Основная проблема всех этих робоферм — использование электрической подсветки.
Растениям нужен свет для них это как еда для нас. На «экономичных» лампах дневного света вырастит тоже экономично, а вернее ничего. Кто не верит посмотрите про промышленные теплицы и какой свет там используется многое станет ясным.
Робо-ферма за 230к$… в Российской действительности, когда сельским хозяйством занимаются люди с оплатой в районе МРОТ на эти деньги несколько десятилетий будем работтать целый колхоз, труд которого сможет прокормить средний Российский город.
На текущий момент, это все интересно только с академической точки зрения, до тех пор пока не найдется дешевых источников освещения и отопления. Подобные фермы будут иметь смысл только в районах где завоз свежей продукции дорог или недоступен, либо когда за свежую зелень люди готовы переплачивать.
Ну, что же, задумки и стремления у вас хорошие, но результирующий шифратор практической ценности не имеет.
Вы теперь знаете куда копать и если будете на выходе вашего шифратора получать устойчивый белый шум, качество которого будет одинаковым вне зависимости от открытого текста и ключевой информации напишите об этом.
В предлагаемой вами схеме все таки есть уязвимость и она в следующем.
Получая закрытый ключ из пароля, а затем открытый ключ из закрытого мы имеем своеобразный аналог псевдо-хэш функции, вида F(пароль)=открытый ключ,
А следовательно на нее будут распространятся атаки справедливые атакам на системы аутентификации использующие чистый хэш.
Пример 1. Хакер Али, сделал себе пароль «qwerty», получил хэш «0xAABB», дальше он крадет таблицу с открытыми ключами пользователей и ищет строки «0xAABB». Дальше думаю понятно
Пример 2. Хакер Зина, украла таблицу с открытыми ключами. У нее есть pre-computed таблицы (например, rainbow table) вида пароль-открытый ключ, где вместо хэш функции используется функция получения открытого ключа по хэшу. Дальше классическая атака через pre-computed таблицы.
Пример 3. Хакер Джэк является MiTM. При авторизации он подменяет scramble идущий от сервера на свой. У Джека есть pre-computed таблица вида свой свой исходный пароль — подписанный scrumble. Дальше аналогично (2).
Таким образом фундаментальной проблемой схемы является генерация ключей на базе «чистых паролей пользователей». Для ее устранения подобных проблем в схему нужно добавлять случайность — соль для каждого пароля.
А что вы думаете о возможности замены / использования криптоалгоритмов на современные Российские ГОСТы, в частности ГОСТ 34.11-2012 для хэша и ГОСТ Р 34.10-2012 для подписи? Да и блочного шифра ГОСТ 34.12-2015?
Алгоритмы есть в свободном доступе, они сертифицированы, по ним работает, например вся банковская система России, доверие к ним есть.
Подскажите, почему выбор пал на ed25519 в качестве основного криптоалгоритма?
Если вы упомянули банки и их запросы, то для них более спокойно было бы если вы использовали какой-либо сертифицированный / стандартизованный / рекомендованный алгоритм.
Проводили ли тесты на криптостойкость подобного шифрования?
Глубокого вдаваться в теорию не буду, но основной смысл шифрования это преобразование «разумного» текста в белый шум или набор случайных чисел.
Самый простой тест — возьмите текст, зашифруйте вашим способом, а потом попробуйте скормить архиватору — если текст жмется значит качество результирующего материала плохое. Тут конечно могут быть нюансы с кодировками и т. д. Поэтому проверять лучше на двоичных данных.
Второй тест. Возьмите тест состоящий из одинаковых символов и зашифруйте. Затем возьмите исходный текст. поменяйте в нем один символ и снова зашифруте. Сравните результаты. Если тексты отличают минимально, значит с шифрованием проблемы.
Если все хорошо, можно исследовать дальше свой шифр с помощью тестов NIST для генераторов случайных чисел
Если закрыть этот «баг» то завершение сеансов неквалифицированных пользователей, которые не закрывают RDP-сессии превратиться в сущий ад. Кто не в теме, просто дропать сеансы не всегда можно, там может потребоватьcя еще сохранить мегаважный Excel.
С точки зрения безопасности, доводы не убедительный. В случае компрометации админа или SYSTEM злоумышленики смогут сделать все тоже а даже больше другими инструментами.
В телеком провайдерах самая бесящая вещь — это тех. поддержка. Сделайте нормальный суппорт и люди к вам потянутся. Скорость / глюки / деньги у всех примерно равны.
На мой взгляд происходящее не совсем корректно. Google имеет зуб на Symantec за левый сертификат на себя, что и справедливо.Но Google предвзят, и это очевидно. Где гарантия того что он напроверял правильно?
Чтобы избежать конфликта интересов должна быть независимая организация устанавливающая требования и проверяющая удостоверяющие центры, возможно даже при ООН или IEEE или аналогичной организации, а производители браузеров должны будут ей подчинятся.
И именно ее результаты ее проверок должны иметь вес. Не исключаю что Symantec сильно накосячил, но подобный подход создает не хороший прецедент. Когда одна компания с высокой долей рынка начинает оказывать давление на другую.
Интересная статья, было бы поменьше %измов было бы понятней.
Есть ряд вопросов:
1) Предположим есть человек, его колбасит, скажем боязнь потерять работу. На работе сокращения всем дали 90-дневные уведомления. Он понимает что волноваться не надо, но не может ничего с собой поделать. Он идет к вам, вы с ним работаете он перестает боятся. Начальство смотрит, чел. спокоен значит уверен в себе и найдет работу и его соответственно увольняют… Какие последствия происходят, если страх от которого человек лечился реализовывается?
2) В чем цель применения фармакологии? Могут ли аналогичный эффект дать наркотики или алкоголь?
3) Как психотерапевты лечат других психотерапевтов?
Является устройство специальным техническим средством предназначенным для негласного съема информации (СТС, или в простанородье жучком) или нет определяет экспертиза во время разбирательств.
Пример, вы купили радионяню для контроля за дитем — все гуд. Туже саму радионяню используете для слежки за боссом — статья.
Есть устройства однозначно классифицируемые как СТС — например, камеры тип pin-hole.
Правовые особенности использования видеонаблюдения «размазаны» по действующему законодательству. По мимо указанной вами статьи, есть как минимум 152-ФЗ «О перс. данных», ГК РФ ст. 152.1, ст 137 УК РФ.
Интересует несколько моментов:
1. Зачем перехваченные сообщения писать в БД?
— Это как минимум увеличит затраты на хранение данных, поскольку место отъедаемое СУБД под хранения BLOB (например, для перехваченного VoIP звонка) всегда больше чем сам BLOB.
— А также не дает возможность (вернее сильно усложняет) применения внешнего сжатия, например банального архивирования перехваченных текстовых данных.
2. Есть ли опыт использования NoSQL решения для этих целей?
Существуют апологеты от разработчиков SIEM, которые утверждают что для SIEM SQL это зло.
В DLP хранимых данных очевидно меньше будет чем в SIEM, но если говорить о масштабируемости то мысль может быть и правильная.
Скрытое видеонаблюдение могут осуществлять только субъекты оперативно розыскных мероприятий («органы»). Во всех остальных случаях, по закону, это запрещено и суд не примет улики полученные не законным путем.
НО зато это очень хорошо помогает решить проблему в «до судебном порядке».
Обладаю опытом развертывания системы видео наблюдения в компании с офисами во всех субъектах федерации, поэтому хотел бы сделать некоторые ремарки.
1. Видеонаблюдение для частного дома само по себе не спасает от краж.
В лучшем случае вы увидеть людей которые вас ограбили. И то, время идиотов, которые идут «на дело» и подымают морду во все камер вроде как прошло. Поэтому в результате у вас будет «два силуэта в спортивных коспьюмах с балаклавами на лице утащили мой телевизор 22.07 в 01:32»
Если вы планируете уехать и оставить дом «в одиночку» защищенный видеокамерами результат будет такой же как если вместо камер поставить просто муляжи. Нужно понимать, что видеонаблюдение это просто «датчик» для реакции службы физической охраны. Нету службы, нет охраны.
Поэтому имеет смысл заключить договор с ЧОПом на охрану дома и дать им доступ к видео.
2. Расположение камер.
Наиболее вероятные пути проникновения злоумышлеников — двери, окна, ворота. На эти точки имеет смысл ставить узконаправленные камеры, которые бы позволяли идентифицировать человека по лицу. Дальше по периметру можно ограничится несколькими широкоугольными камерами типа рыбий глаз для контроля обстановки.
3. Что и как пишем. Писать FullHD видео нужно очень много места. Поэтому можно делать так, писать в максимальном разрешение но с частотой 4 к/с. Этого хватает, даже для того, чтобы увидить что кассир не додал денег клиенту. Не говоря уже об идентификации клиента. Для входных зон с расположением субъектов в радиусе 5-10 метров хватит разрешения в 1Мегапиксель, но больше лучше.
4. Хранение видео. Мало того, что вы пишете, нужно понять солько вам это хранить. Понятно чем дольше тем лучше, но на это не всегда есть деньги. Поэтому время хранения лучше брать примерно месяц, или на срок в течение которого вас не будет дома.
5. Видеоаналитика. Предположим вы приехали домой и вам Хочеться посмотреть все ли было хорошо. Для этих целей у вас как минимум должна быть система позволяющая просматривать видео вперед-назад в ускоренном режиме (не все китайцы это умеют).
6. Защита видеозаписей. Если будут грабить то скорее всего будут искать видеорегистратор, его лучше засунуть как можно дальше. При этом, желательно настройить систему тревожных кадров, которая бы отправляла в облачное хранилище событийные кадры (приехала машина, прошел человек и т.д.) или хотябы кадры по расписанию.
7. Цифра или анлог. Аналог отмирает (правда медленно) вкладывать в него деньги, пусть это даже кажется небольшие смысла не имеет. При этом, если у вас всего одна камера, с записью на SD-карту то она будет дешевле чем аналоговая камера и видеорегистратор. Все равно в итоге ваши видео превратится в цифру, либо на видеокамере либо на видеорегистраторе.
8. Только не WiFi! Ни в коем случае не надо ставить WiFi камеры для охраны. В силу протокола WiFi они глушатся даже с мобильника.
9. Синхронизация по времени. Все ваши видеозаписи должны проставляться метками времени, а сами метки должны быть временем желательно чтобы был понятен в том числе и часовй пояс. Если на двух камерах смотрящих в одно место стоит разно время — суд скорее всего не примет эти записи.
10. Доступ к видео. Желательно продумать возможность on-line доступа к просмотру данных с камер. Чтоб зашел глянул и на душе было спокойно.
Интересная статья, но складывается ощущение что намешано все в одну кучу, а критерии сравнения выбраны из всех существующих железок. Сложно представить ГОСТ VPN + DLP в одном флаконе, ибо нафига? Поэтому было бы более корректно убрать NGWF из названия а говорить о просто о выборе устройств сетевой безопасности. В остальном практически все правда.
Хотел бы поделиться собственным опытом внедрения IPS.
В реальности ожидания и возможности существующих IPS разнятся как небо и земля.
Заказчики воспринимают IPS как некий сетевой антивирус, который поставил забыл, а он тебе хакеров гоняет, но это далеко не так, с IPS-сом нужно реально постоянно возится более того, существующие системы ловят довольно мало атак,
На пилоте (для себя) проводил следующий тест. Взял железку за несколько десятков килобаксов (импортную с сертификатом ФСТЭК) и подключил ее в разрыв между компом-жертвой и остальной сетью. Обновил сигнатуры и все их активировал. На жертве поставил Windows XP без обновлений + Damn Vulnerable Web App + WireShark (для того, чтобы смотреть что получится), дальше были следующие тесты
1. ARP poioning жертвы — атака прошла
2. SQL-inj и другие типовые атаки DVWA — все атаки прошли
3. TCP Syn flood (атака прошла)
4. HTTP Slow lories (атака прошла)
5. metasplote MS08_067 эксплойт (атака не прошла).
В результате тестов обнаружились следующие ложные срабатывания:
1. Авторизация с жертвы в домне проходила только с 6 раза
2. Печать на сетевых принтерах стала полностью невозможной.
Наверно, железку и правила можно было запилить так, чтоб все было хорошо, но этим надо заниматься и заниматься постоянно. Для небольших компаний более предпочтительными будет качественный аутсорс подобных услуг нежели покупка девайса. Для тех кто хочет все сам к каждой такой железке нужно будет брать на работу инженера.
Мы же для себя решили отказать от коммерческих IPS в пользу open source. Ведь если и с тем и с другим надо одинаково возится то зачем тогда отдавать килобаксы?
Почему он должен противоречить закону? В договоре как раз и прописывают все нюансы в мельчайших подробностях, но делают это в своих операторских интересах, а мы с вами подобные договоры (услуг связи / банковского счета и т.д.) подписываем и принимаем в полном объеме.
Противоречить закону, например, будет договор об отчуждении права авторства (не путать с исключительным правом) над литературным произведением, поскольку по закону данное право не отчуждаемо. Такой договор действительно будет СУДом признан как ничтожный.
Растениям нужен свет для них это как еда для нас. На «экономичных» лампах дневного света вырастит тоже экономично, а вернее ничего. Кто не верит посмотрите про промышленные теплицы и какой свет там используется многое станет ясным.
Робо-ферма за 230к$… в Российской действительности, когда сельским хозяйством занимаются люди с оплатой в районе МРОТ на эти деньги несколько десятилетий будем работтать целый колхоз, труд которого сможет прокормить средний Российский город.
На текущий момент, это все интересно только с академической точки зрения, до тех пор пока не найдется дешевых источников освещения и отопления. Подобные фермы будут иметь смысл только в районах где завоз свежей продукции дорог или недоступен, либо когда за свежую зелень люди готовы переплачивать.
Вы теперь знаете куда копать и если будете на выходе вашего шифратора получать устойчивый белый шум, качество которого будет одинаковым вне зависимости от открытого текста и ключевой информации напишите об этом.
Получая закрытый ключ из пароля, а затем открытый ключ из закрытого мы имеем своеобразный аналог псевдо-хэш функции, вида F(пароль)=открытый ключ,
А следовательно на нее будут распространятся атаки справедливые атакам на системы аутентификации использующие чистый хэш.
Пример 1. Хакер Али, сделал себе пароль «qwerty», получил хэш «0xAABB», дальше он крадет таблицу с открытыми ключами пользователей и ищет строки «0xAABB». Дальше думаю понятно
Пример 2. Хакер Зина, украла таблицу с открытыми ключами. У нее есть pre-computed таблицы (например, rainbow table) вида пароль-открытый ключ, где вместо хэш функции используется функция получения открытого ключа по хэшу. Дальше классическая атака через pre-computed таблицы.
Пример 3. Хакер Джэк является MiTM. При авторизации он подменяет scramble идущий от сервера на свой. У Джека есть pre-computed таблица вида свой свой исходный пароль — подписанный scrumble. Дальше аналогично (2).
Таким образом фундаментальной проблемой схемы является генерация ключей на базе «чистых паролей пользователей». Для ее устранения подобных проблем в схему нужно добавлять случайность — соль для каждого пароля.
Алгоритмы есть в свободном доступе, они сертифицированы, по ним работает, например вся банковская система России, доверие к ним есть.
Если вы упомянули банки и их запросы, то для них более спокойно было бы если вы использовали какой-либо сертифицированный / стандартизованный / рекомендованный алгоритм.
Глубокого вдаваться в теорию не буду, но основной смысл шифрования это преобразование «разумного» текста в белый шум или набор случайных чисел.
Самый простой тест — возьмите текст, зашифруйте вашим способом, а потом попробуйте скормить архиватору — если текст жмется значит качество результирующего материала плохое. Тут конечно могут быть нюансы с кодировками и т. д. Поэтому проверять лучше на двоичных данных.
Второй тест. Возьмите тест состоящий из одинаковых символов и зашифруйте. Затем возьмите исходный текст. поменяйте в нем один символ и снова зашифруте. Сравните результаты. Если тексты отличают минимально, значит с шифрованием проблемы.
Если все хорошо, можно исследовать дальше свой шифр с помощью тестов NIST для генераторов случайных чисел
Если закрыть этот «баг» то завершение сеансов неквалифицированных пользователей, которые не закрывают RDP-сессии превратиться в сущий ад. Кто не в теме, просто дропать сеансы не всегда можно, там может потребоватьcя еще сохранить мегаважный Excel.
С точки зрения безопасности, доводы не убедительный. В случае компрометации админа или SYSTEM злоумышленики смогут сделать все тоже а даже больше другими инструментами.
Microsoft, пожалуйста, не латай этот «баг» :)
Чтобы избежать конфликта интересов должна быть независимая организация устанавливающая требования и проверяющая удостоверяющие центры, возможно даже при ООН или IEEE или аналогичной организации, а производители браузеров должны будут ей подчинятся.
И именно ее результаты ее проверок должны иметь вес. Не исключаю что Symantec сильно накосячил, но подобный подход создает не хороший прецедент. Когда одна компания с высокой долей рынка начинает оказывать давление на другую.
Знакомо до боли. В России этим грешат сплошь и рядом, в том числе, для систем, обрабатывающих информацию на миллиарды рублей.
Есть ряд вопросов:
1) Предположим есть человек, его колбасит, скажем боязнь потерять работу. На работе сокращения всем дали 90-дневные уведомления. Он понимает что волноваться не надо, но не может ничего с собой поделать. Он идет к вам, вы с ним работаете он перестает боятся. Начальство смотрит, чел. спокоен значит уверен в себе и найдет работу и его соответственно увольняют… Какие последствия происходят, если страх от которого человек лечился реализовывается?
2) В чем цель применения фармакологии? Могут ли аналогичный эффект дать наркотики или алкоголь?
3) Как психотерапевты лечат других психотерапевтов?
Молодцы, что рассказали как все было, аналогичная проблема может быть у любой ИТ-компании.
Является устройство специальным техническим средством предназначенным для негласного съема информации (СТС, или в простанородье жучком) или нет определяет экспертиза во время разбирательств.
Пример, вы купили радионяню для контроля за дитем — все гуд. Туже саму радионяню используете для слежки за боссом — статья.
Есть устройства однозначно классифицируемые как СТС — например, камеры тип pin-hole.
Правовые особенности использования видеонаблюдения «размазаны» по действующему законодательству. По мимо указанной вами статьи, есть как минимум 152-ФЗ «О перс. данных», ГК РФ ст. 152.1, ст 137 УК РФ.
1. Зачем перехваченные сообщения писать в БД?
— Это как минимум увеличит затраты на хранение данных, поскольку место отъедаемое СУБД под хранения BLOB (например, для перехваченного VoIP звонка) всегда больше чем сам BLOB.
— А также не дает возможность (вернее сильно усложняет) применения внешнего сжатия, например банального архивирования перехваченных текстовых данных.
2. Есть ли опыт использования NoSQL решения для этих целей?
Существуют апологеты от разработчиков SIEM, которые утверждают что для SIEM SQL это зло.
В DLP хранимых данных очевидно меньше будет чем в SIEM, но если говорить о масштабируемости то мысль может быть и правильная.
НО зато это очень хорошо помогает решить проблему в «до судебном порядке».
1. Видеонаблюдение для частного дома само по себе не спасает от краж.
В лучшем случае вы увидеть людей которые вас ограбили. И то, время идиотов, которые идут «на дело» и подымают морду во все камер вроде как прошло. Поэтому в результате у вас будет «два силуэта в спортивных коспьюмах с балаклавами на лице утащили мой телевизор 22.07 в 01:32»
Если вы планируете уехать и оставить дом «в одиночку» защищенный видеокамерами результат будет такой же как если вместо камер поставить просто муляжи. Нужно понимать, что видеонаблюдение это просто «датчик» для реакции службы физической охраны. Нету службы, нет охраны.
Поэтому имеет смысл заключить договор с ЧОПом на охрану дома и дать им доступ к видео.
2. Расположение камер.
Наиболее вероятные пути проникновения злоумышлеников — двери, окна, ворота. На эти точки имеет смысл ставить узконаправленные камеры, которые бы позволяли идентифицировать человека по лицу. Дальше по периметру можно ограничится несколькими широкоугольными камерами типа рыбий глаз для контроля обстановки.
3. Что и как пишем. Писать FullHD видео нужно очень много места. Поэтому можно делать так, писать в максимальном разрешение но с частотой 4 к/с. Этого хватает, даже для того, чтобы увидить что кассир не додал денег клиенту. Не говоря уже об идентификации клиента. Для входных зон с расположением субъектов в радиусе 5-10 метров хватит разрешения в 1Мегапиксель, но больше лучше.
4. Хранение видео. Мало того, что вы пишете, нужно понять солько вам это хранить. Понятно чем дольше тем лучше, но на это не всегда есть деньги. Поэтому время хранения лучше брать примерно месяц, или на срок в течение которого вас не будет дома.
5. Видеоаналитика. Предположим вы приехали домой и вам Хочеться посмотреть все ли было хорошо. Для этих целей у вас как минимум должна быть система позволяющая просматривать видео вперед-назад в ускоренном режиме (не все китайцы это умеют).
6. Защита видеозаписей. Если будут грабить то скорее всего будут искать видеорегистратор, его лучше засунуть как можно дальше. При этом, желательно настройить систему тревожных кадров, которая бы отправляла в облачное хранилище событийные кадры (приехала машина, прошел человек и т.д.) или хотябы кадры по расписанию.
7. Цифра или анлог. Аналог отмирает (правда медленно) вкладывать в него деньги, пусть это даже кажется небольшие смысла не имеет. При этом, если у вас всего одна камера, с записью на SD-карту то она будет дешевле чем аналоговая камера и видеорегистратор. Все равно в итоге ваши видео превратится в цифру, либо на видеокамере либо на видеорегистраторе.
8. Только не WiFi! Ни в коем случае не надо ставить WiFi камеры для охраны. В силу протокола WiFi они глушатся даже с мобильника.
9. Синхронизация по времени. Все ваши видеозаписи должны проставляться метками времени, а сами метки должны быть временем желательно чтобы был понятен в том числе и часовй пояс. Если на двух камерах смотрящих в одно место стоит разно время — суд скорее всего не примет эти записи.
10. Доступ к видео. Желательно продумать возможность on-line доступа к просмотру данных с камер. Чтоб зашел глянул и на душе было спокойно.
Хотел бы поделиться собственным опытом внедрения IPS.
В реальности ожидания и возможности существующих IPS разнятся как небо и земля.
Заказчики воспринимают IPS как некий сетевой антивирус, который поставил забыл, а он тебе хакеров гоняет, но это далеко не так, с IPS-сом нужно реально постоянно возится более того, существующие системы ловят довольно мало атак,
На пилоте (для себя) проводил следующий тест. Взял железку за несколько десятков килобаксов (импортную с сертификатом ФСТЭК) и подключил ее в разрыв между компом-жертвой и остальной сетью. Обновил сигнатуры и все их активировал. На жертве поставил Windows XP без обновлений + Damn Vulnerable Web App + WireShark (для того, чтобы смотреть что получится), дальше были следующие тесты
1. ARP poioning жертвы — атака прошла
2. SQL-inj и другие типовые атаки DVWA — все атаки прошли
3. TCP Syn flood (атака прошла)
4. HTTP Slow lories (атака прошла)
5. metasplote MS08_067 эксплойт (атака не прошла).
В результате тестов обнаружились следующие ложные срабатывания:
1. Авторизация с жертвы в домне проходила только с 6 раза
2. Печать на сетевых принтерах стала полностью невозможной.
Наверно, железку и правила можно было запилить так, чтоб все было хорошо, но этим надо заниматься и заниматься постоянно. Для небольших компаний более предпочтительными будет качественный аутсорс подобных услуг нежели покупка девайса. Для тех кто хочет все сам к каждой такой железке нужно будет брать на работу инженера.
Мы же для себя решили отказать от коммерческих IPS в пользу open source. Ведь если и с тем и с другим надо одинаково возится то зачем тогда отдавать килобаксы?
Противоречить закону, например, будет договор об отчуждении права авторства (не путать с исключительным правом) над литературным произведением, поскольку по закону данное право не отчуждаемо. Такой договор действительно будет СУДом признан как ничтожный.