Re[3]: Вопрос к спецам по компьютерной безопасности
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 07.12.08 16:14
Оценка: 36 (4)
Здравствуйте, nikov, Вы писали:

N>Ну, допустим, шеф почему-то не спрашивал раньше конкретных чисел, а тут заинтересовался. Интересно, какие же есть методики для оценки этой вероятности, и как определисть, какой уровень является приемлемым?


Ну, наиболее наглядная и быстрая методика из числа таких "срезовых" оценок — это blackbox-тест на проникновение (пентест), в ходе которого иммитируются возможные действия атакующего по реализации тех или иных информационных угроз, список которых определяется на этапе формирования требований к результатам теста (за основу берется, как правило STRIDE). Т.е. пытаемся взломать нашу же систему, основываясь лишь на той информации, которой может обладать атакующий. Все выявленные уязвимости ранжируются по вероятности и сложности их эксплуатации, типу, потенциальному ущербу и т.п. (подробнее — гуглить и википедить про STRIDE и DREAD, вкратце, там правда о другом процессе, но применимо и к результатам пентестов, есть тут: http://msdn.microsoft.com/en-us/library/aa302419.aspx). После чего, руководством (или ответственными за этот процесс людьми) принимаются решения о необходимости и целесообразности принятия контрмер по каждой из них, на основании отношения возможного ущерба, вызыванного реализацией каждой из выявленных угроз, к совокупной стоимости устранения этой угрозы в продукте.

Понятно, что достоверность такой оценки зависит от квалификации пентестера, и если она окажется ниже чем у реального атакующего, то оценка не будет достоверной. Повысить эффективность такого тестирования можно, если озадачить им несколько спецов (хотя бы двух), причем использующих различные методики и инструменты. В нашей конторе она используется при приемке у подрядчиков разработанного ими для нас ПО (в основном, веб-приложений, но бывали и исключения) либо при оценке систем приобретенных компаний, перед началом их интеграции с нашими системами. Собственно, около 30-40% рабочего времени сейчас у меня уходит именно на такие тесты в связи с недавним приобретением нами парочки провайдеров проводной и магистральной связи

Использовать какие-либо другие методики для "срезовых" оценок, лично мне представляется пустой тратой ресурсов в случае, если они не интегрированы в сам процесс разаботки на регулярной основе. Можно провести секьюрити-ревью кода продукта, построить модель угроз, провести по ней оценку рисков, наложить на нее результаты ревью, провести аудит процесса внесения изменений в продукт и т.п. Но если обеспечение безопасности создаваемого продукта не интегрировано в процесс его разработки, то толку от этого будет мало, т.к. (как я уже написал выше) любой последующий коммит, приход в команду нового члена, даже минимальное изменение НФТ и ФТ, и т.п. может поломать всю эту оценку, либо сделать ее недостоверной.

Поэтому существуют методики организации полного цикла разработки безопасного ПО. Из наиболее полных и распространенных, это ваш (кстати ) SDL и рекомендации OWASP. И то и другое, применимо к большинству существующих методик управления программными проектами. И то и другое, возможно внедрить в процесс разработки ПО на этапах, отличных от начала проекта. Правда это существенно сложнее, но все же возможно, живые подтверждения тому видел сам, в одном даже принимал участие. Зато после этого, у гипотетического "шефа" будет возможность получать оценку защищенности продукта регулярно, без каких-либо дополнительных тестов и аудитов

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re: Вопрос к спецам по компьютерной безопасности
От: maxp Россия http://penzin.ru/
Дата: 07.12.08 14:55
Оценка: -1 :)
Здравствуйте, nikov, Вы писали:

N>Вопрос к спецам по компьютерной безопасности. Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора. Смогли бы вы дать ответ на такой вопрос?


N>Вопрос к руководителям проектов. Какие ответы вы сочли бы удовлетворительными, а какие — нет?


Лично я бы не удивился ответу 50/50 — т.е. "или сломают или не сломают".

Эта оценка в численном выражении имела бы смысл, если по ней была бы статистика.
Вероятность, она знаете ли, либо основана на статистике либо она 50 на 50.

К примеру, можно взять дефолтную WinXP, взять дефолтного админа,
поставить дефолтную конфигурацию, чью-нибудь статистику взломов за продолжительное время,
и по ней посчитать вероятность.
Вся проблема в том, что полученная таким образом цифра будет иметь практическую ценность
эквивалентную 50/50, т.е. никакую.
Так как любой самый незначительный неучтенный фактор может менять всю картину с точностью до наоборот.
Вопрос к спецам по компьютерной безопасности
От: nikov США http://www.linkedin.com/in/nikov
Дата: 07.12.08 12:58
Оценка: 6 (1)
Вопрос к спецам по компьютерной безопасности. Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора. Смогли бы вы дать ответ на такой вопрос?

Вопрос к руководителям проектов. Какие ответы вы сочли бы удовлетворительными, а какие — нет?
Re: Вопрос к спецам по компьютерной безопасности
От: samius Япония http://sams-tricks.blogspot.com
Дата: 07.12.08 15:00
Оценка: 2 (1)
Здравствуйте, nikov, Вы писали:

N>Вопрос к спецам по компьютерной безопасности. Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора. Смогли бы вы дать ответ на такой вопрос?


Не являюсь спецом по безопасности, но мне кажется, что ответ слишком сильно зависит от степени мотивации и квалификации хакеров. Есть системы, которые никто не будет ломать по принципу неуловимого Джо. Есть такие, которые сломать дело "чести", и т.п.
Потому в вопросе про шефа и вероятность для начала шеф должен озвучить как сильно необходимы права администратора злоумышленникам. Иначе слишком уж гипотетическая ситуация.
Полный вопрос должен выглядеть так:

Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора, если за взлом обещан автомобиль "Калина" (вилла на островах, шанс прожить дольше месяца, прочее)
Re[3]: [оффтопик]
От: Wasilij  
Дата: 09.12.08 15:31
Оценка: 2 (1)
Здравствуйте, FDSC, Вы писали:

FDS>Здравствуйте, kochetkov.vladimir.


FDS>А на русском в инете что-нибудь есть по безопасности? Учебники там какие-нибудь?


Майкл Ховард, Дэвид Леблан
Защищенный код

Writing Secure Code
Серия: Фундаментальные знания
Издательство: Русская Редакция, 2005 г.
Твердый переплет, 704 стр.
ISBN 5-7502-0238-0

Входит в "боевой комплект разработчика" от Microsoft.
pdf можно скачать здесь
Re[8]: Вопрос к спецам по компьютерной безопасности
От: Sinclair Россия https://github.com/evilguest/
Дата: 10.12.08 09:30
Оценка: 2 (1)
Здравствуйте, CreatorCray, Вы писали:
аранойи в отношении безопасности своих серверов
CC>Камрад, я тебе банальность скажу: для безопасника некоторая степень паранойи это чуть ли не must have. Так что ничего необычного.
О да. Этот подход великолепно оформлен в Криптономиконе.

Если вы хотите, чтобы ваши тайны вас пережили, то, выбирая длину ключа, вы должны быть футурологом. Вы должны предвидеть, как будут в это время
развиваться компьютеры. Вы должны разбираться в политике. Если весь мир превратится в одно большое полицейское государство, одержимое распутыванием старых тайн, то задача разложения на множители больших составных чисел может быть решена ударными темпами.
Так что длина ключа, которым вы пользуетесь, сама по себе своего рода шифр. Компетентный сексот, узнав, что Рэнди и Ави пользуются 4096 битным
ключом, придет к одному из следующих выводов:
— Ави сам не понимает, что говорит. Такое можно исключить, ознакомившись хотя бы с частью его прежних достижений.
Или:
— Ави — клинический параноик.
Или:
— Ави либо крайне оптимистично смотрит на будущее компьютеров, либо крайне пессимистично на развитие политического климата, либо и то и другое
вместе.
Или:
— Ави планирует больше чем на сто лет вперед.


Или вот:

- Который тут Джон Кантрелл? -- спрашивает он, остановив взгляд на Эберхарде Фёре.
Джон облокотился на подоконник -- возможно, пытается определить, каким параметрическим уравнением отписывается изгиб лепестков восьмифутовой
плотоядной лианы. Он оборачивается.
— Джон Кантрелл, -- говорит Эб.
— Гарвард Ли. Вы не получили мои электронные письма?
Гарвард Ли! Теперь Рэнди вспомнил. Основатель «Гарвард Ли Компьютер Компани», среднего размера тайваньской фирмы по производству домашних компьютеров.
Джон ухмыляется.
— Я получил примерно двадцать электронных писем от неведомого лица, назвавшегося Гарвардом Ли.
— Это был я! Не понимаю, почему вы зовете меня неведомым лицом? -- Гарвард Ли исключительно резок, но не видно, чтобы он обиделся по
настоящему. Вот кому явно не приходится бороться с романтизмом перед деловой встречей.
— Терпеть не могу электронную почту, -- говорит Джон.
Гарвард Ли некоторое время смотрит ему в глаза.
— В каком смысле?
— Идея хороша. Исполнение дурно. Люди не соблюдают элементарных предосторожностей. Когда приходит письмо якобы от Гарварда Ли, они думают,
что оно и впрямь от Гарварда Ли. Однако это письмо -- всего лишь последовательность намагниченных секторов на вращающемся диске. Кто угодно
может его подделать.
— А! Вы пользуетесь алгоритмом электронной цифровой подписи.
Джон задумывается.
— Я не отвечаю на электронные письма, не подписанные цифровым образом. Алгоритм ЭЦП -- один из методов. Хороший, но не обязательно лучший.
Примерно на середине Гарвард Ли начинает согласно кивать.
— Какие то структурные недочеты? Или вас смущает пятьсотдвенадцатибитная длина ключа? Устроил бы вас тысячадвадцатьчетырехбитный ключ?
Примерно на пятом предложении разговор между Ли и Кантреллом уносится за горизонт его криптографических познаний и Рэнди отключается. Ли — маньяк
криптографии! Он лично всё это изучил — не просто велел подчиненным сделать выписки из соответствующих книг, а сам разобрал уравнение за уравнением.
...
— Давайте прямо сейчас обменяемся ключами, чтобы писать друг другу по электронной почте, -- говорит Ли и делает знак помощнику. Тот подбегает к столу и открывает ноутбук. «Что-то что-то Ордо», -- говорит Ли на кантонском. Помощник крутит трекбол и щелкает.
Кантрелл бесстрастно смотрит на стол. Садится на корточки, заглядывает под столешницу. Ощупывает край руками.
Рэнди нагибается и тоже заглядывает вниз. Конференц стол — высокотехнологичный, пронизанный проводами, чтобы гости могли подключать ноутбуки прямо к нему, а не тянуть кабели через всю комнату и не драться из за розеток. Значит, вся столешница нашпигована проводкой. Кабелей, соединяющих ее с внешним миром, не видно -- наверное, они уходят через полые ножки в пустотелый пол. Джон ухмыляется, поворачивается к Ли, качает головой.
— В иных обстоятельствах я бы сказал «да», — отвечает он. — Однако при вашем уровне потребности в безопасности это неподходящее место для обмена ключами.
— Я не собирался пользоваться телефоном, — говорит Ли. Можно обменяться ключами на дискетах.
Джон стучит по дереву.
— Не важно. Попросите кого нибудь из ваших сотрудников прочесть про ван эйковский перехват. Ван Эйк, Вим ван Эйк, человек, который первый это продемонстрировал, — повторяет он программеру, который записывает. Потом, чувствуя, что Ли нужно краткое резюме, добавляет: — Есть способ прочесть
внутреннее состояние компьютера, ловя побочное электромагнитное излучение модулей.
— А-а-а... — Ли выразительно переглядывается с помощниками, как будто получил ответ к давно мучившей их загадке.

... << RSDN@Home 1.2.0 alpha rev. 677>>
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re: Вопрос к спецам по компьютерной безопасности
От: Nikolay_ США  
Дата: 07.12.08 14:27
Оценка: -1
Здравствуйте, nikov, Вы писали:

N>Вопрос к спецам по компьютерной безопасности. Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора. Смогли бы вы дать ответ на такой вопрос?


Легко. Верхняя -- 100. Нижняя -- 0. А вот за ради матожидания это да -- надо бы было подумать.

N>Вопрос к руководителям проектов. Какие ответы вы сочли бы удовлетворительными, а какие — нет?
Re: Вопрос к спецам по компьютерной безопасности
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 07.12.08 14:56
Оценка: +1
Здравствуйте, nikov, Вы писали:

N>Вопрос к спецам по компьютерной безопасности. Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора. Смогли бы вы дать ответ на такой вопрос?


N>Вопрос к руководителям проектов. Какие ответы вы сочли бы удовлетворительными, а какие — нет?


Я правильно понимаю, что под "взламываемой системой" подразумевается тот самый "проект", к руководителям которого адресован второй вопрос? А под "спецом по компьютерной безопасности" подразумевается все же специалист по информационной безопасности, привлеченный в проект наряду с остальными участниками, с самого начала проекта?

Просто постановка вопроса странная. Если в проекте есть ИБшник, то ответ на этот вопрос он должен был дать еще до непосредственной разработки системы (на этапе анализа угроз и оценки рисков по ИБ) для выработки контрмер и стратегии проекта по части минимизации выявленных рисков по ИБ. А в дальнейшем актуализировать эти оценки по мере проведения как ревью кода, так и аудитов процесса разработки.

Если ИБшник привлекается к проекту на стадии, когда продукт уже близок к релизу (либо в продуктиве), то такую оценку также можно вывести на основе результатов тестов на проникновение, аудитов процесса разработки, архитектуры и кода проекта и т.п. Разница с предыдущим примером только в том, что стоит это примерно столько же (если не больше), но при этом является актуальным только на момент работы ИБшника. Т.е. с первым же коммитом после всех аудитов и оценок все может измениться как в худшую, так и в лучшую сторону.

Короче говоря, и в том и в другом случае, ответ дать вполне возможно, причем стоить это будет примерно одинаково, поэтому (коль скоро возник вопрос об обеспечении безопасности продукта) лучше "внедрять" ИБшник(а|ов) в проект на ранних стадиях и на постоянной основе, а не прибегать к услугам "консультантов по ИБ" от случая к случаю.

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[2]: Вопрос к спецам по компьютерной безопасности
От: Roman Odaisky Украина  
Дата: 07.12.08 15:08
Оценка: :)
Здравствуйте, samius, Вы писали:

S>Полный вопрос должен выглядеть так:


S>Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора, если за взлом обещан автомобиль "Калина" (вилла на островах, шанс прожить дольше месяца, прочее)


Осталось только найти норму этой функции (в пространстве ), и получится мат. ожидание стоимости взлома системы. Это и есть (единственный) параметр, от которого всё зависит. Его можно сравнить с прибылью, которую можно извлечь в результате успешного взлома, например.
До последнего не верил в пирамиду Лебедева.
Re: Вопрос к спецам по компьютерной безопасности
От: Геннадий Васильев Россия http://www.livejournal.com/users/gesha_x
Дата: 07.12.08 20:28
Оценка: -1
Здравствуйте, nikov, Вы писали:

N>Смогли бы вы дать ответ на такой вопрос?


Легко! 42%!
Я знаю только две бесконечные вещи — Вселенную и человеческую глупость, и я не совсем уверен насчёт Вселенной. (c) А. Эйнштейн
P.S.: Винодельческие провинции — это есть рулез!
Re[4]: Вопрос к спецам по компьютерной безопасности
От: Геннадий Васильев Россия http://www.livejournal.com/users/gesha_x
Дата: 07.12.08 20:36
Оценка: :)
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>[... .... ....]Зато после этого, у гипотетического "шефа" будет возможность получать оценку защищенности продукта регулярно, без каких-либо дополнительных тестов и аудитов


Слушай, относись к вещам проще: никого на самом деле не интересуют цифы вероятности взлома. Наукообразие — наш рулевой. Пойми простую вещь: пиплу скучно. Что хацкерам, что нечальнегам. Вот они и развлекаются. Я бы и рад узнать рецепты лечения этой болезни... Но, видимо, моя параецельсткость не дотягивает до нужной планки!
Я знаю только две бесконечные вещи — Вселенную и человеческую глупость, и я не совсем уверен насчёт Вселенной. (c) А. Эйнштейн
P.S.: Винодельческие провинции — это есть рулез!
Re[7]: Вопрос к спецам по компьютерной безопасности
От: Donz Россия http://donz-ru.livejournal.com
Дата: 08.12.08 12:20
Оценка: :)
Здравствуйте, frogkiller, Вы писали:

F>Ничего личного , но имхо полосатая компания страдает серьёзной степенью паранойи в отношении безопасности своих серверов, отчего несёт убытков значительно больше, чем от действий потенциальных злоумышленников.


Поверь, это лучше, чем когда сине-зеленая компания при вводе в строй нового сервиса забывает проверять пароль, и для входа достаточно указать существующий в их базе ник.
Re[7]: Вопрос к спецам по компьютерной безопасности
От: CreatorCray  
Дата: 08.12.08 12:40
Оценка: +1
Здравствуйте, frogkiller, Вы писали:

F>имхо полосатая компания страдает серьёзной степенью паранойи в отношении безопасности своих серверов

Камрад, я тебе банальность скажу: для безопасника некоторая степень паранойи это чуть ли не must have. Так что ничего необычного.
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Re: Вопрос к спецам по компьютерной безопасности
От: ili Россия  
Дата: 10.12.08 14:21
Оценка: :)
Здравствуйте, nikov, Вы писали:

N>Вопрос к спецам по компьютерной безопасности. Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора. Смогли бы вы дать ответ на такой вопрос?


N>Вопрос к руководителям проектов. Какие ответы вы сочли бы удовлетворительными, а какие — нет?


мой преподавательлинейной алгебры учил нас: не знаешь ответа на вопрос? отвечай — ноль! авось пропрет
Re[2]: Вопрос к спецам по компьютерной безопасности
От: nikov США http://www.linkedin.com/in/nikov
Дата: 07.12.08 14:33
Оценка:
Здравствуйте, Nikolay_, Вы писали:

N>>Вопрос к спецам по компьютерной безопасности. Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора. Смогли бы вы дать ответ на такой вопрос?


N_>Легко. Верхняя -- 100.


Ты хочешь сказать, что ты не уверен, что вероятность взлома в течение месяца системы, за безопасность которой ты отвечаешь, меньше 99%?

N_>А вот за ради матожидания это да -- надо бы было подумать.


Матожидания какой величины?
Re: Вопрос к спецам по компьютерной безопасности
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 07.12.08 15:00
Оценка:
Здравствуйте, nikov, Вы писали:

N>Вопрос к спецам по компьютерной безопасности. Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора. Смогли бы вы дать ответ на такой вопрос?


N>Вопрос к руководителям проектов. Какие ответы вы сочли бы удовлетворительными, а какие — нет?


Или речь идет о безопасности внутренней ИТ-инфраструктуры, не имеющей прямого отношения к какому-либо проекту?

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[2]: Вопрос к спецам по компьютерной безопасности
От: nikov США http://www.linkedin.com/in/nikov
Дата: 07.12.08 15:08
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Я правильно понимаю, что под "взламываемой системой" подразумевается тот самый "проект", к руководителям которого адресован второй вопрос? А под "спецом по компьютерной безопасности" подразумевается все же специалист по информационной безопасности, привлеченный в проект наряду с остальными участниками, с самого начала проекта?


Да, правильно.

KV>Просто постановка вопроса странная. Если в проекте есть ИБшник, то ответ на этот вопрос он должен был дать еще до непосредственной разработки системы (на этапе анализа угроз и оценки рисков по ИБ) для выработки контрмер и стратегии проекта по части минимизации выявленных рисков по ИБ. А в дальнейшем актуализировать эти оценки по мере проведения как ревью кода, так и аудитов процесса разработки.


Ну, допустим, шеф почему-то не спрашивал раньше конкретных чисел, а тут заинтересовался. Интересно, какие же есть методики для оценки этой вероятности, и как определисть, какой уровень является приемлемым?
Re[3]: Вопрос к спецам по компьютерной безопасности
От: Nikolay_ США  
Дата: 07.12.08 15:27
Оценка:
Здравствуйте, nikov, Вы писали:
N>>>Вопрос к спецам по компьютерной безопасности. Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора. Смогли бы вы дать ответ на такой вопрос?

N_>>Легко. Верхняя -- 100.


N>Ты хочешь сказать, что ты не уверен, что вероятность взлома в течение месяца системы, за безопасность которой ты отвечаешь, меньше 99%?


А вы всё ещё верите в абсолютно защищенные системы? Однако, помнится, даже в топ-менеджмент ЦРУ шпионы проникали.
Речь идёт о верхней границе. Верхняя -- 100. Если вложат достаточную сумму денег, то сломают любую защиту.

N_>>А вот за ради матожидания это да -- надо бы было подумать.


N>Матожидания какой величины?


Вероятности взлома. Безопасник обычно знает сколько и для кого стоит информация, что им защищается. Потому зная рынок он может предположить вероятную квалификацию и настойчивость атакующей стороны. Откуда риск взлома за период времени и рассчитывается.
Re: Вопрос к спецам по компьютерной безопасности
От: Cyberax Марс  
Дата: 07.12.08 20:44
Оценка:
Здравствуйте, nikov, Вы писали:

N>Вопрос к спецам по компьютерной безопасности. Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора. Смогли бы вы дать ответ на такой вопрос?

Подходишь к серверу, выдёргиваешь шнур и смело говоришь, что вероятность сетевого взлома — 0%.

N>Вопрос к руководителям проектов. Какие ответы вы сочли бы удовлетворительными, а какие — нет?

Удовлетворил бы отчёт об истории уязвимостей смотрящего наружу софта, с экстраполяцией на следующие пару месяцев.
Sapienti sat!
Re[5]: Вопрос к спецам по компьютерной безопасности
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 07.12.08 21:23
Оценка:
Здравствуйте, Геннадий Васильев, Вы писали:

ГВ>Здравствуйте, kochetkov.vladimir, Вы писали:


KV>>[... .... ....]Зато после этого, у гипотетического "шефа" будет возможность получать оценку защищенности продукта регулярно, без каких-либо дополнительных тестов и аудитов


ГВ>Слушай, относись к вещам проще:


Да куда уж проще-то? Вот если бы nikov про защищенность ИТ-инфраструктуры в целом спросил...

ГВ>никого на самом деле не интересуют цифы вероятности взлома.


Угу. Расскажи это западным инвесторам с их задвигами по поводу достоверности финансовой отчетности (2google: "SOX 404") Хинт: им эти цифры нужны ежегодно, и если они будут меньше некоторого порога, то акции конторы снимаются с оборота на NYSE.

ГВ>Наукообразие — наш рулевой. Пойми простую вещь: пиплу скучно. Что хацкерам, что нечальнегам. Вот они и развлекаются. Я бы и рад узнать рецепты лечения этой болезни...


Когда скучающему начальнегу говоришь, что с вероятностью 90% процентов контора понесет убыток в размере (минимум) суточной прибыли с одного сервера, обслуживающего SMS на короткие номера, да еще и отдаешь ему отчет, где показано, что эти цифры взяты не с потолка... Скука куда-то улетучивается быстрее, чем ты успеваешь закончить фразу. Я проверял

ГВ>Но, видимо, моя параецельсткость не дотягивает до нужной планки!



[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[2]: Вопрос к спецам по компьютерной безопасности
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 07.12.08 21:23
Оценка:
Здравствуйте, Cyberax, Вы писали:

C>Здравствуйте, nikov, Вы писали:


N>>Вопрос к спецам по компьютерной безопасности. Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора. Смогли бы вы дать ответ на такой вопрос?

C>Подходишь к серверу, выдёргиваешь шнур и смело говоришь, что вероятность сетевого взлома — 0%.

Потом херачишь по серверу молотком и радостно заявляешь, что угрозы связанные с физическим доступом в серверную, ему теперь тоже не страшны...

N>>Вопрос к руководителям проектов. Какие ответы вы сочли бы удовлетворительными, а какие — нет?

C>Удовлетворил бы отчёт об истории уязвимостей смотрящего наружу софта, с экстраполяцией на следующие пару месяцев.

А если в "истории" не будет ни одной обнаруженной уязвимости? Ну например, продукт еще молодой. Тогда твоя экстраполяция покажет 100%-ую неуязвимость А если, буквально месяц назад, над продуктом потрудились сотни безопасников, прошерстили весь код и нашли (и закрыли) пару сотен уязвимостей? Тогда экстраполяция покажет полную незащищенность системы?

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re: Вопрос к спецам по компьютерной безопасности
От: Кодёнок  
Дата: 08.12.08 08:14
Оценка:
Здравствуйте, nikov, Вы писали:

N>Вопрос к спецам по компьютерной безопасности. Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора. Смогли бы вы дать ответ на такой вопрос?


N>Ты хочешь сказать, что ты не уверен, что вероятность взлома в течение месяца системы, за безопасность которой ты отвечаешь, меньше 99%?


Что такое 99%? 99 из 100 попыток? 99% времени во взломанном состоянии? 99% известных уязвимостей из всех? 99% их всех мировых хакеров, кому удастся?

Понятие «вероятность» применимо только к повторяемым событиям, которые можно 100 раз повторить, и сказать — процент такой-то. У единичных, и уж тем более у гипотетических событий (встретить динозавра) нет никакой вероятности.

На тупые вопросы надо давать научно-популярные ответы, вроде: 1%, один из миллиарда, 50/50 — либо случится, либо нет, ниже чем вероятность падения метеорита на сервер, и т.п. Либо читать лекцию
Re[2]: Вопрос к спецам по компьютерной безопасности
От: nikov США http://www.linkedin.com/in/nikov
Дата: 08.12.08 09:50
Оценка:
Здравствуйте, Кодёнок, Вы писали:

Кё>Понятие «вероятность» применимо только к повторяемым событиям, которые можно 100 раз повторить, и сказать — процент такой-то. У единичных, и уж тем более у гипотетических событий (встретить динозавра) нет никакой вероятности.


Никогда не встречал оценки вероятности катастроф? Например, оценку вероятности катастрофы на БАК?

Probability interpretations

Evidential probability, also called Bayesian probability, can be assigned to any statement whatsoever, even when no random process is involved

Re[6]: Вопрос к спецам по компьютерной безопасности
От: frogkiller Россия  
Дата: 08.12.08 10:34
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Когда скучающему начальнегу говоришь, что с вероятностью 90% процентов контора понесет убыток в размере (минимум) суточной прибыли с одного сервера, обслуживающего SMS на короткие номера, да еще и отдаешь ему отчет, где показано, что эти цифры взяты не с потолка... Скука куда-то улетучивается быстрее, чем ты успеваешь закончить фразу. Я проверял


Ничего личного , но имхо полосатая компания страдает серьёзной степенью паранойи в отношении безопасности своих серверов, отчего несёт убытков значительно больше, чем от действий потенциальных злоумышленников.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Re[2]: [оффтопик]
От: FDSC Россия consp11.github.io блог
Дата: 08.12.08 10:39
Оценка:
Здравствуйте, kochetkov.vladimir.

А на русском в инете что-нибудь есть по безопасности? Учебники там какие-нибудь?
Re[7]: Вопрос к спецам по компьютерной безопасности
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 08.12.08 10:54
Оценка:
Здравствуйте, frogkiller, Вы писали:

F>Здравствуйте, kochetkov.vladimir, Вы писали:


KV>>Когда скучающему начальнегу говоришь, что с вероятностью 90% процентов контора понесет убыток в размере (минимум) суточной прибыли с одного сервера, обслуживающего SMS на короткие номера, да еще и отдаешь ему отчет, где показано, что эти цифры взяты не с потолка... Скука куда-то улетучивается быстрее, чем ты успеваешь закончить фразу. Я проверял


F>Ничего личного , но имхо полосатая компания страдает серьёзной степенью паранойи в отношении безопасности своих серверов, отчего несёт убытков значительно больше, чем от действий потенциальных злоумышленников.


Да я пример с сервером с потолка взял, там реально другое было (примерно аналогичное по всем ТТХ), но мне про это увы — низя тут рассказывать

Но если пофантазировать... Почему у тебя такое имхо?

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re: Вопрос к спецам по компьютерной безопасности
От: FDSC Россия consp11.github.io блог
Дата: 08.12.08 11:07
Оценка:
Здравствуйте, nikov, Вы писали:

N>Вопрос к спецам по компьютерной безопасности. Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора. Смогли бы вы дать ответ на такой вопрос?


Я не спец. по безопасности, так что не смог бы. Смог бы только обоснованно сказать, насколько она высока: недопустима, очень вероятна, мало вероятна, невероятна.
Единственное, что не за месяц, а за довольно продолжительный период времени. Т.е. я бы смог дать качественную (но не количественную) оценку вероятности взлома системы на попытку достаточно квалифицированного взлома или на "массовую" попытку взлома (не знаю, как правильно назвать, когда атака происходит от множества независимых друг от друга людей), а вероятность предпринятия таких попыток оценивать — даже не знаю как.

Кроме этого, вероятность должна сопровождаться указанием на то, что именно повлечёт за собой взлом, т.е. критичный отказ или нет. Например, если будет взлом, но о нём мы узнаем через 15 минут после его совершения, а взомщику нужно время, чтобы воспользоваться, например, новой подключённой услугой, то я посчитаю, что отказ не критичен. Ну взломают и взломают, через 15 минут админ посмотрит логи и всех забанит, а они ничего даже сделать ещё за это время не смогут. Другое дело, если такой же дефект сопровождается невозможностью выявления взлома.

N>Вопрос к руководителям проектов. Какие ответы вы сочли бы удовлетворительными, а какие — нет?


Всё зависит от того, где именно система будет взломана и какие убытки понесёт фирма и заказчики.
Если система будет взломана и из-за этого упадёт сервер — это одно, а если система будет взломана и из-за этого пользователи получат гору спама — это другое. Одно более значимое, другое — менее (смотря какие пользователи, конечно).
Если отказ может повлечь за собой тяжкие последствия, то его вероятность, если не ошибаюсь, должна быть не выше одной статысячной (если не ошибаюсь).
При этом, если я не ошибаюсь ещё раз, это должна быть вероятность не за месяц, а за время эксплуатации системы (хотя я, наверное, что-то путаю, самолёты явно раз в 100 или тысячу чаще падают ). Т.е. если система работает 5 лет, то за месяц отказ должен быть с вероятностью не более 0,9999998334, т.е. где-то одна десятимиллионная
Re[8]: Вопрос к спецам по компьютерной безопасности
От: frogkiller Россия  
Дата: 08.12.08 11:36
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

F>>Ничего личного , но имхо полосатая компания страдает серьёзной степенью паранойи в отношении безопасности своих серверов, отчего несёт убытков значительно больше, чем от действий потенциальных злоумышленников.


KV>Да я пример с сервером с потолка взял, там реально другое было (примерно аналогичное по всем ТТХ), но мне про это увы — низя тут рассказывать


Так я и не про твой пример, я ж понимаю, что ты ничего реального здесь не напишешь

KV>Но если пофантазировать... Почему у тебя такое имхо?


Моё имхо основано на 4-летнем опыте взаимодействия с различными вымпелкомовскими подразделениями Публично озвучивать конкретные претензии полагаю неправильным, хоть и не связан никакими обязательствами. Но пусть кулхацкеры прочтут эту ветку и поймут, что ловить там нечего

При желании могу написать в личку, но, думаю, что ты и сам обо всём знаешь.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Re[9]: Вопрос к спецам по компьютерной безопасности
От: FDSC Россия consp11.github.io блог
Дата: 08.12.08 11:52
Оценка:
Здравствуйте, frogkiller, Вы писали:

F>Моё имхо основано на 4-летнем опыте взаимодействия с различными вымпелкомовскими подразделениями Публично озвучивать конкретные претензии полагаю неправильным, хоть и не связан никакими обязательствами. Но пусть кулхацкеры прочтут эту ветку и поймут, что ловить там нечего


Я работал с ПО компании "Вымпелком" и могу сказать, что оценил бы вероятность взлома как достаточно высокую по крайней мере для некоторых компонентов. Ловить там есть чего, даже если ты не спец во взломах систем. Другое дело, что паранойя при этом там есть кое-где.
При той методике разработке, что принята в компании, вообще невозможно производить качественное обеспечение, насколько я знаю, правда сам я в ней ничего не разрабатывал.
Re[10]: Вопрос к спецам по компьютерной безопасности
От: frogkiller Россия  
Дата: 08.12.08 12:07
Оценка:
Здравствуйте, FDSC, Вы писали:

F>>Моё имхо основано на 4-летнем опыте взаимодействия с различными вымпелкомовскими подразделениями Публично озвучивать конкретные претензии полагаю неправильным, хоть и не связан никакими обязательствами. Но пусть кулхацкеры прочтут эту ветку и поймут, что ловить там нечего


FDS>Я работал с ПО компании "Вымпелком" и могу сказать, что оценил бы вероятность взлома как достаточно высокую по крайней мере для некоторых компонентов. Ловить там есть чего, даже если ты не спец во взломах систем. Другое дело, что паранойя при этом там есть кое-где.

FDS>При той методике разработке, что принята в компании, вообще невозможно производить качественное обеспечение, насколько я знаю, правда сам я в ней ничего не разрабатывал.

Не, я не про разработку, я про организационные меры, инфраструктуру, разнообразные вспомогательные механизмы и тд. Отдельно взятое ПО имхо не сильно отличается от "средней температуры по больнице", и само по себе это говорит о немногом — даже самое уязвиимую программу не взломать, если она крутится на сервере с полностью отрубленной сетью
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Re[11]: Вопрос к спецам по компьютерной безопасности
От: FDSC Россия consp11.github.io блог
Дата: 08.12.08 12:30
Оценка:
Здравствуйте, frogkiller, Вы писали:

F>Не, я не про разработку, я про организационные меры, инфраструктуру, разнообразные вспомогательные механизмы и тд. Отдельно взятое ПО имхо не сильно отличается от "средней температуры по больнице", и само по себе это говорит о немногом — даже самое уязвиимую программу не взломать, если она крутится на сервере с полностью отрубленной сетью


Тут ничего сказать не могу, но издали инфраструктура не кажется очень защищённой.
Re[12]: Вопрос к спецам по компьютерной безопасности
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 09.12.08 15:14
Оценка:
Здравствуйте, FDSC, Вы писали:

FDS>Здравствуйте, frogkiller, Вы писали:


F>>Не, я не про разработку, я про организационные меры, инфраструктуру, разнообразные вспомогательные механизмы и тд. Отдельно взятое ПО имхо не сильно отличается от "средней температуры по больнице", и само по себе это говорит о немногом — даже самое уязвиимую программу не взломать, если она крутится на сервере с полностью отрубленной сетью


FDS>Тут ничего сказать не могу, но издали инфраструктура не кажется очень защищённой.


Я, по понятным причинам, воздержусь от обсуждения здесь особенностей нашей инфраструктуры (так инфраструктуры или методики разработки?), но хочу заметить, что внутри компании у нас практически не разрабатываются системы, смотрящие наружу — такова политика. Разработка всего, что несет коммерческие риски — интеграторам. Просто FYI.

Если есть желание продолжить беседу, буду рад сделать это в личке

ЗЫ: это и frogkiller'у ответ, если что

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[3]: [оффтопик]
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 09.12.08 15:14
Оценка:
Здравствуйте, FDSC, Вы писали:

FDS>Здравствуйте, kochetkov.vladimir.


FDS>А на русском в инете что-нибудь есть по безопасности? Учебники там какие-нибудь?


Есть. А какая безопасность интересует-то? (то, что "информационная" понятно, я про специализацию)

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[2]: Вопрос к спецам по компьютерной безопасности
От: Donz Россия http://donz-ru.livejournal.com
Дата: 10.12.08 10:07
Оценка:
Здравствуйте, samius, Вы писали:

S>Потому в вопросе про шефа и вероятность для начала шеф должен озвучить как сильно необходимы права администратора злоумышленникам. Иначе слишком уж гипотетическая ситуация.

S>Полный вопрос должен выглядеть так:

S>Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора, если за взлом обещан автомобиль "Калина" (вилла на островах, шанс прожить дольше месяца, прочее)


За мотивацию хакера надо брать максимальную выгоду (не обязательно материальную), которую можно получить от взлома системы.
Re[3]: Вопрос к спецам по компьютерной безопасности
От: samius Япония http://sams-tricks.blogspot.com
Дата: 10.12.08 10:23
Оценка:
Здравствуйте, Donz, Вы писали:

D>Здравствуйте, samius, Вы писали:


S>>Потому в вопросе про шефа и вероятность для начала шеф должен озвучить как сильно необходимы права администратора злоумышленникам. Иначе слишком уж гипотетическая ситуация.

S>>Полный вопрос должен выглядеть так:

S>>Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора, если за взлом обещан автомобиль "Калина" (вилла на островах, шанс прожить дольше месяца, прочее)


D>За мотивацию хакера надо брать максимальную выгоду (не обязательно материальную), которую можно получить от взлома системы.

Хакеру могли посулить гораздо больше, чем можно получить от взлома
Re[3]: Вопрос к спецам по компьютерной безопасности
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 10.12.08 10:33
Оценка:
Здравствуйте, Donz, Вы писали:

D>Здравствуйте, samius, Вы писали:


S>>Потому в вопросе про шефа и вероятность для начала шеф должен озвучить как сильно необходимы права администратора злоумышленникам. Иначе слишком уж гипотетическая ситуация.

S>>Полный вопрос должен выглядеть так:

S>>Представтьте, что ваш шеф вызывает вас и просить назвать число — верхнюю границу для вероятности того, что в течение ближайшего месяца хакеры взломают вашу систему и получат права администратора, если за взлом обещан автомобиль "Калина" (вилла на островах, шанс прожить дольше месяца, прочее)


D>За мотивацию хакера надо брать максимальную выгоду (не обязательно материальную), которую можно получить от взлома системы.


Ok, предположим, что такой выгодой для хакера является гарантия, что ни с ним, ни с его родными/близкими в ближайшее время не произойдет какой-либо "несчастный" случай. И?

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[4]: Вопрос к спецам по компьютерной безопасности
От: Donz Россия http://donz-ru.livejournal.com
Дата: 10.12.08 11:28
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

D>>За мотивацию хакера надо брать максимальную выгоду (не обязательно материальную), которую можно получить от взлома системы.


KV>Ok, предположим, что такой выгодой для хакера является гарантия, что ни с ним, ни с его родными/близкими в ближайшее время не произойдет какой-либо "несчастный" случай. И?


Реальные случаи?
Не думаю, что если хакер не сможет взломать систему за 10000 баксов, то он ее тут же разберет на винтики, чтобы ничего не случилось с его родными.
Выгоду надо считать не для хакера (он по сути только инструмент), а для заинтересованной стороны. То есть, можно за сто баксов нанять соседа Васю (ну или взять в заложники его любимую собаку), а можно обратиться к Митнику со 100000 баксами (или взять в заложники его семью). Во втором случае заинтересованность гораздо выше и навряд ли кто-то будет это делать, чтобы посмотреть почтовый ящик неверной жены.
ИМХО, конечно.
Re[4]: Вопрос к спецам по компьютерной безопасности
От: Donz Россия http://donz-ru.livejournal.com
Дата: 10.12.08 11:31
Оценка:
Здравствуйте, samius, Вы писали:

D>>За мотивацию хакера надо брать максимальную выгоду (не обязательно материальную), которую можно получить от взлома системы.

S>Хакеру могли посулить гораздо больше, чем можно получить от взлома
Как уже написал Владимиру, навряд ли хакер станет в два раза умнее от еще одного нолика в сумме. Или очень крутой спец, чьи услуги стоят больше предполагаемой выгоды, поверит на слово, что сразу после взлома ему честно кинут на мобилу мильон денег.
Re[5]: Вопрос к спецам по компьютерной безопасности
От: samius Япония http://sams-tricks.blogspot.com
Дата: 10.12.08 11:40
Оценка:
Здравствуйте, Donz, Вы писали:

D>Здравствуйте, samius, Вы писали:


D>>>За мотивацию хакера надо брать максимальную выгоду (не обязательно материальную), которую можно получить от взлома системы.

S>>Хакеру могли посулить гораздо больше, чем можно получить от взлома
D>Как уже написал Владимиру, навряд ли хакер станет в два раза умнее от еще одного нолика в сумме.
Конечно не станет. Но если нолика не хватает, то он не будет сильно напрягаться (если не на "слабо", конечно ломает).

D>Или очень крутой спец, чьи услуги стоят больше предполагаемой выгоды, поверит на слово, что сразу после взлома ему честно кинут на мобилу мильон денег.

Вероятно.
Потому сумму предполагаемой выгоды нельзя даже брать за теоретический потолок мотивации хакера. А чаще всего, мотивация хакера — небольшая доля от суммы предполагаемой выгоды. Значит в данном вопросе мотивация хакера имеет большее значение, чем размер предполагаемой выгоды от взлома.

Ссори, чего-то не очень интересно это обсуждать
Re[5]: Вопрос к спецам по компьютерной безопасности
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 10.12.08 11:42
Оценка:
Здравствуйте, Donz, Вы писали:

D>Здравствуйте, kochetkov.vladimir, Вы писали:


D>>>За мотивацию хакера надо брать максимальную выгоду (не обязательно материальную), которую можно получить от взлома системы.


KV>>Ok, предположим, что такой выгодой для хакера является гарантия, что ни с ним, ни с его родными/близкими в ближайшее время не произойдет какой-либо "несчастный" случай. И?


D>Реальные случаи?


Был реальный случай угроз со стороны "оборотней в погонах", грозивших нашему сотруднику сроком, если тот откажется им представлять некоторую информацию из систем конторы.

D>Не думаю, что если хакер не сможет взломать систему за 10000 баксов, то он ее тут же разберет на винтики, чтобы ничего не случилось с его родными.

D>Выгоду надо считать не для хакера (он по сути только инструмент), а для заинтересованной стороны. То есть, можно за сто баксов нанять соседа Васю (ну или взять в заложники его любимую собаку), а можно обратиться к Митнику со 100000 баксами (или взять в заложники его семью). Во втором случае заинтересованность гораздо выше и навряд ли кто-то будет это делать, чтобы посмотреть почтовый ящик неверной жены.
D>ИМХО, конечно.

Дело в том, что "хакером" может выступать не только мрачный бородатый дядка в черных очках и шляпе, стучащий по клаве в подземном бункере, с сигаретой в зубах, но и реальный и легальный пользователь системы, которую предполагается взломать. Я про инсайд-атаки. Это дешевле и эффективнее, нежели найм "независимого эксперта".

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[8]: Вопрос к спецам по компьютерной безопасности
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 10.12.08 11:48
Оценка:
Здравствуйте, Donz, Вы писали:

D>Здравствуйте, frogkiller, Вы писали:


F>>Ничего личного , но имхо полосатая компания страдает серьёзной степенью паранойи в отношении безопасности своих серверов, отчего несёт убытков значительно больше, чем от действий потенциальных злоумышленников.


D>Поверь, это лучше, чем когда сине-зеленая компания при вводе в строй нового сервиса забывает проверять пароль, и для входа достаточно указать существующий в их базе ник.


А про красно-белую, есть чего-нибудь?

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[6]: Вопрос к спецам по компьютерной безопасности
От: Donz Россия http://donz-ru.livejournal.com
Дата: 10.12.08 13:08
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Дело в том, что "хакером" может выступать не только мрачный бородатый дядка в черных очках и шляпе, стучащий по клаве в подземном бункере, с сигаретой в зубах, но и реальный и легальный пользователь системы, которую предполагается взломать. Я про инсайд-атаки. Это дешевле и эффективнее, нежели найм "независимого эксперта".

И? Денег то ему дадут явно не больше, чем может принести добытая информация.
Я же говорю, сам хакер — это просто инструмент, может быть дороже, может быть дешевле. Но в целом на атаку не будет потрачено больше средств, чем получено от нее выгоды. И поэтому, ИМХО, надо опираться как раз на это количество возможно потраченных средств на атаку при расчете, насколько крутые перцы и насколько настойчиво будут ломать.
Re[4]: Вопрос к спецам по компьютерной безопасности
От: ili Россия  
Дата: 10.12.08 14:18
Оценка:
Здравствуйте, Nikolay_, Вы писали:

N_>А вы всё ещё верите в абсолютно защищенные системы? Однако, помнится, даже в топ-менеджмент ЦРУ шпионы проникали.

N_>Речь идёт о верхней границе. Верхняя -- 100. Если вложат достаточную сумму денег, то сломают любую защиту.

да это что! вот отечественные пионеры одному американскому президенту подарили герб США со встроенным жучком, так этот герб чертову уйму времегни успешно в овальном кабинете работал
Re[2]: Вопрос к спецам по компьютерной безопасности
От: ili Россия  
Дата: 10.12.08 14:20
Оценка:
Здравствуйте, Геннадий Васильев, Вы писали:

ГВ>Здравствуйте, nikov, Вы писали:


N>>Смогли бы вы дать ответ на такой вопрос?


ГВ>Легко! 42%!


42 это по Дугласу Адамсу?
Re[9]: Вопрос к спецам по компьютерной безопасности
От: Donz Россия http://donz-ru.livejournal.com
Дата: 10.12.08 15:27
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

F>>>Ничего личного , но имхо полосатая компания страдает серьёзной степенью паранойи в отношении безопасности своих серверов, отчего несёт убытков значительно больше, чем от действий потенциальных злоумышленников.


D>>Поверь, это лучше, чем когда сине-зеленая компания при вводе в строй нового сервиса забывает проверять пароль, и для входа достаточно указать существующий в их базе ник.


KV>А про красно-белую, есть чего-нибудь?


Конкретных примеров нет. Целенаправленно я косяки не ищу, просто пользователь Мегафона, потому и обнаружил у них. Но Муртазин утверждает, что у него чуть ли не из дома доступ к интралану МТСа. Правда, он много чего утверждает
Разве что (не уверен, что относится к безопасноти, да и сделано это было специально) есть возможность подписаться на какую-либо услугу, отправив один раз СМС на номер, и с твоего счета будут регулярно списываться деньги, чем и пользуются околомошеннические организации. То есть, они, можно сказать, получают доступ к счету. Причем, как я понял, отпиской от услуги заведует та же организация, а не сам МТС. Но тут дело мутное.
Re[4]: [оффтопик]
От: FDSC Россия consp11.github.io блог
Дата: 10.12.08 16:21
Оценка:
Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Есть. А какая безопасность интересует-то? (то, что "информационная" понятно, я про специализацию)


Всякая. Я вообще сам тестированием занимаюсь, хотелось бы посмотреть на смежные вопросы, особенно касающиеся общих аспектов: методика разработки и анализа, риски и т.п.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.