Новости и заметки


Статьи в этом разделе короткие и «временные». Я не планирую их изменять, и их содержание соответствует времения их публикации.

Думаю, это не самые «тяжелые» материалы. С ними не надо «работать», их можно просто просматривать, возможно, принимать информацию к сведению. Впрочем, это может совсем не относиться к материалам, на которые эти статьи ссылаются.

И, да, я не «блогер», я пишу редко

21 Декабря 2015

Выложил «дао безопасности»

Pastfariano image

Хотите разработать безопасную программу — пригласите хакера.

Согласны с этим утверждением?

«Да! Конечно, да!» — скажет подавляющее большинство читающих эти строки — «Эти парни умеют взламывать программы, и, следовательно, лучше всех знают, как их надо защищать. Именно хакеров надо приглашать, когда надо модифицировать процесс разработки с учетом требований безопасности; именно хакеров надо приглашать, когда надо научить программистов создавать безопасные приложения».

«Нет! Ни в коем случае!» — скажу я. Хакеры не могут создать безопасную программу. Да, возможно, они смогут взломать ее, но защитить…

На основании своего опыта берусь утверждать:

  • безопасность программы достигается слаженной работой двух категорий специалистов: разработчиков и хакеров;
  • хакер и разработчик — принципиально разные специалисты: у них разный опыт, разные навыки, вероятно, разная психология;
  • обучать хакеров и разработчиков необходимо разным навыкам, и это должны делать разные люди;
  • «вес» хакеров в обеспечении безопасности сейчас существенно преувеличен;
  • перенос центра тяжести с «хакерских» на «разработческие» методы снижает стоимость разработки, как минимум, в два раза (не на проценты, в разы!);
  • безопасность при этом не ухудшается, более того, может быть даже улучшена;
  • есть ситуации, когда безопасную программу можно и нужно создавать вообще без участия хакеров непосредственно в разработке;
  • в краткострочной перспективе хакерство может быть эффективным инструментом решения проблемы, цена — рост технического долга.

Этой теме посвящена «Дао безопасности». Это вторая статья из серии «Не надо думать, как хакер».

Я предлагаю прочитать статью следующим читателям:

  • всем, кому необходимо создавать безопасные программы;
  • руководителям, создающим команду разработчиков;
  • руководителям, планирующим обучение своих сотрудников;
  • разработчикам учебных курсов;
  • специалистам, планирующим карьеру в этой области.

Читать статью (Осторожно! Букв много, очень много).

25 Октября 2014

Не надо думать как хакер!

Ha-Ha

Существует мнение: чтобы защититься от хакеров, нужно уметь думать и действовать, как хакер.

Я постараюсь это мнение опровергнуть. Предлагаю вашему вниманию статью «Не надо думать как хакер!». В ней я очень кратко излагаю главную идею: хакерство и разработка безопасных программ — очень разные задачи и должны решаться разными людьми. Пока я не пытаюсь что-либо обосновывать, я просто обозначаю свою точку зрения.

Сейчас я готовлю к публикации большие и подробные статьи (названия еще могут измениться).

Первая статья: «Хакер и разработчик. Сравним навыки».

В этой статье я анализирую задачи, решаемые хакерами и разработчиками. Я показываю, что для успешного выполнения своих обязанностей эти специалисты должны обладать абсолютно разными знаниями и навыками.

Вторая статья: «Почему не работает хакинг».

В этой статье я показываю принципиальные проблемы хакинга. Принятый сейчас подход к разработке безопасного обеспечения — искать и устранять уязвимости (собственно это я условно и называю хакингом). Я разберу некоторые особенности такого свойства программы, как «безопасность», и я покажу что эти особенности делают невозможным создание безопасной программы путем устранения уязвимостей в уже существующих продуктах.

Первую статью серии я опубликовал на securitylab. Сделал я это в качестве эксперимента, посмотрим, что из него выйдет.

Остальные работы я пока планирую размещать на своем сайте. Если вы заинтересовались подробностями, следите за обновлениями.

Пока же предлагаю перейти к чтению статьи «Не надо думать как хакер!».

01 Января 2014

Поздравляю всех с Новым Годом!

Поздравляю всех читателей сайта с наступившим 2014 годом!

Cat image

Благодарю вас всех, что вы читаете мой сайт. Отдельное большое спасибо всем, кто оставил свои комментарии, мне они очень важны.

Но больше всего в развитии этого сайта мне помогал Саша Пытьев. Его отзывы о моих статьях, о сайте в целом помогали мне понимать, чего не хватает в них и вносить необходимые корректировки. Это безусловно повысило качество и статей и сайта в целом.

Желаю всем вам в Новом Году успехов, хорошего настроения, здоровья и всего прочего, что делает нашу жизнь лучше. Надеюсь, вы найдете на моем сайте много новых интересных материалов.