Афтар прав. Безопасники только выкачивают деньги. Сначала пугают апокалептичными угрозами, потом выпускают убогие поделки, вроде Kaspersky Anti Hacker, Outpost Firewall и пр.

Абсолютно однобокий подход. Глубокое заблуждение заключается в том, что вы считаете хакеров основными угрозами ИБ. Реально же хакер как таковой особого вреда бизнесу причинить не может. Если посмотреть на от же BS 8999 в нем расписано более 120 угроз ИБ, из них чисто "хакерских" не более 20%. А насчет новостей - журналисты пишут то что интересно и то о чем читают.

А попробуй на секлабе опубликовать новость что у компании украли компьютеры. Гости (к которому можно отнести и автора статьи) сразу начинают ныть "как опустился секлаб и при чем тут ИБ". Хотя кража компьютеров как инцидент ИБ наносит более высокий ущерб чем хакерская угроза.

to denzel:

+1

Прям с языка сняли.

To author:

Нда.. вы явно замкнулись в своём мирке - где безопасность или небезопасность - это 0day эксплоиты, киддисы и блэкхэты и админы...

Детский лепет.

А теперь по тексту.


То что делают blackhats, а темболее люди,  придерживающиеся antisec движения (т.е. по вашему - политики неразглашения) вы никогда не узнаете. На то оно и неразглашение... Об этом не говорят на бизнес конференциях по безопасности, равно как и не публикуют в Phrack или не презентуют на DefCone'е. Потомучто antisec - абсолютен. Не разглашать - и точка! И ни для кого исключений нет.
Учите матчасть.

И похоже с элементарными определениями у вас явные проблемы. Сделали из вайтхэтов эдаких недалёких втюхивателей-менеджеров, желающих сорвать как можно больше зелёных бумажек с бедных 'лохов-клиентов' .

A Blackhats по Вашему кто ?

Я думаю они бы очень удивились если бы узнали, как Вася Пупкин их назвал .
(Простите, не знаю как Вас величать, т.к. статья не подписана).

Или наверное все блэкхэты выступают на Blackhat.com'е и DefCon'е?
Но на данных конференциях  львиная доля всего материала готовится именно теми людьми, кто так или иначе задействован в  Security индустрии.

Вообщем крик Вашей души мы поняли.
Но осуждаем.



Удачи.

А чего здесь нервничать ?

Безопасность - это не чьё-то техническое решение, это не чей-то программный или хардварный продукт. Безопасность - это непрерывный процесс. Это понимаю я, это понимают мои коллеги и это понимает большинство наших клиентов. И это же значит, что работа у нас будет всегда.

Кстати, упомянутые автором пробемы в основном возникают у людей, наивно верящих, что безопасность - это "купил файерволл - и забыл". Но данный факт свидетельствует лишь о том, что у народа ещё частенько присутсвует непонимание всей сути вопроса. И, поверьте, если бы не эти заблуждения, то реальных проблем и инцидентов с печальным финалом было бы куда меньше (в том числе и упомянутых автором ошибок, связанных с непродуманными и неоправдано высокими расходами на ИТ безопасность). И, заметьте, ITSEC бизнес - это не только бизнес вендоров. Это ещё и бизнес консалтинговых компаний, которые как раз таки и занимаются тем, что устраняют вышеописанные пробелы в знаниях.

Для наглядности, попробую объяснить ещё более доходчиво:

Во любой сфере бизнеса, ежедневно кто-то что-то кому-то "втюхивает". В этом, естественно, ничего хорошего нет и быть не может. И, опять же, очень часто такие вещи происходят по собственной глупости либо необразованности пострадавших.  Естественно, я не пытаюсь кого-то оправдать.
Но! Даже если такие негативные моменты и присутсвуют, то глупо заявлять, что из-за них какая-либо из сфер бизнеса является полностью прогнившей, и что все занятые в ней компании и люди являются пройдохами и алчными прохвостами.  А именно такое заявление и пытается сделать Вася Пупкин в своей статье.

Неформальное напутствие клиенту:
ITSec  становится большим и насыщенным рынком. Как и на любом развитом рынке, здесь присутсвует широкий выбор продуктов и решений (хороших  - и не очень.. дорогих - и бюджетных.. вообщем на любой вкус) И если ты в чём-то не разбираешься, если не знаешь, как выбрать именно то, что тебе нужно, но при этом хочешь правильно выйти из ситуации, чтобы потом не было мучительно больно... ОБРАТИСЬ за помощью в авторитетную и консалтинговую организацию, как это делают в подобных ситуациях люди, "заблудившиеся" в любой другой сфере.

Удачи.

>НО .... автор неправ в подходе:
>" политика неразглашения информации"
>Это ОЧЕНЬ неправильная политика.
>Рассылки нужны не только для киддисов, но и для серьезных >людей, которые беспокоятся о безопастности своих сетей и >систем.

для этого есть advisory (advisory maillist). зачем допускать распостранение
любого кода (пусть даже P0c), который может привести
к получению несанкционированного доступа?
Тенденция такая уже идет, то есть.. аа.. никто сейчас
ничего серьезно не выкладывает в паблик ->
индустрия ИБ создает и придумывает всевозможные угрозы
от злых хаккеров (которые компелируют в месте). от acid burn и крошки override гыгы

>Наоборот факт наличия в том или ином продукте уязвимости >ДОЛЖЕН быть известен широко.

вопрос: А вам зачем ?

>А извините несостотельность показал именно принцип >"неизвесность == безопастность", который проповедуется >многими и из-за которого происходят очень непрятные >инциденты.

ести сейчас сплоит выложат к последнему sshd это интересно кому хорошо будет ??! "информация должна быть доступна всем"? хаха, не тот век .

btw, не понимаю зачем так ms обвинять..

>Если заработает в полную силу принцип закрытости, то они и >патчить то его не станут (а зачем, мужики то не в курсе )

вот ведь логика - если о проблеме не известно ВСЕМ,
устранять ее не будут.. ну не правильный это подход..
устранят тихо и разошлют патчик по advisory рассылке клиентам. а лишь хочу сказать, что зачем всем васям
по всему миру знать проблемы безопасности используемого мной продукта?

>Также автор зря пренебризительно относится к стандартам и >сертификациям, так как работа с секретными данными - эти >не семечки продавать, и если я доверяю что-то кому-то, ко >я должен убедится в его соот. неким требованиям.

тут вообщем согласен, логика есть.. я лишь хотел сказать, что есть рынок, который основывается на сертификатах.. к примеру позитив
пробивал серт от минобороны - там ведь все ясно уже сразу..
есть у серта свой рынок, без него - ни-ни. дал $$$.. - welcome to.. (куда-то там). разве я не прав?

>О обновлениях:
>Ни для кого не секрет что многие производители ПО (опять >привет M$ и иже с ними) выпускают онные спустя рукава, >часто не оттестированными.

да что опять ms . неоттестированные патчи это сильно ),
но что делать - огромная корпорация, там люди зарабатывают деньги, а не делают хороший продукт. что тут удивительного? тут я с ними солидарнен. кроме того альтернативных ОС хватает.
юзайте тестовые машины, откатывайте обновления если что..

>1) Про подготовку наших security спецов - это позор, а не >специалисты

+1. конечно образование развивает ум, и иногда выходят оттуда грамотные спецы. но опять же - личная заинтересованность и стремление. сама же программа институтов по ИБ очень слаба.
мягко говоря.

> Автор, тебя не узнал, хотя быть может и знакомы, но твой >подход однобок. В ИБ "кидисы, какиры, бофы" и т.д. занимают >сравнительно небольшую часть среди угроз. Причем как правило >эти угрозы легко минимизируются за сравнительно небольшие >деньги.

ясно ). даже не буду спрашивать как.. наверное с помощью CSA
или DEP .

>остановить бизнес-процесс и вызвать колоссальные убытки, с >большей вероятностью может не кидис или блекхет, нанятый >конкурентом, а сгоревший сервер Аксапты с последующими >судорожными попытками восстановить сервис, упавший Оракл и >отсутствие бекапа БД, низкая физ. безопасность помещений.

об этом я и говорил в своей статье. про то чем занимаются в мире безопасности.

> Абсолютно однобокий подход. Глубокое заблуждение заключается в >том, что вы считаете хакеров основными угрозами ИБ. Реально же >хакер как таковой особого вреда бизнесу причинить не может. >Если посмотреть на от же BS 8999 в нем расписано более 120 >угроз ИБ, из них чисто "хакерских" не более 20%. А насчет >новостей - журналисты пишут то что интересно и то о чем читают.

только вот мусоливают-перемусоливают эти "не более 20%", не странно ли это ?

>А попробуй на секлабе опубликовать новость что у компании >украли компьютеры. Гости (к которому можно отнести и автора >статьи) сразу начинают ныть "как опустился секлаб и при чем тут >ИБ".

я бы такого не сказал ). ты продал секлаб и правильно поступил имо. раньше секлаб был хорошим аналитическим ресурсом,
теперь этого нет как и нет многово другово, что было в том далеком времени - это нормально я считаю..

> автор наконец-то нашел новую работу? из верофарма выгнали >абезделие, как обычно???  

ээ.. не работал никогда в верофарме. к чему вы это?

>все что написал - чушь полнейшая! еслиб ты хоть немного понимал >глубину проблемы, ты бы не писал таких статей в принципе...

ну-ну. чур меня, чур меня ).

>ps. учи русский! а уж пишешь что-то, перечитай перед тем, как >выкладывать.

сам учи, и говори на нем.

>Нда.. вы явно замкнулись в своём мирке - где безопасность или >небезопасность - это 0day эксплоиты, киддисы и блэкхэты и >админы...
>Детский лепет.

ясно ).

>То что делают blackhats, а темболее люди, придерживающиеся >antisec движения (т.е. по вашему - политики неразглашения) вы >никогда не узнаете. На то оно и неразглашение... Об этом не >говорят на бизнес конференциях по безопасности, равно как и не >публикуют в Phrack или не презентуют на DefCone'е. Потомучто >antisec - абсолютен. Не разглашать - и точка! И ни для кого >исключений нет.
>Учите матчасть.

а галлактические бластеры у них тоже есть?

>И похоже с элементарными определениями у вас явные проблемы. >Сделали из вайтхэтов эдаких недалёких втюхивателей-менеджеров, >желающих сорвать как можно больше зелёных бумажек с бедных >'лохов-клиентов' [С улыбкой] .

к этому и идет дело. разве не так ?

>Или наверное все блэкхэты выступают на Blackhat.com'е и >DefCon'е?
>Но на данных конференциях львиная доля всего материала >готовится именно теми людьми, кто так или иначе задействован в >Security индустрии.

при чем здесь индустрия я не понимаю? это и есть сцена, та что
на public.ну блин давайте ЗУБР вспомним.. и еще что там.. вот это ближе у индустрии.. там сразы "призы" продуктам раздают.. да вы посмотрите названия докладов на этих мероприятиях (bh, defcon)? не напоминает этот "детский лепет с 0-day, блэкхатами и тд"? по моему их интересует больше эти темы, чем
угнанные буки с бухгалтерией. у вас с логикой проблемы похоже.
security-индустрия это как раз "ЗУБР" в самом глубоком смысле этого.. ээ.. ругательства .

> тов. Автор, в Вас кирпич кинуть. или сразу шлакоблок?
>не буду ничего комментировать, так как коллеги(или >диномышленники) всё уже сказали.
> но добавлю, не можешь срать-не мучай жопу

я тоже это не буду комментировать Ж). господа, не подавитесь от злости, я же просто высказываю свое мнение. переходить на личности лучше при личной встрече, это на будущее.

>А чего здесь нервничать [С улыбкой] ?
>Безопасность - это не чьё-то техническое решение, это не чей-то >программный или хардварный продукт. Безопасность - это >непрерывный процесс. Это понимаю я, это понимают мои коллеги и >это понимает большинство наших клиентов. И это же значит, что >работа у нас будет всегда.

безопасность - это такой недостижимый инь-янь, что-то вроде черной дыры . Конечно работа будет всегда. об этом ли речь?

>Кстати, упомянутые автором пробемы в основном возникают у >людей, наивно верящих, что безопасность - это "купил файерволл >- и забыл".

гы ). а что еще надо купить ?

>непонимание всей сути вопроса. И, поверьте, если бы не эти >заблуждения, то реальных проблем и инцидентов с печальным >финалом было бы куда меньше (в том числе и упомянутых автором >ошибок, связанных с непродуманными и неоправдано высокими >расходами на ИТ безопасность). И, заметьте, ITSEC бизнес - это >не только бизнес вендоров. Это ещё и бизнес консалтинговых >компаний, которые как раз таки и занимаются тем, что устраняют >вышеописанные пробелы в знаниях.

я об этом и говорил в статье. есть продукты, а есть менеджеры
(это вайтхэты через 2 года) которые данные продукты продвигают.
я говорил что компании (разработчики/интеграторы) не создают концентуальную модель ИБ, а лишь борятся за рынок файрволлов-и-вэпээнов. соотсветсвтенно должны быть люди (вайтхэты) которые объяснят и настроят подобных "хлам" так сказать. собственно я как и 99.99999% безопасников этим и занимаюсь/занимаемся.

>Во любой сфере бизнеса, ежедневно кто-то что-то кому-то >"втюхивает". В этом, естественно, ничего хорошего нет и быть не >может. И, опять же, очень часто такие вещи происходят по >собственной глупости либо необразованности пострадавших. >Естественно, я не пытаюсь кого-то оправдать.
>Но! Даже если такие негативные моменты и присутсвуют, то глупо >заявлять, что из-за них какая-либо из сфер бизнеса является >полностью прогнившей, и что все занятые в ней компании и люди >являются пройдохами и алчными прохвостами. А именно такое >заявление и пытается сделать Вася Пупкин в своей статье.

я никогда не переходит на какие-то личности. я говорю о индустрии. есть продукты. файры-вэпээны-криптовсякиештуки-сканнеры там и пр. их надо продать. есть вайтхэты, которые консультируют и настраивают все это. есть угрозы, которые создают массмедия - ХААААКЕРЫ. вот я и говорю - не состыковочка получается. безопасность НЕ позиционируется как защиты от отсутствия бэкапа у оракла или мускула, позиционируется как ультра-современная защита от злыхъ-злыъ хакеров с ноутбуками.. от acid burn и крошки оверрайд (хыхых ржу ), отсуюда и цены соответствующие..

p.s. может быть я кого-то задеваю за живое, но люди, которые
работают в области ИБ не один год, расскажут вам примерно тоже самое, только другими словами. разница лишь одна - они верят в то, что делают. и я тоже верю, только смотрю на все несколько иначе. да не обидятся на меня коллеги безопасники и мой работодатель (отчасти по этому остаюсь анонимным, а то мало ли что, ТК у нас - это глухой звук в навозе, все таки..). за работу дружно не волнуемся, со временем ее лишь прибавится.

А я с автором согласен почти по всем пунктам.
* конторы занимающиеся ИБ заинтересованы во всемирном интернет дефолте, эпидемиях, атаках, шпионаже
* они-же стремяться не столько сделать что-то реаль-но новое, сколько хотят побольше продать того что есть
* ИБ начинается не с кучи сертифицированных прогр. хреновин и т.п. а с грамотной настройки ОС
* большенство людей больны МИФАМИ (не только в плане компьютерной безопасности), доказывать им обратное бесполезно и не нужно. На мифах делаются хорошие деньги, зачем кому-то палки в колеса вставлять? Можно у себя иметь что-то лучше за меньшие деньги, а другие пусть покупают то что есть. Разве это не круто быть круче большенства? Афтар респект!

от создателей нета и спецслужб смешно защищаться...
но антивирусы и фэйрволы всё равно нужны.
от телохранителей в реале ещё никто не отказывался...
а бардак и безобразия царят в любой сфере, не только в ИБ.

А это вы спросите в отделе ИБ какого-нибудь банка.
Чем меньше распространена информация об определённой уязвимости, тем
больше шанс, что она будет использована именно в серьёзном преступлении.
Вы можете пытаться утверждать обратное, но для меня это как аксиома.
И такие организации, как банки, одни из первых потенциальных жертв.
Появился патч ? Появилась информация об уязвимости ?- Прекрасно. Патчимся
и знаем, что одной потенциальной проблемой у нас меньше.

Это значит, что продукт стал безопаснее. А если через неделю у тысячи ленивых леммингов задефейсили домашнюю страничку с форумом - извините. Безопасность - это не стадное понятие. Она у каждого своя. И каждый относится к своим рискам соответсвенно их величине и значимости.


А при том что сцена - это и есть самый настоящий FullDisclosure.  И она является 2-м источником информации  о новых проблемах безопасности (после собственной исследовательской работы, разумеется). Ещё раз повторюсь, что политика неразглашения - это политика ПОЛНОГО неразглашения. Т.е. нашли баг.. и молчёк. "save a bug, save a life". А если в своих advisories кто-то попросту не публикует эксплоиты, то это не политика неразглашения, это просто здравая этика. Прошу не путать данные понятия.


С логикой как раз у меня всё в порядке. Blackhat.com, по крайней мере, создан и используется
для нужд бизнеса. И в этой ситуации не делается каких-либо разделений на рыцарскую 'сцену' и злобных жадин-капиталистов.


Менеджеры - это менеджеры. У них работат такая. Они в любой сфере одинаковы.
Или по-Вашему IT-Sec  бизнес должен быть эдаким рыцарско-самурайским делом ?
А между тем, любой бизнес всегда одинаков по своей сути. Реальную пользу от затрат на чьё-то решение либо продукт получает только тот, кто умеет грамотно ориентироваться в потоке предложения и делать правильный выбор, который основан не только на маркетинговой компании поставщиков.

Удачи.

Даеш упидемии вирусов, 0дневных эксплоитов, и армии ботов!
и зарплату у ИБ сотрудников

p.s: машина запушена и ещё очень долго будет работать, троекратное ура!