Комментарии 41
«При этом ни один поставщик интернет-услуг, которого мог бы использовать хакер 2016 года, не передавать данные с такой скоростью»,
«в IBM думаю о возможности»…
Во-вторых, о вас тут писали что-то запоминающееся: DLP-система DeviceLock 8.2 — дырявый штакетник на страже вашей безопасности. Вы пофиксили всё, что указано в той статье?
То, что указано в той статье, пофиксили давным-давно, и об этом там же в комментах четко и прозрачно сказано.
Тут ведь надо понимать, что эти решения не для безопасности, а просто для бумаг, аудита и сертификации.
ПННХНЧ?
Это у вас такая позиция компании?
И вам об этом уже сказали в той ветке.
Не лгите. Я задал вопрос, на который не было ответа. И я повторил его под спойлером, чтобы не открывать страницу. Ответьте, пожалуйста, технически.
Хэш пароля
Вот, так и надо писать — хеш данных. А какой хеш? Какой алгоритм? Я надеюсь вы использовали что-то лучше чем "не имеющее аналогов проприетарное решение"?
Далее — если вы ищете пароль как подстроку в тексте, то как вы это делаете? Какой алгоритм хеширования вы использовали, который позволяет эффективно искать подстроку? Ведь не хеширование Рабина-Карпа? Насколько стойкий этот хеш с точки зрения криптографии? Он подсоленный или доступен для взлома с помощью радужных таблиц?
Вы поймите, с точки зрения маркетинга всё выглядит классно. А на деле все пароли скидываются в общее хранилище, а потом бесконтрольно раздаются по сети. В итоге малейшая ошибка в ваших закрытых алгоритмах — и скомпрометировано вообще всё.
хранятся хеши
Не все хеши безопасны, не все хеши криптостойки. Ответьте, пожалуйста, какой хеш вы используете. Или признайте, что "не имеете право раскрывать проприетарный алгоритм, не имеещий аналогов". И хватит уже юлить, ну сколько можно.
Также вам намекнули, что это всего лишь пример
То есть вы сделали схему, которая распространяет секретные пароли по всем компьютерам сети, при всём при этом хеш не имеет подтверждений крипостойкости. А потом вы "намекаете, что это не самая лучшая функция". Это действительно ваша официальная позиция? Вот задумайтесь, вы бы стали использовать подобные "решения"?
схему, которая распространяет секретные пароли по всем компьютерам сети
Даже не знаю, как комментировать ваши выдумки… учитывая, что ничего кроме политик не распространяется по всем компам, включая хеши…
Даже не знаю, как комментировать ваши выдумки… учитывая, что ничего кроме политик не распространяется по всем компам, включая хеши…
Окей, уже лучше. Значит не DLP агент проверяет скопированый текст на соответствие. Возвращаемся к предыдущей моей фразе:
Ответьте, пожалуйста, какой хеш вы используете. Или признайте, что "не имеете право раскрывать проприетарный алгоритм, не имеещий аналогов". И хватит уже юлить, ну сколько можно.
Ответьте, пожалуйста, какой хеш вы используете.
Точно не в рамках этой статьи. возможно, напишем отдельную статью по этой теме.
Однако, могу ответственно сказать, что ключевая ваша ошибка — в словах «потом бесконтрольно раздаются по сети». Вот этого попросту нет. Не раздаются никуда.
Вопрос компрометации хешей не возникает.
напишем отдельную статью по этой теме
Вы очень загадочно отвечаете. Ожидалось, что ответ будет формулой вида
SHA512(password + X) (очевидно, что SHA512 не подойдет). Однако окей, буду ждать.
Однако, могу ответственно сказать, что ключевая ваша ошибка — в словах «потом бесконтрольно раздаются по сети».
Я говорил, что ваша компания рекомендует отправлять все пароли на сервер с device lock. Т.е. если раньше пароль от базы знал администратор и хеш был известен самой базе, то теперь еще о нем будет знать Device Lock.
У меня нет оснований считать, что вы изобрели чудо хеш, который позволяет искать фразу по тексту, не раскрывая её. При этом хеш должен быть криптостойким, не поддающимся взлому по радужным таблицам и т.д.
А про бесконтрольную раздачу: где-то документы проверяются чудо-хешом. Именно на этих серверах есть чудо-хеш, который может сказать — является ли пароль подстрокой документа, или нет.
ПННХНЧ?
Это у вас такая позиция компании?
У нашей компании в данном ракурсе скорее позиция ЧННХНП.
Есть подозрения? До свидания!
С другой, а зачем провоцировать персонал?
Залейте порты эпоксидкой, опломбируйте системники!
Есть контора, где любое подключенное USB-устройство «кирпичится»
Есть системы, запрещающие доступ к портам.
Ок, что мешает прокручивать информацию на экран и снимать камерой смартфона?
Да мало-ли как еще можно утянуть желаемое!
И опять приходим к первому абзацу, ибо невозможно работать со специалистом по безопасности информации не доверяя ему, как впрочем и с докторами.
Тут скорее вопрос в доверии компании к своим сотрудникам.
Вопрос доверия — один из фундаментальных, когда речь идет о доступе к информации ограниченного доступа. Но это еще не значит, что если доверие не 100%, то надо сразу всех выгонять. Для этого и существуют специальные решения для защиты информации.
Залейте порты эпоксидкой, опломбируйте системники!
Это прошлый век. И совершенно непродуктивно. Бизнес-функции могут требовать доступа к портам.
что мешает прокручивать информацию на экран и снимать камерой смартфона?
Ничто не мешает. Вопрос как долго этим заниматься, с каким объемом данных, насколько эти данные структурированы, как долго потом заниматься обработкой полученных графических данных и т.п. И параллельно отметим, что ничто не мешает и просто запомнить, увидев глазами.
Но проблема-то не в этом.
невозможно работать со специалистом по безопасности информации не доверяя ему
Кроме спецов по безопасности, доступ к информации обычно имеют и другие категории граждан.
Кроме спецов по безопасности, доступ к информации обычно имеют и другие категории граждан.
Если за базу предложили 1 млн., то сотрудник просто поделится выручкой с профессионалом, который обойдет Device Lock (или что лучше — подставит кого-то).
Вопрос как долго этим заниматься, с каким объемом данных, насколько эти данные структурированы, как долго потом заниматься обработкой полученных графических данных и т.п.
Если вы хотите передать файл (или по-другому — последовательность бит), то можно моргать пикселом и снимать на телефон, можно моргать светодиодом на клавиатуре, можно подключить диск через eSata разъем диск в момент загрузки, так как его сложно отличить от внутренних дисков.
Все эти решения — простые. Если стоимость базы 1 млн., то её утянут влегкую, несмотря на ваши статьи, сертификаты и прочие презентации.
Утянуть можно все и для этого существует миллион способов.
Ключевая задача DLP решений — противодействовать непреднамеренным и случайным утечкам данных, а не бороться с мизерным процентом направленных атак (хищений), да еще и руками профессионалов.
Ну а за физическую доступность варианта «подключить диск в eSata» надо админу давать по рукам и очень больно. Никто кроме админов не должен иметь возможности вскрывать корпуса машин. Моргание пикселами даже комментировать не хочется. Азбука Морзе тоже неплохо, ага.
Ключевая задача DLP решений <...> а не бороться с мизерным процентом направленных атак (хищений), да еще и руками профессионалов.
Ну или по-другому: вы не способны защитить сеть умышленных утечек. Вы же сообщаете об этом на презентациях? Или только признаете в коментариях, что софт по сути является аналогом антивируса Бабушкина?
Ну а за физическую доступность варианта «подключить диск в eSata» надо админу давать по рукам и очень больно. Никто кроме админов не должен иметь возможности вскрывать корпуса машин.
Уважаемый BLACK816, eSata зачастую упоминается в разрезе внешних разъемов, см. тут примеры материнских карт. Вы же в своем мануале упоминаете про съемные устройства на основе SATA. И ваши разработчики знают, насколько сложно их отличить от встроенных устройств. Поэтому лучше так и отвечайте в коментариях, что да, можно легко увести данные через подобные устройства (но не через все, это правда).
Есть умышленные утечки и умышленные утечки. Одни делаются руками обычных сотрудников — которые «просто» хотят что-то прихватить себе, например, увольняясь. Другие — руками ИТ-профессионалов. Их возможности по воздействию на систему радикально отличаются. Обычный юзер не станет искать попытки взломать подсистему защиты, просто обломится. Профи же найдет и способ фонариком, как вы предлагаете, поморгать и далее дешифровать такую запись в нечто полезное.
Какова вероятность утечки первым описанным способом и вторым?
Вот тут и есть разница.
Что касается торчащего наружу eSata, то админу, который для корпоративных рабочих станций подбирает железо, где нет возможности ограничить физический доступ, надо давать не только по рукам, но и по кошельку. Одно дело — «удобно иметь eSata как внешний разъем на домашнем компе», и совсем другое — на корпоративном АРМе.
Не надо смешивать в одну кучу мух с котлетами, очень вас прошу.
Обычный юзер не станет искать попытки взломать подсистему защиты, просто обломится.
Это ваше мнение? У вас есть статистика? С моей точки зрения, при высокой ценности базы сотрудник просто найдет знакомого и поделится. И при низкой — дешевле вообще не покупать ничего у вас. Правильно?
Какова вероятность утечки первым описанным способом и вторым?
А у вас есть статистика? Ведь нет же, мы все тут знаем.
Не надо смешивать в одну кучу мух с котлетами, очень вас прошу.
Я повторю свою фразу: вы не способны защитить сеть умышленных утечек. Вы же сообщаете об этом на презентациях? Или только признаете в коментариях, что софт по сути является аналогом антивируса Бабушкина?
кстати, в вашей компании два человека могут голосовать за коментарии. И мои коментарии получили минусы, причем только часть из них.
Как Вы считаете, есть ли в этом какая-то связь? )
на 44% проанализированных USB-накопителей был выявлен и заблокирован по крайней мере один файл, угрожавший безопасности
То есть каждая вторая флешка с вирусом? Не верю. Зараженных флешек много, но не настолько
Среди обнаруженных угроз были такие как TRITON, Mirai, разные формы червя Stuxnet.
Сколько процентов таких файлов было найдено? Шифровальщики и адваре — да постоянно, но откуда на флешке возьмется такое старье, как Stuxnet (который и размера немаленького и опознается всеми — использовать его для атак нет смысла)
Сравнительный анализ также показал, что традиционные средства защиты от вредоносных программ не смогли обнаружить до 11% выявленных угроз.
Еще одна странная цифра. Если говорить о статистике необнаруживаемых в день создания вредоносных программ — то это очень хороший результат. В момент атаки антивирус не знает гораздо больше. Единственно, что приходит в голову — что большая часть найденного — старье. А тогда что это за атаки?
В отчете сообщается
Эм… А где отчет?
Там ссылка ведет не на отчет. И по ссылке на отчет так же не выйти.
Операция заняла 87 секунд,
Откуда они вообще такую цыфру узнали? должны быть какие-то логи, и там уж точно видно откуда и куда что копировалось.
Исследователи обнаружили, что происходит утечка перекрестных помех внутри USB-концентраторов, подобно распространению воде в трубах, а значит, можно использовать соседние порты на USB-концентраторе для злоумышленного хищения данных.Я так понимаю это оно самое. Фактически атака была проведена на USB1.1 LS/FS. Для атаки USB2.0 HS нужна полоса пропускания в гигагерц как минимум и ещё несколько гигагерц для сэмплирования. На сегодняшний день запихнуть в компактное USB устройство практически осциллограф с такими характеристиками нереально.
Однако, не стоит сбрасывать со счетов и старое правило «дыма без огня не бывает», а также учесть, что некоторые публикации весьма удобно и полезно использовать как инфоповод.
Ничего личного, как говорится. :)
Учитывая что Honeywell является одним из ключевых поставщиков систем управления технологическими процессами довольно странно видеть рассуждения на тему использования USB в принципе. Решение очевидно — на всех станциях, к которым есть физический доступ заводского персонала, все порты USB должны быть отключены на уровне BIOS и/или средствами групповых политик. И будет всм счастье (ну почти).
USB-устройства — «внезапная» угроза