Волк и семеро козлят или Сказка про управление доступом

Двухфакторная аутентификация, подделка биометрии, пароли близко к «на бумажке», успешный взлом, идиотское поведение хакера, восстановление системы.

В комментариях к нашей корпоративной подборке «Топ 10 фильмов про биометрию» упомянули сказку «Волк и семеро козлят». Вики говорит, что написали ее Братья Гримм, опубликовали в начале 19 века, далее сказка пришлась по душе в России, ее пересказывали-пересказывали и допересказывались до статуса «русская народная сказка» с различными вариациями сюжета. Первым в поиске нашелся вот такой.

Это, буквально, «сказка про управление доступом» )

Жила-была коза с козлятами. Уходила коза в лес есть траву шелковую, пить воду студеную. Как только уйдет — козлятки запрут избушку и сами никуда не выходят. Воротится коза, постучится в дверь [запрос на вход в систему] и запоет [предъявление биометрии, голосовой ввод пароля]:

[текстовый пароль]
— Козлятушки, ребятушки!
Отопритеся, отворитеся!
[идентификатор]Ваша мать[/идентификатор] пришла —
молока принесла;
Бежит молоко по вымечку,
Из вымечка по копытечку,
Из копытечка во сыру землю![/текстовый пароль]

Козлятки отопрут дверь и впустят мать [успешная аутентификация и авторизация входа в систему]. Она их покормит, напоит и опять уйдет в лес, а козлята запрутся крепко-накрепко.

Однажды волк подслушал, как поет коза [попытка кражи аутентификационных данных]. Вот раз коза ушла, волк побежал к избушке и закричал толстым голосом [предъявление биометрии]:

[текстовый пароль]— Вы, детушки!
Вы, козлятушки!
Отопритеся,
Отворитеся,
Ваша мать пришла,
Молока принесла.
Полны копытцы водицы! [/текстовый пароль]

Козлята ему отвечают:

— Слышим, слышим — да не матушкин это голосок! [аутентификация не пройдена] Наша матушка поет [слив информации о факторах аутентификации] тоненьким голосом [биометрия, фактор свойства] и не так причитает [текстовый пароль, фактор знания].

Волку делать нечего. Пошел он в кузницу и велел себе горло перековать, чтоб петь тоненьким голосом. Кузнец ему горло перековал [подделка биометрии]. Волк опять побежал к избушке и спрятался за куст [несанкционированное подключение к незащищенному каналу коммуникаций].

Вот приходит коза и стучится:

[Передача пароля по незащищенному каналу] [текстовый пароль]
— Козлятушки, ребятушки!
Отопритеся, отворитеся!
Ваша мать пришла — молока принесла;
Бежит молоко по вымечку,
Из вымечка по копытечку,
Из копытечка во сыру землю![/текстовый пароль]

Козлята впустили мать [успешная аутентификация и авторизация входа] и давай рассказывать, как приходил волк, хотел их съесть [уведомление о попытке взлома].

Коза накормила, напоила козлят и строго-настрого наказала:

— Кто придет к избушечке, станет проситься толстым голосом да не переберет всего, что я вам причитываю, — дверь не отворяйте, никого не впускайте [рекомендации по результатам аудита системы аутентификации, отсутствие смены пароля после сообщения о попытке взлома].

Только ушла коза, волк опять шасть к избушке, постучался и начал причитывать тонюсеньким голосом [предъявление биометрии]:

[текстовый пароль]— Козлятушки, ребятушки!
Отопритеся, отворитеся!
Ваша мать пришла — молока принесла;
Бежит молоко по вымечку,
Из вымечка по копытечку,
Из копытечка во сыру землю![/текстовый пароль]

Козлята отворили дверь [успешная аутентификация и авторизация входа], волк кинулся в избу [успешный взлом] и всех козлят съел [кража и шифрование данных, уничтожение системы управления доступом]. Только один козленочек схоронился в печке [перенос данных в защищенный сегмент базы при нестандартном поведении системы].

Приходит коза, сколько ни звала, ни причитывала — никто ей не отвечает. Видит — дверь отворена, вбежала в избушку — там нет никого. Заглянула в печь и нашла одного козленочка.

Как узнала коза о своей беде [разбор логов], как села она на лавку — начала горевать, горько плакать [публичное сообщение об инциденте]

— Ох вы, детушки мои, козлятушки!
На что отпиралися-отворялися,
Злому волку доставалися?

Услыхал это волк, входит в избушку [здесь и чуть далее требуются специалисты по психологии поведения преступников для объяснения происходящего :) ] и говорит козе:

— Что ты на меня грешишь, кума? Не я твоих козлят съел. Полно горевать, пойдем лучше в лес, погуляем.

Пошли они в лес, а в лесу была яма, а в яме костер горел. Коза и говорит волку:

— Давай, волк, попробуем, кто перепрыгнет через яму?

Стали они прыгать. Коза перепрыгнула, а волк прыгнул, да и ввалился в горячую яму.

Брюхо у него от огня лопнуло [дешифровка данных], козлята оттуда выскочили, все живые, да — прыг к матери! И стали они жить-поживать по-прежнему [восстановление работоспособности системы, отсутствие работы по усилению безопасности].

Вопрос залу

Волк — злоумышленник, козлята — данные и система аутентификации. Но кто в данном случае коза?

Я — директор по маркетингу в компании RooX, которая специализируется на аутентификации и авторизации (есть свой продукт). Это первый случай в моей карьере, когда специализация компании-работодателя вдохновила меня настолько, чтобы самой писать по теме.

2424
реклама
разместить
31 комментарий

Коза - "бывалый" сотрудник, который после 25 лет работы повторяет те же ошибки

6

Потому что "работает - не трогай"? )

4

Коза - не сисадмин, иначе бы её схематоз с прыжками через яму с огнём не сработал. Скорей всего, она - владелец бизнеса. Учитывая, насколько волк был недальновидным (хотя вроде бы по началу всё шло неплохо), он является бывшим совладельцем бизнеса козы.

Как водится - было общее дело, потом переругались, а доступы к домену/сайту /всему остальному остались у козы и за козой. Затем уговоры, обоюдные обвинения, разборки и как следствие - попытка рейдерского захвата со стороны волка. Вроде бы удачная, но потерял бдительность - а затем и жизнь.

5

Да, это многое объясняет )

Коза — пользователь АПИ
Поэтому ключ не меняют

4

Комментарий недоступен

2

И все это было подстроено, чтобы получить, наконец, бюджет )))

1