Bruce Schneier

[redtigra]

Блог Брюса Шнайера, офигительного дядьки, большого секьюрити-эксперта.

(Помимо прочего, его книжка Beyond Fear несколько лет назад подломила мне барьер, и я начала читать по-английски удовольствия И образования для, а то до того было исключительно образование.)

Очень интересное чтиво. И комментаторы у него в большом количестве очень вменяемы. Весьма рекомендую, если вам интерен такой материал. И книжки рекомендую тоже.

Под статьей о том, что новые сканеры, которые предполагается смонтировать в аэропортах, де факто не видят пластиковую взрывчатку и жидкости, один из комментаторов замечает:

Нательные бомбы были абсолютно предсказуемы.
Секьюрити в аэропортах присесть было некогда - они потрошили наши ботинки. Теперь они сосредоточатся на наших подштанниках... пока террористы не переключатся на взрывающиеся импланты.

И статья Шнайера на CNN - Is aviation security mostly for show? Как говорится, must read.

Comments

[greenbat.livejournal.com]

Слушай, а книжка о чем? Митька у меня тут мается в поисках чтива, а я не сильна в англоязычном.

[redtigra.livejournal.com]

О концепциях безопасности - и общих, и детальных. Очень толковый, увлекательно читаемый материал и очень хороший и невычурный язык.
Тут есть review:
http://www.amazon.com/Beyond-Fear-Thinking-Sensibly-Uncertain/dp/0387026207/ref=sr_1_1?ie=UTF8&s=books&qid=1262772623&sr=8-1
Но это review гораздо скучнее читать, чем книгу. Книгу я в метро по-английски читала, не отрываясь, это был первый прецедент у меня.

[santagloria.livejournal.com]

знаешь, я не хочу никого пугать
но все эти меры нацелены в первую очередь на пассажиров.

если устроиться работать в любом аэропорту - то через полгода на взлетной полосе можно собрать танк, просто пронеся внутрь деталь за деталью.

[redtigra.livejournal.com]

так щнайер и пишет о том, что на самом деле и применительно к пассажирам соотношение зрелищность/польза давно перевесило в сторону зрелищности.

но вообще борьба с инсайдерами - это отдельная часть секьюрити-науки, ага.

[santagloria.livejournal.com]

у меня было пол -года назад один раз так - я с утра обычно хожу пить кофе в так называемую аэропортовую "стерильную зону"

и с утра я шла и думала о чем-то очень своем, на автомате улыбалась и здоровалась - и только внутри обнаружила, что легко прошла один досмотр и два кордона полиции - в штатском, без пропуска, вообще просто так.

[redtigra.livejournal.com]

ага. секьюрити в аэропортах в первую очередь реагирует на невербальные признаки. очень упрощенно говоря, эффективность системы с точки зрения безопасности оценивается не тем, сколько безопасных миновало досмотр, а тем, сколько опасных было кордоном отблокировано. уровень твоего автоматизма при задуманном теракте недостижим, примерно так, то есть ты становишься своего рода "фантомом" для условных "радаров". ну то есть все сложнее, но первый уровень именно такой - эмоционально-поведенческий анализ, мгновенное, зачастую подсознательное профилирование. Израильская система безопасности вообще практически полностью построена на профилировании, собственно досмотр личных вещей - очень небольшая составляющая. именно поэтому, кстати, израильская система не применима в Штатах - она не масштабируется особо, а в американских аэропортах другой уровень загрузки.

Шнайер много пишет про аэропорты и полеты - и очень интересно. Ну мне, то есть, интересно.

[santagloria.livejournal.com]

мой уровень вполне достижим мной же.
понимаешь, в чем дело?
представим, мне (или любому другому) сделают предложение, от которого человек будет не в состоянии отказаться.
ну и...

[redtigra.livejournal.com]

тогда ты не забудешь о том, что на тебе нет формы, и показать пропуск не забудешь тоже. Будет другой уровень внутреннего напряжения. Ты не про кофе будешь думать и не про дождик за окном. Lie to Me прикольная штука, но основано-то на реальном человеке, который поведенческой бихевиористикой занимается много лет и очень известен.

именно поэтому секьюрити внутри и снаружи очень разная. и - да, нет стопроцентно надежных систем и не может быть.

[santagloria.livejournal.com]

знаешь, я одно время развлекалась тем, что проходила во всякие непроходимые места, занималась таким пространственным хакерством (от очень закрытых вечеринок до казармы охраны в президентском дворце) - именно на одном кураже и на твердой уверенности что ты идешь туда куда имеешь право.
не поверишь, насколько удачно все получается, как получается держать некую внутреннюю уверенность. если получается ее держать - проходишь почти всегда удачно.

[redtigra.livejournal.com]

да я верю :)

[redtigra.livejournal.com]

а вот и Шнайер сегодня ровно о том же:
http://threatpost.com/en_us/blogs/fixing-security-problem-isnt-always-right-answer-010510

[santagloria.livejournal.com]

просто одно дело когда я развлекаюсь с вечеринками и совершенно другое - когда я на работе вижу дыры размером с небольшого носорога)

[neivid.livejournal.com]

Дело не в наличии или отсутствии внутренней уверенности, вопрос - В ЧЕМ вы при этом уверены. Уверенность "я имею право" не имеет отношения к взрывчатке. Должна быть уверенность "у меня НЕТ взрывчатки". Глубинная уверенность, в подсознании. Эту уверенность, по идее, тоже можно научиться формировать, но для этого нужен очень высокий уровень контроля над подсознанием. Почти духовная практика. Способных на нее не так много, тем более - среди потенциальных смертников. Слишком ценный материал, чтобы пускать его в расход.

Другое дело, что, как правильно сказала Тигра, ни одна система не идеальна. И всегда найдется какая-нибудь щель, куда при желании можно пролезть без всяких духовных практик. Увы.

[santagloria.livejournal.com]

Да, конечно же, чем серьезней и страшнее дело и его последствия - тем сложнее быть (держать себя)в определенном состоянии - и тут я всерьез пугаюсь первый раз - если я, совершенно обыкновенный человек, не обученный специально и не практикующий, просто методом проб и ошибок добилась средненького результата - то какого же тогда результата можно добиться, если обладать способностями и заниматься этим специально?

И ведь при этом совершенно необязательно быть смертником - достаточно пронести вовнутрь.)

вообще же, чем больше я думаю о системах безопасности, тем все больше склоняюсь к выводу, что самая надежная из них - узкий круг, где все знают друг друга в лицо. Это гораздо надежнее любых пропусков, паролей и камер слежения.

[redtigra.livejournal.com]

вообще же, чем больше я думаю о системах безопасности, тем все больше склоняюсь к выводу, что самая надежная из них - узкий круг, где все знают друг друга в лицо. Это гораздо надежнее любых пропусков, паролей и камер слежения.

Строго говоря, Азефа все знали в лицо, но кому это помогло? :)

Если стоит задача функционирования больших систем - например, международных авиаперевозок - понятно, что такая модель просто не будет работать. Она хорошая, но абсолютно не масштабируемая.

То есть решение лежит не здесь, в лоб задача не решается, очевидно. Потому и интересно читать людей, которые заняты профессиональной экспертизой - чтобы понять, как именно она решается и с каким процентом эффективности, и какой ценой. Каков процент жертв терроризма в Римском аэропорту? Как я понимаю, практически никаков. То есть система - на данный момент - эффективна.

Эффективность системы безопасности оценивается не в лоб - возможно ли, задавшись целью, пройти куда-то. Это комплексная оценка. В качестве факторов выступают: потенциальные злоумышленники; потери в случае нарушения системы безопасности; разные уровни рисков и вероятность их проявления, и так далее. В итоге система оценивается по конечному результату.

Постановка цели "достичь стопроцентной надежности" весьма ошибочна и грозит большими затратами и промахами. Системы безопасности в большой степени прикладное занятие по теорверу.

Если это интересно, я очень рекомендую Beyond Fear. Там все рассказано и разложено куда толковей, чем могу это сделать я в комментарии. А читается очень легко.

[redtigra.livejournal.com]

не то, Чтобы увы, а просто так есть. нет задачи сделать стопроцентную защиту, есть задача усложнить злоумышленникам жизнь.

интересно, что в Штатах средневзвешенный шанс попасть в теракт в самолете за последние 10 лет - 1 к 10,408,947. Скажем, шанс получить в маковку молнией в грозу - 1 к 500,000. Забавно, да? Но цифры куда менее эмоциональны, чем упавшие Близнецы, и всем страшно... что, собственно, и есть основная цель террора.

Я начинаю мысленно все чаще возвращаться к мысли о потребности в "Аэмоционалине", разбрызгиваемом с самолетов.. Надеюсь, это пройдет со временем.

[gns-ua.livejournal.com]

Совершенно верно.

Ещё легко проходить досмотр в состоянии тяжелейшего похмелья. Я так однажды вёз передачку, тщательно запакованную. Французский таможенник открыл сумку, достал непрозрачный свёрток, покрутил, положил обратно и отпустил. Потому что на мне однозначно читалось абсолютное равнодушие ко всему, кроме "выйти на свежий воздух и закурить наконец"

[bgmt.livejournal.com]

спасибо!

[redtigra.livejournal.com]

my pleasure!

[angerona.livejournal.com]

yes, I've been reading him for a while. Very informative blog.

[redtigra.livejournal.com]

And his books worth reading as well.

[ygam.livejournal.com]

His books are good too. I was just telling somebody yesterday that I learned cryptography from his Applied Cryptography.

[zhenyok.livejournal.com]

у, классно написано =)
спасибо!

[zloy-homyak.livejournal.com]

ну я как бы и согласен и не согласен с ним. Мне кажется, что вся эта массовая public security расчитана на то, чтобы отпугивать левых. Типа придуренных тинейджеров, вроде того, который слепил "грязную бомбу" в гараже своей мамы. Чиста по принципу 'а ну попробую, вдруг получится'.
Так и с этими. Серьезный терракт подготовить стОит больших денег. Постоянно нервировать по мелочам - совсем небольших. Слышал такое, что пока израильтяне не поставили Стену, гораздо чаще придурки с полкило взрывчатки просачивались. Потому что стОит недорого, психологическое воздействие велико, можно хоть до бесконечности пытаться.

а согласен в том, что перебарщивать не стОит. В попытках создать абсолютную безопасность превращать собственную страну в тотальный контроль, это точно неправильный путь.
Наши уже докатились до того, что обсуждают "голые сканнеры"(понятия не имею, как это по-русски называется), а голландцы в Шиполе их даже кажется уже поставили. Типа того, что - круто, можно увидеть, если кто попытается на теле взрывчатку пронести. Неприятный побочный эффект - видны все нюансы фигуры. Как-то не очень хочется сообщать такие интимные подробности персоналу аэропортов.

[redtigra.livejournal.com]

так он же пишет почти ровно об этом. что задача паблик секьюрити - осложнять жизнь террористам (и отпугивать левых, конечно). Что именно в результате этой секьюрити террорист был вынужден создать ненадежную бомбу с ненадежным детонатором. но пойнт в том, что службы паблик секьюрити на данный момент достигли предела насыщения, и дальнейшее усугубление - это чистый и бессмысленный театр.

проблема сканеров, о которых ты говоришь, в том, что в большом ряде случаев они не видят ни пластит, ни жидкости. то есть совсем бессмысленный пойнт.

А что такое "Стена"? Я там только одну Стену знаю, но ее построили эн тысяч лет тому назад :)

[zloy-homyak.livejournal.com]

ну может я невнимательно прочёл. почему-то сложилось впечатление, что он бы не против вообще всю аеропортовскую секюрити отменить. В плане же предела насыщения я как раз согласен.

насчёт сканнеров - говорят, что всё они видят. В этом-то и проблема. Далеко не всем мужукам хотелось бы, чтоб размер его члена рассматривала какая-то курица из секьюрити. Про баб и вовсе молчу. :-)

нее, другая стена. :-)
которой они от палестинцев отгородились. как оно называется, "забор безопасности"?

[redtigra.livejournal.com]

так в том и подстава, понимаешь, что размер члена видит, а пластиты не всегда. я не лезла в подробности, но вроде тек.
читал, да? британцы скандалят, утверждая, что это дело подпадает под детскую порнографию
вообще, конечно, рехнулись все.