Финансы и безопасность: вместе до конца...

[Жолудь 0]

Финансы и безопасность: вместе до конца...

Финансовая сфера промышленности своим нынешним уровнем развития во многом обязана компьютерной промышленности в целом и отрасли криптографии в частности. Довольно затруднительно представить современный финансовый оборот и доступность денежных средств без всяких-разных существующих пользовательских устройств, приложений и гаджетов с одной стороны, и средств программного обеспечения безопасности и достоверности финансовых потоков с другой. При этом, острое нежелание финансистов, расцениваемое ими как невозможность, отказаться от преимуществ и выгод, предоставляемых разнообразными электронно-вычислительными устройствами при использовании алгоритмов криптографии, приводит к устойчивому игнорированию и замалчиванию ряда существенных факторов, могущих привести к серьёзному ущербу всей финансово-экономической системы.

Разработчики систем шифрования открытым ключом и систем электронной подписи упорно продолжают подменять понятия «вычислительная сложность» и «сложность работы с большими числами». Сложность сложения между собой двух, например, 700-значных чисел не делает собственно сложение вычислительно сложным. Вероятно, по этой причине произошло смещение приоритетов построения криптографических алгоритмов от разложения на множители к дискретному логарифмированию. Что подтверждает осознанность и преднамеренность введения пользователей в заблуждение разработчиками. Ведь при помощи распространённых офисных приложений можно достаточно легко выполнять разнообразные вычислительные действия над числами размером 850 и более знаков. И хоть и считается, что не существует субэкспоненциального алгоритма для проблемы дискретного логарифма в группе точек эллиптической кривой, но, почему-то, настойчиво игнорируется тот факт, что компьютеры давно не являются малодоступной редкостью. Очень странно ожидать, что задача, решение которой можно распределить на несколько тысяч компьютеров, будет выполняться на одном. Сервер одной из популярных он-лайн игр успешно координирует взаимодействие более 15000 игроков, значит, одновременно не менее полтора десятка тысяч компьютеров могут заниматься взломом конкретного алгоритма, выполняя каждый свой участок вычислений. А ограничения, накладываемые на алгоритм шифрования для пригодности его к практическому применению, делают процесс взлома ещё проще, сужая рамки возможных значений ключей и коэффициентов.

Отдельным группам недоброжелателей и вовсе нет необходимости производить какие-либо вычислительные действия для доступа к интересующим данным и средствам. Описывать или перечислять все возможные направления и способы получения данных и средств без ведома владельца у меня нет ни возможности, ни желания. О них достаточно много пишут и с ними относительно успешно борются. Отмечу проблему, по которой не встречал статей или предметных решений, кроме обмена мнениями пользователей одного весьма любопытного девайса в теме на форуме 4PDA. Разработана, изготовлена, распродана и используется населением как минимум одна серия 7-ми дюймовых планшетов не самого известного производителя, на которых установлена изготовителем несколько специфическая версия ОС Андроид. Не знаю весь скрытый функционал этой подверсии операционной системы, но в ядре имеются системные файлы и приложения, полноправно и целенаправленно работающие против пользователя. Их приоритет выше всех антивирусов и ограничений установленных приложений-администраторов – они законная и необходимая часть ядра ОС Андроид. Не буду фантазировать, что и куда, минуя счётчики трафика, блокировки и антивирусы, они могут отправлять через интернет. Как пользователь описываемого планшета, доказать могу только то, что часть ядра ОС через плей маркет: самовольно устанавливает приложение-администратора, перезагружает планшет, забирает рут-права, прописывает дополнительные системные приложения и устанавливает множество «своих» приложений. Однозначно прослеживается контроль и обратная связь со стороны авторов данного блока ядра операционной системы, так как агрессия совершенствуется. Если в 2015 году проблема решилась жестким сбросом на заводские настройки, то после периода затишья и корректной работы, в 2016-м, данная возможность была уже заблокирована, и нажатие необходимой комбинации кнопок не даёт ожидаемого результата, равно как и антивирусы, запрет установки сторонних приложений и блокировка гугл-аккаунта. Примечательно, что при полном контроле устройства приложением-зловредом, монитор и кнопки полностью не блокируются и пользователь имеет возможность совершать попытки вернуть себе контроль над планшетом. Происходящее очень похоже на тестирование и отладку уязвимостей вредоносного приложения со стороны разработчика при периодической демонстрации своих возможностей. Отдельно обращу внимание: если вредоносная начинка будет заниматься сбором, контролем, пересылкой информации не мешая пользователю, то никто об этом и не узнает, что полностью компрометирует всю ОС Андроид.

Учитывая не только наличие уязвимостей ядра ОС Виндовс, но и факт уязвимости БИОСа различных производителей, складывается печальная тенденция.

Хотелось бы быть услышанным не только из авторского тщеславия, а чтобы привлечь внимание заинтересованных  лиц с целью изменения складывающейся ситуации. Не хотелось бы, чтобы конец современных финансов от безопасности был таким обозримым.

[Mrak 2 171]

 

 

с целью изменения складывающейся ситуации

Для того, чтобы изменить ситуацию в рамках антивирусного обеспечения (вы ведь написали на специализированном ресурсе), необходимо решить в первую очередь эту проблему:

 

Их приоритет выше всех антивирусов и ограничений установленных приложений-администраторов – они законная и необходимая часть ядра ОС Андроид

Как вы полагаете, технически зависит ли от ЛК приоритет, например, KIS над частью ядра самой ОС?

[Жолудь 0]

Давайте исходить из того, что у меня нет ответов на озвученные проблемы. Ни по криптографии, ни по "железу". Если бы они были, я бы их озвучил в статье. Возможно, нужны комплексные решения, объединяющие несколько направлений.

 

 

вы ведь написали на специализированном ресурсе

Данный ресурс привлёк как раз именно тем, что здесь "пересекаются" специалисты разных направлений и профилей. Как говорится: признание проблемы - первый шаг к её решению. Пока нет вопроса, не будет и ответа.

 

 

Как вы полагаете, технически зависит ли от ЛК приоритет, например, KIS над частью ядра самой ОС?

Полагаю, на данный момент, правильный ответ на Ваш вопрос "нет". Но, простите, я сейчас угадываю на основании своих наблюдений. Считаю сам вопрос приоритетов некорректным. Интересы пользователя должны обладать высшим приоритетом. И это, очевидно, критически трудно выполнимо. Не рискну озвучивать технические предложения.

Не успел закончить: трансляция парада начался. Не мог пропустить.

Я понимаю, что определение приоритетов исполнения команд необходима для корректной работы компьютера. И определённая "самостоятельность" электронно-вычислительной системы необходима для того, чтобы люди стали пользователями. Пока ЭВМ были доступны только целевым специалистам, в этом не было необходимости, а для того, чтобы такой обыватель как я смог выложить данный текст на этом форуме, необходим помощник. Проще всего - если в виде программного обеспечения. Но очевидно, что монетизация процесса вызвала смещение приоритетов производителей, которые ради сиюминутной выгоды затягивают себе петлю на шее и танцуют на табурете, образно говоря. Обеспечение безопасности - это не только антивирус, это комплекс мероприятий и средств. И часть из них должна иметь достаточную защиту и независимость, от ОС и недобросовестных разработчиков, в том числе.

[Kapral 1 488]

 

 

Считаю сам вопрос приоритетов некорректным. Интересы пользователя должны обладать высшим приоритетом

Скажите

Если интересы пользователей будут (грубо говоря) требовать 1000 человеко-часов работы, а в наличии 5 человек

то в каком порядке удовлетворять эти интересесы?

1000 ч/ч / 5 человек это по 200 часов на каждого

200 часов по 8 часов работы в сутки это 25 рабочих суток (фактически больше месяца)

Простое увеличение числа людей не выход ибо увеличится стоимость продукта

[Жолудь 0]

@Kapral, адекватный ответ на Ваш вопрос займёт много времени и места. Да и вариантов ответов достаточно много. С одной стороны, налицо критически некорректное управление рабочим процессом и коллективом: необходимо составить планограммы выполняемых работ, сроки выполнения и отчётов... С другой - проблемы нет: просто продолжать удовлетворять запросы по мере поступления, если потребуется больше месяца на их исполнение - пусть так и будет. Это на вскидку, не вдаваясь в подробности. Но моя статья не по тайм-менеджменту и управлению. Проконсультировать мог бы, опыт руководящей работы есть, но лучше воспользоваться услугами профессиональных тренеров-консультантов. В любом случае: может быть недостаточно времени для качественного выполнения работы, но всегда есть достаточно времени для её переделки (один из Законов Мёрфи, кажется).

Для любой отрасли сферы оказания услуг, в том числе и для обеспечения кибер-безопасности, единственный приоритет: качественное предоставление услуги клиенту.

 

Если интересы пользователей будут (грубо говоря) требовать 1000 человеко-часов работы, а в наличии 5 человек то в каком порядке удовлетворять эти интересесы?

Но ведь... "интересы пользователей" - это единственная работа, которую выполняют эти 5 человек, и выбора здесь нет ни какого. Они или выполняют свою работу, либо увольняются и идут заниматься чем-либо другим. В идеале. В том идеале, в котором данная моя статья не могла бы быть написана. В таком идеале, где авторы систем шифрования не занимаются подменой понятий для маркетингового продвижения продукта и сообщают клиентам когда уровень всеобщей компьютеризации начинает быть критически опасным и требует новых решений, где разработчики не встраивают в ядро ОС бэкдор'ы и администраторы-вредоносы... Это очень-очень похоже на мошенничество, введение в заблуждение и злоупотребление, но не мне выносить такие приговоры.

Надёжный продукт требует ответственности. Если я получаю рут-права на планшете, и вношу топорные изменения в систему, то я готов к последствиям. Ведь мне, как пользователю, хочется пользоваться тем, за что я честно заплатил, а не выслушивать демагогию почему я не могу этого сделать. Пусть даже пользоваться с некоторыми возможными ограничениями, но за полгода работы планшета в таких условиях неудобств не возникло. Если антивирус не борется с вирусами, то я его удаляю и ищу другой, или способ обходиться без них вообще. Если система криптографии не обеспечивает безопасного движения средств - я делаю то же самое. Заплатить немного дороже за рабочий качественный продукт всегда лучше и дешевле, чем потерять весь возможный бюджет. Но нет предложения подобных программных продуктов, что, собственно, и привело к написанию вышеизложенной статьи.

[Kapral 1 488]

 

 

Они или выполняют свою работу, либо увольняются и идут заниматься чем-либо другим.

Я понимаю так что вас постоянно увольняют, ибо вы не способны понимать то о чем вам говорят

Лично я вижу что вы на производстве никогда не работали. Ибо не знаете что существует такое понятие как "приоритет задачи". или вы из того начальства которое из всех способов решения проблем с автомобилей знает только 2 - увольнение водителя и расчет механика (С)

Я не спрашивал вас о том хотят ли эти 5 человек что-то делать, я спаривал вас о том как распределить их время руководству этих 5 людей, но вы понесли такую пургу ....

 

Например

 

 

"интересы пользователей" - это единственная работа, которую выполняют эти 5 челове

Они не занимаются "интересами пользователей", они занимаются улучшением продукта (причем может быть даже в ущерб интересу какого то пользователя, которому не важно что не работает основной функционал, зато у него истерика что он не может поменять фоновое изображение)

[Жолудь 0]

 

 

Я не спрашивал вас о том хотят ли эти 5 человек что-то делать, я спаривал вас о том как распределить их время руководству этих 5 людей

Вы этого не спрашивали.

Дано:

 

 

интересы пользователей

объёмом (грубо говоря):

 

 

1000 человеко-часов

имеется:

 

 

5 человек

Требуется найти:

 

 

в каком порядке удовлетворять эти интересесы?

У вас нет ни какой связи между "дано" и "найти" в этой задаче. И, соответственно, совершенно не понятно, чем вас печалит полученный результат математических действий в размере 200 рабочих часов на одного землекопа. Впрочем, связь между поставленным вопросом о порядке удовлетворения запросов и выполненными вычислениями тоже отсутствует. Логику действий таблицей умножения не заменишь. 

Каков вопрос - таков ответ. Ответ, возможно, и пурга, но только потому что вопрос - метель ещё та.

Нет данных по квалификации и специализации работников. Отсутствует информация о количестве и размере запросов в этой условной "1000 человеко-часов" и о соответствии этих запросов квалификации работников, очерёдность поступления запросов и их критичность для "продукта"...

И ещё. Никак не стыкуются два ваших утверждения. Это:

 

 

Если интересы пользователей будут (грубо говоря) требовать 1000 человеко-часов работы, а в наличии 5 человек то в каком порядке удовлетворять эти интересесы?

и это:

 

 

Они не занимаются "интересами пользователей", они занимаются улучшением продукта

Если вы сами не можете сформулировать кто чем у вас должен заниматься, то мне-то откуда это угадать? Рассмотрите вариант пригласить кризис-менеджера или профессионального тренера-консультанта по тайм-менеджменту.

[Kapral 1 488]

 

 

Отсутствует информация о количестве и размере запросов в этой условной "1000 человеко-часов" и о соответствии этих запросов квалификации работников, очерёдность поступления запросов и их критичность для "продукта"...

Хух

Считайте что квалификация работников одинакова

 

А по поводу критичности и порядка поступлений это должный определять не те кто устраняет эти проблемы а другие люди

 

 

 

Если вы сами не можете сформулировать кто чем у вас должен заниматься, то мне-то откуда это угадать?

Тем же концом по тому же же месту (С) :)

Если вы не можете сформулировать что вы хотите у нас узнать

 

 

Но, простите, я сейчас угадываю на основании своих наблюдений.

Ни даже с ресурсом

 

 

Данный ресурс привлёк как раз именно тем, что здесь "пересекаются" специалисты разных направлений и профилей

Что вы хотите от нас услышать?

Вот и приходится задавать вам наводящие вопросы что бы вы определились

[Жолудь 0]

 

 

Что вы хотите от нас услышать?

Ни лично у вас, ни у форумчан в общем, я ничего не спрашиваю. На старте этой темы моя небольшая статья, не содержащая вопросительных знаков. Я сам позиционирую её как статью-предостережение, но никак не статью-вопрос.

 

Ни даже с ресурсом

Сожалею, если моё появление на данном ресурсе вы расценили как личное обращение персонально к вам. Это не так.

Форум фан-клуба Лаборатории Касперского привлёк тем, что содержание статьи соответствует направлению работы Лаборатории - кибер-безопасность. На форуме, кроме сотрудников ЛК, присутствуют представители айти-индустрии различных направлений и специализаций, которым предоставленная мной характеристика ситуации могла бы быть если не полезной, то, хотя бы, интересной. Поэтому и выбрал не узко-тематический раздел, а "Общение на свободные темы" подраздел "Обсуждение компьютерных технологий".

И да: вынужден отказаться от попыток решить вашу, несомненно, интересную задачку. Признаю свою неспособность предугадать непрерывное появление всё новых данных и их трактовок.

[Kapral 1 488]

 

 

Сожалею, если моё появление на данном ресурсе вы расценили как личное обращение персонально к вам. Это не так.

А где написано что я так решил? )))

Это не основная ваша ошибка правда и не самая незначительная

 

 

 

Форум фан-клуба Лаборатории Касперского привлёк тем

Думаю что ЖЖ был бы лучше

Конечно не столь критичная ошибка, как остальные

 

 

 

И да: вынужден отказаться от попыток решить вашу, несомненно, интересную задачку. Признаю свою неспособность предугадать непрерывное появление всё новых данных и их трактовок.

Лучше бы вы отказались по этой причине делать такие смелые заявления, в стиле "все сотрудники должны думать только о удовлетворении потребностей клиентов"

А вот это ваша основная ошибка и плюс к ней то что вы пытаетесь говорить о том что не совсем понимаете в таком тоне:

 

 

которым предоставленная мной характеристика ситуации могла бы быть если не полезной, то, хотя бы, интересной.

 

Обсуждаю ваш вопрос как ЦА, чисто как системный администратор, которому постоянно приходится иметь дело с излишними запросами пользователей, в т.ч. и выслушивать пожелания в силе "я хочу пройти через эту бетонную стену прямо в этом месте, и мне плевать что в метре слева есть проход" (или как последнее пожелание: Я хочу что бы прямо счас отсканировали документ и мне плевать на то что вся контора сидит и ждет когда вы запустите 1С)

[Жолудь 0]

 

 

А где написано что я так решил? )))

Спасибо, сняли бремя с моей совести, теперь я совершенно спокоен и не сожалею.

 

 

Думаю что ЖЖ был бы лучше

Не присутствую на указанном ресурсе и не знаком с его функционалом. Если считаете целесообразным, то можете на своём аккаунте, если он у вас там есть, разместить мою статью, которая расположена в самом начале этой темы (с указанием авторства), или ссылку на неё. Если не считаете целесообразным, или у вас нет в ЖЖ аккаунта - не размещайте. Если вы не читали статью, которая расположена в самом начале этой темы (сообщение #1 https://forum.kasperskyclub.ru/index.php?showtopic=55488&do=findComment&comment=813786),то ничего делать не надо.

[Kapral 1 488]

 

 

то можете на своём аккаунте, если он у вас там есть, разместить мою статью

Есть аккаунт, но с ней (статьей) я не согласен

 

 

 

Если вы не читали статью, которая расположена в самом начале этой темы (сообщение #1 https://forum.kasper...8#entry813786),тоничего делать не надо.

Если вы таки не заметили )))
То я цитирую не только остальные ваши посты но и эту статью

[Жолудь 0]

 

 

с ней (статьей) я не согласен

Дайте, пожалуйста, цитаты того из моей статьи, с чем вы не согласны. Тогда я смогу её исправить.

[Kapral 1 488]

 

 

Дайте, пожалуйста, цитаты того из моей статьи, с чем вы не согласны

Еще раз? )))

Пост №4 - https://forum.kasperskyclub.ru/index.php?showtopic=55488&do=findComment&comment=814058

Я понимаю что цитата не из самом статьи, но все же

С частью положений я согласен, с частью нет (но эта часть когда одному нравится шоколадное мороженое, другому с малиновым вкусом), с частью категорически не согласен

Тем более у меня свободного времени скоро не будет, поэтому писать если и буду то ближе к осени

 

В принципе я спорить не буду, хотите иметь её в таком виде и разместить именно тут - да без проблем

[Жолудь 0]

 

 

Тем более у меня свободного времени скоро не будет, поэтому писать если и буду то ближе к осени

 

В принципе я спорить не буду, хотите иметь её в таком виде и разместить именно тут - да без проблем

Я не спешу, когда напишите - тогда и хорошо. Любое высказанное мнение расширяет мой кругозор и позволяет взглянуть на проблему под другим углом и увидеть или понять то, чего я не замечал. Если вы сбросите мне цитаты мест из статьи, с которыми вы категорически не согласны, даже без пояснений почему, просто по-факту, мне будет что обдумать.