Интервью с 3APA3A
Дмитриев Ярослав aka Clane (clane@real.xakep.ru)
Спецвыпуск Xakep, номер #041
Разговор за жизнь со спецом в области IT-security
Привет, дружище! Я рад представить тебе сегодняшнего гостя, который случайно заскочил в нашу виртуальную студию. Кто это? Он весьма популярен в мире IT-security. Этот человек написал огромное количество статей, а также создал популярнейший ресурс по информационной безопасности. До сих пор не втыкаешь, о ком я говорю? Тогда встречайте - сегодня мы беседуем с 3APA3A.
XS: Привет, 3APA3A! Готов отвечать на мои каверзные вопросы?
3APA3A: Привет! Всегда готов =).
XS: Раз готов, тогда поехали :-). Для начала расскажи в общих чертах о своем детище - проекте security.nnov.ru! С чего все начиналось?
3APA3A: Изначально сервер security.nnov.ru создавался специально под конференцию "Компьютерная безопасность и защита информации", которая проходила в апреле 1999 года (оригинальное содержимое можно найти на страничке www.security.nnov.ru/conference/ - прим. Clane). Конференция сначала планировалась как регулярная, но после подведения итогов стало ясно, что интерес к ней превзошел все ожидания. И для того чтобы проводить ежегодную конференцию на самом высоком уровне, какой требуется, надо только этим и заниматься. Поэтому, к сожалению, подобной регулярной конференции в России до сих пор нет, что весьма странно. Через некоторое время, чтобы имя не пропадало зря, я стал использовать сервер для того, чтобы выкладывать основные постинги из бугтрака с краткой классификацией и описанием проблемы на русском языке (тогда он был гораздо более "разговорным", процент важных постингов был относительно небольшим). Делалось это исключительно "для себя" и нигде не афишировалось.
XS: Кто занимался созданием сайта, его дизайном?
3APA3A: По прошествии некоторого времени на сервере стали появляться посетители. Тогда я собственноручно зарегистрировал сайт в поисковых системах, а Дядюшка Юлиус (Денис Сажин, работавший тогда программистом) сделал оформление, которое несколько раз переделывалось, но основная изюминка не менялась. Затем я сделал список рассылки, впоследствии с огромным удивлением обнаружил в подписчиках администраторов половины крупных российских сетей. Потом пришлось засовывать сервер в базу данных и даже делать английскую версию.
XS: Кто-нибудь пробовал взломать твой сайт?
3APA3A: Попытки сканирования и прочего баловства идут постоянно. Были и попытки DDoS-атак, но, к счастью, пока не очень мощных. Серьезных, направленных взломов я до сих пор не замечал.
XS: Занимаешься ли ты направленной раскруткой ресурса?
3APA3A: Нет, если не считать раскруткой ссылку на сайт в моей сигнатуре :). Поначалу пробовал участвовать в баннерных сетях, но правильная организация баннерной рекламы - это целое искусство, которого я, к огромному сожалению, не постиг :).
XS: Какова ежедневная посещаемость твоего ресурса?
3APA3A: По счетчику mail.ru в день накапывает примерно 1500 посетителей и 6500 загруженных страниц в день. Реально - несколько выше. И соизмеримое количество людей видят новости от Security.nnov из информационных лент на других сайтах.
XS: Ты поддерживаешь сайт один или у тебя есть помощники?
3APA3A: Один, но сайт организован так, что я могу управлять процессом, находясь в отъезде.
XS: Ты говорил, что можешь управлять security.nnov.ru удаленно. Каким ПО при этом пользуешься, если не секрет?
3APA3A: Я использую собственную систему управления контентом. В ней минимальный необходимый функционал, а значит и минимальная вероятность критичных ошибок =).
XS: Допустим, человек хочет помочь тебе. Какие требования ты предъявляешь?
3APA3A: Главное - это сделать экспертную оценку проблемы. Очень часто сложно сразу оценить критичность той или иной ошибки и возможные последствия, так как тут нужны навыки отсеивания лишней информации. Если у человека имеется опыт и наличие здравого смысла в поступках, you are welcome!
XS: Есть ли у сайта свой irc-канал?
3APA3A: Нет, я с давних пор недолюбливаю IRC. Онлайновое общение отнимает слишком много времени.
XS: Есть ли какие-то фундаментальные программные проекты (в первую очередь, конечно, интересен софт по безопасности), которые ты в данный момент поддерживаешь? Если есть, то какие?
3APA3A: Нет. Единственный проект, над которым я время от времени работаю, это 3proxy (www.security.nnov.ru/soft/3proxy). Помимо этого, немного моего кода есть в FreeRADIUS (www.freeradius.org).
XS: Сколько времени тебе понадобилось, чтобы стать "реальным" спецом? Как ты этого добивался?
3APA3A: Сразу скажу, что времени потребовалось очень-очень много. Лет десять назад в России стать IT-специалистом можно было, только преодолев множество преград и накопив бесценный опыт. Сейчас с этим проще - можно пойти и научиться, хотя профессиональное обучение стоит недешево, да и опыт все равно потребуется =). Сначала я учился программировать, освоив несколько языков программирования (хотя позже начинаешь понимать, что язык программирования ни на что не влияет, так как хороший специалист освоит новый язык всего за 2-3 дня). Очень важно научиться "видеть" код, т.е., не вдаваясь в каждый отдельный оператор, понимать, какой алгоритм реализован и что он делает. Потом занялся системным администрированием. Освоил несколько операционных систем. Определил для себя, какая система для чего пригодна и где наиболее приемлема для использования. Затем просто начинаешь со всем этим работать. Когда вдруг натыкаешься на то, что где-то не хватает знаний - берешь нужную литературу и читаешь. В этом плане очень хорошо с коммерческими системами, особенно с Microsoft, - очень много литературы хорошего качества. В бесплатных системах часто приходится разбираться с исходными кодами. С одной стороны, это сложнее и требует больше времени, а с другой, когда понимаешь внутреннюю логику программы - с ней легче и приятнее работать. Компьютерные курсы тоже бывают полезными. Недавно прослушал курсы по безопасности информационных технологий в УЦ Информзащита, которыми остался доволен. Поехал на них в основном для систематизации некомпьютерных сведений и получения бумажки. Но в каждой такой вылазке в реальный мир узнаешь кого-то из мира виртуального, например offtopic'а (Сергей Гордейчик) :).
XS: Стоит ли обучаться компьютерной безопасности в учебных заведениях? Какой вуз, по твоему мнению, обучает IT лучше? Есть ли острая необходимость в классных спецах у нас в стране и за рубежом?
3APA3A: Мне сложно сказать именно про компьютерную безопасность, по той простой причине, что, когда учился я, открытых заведений в этой области просто не было. А в Нижнем их нет до сих пор. Но любому IT-специалисту нужно иметь два образования: классическое широкое фундаментальное образование, которое есть только в России, и узкоспециализированное образование, которого в России как такового нет. Первое дает возможность понять философию знаний в целом, узнать терминологию и принципы построения своей дисциплины и смежных дисциплин. Только человек, имеющий фундаментальное образование, может принести в свою область что-то новое. Для этого нужен вуз, причем хороший. Узкое специализированное образование нужно для того, чтобы познакомиться с конкретными продуктами и технологиями. К сожалению, если в каком-то вузе и дается такое образование, то построено оно зачастую так, что к моменту окончания студентом вуза технологии и программы уже устарели. Знакомиться с ними приходится уже после поступления на работу или слушать платные курсы. Потребность в IT-специалистах сейчас огромная и будет только расти (в отличие от модных некогда юристов и экономистов). Тот, кто хочет "вложить" свое время и деньги в собственное образование, может иметь это в виду. Но также хочу отметить тот факт, что со временем максимальный спрос будет не на "мастеров на все руки", а на специалистов определенных направлений, хорошо знающих свою область.
XS: Как, по-твоему, эффективнее приобрести фундаментальные знания в области security? Что-нибудь посоветуешь почитать?
3APA3A: Самообразование - вещь весьма сложная. Обучаясь таким образом, всегда нужно ставить перед собой какую-то строго определенную цель, и уже исходя из нее строить программу образования. Просто чтение каких-то книг вряд ли поможет, особенно если нет знаний в области программирования, построения сетей и даже философии. Так что лучший способ - все-таки сначала научиться общим вещам, без специализации в области безопасности, а потом дочитывать то, в чем есть пробелы. Лучше по специальным учебникам, и техдокументации, ориентированной на специалиста.
XS: Насколько серьезно стоит вопрос информационной безопасности в матушке России?
3APA3A: Очень серьезно, причем, чем дальше от Москвы, тем хуже обстоят дела. И такая ситуация сложилась во многом благодаря тому, что в России не готовят системных администраторов.
XS: Какие security-сайты посещаешь? Бываешь ли ты на компьютерных форумах?
3APA3A: Регулярно - ничего не посещаю. Лезу в интернет, только если ищу что-то конкретное, чаще всего пользуюсь гуглом. На компьютерных форумах бываю, но нечасто.
XS: Все спецы в один голос кричат о дырявости окошек! Есть ли у тебя что сказать в защиту виндов?
3APA3A: В семействе Windows есть 2 принципиально разные системы: Windows и Windows NT. Их абсолютно нельзя смешивать, но, к сожалению, люди очень часто этого не понимают. Windows 95/98/ME - это не операционная система, это надстройка, делающая из железного ящика универсальную игровую приставку. К ней нельзя предъявлять никаких жестких требований по надежности и безопасности. Наоборот, Windows NT (NT 4.0, 2000, XP, 2003) - это замечательная операционная система, особенно по своей внутренней структуре. Она разрабатывалась намного позже Unix, абсолютно с нуля и с учетом всех имеющихся недостатков. Естественно, когда дело доходит до реализации, то программисты, пишущие с нуля, оказываются в невыгодном положении - они прошли по всем тем "граблям", которые Unix-кодеры успешно разминировали ранее. Плюс Microsoft в том, что они слишком поздно включились в "революцию" в области безопасности и качества программного обеспечения, которая началась 5-10 лет тому назад. Но потенциал, заложенный в этой платформе, гораздо выше.
Ребята из Microsoft превращают программирование из творческого процесса в технологический, а это, на мой взгляд, очень важный шаг для качества продукта. И чем дальше, тем сильнее это ощущается. Если Unix-сообщество срочно не соберется и не выработает общий план развития и новые стандарты, в т.ч. стандарты качества, то оно проиграет, причем уже в ближайшие годы, и в первую очередь проигрыш оставит отпечаток на бесплатных системах, которые не имеют единого центра разработки. А тут еще возникает ситуация с SCO, которая развитию и вложению в него денег отнюдь не способствует. Даже если SCO сумеет полностью прибрать Unix, она не сможет одна его полноценно развивать.
XS: Как ты думаешь, есть ли способ сделать свою ОС Windows более безопасной? Абсолютно безопасной?
3APA3A: Абсолютной безопасности нет и не будет. Как правило, есть способы сделать Windows безопаснее для определенных целей - например, безопасный домашний компьютер или безопасное рабочее место для сотрудника, выполняющего определенный набор функций.
XS: Твое мнение о проекте RTS (первая русская операционная система для хакеров)?
3APA3A: Ничего о нем не слышал... Но "операционная система для хакера" звучит примерно как "тетрадка для философа".
XS: Часто ли к тебе обращаются за помощью, слезно умоляя протестировать сервер на баги?
3APA3A: В общем-то, нечасто, хотя, конечно, бывает... Как специалиста по поддержке пользователей, случаи с ламерами меня не смешат :). Было, например, много ситуаций, когда руководитель небольшой фирмы на вопрос "что нужно сделать в первую очередь для защиты информации на моем компьютере?" получал ответ "поставить железную дверь" и при этом очень сильно удивлялся =).
XS: Занимался ли ты когда-нибудь сам взломом хостов в сетях? Если да, то как и какие цели преследовал?
3APA3A: Так, чтобы несанкционированно - нет. Я занимался аудитом каких-то определенных служб или приложений по просьбе разработчиков или администраторов сервера, хотя и не специализируюсь на этом.
XS: Как ты относишься к интернет-эпидемиям, вирусописателям? Сам баловался написанием вирусов?
3APA3A: Сам не писал. Раньше относился к вирусам как к неизбежному злу, но сейчас точка зрения сменилась на диаметрально противоположную. Но вот что действительно удручает: последние эпидемии (включая mydoom) указывают на то, что даже вирусописательство коммерциализировалось. Черви пишутся, чтобы приносить доходы. И ничего интересного в них нет. Очень хочется, чтобы авторов взяли за...
XS: Как ты относишься к спаму, и что требуется для предотвращения этого "заболевания"?
3APA3A: Отношение однозначно негативное. Сейчас в мой ящик спама практически не попадает, но: для предотвращения спаминга требуется четкое законодательство, которое регламентировало бы коммерческие рассылки так, чтобы их получали только те, кто в них нуждается. И жестко карало бы за обратное, вплоть до уголовного наказания, как заказчика, так и исполнителя.
XS: Что ты будешь делать, если найдешь дырку с продукте от Майкрософт?
3APA3A: Напишу на secure@microsoft.com. Microsoft всегда быстро реагирует на подобные вещи, хотя старается по возможности затянуть переписку. Бывали случаи, когда она затягивалась на несколько лет. Если все будет двигаться так медленно - незамедлительно опубликую информацию.
XS: Каким ты видишь мир компьютерной безопасности, например, лет через 10? Что нас ожидает?
3APA3A: Всех нас ожидает кардинальное изменение подхода в первую очередь к проектированию клиентского программного обеспечения. Контроль доступа к ресурсам и фильтрация привилегий на уровне приложения (возможно, даже потока), дополнительно к контролю на уровне пользователя. Чтобы приложение, работающее с опасными данными (например, браузер), не могло обращаться к критичным данным. Сепарация привилегий (privilege separation), когда приложение создается из отдельных компонент, имеющих строго определений набор функционала с разграниченным доступом к ресурсам, чтобы компрометация одной из компонент приводила к минимальным последствиям для безопасности в целом. Контроль программы по поведению. Отмирание административной учетной записи (root, administrator) для входа в систему. С повышенными правами будут работать лишь отдельные приложения. Снижение количества червей и вирусов (строго говоря, вирусы уже стали редкостью; в то же время могут появиться вирусы, заражающие CD-R/CD-RW/DVD, но большого распространения не получат), как следствие снижение роли антивирусного ПО. Еще больший уклон атак в сторону социальной инженерии и, соответственно, уклон не в сторону защиты информации, а в сторону защиты личности. Если пофантазировать, то возможно появление понятий виртуальной собственности, виртуальной личности и их безопасности, тем более что такие вопросы уже встают.
XS: Каково твое мнение относительно перспектив интернета в плане безопасности (имеются в виду всяческие сетевые паспорта и т.п.)? Какие методы обезопасить пребывание человека в Сети ты бы мог предложить?
3APA3A: В реальном мире у всех есть паспорта. Возможно, это как-то влияет на общий уровень безопасности, но непохоже, что сильно. Паспорт можно подделать или украсть. В Internet большое количество устаревших стандартов и норм. Менять их сложно, так как они активно используются, но менять их надо. Например, если компьютеры конечных пользователей будут находиться за NAT, почта будет требовать авторизации на отправку и ее объем будет лимитирован, то количество спама и сетевых червей значительно снизится. Сейчас все понимают необходимость внесения изменений в стандарты, кто-то даже пытается их менять, но нет ни одной организации, имеющей достаточный авторитет, чтобы это сделать.
XS: Ты пользуешься сотовым телефоном? Не боишься, что за тобой постоянно незримо следят и прослушивают твои разговоры? :)
3APA3A: Все крупные сотовые операторы записывают телефонные переговоры, это необходимо для обеспечения СОРМ. Обычно они хранятся несколько недель, причем это ни для кого не секрет. Я использую сотовый телефон только для тех целей, для которых он подходит.
XS: Принимал ли ты участие в таких тусовках, как DEFcon и ему подобных?
3APA3A: Нет, мне это не по карману. Так что если и принимаю участие в конференциях, то в онлайновых (Uninet в частности).
XS: Не планируешь устроить что-то подобное в России?
3APA3A: В одиночку этого никто не осилит. Почему? В первую очередь - это огромная организаторская работа. Я видел, и даже в какой-то мере участвовал в организации нескольких конференций, например, Relarn, и знаю, какие материальные и физические затраты нужны на то, чтобы не ударить лицом в грязь. Но если кто-то возьмется, я с удовольствием помогу.
XS: Твое определение слова "хакер".
3APA3A: "Хак" - это уникальное решение, которое действует только здесь и сейчас с учетом ситуации и всех обстоятельств и не является технологичным. Ну, для примера, жеваная спичка для усиления жесткости контакта в CD-плеере (работает второй год, но внедрять в производстве я бы не советовал). Хак - это то, от чего хочется сказать "эврика", когда оно сработает. Хакером можно назвать либо человека, который умеет находить такие решения (и это хорошо), либо того, кто слишком к ним тяготеет (и это плохо; надо было выкинуть этот чертов глючный плеер еще два года назад). То же самое и в компьютерной системе. Умение подобрать ключик в такой плоскости, которую никто раньше просто не рассматривал - это хак. Тупой перебор эксплойтов, как это делают некоторые, считающие себя blackhat, или массовый дефейс через дырки в каком-нибудь PHP-скрипте, который делают scriptkiddie - это не хак. Он не рожден идеей. И уж тем более глупо называть хакерами всех, кто попадает под "компьютерные" статьи УК, например людей, нагло тырящих диалапные пароли в PWL-файлах. Это просто несчастные люди, мало того, что в этом нет идеи, так эта информация не имеет коммерческой ценности - любое несанкционированное использование диалапного пароля раскрывается в течение 15 минут после обнаружения.
XS: Бывали проблемы с законом? Что думаешь об органах, которые ловят хакеров и прочих злоумышленников? Твое мнение об их навыках и профпригодности.
3APA3A: Проблем с законом не бывало, так как я его не нарушаю. Органы исправно ловят тех, кого могут поймать - PWL-воришек и прочих несчастных. Ловить их надо, но наказывают их слишком сурово и подают все это как большую победу правосудия - это неправильно. Профессионального взломщика практически нереально поймать, гораздо сложнее, чем профессионального вора. Только из-за случайности, неосторожности или в момент контакта с "реальным миром" (например, при получении денег). Их крайне мало, и их не ловят. Вспомни хотя бы один случай, чтобы был пойман реальный автор массового червя именно по самому этому червю, а не из-за длинного языка. А авторы большинства червей в прошлом не профессионалы. Что касается профпригодности - следователю не требуется больших технических навыков. Они требуются эксперту. В большинстве регионов экспертизу проводят вполне грамотные люди. Когда это не так, то возможны ужасные ситуации и осуждение невиновных людей. К сожалению, есть прецеденты.
XS: Как ты сохраняешь анонимность в интернете?
3APA3A: Да я ее и не сохраняю, с чего ты взял? Просто живу в разных мирах под разными именами и не заполняю лишних форм :).
XS: Какой алгоритм ты используешь при "выдумывании" паролей?
3APA3A: Простые пароли - как придется. Для сложных обычно конструирую бессмысленную фразу, беру определенные буквы в каждом слове (например, вторую и третью) и часть букв заменяю символами, сходными по написанию.
XS: Когда ты написал первую статью? О чем она была?
3APA3A: Первая статья называлась "Еще раз о взломе чатов", она была опубликована на Хакзоне сколько-то лет назад. В основном рассматривалось то, что сейчас называется межсайтовым скриптингом (crossite scripting), тогда такого термина еще не было, и сама идея подобной атаки была довольно свежей.
XS: Как ты попал в BugTraq? Какие у тебя там обязанности?
3APA3A: Сначала читал. Потом написал несколько общих статей (например, посвященных старой, как оказалось, проблеме перехвата FTP-сеансов). После, по мере работы, при разборе различных аварийных ситуаций, исходных текстов программ и тестирования начали находиться разные ошибки. Так что большая часть ошибок была найдена благодаря случайному стечению обстоятельств - намеренным копанием дырок я не занимаюсь. Обязанностей по отношению к бугратку - нет и не может быть, так как он сейчас является собственностью Symantec и держится на его честном слове.
3APA3A о себе
XS: Мне надоело называть тебя 3APA3A! Как тебя величают в реальной жизни?
3APA3A: Реальное имя есть, но я стараюсь использовать псевдоним для всего, что не относится к основной работе, чтобы не приходилось делать оговорок, когда я выражаю свою точку зрения, а когда - точку зрения компании. Хотя я и не стараюсь скрыть свое реальное имя. Кому надо - тот найдет, и ставить преград я не собираюсь.
XS: Расскажи историю создания своего зловещего ника!
3APA3A: Когда-то в большинстве сетевых стрелялок использовались имена в формате 8.3 (т.е. 8 символов на имя игрока и 3 символа на имя команды - прим. Clane). И в то время было очень модно использовать русские слова, записанные латиницей. Я взял 3APA3A просто потому, что в то время в городе еще никто не играл с таким именем. В Сети же я жил под именем Ученый Кот. Однако для ника "Ученый Кот" сложно найти адекватный перевод, поэтому англоязычные постинги подписывались "игровым" именем. Со временем только оно и уцелело. К тому же и к характеру хорошо подходит =).
XS: Когда ты в первый раз "познакомился" с компами? Где и как это произошло? Как появилось желание заниматься компьютерной безопасностью?
3APA3A: Увидел - еще совсем маленьким, больше 20 лет назад, но понял, что это был компьютер, значительно позже. Тогда это просто воспринималось как печатная машинка, которая временами сама печатает (раньше были механические терминалы). Посидеть за терминалом довелось несколько позже. В пятнадцать решил, что буду заниматься программированием, перейдя в только что организованный "программистский" класс в физмат школе. Последние восемь лет профессионально занимаюсь консультацией и поддержкой пользователей, сейчас преимущественно корпоративных, в том числе и с оперативным разрешением инцидентов, поэтому пришлось уделять внимание и компьютерной безопасности, хотя специалистом в этой области я себя не считаю.
XS: Где учился, родился? Как прошло твое детство? Сколько тебе лет?
3APA3A: В феврале исполняется 30. Всю круглую цифру прожил в Нижнем Новгороде aka Горький, где и провел детство. Был прилежным учеником. Позже закончил ВМК Нижегородского государственного университета.
XS: Кем ты работаешь? Ходишь на работу с удовольствием?
3APA3A: Руковожу одним из подразделений в холдинге, имеющем несколько направлений деятельности, в частности, оказание услуг доступа в интернет и внешнее администрирование корпоративных сетей. Если бы работа не нравилась, я бы ей не занимался, хотя у любой работы есть и неприятные стороны. Например, бумажная.
XS: На каких осях ты работаешь?
3APA3A: На самых разных. В качестве Desktop-системы сейчас Windows XP. В качестве серверных систем приходилось работать и с Windows (NT 4.0, 2000, 2003), и с различными видами Linux, и с FreeBSD. Дома тоже живет Windows XP с Debian и FreeBSD в виртуальных машинах.
XS: Какая ось, на твой взгляд, самая безопасная?
3APA3A: Чем бесполезней ОС, тем она безопасней.
XS: Какими программами пользуешься?
3APA3A: IE в качестве браузера, The Bat! в качестве почтового клиента. PowerDVD/BSPlayer для просмотра фильмов. FAR для работы с файлами и текстом. WinAMP для MP3. Cygwin как набор полезных утилит с gcc для компиляции программ. HL+Counter Strike 1.6 для игры. Все остальное - преимущественно узкоспециализированный софт.
XS: На чем программируешь? Какой твой любимый язык программирования?
3APA3A: Программирую на том, на чем надо в данный момент. Язык программирования выбирается от конкретной задачи. Сейчас чаще всего приходится писать какие-то сетевые вещи под Unix, поэтому я программирую на C, причем преимущественно без плюсов. А так, приходилось работать даже с такими специфичными или раритетными сейчас языками, как Prolog или Fortran. Perl и Java тоже приходилось использовать, хотя Java - это язык на любителя, так как все его преимущества следуют из недостатков, и наоборот.
XS: TOP-5 сайтов
3APA3A:
XS: Сколько времени ты проводишь за компьютером?
3APA3A: Обычно 8-10 часов в день.
XS: О компах поговорили, теперь пора приступать к досугу. Как проводишь свое свободное время? Есть ли у тебя оригинальное хобби?
3APA3A: Работаю :). Иногда вечерами преображаюсь в 3APA3A[SND], чтобы трАхнУть стариной. Впрочем, без особого успеха. Молодежь пошла слишком шустрая.
XS: Привередлив ли ты в еде? Что больше всего любишь поесть?
3APA3A: Очень люблю вкусную еду. Мясо, рыбу, сладкое, все хорошо прожаренное. Нравится острая пища, например, мексиканская.
XS: Что читаешь? Слушаешь? Смотришь телевизор? Если да, то что именно?
3APA3A: Слушаю Dire Straits, Pink Floyd, Uriah Heep, Beatles, мюзиклы. Из более свежего - Radiohead, хотя в качестве фона пойдет что угодно, кроме слишком попсового - уж очень сильно раздражает. Книги тоже преимущественно перечитываю, так как читать что-то новое совсем нет времени. За последние месяцы - Гербертовский "Дюнный" цикл, "Дневник одного гения" Сальвадора Дали, "Гойа" Фейхтвангера, Кастанеду и Толкиена. По телевизору смотрю только DVD :). Ну, может быть, новости раз в неделю посмотрю =).
XS: Увлекаешься спортом?
3APA3A: Нет, хотя начал заниматься йогой, если это можно так назвать. В общем, 3 раза в неделю общеукрепляющие упражнения штурмуют мое тело. Пару раз уже позанимался. Болит все, но лиха беда начало.
XS: Как ты расслабляешься, избавляешься от стресса? Есть ли у тебя оригинальный способ поднять себе настроение?
3APA3A: Стараюсь жить размеренной жизнью. Когда целыми днями решаешь какие-то проблемы, то перестаешь испытывать от них стрессовое состояние, начинаешь спокойно их анализировать и искать причины. И ни от чего не получаешь такого удовольствия, как от красивого решения и хорошо сделанной работы, хотя с опытом вместо красивых решений все чаще приходится делать правильные :). Ну и, конечно, любимая семья лечит любые стрессы не хуже небольшого сумасшедшего дома :).
XS: Есть ли у тебя ЖЖ? ICQ?
3APA3A: Livejournal'a нет и не будет. ICQ есть, при желании найти мой номерок несложно.
XS: Ты женат? Дети есть?
3APA3A: Да, женат уже больше 8 лет, две дочки. Старшей 7 лет, младшей год.
XS: Как твоя жена относиться к твоему увлечению компами и безопасностью? Не ревнует? Не пробовала отучить?
3APA3A: Ревнует, конечно :). И к компьютерам, и к работе. Но мы давно научились понимать друг друга, поэтому никто никого не учит и не отучает :).
XS: Твое жизненное кредо, если есть.
3APA3A:Да нет ничего такого. Живу как живется, занимаюсь, чем нравится. Можно сказать, плыву по течению.
XS: Кого из security мира уважаешь больше всего? Есть ли у тебя кумиры? Кого знаешь лично?
3APA3A: Кумиров нет. Всех, с кем общаюсь - уважаю. Общался со многими, и по работе и вне ее. Называть кого-то лично не хочется - кто знает, как люди к этому отнесутся, тем более что хотя бы одним письмом обменялся наверняка со всеми, кто более-менее на слуху. Так что таких людей не так уж и много.
XS: Кто, по-твоему, самый лучший хакер на свете?
3APA3A: Бонд. Джеймс Бонд.
XS: Ты поддерживаешь связь с хак-группировками? Кого считаешь самыми авторитетными?
3APA3A: Практически нет. Серьезные команды первой и второй волны сейчас прекратили существование (или перешли в легальный бизнес, или настолько глубоко зарылись, что о них ничего не слышно). То, что осталось - это постоянно разваливающиеся команды с одним-двумя постоянными членами, которые просто не могут выйти на нормальный уровень, чтобы заниматься чем-то серьезным. Да и чем сейчас заниматься серьезной команде, тоже непонятно.
XS: Твои первые слова при встрече Биллу Гейтсу?
3APA3A: Hello, William.
XS: Кто, по-твоему, внес наибольший вклад в развитии компьютерных технологий, компьютерной безопасности?
3APA3A: Компьютеры создавались сначала великими учеными, потом великими инженерами, а затем великими коммерсантами. То же самое происходило и с программным обеспечением. И каждый из них что-то принес и еще принесет в компьютерный мир, без чего он не смог бы существовать в нынешнем виде. Так какой смысл выделять кого-то одного в общем деле?
XS: Не хочешь написать бестселлер, посвященный "защите от хакеров"?
3APA3A: Бестселлер написать хочется, потому что за это много платят :). Если серьезно, то платят, как правило, не за то, что хочется сделать или написать. Про "защиту от хакеров" писать совсем не хочется, как и не хочется писать каких-либо серьезных "заказных" технических анализов (хотя приходилось, и за неплохую, для меня, плату). Иногда хочется просто описать нынешнюю компьютерную жизнь, как она есть, и при этом чтобы было интересно прочитать и лет через 40.
XS: Какая в данный момент у тебя машина (в смысле компьютер =))?
3APA3A: Gigabyte на i845E, Celeron 1700 (чтобы было куда разгоняться), 256 Мб, 120 Гб Matrox, ATI Radeon 9000.
XS: Есть ли у тебя мечта?
3APA3A: Хочется заниматься только тем, что хочется. Но это нереальная мечта :).
XS: Ты всегда добиваешься, чего хочешь?
3APA3A: Да, но я никогда не ставил перед собой нереальных задач.
XS: Твои планы на будущее? Что непременно хочешь осуществить?
3APA3A: Хочется однажды взять, и все поменять. Только вот не знаю, что да как.
XS: Что нужно делать, чтобы стать хакером? Твои наставления начинающим =).
3APA3A: Даже не знаю. Начните с решения головоломок. Затем научитесь создавать свои. После переходите к головоломкам из реальной жизни. Для упрощения задачи можно находить головоломки в повседневных ситуациях :).
XS: Напоследок твой мудрый совет нашим читателям!
3APA3A: Быть мудрым читателем... Понимать, какие советы просто прочитывать, а какие - принять. О правильном совете всегда думаешь: "И как я сам не догадался". А если совет непонятен целиком и полностью, со всеми его последствиями - он не для тебя.
XS: Огромное спасибо, что нашел для нас время. Успехов тебе в твоих начинаниях!
3APA3A: Да не за что! Спасибо, тебя туда же =).
Сделай сам. Быль о паролях
Ты когда-нибудь думал о том, насколько легко можно угадать твой пароль? Если нет, это сильно упростит работу взломщика, который поставил перед собой цель овладеть твоей системой. Так как в глобальной сети выложено для скачки множество словарей для подбора грубой силой aka bruteforce (об этом методе уже шел разговор в этой статье), взломщик расколет и поработит твою тачку за считанные секунды. Страшно? Чтобы впоследствии ты не рвал на себе волосы, давай разберемся, как нужно правильно составлять неломаемый пароль. Итак, приступим. Во-первых, при выборе пароля забудь про свое имя, фамилию, кличку и т.д. Почему? Методы социальной инженерии успешно применяются до сих пор, поэтому хакеру не составит труда развести тебя, притворившись милой, симпатичной девушкой. Поэтому пароль нужно придумать самому. Как? Запиши любое запомнившееся тебе слово на бумажке и произведи нам ним некоторые преобразования. Например, добавь пару циферок, слеш, русскую буковку. Прояви фантазию, и тогда твой пароль будет практически неугадываемым. Приведу простой пример: у нас есть пароль password. Наша задача сделать его неприступным. Готов? Следуя нашему рецепту, добавим буковку, слешик, пару циферок и... наш пароль принял совсем другой вид. Стоило нам слегка видоизменить пароль (pa6sw/Ord5) - и он стал непригодным для взлома методом bruteforce (на практике: чем ты более изобретателен, тем меньше вероятность того, что твой пароль захакают, так что придумывай все новые и новые способы извращать его - ведь программы брутфорса тоже не стоят на месте! - прим. ред.).
Мнения специалистов по поводу безопасности XP
Мы обратились к специалистам в области компьютерной безопасности с одним и тем же вопросом: "Как сделать XP безопаснее?" И вот что они ответили:
Дмитрий Леонов, отец сайта bugtraq.ru:
- Ознакомься с www.microsoft.com/technet/treeview/default.asp?url=/technet/security/chklist/xpcl.asp.
- Поставь антивирус, при активной работе в Сети установи какой-нибудь файрвол.
- Включи автообновление (Windows Update) либо не ленись периодически запускать обновление ручками.
- Поменьше слушай сказки о "дырявости окошек" и следуй при работе здравому смыслу и базовым правилам компьютерной гигиены. В самом идеальном случае - заведи для основной работы пользовательский аккаунт, не обладающий администраторскими правами. XP по умолчанию настроена вполне приемлемо для защиты от некорректных действий не администраторов.
Крис Касперски, один из самых известных в России специалистов в области компьютерной безопасности:
Если говорить кратко и по делу, то для повышения безопасности операционной системы Windows XP следует:
- Заткнуть огромную дыру в DCOM, чтобы не превращать свой любимый комп в рассадник червей.
- Установить антивирус, мигом вычищающий и уничтожающий различные вирусы и backdoor'ы.
- Убить в Word'е движок макросов.
- Если ты используешь IE, то отключи поддержку ActiveX, JavaScript и т.д. и т.п.
- Выбери почтовый клиент, который режет все HTML-письма в plain-text, а также сохраняй все вложения в специально заведенной для них папке.
- Реже пользуйся проводником, отдавая предпочтение командной строке или FAR'у.
- Делай backup как минимум один раз в день.
Содержание
|
 |
|
