22 декабря 2010

Алмаз в груде стекла



Мы живём в удивительное время. Наиболее дефолтная операционная система таит в себе столько неочевидных возможностей, что не написать агент-перехватчик действий пользователя могут только две категории людей – не пишущие кода вообще, и не пишущие такой агент по религиозным соображениям.
Логичный шаг после написания – монетизировать плоды своего труда. Опять же, в зависимости от трудолюбия кодера и его понятий о справедливости – на выходе получаем или банальный троян, или «эффективный инструмент для обеспечения информационной безопасности». Первое обычно маленькое, ищет конкретную узкую информацию, например – номера кредиток, и монетизируется нелегально. Проблемы пользователей такого ПО мы в сегодняшней статье рассматривать не будем.
Второе – громоздко, потому что «перехватывает вообще всё» но зато вполне легально продаётся. Вот на судьбе покупателя и остановимся поподробнее. Легче всего покупателю, который приобрёл систему защиты для того, чтоб уличить жену в измене путём снятия логов платочка, простите, вконтакта. Жена у него, будем надеяться, одна, вконтакты пишет часа четыре в сутки, то есть на чтение написанного уйдёт максимум час.
А если речь идёт о больших массивах информации? В бытность студентом – сталкивался с ситуацией, когда в дипломном проекте… нет, не на сто сорок второй странице надпись «декан – балбес». Сто сорок второй страницы просто не было. Равно как и двух десятков страниц до и после неё. Разумеется, ни руководитель проекта, ни рецензенты, ни кто там ещё обязан диплом читать – этого не заметили. Студентов много, папки толстые, результат – очевиден. А теперь представим вместо преподавателей – офицера безопасности с сотней-другой пользователей под контролем. Ситуация – та же, только не раз в году, а ежедневно. С аналогичной вероятностью вовремя обнаружить инцидент.
Соответственно – стоит задача не только снять лог, но и обратить внимание безопасника на тот его участок, который действительно похож на то, что он ищет. Отбросить в сторону кристаллы сваровски, или хотя бы большую их часть. Дав возможность искать алмаз не в ведре стекла, а выбирая из двух-трёх похожих. Сколько таких систем существует на рынке? Как я в очередной раз убедился – на порядок меньше, чем упомянутых выше «перехватывающих вообще всё». Ну и как объяснять потенциальному клиенту, чем наша система лучше? И почему про ту мы первый раз в жизни слышим?
Впредь – буду путём ссылки на эту статью. Ну да, нескромно. Но мы станем скромными, когда прочие наши достоинства исчезнут.
Александр Ерощев
специалист по информационной безопасности компании SearchInform

Комментариев нет:

Отправить комментарий