Конечно, речь не идет о создании «плохого оператора связи» для атак на мирных операторов:).
Речь о том, что при компрометации одного единого GGSN-шлюза любого оператора связи, этот шлюз может быть использован злоумышленником для атак на всех остальных операторов через один самых незащищенных интерфейсов взаимодействия — Gp-интерфейс — в сторону GRX. И разумеется, при этом проблемы будут как у атакуемого, так и несчастного «атакующего» оператора, чьей сетью просто воспользовались.
Да, операторские сети объединяются через сеть GRX, которая предназначена для предоставления доступа пользователей в интернет в роуминге.
Данная сеть является относительно доверенной, поэтому операторы могут производить атаки друг на друга через нее.
С другой стороны, свободное ПО легче адаптировать к изменяющимся условиям. Конечно же, установка «закрытой и несвободной» Windows на HMI в системах АСУ ТП — это очевидная ошибка, которая привела к тому, что во многих системах до сих пор не закрыта уязвимость CVE-2010-2568, через которую в свое время распространялся червь Stuxnet. Использование «открытой» системы позволило бы разработать свой патч, но и для этого нужна команда разработчиков.
С другой стороны, есть примеры, когда государство и даже крупные потребители добивалось условного открытия продуктов для поддержки в случае «гибели» компании-разработчика.
> распространять свои копии, как считает нужным (по определению), и скорее всего, они быстро появится в Сети. Поэтому само свободное ПО всегда бесплатно.
В сети распостраняются “свободно” например копии фильмов и Windows. Делает ли это Windows “свободным” и “бесплатным” ПО?
Давайте уточним сначала о какой конкретно лицензии свободного ПО вы говорите. В статье приведен пример с Андроид, за который вы по факту платите Microsoft покупая смартфон с этой ОС. Это “свободно”, “бесплатно” или “открыто”?
>Свободное ПО не безопасно, но оно безопаснее, поскольку вредные функции приходится тщательно прятать, в отличие от проприетарного.
Оно потенциально МОЖЕТ быть безопаснее, если предположить, что сообщество инвестирует больше усилий в обеспечение его безопасности чем вендор. Что в каждом конкретном случае и даже для разных продуктов одного вендора очень отличается. Более того — внести “недекларированную уязвимость” в открытое ПО гораздо легче, поскольку отсутствует tracability. Поэтому если вы хотите “безопасное” ПО, что открытое (или свободное?), что закрытое — надо в это вкладываться.
>Создание всего набора необходимых программ с нуля — задача невыполнимая ни для каких «национальных чемпионов».
Если вы внимательно прочитаете статью, то там можно найти слова, приведенные ниже. На всякий случай ALT Linux, JetBrains, Chromium, PostgreSQL, Hadoop, ElasticSearch — это все про открытое или бесплатное или свободное ПО.
Если производители ПО (тот же ALT Linux, или JetBrains) увидят перспективы и пользовательскую базу, то не откажутся создать версию под «Эльбрус»
Казалось бы, все переехали на Chromium — но в этом нет ничего плохого. Если взять за основу существующую платформу, навесить на нее дополнительные функции и обеспечить цикл поддержки, это позволит создать конкурентоспособный продукт.
Даже если брать за основу PostgreSQL, Hadoop или ElasticSearch — главное, чтобы эти продукты использовались и под них создавались приложения.
Конечно же, свободное ПО вполне можно и нужно использовать, адаптировать и развивать. Однако тезисы о его бесплатности, «лицензионной чистоте» и защищенности не выдерживают никакой критики. «Бесплатно» и «безопасно» — это просто сказки, и все знают, где бывает бесплатный сыр.
Добрый день. На праздниках мы никому не отвечали — на то они и праздники :). Дело в том, что почты много, в ней есть и спам, и рассказы не по теме, и различные вопросы, поэтому мы не хотим отвечать всем подряд с помощью робота, а будем внимательно разбирать почту и отвечать только тем, кто действительно прислал рассказы с соблюдением всех условий.
Авторы, приславшие рассказы в декабре и январе, получат уведомление о принятии на конкурс в начале февраля.
Пока в практике ни одного киоска с восьмеркой не попадалось. Вообще, на YouTube можно найти проблемы и с Linux-терминалами, правда там ошибки немного другого рода — например, «дрова» сенсорного экрана кривые и при определенных нажатиях ОС получает SEGFAULT и уходит в ребут.
Спасибо! Хороший совет, вы правы, но мы не смотрели в сторону деревьев классификации из-за некоторых особенностей конкретно нашей практической задачи:
Нам требовалась именно нечёткая классификация объектов (уязвимостей) по классам (двух, в нашем случае), а не их однозначная сортировка.
«Лучшего результата» в нашей задаче не требуется, более того, мы не знаем, что у нас будет считаться «лучшим» результатом. Нам главное, чтобы человек-аналитик в итоге получил список уязвимостей, которые высоко или максимально похожи на реальные и смог бы перепроверить только их, а при сортировке деревьями классификации некоторые реальные уязвимости, но которые выдали низкий уровень отклика, могут быть пропущены.
Также у нас имелась тестовая база некоторых эталонных уязвимостей, которые можно было представить в виде обучающих векторов-признаков, то есть сам собой напрашивался мат. аппарат нейронных сетей, который вполне успешно и быстро справляется с задачей классификации.
Кроме того, в связи с тем, что некоторые параметры уязвимостей могут быть определены только нечётко, было решено использовать уже проверенный в смежных областях мат. аппарат нечётких измерительных шкал (подробнее здесь и здесь)
Ну и, пожалуй главное, у нас уже были программные наработки для решения нашей задачи, которые мы решили, наконец, довести до ума :)
А вообще, всё, о чем упоминалось в статье, находится на стадии исследования. На данный момент мы имеем универсальный математический аппарат нейронный сетей и нечётких измерительных шкал, их программную реализацию, а также методику использования. Об успешном практическом внедрении разработок в наши процессы валидации уязвимостей мы расскажем в следующих статьях :)
Вопрос филосовский, аналогичный почему так мало людей используют шифрование почты. Неудобно, лишние движения, не работает на системе ABC, глючит в XYZ…
Однако публикация телефонных переговоров разных знатных говорунов говорит о том, что технологии прослушки всё-таки работают. Другое дело, что мы не знаем, какие именно. Может, дедовский плёночный магнитофон в подвале, с огромным микрофоном в батарее центрального отопления? :)
Речь о том, что при компрометации одного единого GGSN-шлюза любого оператора связи, этот шлюз может быть использован злоумышленником для атак на всех остальных операторов через один самых незащищенных интерфейсов взаимодействия — Gp-интерфейс — в сторону GRX. И разумеется, при этом проблемы будут как у атакуемого, так и несчастного «атакующего» оператора, чьей сетью просто воспользовались.
Данная сеть является относительно доверенной, поэтому операторы могут производить атаки друг на друга через нее.
С другой стороны, есть примеры, когда государство и даже крупные потребители добивалось условного открытия продуктов для поддержки в случае «гибели» компании-разработчика.
В сети распостраняются “свободно” например копии фильмов и Windows. Делает ли это Windows “свободным” и “бесплатным” ПО?
Давайте уточним сначала о какой конкретно лицензии свободного ПО вы говорите. В статье приведен пример с Андроид, за который вы по факту платите Microsoft покупая смартфон с этой ОС. Это “свободно”, “бесплатно” или “открыто”?
>Свободное ПО не безопасно, но оно безопаснее, поскольку вредные функции приходится тщательно прятать, в отличие от проприетарного.
Оно потенциально МОЖЕТ быть безопаснее, если предположить, что сообщество инвестирует больше усилий в обеспечение его безопасности чем вендор. Что в каждом конкретном случае и даже для разных продуктов одного вендора очень отличается. Более того — внести “недекларированную уязвимость” в открытое ПО гораздо легче, поскольку отсутствует tracability. Поэтому если вы хотите “безопасное” ПО, что открытое (или свободное?), что закрытое — надо в это вкладываться.
>Создание всего набора необходимых программ с нуля — задача невыполнимая ни для каких «национальных чемпионов».
Если вы внимательно прочитаете статью, то там можно найти слова, приведенные ниже. На всякий случай ALT Linux, JetBrains, Chromium, PostgreSQL, Hadoop, ElasticSearch — это все про открытое или бесплатное или свободное ПО.
www.zakonrf.info/uk/273/
Авторы, приславшие рассказы в декабре и январе, получат уведомление о принятии на конкурс в начале февраля.
А вообще, всё, о чем упоминалось в статье, находится на стадии исследования. На данный момент мы имеем универсальный математический аппарат нейронный сетей и нечётких измерительных шкал, их программную реализацию, а также методику использования. Об успешном практическом внедрении разработок в наши процессы валидации уязвимостей мы расскажем в следующих статьях :)
Решений множество, бери и пользуйся
silentcircle.com
zfoneproject.com
www.netresec.com/?page=Blog&month=2014-10&post=Full-Disclosure-of-Havex-Trojans
webscience.ru/visuals/trillion-ryober-za-milliard-baksov
Однако публикация телефонных переговоров разных знатных говорунов говорит о том, что технологии прослушки всё-таки работают. Другое дело, что мы не знаем, какие именно. Может, дедовский плёночный магнитофон в подвале, с огромным микрофоном в батарее центрального отопления? :)