Russia considers 'unplugging' from internet

[StrangerR]

Наверное вам известно что самые безопасные системы тратят не менее 90% ресурсов на безопасность?

Сказочник вы наш. Процентов 5 от силы.

(если что я раз в неделю с аудитором по 3 - 4 часа мининг провожу, как раз на эту тему).

[alex_127]

Наверное вам известно что самые безопасные системы тратят не менее 90% ресурсов на безопасность?

Сказочник вы наш. Процентов 5 от силы.

(если что я раз в неделю с аудитором по 3 - 4 часа мининг провожу, как раз на эту тему).

мининг: я прошу прощения: это как? и кто?

[Flash-04]

Наверное вам известно что самые безопасные системы тратят не менее 90% ресурсов на безопасность?

Сказочник вы наш. Процентов 5 от силы.

(если что я раз в неделю с аудитором по 3 - 4 часа мининг провожу, как раз на эту тему).

CISSP сдайте, там об этом есть упоминание, что системы класса "А" (они только в теории существуют) как раз столько и должны тратить.
Насчет ресурсов, ха-ха! Я смотрю по росту бюджета нашего департмента. За 10 лет - в 10 раз больше стал, и конца этому не видно.

В теории можно построить чрезвычайно надёжные и защищенные системы - надо просто после каждого чиха запускать проверки на интегрити всего чего есть - код, данные, делать reconciliation. Легко понять, что это - очень дорого, поэтому никто так не делает. Я часто встречаюсь с ситуациями когда взимодействуют несколько систем, и часто там пробел в логике - молчаливо подразумевается, что какой-то шаг сделан правильно, и проверки нет. А она нужна! И таких мест... мама не горюй.

[Flash-04]

(если что я раз в неделю с аудитором по 3 - 4 часа мининг провожу, как раз на эту тему).

очень Вам сочувствую. Я как-то их избегаю

[StrangerR]

Наверное вам известно что самые безопасные системы тратят не менее 90% ресурсов на безопасность?

Сказочник вы наш. Процентов 5 от силы.

(если что я раз в неделю с аудитором по 3 - 4 часа мининг провожу, как раз на эту тему).

CISSP сдайте, там об этом есть упоминание, что системы класса "А" (они только в теории существуют) как раз столько и должны тратить.
Насчет ресурсов, ха-ха! Я смотрю по росту бюджета нашего департмента. За 10 лет - в 10 раз больше стал, и конца этому не видно.

В теории можно построить чрезвычайно надёжные и защищенные системы - надо просто после каждого чиха запускать проверки на интегрити всего чего есть - код, данные, делать reconciliation. Легко понять, что это - очень дорого, поэтому никто так не делает. Я часто встречаюсь с ситуациями когда взимодействуют несколько систем, и часто там пробел в логике - молчаливо подразумевается, что какой-то шаг сделан правильно, и проверки нет. А она нужна! И таких мест... мама не горюй.

CISSP у аудитора есть, мне то он зачем.

И суть ведь не в защите. Как я когда то на лекции для администрации президента РФ говорил, _защита не проблема - взяли сейф положили туда заперли компьютер и идеально защищен_. Проблема в _обеспечить доступ_, чем больше доступа тем сложнее. В теории надежные системы строить легко и просто, но гемморойно, так как например для начала нужно чтобы все девелоперы прошли скрининг, не было доступа к коду у девелоперов из например Индии, нужны ревью кода, и прочее прочее... В разработке да, нужно вкладываться. Сами же системы после этого выходят не такие уж и сложные, а уж простейшие вещи резко увеличивают безопасность - скажем у нас довольно много торчит наружу веб интерфейсов для разных там тестировщиков или девелоперов, но... вот ведь странно, сетевые сканеры их в упор не могут найти... угадайте почему. И такого много.

Тем паче дырки чаще не в этом а _маленький мальчик тьфу большой дядя нашел пулемет тьфу аттачмент... больше в деревне никто не живет... тьфу, хакеры в офисе резвятся..._

очень Вам сочувствую. Я как-то их избегаю

Я избегал но в итоге сотворилась такая гора чуши, что я выделил половину одного дня на _только этим и заниматься_ и обычно занимаюсь _объяснением истин аудиторше_ хотя по разному бывает (жена спросила, когда я из дома это делал, _с кем это ты так ругался?_)

[geek7]

Деньги не распилить а инвестировать. Итогом будет улучшенная безопасность. И при чем тут КНДР?

хотели сделать чебурнет и случайно улучшили безопастность? с чего бы?
если бы цель была - безопастность, так и занимались бы непосредственно ей: всякие стандарты вводили типа обязательный пенетрейшен-тест всех новых систем 3-сторонними компаниями, трейнинг по безопастности всех от президентов до секретарш (чтоб на фишинг не велись), мониторинг трафика итп. НО заявленно совсем другое и почему Вы ожидаете такого странного сайдэффекта совершенно непонятно
КНДР при том что там сейчас лучшая "безопастность" интернета чучхенета от всякого вражеского влияния

[StrangerR]

Заявлено очень логичное - сервисы должны работать независимо от того, есть связь с США или нет. Совершенно правильный первый шаг. То что кучу чуши добавят, безусловно, куда без этого. Да и денег на все это практически не требуется.

[geek7]

Заявлено очень логичное - сервисы должны работать независимо от того, есть связь с США или нет. Совершенно правильный первый шаг. То что кучу чуши добавят, безусловно, куда без этого.

при чём тогда именно США? вот стоит в фирме сетка... должна ли она продолжать работать если экскаватер во дворе зачёрпнёт кабель до ростелекома?
и зачем для этого

Инициатива также предусматривает установку на сетях связи «технических средств, определяющих источник передаваемого трафика» с возможностью «ограничить доступ к ресурсам с запрещенной информацией».

Да и денег на все это практически не требуется.

ха, на то чтобы ,например, дистрибутив линукса переименовать/ребренднуть тоже денег "практически не требуется"...

[StrangerR]

Заявлено очень логичное - сервисы должны работать независимо от того, есть связь с США или нет. Совершенно правильный первый шаг. То что кучу чуши добавят, безусловно, куда без этого.

при чём тогда именно США? вот стоит в фирме сетка... должна ли она продолжать работать если экскаватер во дворе зачёрпнёт кабель до ростелекома?
и зачем для этого

Инициатива также предусматривает установку на сетях связи «технических средств, определяющих источник передаваемого трафика» с возможностью «ограничить доступ к ресурсам с запрещенной информацией».

Да и денег на все это практически не требуется.

ха, на то чтобы ,например, дистрибутив линукса переименовать/ребренднуть тоже денег "практически не требуется"...

На первый вопрос - да, например принтеры должны работать и локальный файл сервер тоже. На второй, да, это все копейки, а технические средства давным давно стоят, вспомним СОРМ (и судя по отсутствию терактов, свою задачу выполняют неплохо).

[Flash-04]

И суть ведь не в защите. Как я когда то на лекции для администрации президента РФ говорил, _защита не проблема - взяли сейф положили туда заперли компьютер и идеально защищен_. Проблема в _обеспечить доступ_, чем больше доступа тем сложнее. В теории надежные системы строить легко и просто, но гемморойно, так как например для начала нужно чтобы все девелоперы прошли скрининг, не было доступа к коду у девелоперов из например Индии, нужны ревью кода, и прочее прочее... В разработке да, нужно вкладываться. Сами же системы после этого выходят не такие уж и сложные, а уж простейшие вещи резко увеличивают безопасность - скажем у нас довольно много торчит наружу веб интерфейсов для разных там тестировщиков или девелоперов, но... вот ведь странно, сетевые сканеры их в упор не могут найти... угадайте почему. И такого много.

ага, много таких "мелочей" которые кумулятивно создают нехилый головняк.

сетевые сканеры их в упор не могут найти... угадайте почему

потому что сканеры тупые
но вы бы на это не надеялись, в итоге на вашу "гайку с левой резьбой" найдется не менее хитрый болт
на практике я вижу как умненькие ребятки находят "дырки" о которых никакие сканеры не знают. А потом всему департменту на несколько месяцев аврал. Ask me how I know (c)

Если вы думаете что в вашу сеть ещё никто не проник, проверьте ещё раз

[StrangerR]

Сканеры не находят потому что если не выдать имя, то кроме тупой пустой страницы ничего не получишь, а имя угадать в этих случаях невозможно (да и угадав, еще и пароль спросит причем не приложения а самого прокси, так что дубовыеп девелоперы которые запросто могут и пароль 1234 куда нибудь влепить ничего не испортят). И обратного PTR нету. У нас стоит NIDS и HIDS и после того как все перевели на эту технологию, сообщения о _попытках взлома или сканирования_ с самих аппликейшенов упали до практически полного нуля.

Но не в том дело. Я согласен что секьюрити это сложнейшая комплексная вещь, просто надо всегда смотреть секьюрити в контексте доступа - в конце концов обеспечить секьюрити в тюрьме (куда никому в общем то не нужно) проще чем в аэропорту (где сотни тыс человек за день надо обеспечить доступом), так и в сети - если нужен доступ для 5 рыл сидящих где то в одном месте, это одна задача, если нужно чтобы каждый в мире мог зарегистрировать себе аккаунт создать например VM и играть с ней - абсолютно другая задача.

В контексте темы - я припоминаю кстати что _работа офиса при отклчении от сети_ ажно тестировалась а точнее обсуждалась так как граблей там немерянно лежит (а опыт получения сети после слияния и нахождения там десятка граблей у нас уже был). Так чт вопрос того чтобы национальная сеть нормально работала независимо от состояния сети в США - очень правильно поставлен и хорошо что им занялись.

[geek7]

В контексте темы - я припоминаю кстати что _работа офиса при отклчении от сети_ ажно тестировалась а точнее обсуждалась так как граблей там немерянно лежит (а опыт получения сети после слияния и нахождения там десятка граблей у нас уже был). Так чт вопрос того чтобы национальная сеть нормально работала независимо от состояния сети в США - очень правильно поставлен и хорошо что им занялись.

и поставлен идиотски и займутся им ещё хуже. не говоря о том, что Вы настойчиво игнорируете тот факт что задача ставится другая - мониторить и закрывать трафик, дибильная отмазка "а если запад нас отключит" тут откровенно для вида

[Flash-04]

Сканеры не находят потому что если не выдать имя, то кроме тупой пустой страницы ничего не получишь, а имя угадать в этих случаях невозможно (да и угадав, еще и пароль спросит причем не приложения а самого прокси, так что дубовыеп девелоперы которые запросто могут и пароль 1234 куда нибудь влепить ничего не испортят). И обратного PTR нету. У нас стоит NIDS и HIDS и после того как все перевели на эту технологию, сообщения о _попытках взлома или сканирования_ с самих аппликейшенов упали до практически полного нуля.

на практике web-приложения ломают через довольно нетривиальные вещи используя дыры в логике и прочие уязвимости фреймворков о которых мало кто думает в принципе.
мне кстати непонятно, что это у вас за web-приложения, которые смотрят наружу и при этом требуют для доступа чтобы только показать страничку credentials? если это чтото внутреннее - лучше вообще закрыть наружу и ходить через VPN, а если это public service, то это странный метод защиты.

[Flash-04]

вспомним СОРМ (и судя по отсутствию терактов, свою задачу выполняют неплохо).

ой, как я это пропустил то?!
знаете такую организацию - TSA? является предметов постоянной критики и подколов со стороны многих экспертов (без кавычек) по безопасности, включая Брюса Шнайера.
В аэропортах можно видеть плакаты-хвалилки TSA сколько всякой фигни они нашли за время своей работы. Вот только за это время они не поймали ни одного(!) террориста. Означает что их меры эффективны против террористов? Они именно так и считают. А вот эксперты считают ровно наоборот. Давайте анекдот в тему расскажу:

[vbr]

Означает что их меры эффективны против террористов?
Нет, не означает. Впрочем, обратного тоже не означает.
Давненько я не слышал/не читал выражения - it's a free country. Означает ли это, что времена меняются ?

[Flash-04]

Означает что их меры эффективны против террористов?
Нет, не означает. Впрочем, обратного тоже не означает.

https://www.schneier.com/essays/archive ... y_and.html

There are two basic kinds of terrorists. The are the sloppy planners, like the guy who crashed his plane into the Internal Revenue Service building in Austin. He's going to be sloppy and stupid, and even pre-9/11 airplane security is going to catch him. The second is the well-planned, well-financed, and much rarer sort of plot. Do you really expect the T.S.A. screeners, who are busy confiscating water bottles and making people take off their belts -- and now doing uncomfortable pat-downs -- to stop them?
Of course not. Airport security is the last line of defense, and it's not a very good one. What works is investigation and intelligence: security that works regardless of the terrorist tactic or target. Yes, the target matters too; all this airport security is only effective if the terrorists target airports. If they decide to bomb crowded shopping malls instead, we've wasted our money.

That being said, airplanes require a special level of security for several reasons: they're a favored terrorist target; their failure characteristics mean more deaths than a comparable bomb on a bus or train; they tend to be national symbols; and they often fly to foreign countries where terrorists can operate with more impunity.

But all that can be handled with pre-9/11 security. Exactly two things have made airplane travel safer since 9/11: reinforcing the cockpit door, and convincing passengers they need to fight back. Everything else has been a waste of money. Add screening of checked bags and airport workers and we're done. Take all the rest of the money and spend it on investigation and intelligence.

[vbr]

Означает что их меры эффективны против террористов?
Нет, не означает. Впрочем, обратного тоже не означает.

https://www.schneier.com/essays/archive ... y_and.html

There are two basic kinds of terrorists. The are the sloppy planners, like the guy who crashed his plane into the Internal Revenue Service building in Austin. He's going to be sloppy and stupid, and even pre-9/11 airplane security is going to catch him. The second is the well-planned, well-financed, and much rarer sort of plot. Do you really expect the T.S.A. screeners, who are busy confiscating water bottles and making people take off their belts -- and now doing uncomfortable pat-downs -- to stop them?
Of course not. Airport security is the last line of defense, and it's not a very good one. What works is investigation and intelligence: security that works regardless of the terrorist tactic or target. Yes, the target matters too; all this airport security is only effective if the terrorists target airports. If they decide to bomb crowded shopping malls instead, we've wasted our money.

That being said, airplanes require a special level of security for several reasons: they're a favored terrorist target; their failure characteristics mean more deaths than a comparable bomb on a bus or train; they tend to be national symbols; and they often fly to foreign countries where terrorists can operate with more impunity.

But all that can be handled with pre-9/11 security. Exactly two things have made airplane travel safer since 9/11: reinforcing the cockpit door, and convincing passengers they need to fight back. Everything else has been a waste of money. Add screening of checked bags and airport workers and we're done. Take all the rest of the money and spend it on investigation and intelligence.

Занимательно.

[geek7]

Сканеры не находят потому что если не выдать имя, то кроме тупой пустой страницы ничего не получишь, а имя угадать в этих случаях невозможно (да и угадав, еще и пароль спросит причем не приложения а самого прокси, так что дубовыеп девелоперы которые запросто могут и пароль 1234 куда нибудь влепить ничего не испортят). И обратного PTR нету. У нас стоит NIDS и HIDS и после того как все перевели на эту технологию, сообщения о _попытках взлома или сканирования_ с самих аппликейшенов упали до практически полного нуля.

на практике web-приложения ломают через довольно нетривиальные вещи используя дыры в логике и прочие уязвимости фреймворков о которых мало кто думает в принципе.
мне кстати непонятно, что это у вас за web-приложения, которые смотрят наружу и при этом требуют для доступа чтобы только показать страничку credentials? если это чтото внутреннее - лучше вообще закрыть наружу и ходить через VPN, а если это public service, то это странный метод защиты.

+1

[StrangerR]

Сканеры не находят потому что если не выдать имя, то кроме тупой пустой страницы ничего не получишь, а имя угадать в этих случаях невозможно (да и угадав, еще и пароль спросит причем не приложения а самого прокси, так что дубовыеп девелоперы которые запросто могут и пароль 1234 куда нибудь влепить ничего не испортят). И обратного PTR нету. У нас стоит NIDS и HIDS и после того как все перевели на эту технологию, сообщения о _попытках взлома или сканирования_ с самих аппликейшенов упали до практически полного нуля.

на практике web-приложения ломают через довольно нетривиальные вещи используя дыры в логике и прочие уязвимости фреймворков о которых мало кто думает в принципе.
мне кстати непонятно, что это у вас за web-приложения, которые смотрят наружу и при этом требуют для доступа чтобы только показать страничку credentials? если это чтото внутреннее - лучше вообще закрыть наружу и ходить через VPN, а если это public service, то это странный метод защиты.

Прокси который прокидывает на сайт только по site name, то есть если

https://64.25.44.75/
ввести то получишь фиг с маслом, а для попадания на сайт нужно ввести

https://site-number-one.company.org/app-epb/

(к примеру, все выдумано). А узнать site-number-one.company.org имя неоткуда да и app-epb тоже. Поэтому все сканеры сетевые пролетают как фанера над парижем, а индус тестер открывает по имени и попадает... на логин прокси он попадает для начала... Нет, естественно к этому там где можно еще и ACL прилагаются чтобы сканеры вообще отрезать но есть _прожекты_ в которых запрашивают _доступ со всего мира, наши тестеры работают из дому..._ и приходится открывать... Там еще много других заморочек накручено, но это самая простая и как не странно крайне эффективная. Один прокси держит до 20 - 50 сайтов... (тестовые системы обычно, прокси по проектам раскиданы и по DMZ которых тоже много десятков). Естественно, на дырки во фреймворке тоже сканеры напускаются, наши уже (они то знают куда ходить) но это уже у разработчиков, ну и анализаторы текстов вплоть до каких то хитрожопых.

(VPN-ы то бишь SSTP, L2TP и прочее тоже есть в товарных количествах, но это более замороченный способ и если нужно просто чтобы 10 индусов могли тыкать в 20 клавиш то используется паблик реверс прокси).

[Flash-04]

security via obfuscation - ненадежный метод. выложит завтра ваш индус-тестер все эти имена в public github, и вуа-ля.

[Flash-04]

Занимательно.

достаточно тривиально на самом то деле, если смотреть на безопасность через призму "risk management" и учитывая затраты на различные меры безопасности одновременно оценивая их эффективность.

[vbr]

Занимательно.

достаточно тривиально на самом то деле, если смотреть на безопасность через призму "risk management" и учитывая затраты на различные меры безопасности одновременно оценивая их эффективность.

... и если забыть о free country.

[Flash-04]

это здесь причем?

[vbr]

это здесь причем?

Вспоминаем Patriotic Act.

[Flash-04]

он ограничивает вашу свободу слова?

a country where the government does not control what people say or do for political reasons and where people can express their opinions without punishment