Вы ошибаетесь.
Поскольку любой товар приобретаемый «слугами народа» на деньги этого самого народа, по определению предназначен для обслуживания граждан государства (т.е. и меня в том числе), то я как налогоплательщик против того, чтобы государственные чиновники тратили МОИ деньги на закупку менее качественного товара, за бОльшую цену.
А если этих чиновников, нанятых мною, как избирателем, для управления моим государством, не волнует степень моего «батхерта» по поводу их действий, то я могу подумать, что сделал не правильный выбор, и решить нанять других управленцев.
Покупая менее качественный товар за бОльшую цену, вы снижаете как стоимость потраченных денег, так и стоимость собственного труда… Таким образом, при таком подходе, хотя деньги и остаются в стране, но они обесцениваются, кроме того снижается уровень жизни населения, поскольку он определяется возможностью использования/потребления более качественного товара, в бОльших количествах.
>> Поскольку до его действий не было зафиксировано/доказано прецедентов взлома этой системы через указанную уязвимость, он в обвинении будет первым и единственным злоумышленником, который про неё знал и эксплуатировал.
>> Ни одно законодательство в развитых странах ни в теории, ни на практике не допускает публичного оглашения. Это просто некий «кодекс чести», который бытует в кругу хакеров, придуманный ими самими для себя.
В том-то и дело, что, к сожалению, законодательство многих стран настолько несовершенно, и не соответствует текущим реалиям, что фактически предполагает наказание за благое деяние…
Ваш пример не корректен, так как вы судите о информационной безопасности с точки зрения обывателя. С точки зрения же модели безопасности необходимо предполагать, что ВСЯ информация обо ВСЕХ уязвимостях системы безопасности, даже не известных вам, УЖЕ известна ВСЕМ злоумышленникам. Таким образом, ваши действия приводящие к улучшению этой системы безопасности, должны расцениваться как помощь, а не как вред.
С точки зрения ИБ более корректен следующий пример:
1) ВСЕ гопники района знают, что у вашего соседа Васи легко открывается дверь и регулярно этим пользуются.
2) Вы также случайно узнали об этом. С целью помочь Васе, вы сообщили ему об этом. Вася не отреагировал, так как не знаком с вами, и не доверяет вашему мнению.
3) По истечении года, гопники все так же регулярно ходят к Васе. Не в силах наблюдать больше подобное, вы развесели объявления по району о том, что у Васи легко открывается дверь. Так как все гопники об этом знали уже давно, то число грабежей Васи это не увеличело.
4) Знакомые Васи, прочитав ваше объявление, убедили Васю сменить замок.
5) Гопники и перестали ходить к Васе.
Таким образом если рассматривать данную ситуацию с точки зрения ИБ, ваши действия, побудившие Васю сменить замок, привели не к ухудшению ситуации, а к ее улучшению.
Вообще, на практике, сообщение об уязвимости проектировщику СБ, до её публичного оглашения, не является строго необходимым, но дает возможность проектировщику «сохранить лицо» и избежать множества мелких взломов от не заинтересованных лиц (т.е. Мелких хулиганов). Сколько же было произведено крупных взломов, ещё до того как об уязвимости стало известно, остается неизвестным…
Не следует предполагать что какой-либо злоумышленник не узнал об этой уязвимости ранее, и не продал эту информацию другим заинтересованным злоумышленникам.
Прочитайте статью внимательно, за год до публикации информации, он сообщил об этой уязвимости силовым структурам:
>> Увидев такую халатность, студент немедленно проинформировал полицию. Власти никак не отреагировали. Больше года спустя, в марте 2015-го, Деян Орниг решил выложить информацию в интернете, и она быстро распространилась.
Таким образом, у них было больше года на ее устранение перед опубликованием информации.
0_о, имхо, такими темпами «Интернет Вещей» до маразма доведёт:
•) Взлом тампона
•) Ботнет из тампонов
•) Установка OpenBSD на тампон
•) Разграничение прав пользователей тампона
•) Системное администрирование кластера тампонов в высоконагруженной среде
>> Бизнесу, если только вы не Mail.ru, бесконечно занятый сизифовым трудом по исправлению своей репутации, как правило, не интересно заниматься только увеселением аудитории. Им иногда хочется и продукт порекламировать, и толковые кадры на работу привлечь.
Имхо, самый простой выход из этой ситуации, писать не откровенно рекламные посты, а действительно хорошие статьи с неявной рекламой себя любимых… У блогов некоторых компаний, доля таких публикаций доходит до 50%…
>> Т.е. правительство РФ таким образом, объявляет всех жителей РФ потенциальными террористами?
Имхо, в свете текущей правоприменительной практики «антиэкстремистского» и «антитеррористического» законодательства, слово «потенциальными» выглядит несколько лишним…
> Возможно, проблема в том, что статья 23, в которой говорится о правах и свободах, не входит в главу конституционного строя Российской Федерации?
Имхо, наибольшая проблема в том, что наши органы государственной власти, по всей видимости, постоянно забывают про следующую статью Конституции:
> Статья 2
> Человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина — обязанность государства.
К тому же, как оказалось, не все положения даже основ конституционного строя, следует понимать буквально:
http://rg.ru/2015/07/15/sud.html
> Посмотрите на статью 55.3 и поймете, что законы конституции не противоречат. Просто конституция такая.
Ни одна статья Конституции не может противоречить основам конституционного строя:
> Статья 16
> 1. Положения настоящей главы Конституции составляют основы конституционного строя Российской Федерации и не могут быть изменены иначе как в порядке, установленном настоящей Конституцией.
> 2. Никакие другие положения настоящей Конституции не могут противоречить основам конституционного строя Российской Федерации.
Тут проблема не в том что с помощью устройства поймали мелкого преступника, а в том, что применение подобного оборудования можно рассматривать как покушение на права человека – в данном случае система подменяет собой вышки сотовой связи не только для преступника, но и для ВСЕХ граждан в зоне её действия. И если в случае попытки предотвращения теракта, или поимки особо опасного преступника, поименение подобной техники хоть как-то оправдано с точки зрения обывателя, то постоянное бесконтрольное применение приводит лишь к ухудшению правового климата в государстве. Подумайте что может случится с государством, где те кто призван защищать права граждан, будут открыто их нарушать? Чтобы не быть голословным, позвольте дать вам ссылку на описание одного интересного психологического явления: ru.wikipedia.org/wiki/Теория_разбитых_окон
1) Создайте ограниченного пользователя
2) Запретите этому пользователю запись во все папки кроме папки профиля и еще нескольких на ваш выбор.
3) С помощь SRP (https://habrahabr.ru/post/101971/) запретите созданному пользователю запуск любых программ из тех папок, в которые ему разрешена запись.
Результат: всё что запишется от имени пользователя, не может запуститься. От всех атак подобная система не защитит, так и SRP, и AppLocker достаточно легко обходятся (https://habrahabr.ru/post/282373/), однако сильно осложнит жизнь многим зловредам.
Для еще большей защиты, накатите Linux в Dual Boot или виртуальную машину, и серфите по недоверенным сайтам из-под Linux, там подобные фичи настраиваются легче, да и вирей под линь намного меньше. Во FreeBSD даже есть встроенная песочница. Ну и на крайний случай существует OpenBSD, найти и несанкционированно запустить зловред под которой, является сверхсложной задачей ;)
>> Для запуска программ (или операционных систем) на процессоре с принципиально иной архитектурой (x86 и ARM ни разу не совместимы) без полного эмулятора не обойтись.
Ну не совсем так. В большинстве случаев хватает динамической рекомпиляции, большинство эмуляторов приставок работает именно в этом режиме. Динамическую рекомпиляцию же, использовали большинство PC-эмуляторов (QEMU, VirtualBox, VM-Ware и др.) до появления средств аппаратной виртуализации. Bochs же использует интерпретацию каждой команды и тщательную эмуляцию работы ВСЕХ устройств, вплоть до количества тактов на команду и аппаратных задержек доступа к памяти, в том числе системных часов и аппаратного таймера. Такой режим позволяет обеспечить наибольшую совместимость, однако он является и наиболее медленным…
>> Новая норма разрешает доставать компьютеры по факту активности в целевой юрисдикции, а не по факту физического нахождения.
Не совсем понял суть данной фразы. Не могли бы вы объяснить подробнее? В Интернете уже появились границы? Как к примеру быть со следующей гипотетической ситуацией: некий злоумышленник, используя сеть Tor, разместил объявление о продаже наркотиков на форуме компании, сервер которой расположен в Германии, часть менеджеров находится в США, производство в Китае, а юридический адрес – на Кипре. Гражданин США, воспользовавшись информацией указанной в объявлении, приобрел наркотические средства. В какой юрисдикции произошла «активность компьютера» злоумышленника?
Поскольку любой товар приобретаемый «слугами народа» на деньги этого самого народа, по определению предназначен для обслуживания граждан государства (т.е. и меня в том числе), то я как налогоплательщик против того, чтобы государственные чиновники тратили МОИ деньги на закупку менее качественного товара, за бОльшую цену.
А если этих чиновников, нанятых мною, как избирателем, для управления моим государством, не волнует степень моего «батхерта» по поводу их действий, то я могу подумать, что сделал не правильный выбор, и решить нанять других управленцев.
>> с лицензируемыми эмитентами;
>> с регламентированными планами обмена;
>> без анонимности.
Чай без сахара, лимона и заварки…
>> Ни одно законодательство в развитых странах ни в теории, ни на практике не допускает публичного оглашения. Это просто некий «кодекс чести», который бытует в кругу хакеров, придуманный ими самими для себя.
В том-то и дело, что, к сожалению, законодательство многих стран настолько несовершенно, и не соответствует текущим реалиям, что фактически предполагает наказание за благое деяние…
С точки зрения ИБ более корректен следующий пример:
1) ВСЕ гопники района знают, что у вашего соседа Васи легко открывается дверь и регулярно этим пользуются.
2) Вы также случайно узнали об этом. С целью помочь Васе, вы сообщили ему об этом. Вася не отреагировал, так как не знаком с вами, и не доверяет вашему мнению.
3) По истечении года, гопники все так же регулярно ходят к Васе. Не в силах наблюдать больше подобное, вы развесели объявления по району о том, что у Васи легко открывается дверь. Так как все гопники об этом знали уже давно, то число грабежей Васи это не увеличело.
4) Знакомые Васи, прочитав ваше объявление, убедили Васю сменить замок.
5) Гопники и перестали ходить к Васе.
Таким образом если рассматривать данную ситуацию с точки зрения ИБ, ваши действия, побудившие Васю сменить замок, привели не к ухудшению ситуации, а к ее улучшению.
Вообще, на практике, сообщение об уязвимости проектировщику СБ, до её публичного оглашения, не является строго необходимым, но дает возможность проектировщику «сохранить лицо» и избежать множества мелких взломов от не заинтересованных лиц (т.е. Мелких хулиганов). Сколько же было произведено крупных взломов, ещё до того как об уязвимости стало известно, остается неизвестным…
Не следует предполагать что какой-либо злоумышленник не узнал об этой уязвимости ранее, и не продал эту информацию другим заинтересованным злоумышленникам.
>> Увидев такую халатность, студент немедленно проинформировал полицию. Власти никак не отреагировали. Больше года спустя, в марте 2015-го, Деян Орниг решил выложить информацию в интернете, и она быстро распространилась.
Таким образом, у них было больше года на ее устранение перед опубликованием информации.
•) Взлом тампона
•) Ботнет из тампонов
•) Установка OpenBSD на тампон
•) Разграничение прав пользователей тампона
•) Системное администрирование кластера тампонов в высоконагруженной среде
Имхо, самый простой выход из этой ситуации, писать не откровенно рекламные посты, а действительно хорошие статьи с неявной рекламой себя любимых… У блогов некоторых компаний, доля таких публикаций доходит до 50%…
Имхо, в свете текущей правоприменительной практики «антиэкстремистского» и «антитеррористического» законодательства, слово «потенциальными» выглядит несколько лишним…
Возможно будут… без плавсредств, куда-нибудь в нейтральные воды Северного Ледовитого океана ;)
Имхо, наибольшая проблема в том, что наши органы государственной власти, по всей видимости, постоянно забывают про следующую статью Конституции:
> Статья 2
> Человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина — обязанность государства.
К тому же, как оказалось, не все положения даже основ конституционного строя, следует понимать буквально:
http://rg.ru/2015/07/15/sud.html
Ни одна статья Конституции не может противоречить основам конституционного строя:
> Статья 16
> 1. Положения настоящей главы Конституции составляют основы конституционного строя Российской Федерации и не могут быть изменены иначе как в порядке, установленном настоящей Конституцией.
> 2. Никакие другие положения настоящей Конституции не могут противоречить основам конституционного строя Российской Федерации.
Тут проблема не в том что с помощью устройства поймали мелкого преступника, а в том, что применение подобного оборудования можно рассматривать как покушение на права человека – в данном случае система подменяет собой вышки сотовой связи не только для преступника, но и для ВСЕХ граждан в зоне её действия. И если в случае попытки предотвращения теракта, или поимки особо опасного преступника, поименение подобной техники хоть как-то оправдано с точки зрения обывателя, то постоянное бесконтрольное применение приводит лишь к ухудшению правового климата в государстве. Подумайте что может случится с государством, где те кто призван защищать права граждан, будут открыто их нарушать? Чтобы не быть голословным, позвольте дать вам ссылку на описание одного интересного психологического явления: ru.wikipedia.org/wiki/Теория_разбитых_окон
2) Запретите этому пользователю запись во все папки кроме папки профиля и еще нескольких на ваш выбор.
3) С помощь SRP (https://habrahabr.ru/post/101971/) запретите созданному пользователю запуск любых программ из тех папок, в которые ему разрешена запись.
Результат: всё что запишется от имени пользователя, не может запуститься. От всех атак подобная система не защитит, так и SRP, и AppLocker достаточно легко обходятся (https://habrahabr.ru/post/282373/), однако сильно осложнит жизнь многим зловредам.
Для еще большей защиты, накатите Linux в Dual Boot или виртуальную машину, и серфите по недоверенным сайтам из-под Linux, там подобные фичи настраиваются легче, да и вирей под линь намного меньше. Во FreeBSD даже есть встроенная песочница. Ну и на крайний случай существует OpenBSD, найти и несанкционированно запустить зловред под которой, является сверхсложной задачей ;)
Ну не совсем так. В большинстве случаев хватает динамической рекомпиляции, большинство эмуляторов приставок работает именно в этом режиме. Динамическую рекомпиляцию же, использовали большинство PC-эмуляторов (QEMU, VirtualBox, VM-Ware и др.) до появления средств аппаратной виртуализации. Bochs же использует интерпретацию каждой команды и тщательную эмуляцию работы ВСЕХ устройств, вплоть до количества тактов на команду и аппаратных задержек доступа к памяти, в том числе системных часов и аппаратного таймера. Такой режим позволяет обеспечить наибольшую совместимость, однако он является и наиболее медленным…
Не совсем понял суть данной фразы. Не могли бы вы объяснить подробнее? В Интернете уже появились границы? Как к примеру быть со следующей гипотетической ситуацией: некий злоумышленник, используя сеть Tor, разместил объявление о продаже наркотиков на форуме компании, сервер которой расположен в Германии, часть менеджеров находится в США, производство в Китае, а юридический адрес – на Кипре. Гражданин США, воспользовавшись информацией указанной в объявлении, приобрел наркотические средства. В какой юрисдикции произошла «активность компьютера» злоумышленника?
МТС Дальний Восток: SNI с подменой сертификата (но MiTM не устраивают – просто блочат весь домен)
И размягчение межушного нервного узла в придачу…
2. Мы можем достаточно точно определить координаты только одного носка и при этом теряем возможность определить координаты другого.
3. Носки находятся в суперпозиции левого и правого. Как только мы определяем, является ли один носок из пары левым или правым, другой мгновенно приобретает противоположное состояние, независимо от расстояния между носками.»
© Андрей Кураев, diak-kuraev.livejournal.com/581946.html?nojs=1&style=mine