Рубрика: Риски компьютерных систем

(Август 2008)

О человеческом факторе в защите компьютеров, сетей и самого человека.

В самый разгар лета (2008) Массачусетский технологический институт, США, стал местом проведения весьма неординарной конференции под названием «Первый междисциплинарный семинар по безопасности и человеческому поведению» или кратко SHB 08 (от Security and Human Behavior, подробности см. www.cl.cam.ac.uk/~rja14/shb08/agenda.html).

Количество участников мероприятия было очень небольшим, меньше полусотни. А о существовании такой конференции весь остальной мир узнал лишь вместе с ее началом – из блогов организаторов да нескольких статей специально приглашенных журналистов.

Собственно говоря, и абсолютно каждый из участников семинара получил на него индивидуальное приглашение от организаторов. Но замечательна данная встреча, конечно же, вовсе не этой «секретностью».

Читать «Психология безопасности» далее

(Март 2001)

Большинство систем безопасности не срабатывает так, как положено, не по той причине, что их механизмы защиты слабы, а из-за неправильного применения этих механизмов. Желательно представлять, как выглядит правильное использование средств защиты.

Американским издательством Wiley со дня на день должна быть выпущена в продажу интереснейшая книга Росса Андерсона «Инженерия безопасности. Руководство по созданию надежных распределенных систем» (Ross Anderson, «Security Engineering: A Guide to Building Dependable Distributed Systems», 2001, John Wiley & Sons, 640 pages).

Выход книги ожидался еще в феврале (2001), но что-то там застопорилось и срок слегка перенесли. Но это, впрочем, абсолютно несущественно. Главное — привлечь к публикации внимание интересующейся общественности, поскольку ничего похожего отдельной книгой пока что в мире не выходило.

Англичанин Росс Андерсон — личность в мире защиты информации весьма известная, поскольку с начала 90-х ученый каждый год публикует яркие и заметные исследовательские работы. Около десяти лет он работает в Компьютерной лаборатории Кембриджского университета, последние лет пять здесь же в Кембридже читает студентам лекции по криптографии и компьютерной безопасности.

Самый замечательный дар Андерсона, наверное, это умение взглянуть на задачу «по-другому», что практически всегда позволяет ему вскрыть какие-то новые, ранее не освещавшиеся аспекты проблем безопасности, касается ли дело именно компьютеров или же каким-то образом примыкающих областей.

Читать «Искусство защиты по Андерсону» далее

(Декабрь 2002)

Гуру компьютерной безопасности Брюс Шнайер написал новую книгу.

Нечастые, но яркие и содержательные работы этого автора традиционно становятся событием в компьютерном мире.

Так было и со ставшей уже хрестоматийной «Прикладной криптографией», сконцентрированной на достаточно узкой области, и со сравнительно недавней «Секреты и ложь», более обобщенно охватывающей разнообразные аспекты компьютерной и сетевой безопасности.

Очередная книга эксперта, вне всяких сомнений, написана под большим впечатлением от тех серьезных перемен, что происходят в западном мире и особенно в США после событий 11 сентября 2001 года.

Как пишет в анонсе своей новой работы Шнайер, обществу твердят, будто оно находится ныне в условиях большей, чем когда-либо угрозы. Что необходимо изменить привычный образ жизни самым радикальным — хотя и неудобным — образом ради того, чтобы быть в большей безопасности.

Людей убеждают, что они должны, де, поступиться правами на приватность и анонимность, безропотно принимая ограничения на свои действия. Власти говорят, что полиции необходимы новые полномочия для ведения следствия, что необходимо узаконить практику шпионажа внутри страны, что надо применять американскую военную силу против стран, поддерживающих терроризм…

Почти все из того, в чем нас заверяют, говорит Шнайер – это неправда. Большинство тех перемен, которые власти просят граждан одобрить, не приводят к укреплению безопасности. Они не делают общество более защищенным. В действительности все обстоит иначе, и некоторые из этих перемен лишь ухудшают общую ситуацию.

Таковы, в самых общих чертах, те идеи, которые доказывает Шнайер в своей новой книге, только что законченной и пока не успевшей получить названия. Понятно, что это опять книга о безопасности. Но не столько о компьютерной безопасности, сколько о безопасности вообще.

Цель книги – научить читателя «думать иначе» и самостоятельно, не только отличая хорошую безопасность от никудышной, но еще и умея объяснить, почему это так.

Читать «Думать иначе…» далее

(Март 2013)

«В казино играют честно только идиоты»… Многим, наверное, доводилось слышать эту циничную, но по-своему и реалистичную формулу. В которой предельно сжато уместились и бесстыжая жуликоватость «заведения», и неизлечимо болезненная привязанность человека к азартным играм. При этом довольно любопытно, каким образом в данную конфигурацию вписываются современные инфотехнологии.

Время от времени случаются в мире истории, про которые обычно принято говорить «как в кино». Вот и на этот раз, когда разнеслась весть, что шикарное казино «Корона» в австралийском городе Мельбурне какие-то шустрые аферисты одним махом наказали на 30 с лишним миллионов долларов, все сразу вспомнили знаменитый блокбастер «11 друзей Оушена».

Фильмов об аферах в казино довольно много, но именно данную картину припомнили по той причине, что и в реальной истории, судя по всему, важнейшую роль также сыграли камеры видеонаблюдения, «ради безопасности» натыканные повсюду в игральном заведении. Мошенникам, говорят, удалось тайно подключиться к видеокамерам слежения и воспользоваться их богатыми возможностями в собственных интересах.

Сразу же следует предупредить, что подробности всей этой захватывающей истории администрация казино совершенно умышленно держит в секрете. Но коль скоро обратиться за помощью в полицию им все же пришлось, суть произошедшего в общих чертах стала таки известна. Однако прежде, чем воспроизводить здесь этот сюжет, полезно хотя бы в общих чертах ознакомиться с проблемой под названием «казино и технологии».

Читать «Правила проигрыша» далее

(Октябрь 2005)

Если вы являетесь счастливым обладателем цветного лазерного принтера, то с очень большой вероятностью каждая распечатка, сделанная вашим аппаратом, содержит в себе невидимые для невооруженного глаза «водяные знаки».

Возможно, это выглядит как микроскопические бледно-желтые точки, уложенные в особый «код трассировки», смысл которого вполне понятен для сотрудников американской спецслужбы Secret Service и правоохранительных органов других стран, ведающих вопросами финансовой безопасности.

Код трассировки цветных лазерных распечаток негласно зашит в аппаратуру практически всеми ведущими изготовителями принтеров специально для выявления поддельных банкнот и розыска выпускающих их фальшивомонетчиков.

Нельзя сказать, что информация о такой трассировке — сенсационная новость. И представители спецслужб, и сотрудничающие с ними в подобных вопросах фирмы, выпускающие печатающее оборудование или программы для работы с изображениями, всегда сдержанно признают, что занимаются встраиванием особых средств против фальшивомонетчиков.

Однако в подробности этих средств и в детали выводимой распечатками информации, по понятным причинам, предпочитают никогда не вдаваться. Чем, естественно, сильно возбуждают правозащитные организации, озабоченные насаждением чрезмерной секретности и пренебрежением к правам человека на тайну личной жизни.

И вот теперь одна из таких организаций, технологически наиболее продвинутая американская Electronic Frontier Foundation, впервые вскрыла и опубликовала код трассировки для принтера DocuColor фирмы Xerox. Данная работа является частью более масштабного проекта EFF, именуемого «Технологии кодов машинной идентификации».

Читать «Каждый шаг оставляет след» далее