Скрытые возможности на заказ
У всякого офисного и специального ПО есть так называемые пасхальные яйца. Это такие «фишки», о существовании которых знают очень немногие и которые в свое время спасали разработчиков от ментального коллапса в ходе подготовки ПО к выпуску. Представьте: нажимаешь Ctrl-F1, переходишь на третью закладку и между второй и третьей секундой нажимаешь Ctrl-Shift-doubleclick на значке «Windows» — и о чудо! пошли титры! взошло солнце! Эффектно, не правда ли?
Впрочем, речь пойдет о «фишках» нестандартного ПО, которое разрабатывается под нужды клиента и его бизнеса. Эффект неожиданности присутствует и в нем, только служит не для увеселения, а для того, чтобы ограничить доступ к коммерческой информации. Можно возразить, что для этого существуют разграничение прав и групповые политики, которые регулируют взаимодействие пользователя с информацией, и, как только он введет пароль, ему дадут доступ ко всему, что ему необходимо и достаточно знать. А пароли ломаются нынче тяжело… Идеологи не учли, что забор необязательно ломать, его можно обойти или перелететь. Что делать, если налоговый инспектор получает по решению суда парольный доступ к финансовой информации? Или криминальные личности наехали на бизнес? Существуют в жизни ситуации, когда сотрудник вынесет чужаку пароль «на блюдечке с голубой каемочкой» и будет этому несказанно рад.
В начале 1970-х многие алгоритмы шифрования подверглись жесткой критике. Математически было доказано, что засекреченные алгоритмы более уязвимы статистически, чем алгоритмы, в которых в секрете держится только ключ, а методика является открытой и универсальной. С появлением ЭВМ вскрытие легендарных шифров ХХ века проходило в считанные минуты. НАТО и правительство США держалось, тем не менее, за эти шифрсистемы. Во-первых, парк старых шифровальных машин был еще не списан, во-вторых, в универсальных шифрах правительство не видело никаких преимуществ для себя. Наука же шла вперед и считала «безопасность через незнание» неприемлемой.
Опыт работы в государствах, где нелады с главенством права и соблюдением законов, показал, что «безопасность через незнание» является неплохим решением для всякого бизнес-ПО. Злоумышленник, даже получив парольный доступ, не сможет выведать всю информацию, если не знает что и где смотреть. Все, конечно, зависит от специфики бизнеса и степени отягчающих обстоятельств, но я не рассматриваю здесь морально-этические аспекты сокрытия коммерческой информации.
Первой жертвой законов была клиника. Препараты одного немецкого концерна регулярно назначались для лечения, но у многих из них истекал срок регистрации. Чтобы было всем понятно, речь не идет о сроке годности. Медикамент регистрируется медпредставительством в Минздраве на 5 лет с даты регистрации, при этом платится госпошлина за регистрацию медикамента… и взятка за право попасть в кабинет к нужному человеку. Совершенно естественно, представительству невыгодно платить взятки за перерегистрацию каждого препарата, поэтому ждут, чтобы подошли сроки регистрации хотя бы 4-5 медикаментов, чтобы заплатить одну взятку на несколько госпошлин. В этой ситуации реализация незарегистрированного медикамента противозаконно. А лечить надо.
Ответ напрашивается сам собой: накладная на отпуск «нелегальных» препаратов заменяется в товарном чеке строчкой «Терапия хронических воспалений». А как посмотреть накладную? Открываем лист назначения, жмем комбинацию клавиш, появляется кнопка «Рецептура», щелкаем, выводится сообщение «Исправить рецепт?», жмем ДА – и накладная перед глазами…
Опыт 2
Магазинчик возле рынка, внешне мало чем отличимый от десятка таких же магазинчиков. В нем продается ширпотреб и эксклюзив. Если рассудить, ширпотреб этому магазину нужен не для прибыли, а для привлечения клиентов. Поэтому и наценка на нем минимальная. Ясно, что при сравнительно больших оборотах прибыль невелика. Тем не менее, предприниматель на едином налоге ограничен именно в оборотах. Что делать? Скрывать обороты. А как скрыть расходы, если были приходы товара? Куда девался товар? Здесь нужно творчество.
В ходе расследования выясняется, что часть приходных накладных выписаны на конечного потребителя. Это тоже не вполне законно, поскольку магазин никак не может быть конечным потребителем, но продавцу так было проще оформить. При вводе приходных накладных помечаем те из них, которые выписаны на конечного потребителя, чтобы впоследствии их безболезненно удалить вместе с расходами. Расходные накладные удаляются только в объеме удаленных приходов, а на неизбежную разницу формируется отдельная накладная или акт инвентаризации.
А дальше начинаются старые фокусы «безопасности через незнание». Процедура очистки базы называется «Загрузка курсов валют». Выбираем национальную валюту, устанавливаем период для «загрузки курсов», нажимаем кнопку «Загрузить». В ответ на идиотское действие выводится сообщение: «Код валюты не соответствует загружаемым курсам. Процедура прервана!», и тут главное дождаться 11 секунд. Человек без фантазии устанет от этого колдовства раньше. Выскочит сообщение «Продолжить загрузку курсов?» – нажимаем ДА. Данные удаляются довольно долго…
…
Думаю, статья вышла несерьезной. Причина проста: ни одна серьезная компания не снизойдет до таких примитивных способов защиты. Ведь есть деньги, есть «крыша», штат бухгалтеров и юристов. А маленькие компании без «крыши» по определению несерьзны, поэтому готовы платить за сокрытие не только самой информации, но и места где ее искать. К сожалению, факты этого сокрытия всегда выплывают наружу через бывших и нынешних сотрудников, и подрядчиков. В этом смысле я – не исключение.
Впрочем, речь пойдет о «фишках» нестандартного ПО, которое разрабатывается под нужды клиента и его бизнеса. Эффект неожиданности присутствует и в нем, только служит не для увеселения, а для того, чтобы ограничить доступ к коммерческой информации. Можно возразить, что для этого существуют разграничение прав и групповые политики, которые регулируют взаимодействие пользователя с информацией, и, как только он введет пароль, ему дадут доступ ко всему, что ему необходимо и достаточно знать. А пароли ломаются нынче тяжело… Идеологи не учли, что забор необязательно ломать, его можно обойти или перелететь. Что делать, если налоговый инспектор получает по решению суда парольный доступ к финансовой информации? Или криминальные личности наехали на бизнес? Существуют в жизни ситуации, когда сотрудник вынесет чужаку пароль «на блюдечке с голубой каемочкой» и будет этому несказанно рад.
Безопасность через незнание
В начале 1970-х многие алгоритмы шифрования подверглись жесткой критике. Математически было доказано, что засекреченные алгоритмы более уязвимы статистически, чем алгоритмы, в которых в секрете держится только ключ, а методика является открытой и универсальной. С появлением ЭВМ вскрытие легендарных шифров ХХ века проходило в считанные минуты. НАТО и правительство США держалось, тем не менее, за эти шифрсистемы. Во-первых, парк старых шифровальных машин был еще не списан, во-вторых, в универсальных шифрах правительство не видело никаких преимуществ для себя. Наука же шла вперед и считала «безопасность через незнание» неприемлемой.
Опыт работы в государствах, где нелады с главенством права и соблюдением законов, показал, что «безопасность через незнание» является неплохим решением для всякого бизнес-ПО. Злоумышленник, даже получив парольный доступ, не сможет выведать всю информацию, если не знает что и где смотреть. Все, конечно, зависит от специфики бизнеса и степени отягчающих обстоятельств, но я не рассматриваю здесь морально-этические аспекты сокрытия коммерческой информации.
Опыт 1
Первой жертвой законов была клиника. Препараты одного немецкого концерна регулярно назначались для лечения, но у многих из них истекал срок регистрации. Чтобы было всем понятно, речь не идет о сроке годности. Медикамент регистрируется медпредставительством в Минздраве на 5 лет с даты регистрации, при этом платится госпошлина за регистрацию медикамента… и взятка за право попасть в кабинет к нужному человеку. Совершенно естественно, представительству невыгодно платить взятки за перерегистрацию каждого препарата, поэтому ждут, чтобы подошли сроки регистрации хотя бы 4-5 медикаментов, чтобы заплатить одну взятку на несколько госпошлин. В этой ситуации реализация незарегистрированного медикамента противозаконно. А лечить надо.
Ответ напрашивается сам собой: накладная на отпуск «нелегальных» препаратов заменяется в товарном чеке строчкой «Терапия хронических воспалений». А как посмотреть накладную? Открываем лист назначения, жмем комбинацию клавиш, появляется кнопка «Рецептура», щелкаем, выводится сообщение «Исправить рецепт?», жмем ДА – и накладная перед глазами…
Опыт 2
Магазинчик возле рынка, внешне мало чем отличимый от десятка таких же магазинчиков. В нем продается ширпотреб и эксклюзив. Если рассудить, ширпотреб этому магазину нужен не для прибыли, а для привлечения клиентов. Поэтому и наценка на нем минимальная. Ясно, что при сравнительно больших оборотах прибыль невелика. Тем не менее, предприниматель на едином налоге ограничен именно в оборотах. Что делать? Скрывать обороты. А как скрыть расходы, если были приходы товара? Куда девался товар? Здесь нужно творчество.
В ходе расследования выясняется, что часть приходных накладных выписаны на конечного потребителя. Это тоже не вполне законно, поскольку магазин никак не может быть конечным потребителем, но продавцу так было проще оформить. При вводе приходных накладных помечаем те из них, которые выписаны на конечного потребителя, чтобы впоследствии их безболезненно удалить вместе с расходами. Расходные накладные удаляются только в объеме удаленных приходов, а на неизбежную разницу формируется отдельная накладная или акт инвентаризации.
А дальше начинаются старые фокусы «безопасности через незнание». Процедура очистки базы называется «Загрузка курсов валют». Выбираем национальную валюту, устанавливаем период для «загрузки курсов», нажимаем кнопку «Загрузить». В ответ на идиотское действие выводится сообщение: «Код валюты не соответствует загружаемым курсам. Процедура прервана!», и тут главное дождаться 11 секунд. Человек без фантазии устанет от этого колдовства раньше. Выскочит сообщение «Продолжить загрузку курсов?» – нажимаем ДА. Данные удаляются довольно долго…
…
Заключение
Думаю, статья вышла несерьезной. Причина проста: ни одна серьезная компания не снизойдет до таких примитивных способов защиты. Ведь есть деньги, есть «крыша», штат бухгалтеров и юристов. А маленькие компании без «крыши» по определению несерьзны, поэтому готовы платить за сокрытие не только самой информации, но и места где ее искать. К сожалению, факты этого сокрытия всегда выплывают наружу через бывших и нынешних сотрудников, и подрядчиков. В этом смысле я – не исключение.
0 комментариев