Журнал Восставшей Машины

Я уже лет этак 10 прытаюсь донести до людей мысль: если ты решил, что "чтобы решить проблему, надо поставить програму ХХХ, и она решит мои проблемы", то ты просто поимеешь ещё одну проблему. Это как тут было на баш-орге в тему "я решил, что решу свою проблему с помощью регэкспов. теперь у меня не одна, а две проблемы".

В конце концов основной постулат внедрения любого средства был изобретён чуть ли не до нашего рождения: "результатом автоматизации бардака становится автоматизированный бардак".

Это относится к любой области, ИБ не исключение. Увы. Даже здравые во многих вопросах люди слишком часто попадают под гипнотическое влияние понравившейся шалабухи, и начинается старая песня -- "чтобы решить нашу проблему, надо купить программу ХХХ". И, честно говоря, начинает надоедать объяснять людям, что бюджет можно сэкономить уже на стадии проектирования просто частичной формализацией части правил. Ибо в 4 случаях из 5 окажется, что для решения твоей задачи вообще не потребуется ничего покупать и внедрять.

From:

fau74.livejournal.com

Имел я удовольствие работать в лавке с таким подходом к автоматизации. Вместо нормального CRMа - пицот эксельных файликов, которые все обязаны заполнять, поддерживать, отслеживать и синхронизировать. Половина времени уходит на то, чтобы отследить и пофиксить случайные расхождения. Зато экономим бюджет формализацией правил. Ура.

From:

blacklion.livejournal.com

Не, ну в другую-то крайность впадать не надо. После формализации правил их можно и закодировать. А вот начинать автоматизацию с покупки решения но до формализации правил (а такое — сплошь и рядом) — это идиотизм.

From:

Вот вот.

From:

Ты не понял. Я не про бездумную "экономию бюджета формализацией правил".

Я не раз сталкивался с лавками, которые покупали дорогущий софт, а в итоге продолжали вести "пицот эксельных файликов", потому что мало того, что некому было перести "формализованные правила" на это самый дорогущий софт, так ещё и этот самый набор "формализованных правил" представляет собой несвязный винигрет. И к тому моменту, когда таки найдётся в конторе или на стороне человек, который всю эту мутотень причешет, выясняется, что для автоматизации вполне достаточно существующего софта. Той же 1С. А дорогущий CRM клался на полку, и из купленного под него дорогущего сервера делалась в лучшем случае файлопомойка, а то и просто квейк-сервер.

From:

drf-ckoff.livejournal.com

баш-орг...
http://codemines.blogspot.com/2006/08/now-they-have-two-problems.html
(для Ъ - именно про регекспы было в 1997м году сказано. про awk - в 1988. а ноги вообще из чего-то древнего растут...)

From:

Ну это вообще довольно цитируемое. Просто БОР -- первое, что вспомнилось ;)

From:

brohm.livejournal.com

А вот интересно, в какой области - не так?

From:

firebottle.livejournal.com

С пресловутой материнской сиськой (которая единственный интуитивно понятный интерфейс) не так - впрочем, там и вендор всего один.

From:

itworks.livejournal.com

Похожие вещи говорю я в своей предметной области :) Однако есть закавыка - я пришел к выводу, что здравый смысл не всегда приходит с опытом (ну, во всяком случае, не всегда со своим) и вообще редкий товар который является следствием некоего системного мышления. Бумажка у меня есть, если что.

From:

Ну да, "мудрость необязательно приходит с возрастом, иногда возраст приходит один" ;-)

From:

Это дядя akanoid так пошутил. В ИБ, на самом деле, есть, конечно,
и типовые решения для широкого применения, разворачиваемые архетипической
фигурой сертифицированного попки, есть вещи и посложнее ракетной физики,
как вы уже все догадались -- обеспечение информациооной безопасности
в областях применения ракетной физики и похожих областях (медицина, авиастроение, управление скоростными поездами итд.)

From:

Да нифига я не пошутил. То, о чем ты говоришь, не деплоится "навесным" решением, а употребляется при разработке информационной системы. Кстати, ничего так уж радикально сложного и того, что нельзя изучить за приемлимое время (хотя да, смотря с чем сравнивать). Я об этом думал, когда писал; увы, этим технологиям еще долго не стать типовыми, хотя вроде и фреймворки есть и как ни странно, не любое из этих решений обязано стоить, как космическая ракета. Я тут на прошлой работе (госзаказ, то-се) пытался хотя бы на уровне ТЗ изолировать в отдельную помойку унаследованную хуиту, которая в принципе не впишется в нормальную архитектуру, да где теперь те ТЗ..

From:

А кто сказал, что ИБ, по опрделению только "навесное" ?
Изучить можно, безусловно -- приемлимое время года 3-4
(не совсем традиционные разделы математики, ряд инженерных
дисциплин), то есть сравнимо со врменем подготовки инженера-ракетчика.
А причем здесь вопрос цены космической ракеты? Они разные бывают космические
ракеты то -- от "прощального поклона" фон Брауна, вроде того что бы за 3
сранные копейки собирать тысячами ракеты, пригодные для обстрела СССР и устанавливать их в ФРГ
http://en.wikipedia.org/wiki/OTRAG_Rocket
и до не менее смелой идеи уже у СССР о глобальной
ракете, которая бы летала в космосе как спутник и опускалась куда надо
http://en.wikipedia.org/wiki/Fractional_Orbital_Bombardment_System (это
якобы то, от чего якобы так обосралось Политбюро -- полу-мифический
нырок Шаттла, воплощенный за 15 лет до него)

From:

Ну приведи мне пример системы, которую нужно изучать три-четыре года. Задачи типа "как сделать встраиваемый криптопроцессор, чтобы надежно работал десять лет от непонятно какого электричества и не боялся ионизирующего излучения" к ИБ относятся все-таки очень косвенно, это именно инженерные дисциплины. К тому же я не о разработке, а эксплуатации, это "немного" другое. После того, как эту фигню сделают, управится с ней любой выпускник ПТУ.

From:

Даже два примера из коммерческой области (то есть можно пойти и купить на свободном рынке и весьма досотупны гражданам), патаму чта я седни добрый:
--Система управления движением скоростных поездов (ICE/TGV):
--Автоматически контролируемое облучение поврежденных тканей пациента
при радиотерапии.

Про всякие интересные SCADA системы мы лучше говорить не будем.

Ни в одном, ни в другом случае знаний выпускника ПТУ не хватит.

From:

1) угу, реалтайм и все такое. но чем оно с точки зрения ИБ столь нетривиально?
2) вообще standalone, внешний интерфейс должен быть задокументирован и минимизирован. опять-таки, как это нужно защищать иначе?

From:

Они обе формально верифицированы -- безопасность функционирования я отношу,э
конечно к ИБ + жесткий формальный процесс, разумеется, внесения иземенений в софт/окружение -- это не тривиальные вещи, которым надо
специально, довольно долго учится.

From:

А! Ну это да, само собой. К сожалению, с этим приходится иметь дело реже, чем следовало бы. Большинству - собственно, практически никогда.

From:

а криптоанализ ты тоже на здравом смысле делать будешь?

From:

А тут есть простое правило: не изобретай. Как не обосраться при применении типовых фреймворков и на что надо смотреть - уже описано. Это касаемо внедрения криптографии. Что до собственно криптоанализа, то он в типовые задачи не входит. И кстати говоря, таки да, я, имея очень посредственные знания о криптографии, умею успешно решать криптоаналитические задачи чужими руками (т.е. уметь задать математикам правильные вопросы и скоординировать рабочую группу ;-). Но это все немного не по теме моего текста?

Edited Date: 2009-06-04 06:20 am (UTC)

From:

так не ты, а другой изобретет
и всоставе фрэймворка продаст
и будет у тебя 3DES, AES, ГОСТ, RSA, DSA и XSA.
в разных фрэймворках -- разные наборы. что использовать будешь?

как будешь проверяьб ответы, выданные рабочей группой? может они хуи валяли и всякую хрень от балды в отчет понаписали?

From:

так не ты, а другой изобретет
и всоставе фрэймворка продаст
и будет у тебя 3DES, AES, ГОСТ, RSA, DSA и XSA.
в разных фрэймворках -- разные наборы. что использовать будешь?

Скажи, какая нужна информация для принятия решения, которой нет в faq, педивикии и гуглимых за 15 минут ресурсах? Ну например?

как будешь проверяьб ответы, выданные рабочей группой? может они хуи валяли и всякую хрень от балды в отчет понаписали?

Я работаю с людьми, которым могу доверять. К тому же я не совсем идиот ;-)

(offtopic:
http://www.matasano.com/log/1749/typing-the-letters-a-e-s-into-your-code-youre-doing-it-wrong/ )

From:

Скажи, какая нужна информация для принятия решения, которой нет в faq, педивикии и гуглимых за 15 минут ресурсах? Ну например?

это очевидно -- отсутствующая там.

From:

Ну? Назови мне хоть одну причину, по которой я должен заниматься самолично анализом криптостойкости (производительности, whatever) этих алгоритмов, когда люди умнее меня уже делают это лучше меня и публикуют результаты?

From:

Ну не всегда публикуют, чего уж там.

From:

Ну тем не менее, для типовой коммерческой организации это деньги на ветер.

From:

типовой коммерческой организаци ИБ вообще не всралась и затраты на нее -- это деньги на ветер

From:

(offtopic:
http://www.matasano.com/log/1749/typing-the-letters-a-e-s-into-your-code-youre-doing-it-wrong/ )

слишкаммнога букав
и ты уверен, что это оффтопик?

From:

don’t use Triple DES for anything. It has a bunch of problems, but also an 8 byte block size, which is tiny.

WTF? Есть какая-то реальная проблема?

From:

А это входит в профессиональные обязанности специалиста по ИБ? Какая новость.

From:

а что входит?
щеки надувать?
ну тогда вперед, WEP твой идеал

From:

Ты правда не понимаешь разницу между "знать октановое число бензина" и "уметь определять октановое число бензина"?

Криптоанализ -- дело крайне узкой прослойки специалистов, остальным достаточно ознакомиться с результатами. Разделение труда и прочая фигня, в каменном веке еще придумали.

From:

да-да, а руководить все равно чем
например, после мебельного -- армией

From:

И как именно это относится к моим словам?

From:

напрямую

From:

Нет.

From:

volodymir-k.livejournal.com

Ну например SAML -- совершенно адская спека.

From: