Как стать автором
Обновить

Комментарии 44

Суть многих его статей

И ведь чаще всего он прав, так оно и есть.
Можно такое же написать про любую сферу деятельности. И это снова будет правдой. :) Потому что очень маленький % людей занимается своей работой серьезно.

Асфальт?
вы кладете его неправильно

Машины?
вы водите их как обезьяны

Интерфейсы?
вы вообще в курсе, что это слово не про цвет кнопочек

и т.п.
А как же самое каноничное в рунете: «ваша визитка — говно»
Этот канон прошел мимо меня, к счастью или сожалению. :) Я взял примеры из головы, просто глядя на экран монитора и в окно.
Интерфейсы?
вы вообще в курсе, что это слово не про цвет кнопочек

Не только про цвет кнопочек (если вы про GUI).
Цветовое кодирование, всё-таки, важная вещь. И он приходит в GUI непосредственно. Красные рычаги стопкранов, зелёные таблички с направлением выхода, синие указатели, зелёные знаки автомагистрали и т.п. — это всё часть GUI, позволяющая сделать его более интуитивно-понятным.

Если перевести цвет кнопочки GUI на интерфейсы ООП, получим примерно следующие асоциации:
Красная кнопка -> interface RedButton extends Button, DangerControl

Так что цвет — это вполне себе часть интерфейса в определённых условиях (при использовании цветового кодирования).
Интерфейс — не про цвет. Цвет — это проекция на наше восприятие задач, стоящих перед интерфейсом.
Цвет — это проекция на наше восприятие задач, стоящих перед интерфейсом

Цветовое кодирование — это один из методов решения задач интерфейса с учётом специфики восприятия целевой аудитории.
Хотя, наверное, надо было использовать «дизайн» вместо «интерфейс».
Как я понял, вы именно GUI и имели ввиду. Так как дизайн, по сути, это тоже не только про GUI, а про проектирование в целом.

Но в целом, конечно, согласен, одним цветом кнопочек хороший GUI не сделаешь.
То есть, API уже не интерфейс? Ну как же, кнопочек нет, и не GUI. А к чему там буковка «I» в конце? ;)
Я привык думать в контексте.

Если вырвать, например, ваш комментарий из контекста, то может показаться, что я оспариваю тот факт, что API — интерфейс.

Теперь поставьте рядом два слова — «кнопочки» и «интерфейс» и подумайте, о каком интерфейсе говорил автор: habrahabr.ru/post/206738/#comment_7123376
Последний раз послушав его на конференции про то, как работают спец.службы в России сидел с улыбкой на лице. Он отлично рассказывает всем про то, что все знают и хотят знать, но заметил сравнивая со своим опытом, что многое сильно расходиться с реальностью.
А как насчет компаний-конкурентов, желающих доказать что продукт того, кто создал конкурс — незащищенный? Теоретически возможен такими компаниями конкурентами найм криптоаналитиков для удержания своих позиций?
По условиям конкурса ты скорее всего должен будешь рассказать о методе взлома, а значит авторы дырку смогут закрыть. Конкурентам это невыгодно.
Дырку то закроют, но новость о том что «ххх был взломан! без смс!» разойдётся далеко и быстро. Тем более дырку всё равно в конечном итоге рано или поздно закроют, но без широкой огласки.
Дорого :)

Чем хорош конкурс? Скорее всего не взломают, денюжка останется при компании, и можно заявить, что лучшие криптографы не смогли поломать продукт в конкурсе за $XXXXXXX.
А найм криптоаналитиков — удовольствие дорогое; мало того, они еще могут и не найти ничего. Особенно, если конкурент алгоритм в секрете держит.
Дорого и ненадежно — судить о квалификации криптоаналитиков, чтобы нанять их для дискредитации конкурентов, для неквалифицированного менеджера — слишком сложно.
Должен ли криптоаналитик жертвовать своим временем (и добрым именем) во благо пиар-акции компании?


Действительно, вся эта затея с телеграмом, дешевый пиар и все. Я кстати, не знал про него до этого конкурса. Можно считать, что PR-акция и брендинг нового продукта успешно выполнены :) Done!
Да, зато какой пиар! Всего неделю назад я про Телеграмм слыхом не слыхивал, а сейчас, благодаря статьям на хабре (в том числе и уничтожительным), уже сколько знаю хорошего про них.
А как же немаловажный фактор — профит от эксплуатации уязвимости? И совсем не обязательно результатом будут деньги. Какие там конкурсы…
В мире тайных операций о способности Моссада войти в любую закрытую дверь рассказывали легенды. Долгое время считалось, что в науке о кражах со взломом Моссаду нет и не может быть равных. Если бы в Уотергейте работала бригада из отдела Невиот, никто никогда ни о чем бы не узнал.
Репутация израильских специалистов была настолько высока, что когда британские промышленники выпускали новый образец замка и посылали его на проверку в Интеллидженс сервис и Сенчери хаус, последний отправлял образец дальше, в Тель Авив. Хитрые моссадовцы изучали замок, находили способ, как при необходимости его можно будет открыть, и затем возвращали в Лондон с характеристикой «неуязвимый для взлома».

Ф. Форсайт «Кулак Аллаха»
Забавно. Статья 1998 года — а мне-то казалось, что тенденция проведения конкурсов только в последние 2-3 года набрала такую силу.
Мы отстаем на полтора десятилетия от всего мира? :) Это… новость?
Если я правильно понимаю, первый пункт не применим к телеграмному конкурсу, потому что алгоритм открыт и любой человек может повторить каждый из этапов обмена сообщениями с полным набором данных.
Применим, хоть не на 100%.
Результатом криптоанализа весьма редко является взлом конкретного зашифрованного сообщения. Вспомните ломаный-переломаный WEP: чтобы разгадать ключ, надо что-то около пары минут собирать пакеты, но, имея на руках один единственной зашифрованный пакет, не думаю, что у вас будет шанс его расшифровать.
Я так понимаю, надо просто найти в алгоритме дырку, а потом уже использовать ее для взлома конкретного дампа.

Для нахождения дырки есть открытый API, несколько его программных реализаций и столько дампов, сколько человек сможет себе нагенерить самостоятельно.

Если дырка будет найдена на тестовых данных, то, даже если это не поможет взять конкурсные деньги, все равно имярек получит некоторый кусок известности и сможет либо устроиться к Дурову на работу, либо наберет достаточно пиара чтобы устроиться куда-то еще.

Да, с открытыми исходниками серверной части конкурс был бы больше похож на «доказательство безопасности». Но лишь похож.
Не факт, что дырка позволит взломать конкретный дамп.

Вот, например, MD5 дыряв настолько, что даже сделали поддельный сертификат. Но это не поможет восстановить произвольно взятый хеш.
Мой третий абзац именно про это. ;)

В параллельном посте, кстати, уже привели ответ Дурова на многочисленные предъявы: с каждым этапом конкурса будут открываться все новые и новые инструменты. Естественно, это пиар, но хороший, правильный, умелый пиар. :) У нас в стране мало кто умеет его делать, кстати.
И тем не менее, он упорно не хочет вылезать из ловушки, о которой пишет Шнайер:

If Telegram proves to be robust in this respect, more tools to manipulate traffic and wider contests with similar prizes are to follow. Like all startups, this contest by Telegram starts from solving a basic but most important problem, then gradually gets more complicated in functionality and scope


А так, флаг ему в руки, конечно, с его велосипедом.
С точки зрения криптографии, мне куда больше нравятся идеи OTR.
Для кого это является ловушкой? :) Я же написал — да, это пиар. До момента доступа к исходным кодам серверной части это будет пиаром. После доступа — еще более громким, но тоже пиаром, потому что практика показала невозможность быстрого нахождения уязвимостей/закладок в реализациях сложных криптоалгоритмах. Так в чем разница?
Ок, согласен, пиар.
Интересно, будет ли это развиваться в сторону нормального исследования (деньги-то у Дурова на это вполне найдутся) или в цепочку пиар-доказательств?
Я не уверен, что можно в рамках использования общедоступной инфраструктуры серверов произвести математическое доказательство стойкости конкретной реализации протокола, которое будет верно в течении сколько-нибудь пристойного времени (см. статью про то, что можно услышать RSA шифрование).

Опять же, любая безопасность — это просто повышение цены ее преодоления. Потому что если кому-то что-то будет действительно интересно, то никто не отменял ректальный криптоанализ на всех 7 уровнях OSI. И если кто-то захочет использовать свои OSI, то можно спуститься до 8-го и просто узнать все у одного из участников беседы. :)
Было бы неправильно не упомянуть в этом обсуждении тот факт, что Дуров собирается сделать этот конкурс постоянным — если в текущем конкурсе будет победитель, то после устранения уязвимости будет объявлен следующий конкурс с большее высокой наградой, а если победитель до марта не найдется — второй конкурс будет также объявлен, а затем третий, четвертый, и так далее. Пруф на английском языке и перевод на русский.
Неудивительно — пиариться-то надо. Почему конкурсы такого рода бессмысленны с точки зрения доказательства криптостойкости, Шнайер прекрасно объяснил. А с точки зрения пиара шаг прекрасный.

Правильный конкурс был бы такой: выкладываются полные исходные коды клиента и сервера, делайте, что хотите, выплата — от $min до $max в зависимости от серьезности уязвимости.
НЛО прилетело и опубликовало эту надпись здесь
Ну в данном случае не 10, а 200 тысяч. Мне кажется, 200 тысяч — неплохой стимул не связываться с криминалом.
Неплохим доказательством неуязвимости было бы продление конкурса с повышением ставок. До полумиллиона. Пауза. До миллиона.

(Хотя после пары итераций может найтись тот,
кто будет тянуть с ответом, чтобы получить побольше денег,
но это можно обойти заявив, что «служба безопасности» компании также взламывает и правит найденные баги,
делая алгоритм более устойчивым,

ну или еще как-нибудь)
Смысл поста пролетел мимо вас, к сожалению.

Во всем мире не найдется такого приза, из-за которого лучшие криптоаналитики бросят все свои дела и побегут исследовать продукцию Meganet Corporation или RPK Security Inc.(две компании, недавно объявившие конкурсы по взлому). Гораздо интереснее найти уязвимости в Java, Windows NT или защите сотовых сетей.
Тут ещё есть такая проблема: компания в принципе не обязана разглашать истинные результаты конкурса, а сами конкурсанты в 99% случаев не имеют на это право. В результате баги могут быть найдены и за 10000$, а потенциальные клиенты будут видеть плашку «ололо, наш продукт так никто и не взломал».
С телеграмом все очень просто. Никто в здравом уме не доверит действительно конфиденциальные данные третьей стороне — а (особенно!) когда используется не десятилетиями проверенный протокол, а что-то наколеночное. Единственный правильный шаг — открытие полных исходных кодов и клиента, и сервера — Дуров по понятным причинам не сделает. Потому проводятся вот такие пиар-акции, на которые многие поведутся. Даже здесь некоторые ведутся, а что уж говорить о тех, кто вообще не в теме.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Публикации

Истории