Често Задавани Въпроси

12
Добави коментар
singu
singu

Превод на една от най-силните и смислени статии, които съм чел напоследък. Автор е Маркъс Ранъм – Опитах се максимално да запазя веселяшния тон и подчертаванията в текста. Статията не се разпространява под CC-BY-NC на блога, ако искате да я препубликувате, трябва да се свържете с автора.

В ИТ сигурността има страшно много иновации – буквално сме заляти от поток нови продукти и изглежда, че всичко е просто прекрасно и работи чудесно. На всеки няколко месеца съм канен на нова конференция по сигурност или ме молят да напиша референцията на нова книга за сигурност. И благодарение на факта, че обществото се интересува от темата и е относително „безопасна тема“ за обсъждане от политиците, можем да очакваме потоп от закони и наредби, свързани със сигурността. Явно това е популярна тема. Но защо прахосваме цялото това време и пари и въпреки всичко пак имаме проблеми ?

Нека да ви представя 6-те най-тъпи идеи в информационната сигурност. Какво са те ли? Това са анти-добри идеи. Те са причината вашият 100 000 доларов ASIC турбо-стейтфул пакетомачкащ файъруол да е прозрачен за лошите. Откъде идват? От недодялани опити да се направи невъзможното – което е просто друг израз за „опит за игнориране на реалността“. Често тези некадърни опити са резултат на добронамерените усилия на хора или компании, които просто не разбират напълно ситуацията, но по-често идеите са следствие на група бизнесмени, които продават прекрасно маркетирано парче боклук с идеята да изкарат бързи пари. Във всеки случай, тези тъпи идеи са фундаменталната причина за прахосването на всички пари, които хвърляме за сигурност, освен ако някакси успеем да ги избегнем.

За ваше удобство, изброявам тъпизмите в намаляващ ред, подредени по най-често срещаните. Ако успеете да избегнете първите три, значи се сред малкото истински елитни специалисти.

#1) Разрешено по подразбиране

Тази тъпа идея се проявява в множество различни форми, изключително устойчива е и е адски трудно да бъде премахната, защото е много секси. Системи, базирани на „разрешено по подразбиране“ са еквивалента на празните калории – вкусни, но от тях се пълнее.

Най-разпознаваемата форма на този тъпизъм е в правилата на файъруолите. В първите дни на компютърната сигурност, мрежовите специалисти пускаха Интернет свързаност и я правеха сигурна, като спираха входящият телнет, rlogin и FTP. Всичко останало беше пропускано и оттам името „разрешено по подразбиране“. Това поставя специалиста по сигурност в безкрайна битка с хакерите. Всеки път, когато бъде открита уязвимост в услуга, която не е спряна, администраторите трябва да решат дали да я спрат или не, за предпочитане – преди да бъдат хакнати. Много организации възприеха „разрешено по подразбиране“ в началото на 90-те, и се самоубеждаваха, че са ОК, защото „ние не сме интересна цел“. Разпространението на Интернет червеите през 90-те трябваше да убие този почин, но за съжаление това не се случи. Всъщност повечето мрежи днес все още се изграждат на базата на отворено ядро, без каквато и да е сегментация. Това е „разрешено по подразбиране“.

Друго място, където този тъпизъм се проявява е начина, по който подхождаме към изпълнението на код в нашите системи. По подразбиране се позволява всичко на компютъра да изпълни код, ако щракнете отгоре, освен ако изпълнението не се спре от нещо като антивирусна програма или anti-spyware. Ако помислите за няколко секунди, ще разберете колко тъпа идея е това. На моят компютър редовно използвам около 15 различни приложения. Сигурно има още 20 или 30 инсталирани, които използвам веднъж на месец-два. И все още не разбирам защо операционните системи са толкова глупави, че позволяват всеки стар вирус или спайуер да се изпълни дори без да ме попита. Това е „разрешено по подразбиране“.

Преди няколко години работех по анализа на сигурността на Интернет сайт, който беше част от проект за електронно банкиране. Сайтът имаше лоад-балансер пред себе си, който беше способен да пренасочва трафика на базата на URL и клиента искаше да го използва за да спре разпространението на Интернет червеите, като ги пренасочи. Пренасочването на трафика понякога означава политика на „разрешено по подразбиране“ ( т.е. ако не е разпозната атака, пропускаме трафика ), но аз успях да убедя хората да приемат обратният подход. Лоад-балансера беше конфигуриран да пренасочва всеки трафик, който не отговаря на пълният списък от правилно структурирани URL-и към специално конфигуриран сървър с картинки и страници с 404 грешка. Тази политика устоя на времето доста добре.

Един ярък симптом, че имате случай на „разрешено по подразбиране“ е, когато се озовете в състезание по превъоръжение с хакерите. Това означава, че сте се поставили в положение, в което това, което не знаете, може да ви навреди и сте обречени да си играете на котка и мишка.

Обратната идея на „разрешено по подразбиране“ е „забранено по подразбиране“ и това е наистина добра идея. Трябва отдаденост, мисъл и разбиране, за да се имплементира тази политика, поради което това рядко се прави. Не е чак толкова по-трудно от „разрешено по подразбиране“, но ще спите много по-добре.

#2) Преброяване на лошото

Преди, в зараждането на компютърната сигурност, имаше относително малък брой от добре познати дупки в сигурността. Това има много общо с широкото възприемане на „разрешено по подразбиране“, защото когато има само 15 познати атаки за хакване на мрежата, беше възможно да ги изследвате индивидуално , да помислите за векторите на тези 15 атаки, и накрая да ги блокирате. Така специалистите по сигурност придобиха навика за „преброяване на лошото“ – списък със всички лоши неща, за които знаем. След като направите списък, слагате нещо, което да ги разпознава и/или блокира.

Фиг. 1 „Пропастта на лошотията“

Защо „преброяване на лошите“ е тъпа идея? Тъпизъм е, защото около 1992-ра количеството на лошите неща в Интернет започна изключително много да превъзхожда количеството на добрите неща. За всяко безвредно, легитимно приложение има десетки или стотици зловредни кодове, червеи, експлойти или вируси. Да вземем за пример типичен антивирусен софтуер и ще видите, че той знае за над 75 000 вируса, които могат да инфектират системата ви. Сравнете това с легитимните около 30 приложения, които аз съм инсталирал на компютъра си и ще видите, че всъщност е доста тъпо да се опитваме да следим 75 000 парченца Лошотия, когато дори и идиот би могъл да следи 30-те парченца Добро. Всъщност, ако аз просто следях тези 30 приложения на компютъра си и не позволявах нищо друго да се изпълни, щях да си реша едновременно и генерално следните проблеми:

Спайуер
Вируси
Троянски коне
Експлойти, които включват изпълнение на предварително инсталиран код, който не използвате регулярно.

Благодарение на целият маркетингов шум около разкриването и обявяването на експлойтите, има ( според някои анализатори в индустрията ) между 200 и 700 нови парчета Лошотия, появяващи се в Интернет всеки месец. Не само че „преброяване на Лошотията“ е тъпа идея, тя дори е станала още по тъпа през няколкото минути, които отделихте да прочетете тази статия.

Типичният ИТ директор, с който обсъждам тази концепция, в този момент ще стане гордо и ще заяви нещо от сорта на „Това е страхотно, но нашата фирма е наистина сложна. Познаването на всички приложения, от които зависим е невъзможно! Казаното от теб звучи разумно, до момента, в който помислим и разберем колко е абсурдно“, на което отговарям „Как може да се наричате ‘директор на Информационните системи’, когато нямате представа с какви точно информационни системи работите?“. Директора не трябва да знае в детайли за всяко приложение в мрежата, но ако нямате поне обща представа какво се случва в мрежата, не е възможно да направите планиране на капацитета, disaster recovery, сигурност или всъщност каквото и да е от задълженията на ИТ директора.

През 1994-та написах файъруол, който анализираше системните логове и информираше администратора в случай на неочаквано събитие. Първата версия използваше „преброяване на Лошотията“ ( да, бях глупав ), но следващата версия използваше нещо, което нарекох „Изкуствено невежество” – процес, при който махаме всички събития, за които знаем, че не са ни интересни. Ако има нещо останало, след като сте изхвърлили всичко неинтересно, то това, което остава трябва да ни е интересно. Този подход проработи изненадващо добре и разпознаваше голямо количество важни оперативни състояние и грешки, за които никога не бих се сетил да гледам.

„Преброяване на Лошотията“ е идеята зад огромен брой продукти и системи за сигурност, от антивирусни до IDS[[Intrusion Detection Systems]] системи, сигурност на приложения и „deep packet inspection” файъруоли. Всъщност всички тези продукти и услуги заместват вашето познание което е добро и кое – не. Вместо да отделите времето и да изброите 30-тината легитимни приложения, по-лесно е да платите 29,95 на година на някой, който да се опита да поддържа пълен списък на всичко лошо в света. Разбира се, ще платите 29.95 на година за антивирусният списък, след това още 29,95 за спайуер списъка и накрая ще си купите „персонален файъруол“, който може да контролира мрежовата активност на приложенията. В крайна сметка всички тези разходи на практика ще удвоят цената на „евтината“ операционна система за вашият компютър.

Един ясен симптом, че имате случай на „преброяване на Лошотията“ е, че имате система или софтуер, на който му е необходимо обновяване на сигнатури на регулярна база, или система, която пропуска нов Интернет червей, за който не знае. Лечението на този тъпизъм е, разбира се, „Преброяване на Доброто“. Учудващо, на практика няма никаква поддръжка в операционните системи за контрол на софтуера на това ниво. Опитах се да използвам Program Execution Control на Windows XP Pro, но той е ориентиран към „преброяване на Лошотията“ и е по същество тъпо изпълнение на тъпа идея.

В определен смисъл, „преброяването на Лошотията“ е вид разновидност на „разрешено по подразбиране“ – нашият номер 1 тъпизъм, но е толкова разпространено, че заслужава свое собствено място.

#3) Пробий и закърпи

Има стара поговорка: „ Не можете да направите копринен шал от свинско ухо“. Което си е истина, освен ако не използвате толкова много коприна да закърпите ухото, че накрая свинското ухо е напълно заместено с коприна. За съжаление грешките в софтуера се отстраняват предимно с добавянето на още код, а не с премахването на старите парченца от свинско ухо.

“Пробий и Закърпи“ е тъпа идея, най-добре изразена чрез езика за програмиране BASIC:

10 GOSUB LOOK_FOR_HOLES
20 IF HOLE_FOUND = FALSE THEN GOTO 50
30 GOSUB FIX_HOLE
40 GOTO 10
50 GOSUB CONGRATULATE_SELF
60 GOSUB GET_HACKED_EVENTUALLY_ANYWAY
70 GOTO 10

С други думи, атакаувате вашия файъруол/софтуер/сайт/каквото и да е отвън, намирате проблем с него, оправяте проблема и започвате да търсите отново. Един от моите приятели, който е програмист, нарича процеса „полиране на лайно“, защото, както твърди той, това не прави кода ви по малко смрадлив в дългосрочен план, а началството се кефи на лъскавия външен вид в краткосрочен план. Т.е. Проблема с „Пробий и закърпи“ е, че не прави вашият код/система/софтуер по-добри по замисъл , а просто ги укрепва по метода „проба и грешка“. Книгата на Ричард Фейнман „Лични наблюдения върху надеждността на космическата совалка“ беше сред задължителните книги за прочит на софтуерните инженери, които работеха за мен. Тя съдържа някои проницателни мисли за оценката на надеждността и как е постигната при комплексни системи. Накратко смисъла за програмистите е „Освен ако вашата система е проектирана да бъде хакната, тя трябва да е нехакваема“.

„Пробий и Закърпи“ се пръква навсякъде и е първичната тъпа идея зад сегашната мода ( която продължава вече 10 години ) на публикуване на уязвимостите и пачването на софтуера. Предпоставката на хората, занимаващи се с откриване и публикуване на уязвимости, е че те помагат на обществото, като откриват дупките в софтуера и ги затварят, преди да хакерите да ги намерят и използват. Предпоставката на производителите е, че те правят правилното нещо, като изкарват пачове за оправяне на бъговете, преди хакерите и писачите на червеи да могат да ги използват. И двете групи, в този случай, са тъпи, защото ако производителите пишеха код, който е проектиран да бъде сигурен и надежден, то откриването на уязвимости щеше да е неотплащаща се досадна игра.

Ако перифразирам: ако „Пробий и закърпи“ беше ефективно, щяхме да сме закърпили всички дупки в сигурноста на Интернет Експлорър досега. Колко са досега ? 2 или 3 месечно за повече от 10 години ? Ако погледнете основните Интернет приложения, ще видите че голям брой от тях постоянно имат проблеми с уязвимости в сигурността. Също така има и известен брой, като PostFix, Qmail и т.н., които са проектирани да бъдат недоверчиви дори и при междумодулната си комуникация, с модулни права и процеси и неучудващо – имат учудващо малко бъгове в историята си. Можем да приложим същата логика и към „пентестовете“ [[pentest, penetration testing]]. Има мрежи, който знам че са били „пентествани“ много пъти и въпреки това са хаквани до смърт. Това се случва, защото дизайна им ( или приложението на правилата за сигурност ) при тях са с толкова огромни пропуски, че каквото и да е количество от „полиране на лайното“ няма да помогне да се спрат хакерите. То просто ще даде малко спокойствие на мрежовите администратори от одиторите и мениджърите. Знам също така и за други мрежи, при които пентеста е буквално безмислен, защото те са проектирани в основата си да бъдат проницаеми само в определени посоки и то за точно определен трафик, предназначен за внимателно конфигурирани сървъри, изпълняващи сигурен софтуер. Изпълнението на „пентест“ за дупки в Апач е напълно безмислено срещу сървър, изпъляващ специално разработено C приложение върху дял със затегната сигурност. Така че „Пробий и Закърпи“ е безмислено, защото или ще намерите безкраен списък от бъгове или знаете, че няма да намерите нищо смислено. Безмислеността е тъпа.

Един ясен симптом, че имате заболяване от „Пробий и закърпи“ е, когато вашата система винаги е уязвима от „бъга на седмицата“. Това означава, че сте се поставили в ситуацията всяко ново оръжие, измислено от хакерите да работи срещу вас. Не ви ли звучи глупаво ? Вашите системи и софтуер трябва да са сигурни в същността си и трябва да са проектирани с мисълта за работа с евентуални процепи в сигурността

#4) Хакерстването е готино

Най-добрият начин да се оттървете от хлебарките в кухнята е да разпръснете трохи под масата и под печката, нали? Грешка! Това е тъпа идея. Един от най-добрите начини да се обезкуражи хакерстването през Интернет е да се дават акции на хакерите, да се купуват книгите, които те пишат за техните експлойти, да се плаща за курсове на тема „екстремно хакерско кунг-фу“ и въобще да им се плащат десетки хиляди долари за пентестове на вашите системи, нали? Грешка! „Хакерството е готино“ е наистина тъпа идея.

Около времето, когато съм се учил да ходя, Дон Паркър е направил поведенчески анализ на хакерстването и компютърната сигурност. Той го казва по-добре, отколкото аз бих могъл:

„Възможността за работа с отдалечени компютри освободи престъпниците от историческата необходимост за физическа близост до местопрестъплението. Анонимността и свободата от лична конфронтация с жертвата прави престъплението емоционално по-лесно, т.е. жервата е бездушен компютър, не е истиска личност или организация. Боязливи хора стават престъпници. Масовото разпространение на идентични системи и начини на употреба, както и автоматизацията на бизнеса правят възможна и подобряват все повече и повече икономиката на автоматизираните престъпления и разработката на мощни криминални инструменти и скриптове с огромен ефект“

Скрито в наблюденията на Паркър е осъзнаването, че хакерството е социален проблем, не технологичен. Боязливи хора могат да станат престъпници. Интернет даде напълно нова среда за изява на и без това лошо социализиранатите хора с уклон към престъпления. Четвъртият по ранг тъпизъм, който специалистите по сигурност могат да направят е неявно да окуражават хакерите като ги героизират. Медията играе директна роля в това, като представя хакерите като „брилянтни технологисти“ и „деца-генийчета“. Разбира се, ако сте репортер на CNN, всеки, който може да инсталира Linux сигурно се квалифицира като „брилянтен технологист“ за вас. Смятам, че е интересно да се сравнят социалните реакции към хакерите като „деца-генийчета“ и спамърите като „гадни измамници“. Всъшност аз се радвам, че спамърите, фишерите и другите измамници започват да приемат и използват хакерите и техните техники – това ще промени общественото мнение повече отколкото нещо друго би могло.

Ако се занимавате с информационна сигурност, да се обучавате на хакване е част от тъпата идея на „хакерството е готино“. Замислете се за няколко минути: да се учите на купчина експлойти и начини за използването им, означава, че инвестирате времето си в усвояване на знания, които ще станат безполезни в минутата, в която тези конкретни уязвимости бъдат закърпени. Което означава, че подчинявате уменията си на „Пробий и закърпи“ тъпизъма и ще трябва да бъдете част от състезанието по превъоржаване, ако искате уменията ви да са полезни и в крак с времето. Няма ли да е по-смислено да се научите как да проектирате системи за сигурност, които са хакероустойчиви, вместо да се учите да разпознавате системи за сигурност, които са глупави?

Моето предвиждане е, че „хакерството е готино“ тъпизъма ще отмре в следващите десетина години. Обичам да фантазирам как ще бъде заместено от обратната идея – „Доброто инженерство е готино“, но засега няма никакви признаци, че това ще се случи.

#5) Обучи потребителите

„Счупи и закърпи“ може да бъде приложено и към хората, както към софтуера, под формата на потребителско обучение. На повърхността идеята на „обучи потребителите“ не изглежда толкова глупава: усвояването на знания винаги е добро. От друга страна, както „Пробий и закърпи“ почина, ако принципа работеше, то трябваше вече да е проработило. Има множество интересни изследвания, които показват, че значителен процент потребители ще заменят паролата си за блокче шоколад, или Интернет червеят „Ана Курникова“, който показа, че почти половината човечество ще щракне на всичко, което предполага да съдържа голи снимки на полу-известни жени. Ако „обучи потребителите“ е стратегията, която смятате да възприемете, то трябва да очаквате да ви се налага да „закърпвате“ вашите потребители всяка седмица. Това е тъпо.

Истинският въпрос не е „можем ли да обучим потребителите си да бъдат по-добри в ИТ сигурността?“, а „защо трябва да обучаваме потребителите въобше ?“. В общият случай това е още една разновидност на „разрешено по подразбиране“ тъпизъма – защо потребителите получават изпълними атачмънти въобще ? Защо потребителите очакват да получат писма от банки, в които нямат сметки? Повечето от проблемите, които се адресират от потребителското обучение, се самокоригират с времето. Когато по-младата генерация служители се влее в работната сила, те ще дойдат прединсталирани със здравословен скептицизъм по отношение на фишинка и социалното инженерство.

Справянето с неща като фишинг и атачмънти е друг случай на „разрешено по подразбиране“ – нашият най-любим тъпизъм. В края на краищата, ако позволявате всички ваши потребители да получават атачмънти в електронната си поща, то на практика „разрешавате по подразбиране“ всичко, което им е изпратено. По-добра идея може да е просто да карантинирате всички атачмънти, в момента в който влязат в мрежата ви, направо да изтриете изпълнимите файлове и да съхраните няколкото типа файлове, които смятате, че са допустими на междинен сървър, където потребителите могат да се логнат през SSL браузър ( изискването на парола веднага ще елиминира голяма част от механизмите за разпространение на Интернет червеите ) и да свалят, това, което им е изпратено. Има свободни инструменти като MIMEDefang, с чиято помощ лесно може да се отделят атачмънтите от входящата електронна поща, да се запишат в директорията на конкретния потребител и да се замени самият атачмънт с URL за сваляне. Защо да обучавате потребителите си как да се справят с даден проблем, когато просто можете да решите проблема изцяло ?

Когато бях изпълнителен директор на малка стартираща компания за ИТ сигурност, ние нямахме Windows системен администратор. Всички потребители, които искаха да използват Windows на компютрите си, трябваше да знаят как да го инсталират и поддържат сами или просто нямаше да бъдат назначени на работа. Предсказанието ми е, че след 10 години потребителите, които имат нужда от обучение ще бъдат изцяло извън работещите в хай-тек индустрията или ще им се наложи да се самообучават, за да останат конкурентно способни на пазара за работна ръка. Предполагам и, че това самообучение ще включва и знанието да не се отварят странни атачмънти от непознати.

#6) Действието е по-добро от бездействието

ИТ мениджърите изглежда попадат в една от двете категории: „ранни усвоители“ и „спри и помислители“. През моята кариера съм забелязал, че драматично по-малък брой от „ранните усвоители“ успяват да изградят успешни и сигурни системи. Това е защото те вярват, че по някакъв начин „действието е по-добро от бездействието“ – например ако има нова технология/софтуер/джаджа е по-добре да се инсталира веднага, вместо да се почака, да се обмисли, да се види какво се случва с другите „ранни усвоители“ и да се имплементира едва когато е напълно разбрана и вече има първото поколение от потребители с опит. Познавам един ИТ шеф – един от „спри и помисли“ типа, чийто план за изграждане на безжична мрежа в централният офис беше „изчакай 2 години и назначи човек, който е изградил успешно безжична мрежа в по-голяма компания“. Не само технологията ще е много по-добра дотогава, но и ще бъде много, много по-евтина. Каква брилиантна стратегия !

Основният извод от „действието е по-добро от бездействието“ тъпизъма е „понякога е по-лесно да не направиш нещо тъпо, отколкото да направиш нещо умно“. Сън Чу всъщност не го е написал в „Изкуство на войната“, но ако кажете на ИТ шефовете, че е в книгата, ще възприемат много по-сериозно, когато разисквате благоразумен и обмислен подход към имплементацията на поредното техническо чудо. Аз самият съветвам много от моите клиенти „изчакайте с аутсорсинга на сигурността за година или две и тогава разпитайте окървавените оцелели – ако има такива – за препоръки и референции“

Можете да видите последствията от „действието е по-добро от бездействието“ тъпизъма навсякъде из корпоративните мрежи и обикновено са свързани със висши ИТ мениджъри, които решават какво да купят, четейки Гартнър и лъскавите продуктови брошури от производителите. Ако случайно попаднете под управлението на такъв мениджър, наистина се надявам статията да ви е харесала, защото вие сигурно сте далеч по-запознати от мен с този тъпизъм.

Една много полезна хватка от мениджмънтското кунг фу е, ако някога се озовете срещу „ранен усвоител“ е да разчитате на колегите си. Преди няколко години имах клиент, който се подготвяше да изхарчи маса пари по технология, без да я тества оперативно. Аз доста безцеремонно предложих на главния ИТ мениджър да прати някой от своите подчинени на релевантна конференция, където най-вероятно ще има някой с практически опит с технологията. Предложих също така подчинения да сложи бележка на таблото за обяви с текст „Имате ли практически опит с xyz от pdq.com? Ако да – ще ви заведа на вечеря, ако ми обещаете неофициално да споделите с мен фактите около имплементацията на продукта. Телефон и т.н.“. По-късно мениджъра сподели с мен, че 200-доларова вечеря им е спестила адска технологична травма за 400 000 долара.

Наистина е по-лесно да не направиш нещо тъпо, отколкото да направиш нещо умно. Номерът е, когато избягвате да правите нещо тъпо, да се уверите, че мениджърите ви знаят, че сте успели да избегнете особено гадна спънка и да получите признание за това. Не е ли това ултимативното изражение на професионалното кунг фу? Да получавате признание за да не правите нищо ?!

По-малките тъпизми

Изброените по-долу не са постигнали статута на „най-големите тъпизми“ в информационната сигурност, но въпреки това са доста тъпи и заслужават внимание в тази статия:

„ние не сме интересна цел“ – напротив, цел сте. Интернет червеите не са достатъчно умни да разберат, че вашият сайт/домашна мрежа не са интересни.
„Всички ще бъдем сигурни, ако използваме <секюрити-финтифлюшка-на-месеца>“ – не, няма. Операционните системи имат проблеми със сигурността, защото са комплексни и системната администрация не е решен проблем в ИТ. Докато някой успее да реши този проблем, хвърлянето на последната <финтифлюшка-на-месеца> е всъщност по-вредно, защото всъщност усложнявате работата на системните си администратори, който трябва да усвоят ниво на разбиране, което идва само с времето.
Не ни трябва файъруол, имаме добра хост-сигурност – не, нямате. Ако мрежата ви е несигурна, всяко едно приложение, което я ползва е потенциална цел. Помислете си например за DNS.
“Не ни трябва хост-сигурност, имаме добър файъруол“ – не, нямате. Ако файъруола ви пропуска трафик до хостовете зад него, то трябва да се тревожите за хост сигурността на тези системи.
“Нека да го пуснем на пазара и ще работим по сигурността след това“ – не, няма. По-добър въпрос, който да си зададете е „Ако сега нямаме време да го направим като хората, ще имаме ли време след това да го оправим, след като веднъж е счупено?“ Понякога, изграждането на система, която се нуждае от постоянни ремонти, означава че ще прекарате години в „полиране на лайна“ защото не искате да прекарате няколко дни, за да свършите работата пративилно.
„ Не може да спираме заради всеки проблем“ – да, можете. Бихте ли пътували с гражданската авиация, ако си мислите, че авиационната индустрия е предприела този подход към живота ви ? Не мисля.

Довиждане и успех

Опитах се да запазя веселяшкия тон, но това, което ви казах е сериозно. Компютърната сигурност е сфера, която е твърде влюбена във финтифлюшката-на-седмицата и е загърбила здравият разум. Вашата задача, като работещи в областта, е да се съмнявате, дори открито да предизвиквате, конвеционалните методи и статукво. В края на краищата, ако конвеционалните методи работеха, броя на компрометираните системи щеше да намалява, нали ?

_________

Подобни статии:

Най-голямата тайна на Skype – разкрита
Сигурност при виртуализация
Копиране на ключ от снимка
2006 – годината на хакерите. A 2007 ?
Пароли по подразбиране