Название: Компьютерная преступность Отправлено: CyberCop от 04 Января 2004, 19:02:45 Админ: тема перенесена из обсуждения книги...
Название: Re:КРИТИКА Отправлено: Urix от 07 Января 2004, 23:01:38 Цитировать ОБЪЕКТ ПРЕСТУПЛЕНИЯ Ага. А что же Вы понимаете под "общественными отношениями", позвольте Вас спросить?Например, E-bay - это ПРЕДМЕТ, или все-таки ОБЪЕКТ? И где при E-bay заканчивается сеть, а начинаются отношения? И вообще, возможны ли какие-то общественные отношения при отсутсвии обмена информацией? И что тогда такое обмен информацией - ПРЕДМЕТ или ОБЪЕКТ? И что тогда такое сеть? Название: Re:КРИТИКА Отправлено: CyberCop от 07 Января 2004, 23:04:22 Сеть - это технический способ установления электрической связи между ЭВМ.
Название: Re:КРИТИКА Отправлено: CyberCop от 07 Января 2004, 23:08:39 При отсутствии обмена информацией возможны общественные отношения, возникающие в связи с ее созданием, обработкой, хранением и накоплением (См.: Закон "Об информации, информатизации и защите информации")
Название: Re:КРИТИКА Отправлено: Urix от 07 Января 2004, 23:14:04 Цитировать При отсутствии обмена информацией возможны общественные отношения Хорошо, поставлю вопрос немного иначе. Предположим, что есть два человека, живущие на двух необитаемых островах и знать ничего друг про друга не знают, и ведать не ведают. Между ними есть какие-то общественные отношения?А если один из них построил лодку и приплыл на второй остров и вступил в контакт с другим, то общественные отношения появятся? А что происходит при вступлении их в контакт? Неужели при контакте они не обмениваются информацией? И информация - это только из области компьютеров? А чем тогда мы обмениваемся, разговариваю друг с другом? Цитировать (См.: Закон "Об информации, информатизации и защите информации") В 1993 году я был одним из рецензентов еще проекта этого закона. Предлождения были учтены, но облекли их в такую форму, что лучше бы этого не делали. Хотя, одно предлождение было принято без поправок. Предложение об удалении статьи о господдержке и финансировании процесса информатизации с целью предотвращения злоупотреблений (вроде налоговых льгот для "Афганцев" и "фонда Спорта"). Чтоб людей не убивали.Название: Re:КРИТИКА Отправлено: CyberCop от 07 Января 2004, 23:21:45 Поскольку мы ведем речь о сети ЭВМ "Интернет", то оперируем понятием "компьютерная информация" - информация в ЭВМ, системе ЭВМ или их сети, т.е. информация, находящаяся на машинных носителях в форме, доступной восприятию ЭВМ, циркулирующая в вычислительной среде и передающаяся по каналам электросвязи посредством электромагнитных сигналов от одной ЭВМ в другую, от ЭВМ на периферийное устройство либо на управляющий датчик оборудования.
Название: Re:КРИТИКА Отправлено: Urix от 07 Января 2004, 23:27:05 Цитировать Поскольку мы ведем речь о сети ЭВМ "Интернет" Для справки: такой сети в природе не существует. Есть разные сети, есть RuNET, есть ByNET, AOL и т.д."Internet" is Trade Mark of US Government. Цитировать Поскольку мы ведем речь о сети ЭВМ "Интернет", то оперируем понятием "компьютерная информация" Не бывает компьютерной и некомпьютерной информации. Есть просто - ИНФОРМАЦИЯ. Это знает каждый студент первого курса МехМата и ВМК.Цитировать доступной восприятию ЭВМ, циркулирующая в вычислительной среде и передающаяся по каналам электросвязи посредством электромагнитных сигналов от одной ЭВМ в другую, от ЭВМ на периферийное устройство либо на управляющий датчик оборудования. ДЛя справки: сейчас (по крайней мере в Москве) практически не осталось аналоговых АТС. Это что ж получается, каждый разговаривающий по телефону тоже автоматически становится частью системы телефонных ЭВМ, поскольку понимает передаваемую ему информацию? Или он уже периферийное устройство? Или в сети ЭВМ "крутится" некомпьютерная информация? Или это уже и не информация? А тогда, что это?Короче. Для того, чтобы в который уже раз не обсуждать те вопросы, которые уже даже набили оскомину, прочтите ВЕСЬ форум, благо он открыт для всех. И только потом начинайте задавать вопросы: а почему, а как. Если они останутся, конечно, после чтения форума. Это не в обиду Вам сказано. Пожалейте наше время. Уважьте. Название: Re:КРИТИКА Отправлено: CyberCop от 07 Января 2004, 23:53:07 Уважаемый специалист!
Если нет компьютерной информации, то давайте уберем главу 28 УК РФ, отменим Доктрину информационной безопасности и пусть хакеры делают что хотят? Название: Re:КРИТИКА Отправлено: Urix от 08 Января 2004, 00:08:30 Цитировать Если нет компьютерной информации, то давайте уберем главу 28 УК РФ, отменим Доктрину информационной безопасности и пусть хакеры делают что хотят? Видите ли в чем дело: дурак - это явление социальное, а не биологическое, жрёт и срёт исправно, а в остальном... Если законодатель проявил завидную глупость и некомпетентность, то это беда общества, которое выбирало таких законодателей. Сами "избранники" этого не понимают в силу ограниченности своей способности адекватно оценивать ситуацию и себя в ней - "тямы" не хватает. Ну не понимают они этого и в принципе понять не могут. Не дано от природы. И не уподобляйтесь этим "избранникам". Умнее надо быть. Они же ничего другого делать не умеют. А тем, у кого "тяма" есть, работать надо, ибо они не калеки и не инвалиды умственного труда. И, для справки, слово "хакер" означает программиста, который бескорыстно ищет и находит ошибки в программах других и исправляет эти ошибки. Какая сволочь первой вывалила дерьмо на этих честных парней я не знаю. А хотелось бы узнать и набить морду. Чтоб было понятно, разница между "хакером" и "кракером" такая же, как между "мастером золотые руки" и "вором-медвежатником". Оба прекрасные слесари, а вот используют свой дар они по разному. Название: Re:Компьютерная преступность Отправлено: CyberCop от 13 Января 2004, 21:59:58 В последнее время в СМИ и в серьёзных научных изданиях только и слышно о том, что ХАКЕРЫ - это компьютерные преступники; всё зло в ХАКЕРАХ; если бы не было ХАКЕРОВ - не было бы компьютерных преступлений!
Так ли это? Или причина появления компьютерных преступлений в природе заключается несколько в другом? Уважаемые участники форума, что вы думаете по этому поводу? Название: Re:Компьютерная преступность Отправлено: Антон Серго от 13 Января 2004, 22:24:28 В последнее время в СМИ и в серьёзных научных изданиях только и слышно о том, что ХАКЕРЫ - это компьютерные преступники; всё зло в ХАКЕРАХ; если бы не было ХАКЕРОВ - не было бы компьютерных преступлений! Ну, конечно, давайте сначала отделим понятия: хакер - это все-таки высокваливицированный компьютерный специалист (BTW, кто подскажет историю появления этого термина?). Так вот, а уж как этот специалист применит свои знания, зависит от него (и окружающих его факторов).Таким образом, говорить "всё зло в (компьютерных специалистах); если бы не было (компьютерных специалистов) - не было бы компьютерных преступлений" - несостоятльно. Все от человека зависит и среды... P.S. Под такую тему можно было отдельную ветку заводить. :) Название: Re:Компьютерная преступность Отправлено: CyberCop от 13 Января 2004, 23:17:20 Всё-таки, уважаемые! Кто даст справку об истории возникновения и содержания понятия "hacker"?
И чем таким особым они отличаются от крэкеров ("cracker"), фрикеров и кардеров? Может быть это одна "масть" с субъективной точки зрения уголовного закона? Название: Re:Компьютерная преступность Отправлено: Антон Серго от 14 Января 2004, 01:29:10 Ну, с позиций-то УК это все одно...
С точки зрения животного - мы тоже все одинаковые. Название: Re:Компьютерная преступность Отправлено: Urix от 14 Января 2004, 09:51:54 Цитировать Кто даст справку об истории возникновения и содержания понятия "hacker"? В свое время в журнале "Наука и жизнь" я прочитал историю слова (прошу не удалять) "бл..ь". Оказывается, при восшествии Екатерины II на престол, она обещала всем офицерам Семеновского полка привилегии. Не обласкан был один единственный офицер (не помню уже фамилию). В сердцах, через несколько лет, так и не дождавшись монаршей милости, он написал памфлет на Екатерину II, в котором называл ее б....ю (или как-то так похоже), т.е. - болтуньей, треплом. Слово это, в местах, из которых происходил офицер, имело одинаковый корень со словами болтать, болтун и существовало для обозначения деревенских кумушек-болтушек. А Екатерина II запретила использовать это слово, как бранное. В последствии, это слово было связано в сознании людей с сексуальным повдением Екатерины II и изменило свою смысловую окраску именно благодаря запрету.Примерно аналогичная ситуация и наблюдается в отношении слова хакер. Изначально это слово обозначало програмистов - искателей ошибок в программах других. В отличии от диггеров (искателей подземныз ошибок), котрые были "реабилитированы" в 1991 года во время путча, хакерам не повезло. Название: Re:Компьютерная преступность Отправлено: Николай Николаевич Федотов от 14 Января 2004, 11:42:42 В последнее время в СМИ и в серьёзных научных изданиях только и слышно о том, что ХАКЕРЫ - это компьютерные преступники; всё зло в ХАКЕРАХ; если бы не было ХАКЕРОВ - не было бы компьютерных преступлений! Так ли это? Или причина появления компьютерных преступлений в природе заключается несколько в другом? Кроме всего прочего, загадочный, непознаваемый и неуловимый ХАКЕР - это удобнейший объект, чтобы свалить на него собственную безалаберность, лень, незнание и даже хищение. - Куда исчезли наши файлы? :o - Почему работа не сделана? :( - Где бабки, в натуре? >:( Ответ один: - Хакеры! ::) Название: Re:Компьютерная преступность Отправлено: CyberCop от 14 Января 2004, 13:41:33 Хорошо, согласен, если Хакеры - это компьютерные гении и искатели чужих ошибок типа "тигровых команд", зарабатывающих себе на жизнь "на просторах дикого Запада", то тогда зачем они сами официально называют себя компьютерными хулиганами? Этот "лозунг" присутствует на титульном листе каждого номера журнала "ХАКЕР".
Таким образом, у обывателя складывается чёткий стереотип о том, что Хакеры - это действительно компьютерные правонарушители, балансирующие на грани статей КОАП и УК РФ. Название: Re:Компьютерная преступность Отправлено: Dust от 14 Января 2004, 14:09:32 Ну зачем же так. Если какой-то журнал назвал Хакерами - хулиганами, это не значит что так есть. Мало ли что они там напишут. А вот влияние журнала на общественность - это правильно, продаётся на каждом углу
Название: Re:Компьютерная преступность Отправлено: Urix от 14 Января 2004, 14:32:16 Цитировать то тогда зачем они сами официально называют себя компьютерными хулиганами? Потому, что первоначальное значение термина трансформировалось. Как и с тем словом.Хотя, я все как-то вспоминаю начало 80-х годов прошлого века. Ностальгия... Название: Re:Компьютерная преступность Отправлено: Антон Серго от 14 Января 2004, 14:51:23 ... зачем они сами официально называют себя компьютерными хулиганами? Этот "лозунг" присутствует на титульном листе каждого номера журнала "ХАКЕР". Имидж хулиганов они получили от СМИ. Последним это удобно и выгодно (как тема вечной угрозы обществу, к которой всегда можно вернуться).P.S. Что касаемо названного издания, то по его стилю предположу, что адресован он ламерам (и чайникам) и орентирован на подростков, увлеченных романтикой хакерской славы и мечтой быстро разбогатеть (+ напакостить соседу). ИМХО, издание, которое эксплуатирует имидж этого термина, но не орентировано на аудиторию настоящих хакеров. Сказанное на правах ИМХО, прошу не обижаться. Приму упреки и критику... Название: Re:Компьютерная преступность Отправлено: CyberCop от 14 Января 2004, 20:43:24 Уважаемый Антон!
Если бы дело было только в редакции журнала, я бы не стал заострять этот вопрос и выносить его на общее обсуждение. Дело обстоит намного серьёзнее, чем Вы это себе представляете: речь идёт о массовой культуре компьютерного хулиганства, идея которого проводится в молодёжную среду под термином "Хакер". Это достаточно наглядно видно на форумах соответствующих сайтов, например: http://www.hackzone.ru. За этим "хакерским" сообществом стоит кто-то более серьёзный, чем редакция журнала. И это опасно! Название: Re:Компьютерная преступность Отправлено: Dust от 14 Января 2004, 20:54:20 Никогда не любил этот журнал. С этим ничего уже не поделаешь, в сети невозможно проследить распространение таких информационных сайтов. А вот на счёт журнала не знаю, кажется они дают совети по хакингу, однако, все советы "косые" (что-то и неправильно, как Юрий писал в одной из своих статей..."додумаете сами"). Никто не знает, попытки закрытия журнала были?
Название: Re:Компьютерная преступность Отправлено: Антон Серго от 14 Января 2004, 22:23:26 Никто не знает, попытки закрытия журнала были? Они мне как-то говорили, что все материалы проходят юридичекую экспертизу и без визы в печать не идут. Думаю, попытка их закрыть привлечет к ним неоправданно много общественного внимания.Название: Re:Компьютерная преступность Отправлено: Urix от 14 Января 2004, 22:33:05 Цитировать Никто не знает, попытки закрытия журнала были? Dust! Пусть уж лучше будет много журналов - хороших и разных, чем один "Коммунист". А то, что разных больше - так это издержки производства. Производственный брак...Название: Re:Компьютерная преступность Отправлено: Антон Серго от 14 Января 2004, 22:39:46 Это достаточно наглядно видно на форумах соответствующих сайтов, например: http://www.hackzone.ru. За этим "хакерским" сообществом стоит кто-то более серьёзный, чем редакция журнала. И это опасно! Что касается названного сайта, то когда-то я ним начинал и потому скажу слово в его защиту....Изначально проект Hackzone создавался командой единомышленников как, все-таки, ресурс об информационной безопасности (хотя, иногда балансирующий на грани). Позже команда разошлась и перенеся "тот" классический ХакЗон на новый ресурс: Bugtraq (http://www.bugtraq.ru/). "Бух-трах", как называет его мой коллега. Новая команда ХакЗона использует имидж (и огромную аудиторию) старого ресурса. P.S. Помнится, когда команда разошлась (точнее, кажется, ХакЗоновцы ушли со старого сайта), сайт (www.hackzone.ru) не обновлялся почти год. Название: Re:Компьютерная преступность Отправлено: Николай Николаевич Федотов от 15 Января 2004, 13:09:40 А вот на счёт журнала не знаю, кажется они дают совети по хакингу, однако, все советы "косые" (что-то и неправильно, как Юрий писал в одной из своих статей..."додумаете сами"). Никто не знает, попытки закрытия журнала были? Были. Не раз пойманные и изобличённые "хацкеры" давали показания, что сделали всё по советам, вычитанным в этом журнале. Вполне достаточно для привлечения редактора к уголовной ответственности. Но каждый раз следователей останавливал имидж "четвёртой власти" и воспоминания о том, каким потоком дерьма чреваты попытки привлечь журналиста. Даже за дело. Даже с железными доказательствами. В итоге решили: "Ну его на фиг" Название: Re:Компьютерная преступность Отправлено: CyberCop от 15 Января 2004, 16:47:42 Попытка закрытия этого журнала и одновременно сайта была предпринята спустя некоторое время, о котором упоминает Антон. Закончилась она тем, что контролирующий орган Минпечати и представители "постоянно реформируемого в то время правоохранительного органа", который и инициировал это "закрытие" полюбовно договорились с редакцией о том, что она:
во-первых, на 3-ей странице журнала делает соответствующую оговорку по его названию, содержанию и правовой ответственности редакции за публикуемые материалы; во-вторых, устанавливает жёсткую редакторскую цензуру на материалы, запрещённые к открытому опубликованию (включая сайт); в-третьих, периодически публикует интервью с представителями "данного правоохранительного органа" о том, как нехорошо нарушать Законы и что за это бывает. С тех пор редакция журнала и сайта полностью выполняет взятые на себя обязательства и нареканий со стороны контролирующих и негласно инспектирующих органов пока не поступало. Цензуру материала осуществляют два лица, скрывающиеся под соответствующими никами. Например, в конце каждого материала (сообщения) указывается фраза "Проверил 25.10.2003 Norad". Так что, с позиций формального право претензий нет. Но идея всё-таки продвигается в массы! Как бороться с этим? Может быть у кого-то есть предложения? Буду очень признателен за ответ! Название: Re:Компьютерная преступность Отправлено: SkyCat от 15 Января 2004, 18:58:08 Здраствуйте.
http://www.altruism.ru/sengine.cgi/5/8/9 -Немного истории одкуда пошел термин хакер и кто это такие были. И еше : http://www.sysadmins.ru/rtfm/ask_howto.htm - это тоже даст представление о хакерах. Тех кого сейчас называют хакерами , хакерами не являются - они cracker'ы . Хакерами их сделало СМИ (которые пишут не зная истории и не понимая почти ничего в IT :( ). P.S. а в журнале "ХАКЕР" - ничего страшного нет , просто будут происходить веши подобно этой http://www.securitylab.ru/41460.html Ни какой серьезной опасности окружаюшим они не несут. Название: Re:Компьютерная преступность Отправлено: Dust от 15 Января 2004, 19:54:27 Олег, спасибо за информацию
Название: Re:Компьютерная преступность Отправлено: SkyCat от 16 Января 2004, 13:01:16 2 Николай Николаевич Федотов
В ХАКЕРЕ перед каждой статьей пишут что - то вроде : 'весь преведенный ниже матерьял только для само развития, редакция никакой отведственности за использование знаний полученныйх в журнале не несет .' . А за одно постоянно печатают 272 и 274 ст. УК. Так за что их закрывать????? Название: Re:Компьютерная преступность Отправлено: Dust от 16 Января 2004, 13:08:37 Это аналогично изданию книги по написанию вирусов, где автор в начале пишет такую же надпись
Название: Re:Компьютерная преступность Отправлено: Николай Николаевич Федотов от 16 Января 2004, 15:48:21 В ХАКЕРЕ перед каждой статьей пишут что - то вроде : 'весь преведенный ниже матерьял только для само развития, редакция никакой отведственности за использование знаний полученныйх в журнале не несет .' . А за одно постоянно печатают 272 и 274 ст. УК. Так за что их закрывать????? Наверное, сейчас уже не за что. Несколько лет назад там встречались довольно-таки спорные материалы. Название: Re:Компьютерная преступность Отправлено: CyberCop от 16 Января 2004, 21:48:01 Гитлер когда-то тоже начинал с мюнхенских пивнушек, никому не мешающих сборищ и с "невинной идеи нацизма", а что в итоге получилось!
Вопрос в идее, а не в той форме, в которую она обличена! Опять же, повторюсь, что с правовой точки зрения формально всё соблюдено. Но всё ли? Название: Re:Компьютерная преступность Отправлено: Urix от 16 Января 2004, 22:12:02 Цитировать Гитлер когда-то тоже начинал с мюнхенских пивнушек, никому не мешающих сборищ и с "невинной идеи нацизма", а что в итоге получилось! Вопрос в идее, а не в той форме, в которую она обличена! Идея - информировать ВСЕХ об ошибках в программном обеспечении, позволяющих получить третьим лицам доступ к информации владельца помимо его желания.Предупрежден - значит спасен! P.S. cibercop! Давайте начнем с закрытия пивнушек и запрета на пиво. А то, глядишь, из-за пива в России появится новый Гитлер. "Волга впадает в Каспийское море. Как бы чего не вышло...". Ох уж мне эти господа Беликовы. Название: Re:Компьютерная преступность Отправлено: CyberCop от 17 Января 2004, 14:27:29 Уважаемый Urix!
Цитата: "Идея - информировать ВСЕХ об ошибках в программном обеспечении, позволяющих получить третьим лицам доступ к информации владельца помимо его желания". Судя из содержания ответа, эта идея Вам по душе. Представьте себе, что кто-то, пользуясь Вашей невнимательностью рассказал о том, как Вы охраняете свою квартиру и имущество; какие ошибки существуют в предпринимаемых Вами мерах безопасности и указал на то, как из-за этих ошибок Вас можно "обокрасть". Выделю, что сделано это было без Вашего ведома и согласия. Понравилось бы это Вам? Обращаю Ваше внимание на тот факт, что в демократическом обществе это делается, как минимум, с согласия владельца (собственника, пользователя) того средства защиты информации, надёжность которого проверяется. По этому принципу работают так называемые "тигровые команды". Мало того, они на этом зарабатывают себе приличные деньги. При этом, довольны все: и собственник, который без лишней огласки узнал о несовершенстве своей системы защиты информации, и тот, кто обнаружил ошибки в построении системы защиты. С правовой и моральной точек зрения "комар носу не подточит"! Хотелось бы видеть такое же развитие событий и в России! Как Вам эта идея? Название: Re:Компьютерная преступность Отправлено: Urix от 18 Января 2004, 00:18:59 Цитировать Представьте себе, что кто-то, пользуясь Вашей невнимательностью рассказал о том, как Вы охраняете свою квартиру и имущество; какие ошибки существуют в предпринимаемых Вами мерах безопасности и указал на то, как из-за этих ошибок Вас можно "обокрасть". Выделю, что сделано это было без Вашего ведома и согласия. Понравилось бы это Вам? Представьте себе, что кто-то, пользуясь моей невнимательностью рассказал о том, как я охраняю свою квартиру и имущество; какие ошибки существуют в предпринимаемых мной мерах безопасности и указал на то, как из-за этих ошибок меня можно "обокрасть". Сделано это было без моего ведома и согласия.Но рассказано это было не в средствах массовой информации широкой аудитории (где есть и мои друзья и знакомые), а только банде квартирных воров, которая после этого меня обокрала. Вопрос: как Вы думаете, понравилось бы мне это? Цитировать Обращаю Ваше внимание на тот факт, что в демократическом обществе это делается, как минимум, с согласия владельца (собственника, пользователя) того средства защиты информации, надёжность которого проверяется. Однажды, на одном сборище, спец из ФАПСИ нам всем демократично "втирал по ушам", что некое средство защиты информации (не будем произносить его имя в слух) - это супер!!! Меня такая "демократичность" сразу насторожила и я задал тоже "демократично" (что бы все присутствующие слышали) всего один вопрос: "Если я воспользуюсь предлагаемым средством для защиты информации, буду делать все строго по инструкции и окажется, что из-за ошибки в этом средстве, информация утекла и пострадали невинные люди, то кто будет нести ответственность за это?"Угадали с трех раз, что мне ответили? Правильно. Мне ответили, что ответственность всегда несет тот, чья была информация. После этого на этом сборище, посвященному, кстати, именно тому средству защиты, само средство уже больше не обсуждалось. А что касается собственника средства защиты, то он-то как раз меньше всех и заинтересован в опубликовании ошибок в его средстве защиты, поскольку из-за наличия ошибок его средство перестает быть средством защиты и он начинает нести убытки. А так несут убытки "лохи"-пользователи, поверившие владельцу средства на слово. Запомните, это только в Англии джентльменам верят на слово, но там и не демократия, а конституционная монархия. Название: Re:Компьютерная преступность Отправлено: CyberCop от 18 Января 2004, 12:35:23 Да, на рынке средств защиты информации в настоящее время работают десятки негосударственных коммерческих фирм. Каждый "продвигает" свой продукт. Идёт жёсткая рыночная конкуренция!
Несомненно, должны существовать общественные формы контроля качества предоставляемых клиентам продуктов. Но, давайте тогда вести речь об официальном общественном контроле, лежащем в правовой плоскости; о системе общественных правовых мер контроля! Представляется, что в настоящее время эти функции выполняют компьютерные правонарушители - в рамках совершаемых ими правонарушений. Согласитесь, что это несколько нецивилизованно. Хотя история знает и противоположные примеры: французская полиция, в момент своего рождения целиком состояла из бывших профессиональных преступников, получивших индульгенцию на время исполнения обязанностей полицейского. Может быть и России по обсуждаемому вопросу стоит пойти в этом направлении? Как Вы считаете? Или же следует оставить всё так, как оно есть и сослаться на философский постулат "единства и борьбы двух противоположностей" как единственно верный прогрессивный путь развития обсуждаемой ситуации? Название: Re:Компьютерная преступность Отправлено: Urix от 18 Января 2004, 23:37:42 Цитировать Но, давайте тогда вести речь об официальном общественном контроле, лежащем в правовой плоскости; о системе общественных правовых мер контроля! А я как раз Вам и привел пример общественного контроля: достаточно было сделать достоянием широких масс (присутствовавших на сборище) информацию о том, что желаемое выдается за действительное, как народ "пошел в отказ".Цитировать Представляется, что в настоящее время эти функции выполняют компьютерные правонарушители - в рамках совершаемых ими правонарушений. Правонарушитель всегда будет молчать "в тряпочку" о совершенных им правонарушениях дабы не "париться" на нарах. Причина - все знают, что "скорость стука выше скорости звука".Поэтому, Ваше высказывание неверно в принципе. Цитировать Или же следует оставить всё так, как оно есть и сослаться на философский постулат "единства и борьбы двух противоположностей" как единственно верный прогрессивный путь развития обсуждаемой ситуации? Никто пока точно не знает, что же защищается. Есть ощущение, что нарушаются права. Но какие точно, посредством чего происходит их нарушение, какие меры могут защитить эти права сформулировать точно пока не может никто.Как можно защищать то, не знаешь что? В случаях, когда в результате использования компьютеров, преступник получает неправомерно в свое владение материальные ценности и его ловят в момент получения этих ценностей - отработан и действует именно потому, что за многотысячелетнюю историю права были прекрасно исследованы материально-вещественные объекты: их свойства, возникающие права, способы нарушения права и способы защиты. Там все понятно. А вот как быть с информацией? Ее свойства принципиально отлличаются от свойств материально-вещественных объектов. Цитировать Может быть и России по обсуждаемому вопросу стоит пойти в этом направлении? Как Вы считаете? Один раз Россия уже пошла по этому пути: в парламент стали избирать не профессионалов в различных областях жизнедеятельности людей, а Василиев Шандыбиных. Не в обиду им это будет сказано. Просто, попав в парламент, они пересекли предел своей компетентности. В результате мы имеем то законодательство, которое имеем. Единичные случаи (как и исключения из правил подтверждают сами правила) не только допустимы, а необходимы. Но не массовые.Вместо демократического законодательства в России "правит бал" охлократическое "законов дательство". И примеров тому масса. Взять, хотя бы небезызвестные "доменные" поправки к ЗоТЗ. Название: Re:Компьютерная преступность Отправлено: Николай Николаевич Федотов от 19 Января 2004, 13:28:29 Представляется, что в настоящее время эти функции выполняют компьютерные правонарушители - в рамках совершаемых ими правонарушений. Согласитесь, что это несколько нецивилизованно. Есть такой бизнес - поиск уязвимостей в информационных системах (без предварительного согласия собственников этих самых систем) с последующей перепродажей информации о выявленных уязвимостях либо владельцу системы, либо производителю соответствующего оборудования или ПО. Бизнес, конечно, тонкий и скользкий. Одно неосторожное движение - и ты уже не эксперт по безопасности, а вымогатель. Только вот польза от такой "функции" весьма сомнительная. Название: Re:Компьютерная преступность Отправлено: SkyCat от 19 Января 2004, 13:54:46 2 Cybercop -"Несомненно, должны существовать общественные формы контроля качества предоставляемых клиентам продуктов" -
Это как ??? MS - вон уже как 9 лет кормит весь мир "самыми лутшими ОС" подумаеш msblast .... Как пользовались большинство win так и продолжают. И тут контролируй , не контролируй все едино монаполист он и есть монаполист. Название: Re:Компьютерная преступность Отправлено: Yeoman от 20 Января 2004, 11:19:37 2cybercop: Общественный контроль за деятельностью коммерческой организации типа Microsoft - нереализуемая глупость. Хотя бы потому что если внимательно прочитать лицензионное соглашение, то выяснится что, за возможный вред/потери от использования ПО, компания ответственности не несет и все на ваш собственный страх и риск.
2All: Давайте исходить из следующих утверждений: 1. Человек нарушал, нарушает и будет нарушать законы. Какие бы они не были. 2. Программное обеспечение (аппаратно-программное тоже) содержало ошибки, содержит и будет содержать. И чем больше система тем больше ошибок. Их число можно свести к минимуму, но они все равно будут. Надеюсь с выше сказанным все согласны. На мой взгляд единственный способ, способный улучшить сложившуюся ситуацию это страхование информационных рисков. Попробую пояснить свою точку зрения на примере: Вы хотите застраховать свои риски при использовании СКЗИ "Имярек". Для этого вы обращаетесь в страховую компанию, которая в свою очередь привлекая сторонних/собственных экспертов оценивает риски при использовании того или иного СКЗИ. И в свою очередь говорит вам, что в случае использования этого СКЗИ сумма страховки будет такая, а при использовании такого то СКЗИ будет например меньше, а пользователей третьего СКЗИ она вообще страховать не будет. Выбор остается за вами какое СКЗИ использовать. Сами понимаете что при таком подходе компании, выпускающие "некачественное" ПО или начнут бороться за повышения качества или вымрут. Тоже самое можно распространить и на другое ПО, а не только СКЗИ. Другого способа влиять на деятельность компаний выпускающих ПО я лично не вижу. Правда в части СКЗИ мы такого еще долго не дождемся, в силу ряда очевидных причин. Название: Re:Компьютерная преступность Отправлено: Dust от 20 Января 2004, 11:41:30 Интересно, но всё же:
Один: Цитировать пользователей третьего СКЗИ она вообще страховать не будет Два:Цитировать компании, выпускающие "некачественное" ПО или начнут бороться за повышения качества или вымрут ИМХО: многим будет отказано в страховке и всё останется как преждеНазвание: Re:Компьютерная преступность Отправлено: Yeoman от 20 Января 2004, 12:03:11 2Dust: Не берусь говорить за весь рынок ПО, но по рынку СКЗИ, введение такой схемы точно даст изменения в лучшую сторону. только не надо делать из этого вторую ОСАГУ.
Для остального ПО, мне кажется это тоже приведет к улучшению, правда пройдет достаточно много времени, прежде чем появятся результаты. Название: Re:Компьютерная преступность Отправлено: Dust от 20 Января 2004, 12:13:07 Yeoman!
Я не спорю, однако давайте трезво посмотрим на ситуацию (почему-то ОСАГО в голову пришло тоже). Проблема раз: наличие экспертов. Вот вы живёте в Москве, они там возможно есть. А в Южно-Сахалинске? Проблема два: готовность страховых компаний (учитывая бум с ОСАГО) Проблема три: положительный ответ страховых компаний P.S. Вы не пробовали обращаться в какие-нибудь компании? Название: Re:Компьютерная преступность Отправлено: Urix от 20 Января 2004, 12:36:39 Цитировать Не берусь говорить за весь рынок ПО, но по рынку СКЗИ, введение такой схемы точно даст изменения в лучшую сторону. Мечты, мечты... Приятна ваша сладость.Прошли мечты - осталась гадость. Только сам владелец информации имеет право выбора методов, способов и средств защиты своей информации, ибо только он один несет всю ответственность за ущерб, нанесенный распространением его информации. И никакая страховая компания не будет нести консолидированную ответственность в случаях, например, защиты информации, являющейся предметом государственной тайны. Немного найдется желающих "париться" на нарах "за того парня". Название: Re:Компьютерная преступность Отправлено: Yeoman от 20 Января 2004, 12:56:50 Dust!
Честно говоря перечисленные вами проблемы не кажутся мне критичными. По пункту 1: какие страховые компании присутствуют в у вас в регионе? Ингосстарх наверняка есть? Ведь необязательно филиалу компании иметь своих экспертов, достаточно получать список "доверенного" ПО и расценки из головного офиса компании. Или можно просто заказать такие работы фирме, даже если вы живете на Сахалине, а фирма в Москве. Дороговато будет, но проблем тут нет. По пункту 2: тут сложно сказать что то определенно (я лично этот вопрос изучал мало в силу опеределнных причин о чем в P.S.). По пункту 3: положительный ответ на какой вопрос? Если будет спрос, то появится и предложение или этот сегмент рынка скушают западники у которых это уже давно есть и работает. Как это сейчас происходит в банковской сфере - самые высокотехнологичные услуги предоставляют западные банки или их "дочки". P.S. Честно говоря не пробовал (если мы говорим о страховых компаниях), потому что меня в первую очередь интересует СКЗИ, а согласно действующему законодательству РФ выбора у меня нет - только продукты сертифицированные ФАПСИ/ФСБ, которое за них отвественности не несет. Вот и приходится выбирать меньшее зло. И пока государство в области СКЗИ официально не отпустит нас заниматься тем что мы считаем нужным, в этой области ничего не изменится. P.S.S. Как я уже писал при введении такой схемы ситуация с ПО не изменится в одночасье, должны созреть в первую очередь сами клиенты. Бывает очень сложно объяснить руководству что такое ЭЦП и зачем оно надо, а не то что говорить о страховании информационных рисков. P.S.S.S. Прошу простить меня за явный уклон в сторону ЭЦП и СКЗИ - у кого что болит как говорится :) Название: Re:Компьютерная преступность Отправлено: Urix от 20 Января 2004, 13:19:58 Цитировать Честно говоря не пробовал (если мы говорим о страховых компаниях), потому что меня в первую очередь интересует СКЗИ, а согласно действующему законодательству РФ выбора у меня нет - только продукты сертифицированные ФАПСИ/ФСБ, которое за них отвественности не несет. Вот и приходится выбирать меньшее зло. И пока государство в области СКЗИ официально не отпустит нас заниматься тем что мы считаем нужным, в этой области ничего не изменится. Тогда, чтобы Вы задумались, я процитирую самого себя:И сразу все становится понятно, надо только выстроить правильную аналогию в привычной нам сфере. Вот, в качестве примера, фраза из одного закона: "перед использованием средство защиты информации должно быть сертифицировано ФАПСИ". Давайте заменим слова и обороты их синонимами: "средство защиты информации" на "сейф" (от английского safe - сохранять, защищать), "сертифицировано" на "исследовано" (сертификация - исследование образца на соответствие предъявляемым требованиям) и "ФАПСИ" на "постороннее лицо" (вряд ли ФАПСИ является подразделением Вашего предприятия). Получается "перед использованием сейф должен быть исследован посторонним лицом". Не знаю как Вы, а лично я такому "сейфу" не доверю даже использованные презервативы. Название: Re:Компьютерная преступность Отправлено: Николай Николаевич Федотов от 20 Января 2004, 13:36:15 На мой взгляд единственный способ, способный улучшить сложившуюся ситуацию это страхование информационных рисков. ... Тоже самое можно распространить и на другое ПО, а не только СКЗИ. Другого способа влиять на деятельность компаний выпускающих ПО я лично не вижу. Одна из причин, почему до сих пор не введена ответственность производителей ПО за последствия работы их программ такова. В случае сбоев чрезвычайно трудно выяснить, что именно явилось причиной - прикладная программа, операционная система, драйвер, неграмотные действия пользователя, вирус, драматическое сочетание всех вышеупомянутых и т.д. В принципе, производители ПО готовы были бы принять на себя какую-то ответственность, если бы был чёткий механизм для определения причины сбоя. Пока его нет. На пути внедрения страхования информационных рисков стоит то же самое обстоятельство. Невозможно страховать информацию независимо от причин её потери. А установить причину весьма затруднительно. Название: Re:Компьютерная преступность Отправлено: Dust от 20 Января 2004, 15:09:38 Цитировать Честно говоря перечисленные вами проблемы не кажутся мне критичными Да это и не критика :)Попробуйте, позвоните в стаховую компанию. Название: Re:Компьютерная преступность Отправлено: Yeoman от 20 Января 2004, 16:46:32 2Dust:
Цитировать Да это и не критика я и слова не сказал про критику :)Критичными - всмысле непреодолимыми, непозволящими осуществить желаемое. Цитировать Попробуйте, позвоните в стаховую компанию. Dust, а я и не говорил что наши страховые компании готовы страховать информационные риски.Название: Re:Компьютерная преступность Отправлено: Yeoman от 20 Января 2004, 17:37:14 2Urix:
Цитировать Только сам владелец информации имеет право выбора методов, способов и средств защиты своей информации, ибо только он один несет всю ответственность за ущерб, нанесенный распространением его информации. Кто бы спорил. Но пока ситуация в сфере СКЗИ такова, что дядя в погонах (законы, указы президента и т.д.) заставляет меня использовать конкретные СКЗИ и выбор у меня минимален, а отвечать все равно мне, а не ему. Как бы красиво ни звучала ваша цитата.Цитировать И никакая страховая компания не будет нести консолидированную ответственность в случаях, например, защиты информации, являющейся предметом государственной тайны. Немного найдется желающих "париться" на нарах "за того парня". Urix, а что средства защиты гос. тайны поступили в свободную продажу? Что то я такого не слышал! Или там разрешили свободный выбор средств защиты? Насколько я знаю в этой области все строго регламентировано и шаг влево, шаг в право приводит именно к нарам, одиночным или коллективным, кому как повезет. Предлагаю гос. тайну не обсуждать так как интереса это не имеет в принципе.Цитировать И сразу все становится понятно, надо только выстроить правильную аналогию в привычной нам сфере. Вот, в качестве примера, фраза из одного закона: "перед использованием средство защиты информации должно быть сертифицировано ФАПСИ". Давайте заменим слова и обороты их синонимами: "средство защиты информации" на "сейф" (от английского safe - сохранять, защищать), "сертифицировано" на "исследовано" (сертификация - исследование образца на соответствие предъявляемым требованиям) и "ФАПСИ" на "постороннее лицо" (вряд ли ФАПСИ является подразделением Вашего предприятия). Получается "перед использованием сейф должен быть исследован посторонним лицом". Не знаю как Вы, а лично я такому "сейфу" не доверю даже использованные презервативы. Urix средство защиты, а СКЗИ уж точно, не должно строится на сокрытии принципов их работы. Такие системы вскрываются в первую очередь. Поэтому факт обследования/исследования не нанесет средству защиты никакого вреда. Многие СКЗИ поддвергаются попыткам криптоанализа уже многие годы, при том что алгоритмы которые в них реализованы опубликованы в свободном доступе. И пока все идет хорошо. Например алгоритм RSA не стал хуже от того что его описание можно найти на каждом сайте посвещенном криптографии. А вот если в результате обследования вскроются недостатки, которые приведут к компроментации системы, так это нам же всем лучше - будем искать дальше. Насчет сейфов спорить не буду я не медвежатник :) Название: Re:Компьютерная преступность Отправлено: CyberCop от 20 Января 2004, 23:49:47 Уважаемый Urix!
Ваш ответ напоминают мудрую народную русскую сказку, в которой говорится: "пойти туда - не знаю куда; принести то - не знаю что!". Все её знают с детства! Замечу, что от нас с Вами на форуме участники ждут несколько иных более практичных высказываний и мнений. Название: Re:Компьютерная преступность Отправлено: CyberCop от 20 Января 2004, 23:53:16 Уважаемый Николай Николаевич!
Этот бизнес мне напоминает "торговлю" крадеными документами: когда у Вас их сначала крадут, а потом звонят Вам домой и предлагают за соответствующую плату выкупить их обратно. Таких случаев сейчас множество! Название: Re:Компьютерная преступность Отправлено: CyberCop от 21 Января 2004, 00:06:22 МОЛОДЕЦ Yeoman!
Полностью поддерживаю Вашу позицию! А, почему Вы не принимаете во внимание экспертные возможности по этому вопросу Межведомственной комиссии в лице Гостехкомиссии России? Ведь это третейская инспектирующая сторона между бывшим ФАПСИ и ныне действующим ФСБ! Название: Re:Компьютерная преступность Отправлено: CyberCop от 21 Января 2004, 00:13:53 Теоретически и практически невозможно в закрытом режиме проверить криптостойкость какого-либо алгоритма криптографического преобразования, поэтому они намеренно открыто публикуются. Лишь таким способом можно реально оценить указанный параметр.
Название: Re:Компьютерная преступность Отправлено: Urix от 21 Января 2004, 14:40:00 Цитировать Например алгоритм RSA не стал хуже от того что его описание можно найти на каждом сайте посвещенном криптографии. Я и не спорю. Но сертификации подвергается конкретный образец. Рабочее мксто. А иначе, чем предоставив доступ "третьего" лица к сгенерированному секретному ключу для подтверждения его стойкости, я не вижу, как можно сертифицировать рабочее место. Иначе это уже не сертификация, а профанация.Название: Re:Компьютерная преступность Отправлено: CyberCop от 21 Января 2004, 18:25:28 Уважаемый Urix!
Когда Вы покупаете замок с ключом, то проверяете работоспособность ключа. После этого копии замка можно раздать всем желающим - непосредственно с их помощью Ваш замок открыть нельзя. Но никому не придёт в голову раздавать всем желающим копии секретного ключа, которым Вы открываете оригинал замка, охраняющего Ваше имущество. Это абсурд! Вы со мной согласны? Таким образом, переходя по аналогии к ЭЦП и иным криптографическим СКЗИ, открытый ключ ("замок") криптографического преобразования данных доступен всем желающим, а закрытый ключ - секретен и, как правило, находится в единственном числе у пользователя (владельца, собственника) СКЗИ. Название: Re:Компьютерная преступность Отправлено: Urix от 21 Января 2004, 18:33:40 Цитировать Когда Вы покупаете замок с ключом, то проверяете работоспособность ключа. Изначальная посылка неверна - проверяется совместная работа ключа и замка. И сделать копию замка намного сложнее, нежели сделать копию ключа. Поэтому, разрешая сертификацию сейфа, я предоставляю доступ специалиста, проводящего исследование, и к замку и к ключу.А дальше, почти как в анекдоте про то, как Петька вернулся из Англии миллионером. В деле защиты себя доверять кому-то не стоит - можно нарваться. Название: Re:Компьютерная преступность Отправлено: CyberCop от 21 Января 2004, 22:25:09 Иными словами, надо действовать по принципу
"Доверяй, но проверяй". Я Вас правильно понял? Если Да, то тогда вопрос: "А кто будет проверяющим: Хакеры, пользователь СКЗИ, орган, уполномоченный государством либо производителем СКЗИ или кто-то иной?" Название: Re:Компьютерная преступность Отправлено: Yeoman от 22 Января 2004, 11:45:54 2 cybercop:
Спасибо за поддержку! Цитировать А, почему Вы не принимаете во внимание экспертные возможности по этому вопросу Межведомственной комиссии в лице Гостехкомиссии России? Ведь это третейская инспектирующая сторона между бывшим ФАПСИ и ныне действующим ФСБ! Вы о СКЗИ или о ПО вообще? Если о СКЗИ, то я только за если им передадут вопросы сертификации и лицензирования связанной с ними деятельности. В отличии от ФАПСИ они выдают нормальные лицензии, которые разрешают конкретные вещи, а то у ФАПСИ была классная привычка выдать лицензию на использование СКЗИ, но тут же оговорится что список СКЗИ и характер их использования надо согласовывать отдельно - в результате их лизенция не разрешала ничего.Название: Re:Компьютерная преступность Отправлено: Yeoman от 22 Января 2004, 11:59:24 Изначальная посылка неверна - проверяется совместная работа ключа и замка. И сделать копию замка намного сложнее, нежели сделать копию ключа. Поэтому, разрешая сертификацию сейфа, я предоставляю доступ специалиста, проводящего исследование, и к замку и к ключу. А дальше, почти как в анекдоте про то, как Петька вернулся из Англии миллионером. В деле защиты себя доверять кому-то не стоит - можно нарваться. Urix я даже не знаю что вам сказать... Замки, сейфы - красивая конечно аналогия.... но ничего общего с СКЗИ не имеет. На тот случай если вы не в курсе, ключевой материал в СКЗИ создается с использованием датчиков случаных чисел, при этом ключ вырабатывается по строго определенным алгоритмам и должен соответсвовать строгому набору правил. Так вот при сертификации СКЗИ (действительно конкретного экземпляра - но экземпляра именно СКЗИ) проверяется чтобы датчик случайных чисел соотвествовал требованиям (типа КС-1, КС-2), алгоритм генерации ключей соответсвовал требованиям и был корректно реализован, и т.д. Если все вышеперечисленное соответсвует требованиям сертификации, то и ключи которые пользователь СКЗИ создат после сертификации сам, будут соответсвовать требованиям сертификации и никак иначе. Ну не сможет пользователь создать ключ по другим правилам нет у него такой возможности чисто технически :) Кстати это тоже одно из требований сертификации. Так что нет никакой необходимости сертифицировать связку СКЗИ с конкретным ключом! Название: Re:Компьютерная преступность Отправлено: Urix от 22 Января 2004, 23:17:31 Цитировать Если Да, то тогда вопрос: "А кто будет проверяющим: Хакеры, пользователь СКЗИ, орган, уполномоченный государством либо производителем СКЗИ или кто-то иной?" cybercop! Вопрос неверен в принципе, поскольку:Только сам владелец информации имеет право выбора методов, способов и средств защиты своей информации, ибо только он один несет всю ответственность за ущерб, нанесенный распространением его информации. Исходя из вопроса, то Вы отказываете владельцу в защите его информации, ибо изначально предполагаете, что кто-то обязан проверять, как владелец защищает свою информацию. Никто же не проверяет, как Вы храните свою личную переписку у себя дома? А то, давайте, назначим проверяющих именно вашей корреспонденции. Любителей покопаться в чужом белье более чем достаточно. Цитировать Так что нет никакой необходимости сертифицировать связку СКЗИ с конкретным ключом! Yeoman! Для справки: DES Имеет четыре "слабых" (или тривиальных) ключа. ГОСТ их имеет поболее и обладает еще дополнительной "слабостью". RSA так же имеет минимум две "слабые" пары ключей, хотя теоретически их должно быть значительно больше - каждая вторая пара. И т.д.Однажды я стал свидетелем того, как за 2-3 минуты снималась защита с информации, которая была защищена стоявшим (возможно, и еще стоящим) на вооружении программным средством защиты информации. Защиту снимал не я, но я обосновал возможность легкого снятия защиты. О каком средстве идет речь и как снималась защита, естественно, рассказывать не буду, дабы не навредить. Эту демонстрацию наблюдало не менее 20-ти человек, после чего из них никто уже этим средством не пользовался для защиты ДЕЙСТВТЕЛЬНО ОПАСНОЙ информации. Название: Re:Компьютерная преступность Отправлено: CyberCop от 22 Января 2004, 23:33:33 Уважаемый Yeoman!
Как Вы считаете: Знаком ли Urix с решением полиноминальных задач или нет? Уважаемый Urix! Нельзя однозначно решить то, что заведомо предполагает множественность решений - это один из основных принципов современной криптографии. А Вы предлагаете "отдать замок и ключ" на исследование потенциальному правонарушителю и, тем самым, подсказать ему единственно верное решение. Таким образом будут выброшены на ветер силы и средства, потраченные на создание "замка и ключа". Между прочим, не всем странам "по карману" создавать национальные алгоритмы криптографического преобразования данных. На разработку только одного криптоалгоритма необходимы десятки лет и колоссальные материальные и интеллектуальные ресурсы! Поэтому естественна защита государством этого дорогостоящего продукта. Название: Re:Компьютерная преступность Отправлено: Urix от 22 Января 2004, 23:55:49 Цитировать Нельзя однозначно решить то, что заведомо предполагает множественность решений - это один из основных принципов современной криптографии cybercop! Вы меня пугаете...Рассмотрим постановку задачи шифрования с симметричным ключем. Есть некое сообщение А, есть ключ шифрования K, есть шифрующая функция encrypt() и есть дешифрующая функция decrypt(). Для этих объектов справедливо следующее: A = decrypt(K,encrypt(K,A)). Рассмотрим постановку задачи шифрования с несимметричными ключами. Есть некое сообщение А, есть ключи шифрования S и P, есть шифрующая функция crypt(). Для этих объектов справедливо следующее: A = crypt(S,crypt(P,A)). Нет здесь множественности решений. Какое сообщение было зашифровано, такое и должно быть получено после расшифровки. Цитировать А Вы предлагаете "отдать замок и ключ" на исследование потенциальному правонарушителю и, тем самым, подсказать ему единственно верное решение. А что, ФАПСИ не может быть потенциальным правонарушителем? "Только жена цезаря вне подозрений". А возьмите СОРМ. Чьи права нарушаются? И Какие?Вы ВНИМАТЕЛЬНО посмотрите понятие слова "серификация". Название: Re:Компьютерная преступность Отправлено: Yeoman от 23 Января 2004, 11:25:33 Цитировать DES Имеет четыре "слабых" (или тривиальных) ключа. А еще вы забыли что таблицу S-блоков "утверждали" в АНБ.А еще из-за того что ключ "коротковат" прямым перебором быстро вскрывается. Поэтому многие уже используют 3DES. Цитировать ГОСТ их имеет поболее и обладает еще дополнительной "слабостью". Говоря такие вещи уточняйте номер ГОСТ'а о котором идет речь.Никто не спорит что ГОСТ может иметь слабые ключи, НО говоря дополнительная "слабость" - говорите конкретно какой ГОСТ, а не отделывайтесь общими словами. Такие вещи доказывать надо. Цитировать RSA так же имеет минимум две "слабые" пары ключей, хотя теоретически их должно быть значительно больше - каждая вторая пара. И т.д. А вот за это спасибо Urix!!! Честное слово давно я так не смеялся - фраза про RSA полностью вас характеризует. Чьи теоретические выкладки вы используете?Цитировать Однажды я стал свидетелем того, как за 2-3 минуты снималась защита с информации, которая была защищена стоявшим (возможно, и еще стоящим) на вооружении программным средством защиты информации. Защиту снимал не я, но я обосновал возможность легкого снятия защиты. О каком средстве идет речь и как снималась защита, естественно, рассказывать не буду, дабы не навредить. Эту демонстрацию наблюдало не менее 20-ти человек, после чего из них никто уже этим средством не пользовался для защиты ДЕЙСТВТЕЛЬНО ОПАСНОЙ информации. Слова, слова... Urix давайте говорить конкретно или не говорить вообще - не надо общих слов. А то как то даже не серьезно получается...как в анекдоте.Название: Re:Компьютерная преступность Отправлено: Yeoman от 23 Января 2004, 11:31:34 Уважаемый cybercop!
Цитировать Как Вы считаете: Знаком ли Urix с решением полиноминальных задач или нет? Я не знаю знаком ли Urix с решением упомянутой вами задачи, поэтому не могу себе позволить высказываться по этому вопросу. Спросите его сами. :)Название: Re:Компьютерная преступность Отправлено: Николай Николаевич Федотов от 23 Января 2004, 11:39:30 Между прочим, не всем странам "по карману" создавать национальные алгоритмы криптографического преобразования данных. Между прочим, в создании собственного криптоалгоритма нет никакой необходимости. Существуют публичные алгоритмы, давно известные и, следовательно, проверенные на "дыры" и "закладки". Создавать собственный криптоалгоритм можно пытаться в двух случаях: а) в случае запущенной паранойи, когда все без исключения зарубежные учёные-криптографы завербованы иностранными разведками; б) в случае безнадёжной мании величия, когда считаешь себя в состоянии сделать криптоалгоритм с "чёрным ходом", который никогда никто не найдёт. Название: Re:Компьютерная преступность Отправлено: Urix от 23 Января 2004, 15:58:43 Цитировать А вот за это спасибо Urix!!! Честное слово давно я так не смеялся - фраза про RSA полностью вас характеризует. Чьи теоретические выкладки вы используете? Ключи, со значениями 0 и 1. Проверьте и убедитесь, что они тривиальные. Вернее 0 - это вырожденный случай.P.S. Смеяться над теми, кто не знает основ теории считаю неприличным, а посему, ограничусь лишь советом еще раз ВНИМАТЕЛЬНО перечитать теорию колец. Название: Re:Компьютерная преступность Отправлено: CyberCop от 23 Января 2004, 16:58:28 Уважаемый Urix!
ФАПСИ похоронили в июле прошлого года. Зачем плохо говорить об усопшем? Зачем говорить о той организации, которой уже нет? Не надо "вешать лапшу на уши" участникам форума! Хотелось бы более достоверной информации: ведь остались организации - правоприемники расформированного ФАПСИ - ФСБ и Гостехкомиссия. Давайте всё же привыкать к реалиям сегодняшнего времени и строить свою дискуссию в ракурсе их присутствия. Название: Re:Компьютерная преступность Отправлено: Urix от 23 Января 2004, 17:08:43 Цитировать правоприемники расформированного ФАПСИ - ФСБ и Гостехкомиссия Гостехкомиссия - это консультативный орган и существовала еще тогда, когда был КГБ. Остается - ФСБ.Вы уж правильно освещайте произошедшие события. А то, чего доброго, не знающие люди подумают, что члены Гостехкомиссии носят погоны, им разрешено проводить ОРМ, возбуждать уголовные дела, проводить расследования... Название: Re:Компьютерная преступность Отправлено: CyberCop от 23 Января 2004, 17:35:37 Уважаемый Urix!
Вам неплохо было бы ознакомиться с Положением о Государственной технической комиссии при Президенте РФ (утв. Указом Президента РФ от 19 февраля 1999 г. № 212, в ред. от 05.10.2002 №1129) «1. Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) является федеральным органом исполнительной власти, осуществляющим межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную или служебную тайну, от ее утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования и по противодействию техническим средствам разведки на территории Российской Федерации (далее именуется – техническая защита информации), а также единую государственную научно – техническую политику в области защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств (http://www.infotecs.ru/gtc/default.html). Гостехкомиссия России организует деятельность государственной системы защиты информации в Российской Федерации от технических разведок и от ее утечки по техническим каналам. Гостехкомиссия России и региональные центры входят в состав государственных органов обеспечения безопасности Российской Федерации." Обратите внимание на последний абзац! Это люди в погонах. Они не только занимаются, как Вы выражаетесь, "консультационной" работой. Их основная цель - инспектирование и контроль за соблюдением требований по защите информации во всех организациях независимо от форм собственности. Эти люди инспектируют и ФСБ, и МВД, и Минобороны, а также другие силовые и правоохранительные органы. Их решения обязательны к исполнению всеми физическими и юридическими лицами, действующими на территории России. Между прочим, Гостехкомиссия никогда не входила в состав КГБ! Это заблуждение дилетантов. Это ведомство существовало параллельно с КГБ и находилось, мягко говоря, в конкуренции с ним по отдельным вопросам. Название: Re:Компьютерная преступность Отправлено: CyberCop от 23 Января 2004, 17:46:37 Гостехкомиссия России не является субъектом ОРД и органом предварительного расследования. В этом Вы правы.
Она выполняет контролирующие, властно-распорядительные и лицензирующие функции. В частности, Гостехкомиссия России лицензирует ФСБ, МВД и другие субъекты ОРД: выдаёт им разрешение на использование специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) на негласное получение информации. Название: Re:Компьютерная преступность Отправлено: Yeoman от 24 Января 2004, 01:54:04 2Urix:
Цитировать Ключи, со значениями 0 и 1. Проверьте и убедитесь, что они тривиальные. Вернее 0 - это вырожденный случай. Садись, двойка! Ну не бывает у алгоритма RSA ключей с такими значениями! По определению! Определение (взято из Handbook of applied cryptography глава 11)): 11.18 Algorithm Key generation for the RSA signature scheme SUMMARY: each entity creates an RSA public key and a corresponding private key. Each entity A should do the following: 1. Generate two large distinct random primes p and q, each roughly the same size (see x11.3.2). 2. Compute n = pq and f = (p - 1)(q - 1). 3. Select a random integer e, 1 < e < f, such that gcd(e; f) = 1. 4. Use the extended Euclidean algorithm (Algorithm 2.107) to compute the unique integer d, 1 < d < f, such that ed = 1 (mod f). 5. A’s public key is (n; e); A’s private key is d. [/i] Если вы возьмете на себя труд это внимательно прочитать то увидите, что публичный(открытый) ключ это n и e, причем n это произведение двух БОЛЬШИХ простых чисел (п. 1 и 2) и никак не может быть ни 0 ни 1. e должно быть больше 1 - это видно из пункта 3. Значит открытый ключ не может быть ни 0 ни 1. Закрытый или частный ключ это d и он тоже должен быть больше 1. Что и требовалось доказать. Это первое. Второе. Я так понимаю что свои претензии к алгоритмам вы снимаете? Я имею ввиду ГОСТы и теоретически слабую каждую вторую ключевую пару RSA. Цитировать P.S. Смеяться над теми, кто не знает основ теории считаю неприличным, а посему, ограничусь лишь советом еще раз ВНИМАТЕЛЬНО перечитать теорию колец. Перечитал, честное слово. И что? ??? Теория не отменяет того, как создаются ключи для RSA.В свою очередь советую внимательно прочитать: HandBook of applied Cryptography http://www.cacr.math.uwaterloo.ca/hac/ (http://www.cacr.math.uwaterloo.ca/hac/) Брюс Шнайер "Прикладаная криптография" изд. Триумф, 2002 год ISBN: 5-89392-055-4 (алгоритм RSA описан на стр.521-530) Вообщем Urix учите мат. часть. В ней вся сила :) Urix у вас будут еще замечания/предложения? Или мы можем вернуться к сертификации СКЗИ? Вы согласны что сертифицировать СКЗИ в связке с конкретным ключом не нужно? Название: Re:Компьютерная преступность Отправлено: Urix от 24 Января 2004, 13:23:57 Цитировать Садись, двойка! Yeoman! Это Вам двойка.Такая пара ключей (e,d)=(1,1) полностью удовлетворяет самому алгоритму: и условию e*d=1(mod (p-1)(q-1)) и условию A=((A**e)**d)(mod p*q). А отсев этих значений ключей при генерации указан специально, поскольку в практическом применении тривиальных ключей нет смысла. Их существование важно только с теоретической точки зрения, как свидетельство существования "слабости" алгоритма и для других ключей. А значит, возможности приведения NP задачи факторизации к P. Учите теорию, юный друг. Например, теорему о NP=P. Ей, правда, всего пара-тройка лет, поэтому Вы можете о ней и не знать. Живете прошлым веком... Цитировать Вы согласны что сертифицировать СКЗИ в связке с конкретным ключом не нужно? Не согласен. Для того, чтобы ТОЧНО ДОКАЗАТЬ, что заявленное СКЗИ с применяемым ключем удовлетворяют заявленным требованиям, необходимо исследовать эту пару. Так же, как при исследовании колбасы, берется конкретный батон из партии и исследуется в первую очередь ее состав, а уже потом только упаковка. Иначе получается следующее:- Дети, сколько будет дважды два? - Пять! - Шесть! - А что скажет наш победитель математической олимпиады? - Где-то семь-восемь... А сертификация - это ИССЛЕДОВАНИЕ КОНКРЕТНОГО ОБРАЗЦА НА СООТВЕТСТВИЕ ПРЕДЪЯВЛЯЕМЫМ К НЕМУ ТРЕБОВАНИЯМ. Исследование проводится с целью ДОКАЗАТЬ соответствие. Если соответствие доказано для СЛУЧАЙНО взятого небольшого множества образцов, то с высокой степенью вероятности можно сказать, что и остальные образцы так же соответствуют. Иначе - это не сертификация, а профанация. Название: Re:Компьютерная преступность Отправлено: CyberCop от 24 Января 2004, 16:17:29 Уважаемый Urix!
А на мои последние сообщения в теме ответить не хотите? Название: Re:Компьютерная преступность Отправлено: Yeoman от 24 Января 2004, 16:53:51 2Urix:
Цитировать Yeoman! Это Вам двойка. Но не удовлетворяет условию генерации ключей RSA.Такая пара ключей (e,d)=(1,1) полностью удовлетворяет самому алгоритму: и условию e*d=1(mod (p-1)(q-1)) и условию A=((A**e)**d)(mod p*q). То есть от утверждения что 0 допустимое значение ключа - Вы уже отказались? ;) Цитировать А отсев этих значений ключей при генерации указан специально, поскольку в практическом применении тривиальных ключей нет смысла. Их существование важно только с теоретической точки зрения, как свидетельство существования "слабости" алгоритма и для других ключей. А значит, возможности приведения NP задачи факторизации к P. Мы с вами спорим о конкретном алгоритме компании RSA Security Inc, а именно об алгоритме RSA. В описании которого четко исключены упомянутые вами значения для ключей. И после этого вы продолжаете спорить убеждая меня что если НАРУШИТЬ условия алгоритма генерации ключей, то вы будете правы? Urix вы ведь взрослый человек, а не пацан 15-летний. Неужели так сложно признать что вы ошиблись насчет "слабых" ключей RSA и это ваш неудачный пример? В конце концов нет ничего зазорного признать свою ошибку даже для "Авторитета и Специалиста", ведь не ошибается только тот кто ничего не делает. Цитировать Если соответствие доказано для СЛУЧАЙНО взятого небольшого множества образцов, то с высокой степенью вероятности можно сказать, что и остальные образцы так же соответствуют. Urix отлистайте тему немного назад. Я говорил о чем то другом или просто вы меня не поняли?Название: Re:Компьютерная преступность Отправлено: Urix от 25 Января 2004, 03:23:52 Цитировать То есть от утверждения что 0 допустимое значение ключа - Вы уже отказались? Я сразу же оговорился, что это вырожденный случай. Раз речь шла о паре, то точно было бы сказать - две пары (e,d)=(1,1) и (e,d)=(1,1). Подумайте, почему.Цитировать Мы с вами спорим о конкретном алгоритме компании RSA Security Inc, а именно об алгоритме RSA. В описании которого четко исключены упомянутые вами значения для ключей. Существует математическая постановка алгоритма RSA. Я веду речь именно о ней. С точки зрения математики существование тривиальной пары ключей - это проявление "слабости" алгоритма.Раскрою маленький секрет: зная о "слабости" RSA мне удалось найти интересный подход к решению задачи факторизации и 423-разрядное число N из первого сообщения об RSA Celeron-500 разложил чуть больше чем за 2 суток. Однако, далеко не все меня устраивает в найденном мной алгоритме. Пока еще нет достаточной стабильности для разных чисел. И пока еще затраты растут по закону квадрата от числа разрядов. Предположительно, затраты должны для этой же машины составить не более 2-3 минут и иметь почти линейный закон роста с ростом числа разрядов. Закончу работу над алгоритмом, опубликую. Цитировать Urix отлистайте тему немного назад. Я говорил о чем то другом или просто вы меня не поняли? Есть такие разделы математики, как теория вероятности, математическая статистика и теория обработки результатов экспериментов. Этими теориями и пользуюсь не только я, а все знающие люди. Правда, потом это выливается в некие упрощенные рекомендации, которыми пользуются уже многие и именно эти рекомендации для них являются правильными. Хотя, эти рекомендации зачастую описывают частный случай.Название: Re:Компьютерная преступность Отправлено: Yeoman от 25 Января 2004, 15:59:30 2 Urix;
Во первых: Цитировать Существует математическая постановка алгоритма RSA. Я веду речь именно о ней. Urix, давайте не будем пускать пыль в глаза уходить от темы. Никто с вами о математической постановке не говорил и не спорил и самое интересное не собирался - здесь не место для обсуждения математического обеспечения криптографических задач. Вы привели пример, но из-за того что это было предусмотрено в алгоритме генерации ключей, а вы об этом не знали или забыли, ваш пример оказался ОШИБОЧНЫМ. И ничего более. О чем я вам и сказал.Во вторых: Цитировать Раскрою маленький секрет: зная о "слабости" RSA мне удалось найти интересный подход к решению задачи факторизации и 423-разрядное число N из первого сообщения об RSA Celeron-500 разложил чуть больше чем за 2 суток. Однако, далеко не все меня устраивает в найденном мной алгоритме. Пока еще нет достаточной стабильности для разных чисел. И пока еще затраты растут по закону квадрата от числа разрядов. Предположительно, затраты должны для этой же машины составить не более 2-3 минут и иметь почти линейный закон роста с ростом числа разрядов. Закончу работу над алгоритмом, опубликую. Urix вы не первый и не последний кто говорит о том что ему что то удалось. Давайте говорить о конкретных вещах и конкретных результататах. Когда вы сможете по открытому 1024 битному ключу получить соответствующий закрытый ключ, тогда и поговорим. А так заявления подобные вашему уже не раз появлялись в RU.CRYPT, да и не только там, НО пока 1024 битный ключ одолеть не удалось никому.И последнее: Цитировать Есть такие разделы математики, как теория вероятности, математическая статистика и теория обработки результатов экспериментов. Этими теориями и пользуюсь не только я, а все знающие люди. Правда, потом это выливается в некие упрощенные рекомендации, которыми пользуются уже многие и именно эти рекомендации для них являются правильными. Хотя, эти рекомендации зачастую описывают частный случай. Urix, а это то к чему??? Что вы громоздите одно на другое то?Я же вам сказал что можно проверить выполнение условий генерации ключей для сертифицируемого СКЗИ, и если они выполняются, признать процедуру генерации соответствующей требованиям. И все ключи которые будут создаваться после этого при помощи этого СКЗИ тоже. Естественно что при сертификации создается некое множество ключей, которое и подвергается проверке. И вы мое утверждение подтвердили, написав: Цитировать Если соответствие доказано для СЛУЧАЙНО взятого небольшого множества образцов, то с высокой степенью вероятности можно сказать, что и остальные образцы так же соответствуют. ТАК О ЧЕМ ВЫ ТЕПЕРЬ ТО ГОВОРИТЕ?Вы не единственный здесь у кого есть высшее техническое образование. К чему это перечисление теорий и методов? Название: Re:Компьютерная преступность Отправлено: CyberCop от 25 Января 2004, 16:21:52 Уважаемые Yeoman и Urix!
Представляется, что вы далеко ушли от темы обсуждения "Компьютерной преступности". Предлагаю вам обсудить в личной переписке возможность открытия в этом разделе новой темы. Предлагаю вам следующие варианты: "Теоретические проблемы современной криптографии"; "Методы оценки криптостойкости алгоритмов"; "Проблемы сертификации СКЗИ". Можете предложить и свою тему. Я думаю, желающие подключиться к дискуссии найдутся. К сожалению, пока наблюдается только исключительно ваш интеллектуальный спаринг, не вписывающийся в тему обсуждения. Название: Re:Компьютерная преступность Отправлено: Urix от 25 Января 2004, 19:37:06 Цитировать но из-за того что это было предусмотрено в алгоритме генерации ключей, а вы об этом не знали или забыли, ваш пример оказался ОШИБОЧНЫМ. ОШИБКОЙ является самоуспокоенность в том, что стойкость RSA ПОКА еще является достаточно высокой. И НЕ ЗНАНИЕ или НЕ ЖЕЛАНИЕ учитывать такие факторы, приводит к появляению реальной "слабости" уже в конкретной реализации.Это гораздо хуже, чем "честное" заблуждение. Люди привыкли доверять специалистам "на слово", забывая, что они живут не в Англии и специалисты далеко не всегда джентльмены. В результате такого доверия происходят реальные "утечки" и люди "садятся на нары". Так ведут себя провокаторы. Если Вы не провокатор, то УЧИТЕ ТЕОРИЮ, и не просто учите, а учитесь ГРАМОТНО применять ее на практике. И, обсуждая такие вопросы, всегда помните, что каждое сказанное Вами слово может явиться причиной сломанных, исковерканных судеб людей. Лично я не хочу видеть по ночам кошмары. И еще. Доверие к продукции MicroSoft всем очень дорого обходится. Посмотрите, таких же преступлений, но только с ОС UNIX практически нет. Однако, везде и всюду - Windows. Пользуясь негодной программной средой, Вы, тем самым, провоцируете "слабых" людей на совершение компьютерных преступлений. С моей точки зрения, любые уголовные дела, связанные с компьютерными преступлениями, если в качестве "кракнутой" ОС является ОС семейства Windows , должны прекращаться сразу же. Возбуждение таких дел и их ведение равносильно обвинению в воровстве человека, нашедшего на улице бумажник с деньгами. Название: Re:Компьютерная преступность Отправлено: Yeoman от 25 Января 2004, 23:04:41 Уважаемый Urix!
И это все что вы имеете сказать? От глубоких теоретических выкладок вы скатились к банальному "Windows - маздай!". Я ожидал от вас большего, честное слово. А что касается алгоритма RSA тут видите ли какая штука, я ему доверяю, платежные системы типа Visa и Mastercard тоже, множество людей по всей планете опять таки доверяют ему, а вы судя по всему нет. :( Нас большенство, таких как вы меньшенство. У нас реально работающие, защищенные системы приносящие прибыль, а что у Вас? Разница между нами в том что мы занимаемся конкретным делом и получаем конкретный результат, а вы говорите слова. И эта разница помоемому не в вашу пользу Urix. Не знаю уж в каком контексте вы решили пнуть многострадальную операционку :) но в контексте RSA могу сказать, что в Windows используется библиотека написанная самой RSA Security Inc, а не Microsoft. Что до всего остального в Windows, согласен там были и будут баги, но основной ее проблемой всегда был и будет человеческий фактор - если руки у админа не из плеч, то ему хоть openbsd дай - все равно хакнут его. За сим предлагаю эту тему закрыть как исчерпавшую себя. Название: Re:Компьютерная преступность Отправлено: Антон Серго от 25 Января 2004, 23:08:44 Доверие к продукции MicroSoft всем очень дорого обходится. Посмотрите, таких же преступлений, но только с ОС UNIX практически нет. Однако, везде и всюду - Windows. Пользуясь негодной программной средой, Вы, тем самым, провоцируете "слабых" людей на совершение компьютерных преступлений. Urix, мне кажется, Ваши нападки на MS не обоснованы. Полагаю расчет будет более верным, если брать %%, а не абсолютные цифры. Согласитесь, продукция MS значительно больше распространена...Название: Re:Компьютерная преступность Отправлено: Urix от 26 Января 2004, 12:07:39 На www.cert.org ведется статистика и абсолютная и относительная. UNIX-системы значительно отстают от Windiws по всем показателям.
Цитировать А что касается алгоритма RSA тут видите ли какая штука, я ему доверяю, платежные системы типа Visa и Mastercard тоже, множество людей по всей планете опять таки доверяют ему, а вы судя по всему нет. Видите ли в чем дело - я уже далеко не желторотый юнец, который верит всему, что ему "втирают по ушам". Поэтому, когда мне понадобилсь создать сеть для работы с информацией ограниченного доступа, я сначала исследовал саму постановку задачи и пришел к выводу, что время использования алгоритмов, стойкость которых основана на неразрешимости некоего математического феномена, ограничено по времени. По моим подсчетам время использования RSA окончилось в 2000-2002 году. После 2000 года величина проигрыша в математической игре (которой описывается применение различных алгоритмов) для RSA уже будет больше выигрыша из-за значительного роста вероятности дискредитации этого алгоритма. Это моя оценка. Американцы дают порог 2010-2015 годами.Название: Re:Компьютерная преступность Отправлено: CyberCop от 28 Января 2004, 03:56:45 Ох, уж этот Urix!
Складывается впечатление, что кроме RSA в отечестве уже больше ничего не осталось! Название: Re:Компьютерная преступность Отправлено: Urix от 28 Января 2004, 15:53:28 Цитировать Складывается впечатление, что кроме RSA в отечестве уже больше ничего не осталось! Есть такое понятие, как математическая постановка задачи шифрования (защиты информации путем ее преобразования). Исследовать надо сначала эту задачу. А все конкретные методы защиты, основанные на шифровании (преобразовании информации), являются частными случаями общего. Что проще - исследовать общий случай или каждый раз заниматься исследованием "с нуля" частных?Название: Re:Компьютерная преступность Отправлено: CyberCop от 29 Января 2004, 03:43:07 Представляется, что каждый алгоритм шифрования информации уникален по своему и этим не похож на другие.
Зачем же "стричь всех под одну гребёнку" ради какой-то теоретической (условной) унифицированной идеи? В чём заключается её практический выход? Ведь "в споре должна рождаться истина"! |