Комментарии 11
Глядя на картинку почему-то вспомнился Фигурнов «IBM PC для пользователя», которая была мои справочником года два. Откуда такая образная аналогия — самому не ведомо )
А, понял. Наверное на картинке десктоп похож на мой 386, а щель для CD-ROM мозг мог трансформировать с 5,25" дисковод типа. Ну и 3,5" дисковод тоже сыграл свою роль, т.к. нынче уже начинает восприниматься как архаизм и чего-то этакое прошлое )
Ну так книга из той эпохи. Только первые издания Фигурнова — это начало 90-х. Но все равно близко.
НЛО прилетело и опубликовало эту надпись здесь
По-моему, переход от интересов к расчету «сферических коней» происходит в тот момент когда тебя начинает интересовать не столько процесс, сколько результат. Самый банальный повод для этого — перевод с более-менее фиксированной оплаты труда на «процент». И вот работаешь над фичей, которая твой доход может увеличить раза в два, а кто-то настырно лезет со «своими» (моими конечно же) уязвимостями. Смотришь, да, скажем, SQL-инъекция формально, но ни фига не критичная, ну, получит кто-то доступ к обезличенным служебным данным, на доход это никак не повлияет, а исправлять много нужно, чуть ли не архитектуру переделывать — заносишь баг в треккер и возвращаешься к «золотой» фиче.
Да, но репутация пострадать может от такой вот «несерьёзной дыры». Клиент банка — он не далёкий человек, и его не волнует, что через эту дыру особо не похакаешь. Он увидит только, что есть некая уязвимость и она позволяет получать некий несанкционированный доступ. Ему этого достаточно, чтоб разочароваться в банке. Вот и финансовые потери для банка — уход клиента. А если этот «взлом» записать и выложить на ютубе, а потом раструбить на весь интернет (постом на хабре), то вот уже и не один ушедший клиент. И инвесторы уже нервничают и не верят заявлениям службы безопасности. Ну, а дальше — остаётся сделать подсчёт для предоставления сведений, понятных бизнесу: смотреть изменения котировок ценных бумаг банка на фоне новости о «мега хаке». Или каким-то образом подсчитать кол-во ушедших клиентов (но это сам банк может сделать, исследователь дыры таких данных не сможет получить, я полагаю).
Я ещё полгода назад поддержал бы ваше мнение, но со временем понимание бизнеса ИБ в странах ближнего зарубежья приводит именно к выводу, что нужно всего лишь выполнять одну цель: получить любую коммерческую выгоду, в идеале методом чёрного ящика, то есть даже на малозначимом функционале смс-уведомлений, если можно отправить 1 млн. смс и принести убыток, то бинго! Не важно есть там уязвимости другие или нет, пишем большой отчёт, причём чем больше хотим получить денег, тем толще отчёт и забираем профит.
Несколько лет назад, когда я собирался получать лицензии и заниматься официальным ИБ по ГОСТам, я консультировался у человека, который оказался один из дедов в этих кругах. Когда мы с ним пообщались, он мне сказал фразу, которую я теперь постоянно вспоминаю, суть её была в следующем: Мне тебя очень жаль, я вижу, что ты хочешь делать, но ты не понимаешь, что так это не работает. Если ты решишь этим серьёзно заниматься, то тебе придётся полностью поменять своё представление о ИБ и тогда тебе уже не так будет привлекательна эта работа.
Сейчас я понимаю, что бизнес есть бизнес, но можно его просто делать качественно, а под каким соусом подавать это уже дело наживное.
Несколько лет назад, когда я собирался получать лицензии и заниматься официальным ИБ по ГОСТам, я консультировался у человека, который оказался один из дедов в этих кругах. Когда мы с ним пообщались, он мне сказал фразу, которую я теперь постоянно вспоминаю, суть её была в следующем: Мне тебя очень жаль, я вижу, что ты хочешь делать, но ты не понимаешь, что так это не работает. Если ты решишь этим серьёзно заниматься, то тебе придётся полностью поменять своё представление о ИБ и тогда тебе уже не так будет привлекательна эта работа.
Сейчас я понимаю, что бизнес есть бизнес, но можно его просто делать качественно, а под каким соусом подавать это уже дело наживное.
«но можно его просто делать качественно». Можно, но при подходе деньги для денег (со стороны заказчика) имхо не получится. У нас stuxnet в технологической сети? У нас там есть оборудование/софт сименс? Нет? Вирус нарушает работу наших систем? Нет? Он хоть что-то деструктивное производит? Нет? Тогда через год, в очередное ТО может мы и дадим его полечить, а пока — не мешай делать деньги, сынок. Вот отсюда и шутка про морковку.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
О разных взглядах на мир или кто какую грызет морковку