Имхо все эти догвилли очень сильно распространены в российских компаниях. И корни этого растут в принципе «болеем за общее дело, мы одна семья».
За 20 лет работы для себя вывел простые правила:
1. Мы не одна семья, все эти «возьмемся за руки друзья» в другом месте с другими людьми
2. Я продаю вам свое время за ваши деньги
3. Я делаю свою работу хорошо
Здесь было еще штук 6 пунктов, но в целом они не на столько важны как первые три.
Зачастую это прерывает поток информации. Нужно сказать себе «блин забыл что такое» САУ и чем оно отличается от САР, найти где же оно определено в начале книги, прочесть, вникнуть еще раз в свете свежепрочитанного и усвоенного. А потом мучительно вспоминать где же я остановился в чтении и о чем собственно все было.
Я не пытаюсь сказать что у всех такие проблемы — но у меня точно. В этом плане чаще радуют зарубежные учебники для начинающих, где язык не перегружен жаргоном и авторы не стесняются по 100 раз повторять для тупых о чем же мы собственно говорим.
Фразы подобные «как вы наверное помните — САУ это ..., в данном случае мы будем говорить об отличии САУ от СС и… » сильно упрощают усвоение материала.
Люди это не компьютеры для которых можно в начале программы задать список констант и определений. Мы потребляем информацию по другому.
Как же меня расстраивает этот вымученный университетский канцелярит.
Практика показывает что материал написанный максимально приближенно к повседневной речи усваивается лучше.
Еще из системных проблем подобных учебников — для новичка практически не возможно выучить все определения сразу, а учебник один раз дав определение оперирует этим понятием на полную катушку, не пытаясь напомнить читателю что же это такое. Ситуация отягощается использованием аббревиатур. Если с СУ возможно проблем не будет, то в таких вещах как САУ, САР и СС потеряться очень легко. Не стесняйтесь напоминать читателю время от времени всякие базовые определения, даже если это выглядит как раздувание текста, как известно определение запомнится после 30-40 повторений, и если в тексте 30-40 будет перебором, то можно ограничиться 5-10 в начале книги.
Ваш ответ звучит как «я не специалист по ЗПП и становиться им особо не хочу, поэтому во всех этих ваших кондомах разбираться не буду, да и пользоваться тоже». Может все-таки стоит?
Вы знаете как сейчас фаззинг работает?
Скармливаем кучу барахла в переменную, смотрим что упадет и при каких условиях.
Там подход противоположен, они грубо говоря запускают программу в ГДБ, и везде где данные получаются от юзера/стороннего процесса пытаются проанализировать заданы ли граничные условия для параметра. Если не заданы, пытаются эксплуатировать. ТАм инструмент может использоваться как для подготовки эксплойтов на лету, так и для патчинга на лету. Патчится это очевидно в памяти, а не на диске. Что конкретно в этой реализации сделали для предотвращения BoF я очевидно не знаю. Там конкурсантов 6 или 7 было последний раз когда я проверял. У всех свои подходы и свой проприетарный алгоритм.
Это все работает на уровне построения дерева ветвлений бинарного кода. Грубо говоря происходит анализ байт-кода, если при определенных условиях создается возможность переполнения буфера, нужно предотвратить возникновение этих условий. Патчится там все на лету опять же на уровне бинарных кодов. Я в 2015 на дефконе это дело слушал — очень было интересно.
У автора в статье три разных понятия названы одним словом — «тестирование на проникновение».
1. Есть vulnerability assessment — «оценка уязвимостей»: грубо говоря прогнал автоматический сканер типа нессуса/кволиса/макспатрола или еще какого-нибудь (есть специализированные сканеры под веб, под БД и тп), получил отчет и доволен — есть список проблем, можно идти и фиксить.
2. Есть «Penetration Test» — оно же «тестирование на проникновение». Нанимаем пентестеров, обозначаем границы обследования и вперед. Задача у пентеста — проверить адекватность конфигурации и настроек безопасности серверов и приложений. В идеале пентесты проводятся с отключенными средствами защиты, чтобы это не WAF атаки отбивал, а веб-приложение было не уязвимо. Команда защиты заранее предупреждается о пентесте, и не должна реагировать на события от пентестера.
3. «Red Team Exercise» — тут задача как раз проверить процессы и методы реагирования синей команды. О Read Team Exercise никто не предупреждает защитников. Члены красной команды должны моделировать действия хакера в разных сценариях (например популярен сценарий «assumed breach» — т.е. мы заранее помогаем красной команде попасть внутрь периметра, и смотрим как быстро синяя команда обнаружит вторжение).
Для меня БК остался лучшим аддоном, когда на открытие инстов надо было делать сложные цепочки квестов. Когда героики были офигеть сложными и каждую группу мобов надо было контролить. Когда хорошая синька была большой радостью, а эпик просто счастьем.
Хм. Почти все коменты негативные.
на мой взгляд:
1. Парень молодец — будучи студентом запилил 100 игр, получал при этом всякие премии, награды, гранты на разработку. Скиллы по заполнению заявок на участие в конкурсах и грантах прокачал. Скиллы по использованию разных движков и скиллы по созданию геймплея повысились.
2. Попытался разобраться в первую очередь в себе — что лично ему интересно а что нет. Сомневаюсь что хотя бы у 10% коментаторов был такой же подход. Скорее всего просто доучились в универе и поши работать на дядю.
3. Получил какую-то известность попав этот самый список форбс и наполучав всяких наград на конкурсах. Строчки в резюме будут офигенные. После этого ОН сможет выбирать работодателя, если у него возникнет такое желание
Что-то я ваш ответ пропустил.
Давайте договоримся о том что абсолютной защиты не бывает, бывают методы защиты которые делют дальнейший взлом не целесообразным (либо слишком дорогим, либо слишком долгим). Но при этом гарантии отстутсвия взлома вам никто никогда не даст.
Вариант с двумя достаточно длинными словами написанными с ошибками очень эффективно отобьет 90% атак (если не 99%), даже при сливе базы, даже если используется какой-нибудь МД5.
Ну во первых — вы берете взлом хэша, а не брутфорс пароля на вебе :))
Во вторых — это верно только для каких-нибудь MD5, плюс данный пример не учитывает ошибки в словах. Возьмите посоленный sha256 или sha512 для примера и попробуйте, не забудьте использовать мутации слов, для организации ошибок, и посмотрите сколько лет у вас займет взлом. Плюс вы считаете что ваше слово находится в словаре, что далеко не факт.
Ну давайте возьмем элементарный случай. Словарь John the Ripper (он же password.lst), даром что он на английском. В словаре 3545 слов, что дает 12.5М возможных сочетаний, добавляем к этому ошибки, даже такие типичные как замена О на А или замена О на 0 или замена A на @ и т.п. — получим увеличение этого числа на количество возможных замен на каждую букву.
Поверьте, подбор пароля в таких условиях фактически не возможен, даже имея на руках хэш пароля и имея представление об алгоритме — это не тривиальная задача.
Набор рэндомных рекомендаций и инструментов имхо.
Информационная безопасность это прежде всего четкое понимание рисков и модели угроз.
В противном случае можно построить вокруг себя огромный забор с вышками и автоматчиками, но оставить дыры размером со слона, о которых можно даже не догадываться.
У разных людей/компаний разные риски, разные угрозы и разный бюджет.
Любые, даже бесплатные системы безопасности — это затраты. Это и затраты времени на изучение инструмента и затраты на усложнившуюся жизнь после введения дополнительного уровня защиты.
А в качеств общих правил гигиены можно предложить следующее:
— Не выкладывать персональную информацию в публичный доступ (соц. сети — зло)
— Не запускать недоверенные приложения, не использовать файло-помойки, и левые апп-сторы, все грузить с официальных страниц
— На все вопросы «согласны ли вы» отвечать нет, пока нет четкого понимания под чем подписываешься
— не тыкать по сомнительным баннерам в интернете и вообще баннеры желательно резать
— при повышенном уровне паранои резать не только баннеры но и скрипты
— использовать длинные не словарные пароли, сложные не обязательно — любых два слова написанных с ошибкой и разделенных пробелом решат проблему подбора пароля по словарю раз и на всегда
Sympathy в английском языке это скорее сочуствие, типичный ложный друг переводчика.
В магазинах открытки «соболезнования о смерти» находятся в разделе «Sympathy» — многие свежие иммигранты на этом прокалываются.
За 20 лет работы для себя вывел простые правила:
1. Мы не одна семья, все эти «возьмемся за руки друзья» в другом месте с другими людьми
2. Я продаю вам свое время за ваши деньги
3. Я делаю свою работу хорошо
Здесь было еще штук 6 пунктов, но в целом они не на столько важны как первые три.
Я не пытаюсь сказать что у всех такие проблемы — но у меня точно. В этом плане чаще радуют зарубежные учебники для начинающих, где язык не перегружен жаргоном и авторы не стесняются по 100 раз повторять для тупых о чем же мы собственно говорим.
Фразы подобные «как вы наверное помните — САУ это ..., в данном случае мы будем говорить об отличии САУ от СС и… » сильно упрощают усвоение материала.
Люди это не компьютеры для которых можно в начале программы задать список констант и определений. Мы потребляем информацию по другому.
Практика показывает что материал написанный максимально приближенно к повседневной речи усваивается лучше.
Еще из системных проблем подобных учебников — для новичка практически не возможно выучить все определения сразу, а учебник один раз дав определение оперирует этим понятием на полную катушку, не пытаясь напомнить читателю что же это такое. Ситуация отягощается использованием аббревиатур. Если с СУ возможно проблем не будет, то в таких вещах как САУ, САР и СС потеряться очень легко. Не стесняйтесь напоминать читателю время от времени всякие базовые определения, даже если это выглядит как раздувание текста, как известно определение запомнится после 30-40 повторений, и если в тексте 30-40 будет перебором, то можно ограничиться 5-10 в начале книги.
Скармливаем кучу барахла в переменную, смотрим что упадет и при каких условиях.
Там подход противоположен, они грубо говоря запускают программу в ГДБ, и везде где данные получаются от юзера/стороннего процесса пытаются проанализировать заданы ли граничные условия для параметра. Если не заданы, пытаются эксплуатировать. ТАм инструмент может использоваться как для подготовки эксплойтов на лету, так и для патчинга на лету. Патчится это очевидно в памяти, а не на диске. Что конкретно в этой реализации сделали для предотвращения BoF я очевидно не знаю. Там конкурсантов 6 или 7 было последний раз когда я проверял. У всех свои подходы и свой проприетарный алгоритм.
1. Есть vulnerability assessment — «оценка уязвимостей»: грубо говоря прогнал автоматический сканер типа нессуса/кволиса/макспатрола или еще какого-нибудь (есть специализированные сканеры под веб, под БД и тп), получил отчет и доволен — есть список проблем, можно идти и фиксить.
2. Есть «Penetration Test» — оно же «тестирование на проникновение». Нанимаем пентестеров, обозначаем границы обследования и вперед. Задача у пентеста — проверить адекватность конфигурации и настроек безопасности серверов и приложений. В идеале пентесты проводятся с отключенными средствами защиты, чтобы это не WAF атаки отбивал, а веб-приложение было не уязвимо. Команда защиты заранее предупреждается о пентесте, и не должна реагировать на события от пентестера.
3. «Red Team Exercise» — тут задача как раз проверить процессы и методы реагирования синей команды. О Read Team Exercise никто не предупреждает защитников. Члены красной команды должны моделировать действия хакера в разных сценариях (например популярен сценарий «assumed breach» — т.е. мы заранее помогаем красной команде попасть внутрь периметра, и смотрим как быстро синяя команда обнаружит вторжение).
на мой взгляд:
1. Парень молодец — будучи студентом запилил 100 игр, получал при этом всякие премии, награды, гранты на разработку. Скиллы по заполнению заявок на участие в конкурсах и грантах прокачал. Скиллы по использованию разных движков и скиллы по созданию геймплея повысились.
2. Попытался разобраться в первую очередь в себе — что лично ему интересно а что нет. Сомневаюсь что хотя бы у 10% коментаторов был такой же подход. Скорее всего просто доучились в универе и поши работать на дядю.
3. Получил какую-то известность попав этот самый список форбс и наполучав всяких наград на конкурсах. Строчки в резюме будут офигенные. После этого ОН сможет выбирать работодателя, если у него возникнет такое желание
Давайте договоримся о том что абсолютной защиты не бывает, бывают методы защиты которые делют дальнейший взлом не целесообразным (либо слишком дорогим, либо слишком долгим). Но при этом гарантии отстутсвия взлома вам никто никогда не даст.
Вариант с двумя достаточно длинными словами написанными с ошибками очень эффективно отобьет 90% атак (если не 99%), даже при сливе базы, даже если используется какой-нибудь МД5.
Во вторых — это верно только для каких-нибудь MD5, плюс данный пример не учитывает ошибки в словах. Возьмите посоленный sha256 или sha512 для примера и попробуйте, не забудьте использовать мутации слов, для организации ошибок, и посмотрите сколько лет у вас займет взлом. Плюс вы считаете что ваше слово находится в словаре, что далеко не факт.
Поверьте, подбор пароля в таких условиях фактически не возможен, даже имея на руках хэш пароля и имея представление об алгоритме — это не тривиальная задача.
Информационная безопасность это прежде всего четкое понимание рисков и модели угроз.
В противном случае можно построить вокруг себя огромный забор с вышками и автоматчиками, но оставить дыры размером со слона, о которых можно даже не догадываться.
У разных людей/компаний разные риски, разные угрозы и разный бюджет.
Любые, даже бесплатные системы безопасности — это затраты. Это и затраты времени на изучение инструмента и затраты на усложнившуюся жизнь после введения дополнительного уровня защиты.
А в качеств общих правил гигиены можно предложить следующее:
— Не выкладывать персональную информацию в публичный доступ (соц. сети — зло)
— Не запускать недоверенные приложения, не использовать файло-помойки, и левые апп-сторы, все грузить с официальных страниц
— На все вопросы «согласны ли вы» отвечать нет, пока нет четкого понимания под чем подписываешься
— не тыкать по сомнительным баннерам в интернете и вообще баннеры желательно резать
— при повышенном уровне паранои резать не только баннеры но и скрипты
— использовать длинные не словарные пароли, сложные не обязательно — любых два слова написанных с ошибкой и разделенных пробелом решат проблему подбора пароля по словарю раз и на всегда
В магазинах открытки «соболезнования о смерти» находятся в разделе «Sympathy» — многие свежие иммигранты на этом прокалываются.