Пусти козла в огород

Dec 20, 2012 23:32

Поступиться своими правами ради своей безопасности - популярный тренд не только в офлайновом мире, но и внутри компьютера.

Я говорю об инсталляции программы-клиента (толстого клиента) для пользования каким-либо сервисом. Браузер (тонкий клиент) служит местному пользователю и не очень склонен его "выдавать", сообщать подробные данные о компьютере и о действиях на нём. Толстый же клиент - целиком на стороне удалённого сервиса, он может собирать про местный компьютер самую интимную информацию.


Разумеется, толстый клиент безопаснее. Для сервиса. Он умеет уличать своего пользователя в читинге, нарушении лицензионного соглашения, мошенничестве и прочих мелких грехах и крупных преступлениях. При этом он умеет также нарушать тайну частной жизни, разглашать персональные данные и вообще шпионить в широком диапазоне.

Когда толстый клиент пишется владельцем удалённого сервиса и не предусматривает альтернатив, у пользователя (и его специалиста по ИБ) возникают подозрения:
  • не насовал ли производитель НДВ в свой продукт?
  • не наляпал ли ошибок и уязвимостей?
  • не станет ли использовать наши данные недобросовестно?
И здесь мы натыкаемся на отсутствие механизма разрешения таких подозрений. Даже если банк готов сотрудничать и желает доказать вкладчику, что его ДБО-клиент хороший, он не знает, как это сделать. А большинство банков ничего доказывать не собираются, они работают под девизом «Жри, что дают» «Ради вашей же безопасности». Некоторые даже цинично требуют админских прав для своих клиентских программ.

Ну и что нам, благородным имформзащитникам с такими программами делать? Правильно, запирать их в виртуальную машину. Прикол в том, что ровно так же поступают с толстыми клиентами кардеры, игрочитеры и прочие мошенники.

угрозы, НДВ, кардинг, вредоносные программы

Previous post Next post
Up