Comments 44
Суть многих его статей
И ведь чаще всего он прав, так оно и есть.
Можно такое же написать про любую сферу деятельности. И это снова будет правдой. :) Потому что очень маленький % людей занимается своей работой серьезно.
Асфальт?
вы кладете его неправильно
Машины?
вы водите их как обезьяны
Интерфейсы?
вы вообще в курсе, что это слово не про цвет кнопочек
и т.п.
Асфальт?
вы кладете его неправильно
Машины?
вы водите их как обезьяны
Интерфейсы?
вы вообще в курсе, что это слово не про цвет кнопочек
и т.п.
А как же самое каноничное в рунете: «ваша визитка — говно»
Интерфейсы?
вы вообще в курсе, что это слово не про цвет кнопочек
Не только про цвет кнопочек (если вы про GUI).
Цвет кнопочек приходит в интерфейс (тот, который GUI) опосредовано. :)
Цветовое кодирование, всё-таки, важная вещь. И он приходит в GUI непосредственно. Красные рычаги стопкранов, зелёные таблички с направлением выхода, синие указатели, зелёные знаки автомагистрали и т.п. — это всё часть GUI, позволяющая сделать его более интуитивно-понятным.
Если перевести цвет кнопочки GUI на интерфейсы ООП, получим примерно следующие асоциации:
Красная кнопка -> interface RedButton extends Button, DangerControl
Так что цвет — это вполне себе часть интерфейса в определённых условиях (при использовании цветового кодирования).
Если перевести цвет кнопочки GUI на интерфейсы ООП, получим примерно следующие асоциации:
Красная кнопка -> interface RedButton extends Button, DangerControl
Так что цвет — это вполне себе часть интерфейса в определённых условиях (при использовании цветового кодирования).
Хотя, наверное, надо было использовать «дизайн» вместо «интерфейс».
То есть, API уже не интерфейс? Ну как же, кнопочек нет, и не GUI. А к чему там буковка «I» в конце? ;)
Я привык думать в контексте.
Если вырвать, например, ваш комментарий из контекста, то может показаться, что я оспариваю тот факт, что API — интерфейс.
Теперь поставьте рядом два слова — «кнопочки» и «интерфейс» и подумайте, о каком интерфейсе говорил автор: habrahabr.ru/post/206738/#comment_7123376
Если вырвать, например, ваш комментарий из контекста, то может показаться, что я оспариваю тот факт, что API — интерфейс.
Теперь поставьте рядом два слова — «кнопочки» и «интерфейс» и подумайте, о каком интерфейсе говорил автор: habrahabr.ru/post/206738/#comment_7123376
Последний раз послушав его на конференции про то, как работают спец.службы в России сидел с улыбкой на лице. Он отлично рассказывает всем про то, что все знают и хотят знать, но заметил сравнивая со своим опытом, что многое сильно расходиться с реальностью.
А как насчет компаний-конкурентов, желающих доказать что продукт того, кто создал конкурс — незащищенный? Теоретически возможен такими компаниями конкурентами найм криптоаналитиков для удержания своих позиций?
По условиям конкурса ты скорее всего должен будешь рассказать о методе взлома, а значит авторы дырку смогут закрыть. Конкурентам это невыгодно.
Дырку то закроют, но новость о том что «ххх был взломан! без смс!» разойдётся далеко и быстро. Тем более дырку всё равно в конечном итоге рано или поздно закроют, но без широкой огласки.
Дорого :)
Чем хорош конкурс? Скорее всего не взломают, денюжка останется при компании, и можно заявить, что лучшие криптографы не смогли поломать продукт в конкурсе за $XXXXXXX.
А найм криптоаналитиков — удовольствие дорогое; мало того, они еще могут и не найти ничего. Особенно, если конкурент алгоритм в секрете держит.
Чем хорош конкурс? Скорее всего не взломают, денюжка останется при компании, и можно заявить, что лучшие криптографы не смогли поломать продукт в конкурсе за $XXXXXXX.
А найм криптоаналитиков — удовольствие дорогое; мало того, они еще могут и не найти ничего. Особенно, если конкурент алгоритм в секрете держит.
Должен ли криптоаналитик жертвовать своим временем (и добрым именем) во благо пиар-акции компании?
Действительно, вся эта затея с телеграмом,
А как же немаловажный фактор — профит от эксплуатации уязвимости? И совсем не обязательно результатом будут деньги. Какие там конкурсы…
В мире тайных операций о способности Моссада войти в любую закрытую дверь рассказывали легенды. Долгое время считалось, что в науке о кражах со взломом Моссаду нет и не может быть равных. Если бы в Уотергейте работала бригада из отдела Невиот, никто никогда ни о чем бы не узнал.
Репутация израильских специалистов была настолько высока, что когда британские промышленники выпускали новый образец замка и посылали его на проверку в Интеллидженс сервис и Сенчери хаус, последний отправлял образец дальше, в Тель Авив. Хитрые моссадовцы изучали замок, находили способ, как при необходимости его можно будет открыть, и затем возвращали в Лондон с характеристикой «неуязвимый для взлома».
Ф. Форсайт «Кулак Аллаха»
Забавно. Статья 1998 года — а мне-то казалось, что тенденция проведения конкурсов только в последние 2-3 года набрала такую силу.
Если я правильно понимаю, первый пункт не применим к телеграмному конкурсу, потому что алгоритм открыт и любой человек может повторить каждый из этапов обмена сообщениями с полным набором данных.
Применим, хоть не на 100%.
Результатом криптоанализа весьма редко является взлом конкретного зашифрованного сообщения. Вспомните ломаный-переломаный WEP: чтобы разгадать ключ, надо что-то около пары минут собирать пакеты, но, имея на руках один единственной зашифрованный пакет, не думаю, что у вас будет шанс его расшифровать.
Результатом криптоанализа весьма редко является взлом конкретного зашифрованного сообщения. Вспомните ломаный-переломаный WEP: чтобы разгадать ключ, надо что-то около пары минут собирать пакеты, но, имея на руках один единственной зашифрованный пакет, не думаю, что у вас будет шанс его расшифровать.
Я так понимаю, надо просто найти в алгоритме дырку, а потом уже использовать ее для взлома конкретного дампа.
Для нахождения дырки есть открытый API, несколько его программных реализаций и столько дампов, сколько человек сможет себе нагенерить самостоятельно.
Если дырка будет найдена на тестовых данных, то, даже если это не поможет взять конкурсные деньги, все равно имярек получит некоторый кусок известности и сможет либо устроиться к Дурову на работу, либо наберет достаточно пиара чтобы устроиться куда-то еще.
Да, с открытыми исходниками серверной части конкурс был бы больше похож на «доказательство безопасности». Но лишь похож.
Для нахождения дырки есть открытый API, несколько его программных реализаций и столько дампов, сколько человек сможет себе нагенерить самостоятельно.
Если дырка будет найдена на тестовых данных, то, даже если это не поможет взять конкурсные деньги, все равно имярек получит некоторый кусок известности и сможет либо устроиться к Дурову на работу, либо наберет достаточно пиара чтобы устроиться куда-то еще.
Да, с открытыми исходниками серверной части конкурс был бы больше похож на «доказательство безопасности». Но лишь похож.
Мой третий абзац именно про это. ;)
В параллельном посте, кстати, уже привели ответ Дурова на многочисленные предъявы: с каждым этапом конкурса будут открываться все новые и новые инструменты. Естественно, это пиар, но хороший, правильный, умелый пиар. :) У нас в стране мало кто умеет его делать, кстати.
В параллельном посте, кстати, уже привели ответ Дурова на многочисленные предъявы: с каждым этапом конкурса будут открываться все новые и новые инструменты. Естественно, это пиар, но хороший, правильный, умелый пиар. :) У нас в стране мало кто умеет его делать, кстати.
И тем не менее, он упорно не хочет вылезать из ловушки, о которой пишет Шнайер:
А так, флаг ему в руки, конечно, с его велосипедом.
С точки зрения криптографии, мне куда больше нравятся идеи OTR.
If Telegram proves to be robust in this respect, more tools to manipulate traffic and wider contests with similar prizes are to follow. Like all startups, this contest by Telegram starts from solving a basic but most important problem, then gradually gets more complicated in functionality and scope
А так, флаг ему в руки, конечно, с его велосипедом.
С точки зрения криптографии, мне куда больше нравятся идеи OTR.
Для кого это является ловушкой? :) Я же написал — да, это пиар. До момента доступа к исходным кодам серверной части это будет пиаром. После доступа — еще более громким, но тоже пиаром, потому что практика показала невозможность быстрого нахождения уязвимостей/закладок в реализациях сложных криптоалгоритмах. Так в чем разница?
Ок, согласен, пиар.
Интересно, будет ли это развиваться в сторону нормального исследования (деньги-то у Дурова на это вполне найдутся) или в цепочку пиар-доказательств?
Интересно, будет ли это развиваться в сторону нормального исследования (деньги-то у Дурова на это вполне найдутся) или в цепочку пиар-доказательств?
Я не уверен, что можно в рамках использования общедоступной инфраструктуры серверов произвести математическое доказательство стойкости конкретной реализации протокола, которое будет верно в течении сколько-нибудь пристойного времени (см. статью про то, что можно услышать RSA шифрование).
Опять же, любая безопасность — это просто повышение цены ее преодоления. Потому что если кому-то что-то будет действительно интересно, то никто не отменял ректальный криптоанализ на всех 7 уровнях OSI. И если кто-то захочет использовать свои OSI, то можно спуститься до 8-го и просто узнать все у одного из участников беседы. :)
Опять же, любая безопасность — это просто повышение цены ее преодоления. Потому что если кому-то что-то будет действительно интересно, то никто не отменял ректальный криптоанализ на всех 7 уровнях OSI. И если кто-то захочет использовать свои OSI, то можно спуститься до 8-го и просто узнать все у одного из участников беседы. :)
Было бы неправильно не упомянуть в этом обсуждении тот факт, что Дуров собирается сделать этот конкурс постоянным — если в текущем конкурсе будет победитель, то после устранения уязвимости будет объявлен следующий конкурс с большее высокой наградой, а если победитель до марта не найдется — второй конкурс будет также объявлен, а затем третий, четвертый, и так далее. Пруф на английском языке и перевод на русский.
Неудивительно — пиариться-то надо. Почему конкурсы такого рода бессмысленны с точки зрения доказательства криптостойкости, Шнайер прекрасно объяснил. А с точки зрения пиара шаг прекрасный.
Правильный конкурс был бы такой: выкладываются полные исходные коды клиента и сервера, делайте, что хотите, выплата — от $min до $max в зависимости от серьезности уязвимости.
Правильный конкурс был бы такой: выкладываются полные исходные коды клиента и сервера, делайте, что хотите, выплата — от $min до $max в зависимости от серьезности уязвимости.
UFO just landed and posted this here
Неплохим доказательством неуязвимости было бы продление конкурса с повышением ставок. До полумиллиона. Пауза. До миллиона.
(Хотя после пары итераций может найтись тот,
кто будет тянуть с ответом, чтобы получить побольше денег,
но это можно обойти заявив, что «служба безопасности» компании также взламывает и правит найденные баги,
делая алгоритм более устойчивым,
ну или еще как-нибудь)
(Хотя после пары итераций может найтись тот,
кто будет тянуть с ответом, чтобы получить побольше денег,
но это можно обойти заявив, что «служба безопасности» компании также взламывает и правит найденные баги,
делая алгоритм более устойчивым,
ну или еще как-нибудь)
Смысл поста пролетел мимо вас, к сожалению.
Во всем мире не найдется такого приза, из-за которого лучшие криптоаналитики бросят все свои дела и побегут исследовать продукцию Meganet Corporation или RPK Security Inc.(две компании, недавно объявившие конкурсы по взлому). Гораздо интереснее найти уязвимости в Java, Windows NT или защите сотовых сетей.
Тут ещё есть такая проблема: компания в принципе не обязана разглашать истинные результаты конкурса, а сами конкурсанты в 99% случаев не имеют на это право. В результате баги могут быть найдены и за 10000$, а потенциальные клиенты будут видеть плашку «ололо, наш продукт так никто и не взломал».
С телеграмом все очень просто. Никто в здравом уме не доверит действительно конфиденциальные данные третьей стороне — а (особенно!) когда используется не десятилетиями проверенный протокол, а что-то наколеночное. Единственный правильный шаг — открытие полных исходных кодов и клиента, и сервера — Дуров по понятным причинам не сделает. Потому проводятся вот такие пиар-акции, на которые многие поведутся. Даже здесь некоторые ведутся, а что уж говорить о тех, кто вообще не в теме.
Sign up to leave a comment.
Ловушка конкурсов по взлому