Комментарии 8
Не рассказали про «5.Криптография эволюционирует, и на смену шифрованию приходят устойчивые алгоритмы нового типа.»
Можно хотя бы вкратце?
Можно хотя бы вкратце?
> Была интереснейшая история со швейцарской компанией Equivalence AG. Они бросили вызов участвовавшем в конференции хакерам и раздавали всем флаеры в виде 500€, с предложением вскрыть их архив.
Странно, что кто-то купился на это. Логика подсказывает, что получить эти деньги удастся только в одном из двух случаев.
1) Это — игра, и защиту намеренно сделали такой, чтобы достаточно умный человек мог ее вскрыть.
2) В алгоритме имеются настолько серьезные дыры, что даже не имея его исходников, человек с ноутбуком посреди конференции найдет експлоит. Если бы компания всерьез допускала такую возможность, то конкурса не было бы.
Оба варианта были бы полным провалом для организатора, это — мощный негативный пиар. Следовательно, защита там на уровне. С таким же успехом они могли выдать всем зашифрованные DES контейнеры — и никто не успел бы вскрыть их за несколько часов и забрать приз. А уж если бы вместо DES использовали AES с 256-битным ключем, бояться вообще было бы не о чем. Кто вскроет, тот не станет палиться ради нескольких сотен евро.
Странно, что кто-то купился на это. Логика подсказывает, что получить эти деньги удастся только в одном из двух случаев.
1) Это — игра, и защиту намеренно сделали такой, чтобы достаточно умный человек мог ее вскрыть.
2) В алгоритме имеются настолько серьезные дыры, что даже не имея его исходников, человек с ноутбуком посреди конференции найдет експлоит. Если бы компания всерьез допускала такую возможность, то конкурса не было бы.
Оба варианта были бы полным провалом для организатора, это — мощный негативный пиар. Следовательно, защита там на уровне. С таким же успехом они могли выдать всем зашифрованные DES контейнеры — и никто не успел бы вскрыть их за несколько часов и забрать приз. А уж если бы вместо DES использовали AES с 256-битным ключем, бояться вообще было бы не о чем. Кто вскроет, тот не станет палиться ради нескольких сотен евро.
А, что SCADA. Возьмите иранские заводы по переработке урана и Stuxnet.
Проблема то была только попасть на территорию завода, а дальше защиты не было.
Проблема то была только попасть на территорию завода, а дальше защиты не было.
Именно это меня и смущает. Пара-тройка невменяемых и у нас еще один Чернобыль на планете нарисуется…
Ну, а что делать. Почти все низкоуровневые связи комп — сеть контроллеров SCADA идут без безопасности by design.
Когда все строили не думали о таких угрозах.
Когда все строили не думали о таких угрозах.
Понимаете, дело даже не в том, что старые системы устарели относительно новых угроз и возможно их пора менять. Дело в том, что безопасность на заводах, которые сейчас только проектируются планируется на таком же уровне. Это именно глупость. Дырка на стене, которую мы привыкли не замечать. Девелоперы об этом даже думать не хотят. Я специально созвонился с некоторыми близкими родственниками, которые как раз занимаются проектированием и строительством современных заводов. Они формально считаются суперпрофессионалами в своем регионе Европы. Мои вопросы были очень простые, по мотивам доклада Паула. «Что бы вы делали в этом случае…, а в этом…?» И я увидел, что они даже не задумываются о таких вещах. Какая нафик информационная безопасность? По сути я показал им, как я могу перегрузить определенные системы их завода и сжечь за один вечер, и только тогда вроде что-то щелкнуло. Но поймите они не готовы. Они живут в позапрошлом десятилетие в самом лучшем случае.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Hack in Paris 2014. Европейские приключения хакеров в Диснейленде