информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / law
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Менты и Управление "Р" - немного размышлений... 21.05.02 03:40  Число просмотров: 3882
Автор: bdy Статус: Незарегистрированный пользователь
<"чистая" ссылка>
[Часть вторая, она же последняя ;)]

>> дело не сводится к "быстренько решил сиюминутную проблемку,
>> получил деньги, попрощался", то почему бы не потратить
>> толику времени на повышение производительности собственного
>> труда? IMNSHO, нынешние виндовсы NT-вого разлива, при всех
>> своих недостатках, в этом плане не хуже коммерческих унихов
>> 8-10-летней давности ...

> ну-ну. вот именно о производительности труда я и забочусь. я
> предпочитаю не вытачивать детали из самостоятельно отлитых
> заготовок ;) а использовать "конструктор",
> составные части которого сделаны профессионалами и прошли
> независимую проверку.

;) В общих словах наши предпочтения почти совпадают (мне все равно, кем сделано -- профессионалами или любителями, лишь бы их квалификация в нужной мне области была достаточно высока). Только вот если SN и можно назвать "конструктором", то лишь в самом первом приближении. Ну и насчет "независимой" "проверки" -- давай не будем смешить тапочки ;-\

>> > кроме того, ты стоимость такого решения прикинул?
>>
>> Мне такие прикидки приходится делать регулярно. И потом
>> озвучивать их клиентам.

> я себе представляю: "не, нафиг вам нормальное средство защиты от НСД
> за $300, я вам за $20 на коленке из скриптов рулез соберу не хуже!"

По себе судишь? ;-\

Нет, разговор был примерно (по памяти) такой: "Во-первых, то, что они предлагают, нужного уровня защиты обеспечить не в состоянии (вот обзор основных аспектов), в отличие от нашей системы. Во-вторых, ну вы же взрослые люди, подумайте сами: с чего бы это вдруг ФСБ(**) так озаботилось вашей защитой (да еще и просит, в общем-то, смешные деньги), а?"
(**) Именно оттуда этот SN и пытались втереть. Наверное, из большой и чистой любви к продукту совсем такой неаффилированной частной фирмы ;)

> знаешь, сколько мне приходилось возить фейзом по клавиатуре
> разработчиков доморощенных защит системы "рулез немерянный,
> самособранный"?

Знаешь, сколько мне приходилось возить фейсом по клавиатуре тупорылых коекакеров из "солидных организаций" (особенно бывших "ящиков"), которым бамажки и чрезмерно раздутое ЧСВ заменяли мозги / желание работать?

> даже если ты умнее и образованее каждого отдельно взятого
> разработчика SN,
> я не поверю, что твои разработанные за несколько дней скрипты и
> примочки будут лучше,

Я в свою очередь позволю себе усомниться в том, что твои настройки, произведенные врукопашную через редактирование конфигурации (заведомо ограниченной), окажутся лучше моих, произведенных по классической технологии (использованием скриптов, и т.п.).

> чем результат многолетнего труда коллектива разработчиков, после его
> экспертизы другим коллективом.

Это не аргумент. Вот тот же виндовс в ходе многолетнего тупорыльства тьмы его разработчиков лишь относительно недавно дорос (по совокупности, и то небесспорно) до уровня явно устаревших унихов.
И собственноручно* приготовленный шашлычок скорее всего окажется намного лучше, чем разогретая продукция какого-нибудь комбината ("результат многолетнего труда разработчиков") по производству свежемороженных полуфабрикатов, несмотря на наличие у последнего лицензии, сертификатов, положительных заключений всевозможных инспекций, совершенно не мешающих таковым выпускать втч откровенно вредные для здоровья продукты.

* Что не означает самостоятельного изготовления всех исходных продуктов и инструментария, придумывания всякий раз своих, абсолютно оригинальных, рецептов и т.п.

>> > его надо продумать,
>> Точно. Как и любое другое. И полагаться в этом
>> ответственном деле на всякие там информзащиты -- глупо.

> а на никому неизвестных кулибиных, пишущих скрипты на коленке?

Не надо по себе судить о других. Я "на коленке" не пишу, и в своем регионе достаточно известен.

>> > сделать, настроить, документировать -
>>
>> SN не надо настраивать? Произведенную конфигурацию
>> документировать? И чем написание скриптов хуже поиска
>> нужной функциональности (зачастую безуспешного) в таких вот
>> монолитных монстрах? Речь ведь не о том, чтобы "взять и

> насчет монолитности - см. выше насчет "конструктора".

Аналогично.

> документировать, естесвенно, проще SN, чем тучу скриптов.

Ну это смотря что за скрипты, и кто их писал. У тебя это, видимо, не слишком хорошо получается ... ;)
С обьективной же точки зрения, функционально ограниченные системы навроде SN вынуждают извращаться / идти на серьезные компромиссы. По меньшей мере в первом случае документирование сложнее, чем при использовании прямых путей.

> искать нужную функциональность не нужно, ее нужно знать.

О ней нужно сначала прочитать в документации. Потом найти (=спозиционироваться) и использовать. Если нужной функциональности в нужном виде нет, приходится изобретать выходы из положения, которые нередко сводятся к все той же необходимости писать что-то свое либо к "походу в булочную через Северный полюс".

> а вот в скриптах ее придется создавать...

В скриптах: нужные знания, в силу бОльшей общности,ужев голове настраивающего (мы ведь работуспециалистарассматриваем, верно?). Если нужная в выбранных инструментах функциональность есть, и "лежит на поверхности", скрипты, разумеется, не нужны. Если не на поверхности, зачастую набрать пару команд быстрее, проще, и куда правильнее с точки зрения дальнейшего сопровождения, чем выкапывать ее из не лучшим образом [в этом аспекте] сделанного продукта. Если ее нет, да, она создается, что нередко проще (по меньшей мере в долгосрочной перспективе), чем попытки остаться в навязанных рамках при помощи каких-нибудь трюков и обходных путей.

>> написать все с нуля", но о добавлении к готовым базовым
>> модулям специфичных для данного конкретного случая мелочей.
>> То, что напихано "до кучи" в SN, один черт в половине
>> случаев в том их виде непригодно или недостаточно.

> ну так и не используй не нужное ;)

Ну так и не использую. Совсем. Ибо ту малость, которая бы еще пригодилась, проблематично отделить от откровенной халтуры. Не лучше бы было сконцентрироваться на меньшем количестве фич, но сделать их хорошо?
В любом случае такой дизайн не делает чести разработчикам, потому как затрудняет использование и оставляет больше места для потенциальных эксплойтов.

>> > специалист, который может это сделать стоит больших
>> денег.
>>
>> И которой по-любому нужен для обеспечения безопасности
>> уровня "high".
>> А для уровня "нехай" нет смысла тратиться на сей
>> навороченный "усилитель атрибутов Hidden и Read-Only".

> а, ну так и не сравнивай мухрайку для скрывания порнокартинок от
> коллег с нормальной ситсемой разграничения доступа.

Это SN-то "нормальная система разграничения доступа", при том что ее уровень -- это уровень навороченного (в большинстве своем без особой пользы) "усилителя атрибутов"? LOL ;-\

> тебя никто не заставляет ставить дома SN

Хорошо хоть пока не заставляют ...

> или на систему, в которой информация стоит $1 :))

Для большинства систем, в которых информация стоит дороже, ставить SN, по большому счету, преступление. Для прочих (крайне простых, при всей важности информации) -- оверкилл.

>> Хотя, может, магическое слово "сертификат" и отпугнет пару
>> малолеток, верующих в искренность намерений государства
>> защитить таким образом неквалифицированных пользователей от
>> некачественных продуктов ;-\

> молодой человек, "сертификат" нужен не для отпугивания малолеток, это
> так, jfyi :)

Безусловно -- не только для отпугивания малолеток, и даже не в первую очередь. Но в ряде случаев его используют именно для этого, так что некоторое преимущество перед честными "мухрайками" SN таки имеет ;)

>> > а если он задумает уйти?
>>
>> То он оставит после себя документацию. И, как приличный
>> человек, перед уходом введет в курс дела преемника.

> кремлевский мечтатель...

Для меня это реальность. Для тебя нет? Прими соболезнования.

>> > от кого ждать поддержки?
>> От следующего специалиста. Которого, если он, конечно,

> который начнет все переделывать по-своему. в сад...

Если на то есть достаточные основания -- почему бы и нет? Впрочем, как правило, если уровни квалификации специалистов близки, то и предлагаемые решения схожи или признаются равноценными -> переделки не требующими. Да даже если следующий специалист окажется менее квалифицированным, но просто достаточно разумным, то он, IMNSHO, предпочтет повысить свой уровень, вместо того, чтобы сносить пусть не совсем понятно как, но работающее ...

>> впрочем, и из документации SN ...
>>
>> > и аппаратную часть ты на коленке сваяешь?
>> Что ты имеешь в виду под "аппаратной частью"?

> то и имею. эл. замок "Соболь", SN-card.

Давай не будем мешать все в кучу -- "Соболь" это отдельный продукт, наличие аналогов признают сами SN-щики. Тем более, что полный набор его функций далеко не всем нужен (по крайней мере, в том виде).

Про функциональность SN-card ниже.

>> К оборудованию для авторизации минимально необходимое
>> обычно прилагается изготовителем.

> ЧИГО?! во-первых, давай не будем путать термины идентификаци,
> аутентификация и авторизация - это суть вещи разные.

Да, безусловно. Пардон, зациклился на авторизации -- здесь имелась в виду аутентификация [с идентификацией].

> и про какое железо конкретно ты говоришь?

Смарткард-ридеры, etc.

>> Для предотвращения загрузки с внешних носителей в
>> подавляющем большинстве случаев установка отдельной платы
>> -- явный оверкилл.

> расскажи способ лучше. только не надо про пароли в биос

Отчего же "не надо"? BIOS можно и перепрошить / установить на MB перемычку ...
Флоп можно перевесить на другой DMA-канал (после чего исходный BIOS грузить с него не сможет).
В конце концов, в сетевую плату установить соответствующий бутром сейчаси SN-щики такие предлагают).

> - сильно зависит от модели,

И что же там, по-твоему, так "сильно зависит"?

> да и обходится без вскрытия корпуса...

Это каким же образом (с учетом вышеизложенного, т.е., например, дефолтные master-пароли в пролете)?

>> > или попытаешься мне доказать, что существует стойкая
>> программная
>> > защита? ;)
>>
>> Стойкость -- понятие относительное. Что именно и от чего
>> (кого) защищаем?

> от квалифицированнго злоумышленника, который может написать и
> принести с собой любую программу.

Еще раз: что именно и от чего защищаем? Информацию (стоимость?) от разового сьема? От подмены? От установки "закладки", которая будет это делать регулярно? От подлога при аутентификации? Сколько времени есть у злоумышленника на изучение защищаемой системы, взлом и заметание следов? Стоит ли защищаемое таких усилий? Есть ли у него там аккаунт? Что это за аккаунт (роль, права)?

> без аппаратной блокировки - нечего делать.

Выше я уже говорил о криптовании всего раздела / диска.

>> Ну, почему обозвал, я обьясню: распальцовки не
>> соответствуют реальным потенциям, продукт явно не
>> оправдывает затраченных усилий.

> можно по пунктам? что из заявленнго в доке ("распальцовки") не
> соответствует реальным возможностям продукта ("потенциям").

См. ответы vgarry и XR.

Почему, кстати, именно "в доке"? Самые перлы у них в статьях на сайте, например:

'В. Гайкович, заместитель генерального директора НИП "Информзащита" (выступление на конференции "Безопасность информации", апрель 1997 года)
[....]
Селекционный отбор программистов дал свои результаты. На сегодняшний день в команде разработчиков действует более 20 человек, каждый из которых является профессионалом в своей области.'

или

'В. Гайкович, заместитель генерального директора АО НИП "Информзащита"
Д. Ершов, начальник аналитического отдела АО НИП "Информзащита"
[....]
Именно поэтому специалисты НИП "Информзащита" постоянно заботятся о развитии средств гибкого управления во всех создаваемых ими СЗИ. В этом одна из основных причин успеха и основное качественное отличие СЗИ с торговой маркой "Secret Net" ото всех аналогичных продуктов других разработчиков.'

Гибкость SN (особенно дискреционного разграничения доступа) просто потрясает (особенно в сравнении с "продуктами других разработчиков") -- видимо, "селекционный отбор программистов" шел в направлении каких угодно областей, кроме программирования ;))

>> >> > ты лично видел эту систему,
>> >> Да.
>>
>> > какую версию?
>>
>> Не помню уже. Какое это имеет значение? Неужели при виде

> приплыли... самому не смешно?

Почему мне должно быть смешно? В вышепоскипанном я обьяснил свою позицию. Тебе что-то непонятно в этом обьяснении? Ты с чем-то несогласен?
Давай рассматривать (ну кроме как в исторических вопросах) последнюю версию (4.0) ...
Впрочем, с точки зрения начального тезиса, пусть бы это была даже самая первая версия -- она ж не 60ми годами датируется, а 90ми ...

>> Ты, судя по всему, претендуешь на знание того, "что она
>> может обеспечить при грамотной настройке" ... Приведенный
>> выше пример задачи (про БД), надеюсь, поможет установить
>> обоснованность этих претензий ;-\

> ответ выше.

Там ты всего лишь перефразировал мои формулировки. Опять не сказав ничего конкретного, специфичного для продукта, достоинства которого взялся отстаивать.

> если хочешь подробнее,

Мне не нужно "подробнее", как не нужен весь этот SN: используемый мною набор инструментов, начавший складываться задолго до его появления, перекрывает его функциональность во всех требуемых аспектах.

> то мое время стоит $30-$40 в час.

Мое время стоит не дешевле (для мелких консультаций, наиболее близкого к данному случаю вида, $50/час).

> готов заключить контракт? ;)

Я всего лишь предложил для обоснованиятвоейточки зрения (платить за отстаивание которой считаю полным абсурдом) указать на моменты, которые полагал ключевыми для наших разногласий. На примере упрощенной модельной задачи, не имеющей самостоятельного практического значения, не претендуя на готовое к практическому употреблению решение. В этом письме уже и примеры на базе других систем привел ...

>> Да если бы он хотя бы юниксовый уровень обеспечивал ...
>> А насчет безболезенности спору нет -- "главное, поменьше
>> думать", да? ;)

> главное - достичь результата в срок и с мин. затратами...

Угу. Камень преткновения, видимо, в том, что лично я не преследую цели под прикрытием сертификатов навешать клиенту лапши на уши, получить деньги и свалить, хотя для достижениятакогорезультата, SN, наверное, просто идеально подходит ;-\
<law> Поиск 






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach