Бред параноика, или ещё несколько мыслей о вредоносности проприетарных форматов

Владимир Новиков aka VN_MAClover
Unix.ginras.ru

2005-05-24

От редактора: не мог удержаться от нескольких вставок, выделенных явным образом - как эта. - Алексей Федорчук

Принято считать, что птицы произошли от динозавров, а человек - от обезьяны. Вроде бы, это даже окончательно и бесповоротно доказано. Я, разумеется, не буду пытаться утверждать обратное и открывать новые горизонты науки, хотя подчас и бываю абсолютно убеждён, что люди и сороки имели общего предка, причём не так давно. Мы на пару обожаем всё новенькое и блестящее, не дураки спереть всё, что плохо лежит, да и глупость иногда так и прёт (последнее к сорокам относится меньше, так как у них, в мире животных, дураки просто долго не живут).

От редактора: как геолог, имевший в универе пятерку по палеонтологии позвоночных, свидетельствую: с обязъяном и человеком вопрос спорный, некоторые вообще полагают, что кто-то из них от Бога; а вот птицы от динозавров точно не происходили - они имели с ними общих предков, причем очень давно. Так что и гипотеза автора имеет право на существование. - А.Ф.

Доказательства, Вам ещё нужны доказательства? Вам новые Мерседесы нравятся? А Вашей жене бриллианты? А ещё у Вас наверняка установлен Microsoft Office XP 2004 SuperMega PRO hi-eng Developer with 1000000 free add-ons митинского разлива. Не отказывайтесь, всё равно никто не поверит. В последнее время он у всех стоит (Офис, Офис я имел в виду - а мы ничего другого и не подумали - А.Ф.). И, куда не плюнь, всюду видишь 3DStudioMAX, Adobe Photoshop CS, Adobe Premiere и другие совсем не дешёвые (не на митинском рынке, вестимо) приложения, предназначение которых данная конкретная сорока подчас объяснить не в силах. Так зачем? Не даёт ответа, как сказал поэт. Халява и природная жадность делают своё чёрное дело, на радость аналитикам из Microsoft Corporation.

Научно доказав ;-), что род человеческий бывает нечист на руку и падок на блестящего живца, переходим к глупости оного. У всех, разумеется, вертится на губах известный анекдот про девочку из службы поддержки одного производителя компьютеров, которая пытала клиента, позвонившего по поводу сгоревшего блока питания, на предмет сообщения, которое Windows в этот самый момент выводило на экран. Услышав от озверевшего от подобной тупости мужика все приличествующие случаю подробности на тему ввода и вывода, он обиделась и заявила, что корпоративная инструкция запрещает оказывать поддержку "шутникам", которые даже не в состоянии прочитать с экрана сообщение об ошибке (девушка - наш человек, если не можешь виндовые сообщения без включения блока питания прочитать - так и нечего в виндах делать, вали на Unix - А.Ф.). Как говорится, без комментариев.

А вот моему приятелю некоторое время назад пришлось столкнуться с глупостью совсем другого толка. Спёрли бумажник у человека, в котором, как водится, лежало ну просто всё. Вот такая неприятность. Пришёл он подавать заявление в милицию, а ему и говорят: "Давай-ка, мил человек, вписывай в заявление все номера документов, кем и когда выданы, а то принимать не будем". Это они так постебаться решили (к слову сказать - вам такой подход ничего не напоминает? а мне приходит на ум - "немедленно сообщите разработчику... - А.Ф). А парня чуть на месте удар не хватил, так как номеров своих документов он отродясь не помнил, а уж где, кем и когда они были выданы - и подавно. Хорошо ещё, что доблестные стражи порядка сообразили, что им сейчас придётся вешать на себя мокрое дело, и заявление у парня приняли.

Поскольку примерно в те же дни проворные пальцы карманного воришки лишили автора этих строк мобильного телефона, появился повод подумать над организацией защиты персональных данных, так как исключать повторение подобных неприятностей в будущем было бы по меньшей мере наивно. Давайте прикинем, сколько всяких документов лежит в бумажнике "гомо-постсовиетикус". Тут Вам и паспорт, и техпаспорт, и права, и, в отдельных случаях, военный билет, и студенческий билет, и читательский билет в библиотеку (и не одну), кредитная(ые) карточка(и), дисконтные карты в самые разные места, от модного нынче ресторана до сауны с девочками... А ещё надо помнить все логины и пароли в таком количестве, что голова волей-неволей вспухнет. Если всё это потеряешь/украдут, то документы надо будет восстанавливать. При этом наличие номеров действительно ускоряет этот процесс. А вот получивший доступ к Вашим логинам-паролям злоумышленник может, прикрываясь Вашим именем, натворить немало дел.

Вот так мы и подошли к рассмотрению программ, известных как password managers. Я надеюсь, что после прочтения данной статьи Вы поймёте, почему этими программами вовсе даже и не надо пользоваться.

Поиск в Google позволяет найти десятки, если не сотни подобных программ. По большей части под Windows, но и пользователи Mac, Palm и прочих Pocket PC не обойдены вниманием авторов. Цены вполне умеренные - от 10 до 150 баксов. Читаем описание программ и видим, что наша жизнь не удалась, так как мы всё ещё не являемся их активными пользователями...

... Вот только в том же Google можно прочитать записки бывших пользователей этих программ, сетующих на многочисленные неудобства исбои в работе, в результате которых можно лишиться всей базы данных. Скажем, весьма своеобразный результат работы программ, которым ты доверяешь самую личную информацию. Кроме того, некоторые программынапоминают собой швейцарский сыр, так в них много дыр безопасности. Так, одна из них весьма неплохо шифрует базу данных. Вот только сам master password там чуть ли не открытым текстом вписывается в один из конфигурационных файлов, открывая путь к быстрому взлому. Наконец, все эти программы являются проприетарными и, соответственно, имеют все недостатки оных.

Дело в том, что использование этими программами одних и тех же алгоритмов шифрования данных вовсе не означает возможности переноса данных из одной в другую. Скорее наоборот, всё сделано для того, чтобы пользователь даже и думать не мог уйти к конкуренту. Хорошо, а вот теперь представим себе такую ситуацию. В 2004 году Вы сделали Ваш выбор в пользу опупительной программы KingCrypt 7.1, которую единогласно советуют все околокомпьютерные сайты и журналы. В ввели туда Ваши данные и успокоились. Разумеется, копия зашифрованной базы лежит в укромном месте. Да и нужды в этих данных не было. Документы у Вас никто не крал, во всех настройках вы поставили галочку против "Запомнить пароль", так всё и шло. Где-нибудь году в 2008 Вы решили перейти на новую версию Винды. Выяснилось, что после обновления KingCrypt 7.1 больше не работает. Хорошо, идёте искать новую версию и обнаруживаете, что фирмы-то этой больше нет. Опрос знакомых гуру позволяет выяснить, что это фуфло уже давно никто не использует, так как есть QueenCrypt 2.0, которая сильно круче. Вот только Вам от этого не легче. Откатываетесь назад на старую Винду, ищете в архивах установочные файлы и с ужасом понимаете, что даже распечатать эту базу нельзя. Можно только перепечатать.

Что же делать, чтобы катастрофы не произошло? А использовать unix way, столь дорогой отцу-основателю данного сайта. Давайте подумаем, нельзя ли решить проблему с помощью пары небольших и свободных программ. Правильный ответ: да, можно!

Прежде всего, всю эту информацию проще держать в обычном текстовом файле. Можно смело предположить, что файл с расширением txt и через 50 лет будет спокойно открываться любой существующей операционной системой. Кроме того, это позволит Вам вводить не только те данные, которые считает необходимым производитель программы хранения паролей (например, URL, login, password... и всё), а любые необходимые Вам. Наконец, для чтения файла или ввода информации в него можно воспользоваться таким количеством редакторов, что перечислять их просто нет никакой возможности.

Разумеется, этот файл надо зашифровать. Можно воспользоваться услугами GnuPG, благо особых сложностей не предвидится. Если же и это сложно, то предлагаю Вам другую свободную и бесплатную программу, консольные версии которой, а также и "мордочки" для совсем уж чайников, существуют для всех основных операционных систем. Это ccrypt. Выбираете файл, присваиваете ему сложный пароль типа zdes_bez_pollitra_nu_nikak, и будет Вам счастье. Зашифрованный файл можно на сидюк нарезать, на USB ключик сохранить, и вообще...

Кроме того, не будем забывать и о мимикрии и камуфляже. Представим себе, что некий злоумышленник получил достаточно длительный доступ к Вашему компьютеру. Если он найдёт в папке Applications приложение KingCrypt 7.1, то он немедленно поймёт, что он может найти, а, поискав немного, и как взломать. Даже если взломать немедленно не получится, он может просто скопировать себе зашифрованную базу паролей и попробовать ещё раз в спокойной обстановке. Теперь представим себе, что он наткнётся внутри какой-то папки на файл libmail3.8.5 или mySQL_user_guide_fr.pdf. Велики шансы, что он просто не обратит на них внимание. А если и шёлкнет мышкой, то получит сообщение об ошибке. Наверняка он при этом подумает, что просто файл попорчен при скачивании. Вот и всё. Лишь бы самому не забыть, куда это всё запрятал;-) .

Вместо заключения - один совет. Когда друзья будут показывать Вам очередную программулину, которая "рулит нездешне", просто прикиньте, нельзя ли и в этом случае применить unix way.