Безопасность - отстой! Я знаю. Все эти аутентификации, авторизации, аудита чертовски скучны. Сам ненавижу. Я бы предпочел уйти в мир, где все люди уважают друг друга, без зависти, без ненависти, без воровства, без преступлений.
Но у нас есть только наш сумасшедший мир, в котором мы тратим огромное количество ресурсов на то, чтобы не делать ничего полезного, кроме как держать сейф запертым. Например, шифрование HDD стоит вдвое больше, чем сам HDD. Но это ничто по сравнению со временем и усилиями, которые человечество тратит на системы безопасности и на противоположную сторону, пытаясь взломать бесполезную неразрывную петлю. Мы предпочли бы вместо этого реализовать кучу новых функций, которые на самом деле делают жизнь людей лучше - то, что я думал, но почему-то тема безопасности преследует меня всю мою карьеру ... и с этого начинается моя история.
Вначале ничего не было
Я так стар, что работал с настоящими телеграфами. Моя первая настоящая работа была техником метеорологического управления Харьковского аэропорта. Я работал с двумя закрытыми международными сетями AFTN и WMO GTS.
В аэропорту на входе был скучающий охранник, но внутри можно было делать все, что угодно, получая и получая любые сообщения. Физические каналы тоже не были зашифрованы, «человек посередине» мог все что угодно. Любой уборщик мог отправить любые заказы, задержать самолет, закрыть аэропорт, перенаправить рейс в самый разгар шторма. Оглядываясь назад, я удивляюсь, что самое худшее, что случилось, - это люди, отправившие друг другу шутливые шутки и поздравительные открытки.
А потом самолет разбился под Донецком.
Все были в шоке, особенно потому, что причиной стали гроза и удар молнии. Очевидно, мой метеорологический отдел был в центре расследования. Это было напряженно, болезненно и смертельно серьезно. Больше никаких шуток. Мы не смогли точно определить, было ли штормовое предупреждение, кто его написал, кто отправил и когда. Оказывается, в конце концов, метеорологический департамент выпустил и вовремя доставил пилоту правильное штормовое предупреждение, это было решение пилота рискнуть, сэкономить немного топлива и получить бонус.
Но это заставило меня немного параноидально относиться к аутентификации . Вы просто не можете остановить людей от глупых и разрушаемых вещей. Вы никогда не знаете, насколько сильно вас поразит отсутствие безопасности.
Затем я присоединился к частной компании с миссией перестроить всю Метеосеть Украины, сделать ее современной и безопасной. Мы добились больших успехов в этом направлении, мы развернули 26 региональных серверов и более 200 рабочих станций по всей Украине.
Но была проблема: нашим основным заказчиком было государственное учреждение, поэтому они были настолько регулируемы местными законами и законами ВМО, что было практически невозможно изменить что-либо, кроме оборудования. Вместо телеграфов мы использовали компьютеры с модемами, но без какой-либо аутентификации. Мы очень старались убедить людей использовать хотя бы индивидуальные учетные записи и пароли, но старый рабочий процесс и правила телеграфного времени остались неизменными. Местные системные администраторы были в основном молодыми студентами, неопытными, не имеющими полномочий или влияния и не всегда склонными к сотрудничеству. Все использовали один и тот же общий пароль, буквально написанный на стикерах, отправляя пароли с открытым текстом в электронных письмах и т. Д.
Конечно, нас много раз взламывали. К счастью, только роботы, черви и скучающие студенты, но несколько раз разгневанный системный администратор разрушал весь региональный дата-центр. Веселые времена!
Я многому научился там на горьком опыте. Мы сделали все возможные ошибки, прежде чем уладить большинство аспектов безопасности. Но главный урок заключался в следующем.
Изменить существующую модель безопасности чрезвычайно сложно и очень политично, вам нужна очень сильная политическая поддержка на самом верху. Но все все равно вас будут ненавидеть, поэтому Сделай правильно с первого раза!
Продолжение следует…
