У коллег это была короткая новостная публикация в дайджесте, а мы сделали подробный разбор оригинального исследования в двух частях, своего рода deep dive. Скоро выпустим вторую часть)
В статье как раз и проверяется это допущение — что перед продажей всё стирают «правильным» методом. Как видите, в реальности максимум жмут «форматировать», а иногда и этого не делают.
не встречал компанию, которая бы строила ИБ- стратегию на много лет вперед
Тут вы правы, это скорее энтерпрайзу свойственно. Но стратегия — это же не обязательно 200-страничный документ на десятилетия. Её можно воспринимать как набор ориентиров, которые со временем будут корректироваться. И выбирать метод, исходя из текущего горизонта планирования и масштаба хотелок. Тот же SMART, например, больше подходит тем, кто хочет зафиксировать понятные цели на ближайший этап, не пытаясь предсказать 2035 год.
Мы наслышаны о проблемах MIFARE Classic :) В этой статье разбирали и нюансы аутентификации через Crypto1, и то, какие сценарии реально работают «за секунды». Правда вектор атаки там другой — через бэкдор (скрытый мастер-ключ в карте FM11RF08S).
Спасибо за интерес к теме! В рамках этой статьи мы сознательно сосредоточились на том, как устроен теневой рынок данных после утечки. Возврат контроля над данными — это уже следующий пласт, который вполне заслуживает отдельной публикации. Обязательно рассмотрим эту идею)
ISO-стандарта по Wiegand нет. В США принята спецификация SIA AC-01-1996.10, на нее обычно и ссылаются. Правда, стоит учитывать, что даже в самих Штатах она используется как рекомендательный стандарт — де-юре это не то же самое, что ISO или ГОСТ. В России, уж тем более, никто формально не обязан ей следовать.
Ценное наблюдение, спасибо! Прямо весь зоопарк «надежды на физическую изоляцию» в одном списке — I2C, UART, CAN… Раньше все, что внутри корпуса, считалось безопасным по умолчанию — никто не подберется. Теперь это слабое звено, потому что меняется модель угроз, а железо так и проектируется «по старинке».
Век живи — век учись. Спасибо большое за библиотеку: их столько, что за всеми не угонишься)
Мы в статье преследовали цель не просто пройтись галопом в духе «кликни сюда, потом сюда, и будет тебе счастье», а показать, как все работает под капотом и почему именно так работает.
Если ссылка из предыдущего комментария не работает, вот альтернативная
В 152-ФЗ такие категории тоже есть. Подробнее об этом в расширенной версии исследования (страница 9).
Большое спасибо за уточнение, подправил.
Первая часть обзора: https://habr.com/ru/companies/bastion/articles/1003260/
Как обещали, вот вторая часть :)
Спасибо за фидбек!
Спасибо, что оценили наши усилия!
У коллег это была короткая новостная публикация в дайджесте, а мы сделали подробный разбор оригинального исследования в двух частях, своего рода deep dive. Скоро выпустим вторую часть)
В статье как раз и проверяется это допущение — что перед продажей всё стирают «правильным» методом. Как видите, в реальности максимум жмут «форматировать», а иногда и этого не делают.
Тут вы правы, это скорее энтерпрайзу свойственно. Но стратегия — это же не обязательно 200-страничный документ на десятилетия. Её можно воспринимать как набор ориентиров, которые со временем будут корректироваться. И выбирать метод, исходя из текущего горизонта планирования и масштаба хотелок. Тот же SMART, например, больше подходит тем, кто хочет зафиксировать понятные цели на ближайший этап, не пытаясь предсказать 2035 год.
Мы наслышаны о проблемах MIFARE Classic :) В этой статье разбирали и нюансы аутентификации через Crypto1, и то, какие сценарии реально работают «за секунды». Правда вектор атаки там другой — через бэкдор (скрытый мастер-ключ в карте FM11RF08S).
Это вторая часть, продолжение той истории. В начале текста об этом упоминается.
Да, есть похожая UAF-уязвимость для Андроид, вот статья
Спасибо за интерес к теме! В рамках этой статьи мы сознательно сосредоточились на том, как устроен теневой рынок данных после утечки. Возврат контроля над данными — это уже следующий пласт, который вполне заслуживает отдельной публикации. Обязательно рассмотрим эту идею)
А что неоднозначно? Ответ ведь отрицательный при любой интерпретации
ISO-стандарта по Wiegand нет. В США принята спецификация SIA AC-01-1996.10, на нее обычно и ссылаются. Правда, стоит учитывать, что даже в самих Штатах она используется как рекомендательный стандарт — де-юре это не то же самое, что ISO или ГОСТ. В России, уж тем более, никто формально не обязан ей следовать.
Ценное наблюдение, спасибо! Прямо весь зоопарк «надежды на физическую изоляцию» в одном списке — I2C, UART, CAN… Раньше все, что внутри корпуса, считалось безопасным по умолчанию — никто не подберется. Теперь это слабое звено, потому что меняется модель угроз, а железо так и проектируется «по старинке».
О да, Wiegand — это прям привет из аналоговой эры. И что поразительно — до сих пор в ходу, даже на объектах с серьезными требованиями к ИБ.
Век живи — век учись. Спасибо большое за библиотеку: их столько, что за всеми не угонишься)
Мы в статье преследовали цель не просто пройтись галопом в духе «кликни сюда, потом сюда, и будет тебе счастье», а показать, как все работает под капотом и почему именно так работает.