воскресенье, 3 ноября 2013 г.

Теорема Микрософтова-Бэйслайнова

Сегодня у нас несколько научная заметка. Рассмотрим одну теорему из инфобезопасности и ее доказательство.
Теорема называется по имени двух индийских ученых-безопасников, которые ее придумали и первыми доказали - Микрософтов и Бэйслайнов-Сэкурите-Онолайзе, и формулируется в виде двух утверждений:
  1. Если вы проверили свою винду с помощью MBSA и оно показало отсутствующие патчи безопасности - значит у вас плохо даже с базовым уровнем безопасности.
  2. Если вы проверили свою винду с помощью MBSA и оно не показало отсутствующие патчи безопасности - это не значит что у вас хорошо хотя бы с базовым уровнем уровнем безопасности.
Доказательство.
Ну, первая часть очевидна, нет обновлений - нет безопасности, переходим ко второй. Допустим, что MBSA при проверке установленных обновлений винды смотрит, что версии файлов реально соответствуют обновленным, и что в реестре присутствуют необходимые ключи, относящиеся к обновлению, и так далее - в этом случае можно было бы говорить о том что проверка с помощью данного изделия Микрософта реально показывает состояние безопасности винды. Но родимая для винды MBSA, даже имея возможность проверить с помощью локальной проверки с кредами, не проверяет версии файлов и внесение необходимых изменений в реестр тоже не проверяет, а только видать ограничивается чтением раздела реестра, где хранится информация об установленных программах, и сравнением полученного списка с эталонным. Следовательно наше предположение неверно и успешный отчет MBSA на самом деле неособо говорит о реальной безопасности винды, ч.т.д.

Что показывает данная теорема? Ну, в частности, она позволяет ученым приблизиться к разгадке одной из важных проблем современности и с большой долей вероятности ответить на вопрос: "может ли Микрософт сделать хоть что-то в безопасности, что бы работало качественно и с пользой, а не наполовину?"

до новых встреч, любители матана! 

вторник, 19 марта 2013 г.

в банк бесплатно нельзя войти

Недавеча зашел тут в свой банк за картой одноразовых паролей для дбо, а операционист мне так дерзко: "а че смс не используете?", а я такой: "а мне не нравятся смс". И тут этот герой мне говорит: "а вот мол карты скоро платные станут". И я конечно от такой дерзости шокировался и дрожащим голосом: "ну тогда я возьму сразу парочку, пока бесплатно". На том и порешили.
Вышел из банка, кулаки сжал, внутри все бушует, сердце бешено стучит, негодую весь и кипячусь мол дескать ууууу.
И в твитор банковскому боту пишу: эй уважаемый извольте-с объясниться чекаво?
А он такой делает вид что не понимает, то се, OTP-токены, нет говорю карты, а он говорит ну мол "возможны изменения в тарифах", как будто еще не в курсе даже. Тут конечно зеваки начали подтягиваться, тоже бурлить, не разобравшись сходу. И мне такие говорят: смс не менее ли безопасно? А я такой щеки надул и важно так: конечно менее безопасно, да и к тому же менее удобно.
Ну все такие сразу: а почему менее удобно? //Ну в смысле меньшая безопасность всем очевидна и так.
А я говорю в бложеке напишу и кину линк и вот пишу, чтобы линк кинуть.

доступность дбо определяется по сути доступностью под рукой инета. При отп-виа-смс для доступности дбо получается еще нужна доступность сотовой сети. Но парадокс в том, что в тех местах, где народ пользуется дбо, доступность инета в наше время выше, чем доступность сотовой сети. Несмотря на то что Попов изобрел радиво тыщу лет назад, а сотовой связи скоро будет сто лет, опсосы еще не научились гарантированно доставлять корпускулы gsm'а в любую точку своего покрытия:
  1. есть просто районы где не ловит сотовая связь
  2. есть высотные здания, даже вполне себе илитные дома, где не ловит сотовая связь
  3. есть всякие клубы и прочие подвалы, где не ловит сотовая связь
  4. есть даже обычные помещения, неклубы и не илитные небоскребы, например так называемое инфопространство в мск (йоу, зеронайтс), где сотовая связь тоже не ловит
  5. и есть айфо.. телефоны, которые так себе ловят сотовую связь
при этом если говорить о помещениях, то щас почти во всех помещениях есть инет: эзернет, вайфай, мобильный, адсл и т.д. Дома у всех есть инет, дома у друзей есть инет, в заведениях всяких есть инет, распространены шары инета и т.д. Короче с инетом нет проблем, а с сотовой сетью могут быть в силу причин выше. Поэтому неудобство № 1: висит груша нельзя скушать.

Взять например меня.
В силу бредовости тарифов российских опсосов и особенностей нацроуминга, симкарт этих у меня штук пять, для разных регионов (ну там екб, спб, мск, прм и тд). И вот колесю я по стране, и что мне для дбо нужно симки менять, это конечно люто "удобно".
Вообще сама по себе привязка к чему-то, что не очень постоянно (а скорее временно) типа номера телефона, это вообще удобство высшего класса. вернее неудобство № 2.

Далее, щас уже компы не играют такой роли как раньше, допустим я периодически захожу в ибанк с телефона через браузер. есть сеть и даже смска пришла, но я не могу с комфортом держа нечто с одноразовым паролем одновременно вбивать это в форму ввода. Это надо зайти в сообщения, запомнить комбинацию цифр в памяти, перейти в браузер, вспомнить эту комбинацию цифр из памяти и вбить. Ну можно небось копипастом через буфер обмена или бумажку, но я не уверен что все телефоны позволяют выделить кусок смс и сделать копипаст. Это короче тоже неудобство № 3.

всякие роуминги международные тоже так себе. бывает, когда уходишь в глубокий минус, то ты не можешь подключиться в сеть, а чтобы заплатить за телефон, нужен дбо. неудобство № 4.

кусок пластика проще и потому надежнее, чем сложное устройство типа телефона. его можно топить, у него не сядет аккум, почти невесомый и вообще плоский. носить удобнее и не паришься, потерять сложнее и на эльмаше не отожмут. так что неудобство № 5 может иметь место если с телефоном чето случится.

итого:
  1. то что меня всю жизнь бесило в альфовском ибанке с этими смсками, теперь навязывается и в точке.
  2. плата 500 рублей за карту паролей это полный трэш. давайте сделайте еще вход в офисы платный и каждый подход к банкомату тоже билльте :(
  3. при этом в любом случае, даже если ты обожаешь эти одноразовые пароли через смс, чтобы не остаться с носом, надо иметь на всякий случай карту с паролями. то есть платить указанную сумму.
  4. аргументы твитобота против карт и за смс вызывают улыбку и недоумение: "не надо ходить в банк" и не "не надо стирать карточку", "попробуйте и почувствуете разницу 100%". я туда и так хожу периодически и вовсе не за карточками, а просто по другим поводам. взять при этом запас карт - это не проблема. в чем преимущество про ненадобность стирания карты - это вообще загадка.
предложение банку:
  1. прочитаете например этот пост.
  2. в твитор напишете: опаньки, смотрите какие мы клиенториентированный банк, передумали банчить картами паролей на платных тарифах, ура!
  3. тогда если меня спросят: а чо, это внатуре клиенториентированный банк? и я такой важно скажу, мол: "ну да".
  4. всем профит.