Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 11
Так, в 70% госорганизаций по-прежнему нет специализированных средств для фильтрации входящей почты, а иногда и базовых инструментов вроде антиспама и антивируса.
Правильно, ведь кажде неотфильтрованная рассылка = взлом
При этом более 50% организаций используют незащищенное соединение (http), и передаваемые данные не шифруются.
Взлом удаленного сервера через устаревший http?
Более 70% организаций оказались подвержены обычным уязвимостям, которые могут использоваться для входа в инфраструктуру. Это SQL-инъекции (позволяют взломать базу данных сайта и внести изменения в скрипт) и XSS (межсайтовый скриптинг).
Берешь две уязвимости разных весовых категорий и распространенности и объединяешь в одну цифру, получаешь угрожающие 70%. В источнике подробностей не обнаружил, но интересно распределение.
Собственно, там в источнике «отчет» — такой же набор инфы как и в пресс-релизе, без каких-либо подробностей относительно распределения или уровня опасности.
Взлом удаленного сервера через устаревший http?
Отсылка sensitive данных, таких как аутентификационные, личные, служебные по общедоступных сетям, самым популярным протоколом в мире, где каждое промежуточное устройство видит содержимое. Что же может пойти не так.
А ожидал увидеть конкретный список на каком госсайте какие эксплойты запускать?
У меня знакомый работает сисадмином в больнице (мск). Больше половины парка компьютеров — Windows XP. Какая безопасность?
Очень странно, потому как у нас в г.Ноунэйм парк уже перескакивает с 7 до 10.
а вин10 теперь гарантированно не сливает на сторону всё подряд? Я серьёзно спрашиваю, интересно.
Гарантированно не сливает данные только сервер который: отключен от сети. Электрической… (С) мои безопасники с прошлой работы
А ещё можно добавить, что совсем хорошо если сервер ещё и: зачищен, отформатирован, разобран, разломан в пыль, брошен в яму 100500 метров глубиной, взорван там ещё раз бомбой, залит сверху бетоном.
в этом, я думаю, и смысл. Что в госсекторе все в хаотичном порядке: где-то вин 10, где-то вин ХР, где-то cisco и vpn, а где-то ноунейм китайские роутеры и нешифрованная передача данных.
А безопасность — это сводный показатель по самому незащищенному звену. По минимальному. А из него получаем неприглядную картину: WinXP, старый/необновляемый софт, приходящий админ с невероятными правами доступа без квалификации (иногда и вообще не оформленный), дырки в firewall и vpn «лишь бы побыстрее это заработало».
А безопасность — это сводный показатель по самому незащищенному звену. По минимальному. А из него получаем неприглядную картину: WinXP, старый/необновляемый софт, приходящий админ с невероятными правами доступа без квалификации (иногда и вообще не оформленный), дырки в firewall и vpn «лишь бы побыстрее это заработало».
Это проблема сделать быстро и недорого, привлекая низкоквалифицированных специалистов, которые еще вчера делали лендинги, сегодня их задача создать сервис. Такое часто встречается и в частных компаниях, ставя в руководители разработчика, который не глубоко знаком с безопастностью не в теории а именно на практике!
Есть даже такой феномен — информационная мастурбация — это когда применение знаний заменяется получением всё новой информации. В результате, процесс получения информации для развития заменяет само развитие. Ты становишься всё более осведомлённым, но всё менее интеллектуальным. Когда это продолжается из года в год, то способствует только росту САМОМНЕНИЯ.
Я такое часто наблюдаю на собеседовании, когда его проходишь то складывается чувство что ты устраиваешься на работу писать язык программирования JavaScript, Css, PHP, тут можно подставить любой свой язык, когда в вакансии говорится о разработке сервисов компании и ищут front-end разработчика. К примеру на собесе был вопрос по правилам CSS => a + a {color: red;} какой элемент будет красным? Я знаком за 10 лет работы с этим, но в своей жизни я это правило применял один раз всего. Вспомню ли я его по памяти — нет, т.к. это частный случай, смогу ли я его за 1 минуту загуглить и понять — да. Сейчас работаю в компании в которой после собеса не было тестового задания, я считаю у таких компаний большой успех, где техлид может рассмотреть кандидата без технического задания.
А ну или вот еще как пример выводить в продакшн бэк на ноде (SSR), ребят, ну это же для стартапов придумано, не серьезно это все.
Есть даже такой феномен — информационная мастурбация — это когда применение знаний заменяется получением всё новой информации. В результате, процесс получения информации для развития заменяет само развитие. Ты становишься всё более осведомлённым, но всё менее интеллектуальным. Когда это продолжается из года в год, то способствует только росту САМОМНЕНИЯ.
Я такое часто наблюдаю на собеседовании, когда его проходишь то складывается чувство что ты устраиваешься на работу писать язык программирования JavaScript, Css, PHP, тут можно подставить любой свой язык, когда в вакансии говорится о разработке сервисов компании и ищут front-end разработчика. К примеру на собесе был вопрос по правилам CSS => a + a {color: red;} какой элемент будет красным? Я знаком за 10 лет работы с этим, но в своей жизни я это правило применял один раз всего. Вспомню ли я его по памяти — нет, т.к. это частный случай, смогу ли я его за 1 минуту загуглить и понять — да. Сейчас работаю в компании в которой после собеса не было тестового задания, я считаю у таких компаний большой успех, где техлид может рассмотреть кандидата без технического задания.
А ну или вот еще как пример выводить в продакшн бэк на ноде (SSR), ребят, ну это же для стартапов придумано, не серьезно это все.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Ростелеком-Солар»: 90% IT-систем российских госструктур могут взломать киберхулиганы