Category: отзывы

Category was added automatically. Read all entries about "отзывы".

white

Гонка уязвимостей

Всё в этом мире временно. "Всё произошло из праха и все возвратится в прах." Имеют свой земной жизненный цикл и программные продукты, и баги, и уязвимости (закладки под прикрытием).

Если мы будем сокращать время жизни поколений софта, тем самым сократим и время жизни его уязвимостей. И вредоносных программ.

Сокращение жизненного цикла малвари должно снизить её рентабельность. Не исключено, что для некоторых видов это приведёт к убыточности. Не следует забывать, что за последние годы чёрный рынок непрерывно специализируется. Отдельные этапы работы делаются отдельными узкими специалистами. Цепочка производственных отношений андерграунда дробится сильнее и становится длиннее. А все звенья в ней связаны деньгами. Нет оплаты – цепочка обрывается.

В то же время ускорение смены поколений ПО – в интересах производителей. За новую версию с пользователя взимается новая оплата. Старые версии с выходом новых не дешевеют, а просто перестают продаваться (лицензироваться) и поддерживаться. Таким образом, большинству потребителей деваться некуда – приходится обновлять ПО.

Но ускорение имеет и побочный эффект. Скорость приводит к снижению качества. В том числе, софт содержит всё больше ненамеренных ошибок. На их предотвращение не очень выгодно тратить ресурсы. Экономисты давно поняли, что коэффициент возврата инвестиций (ROI) в сфере контроля качества ниже, чем в сфере разработки. Упрощённо говоря, выпустить программу быстрее, но бажистее оказывается сильно выгодней, чем выпустить её позже, но вылизанную до блеска. Глючность и уязвимость приводят к потерям ничтожного числа клиентов. Задержка же новой версии в условиях конкуренции может обернуться потерей рынка в целом.

Но уязвимости ещё надо успеть найти. Даже если их станет больше, но время жизни уменьшится, число найденных до окончания срока эксплуатации должно сократиться.

white

Забейте звёздочками!

Кто-нибудь из уважаемых дембелей старожилов помнит те времена, когда вводимые пароли ещё отражались на экране? Ваш покорный слуга этих времён (или мест) уже не застал. На нашей славной ЕС-1011, с которой начался боевой путь, пароль был всего три символа. Однако вывод на экран уже был подавлен.


— Ми-ми-ми. Ой! Кто юзал мой аккаунт и весь его выюзал?
А вот производители телефонов и смартфонов с тоновым набором ещё не дошли до той простой мысли, что этим набором порой вводятся конфиденциальные данные. Номер банковской карты, например. И всякие прочие пин-коды. А телефон при этом беззаботно пищит на всю округу. Имея музыкальный слух или простейшую программку для смартфона, легко подсмотреть конфиденциальные звуки. А можно и поставить стационарный микрофон в месте наиболее вероятного ввода кодов. И даже перехватывать весьма ликвидные данные в реальном времени.

Здесь мы опять столкнулись с проблемой, для которой я ещё не придумал названия. Суть её в том, что открытые данные явочным порядком становятся конфиденциальными – исключительно из-за своего удобства использования в качестве таковых. Как номер соцстрахования (SSN) в США, который начал движение по этому пути (от открытой информации к секретной) ещё в 1950-е. Несмотря на усилия госведомства, пытавшегося запретить его использование в качестве средства аутентификации, он стал таковым повсеместно. После чего государству не осталось иного пути, как смириться и защищать. Ныне SSN прочно держит второе место в рейтинге самых воруемых данных. Примерно туда же идёт русский ИНН, в том же направлении отправится номер "социальной карты".

Вот и цифры, вводимые с телефонной клавиатуры, раньше не были конфиденциальны. Потом в силу удобства использования тоновые команды начали применяться в интерфейсах разных автоматизированных систем. И чем дальше, тем больше денег можно украсть через такие интерфейсы.

Истинный джентльмен отворачивается, когда другой джентльмен вводит пароль. Даже если ему не видно. Это жест приличия и признак хорошего тона. А что делать, когда джентльмен слышит характерное пиканье клавиш?