от Nick Angelow(12-11-2004)

рейтинг (16)   [ добре ]  [ зле ]

Printer Friendly Вариант за отпечатване

ПАРАНОИЧНИ БЪЛНУВАНИЯ

или още няколко мисли за вредата от комерсиалните формати

http://unix.ginras.ru/oway/019.html

Владимир Новиков



Прието е да се смята, че птиците са произлезли от динозаврите, а човек – от маймуната. Като че ли това даже е окончателно и необратимо доказано1. Няма да твърдя обратното и да се опитвам да откривам нови хоризонти пред науката, макар че и досега съм абсолютно убеден, че хората и свраките имат общ предшественик, при това не толкова отдавна. Ние винаги обожаваме всичко ново и лъскаво, не сме глупаци да не задигнем всичко, което лежи зарязано, а и глупостта понякога така изгаря (последното не се отнася за свраките, тъй като при тях, в света на животните, глупаците не оцеляват дълго).

Доказателства? На вас още са ви нужни доказателства? Харесвате ли Мерцедес? А жена ви – диаманти? Сигурно имате инсталиран Microsoft Office XP 2004 SuperMega PRO hi-eng Developer with 1000000 free add-ons от площад „Славейков“? Не отричайте, все едно никой няма да ви повярва. Напоследък, той е инсталиран навсякъде2. И където и да погледнеш, навсякъде ще видиш 3DStudioMAX, Adobe Photoshop CS, Adobe Premiere и други не съвсем евтини (не на площад „Славейков“ естествено) приложения, предназначението на които дадената сврака посмъртно няма да може да обясни. Защо така? Не отговаряйте е казал поета. Авантата и вродената алчност вършат своето черно дело, за радост на аналитиците от Microsoft Corporation.

Научно доказвайки :-), че човешкият род е алчен по подразбиране, преминаваме към неговата глупост. Всички знаят, разбира се, известният виц за девойката от техническата служба за поддръжка на някакъв производител на компютри, която измъчвала клиент, позвънил по повод изгоряло захранване, за съобщението, което Windows в този момент е показал на екрана на същия този компютър. Чувайки от побеснелият от подобна тъпотия клиент всички подобаващи за случая подробности на тема вход и изход, девойката се разсърдила и заявила, че корпоративната инструкция забранява оказването на помощ на такива „шегаджии“, които даже не могат да прочетат от екрана съобщението за грешка3. Както се казва – без коментар.

А на мой приятел се наложи преди известно време да се сблъска с глупост от съвсем друг вид. Откраднаха му портфейла, в който, както е нормално, се намирали всички негови документи. Ето такава неприятност. Отишъл в милицията да подаде жалба и там му казват: „Добре, драги господине, опишете в жалбата всички номера на документите, къде и от кого са издадени, че иначе няма да ви приемем жалбата“. Те така решили. Идва ми да попитам – този подход да ви напомня на нещо?4. А момъка едва не получава удар, тъй като никога не е помнил номерата на документите, а това от кого и кога са издадени – от още по-отдавна. Добре, че служителите на реда съобразили, че си слагат таралеж в гащите и приели жалбата на човека.

Тъй като по същото време, ловките пръсти на джебчиите лишиха автора на тези редове от клетъчния му телефон, това стана повод да се помисли за организация на защита на личните данни, тъй като да се изключи повтарянето на подобно събитие в бъдеще, е най-малко наивно. Нека пресметнем колко различни документи се намират в портфейла на „хомо постсовиетикус“5. Започваме с личната карта, с талона на автомобила, шофьорската книжка и в отделни случаи – военна книжка, студентска книжка, читателска карта за библиотека (и то не една), кредитна карта (или карти), карти за отстъпка в най-различни места – от модерен в момента ресторант до сауна с девойки ... А като добавка трябва да помниш имена и пароли в такова количество, че скоро главата ти съвсем ще се пръсне. При което, наличието на номера действително ускорява този процес. А получавайки достъп до вашите имена и пароли за достъп, злосторникът може, криейки се зад вашето има, да сътвори доста неща.

Ето как стигаме до разглеждането на програмите, известни като password managers. Надявам се, че след прочитането на тази статия ще разберете защо изобщо не трябва да използвате такива програми.

Търсенето в Google позволява да намерим десетки, ако не и стотици подобни програми, по-голямата част от които са за операционната система Windows, но не са пропуснати и потребителите на Mac, Palm и други джобни компютри6, при това на напълно умерени цени – от 10 до 150$. Четем описанието на програмите и разбираме, защо животът ни е толкова пропаднал – защото все още не сме станали активни употребители на такива програми.

... само че в същият този Google може да прочетем записките на бивши употребители на такива програми, посочващи множеството неудобства и провали в работата им, в резултат на което може да се лишите от цялата (си) база данни. Доста своеобразен резултат от работата на програми, на които доверяваш строго лична информация. Освен това, някои програми приличат на швейцарско сирене с многото дупки в сигурността. Например, една от тях много добре криптира базата с данни, при което главната парола 7 се записва едва ли не с чист текст в един от конфигурационните файлове, позволявайки по този начин бързо разбиване на цялата програма. И накрая, всички тези програми са комерсиални, и съответно притежават всички недостатъци на този род софтуер.

Работата е в това, че използването от тези програми на едни и същи алгоритми за криптиране на данните, изобщо не означава че е възможно лесното пренасяне на данни от една система към друга. По-скоро обратното – всичко е направено по начин, който да не поощрява потребителя да премине към конкурента. Добре, нека си представим следната ситуация. През 2004 г. вие избирате зашеметяващата програма KingCrypt 7.1, за което единодушно ви съветват всички околокомпютърни сайтове и списания. Въвели сте вашите данни и се чувствате спокойни. Разбира се, копие от криптираната база данни лежи в някое скътано място, а и не е имало нужда от тях. Никой не е откраднал документите ви, навсякъде сте отговаряли утвърдително на въпроса „Да запомня ли паролата?“ и така всичко си върви нормално. Накъде през 2008 година решавате да преминете към нова версия на Windows, след което става ясно, че след обновяването KingCrypt 7.1 вече не работи. Добре, отиваме да търсим нова версия и откриваме, че фирмата, създала програмата повече не съществува. С помощта на познати гурута изяснявате, че този боклук вече не се използва от никого, тъй като съществува QueenCrypt 2.0, която е по-добра и от което не ви става по-леко. Инсталирате отново старата версия на Windows, търсите в архивите инсталационните файлове и с ужас разбирате, че не можете да отпечатате базата. Можете само да я препишете.

Какво може да направим, за да не се случват такива катастрофи? Отговорът е да използваме толкова скъпия на автора на този сайт unix подход. Нека помислим, не може ли да решим проблема с няколко малки и свободни програми? Правилният отговор е – да, можем!

Най-напред, най-лесно8 е цялата тази информация да съхраняваме в обикновен текстов файл. Може смело да предположим, че файл с разширение .txt и след 50 години спокойно ще се отваря във всяка съществуваща тогава операционна система. Освен това, ще можете да въвеждате не само тези данни, които производителят на програмата е решил, че са необходими за съхраняването на паролите (например URL, login, password ... и само тях), а всякакви данни, които вие прецените за необходими. И накрая, за преглед на файла или за въвеждане на информация в него може да се използва такова количество текстови редактори, че просто няма никаква възможност за тяхното изброяване.

Разбира се, че този файл трябва да бъде криптиран. Може да се възползваме от услугите на GnuPG, тъй като тя не е особено трудна за използване. Ако все пак и тя е сложна за употреба, то ви предлагам друга свободна и безплатна програма, конзолни версии на която, както и графичен интерфейс като за новаци, има за всички основни операционни системи. Това е програмата ccrypt. Избирате файл, присвоявате му някаква сложна парола от типа tuk_bez_polowin_litur_njama_nachin_da_stane и ще сте на върха на щастието. Криптираният файл може да се запише на компактдиск, да се съхранява на USB Flash памет и изобщо ...

Освен това, нека не забравяме за мимикрията и камуфлажа. Нека си представим, че някой злосторник е получил достатъчно продължителен достъп до вашия компютър. Ако той намери в директорията Applications програмата KingCrypt 7.1, веднага ще разбере какво може да намери, а с малко търсене и как да го разбие. Даже, ако не успее да го разбие веднага, той може просто да копира криптираната база данни с пароли и да опита още един път на спокойствие. Нека сега си представим, че той намери в същата тази директория файл libmail3.8.5.или mySQL_user_guide_fr.pdf. Шанса да не им обърне внимание е доста голям, а ако щракне с мишката върху тях, той ще получи съобщение за грешка и вероятността да приеме, че файла е повреден при изтеглянето му от мрежата също не е малка. И това е всичко, стига да не забравите вие самият къде сте поставили всичко това ;-).

И вместо заключение – един съвет. Когато приятелите ви показват поредната програма, която в момента е по-по-най, просто помислете дали и в този случай не трябва да приложите unix подхода.


превод: Николай Ангелов

© София, ноември 2004

1 като геолог, имащ петица в университета по палеонтология на гръбначните мога да свидетелствам, че с маймуната и човека въпросът е спорен – някои хора смятат, че са произлезли от бога; а птиците не са произлезли точно от динозаврите – само са имали общи предшественици с тях, при това много отдавна – (А.Ф.)

2 Office, Office имам предвид – и нищо друго не сме си помислили – (А.Ф.)

3 А девойката е наш човек – ако не можеш да прочетеш съобщението на Windows без да включиш захранването, няма какво да се занимаваш с Windows – преминавай на Unix – (А.Ф.).

4 А на мен ми идва в главата - „незабавно съобщете на разработчика – (А.Ф).

5 Аз бих допълнил – и не само в неговият – (Н.А.).

6 В специализираната литература често се използват и термините Pocket PC, PDA, Palmtop, Handheld PC, за описание на наистина голямото разнообразие от тези устройства – (Н.А.).

7 aka master password – (Н.А.).

8 Или най-просто – (Н.А.).



<< The best things in life are free: Mozilla Firefox | OpenFest 2004 - летвата се вдигна >>