Первая часть. Вторая часть. Часть третья.Я в прошлый раз писал про три степени сотрудничества с law enforcement agencies, и начал разговор как раз с криптопанков, которые с радостными криками: «умри душа моя вместе с филистимлянами» побегут уничтожать ваши данные - лишь бы они не достались федералам. Я также высказал теорию, что без особой
(
Read more... )
Неправда. Еще со времен NT 3.1 виндоза получила все нужные сертификаты и конформанс с пентагоновскими, црушными, кгбшными и моссадовскими "Books" разных цветов, и проходила и продолжает проходить в этих конторах суровый аудит.
что во втором десятилетии двадцать первого века можно послать человеку мейлом документ с «кривоватым» шрифтом и получить полный доступ на уровне администратора к его компьютеру? Ты путаешь мелкое с мягким. Какая связь у "sensitive data" и ОС, по умолчанию настроенной на пользователя-ламера? Для sensitive data есть целый гроссбух требований и протоколов, начиная от глубины и толщины стен бункера, защищающего физический носитель с sensitive data и до полного разделения внутренней и внешней сетей, или даже полного отключения внешней. Более того, ты можешь потратить 10 минут времени и настроить виндозу на вполне секурный уровень для ( ... )
Reply
Reply
Ни один security спец не мог поставить Линух просто потому, что такой solution не сертифицирован, а даже если и есть кастомные солюшены со всеми необходимыми сертификатами серьезных контор, их деплоймент и поиск знающей обслуги стоили бы как 3 NT. Ты говоришь про сввободный выбор сервера или инфраструктуры какой-нибудь фирмы в свободном полёте, но если речь шла о военных или финансовых организациях, никаких линуксов там и близко не было. В любом случае мы уходим от темы сохранности sensitive data, потому как сохранность таких данных - комплексная и совершенно не подходящая домашнему юзеру мера. Еще раз: по-настоящему секретные данные НЕ хранят на компьютерах с интерфейсами во внешний мир, будь то USB или интернет. Firewall играет роль лишь в случае бытовых данных неуловимого джо.
сейчас Goolge бабло платит всем, кто найдет vulnerability в ключевых open source проектахАга, и торжественно заплатили двум школьникам... Нет никакой ( ... )
Reply
Давай-давай, расскажи мне о военных и финансовых организациях :) По крайней мере насчет Израиля годов с 98го и далее.
Нет никакой связи между нахождением vulnerabilities и открытостью кода, находят же дыры в виндозе. Живой бинарный код под отладчиком гораздо лучше исходников, в которых можно так изощренно спрятать бэкдор, что сотня аудиторов ни в жисть не догадается
Ага. А живой бинарный код плюс исходники плюс награда за нахождение багов - еще лучше.
Можно слить базу паролей
Можно prooflink на то, что ЖЖ хранил unsalted базы паролей??? И вообще на technical background этой истории. Про 20 взломанных журналов я в курсе.
Reply
Ну нет у них линуксов. В 98-м Линукс вообще только среди гиков гулял. Более-менее сертифицировать линуксы начала Красная Шапка где-то в 2005м. Всякие common criteria и прочие NISTы.
Можно prooflink на то, что ЖЖ хранил unsalted базы паролей???
Я не говорил, что ЖЖ хранил открытые пароли. Но пароли последнего взлома были совершенно очевидно заснифены и слиты инсайдером СУПа. Нельзя вдруг взять и залогиниться от имени десятка топблогеров нормальной процедурой логина (которая шлет письмо о новом сорсе входа, т.е. это не прямые игры с базой через какую-нибудь дыру).
Reply
Reply
Reply
Leave a comment