К сожалению, невозможно грамотно и полно оценивать меры защиты, не строя модели возможных угроз даже там, где их трудно представить в реальности. Со временем такое поведение всё больше перетекает в повседневную жизнь, и приходится всё чаще сталкиваться с непониманием "обычных" людей, далёких от осознания "прозрачности" электронной почты, незащищённости ПК и других вещей (что делает их сон гораздо крепче). Давно хотелось написать на эту тему статью и выразить в ней всё своё праведное возмущение недальновидностью и близорукостью таких людей, не ставящих ни в грош наши советы. Но раз уж своих мыслей чаще скудоумно и времени мало, затея так и оставалась только в планах. Впрочем, оказалось, что всё уже сделано за меня. Здесь бы мне хотелось привести статью Марка Барнетта (эксперта, исследователя и консультанта по информационной безопасности), поставившего тонкий вопрос: не может ли даже профессиональной паранойи быть слишком? Безопасность для параноиков "Вам никогда не удастся найти приятное спокойное место потому, что таких мест нет. Вы можете решить иначе, но как только туда доберётесь, кто-нибудь обязательно подкрадётся, пока вы не смотрите, и напишет "х**" прямо у вас перед носом", -- Дж. Д. Салингер, американский писатель. Нечто странное недавно случилось со мной: мой друг сказал, что я слишком параноидален в том, что касается безопасности. Это странно потому, что он оказался третьим человеком за пару недель, заявившим об этом. Разумеется, я ожидаю того, что большинство людей назовёт меня параноиком, однако эти -- мои коллеги по работе в сфере безопасности. Приходит ли время для беспокойства, когда даже специалисты по безопасности считают вас параноиком? Большая часть моего интернет-трафика проходит по меньшей мере через три файерволла. Не слишком ли это параноично? Первое, что я сделал -- это попытался понять само слово "паранойя". Просмотрев несколько словарей я выяснил, что так именуют состояние психотического беспорядка, характеризуемое ложным чувством преследования или крайним недоверием. Что есть заблуждение в более широком смысле? Это ложная уверенность, сохраняющася несмотря на доказательство обратного. Основываются ли экстремальные меры безопасности на ложных угрозах, которых в действительности нет? Кто-то считает некоторые из моих стратегий безопасности некоторой крайностью. Я же называю их тщательной предосторожностью. Конечно, угроза может быть не реальной, и содержимое вашего ПК на самом деле может никому и не понадобиться. Но так ли уж это важно? Должна ли угроза быть явной, чтобы оправдать надёжную защиту? Иногда я устраиваю "парольный день" и меняю все свои пароли просто на случай, если кому-нибудь удалось один из них раздобыть. Часто я меняю пароли после поездок. Дело не в том, чтобы я считал, что кто-то пытается меня хакнуть, однако я и не думаю, что хакнуть меня не хочет никто. Суть не в этом. Просто нет нужды анализировать возможную угрозу в каждой возможной ситуации. Всегда применяйте надёжную защиту, и у всё у вас будет хорошо. Я часто вижу, как люди публикуют PGP-подписанные сообщения в дискуссионных листах по безопасности. Вряд ли эти люди боятся, что кто-нибудь отправит от их имени поддельный комментарий на последнюю ошибку в CGI; они просто сделали подписание всей почты, какой бы незамысловатой она ни была, своей повседневной привычкой. Да, они подписывают свои письма, когда это в действительности не очень-то нужно, но я сильно сомневаюсь, что они не подпишут письмо, когда это будет по-настоящему нужно. Если вы постоянно применяете лучшую защиту, вам не придётся заботиться о посредственной. Я использую очень длинны пароли для всех, даже своих самых бестолковых аккаунтов. Я требую от своих детей использовать в нашей домашней сети по меньшей мере 14-значные пароли и думаю о том, чтобы выдать им смарт-карты. Никому, даже моей жене, не известен мой сетевой пароль. Я не просто выбрасываю измельчённые документы, а рассыпаю клочки в саду, чтобы использовать как мульчу. Я делаю так не из опасений, что кто-нибудь станет рыться в моей урне, чтобы склеить клочки моих исследовательских заметок, а потому, что это -- хорошая безопасность. Я сам стараюсь управлять собственной сетью так же, как советую это делать клиентам. Является ли это предусмотрительным и предупредительным подходом к безопасности или же это просто форма умственного расстройства? Нужна ли вам угроза, чтобы возводить оборону? Когда-то я предложил своим клиентам установить права к файлам в каталогах с их сетевым содержимым только на чтение. Некоторые посчитали это крайностью и бесполезной работой. Однако, когда случилось пришествия червя Code Red, он не принёс вреда всем тем пользователям, кто последовал моему совету. Для каждого из своих важный сетевых аккаунтов я использую уникальный секретный почтовый адрес. Я всегда так поступал. Полагаю, что большинство посчитает это паранойей, но когда я получаю электронные письма из банка, могу легко проверить исходящий адрес сообщения, чтобы убедиться, что они отправили его на секретный адрес. Из всех тех перемен в сторону безопасности, которые Microsoft проделала за последние годы, на мой взгляд, наиболее значимо то, что теперь они защищены от тех угроз, которые большинству казались слишком незначительными или, по их мнению, могли даже не существовать. Разве это безумство и заблуждение с их стороны, чтобы защититься даже от тех угроз, которые ещё никто не придумал? И разве это бессмысленная забота -- защищать внутренние слои вместо того, чтобы просто сосредоточиться на укреплении внешних? Я держу свои компьютеры развёрнутыми задом наперёд, так что всегда могу заметить, если кто-то установит аппаратный кейлоггер. При перелётах я никогда не сдаю свой багаж. Я работаю в интернете на укреплённой виртуальной машине, не имеющей никаких прав в моей локальной сети. Я пользуюсь terrafly.com, проверяя, что другие могут увидеть о моём собственном доме. Чтобы загрузить мой лаптоп и проверить почту требуется пять паролей, один из которых более 50 знаков. Ещё я удаляю со своих серверов неиспользуемые службы, блокирую незанятые порты и устанавливаю важные исправления в тот же день, когда Microsoft их выпускает. Генри Киссинжер когда-то сказал, что "даже у параноика могут быть враги". Факт в том, что мы не знаем обо всех сегодняшних и будущих угрозах, так что можем всё рассматривать как серьёзную угрозу. Я поступаю так, но, видимо, я всё же параноик. |
Оригинал статьи http://www.securityfocus.com/columnists/320 |
|
Ну в смысле литературу по криптографии. |
В форуме "PGP в России" можете найти названия книг для более глубокого изучения. |
|
Hash: SHA1 I'm being paranoid, because it's fun :-) :-) :-) -----BEGIN PGP SIGNATURE----- iD8DBQFDiFMPRkm9ZEvRLEARAnqmAJ4lKEoGQvcBTwu1VVSsbHo2GmEofgCfTC8Z 21ShR9h1UnhOV90EFhtMoco= =faPy -----END PGP SIGNATURE----- |
Hash: RIPEMD160  Да, так на форуме надо все сообщения подписывать... Это уже будет настоящая паранойя. -----BEGIN PGP SIGNATURE----- iD8DBQFDiGsrnjU7VlALiYcRA2heAKCbFdw5mdoc+ugGJP8Ggjq+Kr7VEgCgo+s8 fjWNYu7ZlzzbPAycVzobmdw= =ed2s -----END PGP SIGNATURE----- |
Hash: RIPEMD160 Вот так лучше. Предыдущее сообщение с Unicode BOM можно удалить. -----BEGIN PGP SIGNATURE----- iD8DBQFDj0x2njU7VlALiYcRA1hbAJwJsJM/4a4BLnZqdA6zq5obKZh1MgCg2f3n fCnOlVVBqrN+5J2Ygdtm1Pg= =pBjb -----END PGP SIGNATURE----- |