14:00 10.12.2009, IT happens
Был у нас тут семинар по безопасности; мужик рассказывал про DeviceLock. Эта программа отслеживает, куда и как пользователь сливает информацию — в общем, защита от инсайдеров. Местный умник-айтишник донимает докладчика:
— А у вас есть возможность отслеживать записанное по имени файла?
— Это не нужно! Мы отслеживаем файлы по сигнатурам. Даже если пользователь изменит расширение, DeviceLock сможет отследить этот файл.
— Нет, ну можно же заменить и сигнатуры! Добавляем в начало одного файла 1024 байта с сигнатурой от другого.
— Да, это возможно, для этого мы внедряем сейчас анализатор контента. И вообще, если файл будет зашифрован, вы тоже ничего не сможете увидеть, кроме факта того, что файл был передан.
— Нет, вы мне скажите, может ли ваш DeviceLock отслеживать по именам файлов?! Можно же по структуре слитых файлов и папок определить, что было слито.
— В этом нет необходимости. Мы проверяем сигнатуры типов файлов.
— Но анализатор контента — это куча информации, вы мне скажите, есть ли у вас отслеживание по имени файла?!
В общем, препирались они долго. В итоге докладчик сдался:
— Окей, у нас этого нет, но мы можем реализовать слежение за именами файлов, если вам это настолько нужно. Вы мне только ответьте на один вопрос: вы согласны, что это защита от полного идиота?
— Не от идиота, а от топ-менеджеров. Они не будут заморачиваться такой ерундой, как переименование файлов!