Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 63
Сразу подумалось о недавней истории с коньками.
Открыли большой каток, и люди начали таскать незаметно коньки ибо периметр большой и контролировать его весь не было возможности.
Ввели залог в 1500 рублей. И некоторые хитрые люди начали возвращать ранее украденные коньки, дабы получить якобы оставленный залог.
Но оказалось что все коньки прочипированы, и этих граждан поймали на том, что коньки числились как пропавшие.
Так что да, кунг-фу безопасников сильно́ :)
Открыли большой каток, и люди начали таскать незаметно коньки ибо периметр большой и контролировать его весь не было возможности.
Ввели залог в 1500 рублей. И некоторые хитрые люди начали возвращать ранее украденные коньки, дабы получить якобы оставленный залог.
Но оказалось что все коньки прочипированы, и этих граждан поймали на том, что коньки числились как пропавшие.
Так что да, кунг-фу безопасников сильно́ :)
В то время как куда проще было давать посетителям карточки с которых можно открыть турникет на вход и выход, пока не сдал коньки, карточка на выход не работает.
Сказано же: периметр большой, весь не проконтролируешь, и забором не обнесешь.
Централизованного выхода — нету.
Первичная «защита» от легкого угона коньков заключалась в том, что обычные граждане оставляли свою обувку в раздевалках, а «хитрецы» брали обувку с собой на каток, а затем переобувались и уносили коньки за периметр.
В принципе под контроль, конечно, можно было бы подставить то, что любой взявший коньки обязательно отдаёт свою обувь, но по сути получаем тот же самый залог, но с кучей недостатков (обувь может быть дешевле чем залог, контроль сложнее (не все берут коньки в прокат, а в раздевалке — вся обувь), ну и так далее...).
Первичная «защита» от легкого угона коньков заключалась в том, что обычные граждане оставляли свою обувку в раздевалках, а «хитрецы» брали обувку с собой на каток, а затем переобувались и уносили коньки за периметр.
В принципе под контроль, конечно, можно было бы подставить то, что любой взявший коньки обязательно отдаёт свою обувь, но по сути получаем тот же самый залог, но с кучей недостатков (обувь может быть дешевле чем залог, контроль сложнее (не все берут коньки в прокат, а в раздевалке — вся обувь), ну и так далее...).
У нас все катки дают коньки под залог паспорта уже много лет как :)
Закон разрешает давать паспорт в залог?
А черт его знает, но они берут, а мы даем…
Мне всегда интересно было, что эти фирмы будут делать с паспортами, если за ними не вернуться?
А ещё веселее, если на паспорта будут написаны заявления о краже?
А ещё веселее, если на паспорта будут написаны заявления о краже?
Ксерокопия, халявный лизинг сразу намечается.
Пункт 2 статьи 19.17 Кодекса РФ об административных правонарушениях, предусматривает за принятие паспорта в залог предупреждение или штраф сто рублей. Так что нет, закон не разрешает.
Это вроде как незаконно. По крайней мере так написано в моём паспорте. )))
У нас в залог вместо паспорта можно оставлять сотовые =)
Читая комментарий аккуратно попытался убрать пылинку с монитора, которую заметил в последней букве «сильно́», сильно удивился как реалистично и объёмно она выглядит :)
А если просто совместить пункт выдачи коньков и пункт переобувания? Сдал обувь — получил коньки. Вуаля.
А до скамейки по мокрому от снега полу шлепать в носках, да?
Зачем? Подошли — взяли коньки — переобулись — сдали обувь на входе — катаетесь. Докатались — зашли-взяли обувь на входе (талончик или еще что предъявили) переобулись — сдали коньки — пошли домой.
Накрутить секурность на данной схеме я думаю можно простым расположением в правильных местах маршрута пункта выдачи и сдачи соответственно.
Накрутить секурность на данной схеме я думаю можно простым расположением в правильных местах маршрута пункта выдачи и сдачи соответственно.
Мы как-то в ЖЖ обсуждали, как дети в СССР добывали карманные деньги. Один из способов — кафетерий даёт граненые стаканы под залог 50 копеек (чтобы алкаши не таскали). В магазине за углом стаканы стоят 20 копеек. :)
«муравьиные фирмы» — не фирмы, а фермы. en.wikipedia.org/wiki/Ant_farm
на эту тему есть еще замечательная старая книжка «безопасный код». Тоже мозги вправляет.
мне байка про тестера вспомнилась www.rsdn.ru/article/humor/tester.xml
Поддерживаю.
Где-то еще слышал выражение «увы, даже разработчики абсолютно надежных систем часто недооценивают изобретательность клинических идиотов».
Текущая проблема в организации безопасности в том, что либо на нее кладут большой и толстый, либо «закручивают гайки» на столько, что даже свои прямые обязанности выполнять сложно (на согласование действия с отделом безопасности уходит половина или больше рабочего времени).
Система безопасности должны быть сбалансированной и адекватной защищаемому объекту.
Потому что компьютер неуязвимый к компьютерным атакам — это компьютер выдернутый из сети и запечатанный в сейф. И то — сейф могут украсть, а здание разрушить. :)
Где-то еще слышал выражение «увы, даже разработчики абсолютно надежных систем часто недооценивают изобретательность клинических идиотов».
Текущая проблема в организации безопасности в том, что либо на нее кладут большой и толстый, либо «закручивают гайки» на столько, что даже свои прямые обязанности выполнять сложно (на согласование действия с отделом безопасности уходит половина или больше рабочего времени).
Система безопасности должны быть сбалансированной и адекватной защищаемому объекту.
Потому что компьютер неуязвимый к компьютерным атакам — это компьютер выдернутый из сети и запечатанный в сейф. И то — сейф могут украсть, а здание разрушить. :)
Замечаю, что часто обращаю внимание на потенциальные проблемы безопасности. Просто вижу их. Не специально, как описано в статье)) Но не всегда, видимо надо еще развивать. Качество очень полезное для разработчика, особенно веб.
По первым абзацам понял кто автор. Спасибо за перевод, буду учиться дальше.
С точки зрения человека, как любителя халявы, в какой-то степени мы все имеем такой способ мышления
пока читала пост, вспомнила, как две недели назад получала новый паспорт (типа 20 лет и все такое).
меня сразу посетила мысль, что в нашем государстве очень просто получить фальшивый паспорт совершенно законно:
когда я сдала документы на новый паспорт, у меня взяли старый, 4 фотки и заявление. даже временного удостоверения не выдали со словами: через 2 недели приходи получать, а сейчас катись отсюда — у нас перерыв!
придя в назначенный день, просто назвала свою фамилию и мне выдали мой паспорт. даже никак не попросили доказать, что я — это я.
у меня есть подруга по универу, которая по МОЕМУ студенческому билету ходила за меня тесты он-лайновые писать в ЦДО*, и нас никто не запалил. это значит, что она вполне могла бы получить за меня мой паспорт, так как мы довольно похожи.
*если кто из Питера и учится в ИТМО, то понимает меня, надеюсь :)
меня сразу посетила мысль, что в нашем государстве очень просто получить фальшивый паспорт совершенно законно:
когда я сдала документы на новый паспорт, у меня взяли старый, 4 фотки и заявление. даже временного удостоверения не выдали со словами: через 2 недели приходи получать, а сейчас катись отсюда — у нас перерыв!
придя в назначенный день, просто назвала свою фамилию и мне выдали мой паспорт. даже никак не попросили доказать, что я — это я.
у меня есть подруга по универу, которая по МОЕМУ студенческому билету ходила за меня тесты он-лайновые писать в ЦДО*, и нас никто не запалил. это значит, что она вполне могла бы получить за меня мой паспорт, так как мы довольно похожи.
*если кто из Питера и учится в ИТМО, то понимает меня, надеюсь :)
Копайте глубже — много ли людей проверяют подлинность паспорта? По-моему не особо напрягаясь можно напечатать свой паспорт и много где им пользоваться.
А что такое временное удостоверение?
И да, похожий человек в теории может получить вместо вас ваш паспорт. Но вы же всё-равно за ним потом придёте, и тут уже начнутся разборки.
Кстати, а как вы себе представляете доказательство собственной идентичности? Из документов, кроме общегражданского паспорта, на территории России довольно мало документов могут удостоверять личность гражданина. И они либо достаточно редки для большинства граждан (паспорт моряка), либо используются в ограниченных случаях (военный билет для лиц, находящихся в текущий момент на действительной военной службе — при этом у них, кстати, нет общегражданских паспортов).
ЗЫ. Процедура подтверждения идентичности наверняка существует какая-то, но очень мало смысла использовать её для процесса обмена паспортов.
И да, похожий человек в теории может получить вместо вас ваш паспорт. Но вы же всё-равно за ним потом придёте, и тут уже начнутся разборки.
Кстати, а как вы себе представляете доказательство собственной идентичности? Из документов, кроме общегражданского паспорта, на территории России довольно мало документов могут удостоверять личность гражданина. И они либо достаточно редки для большинства граждан (паспорт моряка), либо используются в ограниченных случаях (военный билет для лиц, находящихся в текущий момент на действительной военной службе — при этом у них, кстати, нет общегражданских паспортов).
ЗЫ. Процедура подтверждения идентичности наверняка существует какая-то, но очень мало смысла использовать её для процесса обмена паспортов.
А не только похожий.
Когда я получал паспорт, у меня не было никакого удостоверения личности, я принёс фотографию с собой, паспортистка впечатала её в чистый бланк.
Я спросил паспортистку — ну как так? — Ну вот так.
По идее, любой человек мог стать мной :)
Когда я получал паспорт, у меня не было никакого удостоверения личности, я принёс фотографию с собой, паспортистка впечатала её в чистый бланк.
Я спросил паспортистку — ну как так? — Ну вот так.
По идее, любой человек мог стать мной :)
>>И да, похожий человек в теории может получить вместо вас ваш паспорт. Но вы же всё-равно за ним потом придёте, и тут уже начнутся разборки.
вы можете договориться со злоумышленником, что он придет и получит за вас паспорт (легенду для замены всегда придумать можно, если очень захотеть)
>>Кстати, а как вы себе представляете доказательство собственной идентичности?
>>А что такое временное удостоверение?
для доказательства того, что я есть я выдается временное удостоверение личности: картоночка с государственным гербом на обложке, ФИО, фото, подпись, кем выдано. опять же, другу такую штуку выдали (но он не питерский и паспорт новый ждать 1,5-2 месяца, а не две недели + могут возникнуть проблемы с военкоматом, мальчики есть мальчики).
однако, факт остается фактом: 2 недели я гуляла без какого-либо удостоверения личности. могли бы хоть копию старого паспорта попросить, как доказательство. но если внешность схожа, то и ксерокопия не поможет
вы можете договориться со злоумышленником, что он придет и получит за вас паспорт (легенду для замены всегда придумать можно, если очень захотеть)
>>Кстати, а как вы себе представляете доказательство собственной идентичности?
>>А что такое временное удостоверение?
для доказательства того, что я есть я выдается временное удостоверение личности: картоночка с государственным гербом на обложке, ФИО, фото, подпись, кем выдано. опять же, другу такую штуку выдали (но он не питерский и паспорт новый ждать 1,5-2 месяца, а не две недели + могут возникнуть проблемы с военкоматом, мальчики есть мальчики).
однако, факт остается фактом: 2 недели я гуляла без какого-либо удостоверения личности. могли бы хоть копию старого паспорта попросить, как доказательство. но если внешность схожа, то и ксерокопия не поможет
>вы можете договориться со злоумышленником, что он придет и получит за вас паспорт
Не могу себе представить с какой целью мне могло бы понадобиться договариваться со злоумышленником, чтобы он получил за меня паспорт :).
>для доказательства того, что я есть я выдается временное удостоверение личности: картоночка с государственным гербом на обложке
Ух, ты, оказывается и правда есть такое. Предусмотренно именно для этих случаев. Выдаётся, внимание, по желанию(!) лица, сдавшего документы на переоформление. То есть если бы вы выразили непреодолимое желание, вам бы его выдали. Насколько я понял, основная причина по которой это временное ввели — чтобы если вдруг во время отсутствия у вас паспорта случились какие-нибудь выборы, вроде нынешних, то вы всё-равно смогли бы проголосовать.
>однако, факт остается фактом: 2 недели я гуляла без какого-либо удостоверения личности
Вот уж великое дело! :). Я про такую экзотику с удостоверениями вообще впервые услышал, а, было дело, вообще как-то жил лет пять с просроченным паспортом и даже умудрялся летать по нему на самолёте :).
Не могу себе представить с какой целью мне могло бы понадобиться договариваться со злоумышленником, чтобы он получил за меня паспорт :).
>для доказательства того, что я есть я выдается временное удостоверение личности: картоночка с государственным гербом на обложке
Ух, ты, оказывается и правда есть такое. Предусмотренно именно для этих случаев. Выдаётся, внимание, по желанию(!) лица, сдавшего документы на переоформление. То есть если бы вы выразили непреодолимое желание, вам бы его выдали. Насколько я понял, основная причина по которой это временное ввели — чтобы если вдруг во время отсутствия у вас паспорта случились какие-нибудь выборы, вроде нынешних, то вы всё-равно смогли бы проголосовать.
>однако, факт остается фактом: 2 недели я гуляла без какого-либо удостоверения личности
Вот уж великое дело! :). Я про такую экзотику с удостоверениями вообще впервые услышал, а, было дело, вообще как-то жил лет пять с просроченным паспортом и даже умудрялся летать по нему на самолёте :).
>>Не могу себе представить с какой целью мне могло бы понадобиться договариваться со злоумышленником, чтобы он получил за меня паспорт :)
ну на самом деле, представить можно. мне лично на ум приходит ситуация, когда работает группа :)
>>Выдаётся, внимание, по желанию(!) лица
выдается, но не выдалась. теоретически, могу жаловаться
>>было дело, вообще как-то жил лет пять с просроченным паспортом и даже умудрялся летать по нему на самолёте :)
это круто, кто еще что делал без действующего паспорта? :)
ну на самом деле, представить можно. мне лично на ум приходит ситуация, когда работает группа :)
>>Выдаётся, внимание, по желанию(!) лица
выдается, но не выдалась. теоретически, могу жаловаться
>>было дело, вообще как-то жил лет пять с просроченным паспортом и даже умудрялся летать по нему на самолёте :)
это круто, кто еще что делал без действующего паспорта? :)
Если память не подводит, то при выдаче готового паспорта брали отпечаток пальца и сверяли с тем, который снимали при сдаче. А даже если подводит, то это было бы вполне разумно. Бумажка, впрочем, тоже какая-то была.
у нас такая опция явно не предусмотрена.
когда первй паспорт в 14 лет получала, то специальной ручкой расписывалась, а вот в этот раз я не разобралась: специальная она или обычная — вот тоже интересующий вопрос
когда первй паспорт в 14 лет получала, то специальной ручкой расписывалась, а вот в этот раз я не разобралась: специальная она или обычная — вот тоже интересующий вопрос
Отпечатки у нас не снимают со всех подряд пока что, слава аллах-акбару :). А как сверяли — на глаз? Специальный работник? Насколько я понимаю, навык сверки отпечатков не самый простой и требует специального обучения.
Ручку «специальную» помню только ещё при совке — специального в ней было то, что это была раздолбанная перьевая ручка (не авто, а «вставочка» — то есть такая, которую в чернильницу макать надо!). От отсутствия навыка письма пером и раздолбанности самого пера подписи в совковых паспортах выходили весьма корявыми и иногда с кляксами :). В российском расписывался самой обычной шариковой.
Ручку «специальную» помню только ещё при совке — специального в ней было то, что это была раздолбанная перьевая ручка (не авто, а «вставочка» — то есть такая, которую в чернильницу макать надо!). От отсутствия навыка письма пером и раздолбанности самого пера подписи в совковых паспортах выходили весьма корявыми и иногда с кляксами :). В российском расписывался самой обычной шариковой.
Вообще процедура доказательства «идентичности» предусмотрена, например при получении паспорта взамен утраченного при условии утраченных архивов (когда читал, первым делом в голову Чечня пришла) — необходимо предъявить различные документы (не обязательно с фотографиями) на свое имя, привести свидетелей и т. п. То есть теоретически возможно получить официально паспорт на чужое имя или вообще на фиктивное.
Девушка, чтож вы так палитесь! Думаете преподы и деканат ИТМО эти ваши Интернеты не читают? :)
Специалисты по безопасности — по крайней мере, хорошие — смотрят на мир по-другому. Они не могут пойти в магазин, не отметив, как они могут украсть товары оттуда. Они не могут использовать компьютер, не думая о уязвимостях. Они не могут голосовать, не попытавшись разобраться, как проголосовать дважды. Они просто ничего не могут поделать с этим. ©
Выходит, у нас полстраны — специалисты по безопасности. Просто ничего не могут с этим поделать )
Выходит, у нас полстраны — специалисты по безопасности. Просто ничего не могут с этим поделать )
ИМХО странно мешать разные безопасности в одну кучу. Нет никакой общей безопасности, что еще за специалисты широкого профиля такие? Магазинные кражи и компьютерные взломы — два совершенно разных мира с отличными друг от друга угрозами, рисками, возможностями атаки и защиты. Вся общая теория давно формализована (проблемы удоствоерения личности, технической/социальной кражи личности, физического доступа, стоимости защиты по отношению к защищаемому объету и т.п.), но настоящая работа начинается в деталях, в них же и дьявол. А тут как-то… несерьезно, что ли. Украсть продукты или обмануть механика может на поверку оказаться гораздо труднее «замеченного» или, наоборот, легче. Или бессмысленно/дороже. Мышление «а не сп%$дить ли мне чего-нить» имеет слабое отношение к профессионализму.
Несколько раз по тексту упоминается уязвимость системы голосований. Действительно в оригинальной статье есть эти слова или от себя под впечатлением последних событий добавил?
Он неестественен для инженеров. Настоящее инженерное дело включает в себя размышление о том, как заставить вещи работать; мышление безопасника включает в себя размышление о том, как заставить вещи сломаться. Он включает в себя идеи, как у атакующего, противника или преступника.
Любой нормальный инженер программного обеспечения смотрит на мир как безопасник.
Иначе бы постоянно ломали всех и вся.
Так что вполне естественен.
«Они не могут использовать компьютер, не думая о уязвимостях.»
Тоже болезнь, немогу заставить себя проверить почту на чужом компьютере. Такое ощущение что там какой-то сниффер затаился. :D
Тоже болезнь, немогу заставить себя проверить почту на чужом компьютере. Такое ощущение что там какой-то сниффер затаился. :D
Какой-то ничего не повествующий пост самолюбования
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Внутри извращенного ума специалиста по безопасности