— Шеф, у нас дыра в безопасности!
— Слава богу, хоть что-то у нас в безопасности... (бородатый анекдот)
В обеспечении безопасности есть концепция “security by obscurity” — это когда безопасность системы базируется на том, что никто не знает, как она устроена.
Есть три подхода к раскрытию информации об уязвимостях: не раскрывать их вовсе, раскрывать только с разрешения ответственных органов, или раскрывать их сразу и максимально подробно. Лично я сторонник
полного раскрытия [→] (осторожно, статья написана далёким от нейтрального языком, но в этом случае я исправлять её не хочу ;) ).
В компьютерных системах сокрытие информации об уязвимостях и попытка полагаться на их непрозрачность — это не то чтоб всеми признанный антипаттерн, но принцип, на который смотрят очень косо.
В оффлайновом мире потоки информации гораздо медленнее, поэтому «безопасность через неясность» вездесуща. Лично меня это ужасно раздражает по множеству причин. И будь у меня больше времени, я бы контрибьютил в какую-нибудь БД «дыр в заборе».
Я хотел бы, чтобы такая БД была гигантской, совершенно необозримой.
———
Если мне потребовалось бы пронести в метро центнер взрывчатки, я бы смог это сделать. Я знаю, на какой станции метро и как надо идти, чтобы тебя не досмотрели. Представляю, где «забыть» груз, чтобы за несколько ходок притащить его в достаточном количестве. Понимаю, что взрывчатку и металлические повреждающие элементы надо нести по-отдельности, ведь мешок гвоздей может звенеть на рамке, но сам по себе не является чем-то подозрительным (и уж тем более, не является основанием не пустить меня в вестибюль). А на пластид, или что там нынче используют, рамка никак не детектирует.
Нет, я совершенно не поддерживаю террористов. Но мне кажется правильным, чтобы подобные схемы обхода систем безопасности публично разглашались, публиковались на специальном ресурсе, посвящённом уязвимостям. Пусть даже террористы тоже смогут черпать из этих схем знания и вдохновение.
Нет, я хочу этого не потому, что хочу, чтобы кто-то воспользовался этими брешами.
И даже не потому, что хочу, чтобы кто-то их прикрыл...
В компьютерных системах раскрытие информации является способом предупредить пользователей, которые не подозревали о проблеме, и вынудить разработчиков улучшить защиту. В оффлайновом же мире я вижу цель в противоположном. В том, чтобы подчеркнуть неустранимую незащищённость наших систем.
Люди должны понимать, что живут в хрупком мире. И что сделать его прочным — невозможно. Даже за очень большие деньги.
Можно замаскировать стеклянный дом под бетонный, но безопасность это не увеличивает. Те, кому реально надо, всегда придумают, куда кинуть камень.
———
Сегодня ненавистные мне охранники всех рангов успешно создают театр безопасности: в метро, аэропортах и вокзалах, в школах и других заведениях, на улицах, — везде. Они создают кипучую деятельность, чтобы убедить простых людей в том, что мир находится под надёжной защитой, и что обеспечивают её именно они. В действительности же, единственное, от чего они могут нас защитить — это от самих себя.
Большинство граждан даже не заметили, как эродировали нормы. Сегодня почему-то считается привычным и нормальным, что какие-то непонятные чуваки на входе ни с того, ни с сего, могут вас досматривать. Люди променяли свободу даже не на безопасность, а на иллюзию безопасности. И мне очень хотелось бы, чтобы эта иллюзия была развеяна.