20 Декабря, 2012

Пусти козла в огород

InfoWatch
Поступиться своими правами ради своей безопасности – популярный тренд не только в офлайновом мире, но и внутри компьютера.

Я говорю об инсталляции программы-клиента (толстого клиента) для пользования каким-либо сервисом. Браузер (тонкий клиент) служит местному пользователю и не очень склонен его "выдавать", сообщать подробные данные о компьютере и о действиях на нём. Толстый же клиент – целиком на стороне удалённого сервиса, он может собирать про местный компьютер самую интимную информацию.

Разумеется, толстый клиент безопаснее. Для сервиса. Он умеет уличать своего пользователя в читинге , нарушении лицензионного соглашения, мошенничестве и прочих мелких грехах и крупных преступлениях. При этом он умеет также нарушать тайну частной жизни, разглашать персональные данные и вообще шпионить в широком диапазоне.

Когда толстый клиент пишется владельцем удалённого сервиса и не предусматривает альтернатив, у пользователя (и его специалиста по ИБ) возникают подозрения:
  • не насовал ли производитель НДВ в свой продукт?
  • не наляпал ли ошибок и уязвимостей?
  • не станет ли использовать наши данные недобросовестно?
И здесь мы натыкаемся на отсутствие механизма разрешения таких подозрений. Даже если банк готов сотрудничать и желает доказать вкладчику, что его ДБО-клиент хороший, он не знает, как это сделать. А большинство банков ничего доказывать не собираются, они работают под девизом «Жри, что дают»«Ради вашей же безопасности». Некоторые даже цинично требуют админских прав для своих клиентских программ.

Ну и что нам, благородным имформзащитникам с такими программами делать? Правильно, запирать их в виртуальную машину. Прикол в том, что ровно так же поступают с толстыми клиентами кардеры, игрочитеры и прочие мошенники.

или введите имя

CAPTCHA