Pull to refresh

Comments 41

Во-первых, надо бы статью по-русски написать:
«При этом ни один поставщик интернет-услуг, которого мог бы использовать хакер 2016 года, не передавать данные с такой скоростью»,
«в IBM думаю о возможности»…

Во-вторых, о вас тут писали что-то запоминающееся: DLP-система DeviceLock 8.2 — дырявый штакетник на страже вашей безопасности. Вы пофиксили всё, что указано в той статье?
Спасибо за подсказки. Поправил опечатки.
То, что указано в той статье, пофиксили давным-давно, и об этом там же в комментах четко и прозрачно сказано.
а вот искажать суть — некрасиво. не пароли, а хеши. Цифровые отпечатки, если более красиво говорить. И вам об этом уже сказали в той ветке. Упрямство ради принципа? ПННХНЧ?
ПННХНЧ?

Это у вас такая позиция компании?


И вам об этом уже сказали в той ветке.

Не лгите. Я задал вопрос, на который не было ответа. И я повторил его под спойлером, чтобы не открывать страницу. Ответьте, пожалуйста, технически.


вопрос
Хэш пароля

Вот, так и надо писать — хеш данных. А какой хеш? Какой алгоритм? Я надеюсь вы использовали что-то лучше чем "не имеющее аналогов проприетарное решение"?


Далее — если вы ищете пароль как подстроку в тексте, то как вы это делаете? Какой алгоритм хеширования вы использовали, который позволяет эффективно искать подстроку? Ведь не хеширование Рабина-Карпа? Насколько стойкий этот хеш с точки зрения криптографии? Он подсоленный или доступен для взлома с помощью радужных таблиц?


Вы поймите, с точки зрения маркетинга всё выглядит классно. А на деле все пароли скидываются в общее хранилище, а потом бесконтрольно раздаются по сети. В итоге малейшая ошибка в ваших закрытых алгоритмах — и скомпрометировано вообще всё.

Вы искажаете суть, повторяя выражение, где вам уже указали на его недостоверность — «отправлять пароли к DL». Отвечать на последующий вопрос или нет — это уже право, а не обязанность. Суть остается ровно той же — пароли не хранятся, хранятся хеши. Также вам намекнули, что это всего лишь пример, а не руководство к действию. Точка.
хранятся хеши

Не все хеши безопасны, не все хеши криптостойки. Ответьте, пожалуйста, какой хеш вы используете. Или признайте, что "не имеете право раскрывать проприетарный алгоритм, не имеещий аналогов". И хватит уже юлить, ну сколько можно.


Также вам намекнули, что это всего лишь пример

То есть вы сделали схему, которая распространяет секретные пароли по всем компьютерам сети, при всём при этом хеш не имеет подтверждений крипостойкости. А потом вы "намекаете, что это не самая лучшая функция". Это действительно ваша официальная позиция? Вот задумайтесь, вы бы стали использовать подобные "решения"?

схему, которая распространяет секретные пароли по всем компьютерам сети

Даже не знаю, как комментировать ваши выдумки… учитывая, что ничего кроме политик не распространяется по всем компам, включая хеши…
Даже не знаю, как комментировать ваши выдумки… учитывая, что ничего кроме политик не распространяется по всем компам, включая хеши…

Окей, уже лучше. Значит не DLP агент проверяет скопированый текст на соответствие. Возвращаемся к предыдущей моей фразе:


Ответьте, пожалуйста, какой хеш вы используете. Или признайте, что "не имеете право раскрывать проприетарный алгоритм, не имеещий аналогов". И хватит уже юлить, ну сколько можно.

Ответьте, пожалуйста, какой хеш вы используете.

Точно не в рамках этой статьи. возможно, напишем отдельную статью по этой теме.
Однако, могу ответственно сказать, что ключевая ваша ошибка — в словах «потом бесконтрольно раздаются по сети». Вот этого попросту нет. Не раздаются никуда.
Вопрос компрометации хешей не возникает.
напишем отдельную статью по этой теме

Вы очень загадочно отвечаете. Ожидалось, что ответ будет формулой вида
SHA512(password + X) (очевидно, что SHA512 не подойдет). Однако окей, буду ждать.


Однако, могу ответственно сказать, что ключевая ваша ошибка — в словах «потом бесконтрольно раздаются по сети».

Я говорил, что ваша компания рекомендует отправлять все пароли на сервер с device lock. Т.е. если раньше пароль от базы знал администратор и хеш был известен самой базе, то теперь еще о нем будет знать Device Lock.


У меня нет оснований считать, что вы изобрели чудо хеш, который позволяет искать фразу по тексту, не раскрывая её. При этом хеш должен быть криптостойким, не поддающимся взлому по радужным таблицам и т.д.


А про бесконтрольную раздачу: где-то документы проверяются чудо-хешом. Именно на этих серверах есть чудо-хеш, который может сказать — является ли пароль подстрокой документа, или нет.

ПННХНЧ?

Это у вас такая позиция компании?

У нашей компании в данном ракурсе скорее позиция ЧННХНП.
Тут скорее вопрос в доверии компании к своим сотрудникам.
Есть подозрения? До свидания!

С другой, а зачем провоцировать персонал?
Залейте порты эпоксидкой, опломбируйте системники!

Есть контора, где любое подключенное USB-устройство «кирпичится»
Есть системы, запрещающие доступ к портам.

Ок, что мешает прокручивать информацию на экран и снимать камерой смартфона?
Да мало-ли как еще можно утянуть желаемое!

И опять приходим к первому абзацу, ибо невозможно работать со специалистом по безопасности информации не доверяя ему, как впрочем и с докторами.
Тут скорее вопрос в доверии компании к своим сотрудникам.

Вопрос доверия — один из фундаментальных, когда речь идет о доступе к информации ограниченного доступа. Но это еще не значит, что если доверие не 100%, то надо сразу всех выгонять. Для этого и существуют специальные решения для защиты информации.

Залейте порты эпоксидкой, опломбируйте системники!

Это прошлый век. И совершенно непродуктивно. Бизнес-функции могут требовать доступа к портам.

что мешает прокручивать информацию на экран и снимать камерой смартфона?

Ничто не мешает. Вопрос как долго этим заниматься, с каким объемом данных, насколько эти данные структурированы, как долго потом заниматься обработкой полученных графических данных и т.п. И параллельно отметим, что ничто не мешает и просто запомнить, увидев глазами.
Но проблема-то не в этом.

невозможно работать со специалистом по безопасности информации не доверяя ему

Кроме спецов по безопасности, доступ к информации обычно имеют и другие категории граждан.
Кроме спецов по безопасности, доступ к информации обычно имеют и другие категории граждан.

Если за базу предложили 1 млн., то сотрудник просто поделится выручкой с профессионалом, который обойдет Device Lock (или что лучше — подставит кого-то).


Вопрос как долго этим заниматься, с каким объемом данных, насколько эти данные структурированы, как долго потом заниматься обработкой полученных графических данных и т.п.

Если вы хотите передать файл (или по-другому — последовательность бит), то можно моргать пикселом и снимать на телефон, можно моргать светодиодом на клавиатуре, можно подключить диск через eSata разъем диск в момент загрузки, так как его сложно отличить от внутренних дисков.


Все эти решения — простые. Если стоимость базы 1 млн., то её утянут влегкую, несмотря на ваши статьи, сертификаты и прочие презентации.

Социальную инженерию, включая банальный подкуп, никто не отменял.
Утянуть можно все и для этого существует миллион способов.
Ключевая задача DLP решений — противодействовать непреднамеренным и случайным утечкам данных, а не бороться с мизерным процентом направленных атак (хищений), да еще и руками профессионалов.
Ну а за физическую доступность варианта «подключить диск в eSata» надо админу давать по рукам и очень больно. Никто кроме админов не должен иметь возможности вскрывать корпуса машин. Моргание пикселами даже комментировать не хочется. Азбука Морзе тоже неплохо, ага.
Ключевая задача DLP решений <...> а не бороться с мизерным процентом направленных атак (хищений), да еще и руками профессионалов.

Ну или по-другому: вы не способны защитить сеть умышленных утечек. Вы же сообщаете об этом на презентациях? Или только признаете в коментариях, что софт по сути является аналогом антивируса Бабушкина?


Ну а за физическую доступность варианта «подключить диск в eSata» надо админу давать по рукам и очень больно. Никто кроме админов не должен иметь возможности вскрывать корпуса машин.

Уважаемый BLACK816, eSata зачастую упоминается в разрезе внешних разъемов, см. тут примеры материнских карт. Вы же в своем мануале упоминаете про съемные устройства на основе SATA. И ваши разработчики знают, насколько сложно их отличить от встроенных устройств. Поэтому лучше так и отвечайте в коментариях, что да, можно легко увести данные через подобные устройства (но не через все, это правда).

Опять искажаете.
Есть умышленные утечки и умышленные утечки. Одни делаются руками обычных сотрудников — которые «просто» хотят что-то прихватить себе, например, увольняясь. Другие — руками ИТ-профессионалов. Их возможности по воздействию на систему радикально отличаются. Обычный юзер не станет искать попытки взломать подсистему защиты, просто обломится. Профи же найдет и способ фонариком, как вы предлагаете, поморгать и далее дешифровать такую запись в нечто полезное.
Какова вероятность утечки первым описанным способом и вторым?
Вот тут и есть разница.

Что касается торчащего наружу eSata, то админу, который для корпоративных рабочих станций подбирает железо, где нет возможности ограничить физический доступ, надо давать не только по рукам, но и по кошельку. Одно дело — «удобно иметь eSata как внешний разъем на домашнем компе», и совсем другое — на корпоративном АРМе.

Не надо смешивать в одну кучу мух с котлетами, очень вас прошу.
Обычный юзер не станет искать попытки взломать подсистему защиты, просто обломится.

Это ваше мнение? У вас есть статистика? С моей точки зрения, при высокой ценности базы сотрудник просто найдет знакомого и поделится. И при низкой — дешевле вообще не покупать ничего у вас. Правильно?


Какова вероятность утечки первым описанным способом и вторым?

А у вас есть статистика? Ведь нет же, мы все тут знаем.


Не надо смешивать в одну кучу мух с котлетами, очень вас прошу.

Я повторю свою фразу: вы не способны защитить сеть умышленных утечек. Вы же сообщаете об этом на презентациях? Или только признаете в коментариях, что софт по сути является аналогом антивируса Бабушкина?

кстати, в вашей компании два человека могут голосовать за коментарии. И мои коментарии получили минусы, причем только часть из них.


Как Вы считаете, есть ли в этом какая-то связь? )

Я никак не считаю. Любые ваши догадки — это ваши догадки. Можете интерпретировать все что угодно как вам нравится, это ваше право. Я точно так же не вижу, кто и как лепит вам минусы. Может, это антивирус Бабушкина себя так проявляет, кто ж его знает…
UFO just landed and posted this here
UFO just landed and posted this here
Я уж молчу про то, что 190 мбайт влезают в кэш винды полностью, и с какой скоростью шла запись — не известно.
Еще одна очень странная статистика.

на 44% проанализированных USB-накопителей был выявлен и заблокирован по крайней мере один файл, угрожавший безопасности

То есть каждая вторая флешка с вирусом? Не верю. Зараженных флешек много, но не настолько

Среди обнаруженных угроз были такие как TRITON, Mirai, разные формы червя Stuxnet.

Сколько процентов таких файлов было найдено? Шифровальщики и адваре — да постоянно, но откуда на флешке возьмется такое старье, как Stuxnet (который и размера немаленького и опознается всеми — использовать его для атак нет смысла)

Сравнительный анализ также показал, что традиционные средства защиты от вредоносных программ не смогли обнаружить до 11% выявленных угроз.

Еще одна странная цифра. Если говорить о статистике необнаруживаемых в день создания вредоносных программ — то это очень хороший результат. В момент атаки антивирус не знает гораздо больше. Единственно, что приходит в голову — что большая часть найденного — старье. А тогда что это за атаки?
о есть каждая вторая флешка с вирусом?
Видимо на каждой второй флешке был файл autorun.inf который многими антивирусами одно время трактовался как небезопасный )
В отчете сообщается

Эм… А где отчет?
Там ссылка ведет не на отчет. И по ссылке на отчет так же не выйти.
там по ссылке есть форма, где honeywell в обмен на ваши персданные даст отчетик.
Какой хороший подход. Благо «qweqwe» там работает.
И в «отчете» там какой-то откровенный маркетоидный буллшит. Иначе не назвать. Вы использовали эти материалы для написания статьи?
Операция заняла 87 секунд,

Откуда они вообще такую цыфру узнали? должны быть какие-то логи, и там уж точно видно откуда и куда что копировалось.
Да всё нормально. Просто в логе была только инфа типа:
19:01:35 Начинаю копирование или отправку, размер 1976 MB.
...
19:03:02 Закончилось копирование или отправка.

Хотя в такую настройку логгирования верится с трудом.
Исследователи обнаружили, что происходит утечка перекрестных помех внутри USB-концентраторов, подобно распространению воде в трубах, а значит, можно использовать соседние порты на USB-концентраторе для злоумышленного хищения данных.
Я так понимаю это оно самое. Фактически атака была проведена на USB1.1 LS/FS. Для атаки USB2.0 HS нужна полоса пропускания в гигагерц как минимум и ещё несколько гигагерц для сэмплирования. На сегодняшний день запихнуть в компактное USB устройство практически осциллограф с такими характеристиками нереально.
Коллеги, касательно упомянутой статистики и отчетов — поймите правильно, мы никак не можем нести ответственность за их достоверность, правильность методик испытаний и тому подобное. Тут примерно как в суде — «Нет оснований не доверять сотруднику...» и далее по тексту.
Однако, не стоит сбрасывать со счетов и старое правило «дыма без огня не бывает», а также учесть, что некоторые публикации весьма удобно и полезно использовать как инфоповод.
Ничего личного, как говорится. :)
UFO just landed and posted this here
В теории — можем. А на практике — зачем? Смысл? К тому же там говорится о средних скоростях на ISP, а не пиковых или минимальных. Кто знает, как долго они вели такой замер? Может им сами ISP сообщили такие данные? Слишком много «может быть», чтобы доверять или не доверять. Но — это инфоповод. Это ключевое.
UFO just landed and posted this here
Хакер — он много может сделать плохого. Но никак не меньше сделает и обычная уборщица, если у нее есть ключ от серверой (и даже строгий наказ «только у входа подметать, а провода не трогать!»). Потому что она может (за очень денежку от доброго дяди) зайти ночью в серверную, тупо повыдергивать диски из хранилок и серверов, и коробку с ними ночью же вынести за периметр, где и отдать злоумышленнику. Тому всего расхода — оплатить ее безбедную старость, и собрать из дисков что-то читаемое.
Настоятельно рекомендую не воспринимать данное «исследование» всерьёз. Последние несколько лет Honeywell активно продвигает свои решения на тему cyber-security, но большинство материалов по теме написано маркетологами, а не инженерами. В итоге подобные страшилки напоминают проблему Y2K, на которой ушлые продавцы срубили сотни нефти на пустом месте.

Учитывая что Honeywell является одним из ключевых поставщиков систем управления технологическими процессами довольно странно видеть рассуждения на тему использования USB в принципе. Решение очевидно — на всех станциях, к которым есть физический доступ заводского персонала, все порты USB должны быть отключены на уровне BIOS и/или средствами групповых политик. И будет всм счастье (ну почти).
Sign up to leave a comment.