Блог про кібер, біг та медитацію
Неможливо зробити щось одночасно легким для запам‘ятовування та важким для вгадування.
Як людина, роботою якої довгий час було вгадування паролів, я вважаю цей текст одним з найкращих узагальнень в цій області знань. Немає змісту перекладати чи наводити тут основні тези: читати треба повністю.
Мораль: не користуйтеся паролями. Користуйтеся парольним менеджером, який захищений нереально крутою пасфразою на 20+ символів. А ще краще – замикайте свій парольний сейф фізичним смарт-ключем.
Зовсім забув сказати, прочитав книжку Atomic Habits. Твір дуже добре систематизує те, що вам вже може бути відомо з інших матеріалів. Якщо раніше ви вважали Power of Habit кращим твором на цю тему, тепер у вас є новий улюбленичок. Джеймс Клір не спростовує роботу Чарльза Дугіґґа, а радше впорядковує та систематизує її. В «Атомарних звичках» значно менше яскравих прикладів з історії великих корпорацій, зате до біса методичних вказівок, практичних настанов та інших матеріалів.
Якщо не гортати, а вчитуватись, книжка дуже добре перегукується з сучасними популярними філософськими поглядами. Це все класно відбивається на вашому сприйнятті історій успіху, змушує скептичніше ставитись до критеріїв досягнення цілей, та взагалі натякає що варто переглянути життєві орієнтири. І навіть якщо ви не готові позбавитися ілюзії свободи волі та все ще сприймаєте успіх та поразку як результати рішень окремих індивідуумів, ця книжка робить вас на крок ближче до дійсності.
Ви – це історія, досвід, результат мільярдів інтеракцій з іншими об’єктами у всесвіті. І на успішність чи провальність ваших дій впливає занадто багато факторів, щоб ваша «воля» відігравала на їхньому фоні якусь помітну роль. Хіба що, ви будете здійснювати спроби вплинути на всесвіт наполегливо, регулярно, систематично. Хіба що, ви змиритеся, що задля досягнення результату талант менш важливий, ніж системність у докладанні зусиль. Хіба що, ви усвідомите, що ви й є система.
Ну і центрова цитата, звісно ж,
Ви не підіймаєтеся до рівня ваших цілей. Ви падаєте до рівня вашої системи.
Дозвольте накинуть.
Перевірка програмного забезпечення на безпеку. Загалом у вас є три шляхи:
1. Автоматичне сканування ультрадорогою вундервафлею, яка згенерує вам 100,500 хибних підозр на вразливості, що не існують. Якусь частину з них ви виправите, а на решту заб’єте для ясності.
2. Методичне тестування за допомогою «провідних методологій» на відповідність «галузевим стандартам» та «найкращим практикам». В мене для вас погані новини: наші методології все ще сирі, нормальних стандартів в цій галузі немає та не може бути, а найкращі практики зблизька виявляються методичками для інтернів, як робити те, про що не маєш уявлення.
3. Вибір досвідченого та авторитетного постачальника послуг, який створює комфортні умови праці для найкращих експертів у цій професії. І потім сподіватися на те, що вони добре зроблять свою справу.
Все ще вагаєтесь? Я спрощу вам задачу. Який би такий приклад обрати… Якби я не пішов в Application Security, то скоріш за все присвятив би себе нейрохірургії. Надто сильно люблю покопирсатися в якійсь незрозумілій фігні. Отже, питання до вас: кому б ви радше довірили операцію?
1. Новітньому медичному роботу, який виріже вам 70-80% мозку, бо з ними «щось не так».
2. Випускнику медичного коледжу із найкращим підручником з нейрохірургії, до якого він може заглядати протягом операції.
3. Або експерту-нейрохірургу (досвід 15 років) із командою асистентів (досвід 2, 5 років) в яких рухи відточені до автоматизму на сотнях операцій, а експертна інтуїція навчена тисячами історичних та практичних історій хвороб?
Голосуйте в коментах.
P.S. Конференц-сезон 2020 року я вирішив присвятити висвітленню зв‘язку між тим, як програми та люди підставляють одне одного. Слідкуйте за анонсами.
Сьогодні Мін’юст США нарешті оголосив звинувачення (заочно) китайським державним хакерам, які брали участь у зламі Equifax. Через тиждень після того, як серед усього іншого суд зобов’язав компанію-жертву витратити один мільярд доларів на кібербезпеку. Та це лише початок історії.
Те, що китайці зламали Equifax, в певних колах вже давно публічна інформація. Ми в Berezha Security в програмі нашого тренінгу з безпечної розробки використовуємо злами Equifax, Anthem та Office for Personnel Management (OPM), як стандартний приклад обрання мішеней для операцій міжнародного кібершпіонажу. Звучить пафосно, але насправді все дуже просто, дивіться.
1. Зламавши страхову компанію із монопольним держзамовленням Anthem, китайці отримали список усіх держслужбовців у США.
2. Зламавши глобальний відділ кадрів держагенцій OPM, китайці отримали список усіх держслужбовців США, які не мають доступу до інформації з грифом “SECRET” та “TOP SECRET”. Бо їх, як і скрізь у світі, супроводжують не звичайні кадри, а “режимщики-секретчики”.
3. Зламавши бюро кредитних історій Equifax, китайці отримали дані про те, як люди яких немає в другому списку, але які є в першому, вносять платежі по кредитах. І якщо раптом хтось із них запізнився два-три рази зробити внесок, чуйні китайці готові допомогти їм розв’язати ці матеріальні складності в обмін на шматочок батьківщини.
Ось така елементарна вправа з теорії множин. Тому, офіційна заява, що один із трьох інцидентів виконали китайські хакери в погонах, ставить крапку в обговоренні можливих версій щодо виконавців усіх трьох операцій. У диванних експертів, для яких усе це теорія змови, можуть виникнути сумніви. Розумію, не всі люди однаково обдаровані інтелектом. Але думаю, що посперечатися їм буде краще не зі мною, а з сім’ями страчених американських розвідників, яких китайському уряду вдалося виявити у схожий спосіб серед дипломатів, що знаходилися у Китаї.
Дехто іронізує, що звинувачення американської правоохоронної системи китайцям до одного місця. Це не так. По-перше, це не просто звинувачення, це повна деанонимізація оперативників супротивника та чіткий сигнал усім і всюди: так буде з кожним. По-друге, не треба забувати, що список країн, що мають зі Штатами угоду про екстрадицію, дуже довгий. І по-третє, в американської правоохоронної системи дуже довга пам’ять.
Натрапив на ситуацію, коли в досить принциповій суперечці був змушений пояснювати колезі, що таке принцип незалежності перевірки, чому він важливий, як він захищає від конфлікту інтересів, і навіщо це все взагалі. Звісно, що це мене здивувало, адже в нашій уяві усі люди, яких ми поважаємо як професіоналів, знають принаймні стільки само, як і ми. Насправді ж це омана, і людей зі справжнім аудиторським досвідом в кібербезпеці, а тим більше у сфері захисту програмного забезпечення, не дуже багато. Я знаю двох, зі мною включно. Тому, робити про це доповідь напевно то занадто, а от написати невеличкого поста я себе змусив.
Отже, давайте по черзі. Що таке конфлікт інтересів? Це така ситуація, коли наше особисте заважає професійному, або коли наші професійні пріоритети конфліктують між собою. Крайній випадок: ваша друга половина пише код, а ви його перевіряєте. Ви можете мені зараз мамою поклястися, що будете об’єктивні та неупереджені у своїх діях та висновках, але ми обоє знаємо, що це не так. Щось в цій ситуації буде не так як зазвичай. Уважність, прискіпливість, суворість формулювань. І щось піде не так. Бо це нормально. Це людська природа і з цим нічого не зробиш. Ви свідомо чи несвідомо будете намагатися збалансувати в собі дві ролі й в результаті принаймні одну з них, а скоріш за все обидві, провалите. Ви або погано перевірятиме, або погано сформулюєте наслідки, або будете після цього поганим партнером бо підставили. Тому якщо ви обоє не є клінічними соціопатами в такі ситуації краще не потрапляти.
Тепер менш мелодраматичний приклад: ваші колеги девелопери писали код, а вам його перевіряти. Тут все залежить від ставок. Якщо мова про внутрішні процеси, в яких всі знахідки пофіксять та процес піде далі, то тут ризику замало, щоб його обговорювати. Якщо ж ситуація публічна та має широкий розголос, як наприклад дискусія про перевірку безпеки додатку Дія, яка завела нас в ці рядки, то все різко змінюється. Є зовнішні загрози для компанії, тому в усіх задіяних осіб виникає потенційна корпоративна або персональна відповідальність за якість виконаної роботи. Девелопери можуть вигрісти за те, що погано розробили, безпечники за те, що погано перевірили девелоперів, а менеджмент за те, що погано це все організував. Зокрема, не попіклувався про усунення конфлікту інтересів. Адже якої б ми високої не були думки про професійний рівень наших колег, «ми не беремо на роботу мудаків» — це не найкраща корпоративна стратегія. Ми не хочемо, щоб між колегами в одному колективі виникали робочі конфлікти через те, що ми змушуємо друзів перевіряти роботу одне одного. І тим більше ми не хочемо, щоб занадто амбіційні та корпоративно-відповідальні менеджери мали змогу все «розрулити» в ручному режимі. Тому ми наймаємо зовнішній аудит для перевірки фінансової звітності та робимо пентести за допомогою незалежних компаній.
Якщо коротко, то принцип незалежності не про те, що ми все класно зробили. Він про те, що ми не дали собі шансу зробити неправильно. Тому деколи в застосуванні цього принципу компанії ідуть на дивні, здавалося б, речі. Наприклад, на заваді проведенню аудиту може стати навіть не те, що аудитор працює в тій самій компанії, але й те, що у двох різних компаній є спільний інвестор. Навіть, якщо доля у володінні дуже незначна.
Отже, підсумуємо. Не варто сприймати принцип незалежності перевірки у вузькому контексті перевірки власної роботи або роботи колег. Звісно, я не хочу, щоб мій звіт про пентест додатку, який писали мої друзі, побачили треті особи. Це було б щонайменше якось дивно. Принцип незалежності ширший і він існує не для того, щоб ним нехтувати з огляду на конкретні обставини. Конфлікт інтересів настільки складна ситуація, що буде простіше просто не дати їй виникнути.
Бережіться.