ясно. я вопрос задал в контексте фразы "не использовать данные из кеша процессора" и над этим задумался. Вроде как вся работа с кешами идет внутри процессора и он гарантирует. что данные в кеше всегда будут валидны с данными в плашке ОЗУ, причем с учетом проблемы обеспечения когерентности кешей между ядрами/numa и т.п. Воти думал, может есть хитра инструкция которая говорит процессору - забей на кеши, иди напрямую в dram.
интересно, а как релизован volatile под капотом? Какие-то особые инструкции или как? (с учетом того, что целевые архитектуры сильно разные). Я реально не знаю, интересно.
там не надо было ничгео менять вообще. В конфигурации прошивки банкомата и диспенсера включалось шифрование и диспенсер принимал траффик от компьютера только защищенный. Это ничего не стоило вообще.
Подтверждаю, но эта тема была горячей лет 8-10 назад, потом вроде как все пофиксили эту беду. Не думал, что до сих пор есть в мире регионы, где этот косяк не прикрыли.
А так да, просверлил дырочку в пластмассовой крышке и с помощью зонда прицпился на шину между компьютером и диспенсером и вуаля. Или так-же через зонд флешку в порт системного блока свою воткнул и через автозагрузку просадил зараженный софт прям на комп. в банкомате. Веселые были времена...
Это один из самых ценных советов в комментариях. Если не исправить место сна и место сидения за компьютером, то управжнения не будут давать того эффекта.ю который ждешь. Просто всеидет на смарку. хотя и чуток помогает. Мне реабилитолог несколько лет говорил: купи нормальный матрас, нормальную подушку, подбери нормальное кресло, высоту стола, глубину посадки и т.п. И вот пока после очередного многочисленного рецидива, решил эти все вопросы и сразу стало лучше. И вот убрав из жизни калечащие факторы можно заниматься управжнениями на укрепление спины и прочее.
Тем, кому нужно имя и фирмА, скваер все равно за фендре считать не будут, котируется только американские, на крайняк мексиканские. Можно еще на G&L посмотреть, там в отличие от фендера все по канону и происхождение не оставляет сомнений.
Еще хороший варант, если надо донести свои опасения, но не хочется выступать в роли стороннего бабайки (таких нигде не любят), это выйти на разговор тет-а-тет с лидером той команды. Это безопасно и может даже полезно в политическом смысле, по сути вы оказываете помощь не роняя авторитет лидера той команды, ему не придется публично реагировать на ваше замечание, защищать свой авторитет и т.п.
немного проясню о чем я говорю, намекая на уникальность каждого внедрения.
Одна из корневых проблем это проблема коннекторов к источников событий. Как правило, даже в наиболее зрелых системах возможностей коннекторов из коробки для практики недостаточно. Встроенный коннектор даже при его наличии разбирает самые базовые атрибуты или события, а все остальное идет в нераспознанное. Например коннектор для антивирусного решения может классифицировать события обнаруждения зловреда, но вот события типа сработки встроенного IPS уже не разбираются, события типа изменения настроек политик безопасности тоже не разбираются, не нормализуются. Или даже в тех событиях. которые разбираются не извлекаются все поля, а только базовые. Т.е. на бумаге коннектор есть, а по факту - самый минимум. Обычно в нормальном сием люди потом сами допиливают, извлекают дополнительны атрибуты, тюнят нормализацию. И в итоге оказывается что у одних название ключевого атрибута в поле Key_attribute, у других совсем иное название и все правила корреляции, отчеты уже несовместимы и уникальны.
Это приводит к тому, что нельзя разным пользователям продавать правил корелляции, надо еще делать поставку всей обвязки. И это хорошо, если сам источник выдает события в родном и том-же формате, а часто это не так, особенно фаерволы этим грешат.
да, безусловно, ИБ не должна подчиняться ИТ. Самое первое что вообще стоит проверять при аудите и если ИБ под ИТ, то в общем-то дальше уже можно особо не углубляться, т.к. с таким организационным косяком диагноз уже понятен.
Про SIEMы все вообще печально на сейчас. Ситуация такова, что индустрия нуждается в типовых масштабируемых решениях, а по факту каждый пилит свои уникальные адаптации. Это все-равно что самостоятельно писать антивирус или разрабатывать свой уникальный фаервол. При наличии опыта и высокой компетенции это возможно, но будет очень уникально.
Спасибо, статья крутая, только мало кто это сможет понять, если не грыз этот камень самостоятельно долгие годы.
Добавлю еще, что часто упускается из виду, что повышение качества ИБ в первую очередь связано не с самой службой ИБ, а зрелостью службы ИТ, ее процессов и культуры. Не будет нормальной ИБ без нормальной ИТ. Принцип garbage in garbaje out работает не только на уровне событий SIEM, но и не орг. уровне.
Есть еще много мыслей почему все так... но видать они никому не нужны.
Пока нет, но из текста перевода и оригинала, есть комментарий на утверждение: " “Any claim that people’s WhatsApp messages are not encrypted is categorically false and absurd". Т.е. можно предположить, что в оригинальном иске речь идет о том, что по-нгастоящему сообщения не криптуются или криптография там для отвода глаз. Посмотрим.
по поводу интерпрайза согласен. Винда тут сильна, хоть и решето по дефолту. Еще добавлю что в винде есть единый унифицированный механизм Event Logs, что для централизованного мониторинга безопаности и ИТ критично важно. Знаю, что есть и крутпные фирмы (от тысячи компов), которые живут на линуксах, но это скорее исключение и точно не для всех пока.
ясно. я вопрос задал в контексте фразы "не использовать данные из кеша процессора" и над этим задумался. Вроде как вся работа с кешами идет внутри процессора и он гарантирует. что данные в кеше всегда будут валидны с данными в плашке ОЗУ, причем с учетом проблемы обеспечения когерентности кешей между ядрами/numa и т.п. Воти думал, может есть хитра инструкция которая говорит процессору - забей на кеши, иди напрямую в dram.
интересно, а как релизован volatile под капотом? Какие-то особые инструкции или как? (с учетом того, что целевые архитектуры сильно разные). Я реально не знаю, интересно.
там не надо было ничгео менять вообще. В конфигурации прошивки банкомата и диспенсера включалось шифрование и диспенсер принимал траффик от компьютера только защищенный. Это ничего не стоило вообще.
Подтверждаю, но эта тема была горячей лет 8-10 назад, потом вроде как все пофиксили эту беду. Не думал, что до сих пор есть в мире регионы, где этот косяк не прикрыли.
А так да, просверлил дырочку в пластмассовой крышке и с помощью зонда прицпился на шину между компьютером и диспенсером и вуаля. Или так-же через зонд флешку в порт системного блока свою воткнул и через автозагрузку просадил зараженный софт прям на комп. в банкомате. Веселые были времена...
Это один из самых ценных советов в комментариях. Если не исправить место сна и место сидения за компьютером, то управжнения не будут давать того эффекта.ю который ждешь. Просто всеидет на смарку. хотя и чуток помогает. Мне реабилитолог несколько лет говорил: купи нормальный матрас, нормальную подушку, подбери нормальное кресло, высоту стола, глубину посадки и т.п. И вот пока после очередного многочисленного рецидива, решил эти все вопросы и сразу стало лучше. И вот убрав из жизни калечащие факторы можно заниматься управжнениями на укрепление спины и прочее.
Интересно, а цветовое разрешение/дискретизация у современных ТВ какое: 4.2.0 или 4.2.2?
Обычные бытовые беззеркалки сейчас снимают в 4.2.2, но используется это для покраса, а выводят потом все в SDR 4.2.0.
Тем, кому нужно имя и фирмА, скваер все равно за фендре считать не будут, котируется только американские, на крайняк мексиканские. Можно еще на G&L посмотреть, там в отличие от фендера все по канону и происхождение не оставляет сомнений.
Еще хороший варант, если надо донести свои опасения, но не хочется выступать в роли стороннего бабайки (таких нигде не любят), это выйти на разговор тет-а-тет с лидером той команды. Это безопасно и может даже полезно в политическом смысле, по сути вы оказываете помощь не роняя авторитет лидера той команды, ему не придется публично реагировать на ваше замечание, защищать свой авторитет и т.п.
Что люди только не делают, лишь бы не поставить фаерфокс...
немного проясню о чем я говорю, намекая на уникальность каждого внедрения.
Одна из корневых проблем это проблема коннекторов к источников событий. Как правило, даже в наиболее зрелых системах возможностей коннекторов из коробки для практики недостаточно. Встроенный коннектор даже при его наличии разбирает самые базовые атрибуты или события, а все остальное идет в нераспознанное. Например коннектор для антивирусного решения может классифицировать события обнаруждения зловреда, но вот события типа сработки встроенного IPS уже не разбираются, события типа изменения настроек политик безопасности тоже не разбираются, не нормализуются. Или даже в тех событиях. которые разбираются не извлекаются все поля, а только базовые. Т.е. на бумаге коннектор есть, а по факту - самый минимум. Обычно в нормальном сием люди потом сами допиливают, извлекают дополнительны атрибуты, тюнят нормализацию. И в итоге оказывается что у одних название ключевого атрибута в поле Key_attribute, у других совсем иное название и все правила корреляции, отчеты уже несовместимы и уникальны.
Это приводит к тому, что нельзя разным пользователям продавать правил корелляции, надо еще делать поставку всей обвязки. И это хорошо, если сам источник выдает события в родном и том-же формате, а часто это не так, особенно фаерволы этим грешат.
да, безусловно, ИБ не должна подчиняться ИТ. Самое первое что вообще стоит проверять при аудите и если ИБ под ИТ, то в общем-то дальше уже можно особо не углубляться, т.к. с таким организационным косяком диагноз уже понятен.
Про SIEMы все вообще печально на сейчас. Ситуация такова, что индустрия нуждается в типовых масштабируемых решениях, а по факту каждый пилит свои уникальные адаптации. Это все-равно что самостоятельно писать антивирус или разрабатывать свой уникальный фаервол. При наличии опыта и высокой компетенции это возможно, но будет очень уникально.
Спасибо, статья крутая, только мало кто это сможет понять, если не грыз этот камень самостоятельно долгие годы.
Добавлю еще, что часто упускается из виду, что повышение качества ИБ в первую очередь связано не с самой службой ИБ, а зрелостью службы ИТ, ее процессов и культуры. Не будет нормальной ИБ без нормальной ИТ. Принцип garbage in garbaje out работает не только на уровне событий SIEM, но и не орг. уровне.
Есть еще много мыслей почему все так... но видать они никому не нужны.
Пока нет, но из текста перевода и оригинала, есть комментарий на утверждение: " “Any claim that people’s WhatsApp messages are not encrypted is categorically false and absurd". Т.е. можно предположить, что в оригинальном иске речь идет о том, что по-нгастоящему сообщения не криптуются или криптография там для отвода глаз. Посмотрим.
Свифт это как морская торговля. Дело не в технологиях, а политике, кто этой корове пишет правила и конечном итоге доит.
по поводу интерпрайза согласен. Винда тут сильна, хоть и решето по дефолту. Еще добавлю что в винде есть единый унифицированный механизм Event Logs, что для централизованного мониторинга безопаности и ИТ критично важно.
Знаю, что есть и крутпные фирмы (от тысячи компов), которые живут на линуксах, но это скорее исключение и точно не для всех пока.
В начале должна быть выстроена гигиена использования привелегированных учетных записей на подверженных атаках ОС.
И самое главное - не работайте под админом в ОС.
так это же классика, приватизация чужих достижений.