?

Log in

No account? Create an account
Split brain condition [entries|archive|friends|userinfo]
ITiger

[ website | another ЖЖ ]
[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Bruce Schneier [янв. 6, 2010|10:45 am]
ITiger
[Tags|]

Блог Брюса Шнайера, офигительного дядьки, большого секьюрити-эксперта.

(Помимо прочего, его книжка Beyond Fear несколько лет назад подломила мне барьер, и я начала читать по-английски удовольствия И образования для, а то до того было исключительно образование.)

Очень интересное чтиво. И комментаторы у него в большом количестве очень вменяемы. Весьма рекомендую, если вам интерен такой материал. И книжки рекомендую тоже.

Под статьей о том, что новые сканеры, которые предполагается смонтировать в аэропортах, де факто не видят пластиковую взрывчатку и жидкости, один из комментаторов замечает:

Нательные бомбы были абсолютно предсказуемы.
Секьюрити в аэропортах присесть было некогда - они потрошили наши ботинки. Теперь они сосредоточатся на наших подштанниках... пока террористы не переключатся на взрывающиеся импланты.


И статья Шнайера на CNN - Is aviation security mostly for show? Как говорится, must read.
СсылкаОтветить

Comments:
[User Picture]From: greenbat
2010-01-06 09:51 am
Слушай, а книжка о чем? Митька у меня тут мается в поисках чтива, а я не сильна в англоязычном.
(Ответить) (Thread)
[User Picture]From: redtigra
2010-01-06 10:14 am
О концепциях безопасности - и общих, и детальных. Очень толковый, увлекательно читаемый материал и очень хороший и невычурный язык.
Тут есть review:
http://www.amazon.com/Beyond-Fear-Thinking-Sensibly-Uncertain/dp/0387026207/ref=sr_1_1?ie=UTF8&s=books&qid=1262772623&sr=8-1
Но это review гораздо скучнее читать, чем книгу. Книгу я в метро по-английски читала, не отрываясь, это был первый прецедент у меня.
(Ответить) (Parent) (Thread)
[User Picture]From: santagloria
2010-01-06 11:16 am
знаешь, я не хочу никого пугать
но все эти меры нацелены в первую очередь на пассажиров.

если устроиться работать в любом аэропорту - то через полгода на взлетной полосе можно собрать танк, просто пронеся внутрь деталь за деталью.
(Ответить) (Thread)
[User Picture]From: redtigra
2010-01-06 11:30 am
так щнайер и пишет о том, что на самом деле и применительно к пассажирам соотношение зрелищность/польза давно перевесило в сторону зрелищности.

но вообще борьба с инсайдерами - это отдельная часть секьюрити-науки, ага.
(Ответить) (Parent) (Thread)
[User Picture]From: santagloria
2010-01-06 11:35 am
у меня было пол -года назад один раз так - я с утра обычно хожу пить кофе в так называемую аэропортовую "стерильную зону"

и с утра я шла и думала о чем-то очень своем, на автомате улыбалась и здоровалась - и только внутри обнаружила, что легко прошла один досмотр и два кордона полиции - в штатском, без пропуска, вообще просто так.
(Ответить) (Parent) (Thread)
[User Picture]From: redtigra
2010-01-06 11:49 am
ага. секьюрити в аэропортах в первую очередь реагирует на невербальные признаки. очень упрощенно говоря, эффективность системы с точки зрения безопасности оценивается не тем, сколько безопасных миновало досмотр, а тем, сколько опасных было кордоном отблокировано. уровень твоего автоматизма при задуманном теракте недостижим, примерно так, то есть ты становишься своего рода "фантомом" для условных "радаров". ну то есть все сложнее, но первый уровень именно такой - эмоционально-поведенческий анализ, мгновенное, зачастую подсознательное профилирование. Израильская система безопасности вообще практически полностью построена на профилировании, собственно досмотр личных вещей - очень небольшая составляющая. именно поэтому, кстати, израильская система не применима в Штатах - она не масштабируется особо, а в американских аэропортах другой уровень загрузки.

Шнайер много пишет про аэропорты и полеты - и очень интересно. Ну мне, то есть, интересно.
(Ответить) (Parent) (Thread)
[User Picture]From: santagloria
2010-01-06 12:07 pm
мой уровень вполне достижим мной же.
понимаешь, в чем дело?
представим, мне (или любому другому) сделают предложение, от которого человек будет не в состоянии отказаться.
ну и...
(Ответить) (Parent) (Thread)
[User Picture]From: redtigra
2010-01-06 12:57 pm
тогда ты не забудешь о том, что на тебе нет формы, и показать пропуск не забудешь тоже. Будет другой уровень внутреннего напряжения. Ты не про кофе будешь думать и не про дождик за окном. Lie to Me прикольная штука, но основано-то на реальном человеке, который поведенческой бихевиористикой занимается много лет и очень известен.

именно поэтому секьюрити внутри и снаружи очень разная. и - да, нет стопроцентно надежных систем и не может быть.
(Ответить) (Parent) (Thread)
[User Picture]From: santagloria
2010-01-06 01:20 pm
знаешь, я одно время развлекалась тем, что проходила во всякие непроходимые места, занималась таким пространственным хакерством (от очень закрытых вечеринок до казармы охраны в президентском дворце) - именно на одном кураже и на твердой уверенности что ты идешь туда куда имеешь право.
не поверишь, насколько удачно все получается, как получается держать некую внутреннюю уверенность. если получается ее держать - проходишь почти всегда удачно.
(Ответить) (Parent) (Thread)
[User Picture]From: redtigra
2010-01-06 01:30 pm
да я верю :)
(Ответить) (Parent) (Thread)
[User Picture]From: redtigra
2010-01-06 01:34 pm
а вот и Шнайер сегодня ровно о том же:
http://threatpost.com/en_us/blogs/fixing-security-problem-isnt-always-right-answer-010510
(Ответить) (Parent) (Thread)
[User Picture]From: santagloria
2010-01-06 01:49 pm
просто одно дело когда я развлекаюсь с вечеринками и совершенно другое - когда я на работе вижу дыры размером с небольшого носорога)
(Ответить) (Parent) (Thread)
[User Picture]From: neivid
2010-01-07 10:09 am
Дело не в наличии или отсутствии внутренней уверенности, вопрос - В ЧЕМ вы при этом уверены. Уверенность "я имею право" не имеет отношения к взрывчатке. Должна быть уверенность "у меня НЕТ взрывчатки". Глубинная уверенность, в подсознании. Эту уверенность, по идее, тоже можно научиться формировать, но для этого нужен очень высокий уровень контроля над подсознанием. Почти духовная практика. Способных на нее не так много, тем более - среди потенциальных смертников. Слишком ценный материал, чтобы пускать его в расход.

Другое дело, что, как правильно сказала Тигра, ни одна система не идеальна. И всегда найдется какая-нибудь щель, куда при желании можно пролезть без всяких духовных практик. Увы.

(Ответить) (Parent) (Thread)
[User Picture]From: santagloria
2010-01-07 10:44 am
Да, конечно же, чем серьезней и страшнее дело и его последствия - тем сложнее быть (держать себя)в определенном состоянии - и тут я всерьез пугаюсь первый раз - если я, совершенно обыкновенный человек, не обученный специально и не практикующий, просто методом проб и ошибок добилась средненького результата - то какого же тогда результата можно добиться, если обладать способностями и заниматься этим специально?

И ведь при этом совершенно необязательно быть смертником - достаточно пронести вовнутрь.)

вообще же, чем больше я думаю о системах безопасности, тем все больше склоняюсь к выводу, что самая надежная из них - узкий круг, где все знают друг друга в лицо. Это гораздо надежнее любых пропусков, паролей и камер слежения.

(Ответить) (Parent) (Thread)
[User Picture]From: redtigra
2010-01-07 11:57 am
вообще же, чем больше я думаю о системах безопасности, тем все больше склоняюсь к выводу, что самая надежная из них - узкий круг, где все знают друг друга в лицо. Это гораздо надежнее любых пропусков, паролей и камер слежения.

Строго говоря, Азефа все знали в лицо, но кому это помогло? :)

Если стоит задача функционирования больших систем - например, международных авиаперевозок - понятно, что такая модель просто не будет работать. Она хорошая, но абсолютно не масштабируемая.

То есть решение лежит не здесь, в лоб задача не решается, очевидно. Потому и интересно читать людей, которые заняты профессиональной экспертизой - чтобы понять, как именно она решается и с каким процентом эффективности, и какой ценой. Каков процент жертв терроризма в Римском аэропорту? Как я понимаю, практически никаков. То есть система - на данный момент - эффективна.

Эффективность системы безопасности оценивается не в лоб - возможно ли, задавшись целью, пройти куда-то. Это комплексная оценка. В качестве факторов выступают: потенциальные злоумышленники; потери в случае нарушения системы безопасности; разные уровни рисков и вероятность их проявления, и так далее. В итоге система оценивается по конечному результату.

Постановка цели "достичь стопроцентной надежности" весьма ошибочна и грозит большими затратами и промахами. Системы безопасности в большой степени прикладное занятие по теорверу.

Если это интересно, я очень рекомендую Beyond Fear. Там все рассказано и разложено куда толковей, чем могу это сделать я в комментарии. А читается очень легко.
(Ответить) (Parent) (Thread)
[User Picture]From: redtigra
2010-01-07 12:03 pm
не то, Чтобы увы, а просто так есть. нет задачи сделать стопроцентную защиту, есть задача усложнить злоумышленникам жизнь.

интересно, что в Штатах средневзвешенный шанс попасть в теракт в самолете за последние 10 лет - 1 к 10,408,947. Скажем, шанс получить в маковку молнией в грозу - 1 к 500,000. Забавно, да? Но цифры куда менее эмоциональны, чем упавшие Близнецы, и всем страшно... что, собственно, и есть основная цель террора.

Я начинаю мысленно все чаще возвращаться к мысли о потребности в "Аэмоционалине", разбрызгиваемом с самолетов.. Надеюсь, это пройдет со временем.
(Ответить) (Parent) (Thread)
[User Picture]From: bgmt
2010-01-06 02:33 pm
спасибо!
(Ответить) (Thread)
[User Picture]From: redtigra
2010-01-06 02:50 pm
my pleasure!
(Ответить) (Parent) (Thread)
[User Picture]From: angerona
2010-01-06 03:25 pm
yes, I've been reading him for a while. Very informative blog.
(Ответить) (Thread)
[User Picture]From: redtigra
2010-01-06 04:25 pm
And his books worth reading as well.
(Ответить) (Parent) (Thread)
(Удалённый комментарий)
[User Picture]From: zhenyok
2010-01-07 02:47 pm
у, классно написано =)
спасибо!
(Ответить) (Thread)
[User Picture]From: zloy_homyak
2010-01-08 09:16 am
ну я как бы и согласен и не согласен с ним. Мне кажется, что вся эта массовая public security расчитана на то, чтобы отпугивать левых. Типа придуренных тинейджеров, вроде того, который слепил "грязную бомбу" в гараже своей мамы. Чиста по принципу 'а ну попробую, вдруг получится'.
Так и с этими. Серьезный терракт подготовить стОит больших денег. Постоянно нервировать по мелочам - совсем небольших. Слышал такое, что пока израильтяне не поставили Стену, гораздо чаще придурки с полкило взрывчатки просачивались. Потому что стОит недорого, психологическое воздействие велико, можно хоть до бесконечности пытаться.

а согласен в том, что перебарщивать не стОит. В попытках создать абсолютную безопасность превращать собственную страну в тотальный контроль, это точно неправильный путь.
Наши уже докатились до того, что обсуждают "голые сканнеры"(понятия не имею, как это по-русски называется), а голландцы в Шиполе их даже кажется уже поставили. Типа того, что - круто, можно увидеть, если кто попытается на теле взрывчатку пронести. Неприятный побочный эффект - видны все нюансы фигуры. Как-то не очень хочется сообщать такие интимные подробности персоналу аэропортов.
(Ответить) (Thread)
[User Picture]From: redtigra
2010-01-08 09:45 am
так он же пишет почти ровно об этом. что задача паблик секьюрити - осложнять жизнь террористам (и отпугивать левых, конечно). Что именно в результате этой секьюрити террорист был вынужден создать ненадежную бомбу с ненадежным детонатором. но пойнт в том, что службы паблик секьюрити на данный момент достигли предела насыщения, и дальнейшее усугубление - это чистый и бессмысленный театр.

проблема сканеров, о которых ты говоришь, в том, что в большом ряде случаев они не видят ни пластит, ни жидкости. то есть совсем бессмысленный пойнт.

А что такое "Стена"? Я там только одну Стену знаю, но ее построили эн тысяч лет тому назад :)
(Ответить) (Parent) (Thread)
[User Picture]From: zloy_homyak
2010-01-08 05:13 pm
ну может я невнимательно прочёл. почему-то сложилось впечатление, что он бы не против вообще всю аеропортовскую секюрити отменить. В плане же предела насыщения я как раз согласен.

насчёт сканнеров - говорят, что всё они видят. В этом-то и проблема. Далеко не всем мужукам хотелось бы, чтоб размер его члена рассматривала какая-то курица из секьюрити. Про баб и вовсе молчу. :-)

нее, другая стена. :-)
которой они от палестинцев отгородились. как оно называется, "забор безопасности"?
(Ответить) (Parent) (Thread)
[User Picture]From: redtigra
2010-01-08 07:44 pm
так в том и подстава, понимаешь, что размер члена видит, а пластиты не всегда. я не лезла в подробности, но вроде тек.
читал, да? британцы скандалят, утверждая, что это дело подпадает под детскую порнографию
вообще, конечно, рехнулись все.
(Ответить) (Parent) (Thread)