ИБ требует: «сегментируйте» — эксплуатация не умеет это сопровождать;
Даааааа, абсолютно нереалистично ожидать что эксплуатация умеет выполнять свою работу. В общем-то вся статья об этом - с пеной у рта защищать свое право не учиться а надеяться на авось.
Нет ничего проще чем трепать языком. Есть такая поговорка - любой человек может построить систему безопасности которую он сам не сможет преодолеть. Ключевое - он сам.
Покажите класс - выложите золотой образ пользовательской машины настроенной как вам угодно и которая будет способна выполнять базовые функции корпоративного ПК - печать и набор документов, веб-серфинг, корпоративные средства связи, работа с почтой, сетевая шара. Можно даже без роли администратора, который как бы должен быть, и выполнения задач ребят вроде разработки.
Был такой протокол DES по которому подтверждено что шифрование там было намеренно ослаблено по требованию как раз АНБ. Причем как и в форме уменьшения длины ключа так и алгоритма генерации.
Но при этом Путину - сдался? Или трусы надень или крестик сними...
МАССОВУЮ, КОВРОВУЮ дешифровку всего населения ЗА БЕСПЛАТНО
Поменьше капса и включи хоть часть мозга - с каких пор задача поточного дешифрования бесплатная? Оборудования не нужно или дешифрования терабит в секунду не требует ресурсов?
Обратная совместимость мешает. Вы как, хотя бы дома перешли с протокола 1981 года на протокол хотя бы 96 года? Я что-то уверен что нет. В следующем году уже 30 лет будет IPv6, и все никак не перейдут. Знает он как устроен интернет...
Тут все же надо разделять бэкдоры и слежку, это разные задачи. Бэкдоры - встраиваются, но негласно и на уровне взаимодействия с частными компаниями напрямую, у тех же "железных" вендоров - формат уже "отправьте эту поставку через этот логистический терминал и не обращайте внимание на задержку в пару дней" http://www.tra.gov.lb/NewsDetails.aspx?pageid=3356 Но юридически насколько я знаю негласный доступ к оборудованию это серая зона, не разрешенная но и не запрещенная, а вот шпионаж ЗА ГРАЖДАНАМИ США запрещен (USA freedom act), но это не мешает собирать о них информацию негласно, т.к. демонтаж местного СОРМа не производился.
FISA Section 702 разрешает слежку за негражданами за пределами U.S. без ордера суда.
Ну вообще не параграф 702 а весь документ целиком FISA - foreign intelligence surveillance act, и удивляться что член альянса пяти глаз следит за всемирной сетью без признания границ это удивляться тому что люди дышат. И про тот же narusinsight никто не говорит что его вывели из эксплуатации несмотря на отсутствие легализации с остановкой patriot act. И их благолепная карнивора (как система) с законом ее запрещающим это не наш ужасный СОРМ с законом разрешающим, не путайте.
Ну когда своего ума нет - апеллировать к ИИ с галлюцинациями за фактческингом идея такая себе. Прям законодательно - нет, ибо слишком заметно. А то что к тебе подойдут и настоятельно попросят вставить обещая в противном случае проблемы с бизнесом - думаете не существует?
И так далее, со всеми градациями от прямых атак до state-sponsored.
Из свежего - "Триангуляция" с целевой атакой непосредственно на Касперских и госведомства РФ. В личных разговорах Евгений Касперский кстати однозначно атрибутирует атаку, интересно почему же он такие выводы делает? https://www.kaspersky.ru/blog/triangulation-37c3-talk/36774/
Знаете что следует делать? Думать прежде чем высказывать свои глубокие мысли.
Вот они не выпустили сертификат которого нет в CT. Знаете что в таком случае будет - он не пройдет проверку CT, потому что ЛЮБОЙ СЕРТИФИКАТ ЗАВЕРЕННЫЙ CT И НЕ НАХОДЯЩИЙСЯ В ЦЕПОЧКЕ НЕДОВЕРЕННЫЙ! Вот почему каждый неуч считает что разбирается в ИБ лучше профессионалов?
Ты осилить один абзац текста не можешь, только визжать о недоверии без понимания сложности реализации и вообще осмысленности действий, имея из аргументации по сути только чайник Рассела. За что тебя уважать?
Ну и если нет доверия браузеру, то никакое расширение не поможет, т.к. нет гарантий, что браузер не будет отключать его в нужный момент.
А еще нет гарантий что злое КГБ не облучает тебя прямо сейчас пси-орудием... Надевай шапочку из фольги, говорят помогает. Разрабатывай свой браузер, с 0. Только перед этим и ОС свою разработай еще, а то обращение с созданием закладки от АНБ Линус уже давно подтвердил, а про КГБ не говорил, смекаешь? И сначала свой процессор тоже сделай, а то не доказано что закладок на уровне процессора нет, хотя что там с разрешением на импорт от ФСБ на ЦП с AES-NI? Смекаешь почему их не просят, хотя должны (приказ ФСБ № 549) - потому что их УЖЕ ВЗЛОМАЛИ! Так что свое шифрование тоже разрабатывай и убеждай других его использовать. Да и мониторам нельзя доверять - был же перехват ван Эйка, значит как можно в принципе доверять мониторам?! Из пальца можно навысасывать огромное количество "не гарантий".
Вы вольны читать этот логи, они публичные и сделать расширение на любой браузер
Абзац текста ты очевидно не осилил, так и быть - для тебя процитирую что делать в случае если нет доверия браузеру. Надеюсь строку ты прочитать сможешь. Поколение тик-тока с концентрацией как у рыбки...
О чем тут вопрос? О факте обращения к запрещенному ресурсу или о действиях после захода? Вопрос - ты реально думаешь что отвечать не на заданный, а на немного другой вопрос адекватно?
Да, но нет) Верно что с не системными CT не работает - иначе все корпорации взбесились бы - они как раз SSL трафик своих сотрудников дешифруют, причем несколько раз. Но нет - потому что национальные УЦ Минцифры, Яндекса и ВК поддерживают CT сами по себе - то есть логи на все выданные сертификаты будут в древе Меркла на одностороннюю запись. Вы вольны читать этот логи, они публичные и сделать расширение на любой браузер - вот список энтрипоинтов https://browser-resources.s3.yandex.net/ctlog/ctlog.json И как минимум у Яндекс-браузера будет оповещение из коробки при отсутствии выданного серта к которому выполняется подключение в SCT - он уже сам читает записи CT нацУЦ.
Вы серьезно думаете что государство так переживает что Хабр/пикабу/etc останется без трафика и будет само следить за незаконным контентом и тратить триллионы долларов на модернизацию ТСПУ под поточное дешифрование (на железе которое еще и купить надо)? Серьезно?
В вашем мире никаких блокировок нет? Ну а если они работают - зачем нужно делать ровно то же самое, только через жопу (так как требует действий пользователя на своей стороне) и за огромные вычислительные издержки - держать весь криптосьют сессии, поддерживать сессию и прочее вместо простого чтения SNI который работает на каждом клиенте без настроек?
а в каком сценарии заход на сайт раскрывается через доверенный СА?
О чем тут вопрос? О факте обращения к запрещенному ресурсу или о действиях после захода? Вопрос - ты реально думаешь что отвечать не на заданный, а на немного другой вопрос адекватно?
ИБ в АСУ ТП должна быть реалистичной;
ИБ требует: «сегментируйте» — эксплуатация не умеет это сопровождать;
Даааааа, абсолютно нереалистично ожидать что эксплуатация умеет выполнять свою работу. В общем-то вся статья об этом - с пеной у рта защищать свое право не учиться а надеяться на авось.
Нет ничего проще чем трепать языком. Есть такая поговорка - любой человек может построить систему безопасности которую он сам не сможет преодолеть. Ключевое - он сам.
Покажите класс - выложите золотой образ пользовательской машины настроенной как вам угодно и которая будет способна выполнять базовые функции корпоративного ПК - печать и набор документов, веб-серфинг, корпоративные средства связи, работа с почтой, сетевая шара. Можно даже без роли администратора, который как бы должен быть, и выполнения задач ребят вроде разработки.
Ну а мы посмотрим по фактам что получилось.
Не всегда. Собственно тут работало скрытно, даже с отключением записи в случае включения экрана и даже в авиарежиме.
https://securelist.com/triangulation-validators-modules/110847/
Раздел Microphone recording
Был такой протокол DES по которому подтверждено что шифрование там было намеренно ослаблено по требованию как раз АНБ. Причем как и в форме уменьшения длины ключа так и алгоритма генерации.
А если всех?
https://en.wikipedia.org/wiki/XKeyscore
https://en.wikipedia.org/wiki/Carnivore_(software)
https://en.wikipedia.org/wiki/PRISM
https://en.wikipedia.org/wiki/Tempora
https://en.wikipedia.org/wiki/MUSCULAR
https://www.historyofinformation.com/detail.php?id=3096
Но при этом Путину - сдался? Или трусы надень или крестик сними...
Поменьше капса и включи хоть часть мозга - с каких пор задача поточного дешифрования бесплатная? Оборудования не нужно или дешифрования терабит в секунду не требует ресурсов?
Ааааа, понял. Ты просто считаешь что CT работает как волшебные гномики. CT из коробки поддерживают далеко не все руты.
Вот актуальный список хрома, всего 25 записей и 8 рутов.
Строка 6: "name": "Google", Строка 143: "name": "Cloudflare", Строка 200: "name": "DigiCert", Строка 401: "name": "Sectigo", Строка 690: "name": "Let's Encrypt", Строка 918: "name": "TrustAsia", Строка 1007: "name": "Geomys", Строка 1118: "name": "IPng Networks",https://googlechrome.github.io/CertificateTransparency/log_lists.html
Найди здесь GlobalSign к примеру.
Если система работает по-старому - о каком исправлении идет речь?
Обратная совместимость мешает. Вы как, хотя бы дома перешли с протокола 1981 года на протокол хотя бы 96 года? Я что-то уверен что нет. В следующем году уже 30 лет будет IPv6, и все никак не перейдут. Знает он как устроен интернет...
А не можешь ты дискутировать - ты интерфейс по печатанью в ИИ. Чтобы дискутировать хотя бы свои мысли и знания должны быть. О дивный новый мир...
Вот вот, верно. Думает ИИ ведь, зачем человеку думать.
Тут все же надо разделять бэкдоры и слежку, это разные задачи. Бэкдоры - встраиваются, но негласно и на уровне взаимодействия с частными компаниями напрямую, у тех же "железных" вендоров - формат уже "отправьте эту поставку через этот логистический терминал и не обращайте внимание на задержку в пару дней" http://www.tra.gov.lb/NewsDetails.aspx?pageid=3356 Но юридически насколько я знаю негласный доступ к оборудованию это серая зона, не разрешенная но и не запрещенная, а вот шпионаж ЗА ГРАЖДАНАМИ США запрещен (USA freedom act), но это не мешает собирать о них информацию негласно, т.к. демонтаж местного СОРМа не производился.
Ну вообще не параграф 702 а весь документ целиком FISA - foreign intelligence surveillance act, и удивляться что член альянса пяти глаз следит за всемирной сетью без признания границ это удивляться тому что люди дышат. И про тот же narusinsight никто не говорит что его вывели из эксплуатации несмотря на отсутствие легализации с остановкой patriot act. И их благолепная карнивора (как система) с законом ее запрещающим это не наш ужасный СОРМ с законом разрешающим, не путайте.
В первый раз что ли? https://nvd.nist.gov/vuln/detail/cve-2024-3094 И после этого у него начались проблемы в США с криптой)
Ну когда своего ума нет - апеллировать к ИИ с галлюцинациями за фактческингом идея такая себе. Прям законодательно - нет, ибо слишком заметно. А то что к тебе подойдут и настоятельно попросят вставить обещая в противном случае проблемы с бизнесом - думаете не существует?
https://www.youtube.com/watch?v=7gRsgkdfYJ8
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssh-m4UBdpE7
https://attack.mitre.org/campaigns/C0046/
И так далее, со всеми градациями от прямых атак до state-sponsored.
Из свежего - "Триангуляция" с целевой атакой непосредственно на Касперских и госведомства РФ. В личных разговорах Евгений Касперский кстати однозначно атрибутирует атаку, интересно почему же он такие выводы делает? https://www.kaspersky.ru/blog/triangulation-37c3-talk/36774/
Как думаешь, что это?
https://browser-resources.s3.yandex.net/ctlog/ctlog.json
Знаете что следует делать? Думать прежде чем высказывать свои глубокие мысли.
Вот они не выпустили сертификат которого нет в CT. Знаете что в таком случае будет - он не пройдет проверку CT, потому что ЛЮБОЙ СЕРТИФИКАТ ЗАВЕРЕННЫЙ CT И НЕ НАХОДЯЩИЙСЯ В ЦЕПОЧКЕ НЕДОВЕРЕННЫЙ! Вот почему каждый неуч считает что разбирается в ИБ лучше профессионалов?
Ты осилить один абзац текста не можешь, только визжать о недоверии без понимания сложности реализации и вообще осмысленности действий, имея из аргументации по сути только чайник Рассела. За что тебя уважать?
А еще нет гарантий что злое КГБ не облучает тебя прямо сейчас пси-орудием... Надевай шапочку из фольги, говорят помогает. Разрабатывай свой браузер, с 0. Только перед этим и ОС свою разработай еще, а то обращение с созданием закладки от АНБ Линус уже давно подтвердил, а про КГБ не говорил, смекаешь? И сначала свой процессор тоже сделай, а то не доказано что закладок на уровне процессора нет, хотя что там с разрешением на импорт от ФСБ на ЦП с AES-NI? Смекаешь почему их не просят, хотя должны (приказ ФСБ № 549) - потому что их УЖЕ ВЗЛОМАЛИ! Так что свое шифрование тоже разрабатывай и убеждай других его использовать. Да и мониторам нельзя доверять - был же перехват ван Эйка, значит как можно в принципе доверять мониторам?! Из пальца можно навысасывать огромное количество "не гарантий".
Абзац текста ты очевидно не осилил, так и быть - для тебя процитирую что делать в случае если нет доверия браузеру. Надеюсь строку ты прочитать сможешь. Поколение тик-тока с концентрацией как у рыбки...
Ок. То есть ты еще один клоун который отвечает не на заданный вопрос а на голоса в своей голове?
C третьего раза ответить сможешь?
Да, но нет) Верно что с не системными CT не работает - иначе все корпорации взбесились бы - они как раз SSL трафик своих сотрудников дешифруют, причем несколько раз. Но нет - потому что национальные УЦ Минцифры, Яндекса и ВК поддерживают CT сами по себе - то есть логи на все выданные сертификаты будут в древе Меркла на одностороннюю запись. Вы вольны читать этот логи, они публичные и сделать расширение на любой браузер - вот список энтрипоинтов https://browser-resources.s3.yandex.net/ctlog/ctlog.json И как минимум у Яндекс-браузера будет оповещение из коробки при отсутствии выданного серта к которому выполняется подключение в SCT - он уже сам читает записи CT нацУЦ.
Вы серьезно думаете что государство так переживает что Хабр/пикабу/etc останется без трафика и будет само следить за незаконным контентом и тратить триллионы долларов на модернизацию ТСПУ под поточное дешифрование (на железе которое еще и купить надо)? Серьезно?
В вашем мире никаких блокировок нет? Ну а если они работают - зачем нужно делать ровно то же самое, только через жопу (так как требует действий пользователя на своей стороне) и за огромные вычислительные издержки - держать весь криптосьют сессии, поддерживать сессию и прочее вместо простого чтения SNI который работает на каждом клиенте без настроек?
Давай прочитаем еще раз.
а в каком сценарии заход на сайт раскрывается через доверенный СА?О чем тут вопрос? О факте обращения к запрещенному ресурсу или о действиях после захода? Вопрос - ты реально думаешь что отвечать не на заданный, а на немного другой вопрос адекватно?