А кто считать будет потерю репутации? А атака на основании данной статьи - это не к автору. Если я соберу коктейль молотова на основании имеющихся в Интернете данных, то посадят меня, а не авторов пособия. Или если я воспользуюсь учебником для стрельбы, то что же авторов сажать?

Это у тебя все так просто. А теперь посчитай сумму потерь на Интернет-трафике и, о, чудо, цифра составит всего несколько центов. Это не ущерб, уж извините меня. Формально, можно и за один цент попробовать привлечь, но никто не будет заморачиваться. Опять же из судебной практики.

Во-первых, при сканировании доступа к охраняемой законом ИНФОРМАЦИИ не происходит. А во-вторых, дело по указаным статьям (а реально сюда можно только 272 применять) будет возбуждено только в случае нанесения УЩЕРБА.

Мда... Думал, что будет что-то действительно концептуальное. А получилось как всегда, как человек, имеющий представление о настройках оборудования считает, что он также разбирается и в стратегических вопросах.

Ничего так и не увидел с точки зрения руководителя ;-(

И меня глубоко задело, когда Pix был назван встроенным МСЭ в маршрутизаторы ;-(

РЕАЛЬНАЯ - эта та, которая существует. А вот юзали ее или нет - это совсем другая информация, в формуле неучитываемая. А именно она имеет значение.


Мда... А сообщение об урагане - это уже ураган.

А с какой не рассматривай. Дыра - это просто дыра. И человек, ее нашедший, мог проверить ее наличие на своем компе. И это, как ты правильно, заметил не взлом, а эксперимент. И для обсуждаемой статьи не имеет никакого значения.

 А есть разница? Давай я приведу пример IE, IIS, Apache и т.д.


 Ничего. Я тебе еще раз повторю, что наличие дыры не говорит ни о чем. Говорит наличие взломанной дыры. А у тебя это вообще не учтено в формуле.


 Не могу. Потому что топанье - это действие, а дыра - это просто информация. Вот взлом - это тоже действие.

Я с ним не соглашусь, но поделать ничего не смогу, т.к. он директор и он платит мне зарплату. А дистрибутор Novell наверняка его "объяснил", что Novell это круто и все будет ОК.

Почему никак? Когда я топаю ногой - это тоже отражается на колебаниях земной поверхности. В твоем случае корреляция такая же (ну почти такая же). Наличие дыры, даже самой высокой степени риска, очень слабо связано с использованием этой дыры для взлома.

К тому же надо учитывать и тот факт, что многие дыры просто неизвестны широкому кругу потребителей и нигде не заявлены. А это тоже надо учитывать. А еще то и то. Параметров становится очень много и твоя методика становится попросту неподъемной в РЕАЛЬНОЙ жизни.

 Посмотри на Windows, Solaris, Linux и т.п. Известны сотни случаев взломов этих систем. И никто не собирается от них отказываться.



 Если тебя взломали, то это не говорит о защищенности системы. Также как не говорит о ее защищенности и то, что ее не взломали. Взломать можно и при наличии всего ОДНОЙ дыры. А можно не сломать и при наличии сотни дыр.

А я исхожу, что даже с точки зрения ИБ - это бессмысленный способ анализа и тем более выбора. В теории оно может и выглядит нормально, но на практике неприменимо.

Вставлю и я свои 5 копеек.

Во-первых, наличие дыры в софте ВООБЩЕ не говорит ни о чем. А точнее о потенциальной уязвимости софта. Важно - сколько из этих дыр реально имеются в ВАШЕЙ сети. Вы можете юзать потенциально дырявый MS, но закрыть его так, что он станет неприступнее никсов.

И, во-вторых. К сожалению, софт очень часто выбирается по политическим мотивам (лобби и т.п.). И дырявость при таком выборе играет самую последнюю роль (если вообще играет).

Владельцам сайта рекомендую более тщательно проверять статьи на адекватность перевода. А то в данном тексте все смешано. И хэш называется то алгоритмом шифрования, то ЭЦП. И алгоритм как-то оказался сертифицированным, хотя сертифицируют продукты, использующие этот алгоритм. А FIPS, на который ссылается автор, - это стандарт, описывающий алгоритм. Ну и т.д. Ляпов много и впечатление портится.

И чего? Чего хотел сказать автор? Что эффективность IDS можно проверить по факту обнаружения 2-х сигнатур событий? А почему именно этих событий? А почему именно Snort был выбран? А почему взята конфигурацию по умолчанию? Вопросов слишком много возникает. Я бы не стал ориентироваться на эту статью. Она является неплохим введением в тематику пакетного тестирования, но абсолютно несоответствует своему названию. Аудит IDS - это настолько объемная тема, что книгу написать можно.

Это делает также и BlackICE.

Уж не знаю где Касперский нашел этого червя, но то, что он не совсем разбирается в мобильных технологиях, это точно.

1. Symbian бывает разных версий. В какой он нашел?
2. Компьютеры Psion, о которых он говорит на своем сайте (http://www.viruslist.com/viruslist.html?id=145339608) работают вообще не на Symbian, а не EPOC - прообразе Symbian.
3. На указанных моделях Psion'ах (кроме семерки) вообще нет Bluetooth, никогда не было и быть не могло.

Ты, имхо,  Шубина забыл - http://www.shubin.ru/

Не совсем так.
1. Во-первых, трафик на сервера подается пульсирующий, т.е. гигабит (если там гигабит) - это максимальное значение, которое держится недолго, если вообще достигает. На практике, значение загрузки канала будет ниже. А следовательно, скорость работы IDS нужна не в 6 раз большая.
2. Фильтры на IDS (не обязательно это должен быть Snort) отсекает часть трафика, а следовательно объем трафика для анализа становится еще ниже.
3. На комп можно поставить несколько копий Snort, каждая из которых будет слушать свою сетевую карту.
4. Можно использовать балансировщики нагрузки, которые решают проблему с распараллеливанием высокоскоростного трафика на несколько малопроизводительных сенсоров.
5. И наконец, уже существуют IDS, работающие на скоростях до 4 Гбит/сек. При этом сейчас ведутся работы по созданию IDS для 10-тигигабитных сетей.

Бред. IDS не нужна тому, кто не умеет ее грамотно настраивать. Дело не в IDS, которая отслеживает все, что нужно. Дело в том потоке алертов, которые сыпятся на консоль админа. По истечение некоторого периода админ будет сидеть с выпученными глазами и таращиться на сообщения, сменяющиеся со скоростью мысли. Сейчас все серьезные разработчики IDS концентрируют свои усилия на снижении числа ложных срабатываний и на правильном управлении алертами. Один из таких механизмов - корреляция событий, которая, будучи грамотно настроенной, снижает число событий, с которыми должен разбираться админ, на несколько (!) порядков.

Все очевидно. Выигрываешь все призы и на твои курсы кроме тебя никого не будет. Сможешь на недельку выбраться в отпуск  [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]