А для крутых парней барабаны - часть 3
Первая часть.
Вторая часть.
Часть третья.Я в прошлый раз писал про три степени сотрудничества с law enforcement agencies, и начал разговор как раз с криптопанков, которые с радостными криками: «умри душа моя вместе с филистимлянами» побегут уничтожать ваши данные - лишь бы они не достались федералам. Я также высказал теорию, что без особой ( Read more... )
Вторая часть.
Часть третья.Я в прошлый раз писал про три степени сотрудничества с law enforcement agencies, и начал разговор как раз с криптопанков, которые с радостными криками: «умри душа моя вместе с филистимлянами» побегут уничтожать ваши данные - лишь бы они не достались федералам. Я также высказал теорию, что без особой ( Read more... )
Ни один security спец не мог поставить Линух просто потому, что такой solution не сертифицирован, а даже если и есть кастомные солюшены со всеми необходимыми сертификатами серьезных контор, их деплоймент и поиск знающей обслуги стоили бы как 3 NT. Ты говоришь про сввободный выбор сервера или инфраструктуры какой-нибудь фирмы в свободном полёте, но если речь шла о военных или финансовых организациях, никаких линуксов там и близко не было. В любом случае мы уходим от темы сохранности sensitive data, потому как сохранность таких данных - комплексная и совершенно не подходящая домашнему юзеру мера. Еще раз: по-настоящему секретные данные НЕ хранят на компьютерах с интерфейсами во внешний мир, будь то USB или интернет. Firewall играет роль лишь в случае бытовых данных неуловимого джо.
сейчас Goolge бабло платит всем, кто найдет vulnerability в ключевых open source проектах
Ага, и торжественно заплатили двум школьникам... Нет никакой связи между нахождением vulnerabilities и открытостью кода, находят же дыры в виндозе. Живой бинарный код под отладчиком гораздо лучше исходников, в которых можно так изощренно спрятать бэкдор, что сотня аудиторов ни в жисть не догадается.
он не сможет за один раз вынести эксабайты данных
А эксабайты и не надо. Можно слить базу паролей, как например это было сделано намедни в ЖЖ и скомпрометировать систему в нужное время Ч.
Reply
Давай-давай, расскажи мне о военных и финансовых организациях :) По крайней мере насчет Израиля годов с 98го и далее.
Нет никакой связи между нахождением vulnerabilities и открытостью кода, находят же дыры в виндозе. Живой бинарный код под отладчиком гораздо лучше исходников, в которых можно так изощренно спрятать бэкдор, что сотня аудиторов ни в жисть не догадается
Ага. А живой бинарный код плюс исходники плюс награда за нахождение багов - еще лучше.
Можно слить базу паролей
Можно prooflink на то, что ЖЖ хранил unsalted базы паролей??? И вообще на technical background этой истории. Про 20 взломанных журналов я в курсе.
Reply
Ну нет у них линуксов. В 98-м Линукс вообще только среди гиков гулял. Более-менее сертифицировать линуксы начала Красная Шапка где-то в 2005м. Всякие common criteria и прочие NISTы.
Можно prooflink на то, что ЖЖ хранил unsalted базы паролей???
Я не говорил, что ЖЖ хранил открытые пароли. Но пароли последнего взлома были совершенно очевидно заснифены и слиты инсайдером СУПа. Нельзя вдруг взять и залогиниться от имени десятка топблогеров нормальной процедурой логина (которая шлет письмо о новом сорсе входа, т.е. это не прямые игры с базой через какую-нибудь дыру).
Reply
Reply
Reply
Leave a comment