Что скорость группы равна скорости самого медленного элемента не всегда, а лишь в том случае, если та не разделяется, обычно опускают, т.к. само собой подразумевается, что командир/пастух/караванщик имеет приоритет ее целостности. И когда эту аналогию переносят на комплекс средств защиты, про исключение людям не говорят. А зря, ибо и защищенность системы равна защищенности самого слабого звена не всегда.
По-простому: в дом два входа, его устойчивость к проникновению (через дверной проем) определяется более слабой дверью. А теперь эти же двери стоят на вход последовательно – устойчивость суммируйте. И еще чуток накидывайте за отсутствие знаний об устройстве второй до вскрытия первой.
Так что всем известная эшелонированная (она же многоуровневая) защита – прекрасная иллюстрация ограниченности закона медленного солдата/барана/верблюда.
А является ли двухфакторная защита одновременно и двухуровневой? Не автоматически.
Поразительный пример Тинькова-Мегафона - поразительный пример тому. Опуская подробности, управление клиента своим счетом через интернет-банк «прикрывалось» обратным взаимодействием с ним по СМС на мобильный номер - казалось бы, для успеха нужно ломать обе двери, однако нет.
Тиньковцы, изначально ориентированные на исключение очного контакта с клиентом и тем экономящие на персонале/офисах, предусмотрели сброс забытого пароля по СМС. А опсос предусмотрел отправку СМС не только с телефона, но и через портал. Итого: слабый пароль к личному кабинету абонента – настройка переадресации входящих СМС и отправка СМС на смену пароля от интернет-банка – заход в интернет-банк – перевод средств, не обнаруживаемый вкладчиком оперативно.
Взаимонеувязанные действия банка и опсоса разместили за одной дверью ключ от другой – и тогда это не двойные двери, а случай имени верблюда.
Ничего на жаре не упустил?
По-простому: в дом два входа, его устойчивость к проникновению (через дверной проем) определяется более слабой дверью. А теперь эти же двери стоят на вход последовательно – устойчивость суммируйте. И еще чуток накидывайте за отсутствие знаний об устройстве второй до вскрытия первой.
Так что всем известная эшелонированная (она же многоуровневая) защита – прекрасная иллюстрация ограниченности закона медленного солдата/барана/верблюда.
А является ли двухфакторная защита одновременно и двухуровневой? Не автоматически.
Поразительный пример Тинькова-Мегафона - поразительный пример тому. Опуская подробности, управление клиента своим счетом через интернет-банк «прикрывалось» обратным взаимодействием с ним по СМС на мобильный номер - казалось бы, для успеха нужно ломать обе двери, однако нет.
Тиньковцы, изначально ориентированные на исключение очного контакта с клиентом и тем экономящие на персонале/офисах, предусмотрели сброс забытого пароля по СМС. А опсос предусмотрел отправку СМС не только с телефона, но и через портал. Итого: слабый пароль к личному кабинету абонента – настройка переадресации входящих СМС и отправка СМС на смену пароля от интернет-банка – заход в интернет-банк – перевод средств, не обнаруживаемый вкладчиком оперативно.
Взаимонеувязанные действия банка и опсоса разместили за одной дверью ключ от другой – и тогда это не двойные двери, а случай имени верблюда.
Ничего на жаре не упустил?
5 комментариев:
Но тут тонкость... Кто назвал дверной проем самым слабым звеном?! Тонкая подмена понятий - слабое звено в доме определено не верно... Слабое звено определяется относительно объекта защиты а не относительно друг другу...
Имелось в виду, что рассматриваются сценарии проникновения через дверной проем (а об остальном доме я ничего и не говорил - может, он из карбида вольфрама), и один из них слабее другого. Но если есть более слабое звено, то все просто сдвигается на шаг.
Я так понял, что надо взломать 2 вещи:
логин пароль от интернет банка
логин пароль от личного кабинета
2 фактора 2 двери
Ничего не упустил.. вот разьве, что про переадресацию СМСок ... таковой в природе у ОПСОСов нет
Сергей, они не независимы: за первой ключи от второй - фактически только первую.
Saint Despe, перепроверю, но обратная связь там как-то отключалась, емнип.
Отправить комментарий