Вся защита иллюзия!
Привет.
Я уже 12 лет занимаюсь ИБ уже давно пришёл к выводу что часть ИБ это иллюзия. В частности электронные подписи и аунтефикация. В современном мире невозможно защитить сетевой компьютер! Всё это иллюзия, при желании и средствах можно подделать практически любую ЭЦП, подделать, хотя это слово не совсем верно.
Я утверждаю что можно сломать практически любую сетевую машину, похитить ключ и пароль, и сделать это так, что пользователь не заметит. Я почитал форум, в теории которые выдвигают различые люди о ЭЦП, всё это, если речь косается сетевой машины, иллюзия. Увы, в современных условиях невозможно защитить компьютер подключнный к сети.
Коллеги с которыми я сейчас работаю в следствии иследования обнаружили массы уязвимостей в WEB браузерах, и системах безопасности различных O/S и т.д... Невозможно сделать компьютер подключённый к кой либо сети неуязвимым. А те, кто знает эти уязвимости вряд-ли когда либо скажут о них в массы, это даёт привелегии на исполнение построннего кода.
Вряди кто задумывался что программы (второстепенно) может быть запущена и без порождения процессов или задач, а значит она может быть абсолютно незаметна. Впрочем, если на удалённой машине удалось запустить на исполнения какой либо код, то я уверяю никакое ПО безопасности уже не спасёт.
Вы все живёте в иллюзии! Проснитесь, какая может быть пересылка электронных зашифрованных сообщений, писем и т.д... если эта пересылка осуществляется через интернет? Я не хочу ничего никому доказывать, но я утверждаю что с вероятностью 95% у меня была бы возможность исполнить любой код на удалённой машине. Это дорого, и всё тут упирается в деньги и время, хотя даже скорее всего во второе.
ИБ возможно только на компьютерах которые не имеют выхода в сеть физически, а всё остальное это обман. Вы ставите себе межсетевой экран и думаете что он вас защитит? Кто сказал что кто-то будет заниматься именно с этой стороны? Мне непонятна моно-мышление людей которые обитают на этом проекте (сайте).
Я могу дать только один совет, не заблуждайтесь, безопасно подписать файл можно только на машине которая не имеет выход в какую либо сеть. Затем скопировать его на машину с интернетом и отправить его, а подписание файла и любые другие операции с криптографическими и другими инструментами защиты на сетевой машине это бред...
Поздравляю с открытием!
Несмотря на ваш многолетний опыт, вы кажется, не поняли самой цели ИБ: обеспечить, чтобы необходимые для атаки средства стали такими, чтобы желание атаковать отпало. Если эта цель достигается, то ИБ обеспечена и не является иллюзией (хотя и иллюзорная защита, если эта иллюзия возникает у противника, полезна; это называется dog sign security).
Защита не ставит целью сделать атаки невозможными; цель защиты их предотвращение. Это достигается в трех случаях:
1. У противника не достаточно средств для преодоления защиты
2. У противника достаточно средств, но выгода от атаки значительно ниже затрат на нее.
3. И выгода от атаки превосходит затраты и средств для этого достаточно, но есть более выгодная альтернатива. Пример: если вы пристегнете велосипед слабеньким замком рядом с более дорогим непристегнутым велосипедом, то ваш велосипед достаточно надежно защищен.
Конечно, мы спим крепче в первом случае, но даже в остальных случаях безопасность не иллюзия.
Можно. Весь вопрос в цене. Задача криптографии поднять эту цену до удовлетворительного (см. выше) уровня.
От реальных угроз — возможно. От всех гипотетических — нет.
А этого и не требуется.
Почему же не скажут? Говорят, ведь! В первую очередь для того, чтобы эти уязвимости залатали те, кто за это отвечает.
Почему же, задумываются умные люди. У некоторых это прямая обязаность по работе. :)
Не обязательно. Программе взломщика для достижении своей цели нужны соответствующие привилегии доступа и достаточно времени. Грамотная защита может ее лишить того и/или другого, даже в случае успешного взлома.
А в чем проблема? Один из участников этого форума сможет прочитать следующее сообщение, и больше никто. И вы даже не знаете, чей компьютер ломать...
Когда мы говорим о вероятности, то следует обозначить вероятностное поле, обосновать соответствие вероятностной модели реальной ситуации.
Q. E. D. Значит, всетаки, безопасность не иллюзия.
Ну вот, я его постарался обьяснить. Надеюсь, успешно.
Не факт. Смотря, для чего нужна эта подпись. Конечно, в некоторых случаях подписывать действительно стоит на несетевом компьютере. Но таких случаев мало.
Нет, не бред а прагматичная мера достаточной безопасности.
комментариев: 9796 документов: 488 редакций: 5664
Профессор Бернштейн, я Вас узнал!
И тайминг атаки тоже изобретаете на основе анализа структуры шифров и архитектуры процессоров? Как Шамир и Бернштейн?
http://www.pgpru.com/forum/viewtopic.php?t=959
И обратите внимание на вторую ссылку:
http://www.pgpru.com/forum/viewtopic.php?t=1179
И после этого вы утверждаете, что можете нас чем-то удивить?
А если выйти на улицу в бронежилете, противогазе и ехать внутри танка, то это тоже не спасёт от попадания тяжелой ракеты.
Ну никто же не расстраивается от того, что ему не удалось увидеть идеально плоскую поверхность или абсолютно замкнутую систему, зато какие красивые теории и уравнения получаются. И по ним даже делают чертежи и машины. И это даже как-то работает.
Да, даже во вдоль и поперёк изученном открытом коде спустя десять лет могут найти ошибку. Мы про это упоминали. Расскажите хотя бы в общем что-то для нас новое и интересное. Хотя бы по сравнению с этой работой: http://www.pgpru.com/forum/viewtopic.php?t=1836
Если он только сам не признается. А что там за подозрительные символы в конце после слова test message, кривой Unicode или какие-то вредоносные комманды от поддельного отправителя?
комментариев: 9796 документов: 488 редакций: 5664
;-)
комментариев: 11558 документов: 1036 редакций: 4118
Памфлет.
http://www.securitylab.ru/opinion/264493.php
Хотя, конечно, много того, что там написано соответствует действительности, со взглядом на безопасность и с выводами памфлета я категорически несогласен.
Главная причина уязвимости большинства корпоративных ИТ систем, это полное несостыковка мотивов участников процесса ИБ. Все без исключения примеры приведенные в памфлете относятся именно к этой категории.
Львиная доля обеспечения безопасности информации действительно приходится на административные меры. В первую очередь, это грамотное распределение сфер ответствености и доступа. Техника (в том числе и криптография) нужна в первую очередь для обеспечения действености аднимистративных мер.
Как показывает опыт, в хорошо построенной защите не надо постоянно латать дыры. В войну против троянов, вирусов и прочей дряни просто нельзя вступать: большинство пользователей не должно иметь никакую возможность устанавливать и запускать чужие программы.
Тонкие клиенты — мечта админа и пользователей. Тихо, мало места занимает, и значительно легче администрировать так, чтобы не давать шансов супостату. Не надо в офисе на стол ставить большой шумный бежевый шкаф! Он слишком интенсивно повышает энтропию вселенной...
Собственно один вопрос филологический: можно ли называть уменьшение вероятности вреда пользой?
А вот второй нравственно-маркетинговый: кто что охраняет, тот то и имеет, и стои ли эта охрана таких денег как говорят.
Интересно проследить аналогию в области реальных стальных дверей и замков.
вот, к примеру, цитата из А. Гончаренко на форуме A. Вагнера:
" бесполезны и бессмысленны имитационные «якобы защитные двери», по факту наводящие на владельца вора и грабителя.
Именно провоцирующие совершить кражу. Благо мгновенно видно, что владелец глуп и туп, и попался на разводку специалистов от дверной спекуляции, выставив себя на показ при помощи якобы защищенных дверей из общего ряда квартир.
Как наглядно показывает ментовская статистика, за последние 10 лет, количество квартирных краж и грабежей растет бешенными темпами именно в отношении подобных чудаков.
И если еще учесть, что и дверники и ворье, вместе наживают на этом кучу денег, то становится очевидным, что ворье и предложения "ведёрных" дверей является звеньями одной преступной цепи.
Тесно связанные друг с другом. "
http://www.doorshop.ru/forum/v.....storder=asc&start=28
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
... О защитниках и взломщиках
Мои мысли (крамольные) – мои скакуны...
Я вот хотел проверить, не мой ли компьютер ломать надо, и молвит он человеческим голосом:
Просветите меня, какими опциями включается в gpg анонимный получатель? Ну чтобы не видно было, чьим ключом зашифровано посторонним. В принципе, хорошая штука для анонимности.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 212 документов: 27 редакций: 20
У каждого свои вкусы и предпочтения) О вкусах не спорят. Вполне можно сидеть вконтакте(как вариант передача секретных данных через порносайт=) ) и бухать туда свои фотки "со смыслом")
А можно юзая асю или любой другой клиент IM спокойно юзать PGP или GPG