Новости и заметки


Статьи в этом разделе короткие и «временные». Я не планирую их изменять, и их содержание соответствует времения их публикации.

Думаю, это не самые «тяжелые» материалы. С ними не надо «работать», их можно просто просматривать, возможно, принимать информацию к сведению. Впрочем, это может совсем не относиться к материалам, на которые эти статьи ссылаются.

И, да, я не «блогер», я пишу редко

12 Мая 2016

Это повод похвастаться?

Недавно решил посмотреть, что пишуть умные люди по нашей специальности. Зашел на google и набрал "Безопасность приложений". И что я вижу? Вот картинка:

Хвастаюсь

Оказывается, ссылка на первом месте — моя статья трехлетней давности!

Продолжаю хвастаться

Какие я из этого могу сделать выводы?

Во-первых, Хабр — о-очень хорошая площадка для публикации. Обратите внимание: две статьи на первом месте — именно с этого сайта.

Во-вторых, goole все-таки пытается дать наиболее релевантные ссылки по теме. Для этого в поисковом алгоритме учитываются различные факторы, отражающие мнение многих людей о полезности той или иной информации. Конечно, выход моей статьи на первые позиции в поиске google почти ничего не говорит обо мне, как о специалисте в этой области. Но вот писать на эту тему я, похоже, немного научился.

Так это повод похвастаться?

21 Декабря 2015

Выложил «дао безопасности»

Pastfariano image

Хотите разработать безопасную программу — пригласите хакера.

Согласны с этим утверждением?

«Да! Конечно, да!» — скажет подавляющее большинство читающих эти строки — «Эти парни умеют взламывать программы, и, следовательно, лучше всех знают, как их надо защищать. Именно хакеров надо приглашать, когда надо модифицировать процесс разработки с учетом требований безопасности; именно хакеров надо приглашать, когда надо научить программистов создавать безопасные приложения».

«Нет! Ни в коем случае!» — скажу я. Хакеры не могут создать безопасную программу. Да, возможно, они смогут взломать ее, но защитить…

На основании своего опыта берусь утверждать:

  • безопасность программы достигается слаженной работой двух категорий специалистов: разработчиков и хакеров;
  • хакер и разработчик — принципиально разные специалисты: у них разный опыт, разные навыки, вероятно, разная психология;
  • обучать хакеров и разработчиков необходимо разным навыкам, и это должны делать разные люди;
  • «вес» хакеров в обеспечении безопасности сейчас существенно преувеличен;
  • перенос центра тяжести с «хакерских» на «разработческие» методы снижает стоимость разработки, как минимум, в два раза (не на проценты, в разы!);
  • безопасность при этом не ухудшается, более того, может быть даже улучшена;
  • есть ситуации, когда безопасную программу можно и нужно создавать вообще без участия хакеров непосредственно в разработке;
  • в краткострочной перспективе хакерство может быть эффективным инструментом решения проблемы, цена — рост технического долга.

Этой теме посвящена «Дао безопасности». Это вторая статья из серии «Не надо думать, как хакер».

Я предлагаю прочитать статью следующим читателям:

  • всем, кому необходимо создавать безопасные программы;
  • руководителям, создающим команду разработчиков;
  • руководителям, планирующим обучение своих сотрудников;
  • разработчикам учебных курсов;
  • специалистам, планирующим карьеру в этой области.

Читать статью (Осторожно! Букв много, очень много).

25 Октября 2014

Не надо думать как хакер!

Ha-Ha

Существует мнение: чтобы защититься от хакеров, нужно уметь думать и действовать, как хакер.

Я постараюсь это мнение опровергнуть. Предлагаю вашему вниманию статью «Не надо думать как хакер!». В ней я очень кратко излагаю главную идею: хакерство и разработка безопасных программ — очень разные задачи и должны решаться разными людьми. Пока я не пытаюсь что-либо обосновывать, я просто обозначаю свою точку зрения.

Сейчас я готовлю к публикации большие и подробные статьи (названия еще могут измениться).

Первая статья: «Хакер и разработчик. Сравним навыки».

В этой статье я анализирую задачи, решаемые хакерами и разработчиками. Я показываю, что для успешного выполнения своих обязанностей эти специалисты должны обладать абсолютно разными знаниями и навыками.

Вторая статья: «Почему не работает хакинг».

В этой статье я показываю принципиальные проблемы хакинга. Принятый сейчас подход к разработке безопасного обеспечения — искать и устранять уязвимости (собственно это я условно и называю хакингом). Я разберу некоторые особенности такого свойства программы, как «безопасность», и я покажу что эти особенности делают невозможным создание безопасной программы путем устранения уязвимостей в уже существующих продуктах.

Первую статью серии я опубликовал на securitylab. Сделал я это в качестве эксперимента, посмотрим, что из него выйдет.

Остальные работы я пока планирую размещать на своем сайте. Если вы заинтересовались подробностями, следите за обновлениями.

Пока же предлагаю перейти к чтению статьи «Не надо думать как хакер!».