Есть в инфобезопасности знаменитое
правило, впервые предложенное еще в 19ом веке голландским криптографом
Огюстом Керкгоффсом : "защищенность системы не должна опираться на ее закрытость" То есть, защита не должна предполагать секретности алгоритмов или архитектуры, вся необходимая секретность должна быть сконцентрирована на малом пятачке: в пароле или ключе. Клода Шеннон сформулировал особенно четко: "
враг знает систему"
Принцип безусловно полезный и нужный. Если имеется возможность обойтись без обязвтельной закрытости, то лучше строить систему без нее. Чем меньше секретов, тем проще за ними уследить и из защищать. Сменить ключ гораздо проще, чем переписать утекший код. Даже общие принципы программирования диктуют, что чем меньше модуль завязан на внешние обстоятельства, тем лучше. Сплошные плюсы, но речь сейчас пойдет не о преимуществах принципа, а об исключениях из него.
Если приглядеься, то мы обнаружем что мир кишит системами, которые наругшают принцип Керкгоффса самым вопиющим образом. и неплохо себя чувствуют: алгоритмы ранжирования поисковиков, трояны, напичканные ассемблерными наворотами, DRM, Скайп итп. Все так или иначе опираются на то, что потенциальный противник, будь то сеошники или внтивирусы не знает деталей именно что алгоритма. Во многом эта вынуждкннвя мера: либо секретный ингредиент никак не сосредоточишь в изящном 512-битном формате, как в случае поисковиков, либо его просто невозможно полностью утаить, ибо нет в системе места, куда враг не мог бы при желании добраться. Вопрос, тем не менее, остается: как им так удается?
Здесь следует вспомнить, что и Керкгоффс и Шеннон работали на военщину, имеющую практически неограниченные ресурсы с одной стороны, и самые строгие требования к защите, с другой. В таких экстремальных условиях лучше сразу предполагать худшее: везде шпионы, все чертежи украдены, на разведку противника работают лучшие умы государства (хорошо, если
его государства, а не
твоего). Но мы-то не военные, и цели у нас поскромнее и враги попроще.
Наш враг - не государственный монстр, а вполне тварь дрожащая: хакер, сеошник, антивирус. Победа лююой ценой ему не нужна, у него ограниченные интересы - деньги, продажи, популярность среди сверстников, лулзы - и ограниченные ресурсы. Это уже не безопасность, а синтез безопасности и экономики, где действуют свои принципы:
Во-первых, имеем принцип медведя: важно бежать не быстрее медведя, а быстрее любимого конкурента.
Во-вторых, имеем принцип палева тем: чем тема выгоднее, тем меньше ее палят. Во вражьем стане конкурентов тоже не любят.
Поясню на примере. Пусть у нас есть сайт с набором сервисов: магазин, партнерская программа, форум поддержки, отзывы пользоветелей, и пусть у нас есть новый алгоритм определения злохакеров по небритой роже в вебкамере. Как и где нам этот алгоритм выкатывать?
Согласно принципу медведя, систему стоит максимально запутать. Чем сложнее понять, как она работает, там больше желание не тратить время, а уйти на сайт конкуретов, у которых системы нет. Громадное количество небритых школьников сразу отсеется. Это хорошо.
С другой стороны, по принципу палева тем, защиту следует устанавливать не везде сразу, а начиная с самых денежных сервисов: с магазина и партнерской программы в нашем случае. Почему? Потому, что если кто-то все таки разберется в нашей методике и догадается, как обойти ее при помощи простой бритвы и мыла, то не станет делиться с другими. Вместо этого он будет тихо сидеть и доить выгодную тему, а другие потерпят. Общая злохакерская активность на сайте упадет, что опять хорошо. Чем прибыльнее тема и запутанней код, тем дольше будет спад. А там, глядишь, и новую защиту придумаем.
Если тема в конце концов просочится в паблик, то можно выкатывать ее и остальных направлениях: на форуме, сервисе отзывов итп. Плохая защита лучше никакой (опять принцип медведя), некоторый процент злодеев она все-таки будет ловить за бороды.
Иллюстрация 1. Злохакер.Вообще, стык безопасности и экономики - почти непаханное поле, изучать и изучать. Но не все сразу.
![[info]](http://l-stat.livejournal.com/img/userinfo.gif?v=92.1){kind=small}
