Начну с разсказа воистину былинной истории, которую никогда не задолбусь рассказывать, когда речь заходит о статистике. Итак...
Был у "одного сотового оператора" (с) филиал, в какой-то совсем дремучей глубинке, в котором продажи 3G-модемов шли из рук вон плохо. Всем было понятно, что модемы не пользовались популярностью у местного населения исключительно из-за весьма недешевых тарифов на мобильный интернет с одной стороны и слабого покрытия 3G в том городе, с другой. Однако с этим были в корне несогласны два топ-менеджера той же компании, члены совета директоров, утверждавшие, что грамотный маркетинг творит чудеса и что это "просто в том филиале модемы продавать не умеют". Слово за слово, и эти два директора приняли решение десантироваться в тот офис продаж и показать мастер-класс по продаже модемов, проведя один день в роли рядовых продавцов. Провели. Натурально, вышли на улицы и провели машстабную промо-акцию, в результате которой продажи филиала были удвоены. Об их ошеломительном успехе сначала написали во внутрикорпоративной рассылке, потом на интранет-сайте, потом во внутрикорпоративной газете. Заголовок на тему "двое топ-менеджеров удвоили продажи филиала всего за один день, выступив в роли рядовых продавцов" еще долго муссировался HR компании с того или иного боку. По всей компании, на каждом митинге, этих директоров ставили в пример остальным сотрудникам на тему "вот как надо работать!".
И только в том самом филиале сотрудники искренне не могли понять, почему такой ажиотаж вызывали два проданных директорами модема, после целого дня их активного впаривания местному населению на улицах города. И то, что статистика способна творить чудеса там, где оказывается бессилен даже маркетинг, я с тех пор усвоил очень хорошо.
На заборах стройплощадок нашего города можно встретить замечательную социальную рекламу, доступно иллюстрирующую чудеса статистической мысли. Больше всего, мне нравится плакат: "К 2014 году, обеспеченность ростовчан жильем составит 56 квадратных метров на человека". Отличный пример грамотной работы с целевыми аудиториями. Ибо бомжи считают это обещанием получить неплохую однокомнатную квартиру буквально через год, а представители более обеспеченных классов успокаиваются тем, что на каждые следующие 56 квадратных метров их хором в городе будет приходится всего по одному бездомному. И, хотя последних это вряд ли сильно волнует, но по-любому все счастливы, че. Второй плакат (обычно висит рядом с первым) пророчит, что "к 2017 году, в Ростове-на-Дону не останется аварийного жилья". Отличный прогноз, воспринимаемый среднестатистическим обывателем на фоне предыдущего, как "к 2017 году, каждый собственник аварийного жилья будет обеспечен 56 квадратными метрами в новых постройках". Про то, что на фоне количества аварийного жилья в городе и темпов застройки, плакат скорее значит: "к 2017 году, в Ростове-на-Дону, наконец рухнет нахер последний аварийный дом вместе со всеми этими лузерами внутри" народ не особо задумывается, судя по всему.
Это - односторонняя функция, легко рассчитываемый по входу выход и невозможность определить по выходу вход. И в этом, как раз и заключается опасность статистики, используемой в качестве аргументации какого-либо тезиса с целью подменить или скрыть причины для доказываемого следствия. Особенно в ИБ, где требования к достоверности информации, на основе которой принимаются решения в рамках этой предметной области, зачастую не ниже, чем к конфиденциальности, целостности и доступности. PHP-приложения чаще прочих подвержены уязвимостям не потому что язык, на котором они написаны, является говном. Язык со слабой динамической типизацией, такой стандартной библиотекой и сомнительными дизайнерскими решениями - являлся бы говном даже в том случае, если бы на выходе у его сторонников были исключительно защищенные веб-приложения. Настоящая же причина заключается в том, что в силу своей простоты и примитивности, он всего лишь позволяет быстро разрабатывать веб-приложения даже неквалифицированным разработчикам. Читай: дешевой рабсиле, позволяющей сократить издержки на разработке. Тем не менее, этот аргумент против PHP можно достаточно часто встретить во всевозможных холиварах и внутрикорпоративных обсуждениях на тему выбора языка для очередного продукта.
Или вот другой пример. В операционной системе A (или браузере, или почтовом клиенте - не суть) за последний год, по данным Secunia, было зафиксировано N уязвимостей. А в его конкуренте B - всего лишь M=N/2 за тот же период. О чем это может говорить здравомыслящему человеку? Да вообщем ни о чем. Может в B просто нет квалифицированного персонала, умеющего искать уязвимости. Или напротив, в A были привлечено какое-то количество экспертов, исключительно на эту задачу (тем же краудсорсингом, например). Или еще 100500 других вариантов того, чем могли быть обусловлены подобные цифры. Но тогда почему, с пугающей регулярностью, эта статистика приводится сторонниками продукта B, как его преимущество? Ведь, если следовать их же логике, то чем больше уязвимостей устранено в продукте, тем он защищеннее? Получается, что A за прошедший год стал защищеннее B аж в 2 раза, почти тем же путем, которым удвоились продажи 3G модемов. Единственным существенным показателем в данном случае, является количество еще _не выявленных_ в продукте уязвимостей, что как раз и скрывается подобной "статистикой". Как и тот факт, что рассчитать этот показатель не представляется возможным, т.е. что вся их статистика суть - ни о чем, ч.т.д.
Именно поэтому, когда на каком-либо докладе появляется статистика, явным образом скрывающая собой причины утверждаемого докладчиком следствия, я просто встаю и ухожу, дабы ненароком не налипнуть на спор с докладчиком о таких очевидных вещах. А в сетевых дискуссиях буду теперь просто давать ссылку на этот пост. Чего и вам желаю)
P.S: Все события в посте - вымысел, любые их совпадения с событиями, происходившими в "одном сотовом операторе" (с) считать случайными, равно как и внезапное существование реального города "Ростов-на-Дону" с такими же плакатами, и появление в комментах представителей A и B, несогласных с высказанной точкой зрения.
'';!--"<kochetkov.vladimir>=&{()}
security @ development & development @ security
вторник, 30 апреля 2013 г.
воскресенье, 31 марта 2013 г.
В тему о бумажной информационной "безопасности"
Должен признаться, активно обсуждаемая последний месяц тема бумажной безопасности начинает слегка напрягать. И даже не столько своей сутью, сколько тем, что некоторые уважаемые ученые мужы занимается откровенной херней вместо того, чтобы работать над интересными ресерчами и приносить пользу паразитам вроде меня =/ Посему, далее - мое IMHO относительно предмета их спора и того, как к нему следует относиться.
среда, 21 ноября 2012 г.
Чуть-чуть об ИБ-терминологии
Под впечатлением от вчерашнего просмотра большого количества вебинаров и докладов по ИБ от представителей типаИБшных компаний и типаИБшных подразделений софверных компаний:
То, что хочет сделать с информацией атакующий, называется угрозой
То, благодаря чему он может это сделать, называется уязвимостью
То, как он может это сделать, называется атакой
То, с какой вероятностью у него это удастся и какие последствия может повлечь, называется риском
То, что мешает атакующему сделать то, что он хочет, называется защищенностью
То, что снижает вероятность успеха атакующего и минимизирует последствия, называется безопасностью
Господа докладывающие, ну неужели это так трудно запомнить?( Вас же слушать невозможно, когда SQL-injection за 7 минут оказывается и уязвимостью, и атакой, и угрозой, и (внезапно) риском. Это атака и ничего больше. Также, как неправильная обработка данных является уязвимостью, а не угрозой. Также, как нарушение конфиденциальности информационного потока является угрозой, а не уязвимостью или риском. Я уже молчу о том, что безопасность у вас означает все, что угодно (причем в рамках одного и того же вебинара/доклада): от защищенности до риск-менеджмента, патч-менеджмента и прочих SDL (что, конечно же, имеет отношение к безопасности, но никак не является ей самой).
Потратьте PLS 20 минут своего времени и освойте эту терминологию. Если не по этому посту, то по "общим критериям", хотя бы. А то, помимо затруднения в восприятии ваших слов, еще и складывается ощущение, что вы совершенно не понимаете, о чем вообще докладываете =/
Потратьте PLS 20 минут своего времени и освойте эту терминологию. Если не по этому посту, то по "общим критериям", хотя бы. А то, помимо затруднения в восприятии ваших слов, еще и складывается ощущение, что вы совершенно не понимаете, о чем вообще докладываете =/
пятница, 2 ноября 2012 г.
Материалы вебинара "Взломать сайт на ASP.NET?"
Слайды: http://www.slideshare.net/phdays/aspnet-13247925
Ролик с демонстрацией атаки LINQ-Injection: http://www.youtube.com/watch?v=y60WrQwrrj0
Запись вебинара для онлайн-просмотра (COMDI): http://my.comdi.com/record/83251/
Запись вебинара для онлайн-просмотра и загрузки (Vimeo): https://vimeo.com/ptsecurity/review/52671850/0ebf5a6b9d
Несколько ссылок, которые я упоминал на вебинаре:
Ролик с демонстрацией атаки LINQ-Injection: http://www.youtube.com/watch?v=y60WrQwrrj0
Запись вебинара для онлайн-просмотра (COMDI): http://my.comdi.com/record/83251/
Запись вебинара для онлайн-просмотра и загрузки (Vimeo): https://vimeo.com/ptsecurity/review/52671850/0ebf5a6b9d
Несколько ссылок, которые я упоминал на вебинаре:
- ASP.NET HashDoS PoC/exploit payload (напоминаю, что для различных версий платформы .NET и аппаратной архитектуры, набор строк с коллизиями хэш-кодов будут отличаться). С более подробным описанием этой уязвимости можно ознакомиться здесь.
- padbusterdotnet Там же (по ссылкам из статьи) можно ознакомиться с более подробным описанием анатомии уязвимости padding oracle.
- Microsoft IIS tilde character “~” Vulnerability/Feature – Short File/Folder Name Disclosure - способ оптимизированного перебора имен файлов и каталогов, с использованием коротких 8.3 имен DOS.
вторник, 5 июня 2012 г.
Если бы пентестеры работали как вирусные аналитики
1. В исследуемой системе обнаружены следы эксплуатации неизвестной уязвимости. Готовим пресс-релиз о принципиально новом классе атак, наводим шумиху в соц.сетях, пиаримся, что только мы можем его обнаруживать.
2. Принципиально новый класс атак использует неизвестный доселе язык запросов. Готовим пресс-релиз, наводим шумиху в соц. сетях, собираем онлайн-консилиум экспертов по языкам, чтобы опознать творение черного разума. Приходим к выводу, что язык был специально разработан для реализации атак, подобно выявленной.
3. Прозрачно намекаем о госдеповском следе в выявленном запросе, попутно списывая на него все ранее не обнаруженные уязвимости.
4. Через несколько дней, ведущие эксперты в области неизвестных уявзимостей приходят к выводы, что это была SQL-инъекция.
5. Не теряя лица заявляем, что хоть это и была SQL-инъекция, но на неизвестном языке и от госдепа, поэтому старательно поддерживаем шумиху.
6. Еще через несколько дней, выясняется, что неизвестным языком внезапно оказался SQL.
7. Версия с госдепом разваливается на глазах, но тут ведущие эксперты по поискам госдеповских следов обнаруживают, что если текст первой половины запроса проксорить со второй и взять хэш от результата, то он совпадет с хэшем девичьей фамилии матери Барака Обамы.
8. Уверенно готовим пресс-релиз, выступаем на конференциях на тему происков госдепа, уклончиво отвечаем на вопросы о том, откуда мы узнали девичью фамилию матери Обамы.
9. Медленно, но уверенно шумиха стихает, но внезапно наши эксперты обнаруживают в исследуемой системе следы эксплуатации неизвестной уязвимости...
Подписаться на:
Сообщения (Atom)