Бумага против сплоитов ;)
filed in О блоге, Статьи, Юмор, обсуждения on Apr.03, 2013
Пропущу вступление, вполне очевидно и так о чем будет этот пост. Тема стала такой “животрепещущей”, что каждый считает своим долгом высказать субъективную и уникальную – свою точку зрения.
Поддавшись воле толпы, напишу и сам. Не претендуя на идеологическую верность позиций, объективность и самое гланое – справедливость.
Итак, история повторяется. Хочется провести некую аналогию современной ИБ с не такой уж далекой физикой. На заре становления любой точной науки (точность ИБ оспорима, но считаю, что такое не очень уместное название ИБ – дается учению о методах поиска ошибок, их эксплуатации и противодействию им, а также их эксплуатации в программном/аппаратном обеспечении) возникает множество мук и терзаний ученых мужей, выливающихся в невиданные теории и эксперименты. Раньше был эфир, флюиды и прочие забытые термины, теперь СТО, кванты и кварки.
На заре становления, теоретическая и экспериментальная науки идут вместе, воплощаясь в руках и умах одних и тех же людей. Затем в силу каких-то объективных причин направления разделяются, люди концентрируются на одном направлении, пытаясь добиваться чего-то, двигать процесс, названный наукой.
Теперь что на местах – “ты всего лишь инженер, Говард” (с). Люди, фактически имеющие должности в отделах ЗИ и ИБ являются инженерами по взятой аналогии. Это совсем не мешает им двигать науку на рабочем месте как теоретики и эксприментаторы, но это НЕ то, за что они получают зарплату. Поэтому верно, считаю, писать в трудовых книжках: “инженер по защите информации”. Важная и почетная работа.
Законодательное регулирование – в этой отрасли без него никуда, но давайте не сгущать краски, у нас (России) еще не самый немецкий случай. По сути, что есть закон о защите перс. данных – аналогия техники безопасности, пожарных, санпидемстации, ТК. Это требования закона к области деятельности – обработке информации. Где связь между физиком, изучающим электромагнетизм и требованиям к укладке кабелей в короба? Законодатели консультируются с инженерами, все.
Все эти рассуждения упираются в одну очень болезненную тему – отсутствие образования по специальности. Нету ВУЗов, которые готовят экспериментаторов и теоретиков в области информационной безопасности (защиты информации, более точно). Нету и программ учебных курсов, которые могли бы достойно применяться, как и нету самого порядка – базовой классификации, той самой теории, которая так сейчас нужна. Классифицировать бы все векторы атак по областям – так еще бы десяток вектором стал очевиден, при вщгляде на общую картину свысока, – некому.
На прощание, попробую высказать основные, имхо, причины нападков со стороны экспериментаторов к теоретикам (бумажникам):
- - занимаются не тем: вместо того, чтобы классифицировать и писать концепты, играют на чувствах молодой науки и разводят людей на свои ненужные услуги. А между тем, OWASP, WASC, CWE остро нуждаются в их помощи
- - инженеры выдают себя за теоретиков
- - демогоги выдают себя за инженеров и теоретиков
- - продают ненужные услуги
- - обсуждают законы и их интепретации
- - задача инженеров, им эти требования соблюдать