Как стать автором
Обновить
43
0

Пользователь

Отправить сообщение
Очень жаль!
Планируется ли видео-трансляция или запись выступлений?
В качестве первичного экспресс-анализа, произвести сканирование сети на предмет наличия открытых портов TCP:16992-16995, 623, 664 на рабочих станциях, серверах и других узлах сети.

www.infosec.ru/news/10047
Ещё есть маршрутизирующий коммутаторы "Поток-КМ-122" и "Поток -К-242" производства ЗАО "Информтехника и Связь".
Сертифицированное и дырявое отечественное СЗИ слепленное на коленке методом Дениса Попова


Гнева Касперского и Доктора веба не боитесь?
Ну да. Молодцы. 2 месяца и 2 года. Это значительно лучше, чем 25 лет для поиска Shellshock.

К сожалению, это не отменяет непостоянство сообщества. Сегодня проект в мейнстриме, его смотрят, завтра он сообществу не нужен и тю тю. Я мало слежу за деятельностью сообществ в открытом ПО. Так что пример непостоянства у меня только один (mc). Мы получаем недокументированное нечто без поддержки. А это большие риски. Они не выгодны.
Я несколько потерял нить размышлений данной ветки. Возможно возникло недопонимание.

В разрезе топика, не важно что будет стоять Линукс или Винда.
Главная дырка критичных систем — это прокладка между монитором и клавиатурой. В качестве примера замечательный доклад. 7 смертных грехов наше всё!

После понимания что всё дуршлаг, начинаем смотреть требования специфического софта, требования регуляторов, считать деньги и т.д.
В данном вопросе только опосредовано смотрят на наличие сообщества. И то государство все поливают помоями за попытки создать сообщество в виде «Национальной ОС». У всех розовые очки евангелистов свободного и открытого ПО. Всем дебиан подавай…

cvedetails не показатель, и вот почему. Здесь работает принцип «неуловимого джо» дырок в открытом не популярном ПО находят меньше, потому что ищут меньше. Зачем злоумышленнику искать дырки в фоксит ридере, если можно найти в адоб ридере и срубить бабла (в фоксит ридере кстати есть дырки и эксплойты к ним). Это рынок. Будет спрос, будет и предложение. Плюс в базу не всё попадает. Вот например эксплойт на повышение привилегий в убунту (заметьте популярный дистрибутив) в базе cve только зарезервированный номер. А есть дырки вообще без cve номера. Или с не адекватной оценкой критичности.

Вообще тема ИБ очень многогранна. Я вот много упираю на деньги. Это в основном западный подход. Цена рисков и цена защиты. В России действует принцип выполнения требований регулятора. Что лучше? Вопрос сложный. Смотря как считать потери в трупах, штрафах или годах заключения…
Например требования по защите персональных данных все считают излишними. А сменить парадигму. Например назначить штраф за утечку данных по 1000 рублей за душу и все сразу зачешутся. И требования свои нарисуют, по круче текущих…
вдруг кто-нибудь взломает их сервера и распространит вирусы

А вдруг вирусы будут в обновлении антивируса? Есть очень хорошая пословица/поговорка про вдруг и пук.

Да и вообще как-то нагло без ведома пользователя встраивать что-либо, даже при использовании https, не находите

Да, некрасиво, но если всем всё рассказывать защита будет не эффективна.

P.S. Ошибся веткой. Ответ сюда
У Вас функция связи с Kaspersky Security Network (KSN) активирована? Если да. То он и сведения о ваших файлах в облако засылает. Это отлично видно по разоблачительным статьям специалистов Лаборатории Касперского, когда они описывая громкий вирус 2014 (цифра с потолка) рапортуют о том, что в их облаке сведения о файлах данного вируса были уже в 2010 году. Правда забывают посыпать голову пеплом за то что в 2010 году вредонос провафлили…

Насколько я понимаю (первый раз встретился, надо гуглить и тестить) fiddler2 — это сниффер прикладного уровня для анализа протокола http. А антивирус может работать по другим протоколам, которые удобнее смотреть с использованием Wireshark.

Главное относиться к этому спокойнее. Антивирус же во благо (страшный смех за кадром).
Я написал все! И сообщество и куча вендоров и сертифицирующие компании (в астре тоже bash был дырявый), возможно только спец-службы знали и пользовались (опять паранойя разыгралась).

Вот вы говорите. Сообщество посмотрит. Да накой этому вашему сообществу что то смотреть? Проверка кода это тяжкий труд. Проверка кривого кода (чтоб работал) без нормальной документации это вдвойне тяжкий труд. Максимум хакеры посмотрят, найдут дырки и продадут эксплойт за кучу денег спец-службам.

Сообщество посмотрит, сообщество проверит, в опен сорс (свободном ПО и сколько его там типов ещё есть) нет дырок, опен сорс бесплатный. Это всё мифы.

Ни одна страна в мире не надеется на «сообщество». Сегодня оно есть, а завтра нет. Например как с утилитой mc.

Надо смотреть на вещи здраво! Виндовс наверное плохо! Но на данный момент альтернатив, чтоб было много специалистов и пользователей, нет. В школе Виндовс. В институте Виндовс. Всё. Тю Тю. Остальные решения при массовом внедрении слишком дороги.
А если учесть наличие специфического ПО только под отдельные платформы получается совсем плохо…
Так он и раньше их получал, через анализ трафика. Или плагины к браузеру. И вообще антивирус видит всё, что вы запускаете, проверяет каждый файл перед запуском или открытием. Ничего нового.

Видимо указанная система защиты анализирует поведение сайта. Ищет факты проведения на Вас компьютерных атак направленных на подмену кнопок интерфейса и отправку левых запросов.
Если в Республике Кипр нет системы сертификации продукции её надо срочно изобрести и начать зарабатывать!
Пример bash и openssl показывает: «обасрались все» и не раз.
Иметь бумажки для суда и соответствовать требованиям регуляторов — это тоже задача, которую надо решать.

Как хорошо ложится обсуждаемый здесь вопрос на колбасу в магазине. Все евангелисты открытого ПО за продукты бабы Мани из соседнего села. Без сертификатов санпина.

Вроде всё натурально и вкусно. Но когда траванёшся, поздно будет.
Данный пост не про «Отечественную ОС». А про безопасность.

В разрезе темы ИБ, комьюнити с публичным договором никого не интересует. Нет никаких гарантий. Нет юр. лица для судебного иска. Ничего нет, кроме, возможно, «качественного ПО».

А Астра линукс это отдельная, управляемая ветка дебиан. Которая соответствует ряду требований регулирующих органов. Поддерживается отечественным производителем.

Создание «Отечественной ОС», на мой взгляд, это химера.
Как с «офисом» быть

Пост про критичные системы.

В офисе совсем другие законы. Хотя тоже про деньги.
И рано или поздно, подобные системы заставят воздвигнуть на рабочие станции, фактически торчащие наружу. Потому что защищаются они теми же не обновляемыми средствами. Ну может, кроме залитых эпоксидкой USB портов.


Дураки есть везде. И в России и за рубежом.
При этом есть дураки особенные. Которым нужен мейнстрим и айфон в критических системах. Вот с ними только бумажкой можно бороться. В бумажке написано: сертифицировать, аттестовать, опломбировать, никаких подключений к Интернету + автоматчик с инструкцией около каждого оператора. По другому никак.
Не путайте кислое с красным и мягким.

1) Систему создали, поставили, настроили и она работает. В условиях России не заложили при разработке тестовый стенд. Криворукие программисты и инженеры не написали качественной документации (ни по госту, ни просто).
2) В системе нашли уязвимость. встаёт выбор:
— накатить патч и возможно угробить систему (без документации) в которой решаются критические задачи;
— не накатывать патч и пусть себе живёт;
— ввести компенсирующие меры (межсетевой экран, бумажка, антивирус, дополнительный админ с бубном и т.д.).

В каждом случае задача решается поразному. Зависит от бюджета. Наличия кадров. Дурость руководства. И ещё много чего.
Я уже писал. Читайте сертификат, читайте требования к сертификации, читайте ТУ. Там всё написано. Сертификат это не панацея. Он не спасает от всех проблем. Он просто сообщает о соответствии продукта заданным требованиям. Всё. Есть желание. Создайте НКО Дебиан. Отсыпте бабла. Напишите комплект документов по ГОСТ и пройдите сертификацию. И раздавайте его бесплатно. Многие Вам спасибо скажут. Многие останутся без работы.

Плюс упомянутые сертифицированные дистрибутивы работают из коробки с техническими средствами ИБ (электронные замки и т.д.). Небольшой бонус от разработчиков.

Вообще сертификация у нас присутствует везде, но не все об этом задумываются. Какая разница между колбасой с комбината и из соседней деревни от бабы Мани? Серым и белым мобильником? Наличие бумажки! Если вдруг окажется, что продукт не соответствует бумажке, можно подать в суд.

То есть вся защищенность системы строится на том что ее никто не будет пытаться взломать?

Не верная постановка вопроса. Защита подавляющего числа критических систем строится на изолированности, а также орг. и тех. мерах, ограничевающих доступ и не правомерные действия персонала.

Информация

В рейтинге
Не участвует
Откуда
Россия
Зарегистрирован
Активность