Здравствуйте, ononim, Вы писали:
AWW>>Давайте не будем ничего придумывать. O>Это реальные ситуации, для защиты от которых существуют реальные продукты за реальные деньги.
Дайте мне физически ноутбук с любой системой защиты и через 15 минут у вас будут права рута.
Наличие продуктов (особенно в России,... хотя ))) — думаю я заберу свои слова про Россию — в других еще хуже ). Ну так вот наличие продуктов и даже за деньги не означает что они защищают.
AWW>>Если есть физический доступ к компу — то все можно взломать, не исключая тему криптографии. O>Информационная безопасность оперирует такими вещами как "вектор атаки" и "поверхность атаки", а не по-программерски-наивными "можно взломать" и "нельзя взломать" O>Эта дыра просто _значительно_ увеличивает поверхность атаки, с вектором "получить доступ к данным к компу с физическим доступом".
Можно придумать кучу наивных, красивых и трудно произносимых терминов, но это не меняем самой сути того что я сказал — если есть система защиты в которой есть дыра, то правильнее считать что системы защиты нет. Так как нельзя сравнивать стойкость физического замка и стойкость софтовой защиты. Замок может быть стойким, но современная программная система защиты, при наличии дыры не имеет стойкости, так как ломает ее автоматика, и дело это секунд. Тут я не говорю про криптографию — ее стойкость или столь высока что не имеет смысла ее ломать либо это наивная криптография и у нее нет стойкости.
O>дада. Вот это и есть программерская наивность
Ну да — ГОСТы и сертификаты это круто я всегда знал.
AWW>>Но безопасность надо строить в первую очередь на том, что физического доступа к компу не давать. O>То есть — не ездить в поездки с ноутбуком. А если ездить — всегда его носить с собой и ни в коем случае не спать. Впрочем, поверхность атаки все еще ненулевая даже в этом случае. Злоумышленник может огреть вас по башке и вы заснете.
То есть я не буду рассказывать как сейчас делают системы защиты — мне за это никто не платит. )
O>Да, информационная система должна быть безопасна в некоторых математически выверенных рамках. НО это не повод вне этих рамок класть болт на безопасность, дескать все равно мы все умрем.
Очень хорошо, что вы поняли про что я говорю, раз вы заговорили про рамки, но поймите нельзя переносить аналогии физического мира на мир защиты информации (сознательно не пишу про ИБ, про ГОСТы я уже сказал). Близкий аналог реального мира тут такой — вы что-то спрятали в кладе, где именно клад никто не знает, но будем считать что он буквально у всех под носом. И вот как только обнаружится уязвимость (кто-то узнает где именно клад) то его стырят через 5 минут. А в варианте рамок из реального мира — клад спрятан на далеком острове в океане, и даже узнав где он (уязвимость железного замка) вы его затрахаетесь тырить — вот для этого и рамки — рамки это удаленность вашего таинственного острова. Но в софтовой защите клад не на острове у всех рядом.