Comments 13
8. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: Гостехкомиссия России, 1992.
Список литературы конечно впечатляющий(и одновременно бесполезный). Наверное для дипломной работы готовили, но 1992год! Серьезно?
Общепринятое сокращение РД АС. В статье есть упоминание и ссылка на документ. Является действующим высокоуровневым документ ФСТЭК России и определяет классификацию автоматизированных систем (АС) в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации во всех организациях, обрабатывающих конфиденциальную информацию и сведения, составляющие государственную тайну.
@TimsTims
Список литературы конечно впечатляющий(и одновременно бесполезный). Наверное для дипломной работы готовили, но 1992год! Серьезно?
Абсолютно, надо понимать что это не копи-паста из реферата, а собствено действующий в РФ документ в плане оценке защиты автоматизированных (информационных) систем.
@KhodeN
Судя по названию, это чисто теоретический документ, по большей части философский, чем технический. А такие материалы остаются актуальными долго, т.к. они обо всем сразу и ни о чем вообще.
Это не отвлеченный философский документ. Не более философский, чем например Инструкция по охране труда =)
Его реально используют в аттестации государственных информационных систем, систем обработки персональных данных (те же поликлиники, ВУЗы и многое другое).
Да, 1992 год несколько демотивирует, но как уже выше написал, он достаточно высокоуровневый и абстрагирован от конкретных технологий.
Конечно, это не значит что современные системы проверяют лишь по древним фолиантам, есть и современные метастандарты "Общие критерии" с современными профилями защиты для средств доверенной загрузки, и приказы 17, 21, 31 и много чего более современного созданного уже в эпоху всеобщих облачных технологий и гипервизоров, но всему свое время, это темы для целых отдельных статей.
В данной статье хотелось с одной стороны рассказать о чем-то практическом (объяснить, как ломаются пароли и зачем нужно это доверие к среде) и заложить какую-то понятийную базу по trusted systems, а для этого как раз и подойдет старые, но все еще действующие наши и американские документы.
Только уже давным давно, как пользователь с пустым паролем не сможет зайти.
По умолчанию в большинстве дистрибутивов, возможность входить с пустым паролем нужно отдельно разрешать, конфигурируя nopasswdlogin в pam и всякие PasswordRequired=true в gui.
Только уже давным давно, как пользователь с пустым паролем не сможет зайти.
Когда мы удаляем хэш пароля из etc/shadow мы устанавливаем не пустой пароль, а по сути включаем для пользователя режим входа без пароля. Установить пустой пароль, как уже указывалось в статье, действительно нельзя и само собой зайти в систему тоже. В статье поправил.
Создал нового пользователя student1 с паролем. Зашел под ним.
Залогинился под рутом, удалил павроль в /etc/shadow
login as: student1
student1@127.0.0.1's password:
Access denied
14.04.3 LTS
IMHO правильный способ — логиниться под рутом в single-mode и прописывать пароли через passwd.
@sumanai
Ага, а фанаты анонимности и параноики всеобщей слежки, наверное под своей доверенной средой будут понимать какой-нибудь Tails с браузером Tor, в который из поисковиков используется только duckduckgo.com =)
Тут надо сразу договориться о чьем доверии идет речь, кто является потребителем этого доверия :)
В любом случае тут необходим системный подход, понять что происходит с вашим устройством после нажатия кнопки Power on, каким компонентам в дальнейшем передается управления, а уж доверять или нет тому или иному из них, потребитель выбирает сам.
Понятие «доверенная среда» на текущий момент не имеет устоявшегося определения, специалисты не могут сойтись во мнениях, а в нормативной базе, строго говоря, термин «доверенный» не определен.
Вобщем, мы сами пока не в курсе, что это такое.
Очередная статья про то, как сбросить пароль в винде или убунте, миллион таких.
@manjrick
Вобщем, мы сами пока не в курсе, что это такое.
Не совсем так, если у термина нет единого устоявшегося определения, это не значит что никто не знает, что это такое вообще )
Ну вот нет общепринятого научного определения понятия "интеллект", а есть миллион различных его интерпретаций, но все равно, в целом-то мы все понимаем о чём идет речь? ;)
С доверенной средой, конечно же, всё плохо не до такой степени, но тоже присутствует некоторая амбивалентность, которую и хочется прояснить в этом цикле статей.
Согласен, что надо было сразу сослаться на большее число источников, где оно вообще упоминается.
С другой стороны не хочется закапываться в глубокую теорию, хабр — это не учебник и не руководящий документ Гостехкомиссии. Изначально была попытка донести саму проблематику доверия к среде на живых практических примерах доступных любому компьютерному пользователю. И, разумеется "сброс пароля и запись хэша" здесь показывалось не как некоторое тайное знание, а как рядовой случай из практики уровень сложности будет расти линейно, дойдет очередь и SecureBoot, EFI, DXE и других интересных вещей.
Загрузка доверенной среды или лёгкий путь к паранойе в IT