Как в вашем примере ниже: если пользователь написал пароль на стикере и приклеил его на монитор, то в утечке будет виноват именно он.. даже если он предполагал, что в комнате, кроме него и директора не должно быть посторонних... А вот если он спрятал бумажку в стол, запер на ключ, а ночью замок взломали, то это уже не к нему вопрос, а к тем, кто занимается охраной помещения... Не должен пользователь заниматься ни защитой серверов, ни охраной тумбочек по ночам...
Я хочу разделения ответственности. Если мне выделяют сервер для каких либо работ, то моя ответственность как пользователя этого сервера позаботиться о том, чтобы приватная информация хранилась в файлах с доступом только для меня, а так же чтобы она не попадала в публичные логи, списки процессов и тд... А каким образом сделать так, чтобы файлы в моей папке были доступны только мне, чтобы на сервере не было вредоносного ПО, это уже забота службы ИТ.
Ну в таком случае получается, что они заработали 320 тыс на 2 года... 13 тыс в месяц... не очень густо с учетом того, что еще наверное и какие-то другие траты были
Честно говоря не очень понятна фраза про "без нарушения закона":
Как несложно догадаться, сделано все было для того, чтобы не платить за электричество, которого предприимчивый сынуля нажег на 680 тыс рублей. Но удивительно даже не это, а что по данным правоохранителей прибыль от предприятия составила не менее 1 млн рублей, то есть существовал потенциал выйти на точку безубыточности даже без нарушения закона.
За электричество то платила школа, а миллион рублей они себе в карман положили. Так что тут такая же безубыточность как и средняя температура по больнице.
Все правильно. И вот здесь то служба ИБ и нужна. Раз есть некий выделенный сервер, с которого можно получить доступ на всю сеть, то нужно следить кто имеет доступ к этому серверу, а не превращать его в проходной двор. И дыры в безопасности затыкать вовремя.
Ну если вы допускаете, что к вашему серверу злоумышленник может получить root доступ, то какой смысл дальше обсуждать, что надежнее: пароль, сертификат или еще что-то? Ко всему у него будет такой же доступ, как и у легитимных программ..
Ну и если так рассуждать, то в винде дыр не меньше... Может ваш ноут вирусами заражен и давно уже слил все ваши логины, пароли и ключи. Такой вариант вы не рассматриваете?
кстати многие забывают, что можно так же остаться без средств к существованию и из-за бага в законодательстве... и тут уже жаловаться можно будет разве что в спортлото
Бывают случаи, когда роутер от провайдера имеет ограниченный функционал, а требуется более гибкая настройка... кто-то хочет сеть на виланы разбить, кому-то dns во внутреннюю сеть нужен, кому-то трафик считать отдельно от каждого клиента...
Нет... вы меня совсем не поняли...
Как в вашем примере ниже: если пользователь написал пароль на стикере и приклеил его на монитор, то в утечке будет виноват именно он.. даже если он предполагал, что в комнате, кроме него и директора не должно быть посторонних... А вот если он спрятал бумажку в стол, запер на ключ, а ночью замок взломали, то это уже не к нему вопрос, а к тем, кто занимается охраной помещения... Не должен пользователь заниматься ни защитой серверов, ни охраной тумбочек по ночам...
Я хочу разделения ответственности. Если мне выделяют сервер для каких либо работ, то моя ответственность как пользователя этого сервера позаботиться о том, чтобы приватная информация хранилась в файлах с доступом только для меня, а так же чтобы она не попадала в публичные логи, списки процессов и тд... А каким образом сделать так, чтобы файлы в моей папке были доступны только мне, чтобы на сервере не было вредоносного ПО, это уже забота службы ИТ.
Что-то не очень понял как из 320 190 получилось...
320 * 0.87 = 278... или минус еще что-то?
Ну в таком случае получается, что они заработали 320 тыс на 2 года... 13 тыс в месяц... не очень густо с учетом того, что еще наверное и какие-то другие траты были
Честно говоря не очень понятна фраза про "без нарушения закона":
За электричество то платила школа, а миллион рублей они себе в карман положили. Так что тут такая же безубыточность как и средняя температура по больнице.
если 4 рубля за 1 кВт*ч, то 680 млн дают 170 ГВт*ч
а 170 МВт*ч за два года это не так и много, это всего-то 10 кВт, на алюминиевый завод не хватит
Все правильно. И вот здесь то служба ИБ и нужна. Раз есть некий выделенный сервер, с которого можно получить доступ на всю сеть, то нужно следить кто имеет доступ к этому серверу, а не превращать его в проходной двор. И дыры в безопасности затыкать вовремя.
Ну если вы допускаете, что к вашему серверу злоумышленник может получить root доступ, то какой смысл дальше обсуждать, что надежнее: пароль, сертификат или еще что-то? Ко всему у него будет такой же доступ, как и у легитимных программ..
Ну и если так рассуждать, то в винде дыр не меньше... Может ваш ноут вирусами заражен и давно уже слил все ваши логины, пароли и ключи. Такой вариант вы не рассматриваете?
Там не про ловкость, а про криво настроенную систему...
Значит нужно использовать HSM для хранения приватного ключа
А можно поподробнее?
А так же про "любой безобидный кронтаб и пользователь уже рут и читает все файлы"
может все-таки не любой, а только запущенный от рута или того же пользователя?
может... но в статье идет речь про скрипты, запускаемые автономно через cron...
а чем файл с паролем хуже файла с приватным ключем?
А вот это уже вопрос к ИБ, откуда на сервере вредоносное ПО, которое может получить доступ к read-only файлам пользователя...
Вот только это работает до тех пор пока особенно рьяный безопасник не поставит AllowTcpForwarding=no на сервере.
Позвольте процитировать то, что вы писали ранее:
и
Вы собирались в суд своей страны, а не по месту правонарушения.
кстати многие забывают, что можно так же остаться без средств к существованию и из-за бага в законодательстве... и тут уже жаловаться можно будет разве что в спортлото
Бывают случаи, когда роутер от провайдера имеет ограниченный функционал, а требуется более гибкая настройка... кто-то хочет сеть на виланы разбить, кому-то dns во внутреннюю сеть нужен, кому-то трафик считать отдельно от каждого клиента...
Из-за NAT и stateful firewall. Правда полтора килобайта на сессию это что-то слишком много выходит.