26.01.2010

Лес за деревьями

Данная притча появилась из недавней дискуссии Напугали бабу туфлями. Перед читавшими извиняюсь за дубль, но захотелось окуклить в отдельный рассказ. Ожидающих следующего наброса про пентесты прошу повторно не возбуждаться.

Рассмотрим три риска, связанных со злоумышленными действиями против автовладельца: хулиганство, угон и кража предмета, оставленного в салоне. Рисков, конечно, намного больше - от встречи с бужениновской электричкой до обсирательства голубем (ущерб смехотворный, но не нулевой, а вероятность высокая), но ограничимся этими.

Риск хулиганства (проколют колесо, кинут бутылкой, напишут бранное слово и т.п.) мы понижаем, насколько хотим и можем себе позволить, а остаточный приемлем (смиряемся) или переносим (страхуем). Поскольку управлять ущербом мы не можем, то понижение реализуется через уменьшение вероятности наступления – ставим в более освещенное место, не загораживаем тропинки, стараемся не обрызгивать прохожих из лужи и пр.

Два других риска связаны с взломом автомобиля. При определенном таланте или некоторых профессиональных травмах восприятия их можно ухитриться подменить риском взлома, но это неправильно, т.к. внутри они разные.

В стояночной краже ущерб от самого взлома ощутимый, сопоставим по порядку цифр с мобилкой, магнитолкой, навигатором или что там они решили притырить, если не превосходит саму покражу, но от риска легко уклониться, просто унося их с собой – этот путь дешевле и/или надежнее всего остального.
Важно, что цель злоумышленника не проникновение, а хищение. Он приобретает стоимость похищенного (а Вы лишаетесь ее, плюс стоимость ремонта, потраченное время, временная недоступность машины и еще что-нибудь по мелочи), но само проникновение – средство. Без цели оно теряет смысл, дураков нет.

В угоне основной риск другой, он связан с утратой автомобиля, дверь уж пусть курочат (и подольше), основное - не дать автомобилю уехать. Поэтому фокусироваться надо в первую очередь на блокировке двигателя, колес, рулевого, коробки, на физическом заграждении и т.п. Это если говорить о снижении риска (за счет снижения вероятности успешной реализации), но и перспективы переноса на страховую контору оценить не мешает.
Взлом опять является средством, а не целью угонщика, это вынужденная мера. В машину, которая явно не на ходу или которую фиг продашь, он не полезет.

Работать против средств, а не против целей можно, но неэффективно. Это бесконечная тягомотина брони и снаряда с неясным концом (мы личинку провернем / а мы ее заварим / а мы кнопку блокировки двери вытянем / а мы ее спилим / а мы стекло разобьем / а мы капотик залочили …), когда в другой плоскости можно было справиться враз и на корню – см. страховка от угона, унос мобилки и т.п.

Если профессиональные авто-пентестеры существуют (а наверняка), автовладельцу не следует перенимать их парадигму, ибо чужая.

Разовый дисклаймер:
Автор знает, что "автомобильная" параллель может быть продолжена и расширена, но гарантирует корректность аналогии только в пределах рассмотренного скопа и не обещает терпеливо отвечать на вопросы "Значит ли это, что твои ИС могут ездить задним ходом и стоят на улице?", "Почему ни слова не сказано про сигналку?" и т.д.

6 комментариев:

malotavr комментирует...

Отлично. Давай на твоем примере пентест и рассмотрим. Возьмем в качестве примера один только угон.

Если ты думаешь, что пентестеру ставится задача сломать противоугонку или блокировку колес, то ты капитально ошибаешься. Перед пентестером ставится задача получить контроль над определенной информационной системой (в твоей аналогии - угнать автомобиль). В итоге пентеста заказчик обычно получает вот такие результаты:
1. Контроль получен, работа заняла 10 рабочих дней.
2. При реализации мер защиты были допущены вот такие ошибки, благодаря чему принятые меры защиты оказались неэффективны.
3. В частности, у заказчика отсутствует менеджмент инцидентов и не настроены средства аудита, в результате чего не осталось следов, позволяющих специалистам заказчика выявить факт проникновения.
4. В частности, некоторые из допущенных ошибок являются нарушением обязательных требований (например, PCI DSS)

Если бы речь шла об автомобиле, то эти результаты выглядли бы так:

1. Автобмобиль был угнан, причем угонщику потребовалось на это всего 5 минут.
2. Оказалось, что замки блокираторов вскрываются гвоздем, а супруга владельца автомобиля имеет обыкновение оставлять в бардачке запасной ключ зажигания
3. Выяснилось, что кроме голословного утверждения владельца, никаких улик, подтверждающих факт угона, не осталось (а это, условно, возможность для отказа в возбуждении уголовного дела)
4. Некоторые ошибки, такие как оставленный в машине дубликат ключа зажигания, являются нарушением договора страхования и приводят к отказу в выплате страхового возмещения.

Вот за эти результаты заказчик и платит :)

Ригель комментирует...

Для malotavr:

Я не могу дать оценку твоему примеру, если непонятны ожидания заказчика - надо знать цель, с которой он это делает, и как работы прописаны в договоре.

Если заказчик хотел оценить только целесообразность продления страховки на очередной год - его надули (переплатил).
Если он просил пентест, но не юридическая консультацию - его надули (переплатил).
Если заказчику наобещали полную оценку эффективности управления движимым и недвижимым имуществом - его опять же надули.
Но если оговаривалось именно так, то ему повезло.

Я же никогда не против хорошего ))

Dmitry Evteev комментирует...

to malotavr:

отличное сопоставления между непонятными мне машинами с понятными мне пентестами... понравилось ;)

Ригель комментирует...

Твой начальник что-ль?

Dmitry Evteev комментирует...

to Ригель:

нет, начальник у меня Сергей Гордейчик....

Ригель комментирует...

И ты три дня молчал? Резиновую собачку щадишь?

Отправить комментарий