Пляшущие свинки
Пляшущие свинки (иногда также известный как «проблема пляшущих кроликов») — термин в области информационной безопасности, описывающий поведение пользователей, которые продолжают выбирать развлекательный или привлекательный контент даже при получении предупреждений от программ безопасности о его потенциальной опасности. Это означает, что когда пользователь хочет получить определённую функцию или развлечение, вопросы безопасности зачастую игнорируются, и поэтому защита должна быть встроена в систему и не полагаться на решения пользователей без специальной подготовки[1].
Другими словами, пользователи выбирают желаемую ими основную функцию, не учитывая соображения безопасности. Термин «пляшущие свинки» распространён среди специалистов по информационным технологиям и часто встречается в специализированных публикациях.
Происхождение
Термин был введён Эдвардом Фелтеном и Гэри МакГроу:
Давая пользователю выбор между пляшущими свинками и безопасностью, они всегда выбирают пляшущих свинок[2].
Брюс Шнайер пояснил данную мысль:
Если обычный пользователь кликает на кнопку, обещающую показать пляшущих свинок на экране его компьютера, и вместо этого получает предупреждение о потенциальных опасностях апплета — он всегда выберет пляшущих свинок, а не безопасность. Даже если появится предупреждение типа «Апплет DANCING PIGS может содержать вредоносный код, способный нанести непоправимый ущерб вашему компьютеру, украсть ваши сбережения и негативно повлиять на ваше здоровье», пользователь нажмёт OK, зачастую не читая его. Через тридцать секунд он уже не вспомнит, что какое-либо предупреждение вообще появлялось[3].
В руководстве по проверке безопасности Mozilla указывается:
Многие наши потенциальные пользователи мало разбираются в компьютерных технологиях и не осознают рисков, связанных с использованием интерактивного веб-контента. Поэтому наша задача — как можно меньше полагаться на пользовательское суждение[4].
В широко обсуждавшейся статье 2009 года[5] тема «пляшущих свинок» напрямую упоминается, а поведение пользователей признаётся рациональным:
Хотя этот термин звучит забавно, это несправедливо: пользователям практически никогда не предлагают настоящую безопасность — ни как отдельную опцию, ни как альтернативу чему-либо. Им предлагают лишь всё более запутанные наборы советов, предписания, обновления политик и предупреждения, среди которых встречаются только неясные и неустойчивые обещания снижения рисков, но не реальной безопасности[6].
Экспериментальные подтверждения
Исследование, посвящённое фишингу, показало, что люди предпочитают развлекательные анимации безопасности. В ходе эксперимента участникам демонстрировали ряд фишинговых сайтов, в том числе подделку главной страницы Bank of the West[7]:
Для многих участников самым показательным оказался «милый» дизайн, высокий уровень детализации и то, что сайт не требовал много информации. Два участника отметили анимационное видео с медведями на странице («потому что это сложно подделать»). В целом респонденты находили эти анимации привлекательными, и многие перезагружали страницу, чтобы посмотреть ролик ещё раз.
Шнайер полагал, что проблема пляшущих свинок может привести к киберпреступности как одной из основных угроз. Он отметил: «Тактики могут меняться... потому что меры безопасности делают одни приёмы сложнее, другие — проще, но сама проблема остаётся постоянной». Игнорирование компьютерной безопасности может привести к разнообразному ущербу и существенным потерям[8].
Примечания
Ссылки
- Beware of the dancing bunnies — блог Ларри Остермана (на англ.)
- Strider HoneyMonkey Project — исследовательский проект Microsoft (архив)