Блокчейн и безопасность данных в 1С

0. 584 13.05.22 11:10 Сейчас в теме
Безопасность данных – обширная тема со множеством задач. О том, как избежать подмены данных и с помощью технологии блокчейн контролировать изменения в системе, на митапе «Безопасность в 1С» рассказал Михаил Калимулин.

Перейти к публикации

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. starik-2005 2659 13.05.22 14:27 Сейчас в теме
Вспомнилась шутка:
- Подскажите какой-нить сильный архиватор?!
- md5.
2. mkalimulin 584 13.05.22 15:25 Сейчас в теме
3. booksfill 16.05.22 18:18 Сейчас в теме
Идея понятна.
Но как ее использовать на практике, имеется в виду не реализация, а реальная работа - не очень.

Потому как узнать, что это документ был изменен, потом поднимать бэкап и глазками отслеживать 100500 мест - не вариант.
Даже если таких мест всего два, т.к. "творческая правка" не обязана бросаться в глаза - достаточно "ошибиться" в цене, в третьем знаке, и продать чего-то на несколько сотен миллионов. И еще преднамеренно внести ошибку в другом месте этого же документа - абсолютно безобидную ну, чтобы дольше искали, а мы пока все спрячем.

Писать под каждый вид документов свою обработку сравнения, скажем, только наиболее критичных мест - уже лучше, но ... идея поднимать бэкап такое себе.

Это можно позволить только для сверхкритичных данных, которые, по идее, хранить надо совсем не в документе, а в отдельной таблице.
И бэкапать все это отдельно, лучше всего просто в другую базу (с отдельным доступом), чтобы никаких бэкапов поднимать не пришлось.
А сравнение автоматизировать (для сигнала тревоги - тогда уже читаем еще и глазками со свой бумажки).

Иначе возможна работа по схеме - N сегодня украл, пометил в табличе блокчейна, что это вовсе не он, а Y. Завтра (а найдите того, кто будет глазками считывать последний блок чаще чем раз в день) вскрылось, что украдено. При этом неясно ни кто украл, ни как догнать N.
Первое можно как-то отследить по логам, камерам и т.п., а вот как быть с догнать ...

И еще, недаром Митник говорил все больше про социальную инженерию.

Самый простой способ - украсть, а бумажку подменить на новую или под благовидным предлогом испортить.

Кстати, в критичных данных заинтересован обычно big boss, а бумажку он заставит читать в 99% случаев подчиненного, которого подкупить/запугать при игре на хорошие деньги - проще простого.

Поэтому скоро вместо бумажки получится несколько отдельных зашифрованных хранилищ "бумажки" + сама бумажка и никто всем этим зоопарком пользоваться не будет.
8. reset2 11 20.05.22 15:28 Сейчас в теме
Если механизм рассматривается как защита от продвинутого мошенника с полными правами - то очень несовершенно.
Зачем мошеннику в принципе оставлять в системе изменения.

1. Оформили/согласовали выдачу 1 шт.
2. Мошенник меняет в документе на 10 шт.
3. Мошенник идет на склад получает 10 шт.
4. Возвращает в документах 1 шт. Подчищает ЖР, версии и прочее

На бумажке хэш совпадает.
Кладовщики платят недостачу по итогам инвентаризации.
Мошенник - тихо злорадствует.
11. mkalimulin 584 21.05.22 12:37 Сейчас в теме
(8) В конце дня контролер просматривает все документы в базе и привязывает их к реальности. Например видит выдачу 1шт. Звонит кладовщику и спрашивает: ты сколько выдал? 10? ага... Или не звонит, а берет бумажную бумажку, которую написал кладовщик. И там, как вы понимаете написано 10, а вовсе не 1.
Тут надо понимать какую конкретно задачу решает блокчейн. Блокчейн не может заменить человека в момент привязки к реальности. Зато он может гарантировать, что привязанное один раз, потом отвязать уже будет невозможно никаким способом и ни под какими правами.
12. reset2 11 21.05.22 16:21 Сейчас в теме
(11) можно долго накидывать на эту тему :)
- контролер тоже в доле
- контролер в определенный момент не заметит 11101111 и 11110111
- и т.д.

А вот если "привязка к реальности" сработать между п.1 и п.2 тогда да... но как это реализовать с приемлемым уровнем производительности и безопасности...
13. mkalimulin 584 21.05.22 18:59 Сейчас в теме
(12) А и не надо ничего накидывать. В самом простом случае у вас есть кладовщик с материальной ответственностью. И он кровно заинтересован в том, чтобы 10 штук., выданные в реальности, по базе проходили, как 10 штук., а не как 1. И если этот кладовщик будет вооружен блокчейном, то никакой злоумышленник его уже не обойдет. Потому что кладовщик сразу заметит подмену 10 на 1
4. Indgo 215 17.05.22 11:38 Сейчас в теме
Blockchain на dbf файлах. Как я сразу не догадался. Гениально.
Отправлю к комунити bitcoin-core. Пусть переделают блокчейн на DBF файлы.

Скажу больше у вас есть последователи. Один разработчик сделал блокчейн Chia на SQL Lite. Вылетает правда постоянно и синхронится в 100 раз медленнее и Скаманулся недавно. Но это не помеха. Ваш блокчейн будет лучше ;-)
5. mkalimulin 584 17.05.22 12:58 Сейчас в теме
6. Indgo 215 17.05.22 14:08 Сейчас в теме
7. mkalimulin 584 17.05.22 20:20 Сейчас в теме
(6) Если палец показывает на Луну, надо смотреть на Луну, а не на палец
9. SerVer1C 483 20.05.22 20:41 Сейчас в теме
Сила блокчейна в практической невозможности его пересчета, потому что в расчетах задействовано много вычислительных ресурсов. Если защищать подобным образом 1 базу, то за недолгое время можно пересчитать весь блокчейн (не говоря уже про пересчет на видеокарте) и продолжить уже генерить свою цепочку после изменения объектов базы.
10. mkalimulin 584 21.05.22 12:03 Сейчас в теме
(9) Пересчитать можно, но это это нельзя будет сделать незаметно. Сила блокчейна в том, что тайное становится явным. А то, о чем вы говорите, относится к проблеме достижения консенсуса. В криптовалютах это действительно проблема. А в приватной базе консенсус присутствует имманентно
14. Indgo 215 23.05.22 10:35 Сейчас в теме
(10)
) А в приватной базе консенсус присутствует имманентно

Приватный блокчен? Это как хромой ходок или альфа самец без инструмента. Не бывате не какого приватного блокчейна, как и свободного раба(приватного человека).
Блокчейн пересчитать - да пожалуйста. Только вот миллионы децентрализованных нод и майнеров Bitcoin не примут ваши лживые транзакции.
Основные принципы блокчейна:
1. Децентрализация.
2. Децентрализация.
3. Децентрализация.
4. HODL.
5. Bitcoin.

Все остальное чепуха.
16. mkalimulin 584 23.05.22 12:44 Сейчас в теме
(14)
Блокчейн - это цепочка блоков. Не более того (но и не менее). Цепочку блоков можно применять где угодно. Как в публичных, так и в приватных базах
17. Indgo 215 23.05.22 17:14 Сейчас в теме
(16)
Блокчейн - это цепочка блоков. Не более того (но и не менее)
Ваша логика мне ясна, что то типа того: Автомобиль - это навозная телега в которой есть руль, не более того. А двигатели шестеренки...привода... Приватная телега в сарае - запрягай лошадей и езжай за сеном... это тоже автомобиль.
Прикрепленные файлы:
15. Indgo 215 23.05.22 10:40 Сейчас в теме
(9)
(9)
можно пересчитать весь блокчейн (не говоря уже про пересчет на видеокарте) и продолжить уже генерить свою цепочку после изменения объектов базы.

Видеокарты плохо считают цепочки. Их ядра маленькие и слабые. Для расчета цепочек используется CPU.
GPU - для параллельных, не зависящих друг от друга вычислений.
18. Indgo 215 23.05.22 17:31 Сейчас в теме
Но, чтобы решить эту проблему, нам придется пройти непростым путем – между Сциллой и Харибдой.
Прикрепленные файлы:
19. mkalimulin 584 23.05.22 20:37 Сейчас в теме
(17) Нет. Моя логика заключается в том, что автомобиль - это автомобиль, а колесо - это колесо. Криптовалюта - автомобиль. Блокчейн - колесо.
Оставьте свое сообщение
Вакансии
Администратор 1С
Владивосток
зарплата от 150 000 руб.
По совместительству

Руководитель проектов внедрения 1С:УХ
Краснодар
зарплата от 150 000 руб.
Полный день

Консультант-аналитик 1С
Москва
зарплата от 120 000 руб. до 190 000 руб.
Полный день

Ведущий аналитик-разработчик 1С
Москва
зарплата от 230 000 руб. до 270 000 руб.
Полный день

Программист 1С + PHP
Москва
зарплата от 150 000 руб. до 180 000 руб.
Полный день