Форум Протвино


Яндекс.Метрика

Написать Админу: protvino-forum@mail.ru
 
Вернуться   Форум города Протвино > Протвино-Россия-мир: вчера, сегодня и завтра > Мир: вчера, сегодня и завтра
Регистрация Справка Пользователи Календарь Поиск Сообщения за день Все разделы прочитаны

Ответ
 
Опции темы Опции просмотра
  #1  
Старый 01.05.2021, 09:51
Аватар для Владимир Аникеев
Владимир Аникеев Владимир Аникеев на форуме
ce est moi
(офицер)
 
Регистрация: 11.06.2008
Сообщения: 3,907
Вес репутации: 2341
Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть Владимир Аникеев . Такую репутацию нельзя пошатнуть
Сказки о безопасности: Золушка и подмена личности

Сказки о безопасности: Золушка и подмена личности

Владимир Безмалый | 30.04.2021
Цитата:
Перерыв после первого урока закончился, и Алексей Петрович продолжил занятие со школьниками.

— Давайте поговорим о базовых понятиях информационной безопасности. Сейчас мы с вами рассмотрим сказку о Золушке. Надеюсь, все ее помнят? С чего начинается сказка? Правильно, с подделки личности. Наша Золушка мечтает попасть на королевский бал, но не может. Да и кто ее туда пустит? Ведь она простая девушка, у нее нет красивого платья и кареты, а «родственники» помогать отказываются — identity не вышла. На помощь приходит Фея-Крестная, которая заставляет тыкву выглядеть каретой, мышей — конями, а лохмотья — платьями. Фактически фея создает для Золушки поддельную личность и тем самым дает ей возможность посетить бал неузнанной. А так как доступ на бал явно осуществляется без приглашений (то есть первоначальная аутентификация не требуется), понятно, что попасть на него можно, просто зарегистрировавшись на входе.

— Никогда не смотрела на сказку с этой стороны.

— Татьяна Алексеевна, вы не одна. Все смотрят сегодня на сказки исключительно как сказки, а ведь все гораздо глубже.

— Ой, как интересно, продолжайте, пожалуйста!

— Давайте подробнее рассмотрим, как именно была сделана поддельная личность. Помните, фея предупредила, что ровно в 12 ночи все волшебство исчезнет? Но почему именно в полночь? Никто не задумывался? А ведь все просто. Администраторы, которые когда-либо забывали обновить SSL-сертификаты на сайте, очень хорошо понимают этот урок. Вот буквально только что сертификат был валидным, пользователи спокойно смотрели ваш сайт, и тут щелк — время действия сертификата истекло, и браузеры начинают вместо сайта выдавать предупреждения и заглушки. Сайт превращается в тыкву.

Примерно по тому же принципу работают сертификаты и в цифровых ключах для удаленного доступа. Сертификат действует ограниченное время. И в какой-то момент он также становится недействительным, после чего система моментально обрубает подключение (если, конечно, эта система разумно устроена). Золушка перестает восприниматься на балу как «своя». Почему у Феи не получается сделать более надежный сертификат — непонятно. Вероятнее всего, это можно объяснить отсутствием прямого доступа к центру сертификации.

После бала Золушка бежит прочь из дворца, теряя единственную «настоящую» часть своей новой личности — башмачок/туфельку. Тут, кстати, особенно интересно вспомнить вариант сказки от братьев Гримм: у них башмачок теряется не случайно, а потому что принц после третьего бала намазал лестницу смолой — видимо, как раз для того, чтобы получить аксессуар беглянки и использовать его для поисков. Говоря языком кибербезопасности, он задействовал элемент системы для обнаружения киберугрозы. Далее принц на основе туфельки создает инструмент для детектирования объектов семейства «Золушка» и начинает глобальный процесс поиска, проверяя ноги всех молодых девушек.

Собственно, именно так работают движки многих антивирусных решений. Антивирусные компании берут кусок кода зловреда, создают из него «башмачок», называемый хешем, а потом примеряют его ко входящей информации.

— А как быть с попыткой сестер надеть хрустальную туфельку?

— Ну, вообще-то это попытка подделать хеш. Увы, она бессмысленна. Подделка хеша — дело очень непростое. Сигнатурный движок принца понимает, что хеш не очень-то совпадает.

— Спасибо вам огромное. Никогда не задумывались искать в старых сказках намеки на современные информационные технологии.

— А зря! Ведь зачастую сказки помогают их понять. Особенно людям, которые не имеют технического образования.

Вот так прошел урок. А вы о таких уроках не думали? А зря!
Источник
__________________
Бритва Хэнлона: Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью.
(англ. Hanlon's Razor «Never attribute to malice that which can be adequately explained by stupidity»).

Последний раз редактировалось Владимир Аникеев, 01.05.2021 в 14:46. Причина: вместо ч.2 по головотяпству была повторена ч.1
Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей - 0 , гостей - 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Праздники сегодня

 

Реклама на форуме

Помочь форуму:

https://yoomoney.ru/to/4100154088247  

 

 
Часовой пояс GMT +3, время: 11:00.


vBulletin v3.6.2, Copyright ©2000-2021, Jelsoft Enterprises Ltd.
Русский перевод: zCarot, Vovan & Co
Администрация форума не несет ответственности за содержание сообщений на форуме.