Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Обсуждение статей (закрыто) » Обсуждение публикаций
Страницы: Пред. 1 2 3 4 След.
RSS
Почему Вайт-хэты и компании по информационной безопасности представляю
 
#21
Это нравится:0Да/0Нет
21.08.2006 02:50:28
>С логикой как раз у меня всё в порядке.
>Blackhat.com, по крайней мере, создан и используется
>для нужд бизнеса. И в этой ситуации не делается
>каких-либо разделений на рыцарскую 'сцену' и злобных
>жадин-капиталистов.

безнеса забугоного. да и то потому, что там есть
адекватные компании, способные разработать действительно
актуальные и стоющие продукты. И! есть адекватные клиенты,
которые думают. а не просто клюют на утки и договариваются о откатах (здравствую матушка россия ( )
конечно у них не все
идеально, НО наши реалии (реалии россии, так сказать)-
это ЗУБР. и это страшно :-).
pure fear, блин. перестанут freebsd/redhat/ms security
team's выпускать заплатки - вот хаос начнется так хаос.
и будет вам ваши "незначительные" угрозы, 20%..
тут хоть 10 файрволлов и 50 сканнеров покупай.
а exploitation prevetion по крайней мере СПОСОБЕН (в теории)
противостоять данной угрозе.. это я к чему?
опасностность "сплоитирования" очень реальная - иначе
бы не выпускали каждый день по 50 advisory. а вот
делать что-то с этим никто не хочет. ведь лучше
файрволлы продавать. а пусть люди из сек-тимов трудятся
над патчами, "они ведь программисты" :), а у нас риски и
политика ИБ.

>Или по-Вашему IT-Sec бизнес
>должен быть эдаким рыцарско-самурайским делом ?

я говорю что в каком-то смысле это ОБМАН. нет такого
понятия как безопасность. нет такого понятия как защищенность.
есть только что-то эфимерное, в которое надо вкладывать деньги.
все бы хорошо, если бы защищали от РЕАЛЬНЫХ угроз.
так ведь рассказывают пургу про крошку оверрайда и пр
(которые в месте компелируют и вступают) и втюхивают файрволлы корпоративные
с красивым гуи и центральной системой управления
(чтобы безопасник мог почуствовать себя как в кино
наверное :), типа
-в нашей системе завелся вирус-кролик..
-убейте его нах..
© :)))))))))))))
а то что долбанут какой-нибудь бякой,
и то что заблакирован какой-ть порт или что криптуется какой-нить
траф от А до Б, или что на нашем вебсервере нет уникода
- это не поможет, господа.
я не хочу убедить вас в ненужности файрволлов там
и пр. я лишь хочу сказать, что подход этот ограниченный.
и попахивает просто.. обманом клиентов. которые
радостно кушают мифы СМИ. думаю развивать эту тему
дальше не стоит, и так все понятно..
я не говорю что абсолютно прав. я говорю о том что
сейчас происходит.
 
 
 
#22
Это нравится:0Да/0Нет
21.08.2006 03:02:33
Цитата
от Аффтара ) пишет:
>Наоборот факт наличия в том или ином продукте уязвимости >ДОЛЖЕН быть известен широко.

вопрос: А вам зачем ?
А  вам зачем скрывать информацию?

Цитата
от Аффтара ) пишет:
btw, не понимаю зачем так ms обвинять..
ms третью неделю не может закрыть уязвимость в SRV.SYS, на которую уже есть DoS-эксплоит(MS06-035 не закрывает дыру), позволяющую не просто DoS-ить, а убивать машины - после неск-х применений эксплоита машина перестает подниматься. Если бы практики full disclosure не существовало, то многие производители вообще игнорировали бы проблемы. А с full disclosure страна должна знать своих героев ©
Ведь сколько раз уже было, что в SA указывается: такого-то такого-то числа разработчики уведомлены о проблеме - реакции не последовало, через неделю последовало повторное извещение, реакции на уведомление в течение недели нет - общественное уведомление об уязвимости. И где-нибудь через недельку или месячишко опозорившаяся контора начинают шевелиться и выпускает патч... Это заслуженный  удар по имиджу компании-разработчика ПО и предостережение тем, кто ценит безопасность и собирался стать их клиентом.

Цитата
от Аффтара ) пишет:
устранят тихо и разошлют патчик по advisory рассылке клиентам.
Информацию об уязвимостях принято сообщать непосредственно авторам уязвимого ПО публично не разглашая сей факт, после времени достаточного для выпуска патчей и установки их клиентами информация об уязвимости публикуется как security advisory. Если разработчики не реагируют на уведомление об уязвимости и устранять не собираются выхоид security advisory, а за ним - эксплоит и компания наплевательски относящаяся к безопасности своего ПО получает заслуженную критику в свой адрес и в перспективе - отток клиентов, которые учитывают такие критерии как отношение компании к безопасности своих клиентов, для которых они разрабатывают софт.

Цитата
от Аффтара ) пишет:
хочу сказать, что зачем всем васям
по всему миру знать проблемы безопасности используемого мной продукта?
Выбирая программу из нескольких аналогичных, написанных всякими васями полезно знать всю предысторию о количестве найденных критических уязвимостей, частоту их нахождения и скорость устранения. Если вася написал дырявую софтину, в которой понаделал кучу ошибок класса stack buffer overflow, которые легко эксплуатируются удаленно, а фиксить их не спешит, то сие дырявое быдлокодерское поделие сам пусть и использует - за ним негласно закрепляется бренд "клепатель дырявого софта, которому наплевать на устранение уязвимостей".
Full Disclosure нужен, это в первую очередь контроль со стороны общественности за  отношением компаний-производителей ПО к безопасности своего кода и к оперативности устранения уязвимостей. Без full disclosure создаются все условия для игнорирования разработчиками уязвимостей и обмана пользователей, которых убеждают в супербезопасности предлагаемого ПО. А предназначение PoC-эксплоитов искажено, эти эксплоиты предназначены лишь для того, чтобы показать, что проблема существует, что это не пустой поклеп на разработчиков - любой желающий может убедиться в реальности уязвимости, это доказательство существования уязвимости и PoC-эксплоит совершенно не обязательно должен давать шелл и тем не должен комплектоваться функцией авторутера.

Цитата
от Аффтара ) пишет:
а exploitation prevetion по крайней мере СПОСОБЕН (в теории)
противостоять данной угрозе.. это я к чему?
Так а разве технологии противодействия эксплоитам и изоляции скомпрометированной части системы не входит плавно в мейнстрим? Аппаратные NX/DX биты в массовых процессорах, DEP и сборка с security cookies у MS, ASLR по умолчанию в Linux, ExecShield у RH, политика ограничения полномочий процессов на уровне ядра MAC, SELinux включенный по умолчанию, технологии аппаратной виртуализации, ограничение доступа к данным chroot, изолирование исполняющихся процессов от системы jail, поддержка виртуальные изолированных виртуальных машин Xen и т.д.?
 
 
 
#23
Это нравится:0Да/0Нет
21.08.2006 03:32:35
Цитата
и то что заблакирован какой-ть порт или что криптуется какой-нить
траф от А до Б, или что на нашем вебсервере нет уникода
- это не поможет, господа.

Да никто и не пытается занижать роль сетевых атак на ИБ.
И никто не спорит, что для защиты от них важен комплексный подход в целом
(я уже говорил, что ИБ - это бесконечный процесс, а не 'установленный софт/хард'.
И качество данного процесса не всегда прямопропорционально количеству затраченных
на него денежных средств).

Но влияние этой ниши на ИБ в целом не более существенно чем влияние других ниш.
Здесь нет чего-то доминирующего. Здесь важно всё в совокупности.
Поэтому, однобоко ставить эти проблемы  во главу проблем ИБ рынка в целом.
Печальная ситуация, которую Вы описали  - это   частный случай, возникающий от неумения потребителя ориентироваться в современной обстановке. Причём, случай больше местного масштаба :).

Культура ИБ отсутсвует, так сказать.
Культуру ИБ - в массы! ;)

Удачи.
 
 
 
#24
Это нравится:0Да/0Нет
21.08.2006 07:55:26
А вы не заметили что любой товар на корпоративном рынке  продается именно так: цытата из статьи - "посредством корпоративных связей и договоренностей наверху, сертификатов, откатов и всего прочего". А на других рынках с помощью рекламы. Так что нефиг думать ваше руководство всеравно купит новомодный фаервол.жэ
 
 
 
#25
Это нравится:0Да/0Нет
21.08.2006 09:23:53
Между прочим, истерия насчет злых хакеров абсолютно оправдана. Это действительно нужно именно самим безопасникам по одной простой причине: для того, чтобы, к примеру, сделать в серверное систему пожаротушения (must have!) необходимо одобрение некоего топа (рассмотрим идеальный вариант, всего одного). Но для того, чтобы этот топ начал содействовать, а не мешать, как это обычно бывает, необходим либо инцидент, либо...те самые мифические хакеры. Потому что для него ИТ - это, прежде всего, "Матрица" и "Хакеры". IRL он видит только непонятные железки за кучу $$, т.е. он просто не понимает, зачем оно все нужно вообще. А вот когда наш топ проникнется проблемой, тогда и можно разворачивать действительно защищенную систему.
 
 
 
#26
Это нравится:0Да/0Нет
21.08.2006 10:01:49
Гы Гы , 21.08.2006 07:55:26
Ну не, ты в принципе не прав - это как раз из истории про ленивых админов. Ты вообще зачем в своей конторе? Не нравиццо тебе решение от "Инталёв и ко" или ещё от какого-нить Пупкина - спорь, объясняй начальству, что если они хотят бабла срубить, то это можно и на хорошем продукте сделать, пиши грозные служебки(кстати служебки реально форева). А когда жареный петух начальство в задницу клюнет, начнут прислушиваться. Что денег не дают? Посчитай им риски, покажи графики и попроси расписаться на твоём заявлении, что ты не можешь обеспечить безопасность/целостность/качество на таком говне, которое сейчас имеешь. А если ты и при нормальном бюджете/отношении начальства не можешь обеспечить должны уровень поддержки ИТ, это уже твои проблемы.
Вообще вот таких: guest, 21.08.2006 09:23:53. гостей надо слушать.
 
 
 
#27
Это нравится:0Да/0Нет
21.08.2006 10:43:44
Можно привести множество подобных "очевидных примеров".
Охранники зарабатывают на охраняемых.
Пожарники на пожарах.
МЧС на чрезвычайных ситуациях.
Врачи зарабатывают на больных.

И ЧТО из ЭТОГО ... В данной статье можно с большим успехом подставить множество профессий - и НИЧЕГО не изменится. "Бред", извиняюсь за грубость, так БРЕДом и останется.
 
 
 
#28
Это нравится:0Да/0Нет
21.08.2006 11:23:51
афтар прав насчет машины по выкачиванию денег в своем экспромте
но неправ насчет политики неразглашения

политика неразглашения выгодна исключительно проприетарщикам - тем, кто дерет бабло за какашку в цветастом фантике (привет мелкософту, семантику и прочим гавноделам). у них ситуация следующая - компании нужно время что бы выпустить апдейт. а пользователи лишены возможности править свое ПО (по лицензии). в результате им приходится ждать панацеи от производителей.
у опенсорщиков ситуация попроще. почти всегда есть альтернатива (даже в системных службах). конечно, бывают случаи, типа бага в zlib или ELF, но это экзотика. пусть и весьма опасная.
так что пацаны-приверженцы политики неразглашения, могут пососать друг-другу ноги.

Цитата
Рынок безопасности предпочитает бороться со следствием, а не с причиной.
Ну, я бы сказал так: Рынок безопасности предпочитает вообще не бороться. Твари из антивирусных контор тока деньги дерут за свой навоз. На сегодняшний день их антивирусы способны распознать только самый простецкий вирусняк. Модифицированный (или даже самопальный) распаковщик, полиморфное ядро-интерпретатор, полиморфный интерпретирующий код и 10-секундная паузу выполнения -- все антивирусы дружно идут лесом.
А почему? А потому, что корень этой проблемы лежит не в области определения и уничножения вредоносного ПО. А в области разработки и создания операционной системы.
Оружие всегда опережало защиту. Так устроен этот мир. Сидя в крепости войну не выиграть. Антивирусы всегда будут на шаг позади. Поэтому сама ОСь должна быть сделана так, что бы минимизировать ущерб от атаки. К сожалению, на сегодняшний день в самой распростаненной операционке если произошел запуск вредоносного кода, система обречена. Это усугубляется тем, что подавляющее число пользователей этой системы сидит под админом. Это и не удивительно. Винда, по-большому счету до сих пор остается однопользовательской системой. Переключение пользователей и "запуск программ от имени..." это просто надстройка над тем гавном, что уже было. Прискорбно, но в висте, похоже, ситуация не изменилась.

из комментов - согласен с root-ом. чел правильно зажег.
 
 
 
#29
Это нравится:0Да/0Нет
21.08.2006 11:59:54
Респект Вася Пупкин!
Все конечно прикольно звучит, и частично является правдой, особенно когда ставят менеджера по продажам (и хорошего) на продажу каких то очередных решений, будь то чекпоинт или кошка... Конечно он их продаст, конечно он их продаст в любом случае..
Конечно он не имеет понятия о глубине сути вопроса, да оно ему и не надо, ему надо правильная ПР-статья, Правильно освещенный инцидент...
И конечно, талантливый продажник сделает этот мир лучше... уж свое то благосостояние поправит.
А проблема то в том что "безопасников" единици, а продажников - море.
Любой ВУЗ готовит 3-4 факультета экономистов, маркетологов и прочих, и только 1 специальность, на 1 факультете - связанную с безопасностью, и то там зачастую преподаватели изучают этот предмет вместе со студентами... (я не говорю о 1 или двух ВУЗах столиц. а о массе остальных коих удельный вес куда выше количеством над качеством)

Вот от сюда и вся проблема, и весь этот скептицизм...

Обращайтесь к профессионалам, и не будет у вас перерасхода по бюджету, или купленного еще-одного-фаервола...
 
 
 
#30
Это нравится:0Да/0Нет
21.08.2006 12:13:30
Спор ни о чем.
Автору "двойка" за русский язык.
 
 
 
#31
Это нравится:0Да/0Нет
21.08.2006 14:04:05
Цитата
celeron пишет:
Вышеотписавшиеся нервничают, потому что сами безопасники. Им естесственно не нравится такой подход.

При чем здесь нервничают. Каждый просто оставляет своё мнение о статье и о проблеме в целом. Или может было бы лучше, если бы вообще никто ничего не написал, тогда статья была бы просто супер.

В общем согласен с edwin
 
 
 
#32
Это нравится:0Да/0Нет
21.08.2006 14:15:14
Ну что... АФТАР ЖЖОТ... если б он еще понимал, о чем пишет. Рассуждения однобокие. Благодаря таким вот "аналитикам" и появляются в продаже разные "базы данных". Как же... можно договориться до того (по логике статьи) - что все взломы хакерам "заказывают" безопасники. И дампы кредиток "уводят" только потому, что какому-то банку (его службе безопасности) не выделили энную суму на приобретение нового продукта. АФТАР, будь уж последователен в своих рассуждениях.
 
 
 
#33
Это нравится:0Да/0Нет
21.08.2006 14:23:03
Итак. Тема не раскрыта.
Автор затронул только один аспект в ИБ (надеюсь он сделал это сознательно, в противном случаю Автору 2-ка за понимание безопасности в целом)

Уважаемые товарищи, мы все тут взрослые люди и должны понимать, что ИБ не сводиться только к проблеме описанной Автором. Я не говорю что проблемы такой нет, но я настаиваю на том чтобы при таком вот выражении своих мыслей Автор не делал высоких заявлений и не обобщал описанную проблему под девизом "Информационная Безопасность - машина для выкачивания денег"...

Надеюсь Автору знакомо такое словосочетание как "непрерывность бизнеса"... а это словосочетание говорит о многом...
 
 
 
#34
Это нравится:0Да/0Нет
21.08.2006 14:50:37
Так получилось, что работу идеальноработающей сети никто не оценит. Зато как приятно прочитать отчёт о том что было изничтожена полтыщи злобных вирей, захвачено в плен пять сотен вражеских порнокартинок и изобличен злобный хацкер Вася, который цинично спёр пароль от аккаунта тети Маши, и который в свою очередь был спрятан под ковриком хреновоработающего грызуна.
 
 
 
#35
Это нравится:0Да/0Нет
21.08.2006 15:38:00
Читаю-читаю эту портянку, распускаемые нюни по поводу того, что все только зарабатывают деньги, и думаю - ну когда же будет интересная инфа наконец. Вижу фразу: "Вот и все что я хотел сказать. ", прокручиваю экран внизу - а там еще столько же в том же духе...
Автор... тексты нужно делать не по принципу "налабал-выложил", а путем многократной переработки, сокращения, переделки и т.п. Ну хоть бы в Ворд засунул, синтаксис проверить.
 
 
 
#36
Это нравится:0Да/0Нет
21.08.2006 15:56:59
Все идет от клиента. Пока есть кому продавать, будут продавать. Если клиент умный, построит ИБ так как сам хочет, если нет ему подскажут, предложат, "впарят" извне :). Вы все смотрите рекламу, но не думаю, что четко следуете ее советам, хотя влияние она все равно оказывает. Здравый смысл и оправданный риск, этого достаточно.
 
 
 
#37
Это нравится:0Да/0Нет
21.08.2006 16:27:03
>А это вы спросите в отделе ИБ какого-нибудь банка.
>Чем меньше распространена информация об определённой >уязвимости, тем
>больше шанс, что она будет использована именно в серьёзном >преступлении.

возможно вы правы. от серьезного преступления не один безопасник не защитит (в текущем контексте понимания данного слова). но вообщем все к этому и идет - я в плане серьезных
преступлений. вспомните что было 3-4 года назад - сплошные
паблик сплоиты выкладывались.. одни dcom haxors чего стоят..
сейчас такое уже невозможно. через 3-4 года будут только
организованные группы "хакеров", и пусть таких групп будет
не много,
но это будут действительно Хаккеры так сказать.. (мое личное мнение).

>Так а разве технологии противодействия эксплоитам и изоляции >скомпрометированной части системы не входит плавно в >мейнстрим? Аппаратные NX/DX биты в массовых процессорах, DEP и >сборка с security cookies у MS, ASLR по умолчанию в Linux, >ExecShield у RH

подобные продукты к индустрии безопасности не имеют никакого отноения.
да и много ли безопасников знают про эти продукты ? вот вот..
индустрия - это файры-впн-криптухи-и пр хлам.
задам
вопрос: сколько Безопасников сумеют объяснить что такое переполения буффера скажем в стеке ? ага, вот вот..
тогда о каких экзек шилдов идет речь? они даже не смогут
объяснить предназвачения данных продуктов.
а по поводу встраивания - этим занимаются как раз-то разработчики из sec тимов компаний, которые понимают о реальной безопасности куда больше, и знают что все все-таки рандомные адреса в стеке это важнее чем заблокированные порты >1024 или закрытый echo reply.

>Здесь нет чего-то доминирующего. Здесь важно всё в >совокупности.
>Поэтому, однобоко ставить эти проблемы во главу проблем ИБ >рынка в целом.

согласен. я лишь хотел сказать, что существует очень опасная
проблема, которую просто игнорируют. из-за множества причин.

> Между прочим, истерия насчет злых хакеров абсолютно >оправдана. Это действительно нужно именно самим безопасникам >по одной простой причине: для того, чтобы, к примеру, сделать >в серверное систему пожаротушения (must have!)

как я уже сказал, обеспечение безопасности в наши дни - ложь и обман. защищаемся от злых хакеров, ставя систему пожаротушения..

> афтар прав насчет машины по выкачиванию денег в своем >экспромте
>но неправ насчет политики неразглашения

я привел это как пример. что если все к черту позакрывать,
будет пользы больше, через распостранять "еще один файрволл".
возможно я ошибался - безопасники знают, что кидисы далеко не уедут, а лишь будут создавать претенденты всякие интересные,
типа дефейсов там и тд. соответственно поднимая продажи.
закрой же все ресурсы - кидисы вымрут (аминь),
появятся профессиональные организованные группы,
пусть их будет меньше, но это будет действительно угроза так
угроза и безопасники бороться с ними будут не в состоянии,
я думаю объяснять почему не надо.

> Итак. Тема не раскрыта.
>Автор затронул только один аспект в ИБ (надеюсь он сделал это >сознательно, в противном случаю Автору 2-ка за понимание >безопасности в целом)

я думаю что "с другими аспектами" бороться все же проще - в техническом-интеллектуальном плане. безопасность позиционируют
как противостояние Хакерам (с большой буквы), на деле же выходит прямо обратная картинка.

> Ну что... АФТАР ЖЖОТ... если б он еще понимал, о чем пишет. >Рассуждения однобокие. Благодаря таким вот "аналитикам" и >появляются в продаже разные "базы данных". Как же... можно >договориться до того (по логике статьи) - что все взломы >хакерам "заказывают" безопасники

гыгы, no comments.
 
 
 
#38
Это нравится:0Да/0Нет
21.08.2006 17:02:55
Я не спец оп ИБ(кто-то скажет: «Ну и зачем сюда писать?»)  и не экономист, но дочитал до сих пор и пишу вот почему.
В поисках причин так плохо поставленной ИБ автор ни разу не коснулся того, что двигает бизнес информационной безопасности. СПРОС! Спрос рождает предложение. Коммерческая, конфиденциальная (я уж не говорю о гос) тайна или информация накладывает обязательства на её обладателя. И не соблюдение режима коммерческой тайны «влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации» как в отношении стороннего лица так и в отношении обладателя.
И с другой стороны правообладатель может выиграть иск на возмещение ущерба от утечки информации только тогда, когда в полной мере обеспечил режим коммерческой тайны. Вот вам и спрос(помимо собственно потери самой информации).
Эту «полную меру» и должны (по моему) дать те сертификаты и лицензии от соответств. структур гос-ва о которых нелестно отзывается автор. При таком подходе ответственность за соблюдение режима коммерческой тайны частично ложиться на производителя продукта ИБ, что раньше было невозможно. Отсюда и большие суммы, которые теперь будут пролетать мимо кармана администратора по безопасности. Видимо это уже стало заметно.
 
 
 
#39
Это нравится:0Да/0Нет
21.08.2006 17:23:22
еще раз по поводу однобокости...
автор, как вы считаете, а могут ли возникнуть проблемы с информационной безопасностью в компании, у которой нет вычислительной техники в принципе?
или даже вот так: могут ли возникнуть проблемы с информационной безопасностью в компании, в которой нет выхода в Интернет и к другим сетям общего пользования?

тогда все Ваше "администрирование" моментально умерает после одной настройки серверов и ПО. а вот разработка канцепций, политик, методик анализа рисков и т.п. по прежнему будут необходимы...

почему?

если вы не можете ответить на данный вопрос, вам срочно нужно менять род своей деятельности.
 
 
 
#40
Это нравится:0Да/0Нет
21.08.2006 17:47:51
Автор ты пишешь: "Безопасность позиционируют как противостояние Хакерам (с большой буквы)...."
Не видел ни одного специалиста по ИБ, и более того, не видел ни одного руководителя, который бы позиционировал так Информационную Безопасность...
Уже в общем то 3 года этим занимаюсь....
 
 
 
Страницы: Пред. 1 2 3 4 След.
Читают тему