id: Гость   вход   регистрация
текущее время 15:19 29/03/2024
Автор темы: Гость, тема открыта 30/06/2006 04:24 Печать
создать
просмотр
ссылки

Вся защита иллюзия!


Привет.


Я уже 12 лет занимаюсь ИБ уже давно пришёл к выводу что часть ИБ это иллюзия. В частности электронные подписи и аунтефикация. В современном мире невозможно защитить сетевой компьютер! Всё это иллюзия, при желании и средствах можно подделать практически любую ЭЦП, подделать, хотя это слово не совсем верно.


Я утверждаю что можно сломать практически любую сетевую машину, похитить ключ и пароль, и сделать это так, что пользователь не заметит. Я почитал форум, в теории которые выдвигают различые люди о ЭЦП, всё это, если речь косается сетевой машины, иллюзия. Увы, в современных условиях невозможно защитить компьютер подключнный к сети.


Коллеги с которыми я сейчас работаю в следствии иследования обнаружили массы уязвимостей в WEB браузерах, и системах безопасности различных O/S и т.д... Невозможно сделать компьютер подключённый к кой либо сети неуязвимым. А те, кто знает эти уязвимости вряд-ли когда либо скажут о них в массы, это даёт привелегии на исполнение построннего кода.


Вряди кто задумывался что программы (второстепенно) может быть запущена и без порождения процессов или задач, а значит она может быть абсолютно незаметна. Впрочем, если на удалённой машине удалось запустить на исполнения какой либо код, то я уверяю никакое ПО безопасности уже не спасёт.


Вы все живёте в иллюзии! Проснитесь, какая может быть пересылка электронных зашифрованных сообщений, писем и т.д... если эта пересылка осуществляется через интернет? Я не хочу ничего никому доказывать, но я утверждаю что с вероятностью 95% у меня была бы возможность исполнить любой код на удалённой машине. Это дорого, и всё тут упирается в деньги и время, хотя даже скорее всего во второе.


ИБ возможно только на компьютерах которые не имеют выхода в сеть физически, а всё остальное это обман. Вы ставите себе межсетевой экран и думаете что он вас защитит? Кто сказал что кто-то будет заниматься именно с этой стороны? Мне непонятна моно-мышление людей которые обитают на этом проекте (сайте).


Я могу дать только один совет, не заблуждайтесь, безопасно подписать файл можно только на машине которая не имеет выход в какую либо сеть. Затем скопировать его на машину с интернетом и отправить его, а подписание файла и любые другие операции с криптографическими и другими инструментами защиты на сетевой машине это бред...


 
На страницу: 1, 2 След.
Комментарии
— Гость (30/06/2006 22:56)   <#>
Crymaxi:
Привет.

Я уже 12 лет занимаюсь ИБ уже давно пришёл к выводу что часть ИБ это иллюзия.

Поздравляю с открытием!

В частности электронные подписи и аунтефикация. В современном мире невозможно защитить сетевой компьютер! Всё это иллюзия, при желании и средствах можно подделать практически любую ЭЦП, подделать, хотя это слово не совсем верно.

Несмотря на ваш многолетний опыт, вы кажется, не поняли самой цели ИБ: обеспечить, чтобы необходимые для атаки средства стали такими, чтобы желание атаковать отпало. Если эта цель достигается, то ИБ обеспечена и не является иллюзией (хотя и иллюзорная защита, если эта иллюзия возникает у противника, полезна; это называется dog sign security).

Защита не ставит целью сделать атаки невозможными; цель защиты их предотвращение. Это достигается в трех случаях:

1. У противника не достаточно средств для преодоления защиты
2. У противника достаточно средств, но выгода от атаки значительно ниже затрат на нее.
3. И выгода от атаки превосходит затраты и средств для этого достаточно, но есть более выгодная альтернатива. Пример: если вы пристегнете велосипед слабеньким замком рядом с более дорогим непристегнутым велосипедом, то ваш велосипед достаточно надежно защищен.

Конечно, мы спим крепче в первом случае, но даже в остальных случаях безопасность не иллюзия.

Я утверждаю что можно сломать практически любую сетевую машину, похитить ключ и пароль, и сделать это так, что пользователь не заметит.

Можно. Весь вопрос в цене. Задача криптографии поднять эту цену до удовлетворительного (см. выше) уровня.

Я почитал форум, в теории которые выдвигают различые люди о ЭЦП, всё это, если речь косается сетевой машины, иллюзия. Увы, в современных условиях невозможно защитить компьютер подключнный к сети.

От реальных угроз — возможно. От всех гипотетических — нет.

Коллеги с которыми я сейчас работаю в следствии иследования обнаружили массы уязвимостей в WEB браузерах, и системах безопасности различных O/S и т.д... Невозможно сделать компьютер подключённый к кой либо сети неуязвимым.

А этого и не требуется.

А те, кто знает эти уязвимости вряд-ли когда либо скажут о них в массы, это даёт привелегии на исполнение построннего ода.

Почему же не скажут? Говорят, ведь! В первую очередь для того, чтобы эти уязвимости залатали те, кто за это отвечает.

Вряди кто задумывался что программы (второстепенно) может быть запущена и без порождения процессов или задач, а значит она может быть абсолютно незаметна.

Почему же, задумываются умные люди. У некоторых это прямая обязаность по работе. :)

Впрочем, если на удалённой машине удалось запустить на исполнения какой либо код, то я уверяю никакое ПО безопасности уже не спасёт.

Не обязательно. Программе взломщика для достижении своей цели нужны соответствующие привилегии доступа и достаточно времени. Грамотная защита может ее лишить того и/или другого, даже в случае успешного взлома.

Вы все живёте в иллюзии! Проснитесь, какая может быть пересылка электронных зашифрованных сообщений, писем и т.д... если эта пересылка осуществляется через интернет?

А в чем проблема? Один из участников этого форума сможет прочитать следующее сообщение, и больше никто. И вы даже не знаете, чей компьютер ломать...


Я не хочу ничего никому доказывать, но я утверждаю что с вероятностью 95% у меня была бы возможность исполнить любой код на удалённой машине.

Когда мы говорим о вероятности, то следует обозначить вероятностное поле, обосновать соответствие вероятностной модели реальной ситуации.

Это дорого, и всё тут упирается в деньги и время, хотя даже скорее всего во второе.

Q. E. D. Значит, всетаки, безопасность не иллюзия.

ИБ возможно только на компьютерах которые не имеют выхода в сеть физически, а всё остальное это обман. Вы ставите себе межсетевой экран и думаете что он вас защитит? Кто сказал что кто-то будет заниматься именно с этой стороны? Мне непонятна моно-мышление людей которые обитают на этом проекте (сайте).

Ну вот, я его постарался обьяснить. Надеюсь, успешно.

Я могу дать только один совет, не заблуждайтесь, безопасно подписать файл жно только на машине которая не имеет выход в какую либо сеть.

Не факт. Смотря, для чего нужна эта подпись. Конечно, в некоторых случаях подписывать действительно стоит на несетевом компьютере. Но таких случаев мало.

Затем скопировать его на машину с интернетом и отправить его, а подписание файла и любые другие операции с криптографическими и другими инструментами защиты на сетевой машине это бред...

Нет, не бред а прагматичная мера достаточной безопасности.
— unknown (01/07/2006 17:10)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664


Привет.

Я уже 12 лет занимаюсь ИБ уже давно пришёл к выводу что часть ИБ это иллюзия.

Коллеги с которыми я сейчас работаю в следствии иследования обнаружили массы уязвимостей в WEB браузерах, и системах безопасности различных O/S и т.д...



Профессор Бернштейн, я Вас узнал!



Я не хочу ничего никому доказывать, но я утверждаю что с вероятностью 95% у меня была бы возможность исполнить любой код на удалённой машине.



И тайминг атаки тоже изобретаете на основе анализа структуры шифров и архитектуры процессоров? Как Шамир и Бернштейн?
http://www.pgpru.com/forum/viewtopic.php?t=959

И обратите внимание на вторую ссылку:
http://www.pgpru.com/forum/viewtopic.php?t=1179

И после этого вы утверждаете, что можете нас чем-то удивить?



ИБ возможно только на компьютерах которые не имеют выхода в сеть физически, а всё остальное это обман.



А если выйти на улицу в бронежилете, противогазе и ехать внутри танка, то это тоже не спасёт от попадания тяжелой ракеты.




Я почитал форум, в теории которые выдвигают различые люди о ЭЦП, всё это, если речь косается сетевой машины, иллюзия.



Ну никто же не расстраивается от того, что ему не удалось увидеть идеально плоскую поверхность или абсолютно замкнутую систему, зато какие красивые теории и уравнения получаются. И по ним даже делают чертежи и машины. И это даже как-то работает.



А те, кто знает эти уязвимости вряд-ли когда либо скажут о них в массы, это даёт привелегии на исполнение построннего кода.



Да, даже во вдоль и поперёк изученном открытом коде спустя десять лет могут найти ошибку. Мы про это упоминали. Расскажите хотя бы в общем что-то для нас новое и интересное. Хотя бы по сравнению с этой работой: http://www.pgpru.com/forum/viewtopic.php?t=1836



А в чем проблема? Один из участников этого форума сможет прочитать следующее сообщение, и больше никто. И вы даже не знаете, чей компьютер ломать...



Если он только сам не признается. А что там за подозрительные символы в конце после слова test message, кривой Unicode или какие-то вредоносные комманды от поддельного отправителя?
— unknown (01/07/2006 17:38)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Чтобы остаться анонимным, я всё-таки никому не скажу, что в сообщении содержатся UNICODE-8 символы. ;-)
— Гость (02/07/2006 16:10)   <#>
unknown:
Чтобы остаться анонимным, я всё-таки никому не скажу, что в сообщении содержатся UNICODE-8 символы. ;-)

;-)
— Гость (03/07/2006 15:46)   <#>
А что, нынче так дорого приобрести второй компьютер, способный на подпись/шифровку? :-)
— SATtva (03/07/2006 16:16)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Давным давно здесь писал, что особо ценные ключи и криптографические операции должны применяться только в изолированной среде.
— Гость (04/07/2006 02:15)   <#>
О бесполезности информационной безопасности
Памфлет.
http://www.securitylab.ru/opinion/264493.php
— Гость (04/07/2006 03:35)   <#>
некто:
О бесполезности информационной безопасности
Памфлет.
http://www.securitylab.ru/opinion/264493.php

Хотя, конечно, много того, что там написано соответствует действительности, со взглядом на безопасность и с выводами памфлета я категорически несогласен.

Главная причина уязвимости большинства корпоративных ИТ систем, это полное несостыковка мотивов участников процесса ИБ. Все без исключения примеры приведенные в памфлете относятся именно к этой категории.

Львиная доля обеспечения безопасности информации действительно приходится на административные меры. В первую очередь, это грамотное распределение сфер ответствености и доступа. Техника (в том числе и криптография) нужна в первую очередь для обеспечения действености аднимистративных мер.

Как показывает опыт, в хорошо построенной защите не надо постоянно латать дыры. В войну против троянов, вирусов и прочей дряни просто нельзя вступать: большинство пользователей не должно иметь никакую возможность устанавливать и запускать чужие программы.

Тонкие клиенты — мечта админа и пользователей. Тихо, мало места занимает, и значительно легче администрировать так, чтобы не давать шансов супостату. Не надо в офисе на стол ставить большой шумный бежевый шкаф! Он слишком интенсивно повышает энтропию вселенной...
— Гость (04/07/2006 16:47)   <#>
О памфлете.

Собственно один вопрос филологический: можно ли называть уменьшение вероятности вреда пользой?

А вот второй нравственно-маркетинговый: кто что охраняет, тот то и имеет, и стои ли эта охрана таких денег как говорят.

Интересно проследить аналогию в области реальных стальных дверей и замков.

вот, к примеру, цитата из А. Гончаренко на форуме A. Вагнера:

" бесполезны и бессмысленны имитационные «якобы защитные двери», по факту наводящие на владельца вора и грабителя.
Именно провоцирующие совершить кражу. Благо мгновенно видно, что владелец глуп и туп, и попался на разводку специалистов от дверной спекуляции, выставив себя на показ при помощи якобы защищенных дверей из общего ряда квартир.
Как наглядно показывает ментовская статистика, за последние 10 лет, количество квартирных краж и грабежей растет бешенными темпами именно в отношении подобных чудаков.
И если еще учесть, что и дверники и ворье, вместе наживают на этом кучу денег, то становится очевидным, что ворье и предложения "ведёрных" дверей является звеньями одной преступной цепи.
Тесно связанные друг с другом. "

http://www.doorshop.ru/forum/v.....storder=asc&start=28
— SATtva (04/07/2006 17:14)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Порой о спаме и спамоборцах возникают похожие крамольные мысли... :roll:
— unknown (04/07/2006 20:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
... О вирусах и антивирусописателях.
... О защитниках и взломщиках

Мои мысли (крамольные) – мои скакуны...
— Гость (16/03/2009 13:53)   <#>
А в чем проблема? Один из участников этого форума сможет прочитать следующее сообщение, и больше никто. И вы даже не знаете, чей компьютер ломать...

Я вот хотел проверить, не мой ли компьютер ломать надо, и молвит он человеческим голосом:

Просветите меня, какими опциями включается в gpg анонимный получатель? Ну чтобы не видно было, чьим ключом зашифровано посторонним. В принципе, хорошая штука для анонимности.
— unknown (16/03/2009 14:29)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
— Гость (19/03/2009 22:30)   <#>
Да, по поводу, "якобы защитных дверей" в точку: у меня довольно долгое время стояла обычная деревянная дверь, которую я пару раз вышибал плечом, когда забывал ключ – и никто за всё время в эту дверь не влез. Когда она стала уж совсем стрёмной, что могли бы влезть малолетние нарики, я поставил достаточно дорогую железную, но снаружи заставил покрасить самой дешёвой порошковой краской безо всяких дубовых панелей и красного дерева и то только потому, что искусственной кожи, которой обтягивались двери в "трудных 90-х" у поставщика просто не было. Поэтому и в работе гораздо большее предпочтение отдаю методам стеганографии, нежели использованию самых продвинутых алгоритмов шифрования и т.п., которые всё равно беззащитны перед менталитетом, интеллектуальным потенциалом и социальным напором тётушек из бухгалтерии или с ресепшена
— DDRTL (21/03/2009 19:36)   профиль/связь   <#>
комментариев: 212   документов: 27   редакций: 20
Поэтому и в работе гораздо большее предпочтение отдаю методам стеганографии, нежели использованию самых продвинутых алгоритмов шифрования и т.п., которые всё равно беззащитны перед менталитетом, интеллектуальным потенциалом и социальным напором тётушек из бухгалтерии или с ресепшена

У каждого свои вкусы и предпочтения) О вкусах не спорят. Вполне можно сидеть вконтакте(как вариант передача секретных данных через порносайт=) ) и бухать туда свои фотки "со смыслом")
А можно юзая асю или любой другой клиент IM спокойно юзать PGP или GPG
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3