Комментарии 43
Проблему закона Индюкова можно решить периодическими учениями и попытками проникновения в IT инфраструктуру. Насколько я знаю, есть фирмы специализирующиеся на проведении атак на IT — можно заказать атаку на самого себя. По результатам проводить репрессии, как будто и в самом деле что-то утекло.
Принцип Дийкстры не настолько фатален как кажется. Иногда от лишних слоёв абстракции бывает даже польза. Приложение, запущенное внутри песочницы, внутри виртуальной машины более безопасно, чем если бы непосредственно запускалось на хосте, несмотря на введение дополнительных слоёв абстракции. Просто надо не забывать вставлять водоразделы между несколькими слоями, не доверять всем подряд «раз некто оказался за DMZ — значит некто безопасен»
Принцип исторической несправедливости справедлив. Если ты отказался поделиться своими исследованиями с миром, то мир и не должен отдавать тебе приоритет.
Принцип Дийкстры не настолько фатален как кажется. Иногда от лишних слоёв абстракции бывает даже польза. Приложение, запущенное внутри песочницы, внутри виртуальной машины более безопасно, чем если бы непосредственно запускалось на хосте, несмотря на введение дополнительных слоёв абстракции. Просто надо не забывать вставлять водоразделы между несколькими слоями, не доверять всем подряд «раз некто оказался за DMZ — значит некто безопасен»
Принцип исторической несправедливости справедлив. Если ты отказался поделиться своими исследованиями с миром, то мир и не должен отдавать тебе приоритет.
Самая большая проблема в законе Березина. Все остальное решаемо :)
Пока гром не грянет, бизнес деньги на ИБ не даст
На мой взгляд песочницы и виртуальные машины это не усложнение, а напротив упрощение. Что проще — разобраться в в мегабайтах кода, чтобы быть точно уверенным в его безопасности или засунуть этот код в граничные условия из которых он не должен выходить?
Это как — проще засунуть бомбу в железный сейф и там подорвать, чем разбираться в том как бомба устроена, чтобы ее дезактивировать.
Это как — проще засунуть бомбу в железный сейф и там подорвать, чем разбираться в том как бомба устроена, чтобы ее дезактивировать.
Кода больше — значит усложнение. Зато написан он исходя из тех принципов, чтобы упростить его применение. В него изначально закладывается безопасность как основное требование.
Можно сравнить с табличными процессорами для примера. Там на первое место выходит удобство пользователя, который может практически любой скрипт ассоциировать с изменениями данных в ячейках, вплоть до записи и чтения из файлов. Таковы встроенные в emacs возможности, pyspread, другие достойные приложения. Их разработчики прикладываются множество усилий, чтобы сделать использование простым и предоставить широчайший спектр возможностей для пользователя. Однако же безопаность в них не входит, открытие документов в этих редакторов — всё равно что запуск непроверенного скрипта. Тем не менее, ими продолжают пользоваться.
Так что вопрос не в сложности, не в количестве строчек, в а предназначении программы и дизайнерских решениях, принятых чтобы его достичь.
Можно сравнить с табличными процессорами для примера. Там на первое место выходит удобство пользователя, который может практически любой скрипт ассоциировать с изменениями данных в ячейках, вплоть до записи и чтения из файлов. Таковы встроенные в emacs возможности, pyspread, другие достойные приложения. Их разработчики прикладываются множество усилий, чтобы сделать использование простым и предоставить широчайший спектр возможностей для пользователя. Однако же безопаность в них не входит, открытие документов в этих редакторов — всё равно что запуск непроверенного скрипта. Тем не менее, ими продолжают пользоваться.
Так что вопрос не в сложности, не в количестве строчек, в а предназначении программы и дизайнерских решениях, принятых чтобы его достичь.
На мой взгляд песочницы и виртуальные машины это не усложнение, а напротив упрощение.А как же дыры в песочницах? Например, печально известный Flash должен предоставлять безопасную среду для запуска скриптов, но в каждой версии находили дыры (уж за столько лет должны были запатчить всё).
По закону Индюкова — политика ИБ + люди, которые будут заниматься постоянным аудитом соблюдения этих правил.
Этот первоапрельский пост написан кровью, потом и слезами нескольких поколений безопасников, спасибо автору огромное за него.
О том, что основная задача ИБ — сделать несанкционированный доступ к информации дороже самой информации (переформулировка закона Склярова) и о том, что security has no market value (оригинальная формулировка закона Березина) я и сам постоянно тут в комментариях пишу совершенно без шуток.
P.S. законы эти настолько фундаментальные, что на них отлично работает принцип Арнольда, известный также как закон Стиглера.
О том, что основная задача ИБ — сделать несанкционированный доступ к информации дороже самой информации (переформулировка закона Склярова) и о том, что security has no market value (оригинальная формулировка закона Березина) я и сам постоянно тут в комментариях пишу совершенно без шуток.
P.S. законы эти настолько фундаментальные, что на них отлично работает принцип Арнольда, известный также как закон Стиглера.
НЛО прилетело и опубликовало эту надпись здесь
Доверие информационным системам — это слишком радикально. Тут необходим более гибкий процент отказов. Доверие людям — не существует, лучше заменить на теорию игр, она предоставляет необходимый инструментарий. В любом случае будет масса эвристических коэффициентов.
Ох, любят Гёделя упоминать по любому поводу.
Да, действительно, для сложной системы существуют утверждения, которые нельзя доказать или опровергнуть, но по Гёделю это довольно специфичные утверждения, содержащие самоотсылки.
Попробуйте доказать, что утверждения о безопасности или надёжности системы лежат среди Гёделевых.
Да, действительно, для сложной системы существуют утверждения, которые нельзя доказать или опровергнуть, но по Гёделю это довольно специфичные утверждения, содержащие самоотсылки.
Попробуйте доказать, что утверждения о безопасности или надёжности системы лежат среди Гёделевых.
НЛО прилетело и опубликовало эту надпись здесь
Мне просто стало интересно, есть ли связь между непротиворечивостью и проблемой останова.
Насколько я знаю, связи нет.
Насколько я знаю, связи нет.
НЛО прилетело и опубликовало эту надпись здесь
Можно еще добавить «Закон слабого звена в цепи» на ИБ языке: Информационная система защищена настолько, насколько защищено самое слабое ее звено
Представляю как три закона Ньютона на форуме физиков утверждают.
Даже законы Мерфи объективны, а не результат общественного соглашения.
Даже законы Мерфи объективны, а не результат общественного соглашения.
Как мне кажется, есть еще один закон. Непреложный. И никогда не соблюдаемый.
Информационная безопасность не может стоить меньше того, что она защищает. Иначе дешевле купить лояльность безопасности :-)
Информационная безопасность не может стоить меньше того, что она защищает. Иначе дешевле купить лояльность безопасности :-)
Закон работал бы в условиях анархии, без законов, государства и регуляторов.
В текущих реалиях у безопасников выбор
— получить X денег за защиту,
— получить Y денег за взлом и риск быть осужденным за преступление.
Не удивительно, что закон «не соблюдаемый», даже при Y > X непросто найти исполнителей.
В текущих реалиях у безопасников выбор
— получить X денег за защиту,
— получить Y денег за взлом и риск быть осужденным за преступление.
Не удивительно, что закон «не соблюдаемый», даже при Y > X непросто найти исполнителей.
А я как-то не согласен, ну именно с такой формулировкой. Тезис: банки защищают денежные средства всех своих вкладчиков; стоит ли им тратить такую же сумму на безопасность?
НЛО прилетело и опубликовало эту надпись здесь
А еще надо бы про энтропию: никакими детерминированными алгоритмами нельзя увеличить число бит энтропии. А то есть «любители»…
Офигенный пост, классно написано, одно но — колоссальное количество ошибок (в русском языке), буквально в каждем абзаце по нескольку. Вычитывайте, пожалуйста.
А сам пост прочитался на одном дыхании. :)
Спасибо!
А сам пост прочитался на одном дыхании. :)
Спасибо!
Ещё предлагается — закон «профессионализма». В общем название можно обсудить.
Закон действует не только в информационной безопасности, но и в ИТ, и в других сферах то же, но к сожалению в ИБ довольно часто.
«Уровень безопасности системы зависит от уровня строящих и обслуживающих её специалистов.»
К сожалению в сфере информационной безопасности, есть очень много проходимцев, лентяев, кумовства. Слишком часто в информационную безопасность приходят люди из спецслужб, которые и в спецслужбах занимались не информационной безопасностью, а чем то другим. И хорошо если этот индивид будет достаточно умён чтобы пригласить себе в команду нормальных спецов, и не будет им мешать, так нет зачастую, он и в команду набирает таких же бездарей как и сам. Эти люди не только не знают, но и учиться не желают.
Этот закон вступает с утверждением что бизнес не понимает, не даёт. Зачастую бизнес понимает и даёт, а горе специалисты всё сводят к нулю. Оценивали тут успешность проектов ИБ в одной довольно крупной организации, оказалось что многие проекты выполнены плохо, а многие не выполнены совсем.
Отсюда же в свою очередь растёт и нежелание бизнеса в финансировании ИБ, а то деньги тратятся, а инцидентов меньше не становится. Получается так: за отчётный период из-за проблем с ИБ было потеряно 1 мешок денег. Было принято решение улучшить систему, потрачено 1 мешок денег. За второй период из-за проблем с ИБ был потерян ещё один мешок денег. Итого общие потери за второй период — 2 мешка денег. И когда это продолжается из года в год, какие претензии к бизнесу?
Закон действует не только в информационной безопасности, но и в ИТ, и в других сферах то же, но к сожалению в ИБ довольно часто.
«Уровень безопасности системы зависит от уровня строящих и обслуживающих её специалистов.»
К сожалению в сфере информационной безопасности, есть очень много проходимцев, лентяев, кумовства. Слишком часто в информационную безопасность приходят люди из спецслужб, которые и в спецслужбах занимались не информационной безопасностью, а чем то другим. И хорошо если этот индивид будет достаточно умён чтобы пригласить себе в команду нормальных спецов, и не будет им мешать, так нет зачастую, он и в команду набирает таких же бездарей как и сам. Эти люди не только не знают, но и учиться не желают.
Этот закон вступает с утверждением что бизнес не понимает, не даёт. Зачастую бизнес понимает и даёт, а горе специалисты всё сводят к нулю. Оценивали тут успешность проектов ИБ в одной довольно крупной организации, оказалось что многие проекты выполнены плохо, а многие не выполнены совсем.
Отсюда же в свою очередь растёт и нежелание бизнеса в финансировании ИБ, а то деньги тратятся, а инцидентов меньше не становится. Получается так: за отчётный период из-за проблем с ИБ было потеряно 1 мешок денег. Было принято решение улучшить систему, потрачено 1 мешок денег. За второй период из-за проблем с ИБ был потерян ещё один мешок денег. Итого общие потери за второй период — 2 мешка денег. И когда это продолжается из года в год, какие претензии к бизнесу?
Закон Стиглера
Как непатриотично вы обозвали принцип Арнольда)
«Закон Склярова» в оригинале звучит вот так «Стоимость затрат на создание системы защиты информации на объекте не должна превышать стоимость защищаемой информации. В противном случае защита информации становится нецелесообразной. За исключением случаев, когда речь идет о защите информации предоставляющей государственную важность или стоимость утери информации не может быть оценена.» Собственно Дмитрию его именно в таком виде и преподносили в далеких 90-ых годах, впрочем как и всем кто учился в то время на только открывшихся кафедрах информационной безопасности. Предмет назывался «Основы ИБ», раздел «Технико экономическое обоснование ЗИ». А преподаватели, заботящиеся об будущем студентов, всегда добавляли «в обсуждении с заказчиком старайтесь избегать этой темы всеми силами, так как разные методы оценки стоимости информации будут давать разные результаты и обсуждение возможных средств защиты перейдет в бессмысленный спор о реальной стоимости информации».
К сожалению, сейчас об этом мало кто знает и оценку средств ЗИ делают по принципу «Сколько???? Нет, это очень дорого. Мне только что предлагали решение ХХХ и оно стоит в два раза дешевле.» А дальше начинается смена средств защиты, в целях уменьшения стоимости проекта, при этом напрочь забывается о том что в первую очередь надо бы оценивать достигаемый уровень защищенности. Что рано или поздно приводит к различным инцидентам ИБ.
К сожалению, сейчас об этом мало кто знает и оценку средств ЗИ делают по принципу «Сколько???? Нет, это очень дорого. Мне только что предлагали решение ХХХ и оно стоит в два раза дешевле.» А дальше начинается смена средств защиты, в целях уменьшения стоимости проекта, при этом напрочь забывается о том что в первую очередь надо бы оценивать достигаемый уровень защищенности. Что рано или поздно приводит к различным инцидентам ИБ.
Законы Склярова и Батенёва оперируют такой штукой, как «стоимость взлома», которая подобна нуль-транспортировке — очень удобна для расчетов, но не смотря на это в объективном виде не существует.
Взлом — это озарение «а поглядим-ка мы вот тот параметр того POST запроса, что-то он странный какой-то». Озарение занимает меньше секунды. Проверка его — от секунд, до нескольких часов. Сложная система может взламываться через последовательную эксплуатацию 5-6 уязвимостей. То есть, и взлом пентагона и взлом швейцарского банка, если идти прямым путем, равны 1-2-3 днем работы квалифицированного специалиста. Но на практике, опять же, системы могут быть практически неломаемыми потому что никто не знает прямой путь, и часто требуется проверять множество разных «тропинок», 99.9% из которых — тупиковые.
Стоимость взлома может быть очень разной в зависимости от специализации, интуиции и просто удачи, например, если система ломается через DNS, то ее достаточно легко сломать сетевику, который свободно работает с tcpdump/wireshark/hping, а DNS пакеты декодирует из хекса в уме. И невероятно сложно веб программисту, который владеет всеми фреймворками javascript, наизусть знает их дыры. Поэтому там, где для одного стоимость взлома — многомиллионная, для другого она копеечная.
Причем для защитника она всегда неизвестная. Это невозможная ситуация «взломщики сломают нас воспользовавшись доступом к админке, которая у нас в мир смотрит, но сначала они потратят 5 дней пытаясь подобрать эксплойт к движку». Если защищающийся не знает уязвимость — то стоимость взлома — бесконечна. (Конечно, умный человек понимает ограниченность своих знаний и возможную ошибочность предположений).Если же он знает уязвимость — то довольно глупо говорить о стоимости взлома — она копеечная.
Взлом — это озарение «а поглядим-ка мы вот тот параметр того POST запроса, что-то он странный какой-то». Озарение занимает меньше секунды. Проверка его — от секунд, до нескольких часов. Сложная система может взламываться через последовательную эксплуатацию 5-6 уязвимостей. То есть, и взлом пентагона и взлом швейцарского банка, если идти прямым путем, равны 1-2-3 днем работы квалифицированного специалиста. Но на практике, опять же, системы могут быть практически неломаемыми потому что никто не знает прямой путь, и часто требуется проверять множество разных «тропинок», 99.9% из которых — тупиковые.
Стоимость взлома может быть очень разной в зависимости от специализации, интуиции и просто удачи, например, если система ломается через DNS, то ее достаточно легко сломать сетевику, который свободно работает с tcpdump/wireshark/hping, а DNS пакеты декодирует из хекса в уме. И невероятно сложно веб программисту, который владеет всеми фреймворками javascript, наизусть знает их дыры. Поэтому там, где для одного стоимость взлома — многомиллионная, для другого она копеечная.
Причем для защитника она всегда неизвестная. Это невозможная ситуация «взломщики сломают нас воспользовавшись доступом к админке, которая у нас в мир смотрит, но сначала они потратят 5 дней пытаясь подобрать эксплойт к движку». Если защищающийся не знает уязвимость — то стоимость взлома — бесконечна. (Конечно, умный человек понимает ограниченность своих знаний и возможную ошибочность предположений).Если же он знает уязвимость — то довольно глупо говорить о стоимости взлома — она копеечная.
Как минимум, есть ситуации когда стоимость можно с очень высокой точностью посчитать. Например, какой сложности шифрование использовать. Шифрование А, для брутфорса которого потребуется два компьютера за 500 долларов и месяц машинного времени, или Шифрование Б, для брутфорса которого потребуется значительно больше ресурсов.
Но кто обяжет хакера ломать именно брутфорсом? Систему А он взломает через уязвимость в сетевом демоне, а систему Б — через уязвимость в реализации (а не в самой идее) криптографического алгоритма (забыли использовать рандомный salt для пароля, хотя по проекту предполагалось). У обоих атак будет какая-то своя, относительно низкая стоимость, которая будет существенно ниже расчетной.
Сама идея «стоимости взлома» основана на ложном предположении что реальная система абсолютно точно соответствует простой модели в нашей голове. Но это заведомо неверно. Система из тысяч строк кода — сложна и «не помещается в голове». А то что уместилось — это упрощение. В этом упрощении есть функция check_login(), вместо реальных 100 строк кода, которые ее реализуют. check_login работает «неуязвимо», а реальные 100 строк кода — имеют одну маленькую уязвимость, которую найдет взломщик. И еще неизвестно сколько уязвимостей, которые он не сможет найти.
Черный лебедь потому и такая опасная птица, что все живут в модели-мире, кто черных лебедей не существует.
Сама идея «стоимости взлома» основана на ложном предположении что реальная система абсолютно точно соответствует простой модели в нашей голове. Но это заведомо неверно. Система из тысяч строк кода — сложна и «не помещается в голове». А то что уместилось — это упрощение. В этом упрощении есть функция check_login(), вместо реальных 100 строк кода, которые ее реализуют. check_login работает «неуязвимо», а реальные 100 строк кода — имеют одну маленькую уязвимость, которую найдет взломщик. И еще неизвестно сколько уязвимостей, которые он не сможет найти.
Черный лебедь потому и такая опасная птица, что все живут в модели-мире, кто черных лебедей не существует.
Вы забыли об ещё одном факторе, влияющем на стоимость взлома — массовость. Если один и тот же приём можно автоматически применять ко множеству систем, то его удельная стоимость сильно понижается. Этим объясняется недавнее широкое развитие шифровальщиков — случайно уцепившись за каждый тысячный компьютер из миллионов опробованных, шифровальщик окупает своё создание.
Насчёт всего, что связано со стоимостью информации и стоимости взлома, не совсем согласен.
Иногда случается так, что некоторые взломы делаются ради фана/азарта/престижа/статуса (т.е. именно ради взлома, чтобы доказать себе или другим, что ты можешь взломать конкретную систему), безотносительно фактической стоимости полученной информации.
Забыли самую главную аксиому — «Безопасность обратно пропорциональна удобству».
Мы сейчас обсуждали iT безопасность, а давайте вспомним вообще про нашу с вами безопасность в целом.
В нашем детстве многие методы обучения граничат со смертью. Это из Stand Up Виктор Комаров
Подробней тут...
Я помню, как меня в детстве отец учил кататься на велосипеде. Никакой предварительной техники безопасности. Просто посадил на велик, взял за седушку и отпустил. <...> Зато из-за этого, мне кажется, в более сознательной жизни, у нас притуплено чувство самосохранения. Я был однажды в аэропорту. Сижу в кафе. И по громкой связи звучит объявление, где женщина чёрным по белому объявляет: «Пожарная тревога! Срочно покиньте...» Но никто не пошевелил булками. Единственное, что поменялось, — мужик за соседним столиком начал быстрее размешивать сахар в кофе. И это мы с вами. Мы так делаем. Пока мы точно не будем уверены, что нам угрожает опасность, мы не будем шевелиться. Пока мы не увидим горящего мужика, который пробегает с фразой «Это не учебная!»
Защититься от закона Индюкова можно устраивая раз в несколько лет «учения». Сисадмин умышленно запускает по всей системе некую @#$%! А когда все, включая директора, встанут на уши и последний начнет раздавать ***ли, говорит, что мол спокойно, все под контролем, только надо сменить пароли и т.п.
А потом директор пообщается со своим знакомым — директором другой фирмы, который скажет, что у них такой хрени не бывает никогда. И следующим шагом админа первой фирмы увольняют «за непрофессионализм».
Когда директор посчитает, сколько денег стоило «стояние на ушах» у 20 человек, и попросить оплатить их время из своей з/п, админ на это по-другому посмотрит.
– Это решается принудительными политиками. В ОС уже давно есть политики, контролирующие сложно пароля.
– Среди персонала надо продавать штрафы за халатное отношение к конф. данным (пароли на листках или на внешнем (к организации) устройстве в открытом виде).
– Периодические заказы тестов на проникновение… раз 2 года потратить некоторую сумму денег на аудит IT безопасности всё таки можно, если бизнес завязан на IT инфраструктуре.
– Конечно не заставить всех исполнять банальные, но важные правила, но хотя бы снять с себя ответственность можно. Я не к тому, что прикрывайте свой зад, а к тому, что плоскость вопроса уже не техническая, а административная: сами нарушают — сами пусть за это и расплачиваются. Ведь если не на кого будет спихнуть вину после инцидента (на свитерастых админов, например), то с большей вероятностью виновный будет найден и наказан.
Так что моё мнение такое: всё что можно решить технические — решается любыми методами технически, что не поддаётся настройке и не попадается под полномочия, должно решаться административным ресурсом. Если решилось плохо — административный ресурс сам сам и разберётся.
– Среди персонала надо продавать штрафы за халатное отношение к конф. данным (пароли на листках или на внешнем (к организации) устройстве в открытом виде).
– Периодические заказы тестов на проникновение… раз 2 года потратить некоторую сумму денег на аудит IT безопасности всё таки можно, если бизнес завязан на IT инфраструктуре.
– Конечно не заставить всех исполнять банальные, но важные правила, но хотя бы снять с себя ответственность можно. Я не к тому, что прикрывайте свой зад, а к тому, что плоскость вопроса уже не техническая, а административная: сами нарушают — сами пусть за это и расплачиваются. Ведь если не на кого будет спихнуть вину после инцидента (на свитерастых админов, например), то с большей вероятностью виновный будет найден и наказан.
Так что моё мнение такое: всё что можно решить технические — решается любыми методами технически, что не поддаётся настройке и не попадается под полномочия, должно решаться административным ресурсом. Если решилось плохо — административный ресурс сам сам и разберётся.
> Закон систематической исторической несправедливости Саймона Сингха
В России более известен как принцип Арнольда (который математик):
Имеется также дополнение — принцип Берри:
© «Что такое математика» В. И. Арнольд
В России более известен как принцип Арнольда (который математик):
Если какой-либо объект имеет собственное имя (например, Америка), то это не имя первооткрывателя.
Имеется также дополнение — принцип Берри:
Принцип Арнольда применим к самому себе.
© «Что такое математика» В. И. Арнольд
Предположим некто Джим в какой-то социалке разместил фото красивейшего заката на каких-нибудь островах в океане. Также представим, что некоему Джону это фото ну очень понравилась и он репостнул его у себя в ленте.
Вдруг выясняется, что внутри этого фото с помощью стеганографии скрыто еще одно, например с детским порно.
Вопрос:
Можно ли в этом случае предъявить Джиму и Джону обвинения в распространении детского порно, при условии, что они оба настаивают на том, что не знали о том, что внутри фото с закатом было еще что-то?
Вдруг выясняется, что внутри этого фото с помощью стеганографии скрыто еще одно, например с детским порно.
Вопрос:
Можно ли в этом случае предъявить Джиму и Джону обвинения в распространении детского порно, при условии, что они оба настаивают на том, что не знали о том, что внутри фото с закатом было еще что-то?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Фундаментальные законы информационной безопасности