![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Об исходных предположениях
Mar. 30th, 2013 03:28 pm Потребовали тут от меня по работе пройти тренинг по информационной безопасности. Тренинг спущен сверху какой-то аудирующей организацией, одно из требований, чтобы можно было сертифицировать нашу систему как секьюрную и позволить ей работать со всякой чувствительной информацией, типа человеческих кредиток и SSN.
Мало того, что тренинг написан для каких-то полных дебилов ("Чтобы система была безопасна, нужно заниматься безопасностью", "Многослойная защита повышает уровень безопасности", "Задействование файрволлов и шифрования не является серебряной пулей, всё равно нужно встраивать защиту в само приложение", "Когда крадут материальные ценности, то преступнику нужно появиться на месте преступления", "Когда крадут мат. ценности, то эти мат. ценности пропадают, поэтому можно понять, что преступление имело место быть" — бдыщ! ну надо же!), так там ещё есть вальщебни раздел под названием "Mindset of a Hacker".
Читаю я его, значит, и нехорошее чувство охватывает меня. Хакер, можете ли вы себе представить, рассматривает систему не как набор функциональности, хакер, он, эта, шерш ди ерёр континю, то есть, ошибки ищет, значить, постоянно. И ставит под сомнение исходные предположения.
И примерчик приведён. Вот есть дверь. И вот есть замок в двери. Исходное предположение — дверь нельзя открыть без ключа. Но хакеры — хакеры обладают извращённым умом! — и они взламывают дверь монтировкой, вскрывают замок отмычкой или даже — даже!!! — вообще пользуются альтернативным отверстием в помещении для проникновения.
И тут мурашки побежали у меня по спине. Потому что это самое challenging assumptions, это thinking out-of-the-box — это то, за что я уважаю своих коллег и то, за что получаю деньги сам. Это те качества, которые я, наконец, ценю в любом человеке, вне зависимости от его профессии.
Оказывается, друзья, я и подобные мне — потенциальные преступники. Lock us up or it's too late.
Мало того, что тренинг написан для каких-то полных дебилов ("Чтобы система была безопасна, нужно заниматься безопасностью", "Многослойная защита повышает уровень безопасности", "Задействование файрволлов и шифрования не является серебряной пулей, всё равно нужно встраивать защиту в само приложение", "Когда крадут материальные ценности, то преступнику нужно появиться на месте преступления", "Когда крадут мат. ценности, то эти мат. ценности пропадают, поэтому можно понять, что преступление имело место быть" — бдыщ! ну надо же!), так там ещё есть вальщебни раздел под названием "Mindset of a Hacker".
Читаю я его, значит, и нехорошее чувство охватывает меня. Хакер, можете ли вы себе представить, рассматривает систему не как набор функциональности, хакер, он, эта, шерш ди ерёр континю, то есть, ошибки ищет, значить, постоянно. И ставит под сомнение исходные предположения.
И примерчик приведён. Вот есть дверь. И вот есть замок в двери. Исходное предположение — дверь нельзя открыть без ключа. Но хакеры — хакеры обладают извращённым умом! — и они взламывают дверь монтировкой, вскрывают замок отмычкой или даже — даже!!! — вообще пользуются альтернативным отверстием в помещении для проникновения.
И тут мурашки побежали у меня по спине. Потому что это самое challenging assumptions, это thinking out-of-the-box — это то, за что я уважаю своих коллег и то, за что получаю деньги сам. Это те качества, которые я, наконец, ценю в любом человеке, вне зависимости от его профессии.
Оказывается, друзья, я и подобные мне — потенциальные преступники. Lock us up or it's too late.
