А для крутых парней барабаны - часть 3

Dec 02, 2013 12:30

Первая часть.
Вторая часть.

Часть третья.Я в прошлый раз писал про три степени сотрудничества с law enforcement agencies, и начал разговор как раз с криптопанков, которые с радостными криками: «умри душа моя вместе с филистимлянами» побегут уничтожать ваши данные - лишь бы они не достались федералам. Я также высказал теорию, что без особой ( Read more... )

nsa

Leave a comment

digest December 2 2013, 16:18:56 UTC
ни один специалист по компьютерной безопасности, кроме откровенно аффилированных с Редмондом, не рекомендовал ставить продукцию мелкомягких для проектов связанных с sensitive data

Неправда. Еще со времен NT 3.1 виндоза получила все нужные сертификаты и конформанс с пентагоновскими, црушными, кгбшными и моссадовскими "Books" разных цветов, и проходила и продолжает проходить в этих конторах суровый аудит.

что во втором десятилетии двадцать первого века можно послать человеку мейлом документ с «кривоватым» шрифтом и получить полный доступ на уровне администратора к его компьютеру? Ты путаешь мелкое с мягким. Какая связь у "sensitive data" и ОС, по умолчанию настроенной на пользователя-ламера? Для sensitive data есть целый гроссбух требований и протоколов, начиная от глубины и толщины стен бункера, защищающего физический носитель с sensitive data и до полного разделения внутренней и внешней сетей, или даже полного отключения внешней. Более того, ты можешь потратить 10 минут времени и настроить виндозу на вполне секурный уровень для ( ... )

Reply

dwarkin December 2 2013, 17:06:49 UTC
Я в курсе всех этих сертификатов и book-ов разных цветов. я лично не видел чего-то серьезного в production использующего вот эти вот trusted что-то. Я прикола ради игрался году в 2001м с Trusted Solaris, очень больная система. В плане сертификатов - я знаю, что у Windows NT они все были ( ... )

Reply

digest December 2 2013, 21:51:25 UTC
при любой возможности поставить Linux на firewall например, нормальный security спец выбирал его, а не NT.

Ни один security спец не мог поставить Линух просто потому, что такой solution не сертифицирован, а даже если и есть кастомные солюшены со всеми необходимыми сертификатами серьезных контор, их деплоймент и поиск знающей обслуги стоили бы как 3 NT. Ты говоришь про сввободный выбор сервера или инфраструктуры какой-нибудь фирмы в свободном полёте, но если речь шла о военных или финансовых организациях, никаких линуксов там и близко не было. В любом случае мы уходим от темы сохранности sensitive data, потому как сохранность таких данных - комплексная и совершенно не подходящая домашнему юзеру мера. Еще раз: по-настоящему секретные данные НЕ хранят на компьютерах с интерфейсами во внешний мир, будь то USB или интернет. Firewall играет роль лишь в случае бытовых данных неуловимого джо.

сейчас Goolge бабло платит всем, кто найдет vulnerability в ключевых open source проектахАга, и торжественно заплатили двум школьникам... Нет никакой ( ... )

Reply

dwarkin December 3 2013, 06:44:40 UTC
,но если речь шла о военных или финансовых организациях, никаких линуксов там и близко не было

Давай-давай, расскажи мне о военных и финансовых организациях :) По крайней мере насчет Израиля годов с 98го и далее.

Нет никакой связи между нахождением vulnerabilities и открытостью кода, находят же дыры в виндозе. Живой бинарный код под отладчиком гораздо лучше исходников, в которых можно так изощренно спрятать бэкдор, что сотня аудиторов ни в жисть не догадается

Ага. А живой бинарный код плюс исходники плюс награда за нахождение багов - еще лучше.

Можно слить базу паролей

Можно prooflink на то, что ЖЖ хранил unsalted базы паролей??? И вообще на technical background этой истории. Про 20 взломанных журналов я в курсе.

Reply

digest December 3 2013, 09:24:36 UTC
По крайней мере насчет Израиля годов с 98го и далее

Ну нет у них линуксов. В 98-м Линукс вообще только среди гиков гулял. Более-менее сертифицировать линуксы начала Красная Шапка где-то в 2005м. Всякие common criteria и прочие NISTы.

Можно prooflink на то, что ЖЖ хранил unsalted базы паролей???

Я не говорил, что ЖЖ хранил открытые пароли. Но пароли последнего взлома были совершенно очевидно заснифены и слиты инсайдером СУПа. Нельзя вдруг взять и залогиниться от имени десятка топблогеров нормальной процедурой логина (которая шлет письмо о новом сорсе входа, т.е. это не прямые игры с базой через какую-нибудь дыру).

Reply

dwarkin December 3 2013, 09:34:16 UTC
ммм. ты не очень понимаешь о чем споришь - ни касательно связи между обязательной сертификацией и физически установленным Линуксом в секретной сети, ни касательно разницы между слитым инсайдером паролем и взломанным фронтендом ЖЖ.

Reply

digest December 3 2013, 09:38:24 UTC
Ну, будем считать, что не понимаю ;-)

Reply


Leave a comment

Up