У Ники Кейса есть классная игра примерно на эту тему, которая наглядно показывает, например, какой должна быть структура социальных связей, чтобы толпа могла проявить свою мудрость вместо формирования информационных пузырей.
Контроллер домена он искал, видимо, тоже со своего линуксового ноута, чтобы не вводить лишних команд на рабочем компе (см. предыдущий абзац про парольную политику).
Согласен, автор не открывает Америку. Просто мне понравилась забавная аналогия с пиратами и ниндзя, которая, думаю, поможет запомнить разницу между пентестом и редтимингом тем, кто не имеет с ними дела на постоянной основе.
Насчёт реальности Вы тоже правы: она параллельная, конкретно — американская. Там, видимо — так. И медицинская информация охраняется, судя по всему, в соответствии с отдельными законами, а не как частный случай персональных данных, как в российской действительности.
Предполагаю, что автор на втором конце кабеля имитирует клавиатуру и засылает в айфон длинную строку, как будто пользователь ввёл пароль длиной не 4 символа, а 4.000 символов. Уязвимость в том, что смартфон бьёт эту строку на куски по 4 символа и каждый из них воспринимает как отдельный пароль. При этом не происходит увеличения счётчика попыток ввода пароля, как при использовании тач-скрина.
Не думаю, что при этом есть какое-то ограничение на «размер буфера». Но сам Мэтью признаётся, что не пробовал передать полный набор 6-значных паролей.
Речь, как Вы можете убедиться, взглянув на оригинал, конечно, идёт о вендорах. Мне тоже эта фраза не очень понравилась, но ничего лучше и понятнее придумать не получилось. Подскажите, как Вы её видите?
Тут согласен. И хотя я также скептически отношусь к продаже мнений «экспертов» в виде красивых сертификатов в качестве подтверждений чего бы то ни было, в части ИБ альтернатив не так чтобы много. Участие в багбаунти и конференциях, да, пожалуй, и всё, что можно сходу вспомнить. Нам всем как безопасникам сто́ит крепко подумать в этом направлении.
всегда можно ошибиться и что-то не учесть
А вот тут не соглашусь. Не в том смысле, что нет места ошибкам, конечно. А в том, что инструкции и регламенты от этого не защитят. Они нужны, когда деятельность лишена творческой составляющей. Там люди вынуждены действовать, как роботы, «на автомате». И чтобы они не отвлекались на мыслительную деятельность, для них составлены инструкции, и реализован контроль их исполнения. Такая деятельность, я очень надеюсь, рано или поздно будет автоматизирована. Но ИБ при всей «техноёмкости» всё-таки находится в контексте человеческих отношений, а значит предполагает творческую и интеллектуальную составляющую в работе. Бумажки не могут отразить всё многообразие и динамичность этой сферы, а ошибки скорее будут спокойно жить в формально соответствующей всем требованиям среде, чем там, где люди вынуждены постоянно думать о текущем состоянии инфраструктуры, рисках и угрозах.
Согласен с reskator, нужно исходить из модели угроз и потребностей бизнеса. Если объективной необходимости использования съемных носителей не было, тогда, конечно, можно блокировать. А если была, тогда пляшем от модели угроз. Если мы защищаемся от «общего вредоносного фона», то достаточно установить антивирус и выполнить рекомендации по базовой защите рабочего места (права доступа, бэкапы, патчменеджмент и т.д.). Если мы видим себя мишенью APT с недетектируемой малварью, это уже другая песня с выделенными рабочими местами для работы с флешками, проверкой целостности и прочими прелестями.
Но всё это предполагает деятельность мыслительную. А вот тупое следование инструкциям — просто деятельность (и её имитацию). Второй путь, разумеется, проще. Особенно для тех «безопасников», которые после муштры силовых структур пришли доживать свой век в корпорации.
Насчёт реальности Вы тоже правы: она параллельная, конкретно — американская. Там, видимо — так. И медицинская информация охраняется, судя по всему, в соответствии с отдельными законами, а не как частный случай персональных данных, как в российской действительности.
Не думаю, что при этом есть какое-то ограничение на «размер буфера». Но сам Мэтью признаётся, что не пробовал передать полный набор 6-значных паролей.
Тут согласен. И хотя я также скептически отношусь к продаже мнений «экспертов» в виде красивых сертификатов в качестве подтверждений чего бы то ни было, в части ИБ альтернатив не так чтобы много. Участие в багбаунти и конференциях, да, пожалуй, и всё, что можно сходу вспомнить. Нам всем как безопасникам сто́ит крепко подумать в этом направлении.
А вот тут не соглашусь. Не в том смысле, что нет места ошибкам, конечно. А в том, что инструкции и регламенты от этого не защитят. Они нужны, когда деятельность лишена творческой составляющей. Там люди вынуждены действовать, как роботы, «на автомате». И чтобы они не отвлекались на мыслительную деятельность, для них составлены инструкции, и реализован контроль их исполнения. Такая деятельность, я очень надеюсь, рано или поздно будет автоматизирована. Но ИБ при всей «техноёмкости» всё-таки находится в контексте человеческих отношений, а значит предполагает творческую и интеллектуальную составляющую в работе. Бумажки не могут отразить всё многообразие и динамичность этой сферы, а ошибки скорее будут спокойно жить в формально соответствующей всем требованиям среде, чем там, где люди вынуждены постоянно думать о текущем состоянии инфраструктуры, рисках и угрозах.
Но всё это предполагает деятельность мыслительную. А вот тупое следование инструкциям — просто деятельность (и её имитацию). Второй путь, разумеется, проще. Особенно для тех «безопасников», которые после муштры силовых структур пришли доживать свой век в корпорации.