегию, сегодня каждый размышляет о том, как получить больше, чем возможно.
Зачастую, компании увеличивают к себе привязанность через механизмы безопасности. Иногда для этого используются патенты, но намного чаще защита от копирования, управление цифровыми правами (DRM) и другие механизмы обеспечения безопасности. Такая безопасность не соответствуют тому, что мы привыкли считать безопасностью: эти технологии не защищают нас от внешних угроз, они защищают производителя от нас.
Microsoft разрабатывала похожего вида механизм безопасности на основе контроля несколько лет. Первоначально система называлась Palladium, сейчас NGSCB (Next-Generation Secure Computing — безопасные вычисления следующего поколения). Идея NGSCB заключается в построении системы безопасности на основе контроля на аппаратном уровне. Детали реализации сложны, но результаты внедрения такой системы будут варьировать от возможности загружать только санкционированную Microsoft операционную систему, до возможности запрета доступа к несанкционированным файлам. Конкурентные преимущества от такой системы огромны.
Конечно, Microsoft не рекламирует NGSCB. Компания позиционирует систему как средство безопасности, защищающее пользователей от сетевых червей, троянских программ и другого вредоносного ПО. Но контроль не эквивалентен безопасности, и такие средства делают нас более уязвимыми перед иными угрозами. Подменяя понятия «контроль» и «безопасность», компании имеют возможность усилить контроль, который работает против наших интересов.
Что касается Apple и iPhone, я не знаю что они собираются делать. С одной стороны, существует аналитический отчет, согласно которому, разблокировано около миллиона iPhone, стоивших Apple около 450 миллионов долларов. С другой стороны, Apple планирует в этом месяце выпустить комплект разработчика, снимающий прежнее ограничение и позволяющий третьей стороне писать свое ПО для iPhone. Apple будет пытаться сохранить контроль путем применения секретного ключа, который потребуется для всех «официальных» сторонних программ и, который уже, разумеется, раскрыт.
Источник: http://www.schneier.com/blog/archives/2008/02/lockin.html, http://www.opennet.ru/opennews/art.shtml? Num=14196
комментариев: 1060 документов: 16 редакций: 32
Держи своих друзей возле себя, но врагов ещё ближе. :)
А шо вы хотели? Есть понятие бухгалтерской прибыли, а есть понятие экономической прибыли, разницу понимаете? И кто должен платить за недополученную прибыль организации? Естественно, клиенты. Скоро будет правило напододобие "не хочешь использовать Windows – не используй, но заплати за такое право, ибо ты – причина недополученной прибыли". Причём это всё не так смешно как кажется, например, можно подойти с таким подходом: вы – потенциальный клиент коммерческой фирмы, значит, она должна с вас что-то иметь, не хотите быть клиентом – откупитесь. Рассмотрим фирму Армия, или фирму Государство. Если вы не хотите платить налоги или служитьв армии – ваше дело, но вы должны за это заплатить, дабы указанные организации не остались в убыле после учёта "недополученных
прибылирук".Есть каста: золотой миллиард. А есть все остальные. Кто не успел попасть в тот миллиард – тот опоздал :)
Например я никогда не куплю ифон, зачем мне нужен прибор работающий ПРОТИВ меня?! А остальные покупают, потому что "модно", "приколько", "удобно", "да и вообще круто!". И тем самым дают таким фирмам проводить политику в своих интересах. (Хотя, если аппарат имеет адекватную моим представлениям цену, проломленную прошивку, без всяких искусственных маркетинговых ограничений, то возможно куплю – но покупать по навязанной производителем цена, с бокировками и привязками, анунах мне это надо?)
Все больше убеждаюсь, что за свою свободу прийдется бороться, без этого никто не будет считаться с ней!
Но не все так безнадежно! Может показаться циничным, но такие меры заставляют ЛЮДЕЙ думать, и искать пути решения вопроса, пусть не всех, меньшую часть.
Можете привести тест на принадлежность к этой касте? А то вдруг я из "этих", просто не знаю об ентом :)
Первый тест вопроса ядумаю будет таким:
1. У вас есть один миллиард в золотых слитках?
Я так понял, к золотому миллиарду относят типичных жителей европы, америки и других "развитых" стран.
Вот есть ли жизнь за МКАДом?
/мну в текущий момент за МКАДом. Кстати, жизнь даже очень есть. но только вокруг коммерческих структур. А если вне их, то нигде нет, даже и внутри МКАДа.