Горе-проектировщики и грабли

[iskatel]

Раз за разом тупые быдло-проектировщики создают системы управления с близкой к нулю защищённостью. Получая за создание оных немалые деньги. А по-хорошему надо бы сажать не только умного хулигана, а (в 1-ю очередь) преступно-тупых проектировщиков. Система должна изначально создаваться с учетом требований безопасности, и эта безопасность не должна базироваться на секретности самого принципа (схемы) работы системы, а только на защищенных каналах управления и ключах. Старый и мудрый принцип, на который по сей день многие плюют.
Польский вундеркинд с помощью самодельного инфракрасного пульта дистанционного управления взломал систему управления транспортом в родном городе. Именно по его вине, как полагает полиция, с рельс сошли четыре трамвая, и десятки пассажиров получили легкие ранения...Мирослав Микор, пресс-секретарь местной полиции, объяснил, как ребенку удалось столь необычное преступление: "Он долго изучал трамваи и пути, затем собрал устройство, внешне похожее на пульт от телевизора, и использовал его для управления трамваями и стрелками"
"Истоиии свойственно повторяться. Парень собрал Chrome Box.
Это устройство могло управлять светофорами, задействованными в системе OptiCom. С помощью этой системы пожарники, скорая помощь и менты включали себе на светофорах зеленый цвет, когда спешили по делам за пивом. Сама система была строго засекречена. Но нет такой системы, которую нельзя взломать! Chrome Box можно было собрать буквально на коленке из старого пульта от телевизора, так как управлялись светофоры инфракрасными лучами. С помощью маленькой коробочки можно было устроить себе настоящий праздник: включать зеленый цвет по пути следования, а всем остальным машинам врубать красный."

отсюда

Comments

[veider.livejournal.com]

Вообще конечно кусочек безопасника во мне сейчас плачет и рыдает, но...
В момент разработки любой системы существует стоимость проекта. Допустим мы кладем на програмистов и считаем что они кодят за еду. Тогда возникает вопрос технологии на которой реализовывать. Когда разрабатывались эти замечательные системы с инфракрасным управлением? Кто тогда думал о том что через 20 лет инфракрасные передатчики будет доступны 14 летним детям? Ну нельзя предусматривать всё при разработке системы - а вдруг метеорит упадет и единственный выживший человек не сможет поуправлять трамвайной стрелкой?

[iskatel.livejournal.com]

Да какой там метеорит.. 20 лет назад _уже были и взломы, и контроллеры для создания защищенных систем. Разработчики были обязаны про это думать.
Другое дело, что программеры может и имели мизер, тк. все разворовали манагеры, а уж им глубоко пофиг, насколько защищенной получится система в результате.

[veider.livejournal.com]

Вот в этом отчасти и заключается бесконечный спор секурити и Продукт Манагмента. Дело в том что продается продукт и по большей части функционал этого продукта, а не его секурити. Дело в том что разрабатывать продукт штука довольно не тривиальная и руководствоваться "требованиями безопасности" не всегда можно. Конечно если тебе как девелоперу надо сделать s/['"\]//g то проблемы нет и ты можешь взять на себя ответственность за это.. А если тебе надо решить делать управление IR или воспользоваться МегасекурнойСуперНавороченнойАццкиНовой технологией тебе надо как-то оправдать это перед менеджентом (да именно так потому что менеджмент платит тебе деньги, а не наоборот. ты ведь сам не продаешь свои секурити решения?) И вот ты приходишь к менеджменту и говоришь наше решение не секурно (это бесспорно минус и ни один манагер не скажет тебе что это плюс). Дальше ты говоришь - я имею мнение что МСНАН спасет нас. Тебе говорят - замечательно, это очень хорошо, а деньги? В принципе если менеджмент грамотный и воспитанный тебе скажут - IR решения дешевы в связи с легкой доступностью элементов (а нам надо оборудовать весь город и выдать каждой патрульной машине по пульту управления + spares), технология IR управления давно отлажена, есть написанные/сертифицированные SDK и программисты умеющие с ней работать. Ты-же предлагаешь да новую технологию которая бесспорно лучше с точки зрения секурити, но хуже во всех остальных показателях - мораль твоя идея НЕ ЭФФЕКТИВНА. То что ты пишешь о том что "было" - да возможно были.. я тогда маловат был ничего не могу сказать. вопрос в доступности и распространенности.

Еще раз. С точки зрения безопасника я с тобой абсолютно согласен, как так? делать солонку и не учитывать что в нее можно наспыть яду, высыпать всю соль за раз и воспользоваться солонкой соседа. (c)

Хорошо жить в теории, в теории все работает. (c)

[iskatel.livejournal.com]

это очень хорошо, а деньги?
А просто надо уменьшить аппетиты манагеров. И сразу деньги на безопасность найдутся.
КОгда МС выпустила угробищный формат МС офиса с макросами в середине 90-х, толпы тупых клиентов прыгали от восторга.. а потом неск. лет макровирусы по МСО были основным потоком вирусов. Там тоже было мало денег на проектирование? Просто плевали на безопасность и всё.

Если вернуться к нашим светофорам и трамваям.. цены трамваев очень немалые (сейчас в моем городе покупают питерские вагоны по 800тыс$.. ладно, пусть даже 50% откат, но и 400 - очень много. Укладка рельсов - тоже крайне дорого). Сколько может стоить умная система управления по сравнению с тупой? Если уж разорились на управляющую электронику - это кроме силовой части конструкций, то могли и безопасной её построить. Как вариант, сходу из головы - шифрованный сигнал с аппаратными ключами, и не IR, а электромагнитный в непосредств. близости от стрелки. Это копейки, даже если использовать элементную базу 10-15-ти летней давности.

[veider.livejournal.com]

Видишь ли в чем дело. Ты почему-то игнорируешь (осмысленно или нет) о том, что покупают функционал. МСО прекрасный тому пример. Какие програмные продукты предоставляют интегрирующееся в вянду решение офисных задач на уровне МСО? (не говори мне про koffice, abiword и OO, это не серьезно и очень много где обсуждалось) Это как раз пример того когда есть функционал и его продали. Безопасность НИКОГДА не улучшает продукт она всегда делает его сложнее и медленнее. Всегда приходится искать компромисс между - работает и безопасно. Что касается "тупых клиентов", им нужен был функционал - они его получили и этому радовались, они за это платили деньги. Если бы крупный заказчик в качестве фича реквеста попросил сделать ему секурити усиленную версию (и был готов за это платить) ему бы её сделали.

Возвращаясь к трамваям. Ты правильно говоришь - организация пассажироперевозок очень затратная штука - создание, поддержание, утилизация парка ТС. Прокладка, ремонт путей - это дорого. Но это приносит доход и окупается - ты проложил пути из спального района в Бизнес-центр города - получил денег. Запустил вагоны повышенной вместительности - получил больше денег. А система управления прибыли не приносит, а затраты на создание и содержание того что предлагаешь ты будет стоить явно дороже, IR.

P.S: Просто для расширения кругозора (я слабоват в железячной защите) аппаратные ключи - это ты что имел в ввиду? Дальность действия вот этой электромагнитной штуковины какая? У меня вот в городе стрелки время от времени по старинке переключают ломом. ;)

[iskatel.livejournal.com]

>>Ты почему-то игнорируешь (осмысленно или нет) о том, что покупают функционал. ///Безопасность НИКОГДА не улучшает продукт она всегда делает его сложнее и медленнее.

не соглашусь. Безопасность - это тоже функционал, и часто без неё продукт уже и не нужен.
Не всем нужна красивая, но вываливающаяся от тычка входная дверь.
Не всем нужна система документаоборота, где защит - никакая.

Про компромисс - полностью согласен .

>>А система управления прибыли не приносит,

Щазз. Во-первых, тот транспорт обычно дотируется, прибыли там нет как таковой. Ну да ладно, пусть даже есть.
Система управления стрелками - это заменитель водителя, который выходит, остановив трамвай, и ломом перекидывает стрелку, в жто время сам трамвай конечно же стоит. Она повышает пропускную способность линии и улушчает условия труда водителя. Если стрелка-автомат, примитивно-механический, все тоже неплохо.. Если она - электронная на тех же ИК-лучах, и небезопасная... каждая авария - это большие убытки. Каждый выезд ремонтников - это убытки. Вот и считай..
А потом - делать новую систему управления, или кардинально модернизировать старую.
Скупой платит дважды (с).

[veider.livejournal.com]

>>>не соглашусь. Безопасность - это тоже функционал, и часто без неё продукт уже и не нужен.
Вот в этом проблема. Зачастую происходит недопонимания свойства продукта и его функционального назначения. Твой следующий пример это хорошо показывает. Смотри:
>>>Не всем нужна красивая, но вываливающаяся от тычка входная дверь.
Вот здесь ты акцентируешь внимание (мне так кажется) на красивости двери - это значит что её основной функционал в твоем случае - красивость. Бывают такие случаи туподекоративные двери не несущие на себе никакого другого назначения как служить украшением (они могут даже не открываться/закрываться, а служить тупо элементом декора). Другой случай когда тебе нужна бронированная дверь которая не просто прикрывает дырку в стене. Ты ведь 100% читал старую байку про солонку и хакера? Тебе не кажется, что ты сейчас тот самый хакер?

Ну если это частная транспортная компания то почему бы им трамваи не покупать.. :-P Про "скупого" согласен на 100%. Но вот только сколько система будет работать до тех пор пока кому-то не придет в голову её ламать (я знаю что с точки зрения безопасника все уже давно хотят ломать систему, я не пытаюсь тебя переубедить, я пытаюсь сделать так чтоб ты посмотрел на проблему с другой стороны и понял что идеала нет ;)). Абсолютно верно ты сказал - система нам нужна - ускоряет работу, улучшает условия все прекрасно, но вот только безопасность опять тут не при чем. Она не является необходимой она является свойством. Насчет убытков от выезда ремонтников + ремонт трамвая слетевшего с рельс - я к сожалению не могу сравнивать ибо стоимостями не распологаю.

Кстати про аппаратные ключи тыб хоть ссылку дал... И про электроагнитное управление.. Я извиняюсь, просто правда интересно.. Просто ключ если он цифра то он все равно цифра и аппаратным может быть контейнер там как-нить по хитрому его шифрующий или хз как. А электроагнитная управлялка в условиях большого железного трамвая... Ммммм.. Ты уверен что оно юзабельно? (я просто спросил, никаких задних мыслей)

[iskatel.livejournal.com]

>> А электроагнитная управлялка в условиях большого железного трамвая... Ммммм.. Ты уверен что оно юзабельно?

скорее всего сделать работающий вариант можно. Но не уверен, что это оптимально. Почти наверняка - не оптимально, я ж не занимался серьезным рассмотрением вариантов, это так, сходу.
Возможно, что управление, завязанное на вес приближающегося трамвая (а _так никто другой на рельс не надавит, если анализировать данные от неск. датчиков), было бы лучше. И светофор, кому проезжать. у светофора - механич. переключатель на случай аварийной ситуации.

[veider.livejournal.com]

Механический переключатель плохо - ты едешь на задержание, летишь буквально, и у каждого _неправильного_ светофора тебе надо остановиться и дернуть ручку пусть он даже мгновенно станет _правильным_ тебе надо вернусть обратно и только тогда проехать... Если бандиты могут подождать то в случае скорой это может стоить кому-нить какой-нить части тела ;) С давлением согласен, так в принципе вроде так в большинстве случаев и делается... (бред по поводу проседания грунта и как следствие смещение датчика я стер.. это уже из области фантастики) :)

[iskatel.livejournal.com]

какое задержание, на трамвайном-то вагоне ? если про пересечения с дорогой - трамвайные пути всегда старались делать так, чтобы они минимально пересекались с ней. Видя проблесковый маяк и слыша сирену, водителю трамвая достаточно просто притормозить. Всё.

[veider.livejournal.com]

Не задержание я про второй случай про светофоры и OmniCom :)

[iskatel.livejournal.com]

>>Просто ключ если он цифра то он все равно цифра и аппаратным может быть контейнер там как-нить по хитрому его шифрующий или хз как.

Правильно. Но в отличие от ИК луча (когда только начали массово прдаваться телеки с ИК пультами, дети любили с пультом попереключать каналы на телеках в магазине..), не так просто заставить сработать те же датчики, реагирующие на мощный электромагнит или 20-ти тонный вагон. Защита от хулигана и от серьезного диверсанта - разные вещи.

[veider.livejournal.com]

Детям как правило пофигу чем развлекаться... Тут будет другая проблема (актуальная для ЖД). Провода от путей к датчикам (есть там такие.. зачем не знаю) - это метра три меди диаметром 3-4 см. Там толстый витой медный провод. Так вот его просто снимают нафик и сдают цветмет на языке секурити это называется Denial Of Service.

[iskatel.livejournal.com]

А это уже совсем другая тема. Все серьезное воровство цветмета, да и стали тоже - организованная преступность, там в доле и граждане с немалыми погонами.
У нас давеча из парка в центре города украли 3 старинных чугунных пушки нач. 19-го века, ~4 тонны каждая. Это 1 КАМАЗ с прицепом + кран, или 2-3 грузовика поменьше + кран. в 300м от того места - один из самых блатных ресторанов, где очень любят сидеть верхние чины прокуратуры города. Все, в общем, всё знат .. но орудия.. ну вот взяли и "исчезли". Скорее всего, кому-то из чинов на дачу.

[veider.livejournal.com]

Да ну... Я-то говорю о детях которые или на колу или на дозу.. Ничего особенно не надо прошелся от поселка до поселка, положил провод "петлей" на рельсы. Подождал пока состав проедет - собрал отрезанные "петли". Пошел сдал получил на колу. Жизнь прекрасна.

[iskatel.livejournal.com]

кстати, о красивых решениях, не-компьютерных.. когда-то, лет 8 назад, когда трамваи и троллейбусы снова стали платными, вновь введенные билеты печатали на дорогой 'денежной' бумаге с цветными микроволокнами и тд. Чтобы не продавали поддельные 'левые' билеты. А потом решили сэкономить и стали печатать на газетной.. но защищенность не снизилась - каждая пачка билетов имеет свою серию номеров, и достаточно просто при проверке глянуть на номер серии, а не искать волокна и тд. Правда, билеты почти никто не проверяет уже года 4, но это мелочи.

[veider.livejournal.com]

А билет действителен в течении одной сессии? Те я не могу купить пять билетов и в этом трамвае проехать по одному, потом в другом трамвае по другому и тд? Если могу то как-то я не понял в чем пример.. Он тогда не опровергает мою мысль о главенстве функционала над безопасностью.

[iskatel.livejournal.com]

не можешь. в каждом вагоне свой кондуктор и своя серия.

[veider.livejournal.com]

Тогда пример прекрасно демонстрирует избытычность безопасности в первом случае (с крутой бумагой, водяными знаками, блек джеком и ... [тьфу не то]) и банальной проверкой номера серии в другом. Как раз сначала перемудрили получилось дорого и откатились к более дешевому решению, которое не ухудшило ситуацию. ;)

[iskatel.livejournal.com]

>> аппаратные ключи - это ты что имел в ввиду?

а там много вариантов. Я вспомнил вариант, когда код ключа определяется тем, сколько магнитов (и в какой последовательности) в него вмонтированы. Трамвай - на электричестве, и разместить около колес цепочку электромагнитов, которые бы генерировали кодовую последовательность, по идее можно. Мощность сигнала позволяет запросто отстроить сигнал от помех, для того, чтобы сбить систему с толку, надо ее или ломать ломом, или кидать э-м. бомбу, но это уже оружие серьезного диверсанта.
А вообще все это фигня, и электромеханич. стрелка, реагирующая на приближение тяжелого (не знаю в деталях, но вроде так) трамвая, и много лет везде работающая - неплохой вариант... правда, требует аккуратного и медленного подъезда. Да, кое-где ломом по сей день. :=)

[veider.livejournal.com]

Блин написал ответ и лж отказался его постить.. Вопрос на самом деле в рентабельности этого решения. Бесспорно идея красивая - я так понимаю под последовательностью ты понимаешь интенсивность генерируемого магнитного поля? Тут сразу возникает несколько вопросов - куда магниты (на трамвае) ставить - в корпус - дабы защитить их от воздействия влаги (электричество с водой не очень дружат), но тогда мы получаем металлический корпус который будет нас частично экранировать. На каком расстроянии ставить магниты чтоб они не пересекались полями.. Кароч тут масса вопросов которых в случае IR просто нет. Идея красивая мне понравилась (запатентована?). Но вот реализация как-то мне пока не очень хорошо видится... За ответ отдельное спасибо.