Проблема не в дикой речи директора ФБР. В конце концов, тому совершенно естественно хочется выполнять поставленные перед Бюро задачи наименьшими усилиями, а наименьшие усилия будут достигнуты, если агенты смогут получать любую необходимую информацию, не отрывая задницы от стульев, а автоматические фильтры и умные экспертные системы дополнят или даже заменят капризный человеческий ресурс.
Проблема — в толерантности общества к таким речам. В идеальном мире после такого выступления директор должен был бы прямиком отправиться простым (даже не специальным) агентом куда-нибудь в Айову искать нарушителей федеральных законов в зарослях кукурузы. Вместо этого он публично мечтает лишить граждан права на конфиденциальность их данных и защиту от злоумышленников, наезжает на частный бизнес, который своим шифрованием мешает, видите ли, бороться с терроризмом. И его поддерживает не только администрация (если он до сих пор директор), но и благодарная аудитория. Аудитории привили такой замечательный условный рефлекс на слово «терроризм», что мешать работать ФБР скоро будет не только Гугл с Эпплом, но и суды (какие-то ордера надо постоянно получать, подрывает всю работу!), и пресса (эти вообще ужас какие антиобщественная).
Еще до проверки более современных систем скажу, что paypal.com. будет успешно зарезолвлен настоящим NS настоящей сетевой карты. Не будет ни единой причины обращаться к фальшивому NS для фишинга
Мы не перенастраиваем существующую сеть, мы добавляем новую, которая заполняется по dhcp с телефона.
И каким же все-таки образом компрометируется существующая сеть? У меня есть претензия к вашему: И в набор серверов dns добавляется еще один
т.к. у DHCP нет такой команды «добавить NS к существующему». Существующая сетевая карта как работала с законными good1.ns.com и good2.ns.com, так и продолжает работать! Для успешной атаки надо бы отключить сетевую карту и включить ее снова в надежде, что фальшивый DHCP сервер анонсирует себя первым и сможет раздать IP (угадав с диапазоном и бесконфликтностью; не забывайте, что настоящей сети у виртуальой карты нет и прослушать ничего нельзя) с настоящим гейтом (угадав его IP, по-видимому, станадртный 192.168.1.1) и фальшивыми NS. Мне такая атака видится чрезвычайно непрактичной. Для демо — возможно. Для жизни — не получится.
Вариант с каким-нибудь волшебным перенаправлением существующих соединений на откуда ни возьмись новую сетевую карту я даже не рассматриваю: для этого на компьютере жертвы уже должен сидеть зловред.
Теперь о сертификатах. Мне неизвестны случаи компрометации EV сертификатов, но если и когда это случится, сообщество придумает что-нибудь другое. Например, оранжевенький адрес paypal. Проблема установления подлинности и уязвимость в USB — разного вообще рода задачи.
Еще раз: для этого в компьютере не должно быть СВОЕЙ, уже сконфигурированной сетевой карты, или она должна быть отключена. Телефон не может незаметно забрать lease у существующего адреса.
И вообще, злоумышленник что, будет дарить жертве смартфоны с рабочим интернетом, вместо того, чтобы сесть MiTM у входа в дом или у провайдера? :) Зелёненький paypal спасет землян даже со зловредными телефонами.
Это весьма синтетический пример, который, конечно же, хорош в виде «proof of concept», но совершенно необязательно жизнеспособен в реальном мире. Виртуальный Ethernet невозможно добавить «со своими DNS настройками», т.к. plug-n-play событие для устройства и его конфигурация — это две разные сущности. Также вызывает сомнение возможность подмены NS настоящей сетевой карты компьютера. Вот если заранее воткнуть USB Ethernet, сконфигурировать его с фиксированным зловредным NS, И отключить его, И отключить сетевую карту компьютера, И подлкючить плохой телефон снова, И чтобы у телефона был рабочий data plan, И чтобы пользователь не заметил подключения новой сетевой карты и вопросов системы к какой сети (Дом-Работа) относится новая карта, И… И… И… тогда, наверное, сработает.
Я не пытаюсь оспорить конкретную демонстрацию, я лишь обеими руками против того, чтобы специализированные исследования и эксперименты специалистов по безопасности не транслировались в истошные медийные крики «А-а-а-а!, Найдена Страшная ДЫРА!!! Мы все умрем!!». Я вам процитирую заголовок заметки с The Verge: «USB has a huge security problem that could take years to fix». Господи, какая желтизна. Лучше бы еще раз тупо для хомячков написали: Paypal не зелененький? Не вводите ничего! Глядишь, и еще б пару душ спасли от фишинга.
Очередной салат из теоретической уязвимости протокола USB и страшилок СМИ про «инструмент кибершпионажа». Уязвимость сильно теоретическая по следующим причинам:
1. Подавляющий процент контроллеров на рынке не могут быть перепрограммированы.
2. Главная уязвимость заключается в мимикрии под HID device (клавиатуру), которая никак не «полностью скрыта», а очень даже видима мало-мальски опытному пользователю.
3. Странное поведение (HID -> reset -> Mass Storage) на раз может детектиться антивирусами, пусть и постфактум. Хотя для параноиков вполне можно придумать технику защиты от псевдо-клавиаутры, например, ввести случайный пинкод в модальном окне).
4. Существующие дыры в ПО гораздо дешевле ненадежной и дорогой раздачи злоавредных флешек. А для производителей есть бескрайний простор внедрения в материнскую плату, биос и тупо(!) в настоящую клавиатуру. Так что USB сам по себе не открыл никакой новой главы в книге «несертифицированное железо».
Почему-то никто не спешил заклеивать USB скотчем во времена печально известного «автозапуска», хотя простейший autorun.inf позаражал мегатонны компьютеров без всякого перепрограммирования контроллеров. Ах да, тогда доклады с хакерских конференций не шли напрямую в народ…
Экран не меняли. В магическую доводку платы, реально влияющую на энергопотребление, я верю слабо, коль скоро экран, процессор и радиомодули остались теми же. Оптимизация софта более вероятна, но тогда сразу возникает вопрос отчего бы не прооптимизировать софт также и счастливым владельцам Z2 :). Bottom line: результат теста все еще вызывает вопросы, особенно учитывая неизвестную/неопубликованную методику.
Автомобилям Model S теперь можно давать личные имена
По-моему, это поставило жирную точку в автомобилестроении. Я не знаю что еще можно придумать. Другим автоконцернам остается объявить о банкротстве, пока не поздно.
Как вообще можно рассматривать спекуляцию на акциях компаний, находящихся в топе индексов?! По-моему, только очень недалекий «инвестор» понадеется на серьезные колебания цены (а иначе на спекуляции не заработать). Обычно монстры сильно инертны, а если какое крупное потрясение и ожидается, например, настоящая, без дураков, революция или провал нового продукта, занимающего 40% от доходов компании, то инсайдеры узнают об этом намного раньше несчастного спекулянта, ждущего часа анонса для прессы.
Тема «купить до» не раскрыта, а я так надеялся на волшебный рецепт ловли птицы-удачи за хвост :). На самом деле попасть в очень ограниченный междуусобчик наваривающихся на pre-IPO популярных (многообещающих) компаний практически невозможно. Остается купить украшенный рамками и табличками сертификат… Интересно, это те же конторы, которые печатают на лазерных принтерах сертификаты на лунные участки?
Ожидаемо, к сожалению. Первоначальная версия, стань она законом, была «too good to be true». Но вот что раздражает в тыщу раз сильнее патентных троллей в мутных адвокатских конторах, так это вовлеченность в патентный бизнес университетов. Они должны быть первыми, кому следует законодательно запретить касаться патентов.
Я не касаюсь организационной структуры мэрий (хотя французские ничем особым не отличаются от любых других). Просто это не первая, не вторая и даже не десятая статьи-реляции, поражающие вакуумной сферичностью подсчета стоимости (экономии) и не затрагивающие сотни серьезных проблем переноса делопроизводства с одной системы на другую (с любой на любую, пусть даже с бесплатной на бесплатную!). Якобы «миллионная экономия» здесь вторична, но доставляет отдельно. Незамысловатое умножение цены полного офиса в ритейле на количество рабочих мест — удел всяких мутных контор-пильщиков городских бюджетов.
Мне уже указали, что я забыл посчитать «в год» :). Но даже и 10 тысяч компов, на которых необходим офис, какая-то ненормальное число для мэрии небольшого городка, плюс ко всему высосанная из пальца цена лицензии. Такие липовые подсчеты — ИМХО самая большая медвежья услуга бесплатному ПО.
Лицензии на офисный пакет стоили Тулузе €1,8 млн каждые три года
Дополнительные условия: самый дорогой пакет Office 365 enterprise E3 со всеми возможными онлайновыми и офлайновыми версиями стоит 15€ в месяц на пользователя до всяких скидок.
Задача: сколько компьютеров у муниципальных работников в Тулузе?
Решение: 1,800,000/3/15
Ответ: 40,000. Прописью: сорок тысяч.
Быть четвертым по населению городом конечно обязывает, но может им вместо экономии на софте немного подсократить мэрию?
Финотчеты — не совсем точный инструмент надежности, а ваша «аналитика» — точный? :)
Я не буду по пунктам, извините. Еще раз посоветую пролистать отчет или его авторитетное объяснение. Не непонятные сайты с графиками, которые предлагается строить самостоятельно и где почему-то нет ни Azure, ни Bing, ни Office365, а нечто более весомое. Да, мобильные и десктопные ОС, браузеры и прочее постепенно перестает приносить деньги (мобильные ОС сами по себе денег никогда и не приносили!). Это было ясно еще несколько лет назад, и движение в более трендовые области началось тоже не вчера. Остальные пассажи «Вендекапец (тм)» пропущу. Смешные диаграмки, 23 млрд. прибыли, высшая биржевая цена за последние 52 недели и 80 ярдов кэша в кармане — действительно ужасают. Почти банкроты, считай.
Ужасающие результаты? Ужасающие? Вы, право, прочтите финансовый отчет или выжимки из него, это же буквально 2 клика. В финансовой сфере у MSFT все достаточно неплохо, плавный переход генерации прибылей от legacy продуктов к современным (облачным) тоже удовлетворительный. Им будет нелегко, ну так легкую жизнь никто не гарантировал. Они и так засиделись в свое время без конкурентов.
Со статической картинкой научились относительно бороться, заставляя моргать. Могут и с голосом такое придумать: «А ну-ка, напой быстренько сюиту ля минор Баха».
Проблема — в толерантности общества к таким речам. В идеальном мире после такого выступления директор должен был бы прямиком отправиться простым (даже не специальным) агентом куда-нибудь в Айову искать нарушителей федеральных законов в зарослях кукурузы. Вместо этого он публично мечтает лишить граждан права на конфиденциальность их данных и защиту от злоумышленников, наезжает на частный бизнес, который своим шифрованием мешает, видите ли, бороться с терроризмом. И его поддерживает не только администрация (если он до сих пор директор), но и благодарная аудитория. Аудитории привили такой замечательный условный рефлекс на слово «терроризм», что мешать работать ФБР скоро будет не только Гугл с Эпплом, но и суды (какие-то ордера надо постоянно получать, подрывает всю работу!), и пресса (эти вообще ужас какие антиобщественная).
И каким же все-таки образом компрометируется существующая сеть? У меня есть претензия к вашему:
И в набор серверов dns добавляется еще один
т.к. у DHCP нет такой команды «добавить NS к существующему». Существующая сетевая карта как работала с законными good1.ns.com и good2.ns.com, так и продолжает работать! Для успешной атаки надо бы отключить сетевую карту и включить ее снова в надежде, что фальшивый DHCP сервер анонсирует себя первым и сможет раздать IP (угадав с диапазоном и бесконфликтностью; не забывайте, что настоящей сети у виртуальой карты нет и прослушать ничего нельзя) с настоящим гейтом (угадав его IP, по-видимому, станадртный 192.168.1.1) и фальшивыми NS. Мне такая атака видится чрезвычайно непрактичной. Для демо — возможно. Для жизни — не получится.
Вариант с каким-нибудь волшебным перенаправлением существующих соединений на откуда ни возьмись новую сетевую карту я даже не рассматриваю: для этого на компьютере жертвы уже должен сидеть зловред.
Теперь о сертификатах. Мне неизвестны случаи компрометации EV сертификатов, но если и когда это случится, сообщество придумает что-нибудь другое. Например, оранжевенький адрес paypal. Проблема установления подлинности и уязвимость в USB — разного вообще рода задачи.
И вообще, злоумышленник что, будет дарить жертве смартфоны с рабочим интернетом, вместо того, чтобы сесть MiTM у входа в дом или у провайдера? :) Зелёненький paypal спасет землян даже со зловредными телефонами.
Я не пытаюсь оспорить конкретную демонстрацию, я лишь обеими руками против того, чтобы специализированные исследования и эксперименты специалистов по безопасности не транслировались в истошные медийные крики «А-а-а-а!, Найдена Страшная ДЫРА!!! Мы все умрем!!». Я вам процитирую заголовок заметки с The Verge: «USB has a huge security problem that could take years to fix». Господи, какая желтизна. Лучше бы еще раз тупо для хомячков написали: Paypal не зелененький? Не вводите ничего! Глядишь, и еще б пару душ спасли от фишинга.
1. Подавляющий процент контроллеров на рынке не могут быть перепрограммированы.
2. Главная уязвимость заключается в мимикрии под HID device (клавиатуру), которая никак не «полностью скрыта», а очень даже видима мало-мальски опытному пользователю.
3. Странное поведение (HID -> reset -> Mass Storage) на раз может детектиться антивирусами, пусть и постфактум. Хотя для параноиков вполне можно придумать технику защиты от псевдо-клавиаутры, например, ввести случайный пинкод в модальном окне).
4. Существующие дыры в ПО гораздо дешевле ненадежной и дорогой раздачи злоавредных флешек. А для производителей есть бескрайний простор внедрения в материнскую плату, биос и тупо(!) в настоящую клавиатуру. Так что USB сам по себе не открыл никакой новой главы в книге «несертифицированное железо».
Почему-то никто не спешил заклеивать USB скотчем во времена печально известного «автозапуска», хотя простейший autorun.inf позаражал мегатонны компьютеров без всякого перепрограммирования контроллеров. Ах да, тогда доклады с хакерских конференций не шли напрямую в народ…
По-моему, это поставило жирную точку в автомобилестроении. Я не знаю что еще можно придумать. Другим автоконцернам остается объявить о банкротстве, пока не поздно.
Дополнительные условия: самый дорогой пакет Office 365 enterprise E3 со всеми возможными онлайновыми и офлайновыми версиями стоит 15€ в месяц на пользователя до всяких скидок.
Задача: сколько компьютеров у муниципальных работников в Тулузе?
Решение: 1,800,000/3/15
Ответ: 40,000. Прописью: сорок тысяч.
Быть четвертым по населению городом конечно обязывает, но может им вместо экономии на софте немного подсократить мэрию?
Я не буду по пунктам, извините. Еще раз посоветую пролистать отчет или его авторитетное объяснение. Не непонятные сайты с графиками, которые предлагается строить самостоятельно и где почему-то нет ни Azure, ни Bing, ни Office365, а нечто более весомое. Да, мобильные и десктопные ОС, браузеры и прочее постепенно перестает приносить деньги (мобильные ОС сами по себе денег никогда и не приносили!). Это было ясно еще несколько лет назад, и движение в более трендовые области началось тоже не вчера. Остальные пассажи «Вендекапец (тм)» пропущу. Смешные диаграмки, 23 млрд. прибыли, высшая биржевая цена за последние 52 недели и 80 ярдов кэша в кармане — действительно ужасают. Почти банкроты, считай.
В чёрной-пречёрной комнате лежал чёрный-пречёрный баг-репорт от чёрного-пречёрного бета-тестера.
И этим бета-тестером был…
И этим чёрным-пречерным бета-тестером был…
И ЭТИМ ЧЁРНЫМ БЕТА-ТЕСТЕРОМ БЫЛ…
<SCREAM.wav>