Обновить
14

Химик и программист.

32
Подписчики
Отправить сообщение
Верно. И 10 (а тем более 8 символов) — плохие пароли при современных скоростях компов.
Несоблюдение контракта и дисциплины на рабочем месте — проблема начальства, а не стороннего тестера. Возможно, что есть конторы, где у 90% пользователей не только пароли висят на мониторах, но они регулярно опаздывают на работу, часами занимают рабочий телефон по неслужебным вопросам, курят и распивают алкогольные напитки на рабочем месте и т.д. Выявление и устранение подобных нарушений по силам администрации, сторонних тестеров для этого приглашать не нужно.
Чтобы Петя не болтал лишнего не нужно нанимать взломщика-тестера, а нужно оговорить в контракте и должностных инструкциях ответственность Пети. Дело нанятого для тестирования взломщика — искать дыры в ПО, а не проверять Петю на верность фирме. Т.к. дыры в ПО — вещь постоянная, пока их не заткнут, а Петя — временный: сегодня Петя, а завтра он уволится, и на его месте будет Лена, а через некоторое время она уйдет в декретный отпуск. И что? Каждый раз при смене каждого из ответственных работников взломщика нанимать? Кроме того такие испытания вряд ли вскроют все возможные при реальном взломе подходы. Нпр., Петя может не так сильно любить пиво, чтобы сообщить под него что-то секретное, но может слишком сильно любить деньги. Вряд ли наемный тестер сможет предложить ему адекватную сумму. Сильнее пива Петю могут интересовать симпатичные девушки и что он не скажет взломщику, проболтает взломщице и т.д.
Я знаю, что социальная инженерия очень помогает взломщикам и с этим не спорю. Но не понял, как социальная инженерия помогает, когда «исследуют уязвимости и недокументированные возможности ПО»? Нпр., будет ли директор банка нанимать хакера, чтобы тот пытался разговорить пьяного разработчика за кружкой пива в баре? Думаю, что если директор и наймет хакера, то наймет, чтобы тот проверил чисто технические возможности взлома типа перебора паролей, а не болтливость разработчика.
Выше Вы сказали:
Большая часть культуры хакеров не спроста строится на социальной инженерии.

Насколько мне известно хакеры исследуют уязвимости и недокументированные возможности ПО.
Отсюда следует, что хакеры исследуют уязвимости и недокументированные возможности ПО методами социальной инженерии?

В рувики подробная статья Хакер, основанная на вполне авторитетных источниках типа RFC 1983.
Спасибо за интересное исследование. Поэтому возник вопрос, т.к. неинтересные публикации вопросов не вызывают:
Добавим в функцию задержку на 1 секунду, а также выведем результат подсчета в консоль, перед тем как его вернуть.
Этот момент вызвал сомнение. Значительное время тест не работает, а спит. Т.о. тестируем сон, а не только работу.
Если есть реальная производственная необходимость, то на работе можно сделать банковскую систему подтверждения одноразовым паролем, получаемым сотрудником на личный мобильник по SMS. Пока не подтвердишь — в систему не войдешь.
KeePass — отличная программа, но автор (Dominik Reichl) честно признает, что у нее принципиальные ограничения, присущие всем менеджерам паролей. От шпионов клавы и мыши она не спасет. И как в ней хранить пароль входа в ОС, т.е. хранить можно, но как использовать? :)
Верно. Только слово «культура» представляется не совсем подходящим: культура хакеров = культура взлома. Можно сказать: культура незаметного изъятия денег из карманов прохожих, культура проникновения в чужую квартиру посредством форточки и т.д.? ;)
Ok. Именно поэтому я и написал:

с теоретической точки зрения довольно слабая защита
Частый случай: два компа похожей конфигурации, на них одинаковые прикладное ПО и ОС. На одном ОС встала нормально, а на другом криво. На первом проблем почти нет, а на втором постоянные проблемы. Беда в том, что многие ОС норовят встать криво. Эта тенденция («норов») и называется ненадежностью. К сожалению, если ОС встала нормально, это не значит, что ее не искривит со временем :(
Ооочень согласен, хоть и не работник бухгалтерии :)

ИМХО блокировщик отключить! Это издевательство при никакой защите. Яндекс-деньги давно не использую, может им, как банкам, на SMS-пароли перейти? Менеджере паролей ИМХО не выход, но м.б. иногда полезен (частично).
Да, уж! Существует отличная от нуля вероятность, что за полгода сравнительно небольшая группа хакеров (примерно в миллион человек) простым перебором найдет пароль «RBlplh8pRWlcX3QNcLAB» ;) Согласен, что лучше не вычислять невероятность такого события, а сильно чаще менять пароли. И что пароль должен быть удобным, если не для запоминания, то для набора. Нпр., четыре буквы, четыре цифры, четыре буквы и т.д. И не надо при генерации слишком скакать по регистру «большие/малые буквы».
Я не работник бухгалтерии, но по впечатлениям от посещений этих отделов: все работники бухгалтерии всегда ухитряются прятать деньги (и даже небольшие) в личные сейфы так, что и свои не украдут. А кто/что мешает им прятать в сейф список паролей? ИМХО привычки нет. И достаточно часто менять пароли — нет привычки. Но у многих уже сложилась привычка к паролям типа 12345678 :) М.б. сканер отпечатка пальца и электронный ключ, которые с теоретической точки зрения довольно слабая защита, в сложившийся ситуации защита наиболее эффективная? ;)
Любая современная вещь — плохая штука, котороя вскоре изменится, модифицируется, исчезнет наконец
Согласен.
Является ли современная организация ОС тупиковой — скорее всего нет, тем более, что все упирается в железо, точнее в две рабочие лошадки — софт и хард, которые помимо общего тягла взаимно подтягивают друг друга.
ИМХО софт давно и сильно отстает от харда. Многопоточность никак освоить многие компании не могут, но все делают вид (ИМХО) :)
Пока не видно особых проблем, связанных с ОС
ИМХО есть. Одна из первых — малая надежность. Не говорю про бортовые ОС, где сбой = фатальный исход. Но и в быту частые зависы и прочие проблемы ОС раздражают и… снижают прибыль всяких лавочек, магазинов, банков и т.д. В «Виндах» ИМХО очень мало настроек при установке. Чтобы сделать минимальную версию нужно много чистить после установки. В линуксах можно делать чудеса, но и там очень долго делать чудо. В общем везде встает куча ненужного для целей конкретного пользователя хлама, который зачастую мешает.
Другое дело изменить концепцию ОС
Например, в свое время я задумывался об ОС по типу муравейника, где ядро, как матка, генерирует необходимые обработчики в каждый момент времен, которые выполнив свои задачи, исчезают, то есть структура ОС пластична в зависимости от конкретной ситуации
Хорошая идея! Не слабо такое в линуксе сделать? ;)
Ok, возможно. К Raspberry стоит присмотреться, если цены такие, как в рувики, то м.б. можно соорудить, что-то забавное. Спасибо.
Бывают случаи, когда рабочие станции десктопами обзывают, а если вникнуть в детали, то они составляют мощный кластер ;)
Долгое время использовал Opera на десктопе, но теперь не использую. Я консерватор, когда речь о затратах моего драгоценного времени. Принципиально не хочу обновлять версию и не буду, пока не захочу. Какой-то софт может быть для меня настолько не важен, что затрачивать на него лишнее время не вижу необходимости. Пользователь привыкает к софту и если он его устраивает, то не нужно навязывать ему обновление. Мне возразят про защищенность и исправления, но это мое дело и мой риск. Верните пользователю возможность один раз отказаться от обновления.
Думаю, что если автора, как и любого другого хорошего специалиста, пересадить сейчас на 286, то особых проблем у них не возникнет. Просто они вернутся к подходам и методам, которые зарекомендовали себя в эпоху 286 :) Говорят, что и сейчас такое встречается: где-то недавно читал, что одна европейская сеть супермаркетов вернулась к MS DOS и соответственному железу. Они посчитали, что для элементарных кассовых операций этого достаточно. Не уверен на 100% в правдивости этой инфы, однако ИМХО в любом случае в ней полезная идея: крутой комп в супермаркете, который периодически зависает из-за невысокой квалификации кассирши — не всегда лучшее решение.
ИМХО очень много информации для размышления, спасибо! Но позвольте немного критики по структуре статьи — на мой взгляд, не хватает выводов. Однако формат публикации позволяет добавить их, например, в ответ на данное сообщение. Мне кажется, что это будет интересно большинству читателей.
Еще раз большое спасибо за интересную статью.

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность