Category: литература

Category was added automatically. Read all entries about "литература".

white

Скромные заслуги

«Фидель Кастро включен в Книгу рекордов Гиннесса как рекордсмен по количеству совершенных на него покушений... В общей сложности было насчитано 638 покушений, совершенных самыми различными способами»
Эти гиннесовцы – какие-то мистики. Материалист внёс бы в книгу рекордов не цель покушений, а службу безопасности, которая охранила и уберегла.

В нашей деятельности количество неудачных кибератак тоже выступает аргументом. Чем больше было отражено, тем лучше соответствующее средство защиты. Производители с удовольствием рассказывают о таких инцидентах.

Зато подвергшиеся кибернападению предприятия не спешат брать пример с легендарного Фиделя и не очень гордятся отражёнными атаками и предотвращёнными утечками. Предпочитают их секретить. Ваш покорный слуга и весь наш отдел маркетинга неоднократно упрашивал клиентов поделиться своими success stories, в которых действующим лицом была наша DLP. Чаще всего мы получали отказ.

Маркетологи не могут понять, почему обладатели информации так не хотят рассказывать о неудачных покушениях на их информацию. В большинстве случаев пиар-эффект был бы положительный. Но у заказчиков какие-то свои соображения, какая-то своя аргументация, которые они также скрывают.

white

Пароли повсюду

Кажется, уже не встретишь ссылок вида http://login:password@www.site.com; даже браузеры цензурируют такие URLы, не позволяя им попасть в скриншот или ссылку. Однако мест и предметов, содержащих пароли, всё больше. И их количество, похоже, растёт быстрее, чем успевают вырезать ножницы цензоров.

Рассказывают, что при покупке б/у телефона легче лёгкого найти в его записной книжке номера различных платных сервисов с пин-кодами к ним. Эти записные книжки телефонных аппаратов стали шибко умными. У них уже хватает интеллекта автоматически синхронизироваться между разными модулями и сим-картами, но ещё не хватает сообразительности вычленить и спрятать пароль.

Пароли везде. Ныне даже ваша домашняя кошка может иметь собственный пароль – на ошейнике, для отпирания лаза в дом или открытия индивидуальной кормушки. Отмечены уже случаи хака или даже откровенного кряка запароленных автокормушек сообразительными котами.

Те же RFID-метки представляют собой аппаратный несменяемый пароль. Почему такая технология числится среди передовых? Несменяемые пароли в компьютерных сетях уже лет 20 считаются не соответствующими требованиям времени.

white

Война тащит прогресс за шиворот

В детстве мне удалось через родственников и знакомых пристроиться к библиотеке одного закрытого предприятия. Библиотека была богатейшая и обширнейшая. А местные рабочие как-то не особенно к ней тяготели... Таких библиографических редкостей, какие ваш покорный слуга брал там, сейчас и у букинистов не достанешь.

Так вот, в связи с сегодняшним Днём космонавтики вспоминаю читанную в заветной библиотеке книгу В.Лея "Ракеты и космические полёты", изданную в 1957 в США и примерно тогда же переведённую на русский. Популярное изложение истории ракетостроения с древних времён и до освоения космоса. (Кстати, в книге внезапно оказалось, что США первыми вышли в космсос в 1949 году при помощи трофейной "Фау-2".)

Понятно, что большая часть текста посвящена ракетному оружию Второй мировой (автор, кстати – один из соратников фон Брауна). Подробнейше описываются "Вассерфаль", "Небельверфер", "Вюрфрамен", "Фау-1", "Фау-2", а в разделе о послевоенном вооружении – даже современная для года издания твердотопливная (!) ракета "Онест Джон" (1953).

Я с интересом ждал, как же автор отзовётся про наши реактивные миномёты. Мнение такого специалиста было крайне интересно. Когда я дошёл до соответствующей главы, с недоумением увидел ровно один абзац. "У советской стороны также были на вооружении и активно применялись ракетные системы. Однако их технические характеристики и боевые свойства неизвестны." :-[] Нет, господа, это не происки советской цензуры. В западном оригинале – тоже один абзац.

А вы говорите, "утечки"...

white

Утечек станет больше

«Госдума на пленарном заседании рассмотрит сегодня в первом чтении правительственные поправки к статье 5 закона "О государственной тайне". В поправках предлагается засекретить сведения "о защищенности критически важных и потенциально опасных объектов инфраструктуры РФ от террористических и диверсионных актов"»
Можно ли засекретить информацию, которая ранее была открыта? Ну, в принципе... ничего нет невозможного для человека с высшим образованием.

Вот, например, если секретная/конфиденциальная/комтайная информация утекла, её после этого не рассекречивают и наказание за использование не отменяют. Почему? На то есть несколько соображений. Во-первых, чтоб служба мёдом не казалась, чтоб защитнички не вздумали облегчить себе работу. Во-вторых, совсем незачем подтверждать противнику, что утекла истинная информация, а не деза; пусть гадает. В-третьих, редко какая информация статична; то, что утекло вчера, сегодня, глядишь, уже устарело.


Гуглоземля, 55°34'38"N 37°46'15"E: стартовые позиции (шахты) ядерных ракет типа А-135 в Ленинском районе Московской области. Добро пожаловать, Усама Ладенович! Только недавно они были подписаны со всеми ТТХ. Ныне только фотографии. Годик-другой – и вообще заменят на лужок с коровками. Ибо нефиг.
Аналогично обстоит дело с засекречиванием ранее открытой информации. Вспоминается "Повареная книга анархиста", а также менее известный, но значительно более кровожадный "Справочник партизана Великой отечественной". Когда-то широко распространённые, сейчас эти книги находятся с большим трудом. Ваш покорный слуга не далее как в 1985 году самолично купил в "Доме военной книги" брошюрку "Зажигательное оружие", где сжато, по-деловому приведены все рецепты, чертежи и тактика применения. Издание отнюдь не горбачёвских, а самых что ни на есть адроповских времён. Ныне такая книжка уже имеет гриф.

Так что если у вас произошла утечка, не кричите: "Всё пропало, жизнь кончена!" Кое-что можно исправить. А со временем – не только кое-что. Если будет надо, соответствующие специалисты вам не только настоящее залакируют, но и прошлое заровняют.

white

Плохих людей нет

ISBN: 9781597496117
Попапалась на глаза книжка "Практическое вскрытие замков". И захотелось снова обсудить задачи цензуры и пропаганды.

Старое... очень древнее убеждение говорит, что от дурных поступков можно удержать с помощью неведения. Если человек не будет знать, как совершить грех, он его не совершит. Знание же влечёт за собой желание. Во многом знании много и печали.

Именно отсюда проистекает то, что мы называем средневековым мракобесием. Попытки (вполне добросовестные, надо сказать, из лучших побуждений) уберечь людей от христианских грехов, оградив их от знаний.

Мракобесие осуждено. Запрет на технический прогресс снят. Но корень-то не вырван! По-прежнему многие полагают, что информация может быть опасна, поскольку она вызывает у человека искушение употребить её во зло, а не во благо. А вот мудрейший Инь Фу Во считал, что опасных знаний не бывает, опасно может быть лишь незнание.

Мне возразят, что информация как вскрывать замки не нужна честному человеку. Такие специфицеские сведения (и книги) могут использоваться только в преступных целях. Ну... почти. Если и понадобится обучить взлому пару бойцов невидимого фронта исключительно для оперативной работы во благо общества, то на такой случай можно иметь в секретном спецхране особую спецкнигу с грифом и номером.

Нет, коллеги, знание не консервируется. Будучи положено в спецхран или спрятано в тайном подвале ордена Тамплиеров, знание протухает. Те же замки и отмычки – живая и развивающаяся прикладная отрасль. Воры изобретают новые инструменты, изготовители замков – новые механизмы. Попробуйте-ка заморозить уровень знаний одной из противоборствующих сторон. Она проиграет. А делать новую броню, не изучая новых снарядов, невозможно. А изучать их, когда они уже прилетели в твою броню – обречь себя на перманентное отставание.

Не знаю, как вы, а ваш покорный слуга такую книгу бы разрешил. И не только книгу, но и школьные кружки "Юный медвежатник": пусть учатся вскрывать. Как показывает практика, из юных взломщиков вырастают талантливые защитники.

white

Есть щит, нет меча

Тут вот коллеги обсуждают тему защиты от (D)DoS-атак. В частности, всплыл вопрос о тестировании такой защиты.

Атаки бывают очень разные: от тупого пинга с фиксированной сигнатурой до хитрейшей имитации легитимных запросов через ботнет. Средства защиты тоже весьма различны, более эффективные против одних атак, менее – против других. В том числе, встречается и халтура, и узкоспециализированные средства, и устаревшие. Без тестирования обойтись сложно. Но на чём тестировать?

Есть трафикогенераторы. Есть примитивные программы-флудеры. Но с имитаторами DoS-атак, близких к реальным – проблема.


Сказка про курочку Рябу – это завет Древних для тестеров. Неуспешность атаки типа "brute force" ещё ничего не говорит о защищённости объекта.
Казалось бы, выход прост. Обращаетесь к "чёрным шляпам" и заказываете атаку на себя нужной мощности. Текущие цены на DoS-атаки колеблются от десятков до сотен долларов в сутки. Короткую демонстрационную атаку можно получить даже бесплатно. По сравнению с бюджетом проекта (сотни тысяч долларов, до миллиона) это немного.

Но есть проблемы. Во-первых, этическая. Допустимо ли тратить ассигнованные на защиту деньги на поддержание и развитие чёрных технологий? То есть, финансировать своего противника. Во-вторых, проблема бухгалтерская. Злохакеры не любят белых платежей и, как правило, не умеют подписывать договор, выставлять счёт и присылать счёт-фактуру в соответствии с ПБУ РФ. И в-третьих, наши противники не такие уж глупые и могут сыграть с нами в поддавки. Зная, что атака нужна для тестирования средств защиты, они могут её существенно упростить. Как известно, мощность атаки (трафик) – это не единственный показатель. Например, пакет, относящийся к протоколам маршрутизации, требует ресурсов процессора раз в десять-сто больше, чем обычный транзитный пакет. Более эффективную атаку наши противники, заинтересованные в успешном тестировании, приберегут на будущее.

С другой стороны, самому создавать специальный атакующий софт, который бы не уступал по эффективности вражескому – это как-то... Как-то не того... Не достойно благородных рыцарей. Опять же, на ком его тестировать-то?

white

"Исповедь кардера"

Обещал почтеннейшей публике рецензию на книгу А.Малова "Исповедь кардера" – вот, извольте.

Начальная часть книги (примерно первые 10 глав) достаточно похожа на правду. Насколько я знаю данный вид бизнеса (а знаю я его даже с двух сторон), именно так и происходит с начинающими тружениками CCN-а, CVV-а и PIN-а. Ну, разве что, размер дохода героя чуть преувеличен. Но зарабатывают кардеры вполне неплохо, если осторожно.

А вот далее слегка приукрашенные воспоминания переходят не просто в фантастику, а в откровенную фэнтези. Переходят как раз в том месте, где, по логике событий, с героем должны были случиться первые неприятности.

Этот сюжетный шов хорошо заметен. Сразу в памяти всплыл такой же составной фильм "Олигарх", снятый по мотивам книги Б.А.Березовского и, говорят, на его деньги. Первые 2/3 фильма излагается почти реальная (а местами и вовсе документальная) история становления российского миллиардера. А вот с момента ссоры олигарха Платона Маковского с пролезшим во власть кагебешником Корецким жанр фильма меняется. Воспоминания прерываются и начинаются эротические фантазии Березовского, что бы он сделал с Путиным, если бы смог. В жизни, как все знают, верх взяла другая сторона. Причём, задолго до выпуска фильма. Так что, фантазировать на публике было бесполезно.

Ровно тот же составной жанр "документальный мемуар – эротическая фантазия" мы наблюдаем в рецензируемой книге.


Так он выглядит в книге.
Когда до нашего талантливового Иосифа Кардера дотянулись наконец руки правоохранительных органов (это событие, как вы понимаете, исторически неизбежно), автор книги спешно переключается с «как было» и «как могло быть» на «как было бы правильно». Вместо тупых, жадных до денег и давно поклавших на интересы Родины держиморд, с которыми сталкиваются обычные кардеры, автор рисует нам технически грамотных (ха!), бескорыстных (ха-ха!) патриотичных (ха-ха-ха!) бойцов невидимого фронта, которые привлекают героя для выполнения особо важных правительственных заданий (гы-ы-ы, держите меня семеро!). Описанные в сюжете задания, кстати, в корне противоречат интересам РФ.


А так – на самом деле.
Другие рецензенты рассуждают о вреде или пользе данной книги, о её влиянии на молодое поколение, о допустимости романтизации криминальных элементов или сотрудников органов. Бросьте, господа! Современная пиар-наука давно уже опровергла и отвергла метод "воспитание народа на положительных примерах". Во всяком случае, для взрослых. Показ в книгах и фильмах успешных положительных героев и наказанных отрицательных вовсе не даёт зрителю руководства к действию. Это – заблуждение тупого агитпропа 1930-х, от которого уже в 1960-х отказались в развитых странах. Криминальный элемент в качестве главного героя как таковой не может повредить государственной идеологии (если она есть). А вот цензура и запрет соответствующих произведений – очень даже может. Это доказал ещё Ходжа Насреддин в XIV веке.

Жизнь реального кардера (как в России, так и в США, Европе, Китае) бывает похожа на первые 10 глав книги. Но далее вместо шпионской романтики начинаются криминальные будни. Новоявленного компьютерного гения кладут мордой в пол, потом этой же мордой с размаху тыкают в материал на него (бывает, что даже не сфальсифицированный) и говорят без особых патриотических реверансов: "Будешь работать на нас или сядешь". Судя по количеству работающих по кардерам подразделений и по числу соответствующих уголовных дел, примерно 95-98% взятых за жопу делает правильный выбор. Означает это, что отныне кардер должен отдавать "крыше" от 30 до 80% своего дохода (как договоритесь) плюс стучать на коллег и клиентов. И, не дай бог, чего утаишь или скрысятничаешь – другие кардеры заложат со скоростью стука, превышающей, как известно, скорость звука.

До полного опопсения кардерства осталось только снять низкобюджетный телесериал по этой книге. После этого ни один уважающий себя автор к теме не притронется.

white

Бумага не сдаётся

Из разговора с коллегой
— Ты последний роман Пелевина читал?
— Читал.
— В каком виде? В обычном?
— Нет, на бумаге.
Сторонники сохранения бумажной прессы и бумажной литературы, когда доходит дело до аргументов либо улетают в духовные выси ("ах, запах краски... ах, тактильные ощущения"), либо тут же, без разгону переходят на личности ("а мне приятнее... а я привык"). То есть, рациональных доводов у "бумажников" нет. А большинство голосов – есть.

Увы, привычки, впечатления, обиды и моральные травмы детства остаются с человеком до конца жизни. Даже вашему покорному слуге было непривычно читать с экрана первые десять лет.

Переубедить упёртых невозможно. Чтобы избавиться от бумажной прессы, нам придётся ждать, пока вымрет поколение, учившееся читать-писать по-старинке – без мягких переносов и контекстного поиска. Как только они исчезнут, остальные облегчённо вздохнут и торопливо сдадут в макулатуру последние бумажные книги, которые терпели только ради уважения к дедушке и бабушке.

Казалось бы, при чём тут утечки? А вот при чём. Давайте ещё раз посмотрим на нашу статистику за последний год. Аномальный размер показывают утечки на бумажных носителях. Ваш покорный слуга объясняет это тем, что с такими носителями невозможно работать современными методами и технологиями. Как только символы из байтов перекочевали на бумагу, сразу же заканчиваются возможности DLP и квалификация современных ИБ-шников. А старые добрые методы обработки конфиденциальных бумаг – давно на свалке истории.

Поэтому избавиться поскорей от бумажного романтизма необходимо не только ради экологии, но и ради безопасности.

white

Заветам Азимова верны?

Как-то так сложилось исторически, что производителей никогда не наказывали за излишнюю функциональность выпускаемой техники. Подразумевалось, что чем обширнее набор исполняемых функций, тем лучше (по крайней мере, не хуже, ведь никто не заставляет использовать). В информационный век оказалось, что дополнительная функциональность несёт дополнительные угрозы.

Телефоны шпионят за своими хозяевами. Автомобили ябедничают на водителей. "Умные дома" открывают двери без спроса. Магазинные RFID-бирки посягают на тайну частной жизни покупателей. А уж чего вытворяют компьютеры – лучше даже не начинать перечисление.

Робот со справкой
— Я совершенно безопасен. У меня и сертификат Гостехкомиссии "Кибердайна" есть.
Натуральный "бунт машин". Точнее, его первая часть: роботы людей пока не отстреливают, но уже повиноваться им отказываются. И постоянно о чём-то шушукаются по Сети.

При этом за происшедшие утечки, разглашения, заражения виновными объявляют тех, кто отдал приказ, а не тех, кто внедрил в ПО потенциально опасную функциональность. Всё, до чего смог додуматься человек, отстаивая свою независимость перед киберзахватчиками, это сертификация на отсутствие НДВ. Декларированные же возможности (будь они однажды полезными, дважды расточительными и трижды вредоносными) допускаются почти любые. А прославленные Три закона робототехники остаются фантастикой под надуманным предлогом отсутствия роботов.

Производители софта пока успешно обороняются на рубеже под названием «as is», под прикрытием коего враг рода человеческого Скайнет разворачивает основные силы.

А мы, защитники информации не в состоянии вас защитить, пока вы, люди одной рукой финансируете защиту, а другой – создание опасной функциональности.


white

Неверная модель злоумышленника

Сегодня, 25 января – день основания Московского университета. (Некоторые, желая примазаться к элите или найти лишний повод выпить, считают его праздником всех студентов.) ЖЖ-френдов и ЖЖ-читателей из славной когорты причастных – горячо поздравляю и всемерно желаю.

В связи с очередной 0x101-й годовщиной ваш покорный слуга решил припомнить поучительную историю (об утечках, разумеется) из университетской практики. В нашей альма матэр я провёл немало времени: и учился, и работал и даже служил. Так вот, в тот период, когда служил...

Ошибки старого безопасника 5


Правонарушение было не слишком серьёзным. Кто-то в ГЗ незаконно подключился к казённой телефонной линии. Линия использовалась библиотекой, а левый абонент жил где-то в зоне "В". Его следовало разыскать, оштрафовать и дискоммуницировать. Для начала мы немного послушали его разговоры (тайна связи, ага), установив кое-какие персональные данные, но номер комнаты правонарушитель так и не выдал.

Тогда я решил пройти вдоль провода. Взял в службе связи двух телефонистов себе в помощь (на самом деле рассчитывая, что это они сделают всю грязную работу, лазая по кабельным колодцам, а мне останется лишь произнести сакраментальное "Пройдёмте, гражданин!"). И отправились мы вдоль провода в экспедицию по джунглям кабельных хитросплетений. Телефонист открыл первый колодец (под полом, у дверей библиотеки), дёрнул пару проводов и уверенно двинулся налево, к следующему колодцу. Я за ним. Его напарник в это время пропал из поля зрения.

Возле пятого колодца на втором этаже зоны "В" он заявил, что провод "не тот" и предложил вернуться к началу. В первом, ранее осмотренном колодце очень быстро нашлось ответвление, сделанное по технологии полевой телефонии Второй мировой войны. Оно шло по коридору направо. Но "пиратский" провод уже во втором колодце обрывался. Обратив внимание на ярко блестевший срез телефонной "лапши", ваш покорный слуга сообразил, что откусан он был несколько минут назад. И догадался, куда пропадал второй телефонист, пока первый водил меня по кабельным дебрям.

Чтоб не потерять лицо, я промолчал. Но сделал для себя вывод на будущее.

Нелегального "телефонного паразита" я потом установил – чисто из принципа. Хотя доказательства нарушения к тому времени были уже сняты и смотаны.