Новое сообщение в форум Компьютерные священные войны

Форум	Компьютерные священные войны
Тема	Как правильно задавать вопросы

Здравствуйте, Sinclair, Вы писали:

S>Здравствуйте, netch80, Вы писали:
S>>>Было бы интересно посмотреть на энергетический бюджет такого устройства. Если оно подключено по воздуху - как же оно ухитряется 5 лет на одной батарейке вещать в эфир так, чтобы его кто-то слышал?
N>>Это я уже не в курсе криптографии в конкретном LoRa, чтобы ответить, будет оно так работать или нет. Но, насколько я помню, эти штуки только передавали - пару раз в час.

N>>>>(Справедливости ради, такие устройства и не будут цепляться к 5G или что там сейчас. У них будет LoRa или что-то похожее. Вот там вообще раутинга не будет, только точка-точка.)
N>>>>Но я согласен с тем, что нормальная защита в IoT придёт ещё не скоро. По этой аналогии или нет, но в ближайшие надцать лет выпускать их в большой внешний мир будет нежелательно.
S>>>Это в какой-то мере зависит от нас с вами. Нужно пропагандировать правильные вещи. Чтобы люди не выдумывали рационализаций идиотским решениям. Идея несекьюрной коммуникации - в сто раз хуже идеи "удвоить размер IP адреса".

N>>Невозможно заставить людей не думать в терминах защищённого периметра и ослабленных мер контроля внутри него. 99% в ванную или в постель для секса не потащат заряженный и взведённый пистолет. А кто потащит - или уже Джеймс Бонд с готовой репутацией (и тогда можно быть уверенным, что он не выстрелит, когда не надо), или на него будут слишком активно коситься.

N>>И к системам внутри это тоже относится. Передаваемое по PCI или USB обычно не шифруется и не подписывается, эти меры применяются уже снаружи от них. Точно так же поставить внутренние серверы с доступом только через VPN и расслабиться, допуская общие для всех ресурсы видимыми без паролей - нормальная идея.
S>Но в USB и в PCI нет задачи "спроектировать сетевой протокол, одинаково пригодный и для подключения 10-сантиметровым шнурком и для связи через континент".

N>>Сколько бы ты ни кричал про "в сто раз хуже", это останется только твоим персональным оценочным суждением.
S>Отож. См. название форума - он целиком посвящён персональным оценочным суждениям.
N>>Метод границ-периметров - работает, и достаточно хорошо работает. Проблемы возникают там, где этот периметр нарушается или незаметно для ответственных за его контроль, или они это игнорируют.
S>В целом - да. На практике выясняется, что "решения", которые выглядят рабочими, работают только в каких-то узких тепличных условиях. И сэкономленные на спичках деньги с лихвой перекрываются зарплатами компетентных людей, которые строят и поддерживают эти защищённые периметры. А иногда - с ещё большей лихвой, когда происходит security breach.

N>>И опять много ругани и чисто эмоциональных оценочных суждений. "Дегенераты", "более умные" и т.п. И ещё и рекомендации "бить палками". А то, что экосистема Apple этим уже отпугивает многих, ты не учитываешь?
S>Посмотрите на капитализацию Apple. Очень многие компании [i]мечтали бы[/i] так "отпугивать многих". Удивительно не это, а то, что многие другие смотрят на Apple, и говорят "не, они какие-то слишком успешные. Не может быть что это из-за того, что они делают что-то толковое. Мы продолжим делать херню и добъёмся успеха".

N>>И расскажи, что ты видишь плохого в root access, если он достигается по явной заявке владельца (оформленной, например, в виде тычков в меню в особом режиме загрузки).
S>Я вижу прекрасную возможность всадить трояна через социальную инженерию.
S>Недавно вот был случай - в магазине лежало вполне себе легальное приложение, детская игрулина. Сколько-то месяцев развивало пользовательскую базу. Семилетки играли и фанатели.
S>Потом в приложении появился магазин с инструкциями, как выпросить у родителей телефон, запустить на нём Сбербанк Онлайн, получить шестизначный код, и отправить его в аппликуху, "чтобы разблокировать новые скины".
S>А завтра я выкачу приложение [i]для взрослых[/i], которое даст выиграть в казино 600к, но для их вывода нужно будет провести "набор тычков в особом режиме загрузки" и загрузить новую прошивку.

S>Но это не тот сценарий, про который я рассказываю - я говорю о root access, который получил не пользователь, а злоумышленник. Потому что где-то один дегенерат решил, что "зачем секьюрить меню настроек гаражного замка - оно всё равно будет доступно только во внутренней сети", а другой дегенерат решил, что сервис "управление гаражными воротами через интернет" можно выгодно продать домашним пользователям.
S>Сочетание этих двух дегенеративных решений приводит к тому, что вашими гаражными воротами начинает управлять совершенно посторонний вам человек, в противоправных целях.

N>>Да. А после этого принципиальная постановка вопроса в духе "мы можем заложиться на защиту сети?" в какой-то момент пропускается, скорее всего, на уровне интеграторов, которые просто не замечают проблемы (или игнорируют её). И снова, кто отвечает за то, что входная дверь в квартиру оказалась дизайна двери туалета? Почему (обычно) строители так не ляпают?
S>В первую очередь - инженеры. Это наша работа - понимать, что с чем связано. А не полагаться на то, что каждый гражданин Земли - сам себе security инженер.

N>>>>Потому что те люди, что есть, не потерпят чрезмерных ограничений со стороны техники, они с ними не справятся. А защита в стиле "попал в периметр - уже имеешь какие-то права" это то, что работает как адекватный компромисс между шлепанутыми менеджерами по маркетингу и шизанутыми безопасниками.

N>>Считалось, что https - шибко дорого, как раз до letsencrypt. И вполне обоснованно считалось. А в 2000-х - так вообще. Мало того, ещё и сложно: пока докажешь какому-нибудь Verizon, что ты - это ты, семь потов сойдёт - и то если получится, потому что каждый второй человек на той стороне скажет "да я имел этих таёжных варваров, я нихрена не понимаю в душе что у них там происходит" и зарежектит.
S>Подождите. Вы подменяете понятия. SSL != PKI. Мы же говорим об [i]инженерной[/i] стоимости. А не о том, насколько велика была жадность Verizon. 
S>Letsencrypt собственно и показывает, что SSL не стоит примерно ничего. Аргументировать технические решения жадностью третьих лиц.... Ну, такое себе.
N>>И letsencrypt появился совсем не в 2001. Вики говорит - 2014. А те телефоны, которые ты вкатил в эту дискуссию, начались в районе 1997.
S>В 1997 году любой желающий мог сам себе сделать letsencrypt. И все так и делали - внутренние сетки отродясь пользовались local CA, и никто не жаловался на то, что эти ключи какие-то особенно дорогие.

N>>Ну и про железячный их уровень я уже сказал. Они и тот H.323 или SIP еле-еле успевали провернуть.
S>Ну, в 1997 году - может быть. Как такая бредятина смогла дожить до 2007 - вот вопрос. А сейчас 2024, и мы на полном серьёзе обсуждаем идею "давайте делать небезопасные протоколы и ендпоинты в надежде на то, что их защищщят при помощи периметра".

N>>А теперь скажи мне, как сделать простой и удобный (и межвендорски универсальный) раздатчик https сертификатов для локалки, раз уж ты предлагаешь, чтобы даже поход на местный файловый сервер шифровать. И чтобы все браузеры автоматом подтягивали всё нужное. 
S>Во первых, какие ещё браузеры? Мы же вроде про IoT и технические протоколы взаимодействия.
S>Во вторых, есть вполне себе простой и удобный раздатчик https сертификатов. Называется Active Directory. И с десяток его аналогов от разных вендоров.
S>И даже если мы вернулись к разговору о браузерах, то я считаю идиотским решение
S>1. Поставить локальную Jira без https, "потому что мы экономим на сертификатах и IP адресах"
S>2. Вывести людей на удалёнку
S>3. Тратить деньги и усилия на поддержание VPN, который отваливается раз в иногда, и без которого не получается зайти в локальную жиру снаружи

S>Как по мне, так деньги, потраченные на эти еженедельные "ой, у меня отпал и основной и резервный VPN сервер, что мне делать", было бы лучше один раз потратить на десяток публичных IP-адресов и сертификатов.

S>>>Долгота зависит ровно от того, насколько сильно будут бить палкой разработчиков IoT. Потому что никакой rocket science тут нету. 
N>>Ты явно не в курсе его специфики.
S>Возможно. Но я видел предыдущую итерацию - собственно, телефоны и веб-камеры и есть как раз первые примеры таких things.

Теги:

Введите теги разделенные пробелами. Обрамляйте в кавычки словосочетания с пробелами внутри, например: "Visual Studio" .NET

Имя, пароль: Загрузить Нравится наш сайт? Помогите его развитию!
Отключить смайлики Получать ответы по e-mail