25.02.2009 в 22:17
Пишет Asmodeus:25.02.2009 в 21:33
Пишет Fearing:25.02.2009 в 21:10
Пишет З. ГорынычЪ:Компьютерра. Принципы сетевой безопасности
Автор: Николай Федотов
Опубликовано в журнале "Компьютерра" №39 от 21 октября 2008 года
Суждения о безопасности мудреца Инь Фу Во, записанные его учениками.
Глава 1
Однажды Сисадмин пожаловался Учителю:
- Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?
Инь Фу Во спросил:
- Сначала скажи, почему они это делают.
Сисадмин подумал и ответил:
- Может быть, они не считают пароль ценным?
- А разве пароль сам по себе ценный?
- Не сам по себе. Ценна информация, которая под паролем.
- Для кого она ценна?
- Для нашего предприятия.
- А для пользователей?
- Для пользователей, видимо, нет.
- Так и есть, - сказал Учитель. - Под паролем нет ничего ценного для наших работников. Надо, чтоб было.
- Что для них ценно? - спросил Сисадмин.
- Догадайся с трех раз, - рассмеялся Учитель.
Сисадмин ушел просветленный и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.
***
читать дальше
Однажды в курилке пользователи стали возмущаться, что Сисадмин закрыл всем доступ на сайт "Одноклассники". Инь Фу Во услышал об этом и нахмурился.
- Почему ты закрыл людям доступ? - спросил он Сисадмина, когда они после перекура пили кофе.
- Потому что такие сайты не нужны для работы.
- А курить нужно для работы?
- Вообще-то нет...
- А кофе пить?
- Ну...
- Ну тогда, - сказал Учитель, - открой людям доступ.
***
Однажды Сисадмин пожаловался Учителю:
- Антивирус не помогает. На всех рабочих станциях установлен, обновляется дважды в день. А все равно каждую неделю кто-то заражается и теряет данные.
Учитель с сожалением покачал головой.
- Надо что-то делать, - продолжал Сисадмин.
Учитель слегка покивал. Сисадмин спросил:
- Что лучше: поставить всем новый многоядерный антивирус или поднять централизованную систему бэкапа?
Учитель сказал:
- Проведи курсы для пользователей.
***
Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:
- Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять человек, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.
Еще Учитель сказал:
- А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.
***
Однажды Директор пришел к защитнику Иню за советом. Директор сказал:
- Я хотел бы заставить всех пользователей соблюдать строгие правила безопасности. Но тогда они обидятся на меня и станут хуже работать. Я хотел бы дать пользователям полную свободу. Но тогда они нахватают вирусов, разгласят конфиденциальную информацию, и наш бизнес пострадает. Как мне найти золотую середину?
Инь Фу Во ответил:
- Высота забора равна высоте самого низкого участка. Прочность цепи равна прочности слабейшего звена. Заставь самых нерадивых из пользователей соблюдать те правила безопасности, которые без принуждения соблюдают все остальные.
- Как просто! - воскликнул Директор и ушел просветленный.
***
Директор спросил почтенного Иня:
- Мне предлагают купить систему защиты от несанкционированного доступа. Стоит ли она денег, которые за нее просят?
Инь Фу Во в ответ спросил:
- Сколько у вас было случаев несанкционированного доступа за последние три года?
- Ни одного, - ответил Директор.
- А сколько ноутбуков и флэшек потеряли ваши работники за это время?
- Два ноутбука, - ответил Директор, - а флэшки никто не считал.
- Почему бы вместо этого не купить систему для шифрования информации на ноутбуках и флэшках? - сказал Инь Фу Во.
***
Как-то Сисадмин спросил:
- Учитель, не желаете ли красивую картинку для вашего десктопа? У меня есть хорошая коллекция обоев для рабочего стола со звездным небом и моральным законом.
- Почему ты думаешь, что мой нынешний wallpaper хуже? - спросил в ответ Инь Фу Во.
- Я не знаю, какая у вас картинка сейчас. Я никогда не видел вашего десктопа. У вас всегда открыто множество окон.
- Я тоже его никогда не видел, - сказал Инь. - Я работаю.
***
Однажды Младший Бухгалтер принесла в дар Учителю кактус.
- Поставьте его возле вашего монитора, - сказала она. - Этот кактус защитит вас от вредного излучения.
- Отнеси его Сисадмину, - сказал Инь Фу Во. - Мне кактус не поможет.
- Почему? - обиженно спросила Младший Бухгалтер.
- Для него нет драйверов под FreeBSD, - ответил Учитель.
***
Сисадмин спросил Учителя:
- В статье написано, что любое усиление безопасности снижает лояльность работников. Это правда?
Инь Фу Во ответил:
- На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников - это и есть то, чего хозяин должен избегать.
- Тогда что же такое лояльность? - спросил Сисадмин.
- "Лояльность", - усмехнулся Инь Фу Во, - это японцы выдумали, чтоб денег не платить.
Часть вторая
www.computerra.ru/own/403297/
Автор: Николай Федотов
Опубликовано 18 февраля 2009 года
Однажды Сисадмин спросил почтенного защитника Иня:
- Учитель, почему вы не пользуетесь ЭЦП?
- У надёжных средств ЭЦП нет сертификата. У сертифицированных нет удобства. У удобных нет надёжности, - ответил Инь Фу Во.
***
Инь Фу Во два дня настраивал VPN-туннель для своего персонального компьютера. Когда туннель заработал, Инь уселся, почтительно повернувшись лицом к югу, и стал читать свою френдленту.
- О, Учитель, - спросил его Сисадмин, - я не могу понять, зачем вам VPN?
- Ты разве не знаешь, что в VPN-туннеле весь трафик шифруется? - удивился Инь.
- Знаю. Но ваш туннель терминируется на обычном сервере в стране западных варваров. А далее весь ваш яшмовый трафик идёт по Сети в открытом виде.
- Сети нет дела до моего трафика, чего не скажешь о провайдере, - ответил Учитель. Видя, что Сисадмин не понял, он добавил. - Вот, например, ты доверил свои деньги банку.
Сисадмин кивнул.
- Но ты не можешь доверить все свои деньги собственной супруге, - продолжал мудрый Инь.
- Почему? Потому что она может посчитать эти деньги своими. А с банком такого не случится.
Просветлённый Сисадмин ушёл поднимать себе VPN-туннель.
***
Сисадмин спросил Инь Фу Во:
- Правда ли, что любой шифр можно сломать?
Учитель ответил:
- Можно. Но не "шифр", а систему из четырёх: алгоритм, реализация1, окружение2 и оператор.
Сисадмин ещё спросил:
- А что из этих четырёх самое непрочное?
- Стыки между ними, - ответил Учитель.
***
Однажды к почтенному защитнику Иню обратился Следователь. Он спросил:
- Учитель, вы сможете расшифровать криптоконтейнер PGPdisk без знания пароля?
- Не смогу, - ответил Инь Фу Во. - И никто другой не сможет.
- Тогда горе мне! - воскликнул Следователь. - Тогда у меня нет доказательств.
- Увидев запертый замок, обычный человек желает заглянуть внутрь. Но благородный муж знает, что самое ценное лежит не под замком, - сказал Учитель. - Что именно вы желаете доказать?
- Нарушение авторских прав на программы.
- Оставьте криптоконтейнер в покое, - ответил Учитель. - Свидетельских показаний будет более чем достаточно.
***
Почтенный защитник Инь сказал:
- Шифрование - это обмен большого секрета на маленький секрет. Маленький секрет должен помещаться в голове. Когда пароль в голове держится хуже, чем в компьютере, шифрование не приносит пользы.
***
Однажды Сисадмин и инженер Чжа Вынь почтительно приблизились к Учителю, и Сисадмин сказал:
- Мой единочаятель Вынь утверждает, что во всех обнародованных криптографических программах есть "чёрный ход", сделанный спецслужбами. А я полагаю, что это не так. Кто из нас прав?
Инь Фу Во ответил:
- С этого вопроса начинают свой путь все инженеры и все сисадмины. Тот, кто утвердил для себя ответ на него, навсегда остановился и не может следовать Дао. Однако и пренебрегать этим вопросом тоже было бы неверно.
Потом почтенный Инь продолжил:
- У северных варваров есть такая легенда. Грозный и мудрый Тигр, царь зверей повелел Лису построить утиную ферму. Глупый Лис при строительстве сделал для себя тайный ход, чтобы воровать государственных уток. И, конечно же, сразу попался. Тигр велел казнить обманщика и таким образом сэкономил деньги на строительство. Не думай, драгоценный Вынь, что спецслужбы подобны глупому Лису. Но и ты - отнюдь не мудрый Тигр, царь зверей.
Ученики ушли просветлённые. Сисадмин после этого вообще отказался от шифрования своего диска. А инженер Чжа Вынь сделал криптоконтейнер внутри криптоконтейнера.
***
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
- Как вы думаете, Учитель, пароль "上网查询或税务" стойкий?
- Нет, - ответил мастер Инь, - это словарный пароль.
- Но такого слова нет в словарях...
- "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
- А пароль "Pft,bcm" подойдёт?
- Вряд ли. Он тоже словарный.
- Но как же? Это же...
- Введи это сочетание в Гугле - и сам увидишь.
Сисадмин защёлкал клавишами.
- О, да. Вы правы, Учитель. Через некоторое время Сисадмин воскликнул:
- Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул:
- Молодец.
- Я ввёл его в Гугле, - продолжал Сисадмин, - и убедился, что в Сети такого сочетания нет.
- Теперь есть.
***
Однажды инженер Чжа Вынь обратился к Учителю:
- Один достойный уважения человек сказал мне, что шифровать электронную почту неправильно. Поскольку честному человеку нечего скрывать, шифрованная переписка неизбежно привлечёт внимание полиции. Учитель, что вы об этом думаете?
Инь Фу Во ответил:
- Благородный муж имеет чувство стыдливости. Он закрывает одеждой свою наготу. Вовсе не потому, что лицезрение другими его тела принесёт ему ущерб. Но такова воля Неба, и таков ритуал. Поэтому "честному человеку" есть, что скрывать.
Первую главу смотри здесь
1. Инь Фу Во имеет в виду программу, которая производит шифрование и расшифровывание по алгоритму. [вернуться]
2. Инь Фу Во называет окружением операционную систему, в которой работает шифрующая программа, и сам компьютер, то есть аппаратную платформу. [вернуться]
Из еженедельника "Компьютерра" № 06
URL записиАвтор: Николай Федотов
Опубликовано в журнале "Компьютерра" №39 от 21 октября 2008 года
Суждения о безопасности мудреца Инь Фу Во, записанные его учениками.
Глава 1
Однажды Сисадмин пожаловался Учителю:
- Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?
Инь Фу Во спросил:
- Сначала скажи, почему они это делают.
Сисадмин подумал и ответил:
- Может быть, они не считают пароль ценным?
- А разве пароль сам по себе ценный?
- Не сам по себе. Ценна информация, которая под паролем.
- Для кого она ценна?
- Для нашего предприятия.
- А для пользователей?
- Для пользователей, видимо, нет.
- Так и есть, - сказал Учитель. - Под паролем нет ничего ценного для наших работников. Надо, чтоб было.
- Что для них ценно? - спросил Сисадмин.
- Догадайся с трех раз, - рассмеялся Учитель.
Сисадмин ушел просветленный и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.
***
читать дальше
Однажды в курилке пользователи стали возмущаться, что Сисадмин закрыл всем доступ на сайт "Одноклассники". Инь Фу Во услышал об этом и нахмурился.
- Почему ты закрыл людям доступ? - спросил он Сисадмина, когда они после перекура пили кофе.
- Потому что такие сайты не нужны для работы.
- А курить нужно для работы?
- Вообще-то нет...
- А кофе пить?
- Ну...
- Ну тогда, - сказал Учитель, - открой людям доступ.
***
Однажды Сисадмин пожаловался Учителю:
- Антивирус не помогает. На всех рабочих станциях установлен, обновляется дважды в день. А все равно каждую неделю кто-то заражается и теряет данные.
Учитель с сожалением покачал головой.
- Надо что-то делать, - продолжал Сисадмин.
Учитель слегка покивал. Сисадмин спросил:
- Что лучше: поставить всем новый многоядерный антивирус или поднять централизованную систему бэкапа?
Учитель сказал:
- Проведи курсы для пользователей.
***
Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:
- Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять человек, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.
Еще Учитель сказал:
- А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.
***
Однажды Директор пришел к защитнику Иню за советом. Директор сказал:
- Я хотел бы заставить всех пользователей соблюдать строгие правила безопасности. Но тогда они обидятся на меня и станут хуже работать. Я хотел бы дать пользователям полную свободу. Но тогда они нахватают вирусов, разгласят конфиденциальную информацию, и наш бизнес пострадает. Как мне найти золотую середину?
Инь Фу Во ответил:
- Высота забора равна высоте самого низкого участка. Прочность цепи равна прочности слабейшего звена. Заставь самых нерадивых из пользователей соблюдать те правила безопасности, которые без принуждения соблюдают все остальные.
- Как просто! - воскликнул Директор и ушел просветленный.
***
Директор спросил почтенного Иня:
- Мне предлагают купить систему защиты от несанкционированного доступа. Стоит ли она денег, которые за нее просят?
Инь Фу Во в ответ спросил:
- Сколько у вас было случаев несанкционированного доступа за последние три года?
- Ни одного, - ответил Директор.
- А сколько ноутбуков и флэшек потеряли ваши работники за это время?
- Два ноутбука, - ответил Директор, - а флэшки никто не считал.
- Почему бы вместо этого не купить систему для шифрования информации на ноутбуках и флэшках? - сказал Инь Фу Во.
***
Как-то Сисадмин спросил:
- Учитель, не желаете ли красивую картинку для вашего десктопа? У меня есть хорошая коллекция обоев для рабочего стола со звездным небом и моральным законом.
- Почему ты думаешь, что мой нынешний wallpaper хуже? - спросил в ответ Инь Фу Во.
- Я не знаю, какая у вас картинка сейчас. Я никогда не видел вашего десктопа. У вас всегда открыто множество окон.
- Я тоже его никогда не видел, - сказал Инь. - Я работаю.
***
Однажды Младший Бухгалтер принесла в дар Учителю кактус.
- Поставьте его возле вашего монитора, - сказала она. - Этот кактус защитит вас от вредного излучения.
- Отнеси его Сисадмину, - сказал Инь Фу Во. - Мне кактус не поможет.
- Почему? - обиженно спросила Младший Бухгалтер.
- Для него нет драйверов под FreeBSD, - ответил Учитель.
***
Сисадмин спросил Учителя:
- В статье написано, что любое усиление безопасности снижает лояльность работников. Это правда?
Инь Фу Во ответил:
- На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников - это и есть то, чего хозяин должен избегать.
- Тогда что же такое лояльность? - спросил Сисадмин.
- "Лояльность", - усмехнулся Инь Фу Во, - это японцы выдумали, чтоб денег не платить.
Часть вторая
www.computerra.ru/own/403297/
Автор: Николай Федотов
Опубликовано 18 февраля 2009 года
Однажды Сисадмин спросил почтенного защитника Иня:
- Учитель, почему вы не пользуетесь ЭЦП?
- У надёжных средств ЭЦП нет сертификата. У сертифицированных нет удобства. У удобных нет надёжности, - ответил Инь Фу Во.
***
Инь Фу Во два дня настраивал VPN-туннель для своего персонального компьютера. Когда туннель заработал, Инь уселся, почтительно повернувшись лицом к югу, и стал читать свою френдленту.
- О, Учитель, - спросил его Сисадмин, - я не могу понять, зачем вам VPN?
- Ты разве не знаешь, что в VPN-туннеле весь трафик шифруется? - удивился Инь.
- Знаю. Но ваш туннель терминируется на обычном сервере в стране западных варваров. А далее весь ваш яшмовый трафик идёт по Сети в открытом виде.
- Сети нет дела до моего трафика, чего не скажешь о провайдере, - ответил Учитель. Видя, что Сисадмин не понял, он добавил. - Вот, например, ты доверил свои деньги банку.
Сисадмин кивнул.
- Но ты не можешь доверить все свои деньги собственной супруге, - продолжал мудрый Инь.
- Почему? Потому что она может посчитать эти деньги своими. А с банком такого не случится.
Просветлённый Сисадмин ушёл поднимать себе VPN-туннель.
***
Сисадмин спросил Инь Фу Во:
- Правда ли, что любой шифр можно сломать?
Учитель ответил:
- Можно. Но не "шифр", а систему из четырёх: алгоритм, реализация1, окружение2 и оператор.
Сисадмин ещё спросил:
- А что из этих четырёх самое непрочное?
- Стыки между ними, - ответил Учитель.
***
Однажды к почтенному защитнику Иню обратился Следователь. Он спросил:
- Учитель, вы сможете расшифровать криптоконтейнер PGPdisk без знания пароля?
- Не смогу, - ответил Инь Фу Во. - И никто другой не сможет.
- Тогда горе мне! - воскликнул Следователь. - Тогда у меня нет доказательств.
- Увидев запертый замок, обычный человек желает заглянуть внутрь. Но благородный муж знает, что самое ценное лежит не под замком, - сказал Учитель. - Что именно вы желаете доказать?
- Нарушение авторских прав на программы.
- Оставьте криптоконтейнер в покое, - ответил Учитель. - Свидетельских показаний будет более чем достаточно.
***
Почтенный защитник Инь сказал:
- Шифрование - это обмен большого секрета на маленький секрет. Маленький секрет должен помещаться в голове. Когда пароль в голове держится хуже, чем в компьютере, шифрование не приносит пользы.
***
Однажды Сисадмин и инженер Чжа Вынь почтительно приблизились к Учителю, и Сисадмин сказал:
- Мой единочаятель Вынь утверждает, что во всех обнародованных криптографических программах есть "чёрный ход", сделанный спецслужбами. А я полагаю, что это не так. Кто из нас прав?
Инь Фу Во ответил:
- С этого вопроса начинают свой путь все инженеры и все сисадмины. Тот, кто утвердил для себя ответ на него, навсегда остановился и не может следовать Дао. Однако и пренебрегать этим вопросом тоже было бы неверно.
Потом почтенный Инь продолжил:
- У северных варваров есть такая легенда. Грозный и мудрый Тигр, царь зверей повелел Лису построить утиную ферму. Глупый Лис при строительстве сделал для себя тайный ход, чтобы воровать государственных уток. И, конечно же, сразу попался. Тигр велел казнить обманщика и таким образом сэкономил деньги на строительство. Не думай, драгоценный Вынь, что спецслужбы подобны глупому Лису. Но и ты - отнюдь не мудрый Тигр, царь зверей.
Ученики ушли просветлённые. Сисадмин после этого вообще отказался от шифрования своего диска. А инженер Чжа Вынь сделал криптоконтейнер внутри криптоконтейнера.
***
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
- Как вы думаете, Учитель, пароль "上网查询或税务" стойкий?
- Нет, - ответил мастер Инь, - это словарный пароль.
- Но такого слова нет в словарях...
- "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
- А пароль "Pft,bcm" подойдёт?
- Вряд ли. Он тоже словарный.
- Но как же? Это же...
- Введи это сочетание в Гугле - и сам увидишь.
Сисадмин защёлкал клавишами.
- О, да. Вы правы, Учитель. Через некоторое время Сисадмин воскликнул:
- Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул:
- Молодец.
- Я ввёл его в Гугле, - продолжал Сисадмин, - и убедился, что в Сети такого сочетания нет.
- Теперь есть.
***
Однажды инженер Чжа Вынь обратился к Учителю:
- Один достойный уважения человек сказал мне, что шифровать электронную почту неправильно. Поскольку честному человеку нечего скрывать, шифрованная переписка неизбежно привлечёт внимание полиции. Учитель, что вы об этом думаете?
Инь Фу Во ответил:
- Благородный муж имеет чувство стыдливости. Он закрывает одеждой свою наготу. Вовсе не потому, что лицезрение другими его тела принесёт ему ущерб. Но такова воля Неба, и таков ритуал. Поэтому "честному человеку" есть, что скрывать.
Первую главу смотри здесь
1. Инь Фу Во имеет в виду программу, которая производит шифрование и расшифровывание по алгоритму. [вернуться]
2. Инь Фу Во называет окружением операционную систему, в которой работает шифрующая программа, и сам компьютер, то есть аппаратную платформу. [вернуться]
Из еженедельника "Компьютерра" № 06