По логике вещей РДЖ — это критическая информационная инфраструктура (КИИ, 187-ФЗ) и по данному случаю должны возбудится ФСТЭК, ФСБ как церберы данного вопроса.
Доступ к видео — с натяжкой может быть трактован как незаконный сбор персональных данных, а сам факт доступа в сеть — несанкционированный доступ к информации с интересом со стороны МВД.
Несмотря на благородный поступок автору следует крепко задуматься о будущей линии защиты. Как минимум на ст. 272 УК РФ он тут точно написал, а при старании следователей, может быть и еще на парочку.
Очень печально, что сеть одной из ведущих Российских компаний находится в таком плачевном с точки зрения безопасности состоянии, об этом нельзя молчать.
Короче, медицина 22 века это массовое плацебо излечение. Вы только вдумайтесь насколько плацебо эффективно. Дело за малым — осталось только разобраться как запускать подобный механизм.
Пиратство — зло, оно в первую очередь стукнет по отечественным разработчикам, которые готовы написать аналоги.
ReacOS — в помощь Бауманке, пусть входит в состав коммитеров и продвигает продукт. Для нашей науки подобные запреты должны стать магическим пенделем, чтобы встать и что-то начать делать, а не только писать отчеты.
1 — обновление вектора пользователя, при добавлении/исключении в группы
Что значит вектор пользователя?
2 — ограничение на членство в группах в 1020 штук. Мы реально в это упёрлись
Можно попробовать делать вложенные группы, для файловых шар это работает, но другие софты могут их не понимать. Была такая проблема, что ряд софтин, умеющих авторизовывать и разграничивать доступ через AD анализировали только группы в которых учетная запись пользователя состояла явным образом, а вложенные группы не понимала.
Так что удобного красивого решения нет, к сожалению.
Доступ пользователя к файлам теперь не зависит от AD групп
Вот это как раз и не здорово. Когда нет iDM-систем очень сложно понять какие права есть у пользователя, поэтому хотелось все завязать именно на AD, чтобы зашел и сразу было понятно что есть чего нет.
Дополнительное звено в виде «админки» на *nix это возможно здорово для вас. Проблемы начнутся тогда, когда будут появляться новые люди. Въехать в данную систему для них боюсь будет не тривиальной задачей. К тому же возникают вопросы с масштабированием такой системы доступа.
Но повторюсь, в вашей корпоративной культуре это может быть вполне работающие и удобное решение.
Качественная статья, интересно было почитать, но есть пара вопросов:
1) Если мы хотим объяснить сознание нейронной сетью, то как в терминах нейронных сетей задаются алгоритмы поведения?
2) Как происходит первичное накопление образов (объектов) при восприятии? Возьмем ребенка, первый раз увидевшего свет, как в терминах нейронных сетей у него формируется библиотека образов? Как она обновляется? Как определяется то, что нужно добавить еще один образ? Как происходит удаление повторяющихся образов (человек выявил закономерность в каком-то явлении)?
3) Как объясняется восприятие иллюзий, например классической «старуха и девушка»? Как в терминах нейронных сетей объясняется, что человек может сознательно видеть то старуху, то девушку?
4) 300 нейронов кольчатого червя c.elegans это очень мало. Можно использовать безумно сложные модели нейронов чтобы повторить его поведение. Подскажите, удалось ли создать модель нейронной сети, которая бы полностью предсказывала поведение червя?
Интересная работа, для ее развития предлагаю несколько следующих идей/вопросов/замечаний:
1. То, что сознание «храниться» в мозге — не доказано. Даже наоборот, есть люди живущие с практически полностью разрушенным / отсутствующим / поврежденным мозгом, но при этом они адекватны (не овощи). Другим проблемой являются пограничные состояния сознания, например, у йогов с остановкой сердца и т.д. Вывод: упираться что сознание это «софт», а мозг это «железо» — путь в некуда.
Пример — habr.com/ru/post/395965
2. Предлагаемая вами модель — это только модель интерпретации «сознанием» окружающего мира. В статье я не нашел, того как результаты данной модели оказывают влияние на поведение (эффекторы). Как хранятся алгоритмы поведения и т.д.
3. Карточки / формулы / каналы — это абстракции которые не могут быть получены напрямую из сенсоров. Для того, чтобы можно было составить формулу (в карточке) «сознание» должно обладать знаниями о синтаксисе языка (иначе, набор символов «оно летает» для него бессмыслен). Тогда вопрос — где этот синтаксис храниться.
4. У меня не получилось провести мысленный эксперимент, когда я взял бы чистый «разум», построенный по предлагаемой вами схеме и получил бы работающие «сознание». В частности непонятно, как данные от сенсоров заполнят первую карточку, как определиться что карточка будет только одна, а не несколько или наоборот в каких случаях появляется карточка. Как быть если в процессе взросления термин ( карточка ) меняется (например, ребенок повзрослел и понял, что не все мужчины являются его отцами). Кто расставляет номера связей? Как описывается алгоритм расстановки связей в терминах карточек?
Основной проблемой современных подходов к формированию ИИ является гипотеза о том, что мозг порождает сознание, но это мягко скажем не доказано. Более того, существуют научно доказанные факты сознания в периоды когда мозг не работает:
особые состояния йогов -https://www.youtube.com/watch?v=qQODV9YGN8Y,
жизнь людей с практически полным отсутствием (повреждением) головного мозга — примеры легко гугляться.
Очень хорошо описал работу мозга с точки зрения специалиста по ИИ господин Хокинс в своей книге «Об интеллекте», но даже там вопросов значительно больше чем ответов. Классический вопрос: как формируются необходимые нейронные связи? Конечно, люди знакомые с темой могут предложить следующее видео: www.youtube.com/watch?v=pqKPI0E8bsI. Но интересует процесс формирования именно нужных связей. Как один нейрон находит другой нейрон, когда вы скажем учите китайский язык?
Вывод: пытаться повторить биологическую структуру мозга и строить на ней компьютер — путь в никуда. Архитектура фон Неймана, кстати, была основанная именно на представлениях того времени о работе мозга.
Альтернативной этому данному пути может быть исследование принципов обработки информации в сознании (без привязки к мозгу) и реализации данных принципов в архитектуре, железе и софте.
Если предположить, что мы можем создавать блоки, основанные на ста транзисторах при количестве этих самых блоков более миллиона мы бы получили значительный прирост отказоустойчивости в чипе.
Не факт. Увеличение блоков приведет к увеличению количества связей между ними, появлением разделяемых каналов данных и прочих прелестей. Поэтому делать вывод об увеличении надежности преждевременно. Кроме того, надо смотреть и как поведет себя производительность. Возможно выигрыш по надежности будет полностью уничтожен падением производительности.
Интересная схема, плюс в том что все делается на Tike. Минус анти-юзер френдли. С мобилки подключаться «для не айтишников» очень неудобно будет.
Сам внедрял 2FA на Tike по следующей схеме:
1. Tik — VPN сервер
2. Коммерческий RADIUS (для проверки одноразовых кодов [SMS]) + сервер и NPS сервер Microsoft (для проверки по AD)
Схема подключения была следующая:
1. У пользователя была SMS-ка с одноразовым паролем. Она высылалась при первоначальном подключении или при не успешной попытке входа.
2. При авторизации в VPN пользователь указывал свой AD логин, а в поле пароль указывал <АD пароль><одноразовый код>
Минус моей схемы в том, что тут есть платные элементы — коммерческий RADIUS (100k руб. в год на 500 пользователей).
Как вариант развития можете посмотреть в сторону генерации одноразовых кодов с помощью Google Auth их тоже можно скрестить с Tikом
В современном мире модель «броня-снаряд» переродилась в треугольник «Броня-Регулятор-Снаряд», а раз так, то становиться видна фундаментальная проблема протокола — не соответствие требованиям по защите персональных данных. Смотрите:
ТСП (торговая площадка, поставщик платежного сервиса) после выбора покупателем кнопки SRC Triger отправляет в систему SRC данные о покупателе (например, биометрические данные… ТСП отправляет запросы во все системы SRC, принадлежащие ПС, карты которых принимает ТСП.
Сразу получаем коллизию со 152-ФЗ.
Например, клиент обладает картой ПС1, и дал ей и ее операторам согласие на биометрию. ТСП принимает карты ПС1, ПС2, ПС3.
Отправка биометрии (да в прочем и другой персональной информации) в ПС2 и ПС3 (как это описано в протоколе) — это нарушение закона о перс. данных торгово-сервисным предприятием, поскольку на это у него нет законных оснований (согласия клиента), да и операторы ПС2 и ПС3 в случае проверки тоже попадут под раздачу, так как у них тоже нет законных оснований для обработки этой информации о покупателе (он не их клиент).
Добрый день, есть несколько вопросов:
1) Кто и как пишет драйверы для Kapsersky OS?
2) Вы упомянули про портирование популярных пакетов, а как дела с их поддержкой? Ведь пакеты развиваются…
3) Сфера применения OС? Это только встраиваемые системы или это будет ОС общего назначения?
4) По какой модели будет распространятся и поддерживаться ОС для конечных потребителей?
При нашем цикле пять-шесть лет на железку получается дешевле покупать именно сервера и сетевые устройства корпоративных линеек для ЦОДов.
Поделитесь циферками как считали. Разница между «около бытовой» техником и бренд сервером может достигать 5-х и более раз. Даже если ломаться «бытовые» будут в два раза чаще, то они все равно выгодней. Или расходы на восстановления такие большие?
На своё устройство в прочем ставится элементарно, а для конечного пользователя VPN никакой учетки не надо, агент скачивается со шлюза.
Шлюз работает только из IE, притом не из любых версий. Попытки открыть его из Яндекс.Браузера или Firefox закончились неудачей. Поэтому пришлось лезть на сайт cisco.com. Перенос настроек AnyConnect с одного компьютера на другой это вообще отдельная песня.
Я понимаю конечно, Cisco — гигант, но порекомендуйте вашим коллегам провести юзабилити тест продукта. Возьмите людей, не админов, а потенциальных конечников, поверьте вы узнаете много нового.
P.S. В логин окне AnyConnect увидел забавную вещь, жалко скрин не сделал, там есть поле пароль и второй пароль… но согласно комбинаторики один длинный пароль гораздо надежнее двух коротких…
На практике Cisco решения для удаленного доступа мягко скажем не очень.
1) Клиент AnyConnect не является стандартным (не входит в состав ОС).
2) Чтобы пользователю скачать AnyConnect нужна учетка на сайте Cisco.
3) AnyConnect старых Cisoc не обновляется в результате запуск на Win10 это танцы с бубном.
4) По факту настроить AnyConnect для ИТ-специалиста (скажем бизнес-аналитика) без админа невозможно. Нужен TeamViewer или другой способ работы админа на машине клиента.
С точки зрения ИБ L2TP/IPsec вполне защищенное решение. К нему легко прикручивается двухфакторка, либо через Google Auth или через SMS или через токены. Клиент есть везде Android, IOS, Win, MAC. При прочих равных отсутствие танцев с бубном. Для редких случаях, когда надо ходить через HTTP-Proxy OpenVPN или какое-нибудь SSL-VPN.
На мой взгляд, в условиях отсутствия доверия к действиям УЦ нужно пользоваться защитой действующего законодательства, а именно:
1. Согласно 63-ФЗ УЦ (как юр. лицо) должно пользоваться сертифицированными средствами УЦ (софта) и электронной подписи (софта). Использование сертифицированных средств, это не только наличие софта с контрольными суммами, как у образцов предоставленных в ФСБ России при сертификации, но и обязательное соблюдение (требование ПКЗ-2005, ФАПСИ 152) документации к ним. В частности, плагины использующие СКЗИ должны пройти процедуру контроля корректности встраивания. ТЗ на встраиванием согласовывает ФСБ, саму процедуру проводит специализированная организация, как правило производитель СКЗИ, в частности ООО КриптоПро. Требования контроля корректности встраивания определены для всех (что я видел) СКЗИ и прописаны в документации на СКЗИ. Письмо ФСБ вам в помощь. В случае не реализации данных обращаться в ФСБ России.
2. Определить кто (какое ЮЛ) является разработчиком плагина. Определить имеется ли у данного лица лицензия по ПП-313 на право осуществления подобной деятельности. Даже не сколько лицензия, а соответствующий пункт в лицензии — 2 или 3 по Приложению 1 к ПП-313. Если подобного пункта нет, ст. 171 УК РФ вам в помощь.
3. В соответствии с 98-ФЗ ввести в отношении криптоключей и сведений о них режим коммерческой тайны. Проинформировать о данном перечне УЦ.
4. Если после (3) вы обнаружите факт того, УЦ обладает сведениями о том, на каком компьютере используются те или иные криптоключи, как в этом комментарии. И при этом вы эти сведения не передавали, то ст. 183 УК РФ вам в помощь.
5. Провести сверку действий УЦ с его регламентом, а также нормативными документами ПКЗ-2005, ФАПСИ 152. В случае наличий расхождений обращаться в жалобой в ФСБ России и МинКомСвязи.
Доступ к видео — с натяжкой может быть трактован как незаконный сбор персональных данных, а сам факт доступа в сеть — несанкционированный доступ к информации с интересом со стороны МВД.
Несмотря на благородный поступок автору следует крепко задуматься о будущей линии защиты. Как минимум на ст. 272 УК РФ он тут точно написал, а при старании следователей, может быть и еще на парочку.
Очень печально, что сеть одной из ведущих Российских компаний находится в таком плачевном с точки зрения безопасности состоянии, об этом нельзя молчать.
ReacOS — в помощь Бауманке, пусть входит в состав коммитеров и продвигает продукт. Для нашей науки подобные запреты должны стать магическим пенделем, чтобы встать и что-то начать делать, а не только писать отчеты.
Отдадим дань уважение первоисточнику ТК 26 (https://tc26.ru/), где со все это добро разрабатывалось.
Что значит вектор пользователя?
Можно попробовать делать вложенные группы, для файловых шар это работает, но другие софты могут их не понимать. Была такая проблема, что ряд софтин, умеющих авторизовывать и разграничивать доступ через AD анализировали только группы в которых учетная запись пользователя состояла явным образом, а вложенные группы не понимала.
Так что удобного красивого решения нет, к сожалению.
Вот это как раз и не здорово. Когда нет iDM-систем очень сложно понять какие права есть у пользователя, поэтому хотелось все завязать именно на AD, чтобы зашел и сразу было понятно что есть чего нет.
Дополнительное звено в виде «админки» на *nix это возможно здорово для вас. Проблемы начнутся тогда, когда будут появляться новые люди. Въехать в данную систему для них боюсь будет не тривиальной задачей. К тому же возникают вопросы с масштабированием такой системы доступа.
Но повторюсь, в вашей корпоративной культуре это может быть вполне работающие и удобное решение.
1) Если мы хотим объяснить сознание нейронной сетью, то как в терминах нейронных сетей задаются алгоритмы поведения?
2) Как происходит первичное накопление образов (объектов) при восприятии? Возьмем ребенка, первый раз увидевшего свет, как в терминах нейронных сетей у него формируется библиотека образов? Как она обновляется? Как определяется то, что нужно добавить еще один образ? Как происходит удаление повторяющихся образов (человек выявил закономерность в каком-то явлении)?
3) Как объясняется восприятие иллюзий, например классической «старуха и девушка»? Как в терминах нейронных сетей объясняется, что человек может сознательно видеть то старуху, то девушку?
4) 300 нейронов кольчатого червя c.elegans это очень мало. Можно использовать безумно сложные модели нейронов чтобы повторить его поведение. Подскажите, удалось ли создать модель нейронной сети, которая бы полностью предсказывала поведение червя?
1. То, что сознание «храниться» в мозге — не доказано. Даже наоборот, есть люди живущие с практически полностью разрушенным / отсутствующим / поврежденным мозгом, но при этом они адекватны (не овощи). Другим проблемой являются пограничные состояния сознания, например, у йогов с остановкой сердца и т.д. Вывод: упираться что сознание это «софт», а мозг это «железо» — путь в некуда.
Пример — habr.com/ru/post/395965
2. Предлагаемая вами модель — это только модель интерпретации «сознанием» окружающего мира. В статье я не нашел, того как результаты данной модели оказывают влияние на поведение (эффекторы). Как хранятся алгоритмы поведения и т.д.
3. Карточки / формулы / каналы — это абстракции которые не могут быть получены напрямую из сенсоров. Для того, чтобы можно было составить формулу (в карточке) «сознание» должно обладать знаниями о синтаксисе языка (иначе, набор символов «оно летает» для него бессмыслен). Тогда вопрос — где этот синтаксис храниться.
4. У меня не получилось провести мысленный эксперимент, когда я взял бы чистый «разум», построенный по предлагаемой вами схеме и получил бы работающие «сознание». В частности непонятно, как данные от сенсоров заполнят первую карточку, как определиться что карточка будет только одна, а не несколько или наоборот в каких случаях появляется карточка. Как быть если в процессе взросления термин ( карточка ) меняется (например, ребенок повзрослел и понял, что не все мужчины являются его отцами). Кто расставляет номера связей? Как описывается алгоритм расстановки связей в терминах карточек?
Очень хорошо описал работу мозга с точки зрения специалиста по ИИ господин Хокинс в своей книге «Об интеллекте», но даже там вопросов значительно больше чем ответов. Классический вопрос: как формируются необходимые нейронные связи? Конечно, люди знакомые с темой могут предложить следующее видео: www.youtube.com/watch?v=pqKPI0E8bsI. Но интересует процесс формирования именно нужных связей. Как один нейрон находит другой нейрон, когда вы скажем учите китайский язык?
Вывод: пытаться повторить биологическую структуру мозга и строить на ней компьютер — путь в никуда. Архитектура фон Неймана, кстати, была основанная именно на представлениях того времени о работе мозга.
Альтернативной этому данному пути может быть исследование принципов обработки информации в сознании (без привязки к мозгу) и реализации данных принципов в архитектуре, железе и софте.
Не факт. Увеличение блоков приведет к увеличению количества связей между ними, появлением разделяемых каналов данных и прочих прелестей. Поэтому делать вывод об увеличении надежности преждевременно. Кроме того, надо смотреть и как поведет себя производительность. Возможно выигрыш по надежности будет полностью уничтожен падением производительности.
Сам внедрял 2FA на Tike по следующей схеме:
1. Tik — VPN сервер
2. Коммерческий RADIUS (для проверки одноразовых кодов [SMS]) + сервер и NPS сервер Microsoft (для проверки по AD)
Схема подключения была следующая:
1. У пользователя была SMS-ка с одноразовым паролем. Она высылалась при первоначальном подключении или при не успешной попытке входа.
2. При авторизации в VPN пользователь указывал свой AD логин, а в поле пароль указывал <АD пароль><одноразовый код>
Минус моей схемы в том, что тут есть платные элементы — коммерческий RADIUS (100k руб. в год на 500 пользователей).
Как вариант развития можете посмотреть в сторону генерации одноразовых кодов с помощью Google Auth их тоже можно скрестить с Tikом
Сразу получаем коллизию со 152-ФЗ.
Например, клиент обладает картой ПС1, и дал ей и ее операторам согласие на биометрию. ТСП принимает карты ПС1, ПС2, ПС3.
Отправка биометрии (да в прочем и другой персональной информации) в ПС2 и ПС3 (как это описано в протоколе) — это нарушение закона о перс. данных торгово-сервисным предприятием, поскольку на это у него нет законных оснований (согласия клиента), да и операторы ПС2 и ПС3 в случае проверки тоже попадут под раздачу, так как у них тоже нет законных оснований для обработки этой информации о покупателе (он не их клиент).
1) Кто и как пишет драйверы для Kapsersky OS?
2) Вы упомянули про портирование популярных пакетов, а как дела с их поддержкой? Ведь пакеты развиваются…
3) Сфера применения OС? Это только встраиваемые системы или это будет ОС общего назначения?
4) По какой модели будет распространятся и поддерживаться ОС для конечных потребителей?
Поделитесь циферками как считали. Разница между «около бытовой» техником и бренд сервером может достигать 5-х и более раз. Даже если ломаться «бытовые» будут в два раза чаще, то они все равно выгодней. Или расходы на восстановления такие большие?
Шлюз работает только из IE, притом не из любых версий. Попытки открыть его из Яндекс.Браузера или Firefox закончились неудачей. Поэтому пришлось лезть на сайт cisco.com. Перенос настроек AnyConnect с одного компьютера на другой это вообще отдельная песня.
Я понимаю конечно, Cisco — гигант, но порекомендуйте вашим коллегам провести юзабилити тест продукта. Возьмите людей, не админов, а потенциальных конечников, поверьте вы узнаете много нового.
P.S. В логин окне AnyConnect увидел забавную вещь, жалко скрин не сделал, там есть поле пароль и второй пароль… но согласно комбинаторики один длинный пароль гораздо надежнее двух коротких…
1) Клиент AnyConnect не является стандартным (не входит в состав ОС).
2) Чтобы пользователю скачать AnyConnect нужна учетка на сайте Cisco.
3) AnyConnect старых Cisoc не обновляется в результате запуск на Win10 это танцы с бубном.
4) По факту настроить AnyConnect для ИТ-специалиста (скажем бизнес-аналитика) без админа невозможно. Нужен TeamViewer или другой способ работы админа на машине клиента.
С точки зрения ИБ L2TP/IPsec вполне защищенное решение. К нему легко прикручивается двухфакторка, либо через Google Auth или через SMS или через токены. Клиент есть везде Android, IOS, Win, MAC. При прочих равных отсутствие танцев с бубном. Для редких случаях, когда надо ходить через HTTP-Proxy OpenVPN или какое-нибудь SSL-VPN.
Любые проприетарные VPN-клиенты — зло.
1. Согласно 63-ФЗ УЦ (как юр. лицо) должно пользоваться сертифицированными средствами УЦ (софта) и электронной подписи (софта). Использование сертифицированных средств, это не только наличие софта с контрольными суммами, как у образцов предоставленных в ФСБ России при сертификации, но и обязательное соблюдение (требование ПКЗ-2005, ФАПСИ 152) документации к ним. В частности, плагины использующие СКЗИ должны пройти процедуру контроля корректности встраивания. ТЗ на встраиванием согласовывает ФСБ, саму процедуру проводит специализированная организация, как правило производитель СКЗИ, в частности ООО КриптоПро. Требования контроля корректности встраивания определены для всех (что я видел) СКЗИ и прописаны в документации на СКЗИ. Письмо ФСБ вам в помощь. В случае не реализации данных обращаться в ФСБ России.
2. Определить кто (какое ЮЛ) является разработчиком плагина. Определить имеется ли у данного лица лицензия по ПП-313 на право осуществления подобной деятельности. Даже не сколько лицензия, а соответствующий пункт в лицензии — 2 или 3 по Приложению 1 к ПП-313. Если подобного пункта нет, ст. 171 УК РФ вам в помощь.
3. В соответствии с 98-ФЗ ввести в отношении криптоключей и сведений о них режим коммерческой тайны. Проинформировать о данном перечне УЦ.
4. Если после (3) вы обнаружите факт того, УЦ обладает сведениями о том, на каком компьютере используются те или иные криптоключи, как в этом комментарии. И при этом вы эти сведения не передавали, то ст. 183 УК РФ вам в помощь.
5. Провести сверку действий УЦ с его регламентом, а также нормативными документами ПКЗ-2005, ФАПСИ 152. В случае наличий расхождений обращаться в жалобой в ФСБ России и МинКомСвязи.