Иллюзия безопасности в реальности
Компьютерная Безопасность и схожие размышления.
Вы разговариваете об алгоритмах, битности ключей, генерируете 4096 битные ключи RSA в надежде что они оправдают вашу иллюзию в большей безопасности. Наверняка большинство используют AES-256 вместо AES-128, палагая, что первый защитит лучше. Шифруете почту, файлы, используете eToken, Смарт-Карты, подписываете файлы, и это всё даёт вам лишь иллюзию безопасности.
Защитить домашний компьютер практически невозможно. В России например, большинство использует пиратские копии O/S, рассмотрим самую популярную – Windows. Как узнать что дистрибутив Windows Не был модифицирован пиратами, что это действительно оригинал от Microsoft? Насколько мне известно, никак.
Устанавливая П/О, зачастую невозможно проверить, то что ты устанавливаешь, это действительно оригинальный дистрибутив, не изменён ли он в процессе передачи, хранения и т.д... Например: Все знакомы с крупнейшей фирмой по разработке софта Adobe Software, выпускающие такие продукты как Adobe Photoshop, Adobe Ilustrator, Adobe Acrobat, и т.д. Стоимость лицензии на Adobe Photoshop превышает 300C=, большинству россиян купить такой дорогой софт не по карману. Выход: Покупаем пиратский диск. Как узнать что в дистрибутиве нет шпионского П/О и прочий гадости? Никак. Многие, конечно бы сказали – антивирусы. Увы, моя точка зрения что сама идея антивирусного П/О, ненадежна.
Вы разговариваете о 8ми значных числах в затрате на взлом ваших машин. Мне смешно. Меня просто спровоцировало ваше неграмотное общение.
Пример:
У меня есть зашифрованный файл-контейнер. Поэтому доступ к моим данным не получит никто, кроме меня.
Я думаю что правильно было бы сказать так:
Я создал зашифрованный файл-контейнер на компьютере, который находился, в полностью экранированном помещении. Дизассемблировал всё установленное П/О на компьютере и четко понял что оно выполняет, и убедился что работа криптосистемы не искажена и работает как предусмотрено.
Изучил работу всего оборудования компьютера и убедился, что всё работает верно. Компьютер подключен к автономному источнику питания, схему которого я тоже детально изучил.
После создания контейнера дезинтегрировал компьютер и все его компоненты (на микросхемах даже в отсутствии питания может остаться информация), оставив только носитель с своим файл-контейнером.
Уничтожил ключ к файл-контейнеру, и через 5 секунд вышибу себе мозги. Поэтому доступ к моим данным не получит никто. Даже в таких рамках безопасности остаются некие дыры.
Возьмём реальную задачу. Требуется получить доступ к данным хранящимся в PGP контейнере.
Варианты:
1). Выделить бюджет в $100 000 000, нанять лучших криптографов, вести работу по взлому PGP контейнера, думаю что вероятность успеха взлома довольно велика.
2). Нанять "Громиллу" за $100, который "атакой в лоб" криптоанализирует ваш мозг и получит криптографический ключ или парольную фразу.
3). Вы пользуетесь ПО, допустим антивирусом "Кашперовского" и я это знаю. Выделить $100 000 на доработку антивируса с целью угнать пароль с определенного лицензионного ключа антивируса, и отослать его мистеру – x.
P. S. А как вообще узнать что у вас оригинальный дистрибутив "Антивируса Кашперовского"? Я не знаю. Хотя вроде бы антивирусы, относятся к софту по безопасности, круто правда?! Разработчики даже на напряглись чтобы выложить хеш дистрибутива. Тоесть я должен верить что это "Антивирус Кашперовского" только потому, что на установочном окне или интерфейсе написано "Антивирус Кашперовского". Вроде-бы больше ничего не требуется. Кстати, неплохая отмаза на случай наезда потом юзера на "Антивирус Кашперовского" с предъявами что "Антивирус Кашперовского" это шпионское ПО и он у меня украл ключ, повлек моральный и денежный ущерб и т.д... А хотя впрочем зачем? Ведь в принятой лицензии O/S это всё обусловлено. А произошло собственно говоря вот что: O/S частично исказила носитель информации на участке которого находился исполняемый код "Антивирус Кашперовский", и он стал работать так, как не предусмотрено. А поскольку вы перед установкой O/S принимали лицензионное соглашение, то, за искажение данных ответственность никто не несёт.
И, за цифры в базе данных некого учереждения могут посадить в тюрьму. Хотя в ПО явно указано "Искажение Данных". Только на фразу что ! ПО работало некорректно и просто исказила данные в базе данных", никто не поведётся, вот так вот дела обстоят.
Вообщем-то вариантов атак куча, как с присутствием человеческого фактора, так и без. А если машина подключена к интернету, полностью защитить её – невозможно.
Защищаться уместно и необходимо. Переписку, файлы шифровать и т.д... Но осознавать, что мы не можем быть в ней уверенны в реальности. Думаю что уверенным можно быть только на уровне математических формул, алгоритмов, но не в реальном мире.
комментариев: 9796 документов: 488 редакций: 5664
Я вижу вы очень сильны в экономике. Ну а мысль о том, что денежные знаки являются средством товарообмена, и вводятся в оборот не в виде кредитов, а как оплата труда вам в годлву не приходила?
А вам не приходило в голову, что ФРС США есть система частных банков, кредитующих федеральное правительство и неподотчётных ему? И что во многих других странах дела обстоят примерно так-же?
Тогда читайте книгу, и эту, смотрите
фильм, и ещё и этот.
А для начала прочтите вот эту сказку.
комментариев: 9796 документов: 488 редакций: 5664
Единственный шаманский прием который часто используется в безопасности – это бить в бубен :)
Сходите по ссылкам выше.
Мировая финансовая система была упомянута как пример концентрации огромных ресурсов в руках узкого круга лиц, что позволяет реализовывать "теоретически невозможные" криптопротоколы.
Дальнейшее является обоснованием и приведено в качестве ответа сомневающимся, что вылилось в некоторый офтопик (хотя можно посчитать это "схожими размышлениями":), поэтму на эту тему в этой ветке больше высказываться не буду. Смотрите материалы по ссылкам.
комментариев: 11558 документов: 1036 редакций: 4118
Надо полагать, несчастного пользователя, отказывающегося выдать пароль.