IT в России и мире в реалиях мирового кризиса

Цитата: Trifon от 17.04.2017 10:43:25Если действительно выстроят отдельную систему-будет отлично.
Сразу снимет массу проблем.
Но  по прошлому году в рамках Ростеха по двигателестроительному дивизиону была установка
на проработку защиты информации для передачи данных по открытым сетям.
Причем за счет средств самих предприятий,народ по сию пору ходит с выпученными глазами.
Откуда на предприятиях IТ отделы с такой мощной базой программирования?
Так 4-5 программистов,да по отделам свои кудесники,все заточено на внутреннюю локалку и
 внутренние системы безопасности с глушилками и пр.байдой. И ограниченный выход в интернет
с ПК не связанных с внутренней локальной сетью.

Я думаю там происходят метания. 
Определенным высокопоставленным лицам из минсвязи и минфина очень хочется приватизировать Ростелеком, но спецслужбы и МО против тк им нужны защищенные сети. Сейчас идут попытки найти решение, которое устроить всех, одно из них - отдельная сеть для госнужд.

Цитата: Igor_FF от 17.04.2017 10:54:44Реализовывал. Потом узнал, что можно было этого не делать, а взять уже готовую библиотеку. В чём проблема?

В том, что готовые решения и их уязвимости известны всем. Если вам нужна серьезная защита, то чем меньше людей знает ее архитектуру и устройство, тем лучше.

Цитата: Trifon от 17.04.2017 11:01:29В гостайне .И плюс постоянный мониторинг.
 IT отделы предприятий не лаборатория Касперского.
А применение сомопальных систем шифрования данных как и систем безопасности,
могут закончится возбуждением уголовного дела по очень стремной статье.

А что собственно мешает Ростеху заключить контракт с Касперским? Ростех богатая контора с триллионными оборотами вполне может себе это позволить.

Цитата: lucent от 17.04.2017 11:19:44Вы исходите из допущения, что все открытые алгоритмы заведомо имеют уязвимости. Можно же сделать и обратное допущение, что существуют такие открытые системы, в которых после неимоверного количества тестов по всему миру и поиска решений взлома, не было найдено критических уязвимостей. И вот, с таким допущением, использование закрытой собственной системы вполне может оказаться более рискованным. Просто в силу многократно меньших ресурсов, которые есть возможность потратить на поиск уязвимостей...

Я исхожу даже из другого - что такие системы могут иметь уязвимости, заведомо оставленные своими создателями и которые по определению труднонаходимые. При этом собственная система может использовать такие компоненты, это не запрещается. Главное чтобы при допущение полной компрометации этих частей система оставалась под защитой.

Цитата: Мастер Фикс от 17.04.2017 11:24:15Чесно сказать, я нихрена не понял.

Что тут не понятного? Спрятать нужную информацию в потоке гражданского трафика намного проще и надежнее чем отдельной сети.

Цитата: Oleg K. от 15.04.2017 03:39:43Просто некоторые думают, что удаленки ssh достаточно. И иногда этого достаточно И вроде бы в качестве аварийной удаленки её таки не рассматривали...Чё там админить, если диск посыпался

Не совсем понятно, как аварийная удаленка Вам поможет заменить посыпавшийся диск. Все равно кому-то придется физически ковыряться с сервером. С другой стороны, диск не может посыпаться за пять секунд. Тем более, загрузочный или системный. Процесс этот обычно растягивается на недели и вы получите в почту дюжину уведомлений от встроенной в диск дигностики еще до того, как контроллер начнет перенос блоков.  В конце концов современное железо позволяет грузиться с полудюжины носителей – если один диск отказал, пробуется другой, и.т.д. Кто мешает на сервере внутри корпуса держать на всякий случай пару дополнительных хардов с системой, привод с загрузочным CD/DVD и флешку?

Цитата: DarkRaider от 15.04.2017 00:33:40Бонусный вопрос: Причём тут доступ в операционную систему(горячо обсуждался по ssh), как средство аварийного удалённого управления?  Ни один SSH на этой планете пока не позволял переставить "родительскую ОС" с нуля, удалённо.

Справедливости ради.
Во многих правильно организованных системах команда вроде этой:
dd if=/dev/zero of=/dev/sda bs=1M count=1024 ; echo b >/proc/sysrq-trigger


Приведёт как раз к тому, что через 10-15 минут сервер будет блистать чистенькой свежеустановленной ОС.

Отсюда

Такой фильтр устроен просто. Вместо того, чтобы рыться в HTML-коде, браузерный плагин/расширение смотрит на веб-страницу так же, как это делает человек, то есть оценивает её внешний вид на экране. И — отыскивает блоки, помеченные (как того требует закон) как реклама. После этого остаётся только их удалить. Действующий прототип, в виде расширения для браузера Chrome, распознающий рекламу, в частности, на Facebook, уже написан: можете установить его отсюда.

Цитата: pkdr от 18.04.2017 11:17:23Справедливости ради.
Во многих правильно организованных системах команда вроде этой:
dd if=/dev/zero of=/dev/sda bs=1M count=1024 ; echo b >/proc/sysrq-trigger


Приведёт как раз к тому, что через 10-15 минут сервер будет блистать чистенькой свежеустановленной ОС поверхностью жесткого диска.

У вас опечатка - я исправил. Загрузиться с этого диска не получится.

Цитата: Oleg K. от 18.04.2017 12:47:16У вас опечатка - я исправил. Загрузиться с этого диска не получится.

Вот и выросло поколение...
Кто сказал, что грузиться он будет с этого диска?

Когда появляются новости наподобие "В РФ разработали новый танк следующего поколения", я что-то не наблюдаю призывов "А нафига что-то разрабатывать, если есть Меркава/Абрамс/etc, которые можно тупо форкнуть и допилить?"

А, не, вот оно:
>> Подразделение "Ростеха" разработало операционную систему для работы с гостайной /тобишь форкнули Линукс/

Т.е. в сфере танкостроения и не только, да что там говорить, даже в балете и фигурном катании, значит, лидерами и инноваторами не боимся быть, впереди планеты всей, а как речь заходит об одном из ключевых элементов обеспечении обороноспособности страны, так сразу вылезают специальнообученные экономисты, которые тут же безапелляционно заявляют "Это дорого! Дешевле быть вечно вторыми! Давайте лучше в очередной раз перепиливать очередной форк Линукса!"

Как ни крути, но собственный ПАК в сфере обороны и иных ключевых инфраструктур – это то что рано или поздно придётся делать. И либо начинать сейчас за дорого, или начинать позже за ОЧЕНЬ дорого. (Прим. про ОС: речь не идёт об ОС общего назначения)

///
Кстати, а насколько устойчиво IT к иногда случающимся событиям типа События Кэррингтона?

Цитата: Foxhound от 17.04.2017 10:57:59В том, что готовые решения и их уязвимости известны всем. Если вам нужна серьезная защита, то чем меньше людей знает ее архитектуру и устройство, тем лучше.

Наоборот. Чем более открыт продукт, тем меньше в нем уязвимостей. Есть и еще один фактор – если о чем-то знают двое, то об этом знают все.
Закрытость продукта формирует ложное ощущение безопасности и препятствует вскрытию и локализации проблем с безопасностью.

Цитата: Foxhound от 17.04.2017 10:57:59А что собственно мешает Ростеху заключить контракт с Касперским? Ростех богатая контора с триллионными оборотами вполне может себе это позволить.

Ага, пчелы против меда. Занятненько. Был я на их семинарах. Там массовое поклонение микрософт, при этом они его выражают с помощью макбуков. Человек задал докладчику вопрос, типа "... не могли бы Вы детально сравнить безопасность корпоративной сети виндовс-хостов на основе доменов, которая защищена Вашим продуктом, с безопасностью локальной сети такой же мощности на базе линукса, защита которой построена на основе селинукс?".  Ответ был, типа "нет смысла сравнивать, поскольку основу большинства корпоративных сетей составляет продукт Микросовт, усиленные в отношении безопасности нашими продуктами".  Одним словом, если бы у рыбы была шерсть, у нее бы были блохи.

Цитата: Foxhound от 17.04.2017 10:57:59Что тут не понятного? Спрятать нужную информацию в потоке гражданского трафика намного проще и надежнее чем отдельной сети.

Ничего Вы не спрячете -- все сетевые протоколы на всех уровнях изначально спроектированы таким образом, чтобы ничего нельзя было спрятать. Любая железка, будь то мультиплексор, коммутатор, маршрутизатор и даже простой хост из коробки имеют все для полного контроля трафика на всех уровнях сети, и это обычные штатные возможности по умолчанию. Тот, у кого есть доступ к сетевой аппаратуре, имеет полный доступ к трафику через нее и может его как угодно анализировать. Даже простой конторский хост, оснащенный сетевым интерфейсом, имеет практически исчерпывающие возможности для анализа трафика в той подсети, в которой он находится. Достаточно на нем загрузить любой *nix и запустить тцпдумпъ, и Вы можете контролировать даже раздачу ip-адресов по сетевым интерфейсам других компов. А уж посмотреть, что они там пересылаюи и кому, так тут даже коза справится – готовых рецептов анализа трафика овер 9000.

Цитата: rinth от 18.04.2017 23:05:56Когда появляются новости наподобие "В РФ разработали новый танк следующего поколения", я что-то не наблюдаю призывов "А нафига что-то разрабатывать, если есть Меркава/Абрамс/etc, которые можно тупо форкнуть и допилить?"

Если посмотреть, перед этим десятилетиями форкали и допиливали Рено-ФТ, английский Виккерс и американский Кристи. А уж сколько десятилетий закупали и допиливали двигатели (вплоть до Т-64 на котором стоит форк Юнкерса 1929 года)... А с програмщиной и ОС общего назначения считай только начали возиться.

Цитата: adolfus от 19.04.2017 12:54:10Наоборот. Чем более открыт продукт, тем меньше в нем уязвимостей. Есть и еще один фактор – если о чем-то знают двое, то об этом знают все.
Закрытость продукта формирует ложное ощущение безопасности и препятствует вскрытию и локализации проблем с безопасностью.

Открытость продукта точно так же формирует ложное ощущение безопасности. Закрытый код – это гонка между хакером и программистами компании, открытый код – это гонка между хакером и программистами сообщества, в разных ситуациях эти два подхода имеют свои преимущества и недостатки, но открытость сама по себе не гарантирует отсутствия уязвимостей. "Тысячи глаз" смотрели в открытый код bash, который с составе разных дистрибутивов уже фиг знает сколько лет, и не видели зияющую дыру (ShellShock). "Тысячи глаз" смотрели в код и видели фигу с 1992 по 2014 год! Открытости кода мало, нужно ещё и целостное понимание того, как оно работает. А там _миллионы_ строк кода! И профи-злыдень-хакир не будет оформлять свой вредоносный замысел в виде процедур под комментарием //This_is_Zakladka_by_Vasyan, логика закладки может быть размазана по коду так, что хрен разберёшься. Сюда же плюсуются прелести таких замечательных вещей, как Си/Си++, здесь можно упомянуть о вовремя отловленной ошибке, когда вместо "==" стояло "=", которая сулила исполнением кода с root правами. А ведь это один символ! А строк кода миллионы! А ещё есть чудесные указатели, за которыми нужно следить, чтобы они указывали туда куда надо; есть массивы и буферы, переполнение которых грозит айайайем и т.д и т.п.

Цитата: adolfus от 19.04.2017 12:54:10Ничего Вы не спрячете -- все сетевые протоколы на всех уровнях изначально спроектированы таким образом, чтобы ничего нельзя было спрятать. Любая железка, будь то мультиплексор, коммутатор, маршрутизатор и даже простой хост из коробки имеют все для полного контроля трафика на всех уровнях сети, и это обычные штатные возможности по умолчанию. Тот, у кого есть доступ к сетевой аппаратуре, имеет полный доступ к трафику через нее и может его как угодно анализировать. Даже простой конторский хост, оснащенный сетевым интерфейсом, имеет практически исчерпывающие возможности для анализа трафика в той подсети, в которой он находится. Достаточно на нем загрузить любой *nix и запустить тцпдумпъ, и Вы можете контролировать даже раздачу ip-адресов по сетевым интерфейсам других компов. А уж посмотреть, что они там пересылаюи и кому, так тут даже коза справится – готовых рецептов анализа трафика овер 9000.

Любая современная железка имеет логику, реализованную в кремнии и логику, реализованную в прошивке.
Проблема та же.
Логика, реализованная в кремнии – это миллионы строк на каком-нибудь VERILOG, опять-таки, для гарантий отсутствия закладок нужно _понимать_ что там происходит и как. Но "кремний" работает также под управлением прошивки, а вот прошивки свои производители распространять или открывать совсем не спешат. Реверс-инжиниринг до уровня когда можно будет гарантировать отсутствие закладок займет очень много времени и ресурсов. Годы. Опять же, "логика" может быть размазана, к примеру одна функциональная часть реализуется в сетевой карте, другая – в логике, к примеру, северного моста.
И да, прошивка запросто может пропустить "спецпакет" по-братски, не отчитываясь ОС. Как и роутер от компании из "дружественной страны". Как и свитч. А ОС получит ответ, дескать всё ОК, ничего подозрительного. И вот здесь на сцене появляется то, из-за чего в общем-то весь сыр-бор: новый концепт от Интела (а теперь и от АМД), когда ОС работает не на железе, а в виртуализованном виде, поверх гипервизора, который хрен знает чем напичкан, но может дать доступ аж к выключенному компу, лишь бы кабель питания был воткнут. А при таком раскладе верти ОСью как хошь!

Цитата: slavae от 19.04.2017 13:58:33И уязвимости никто не выправляет, потому что нет времени сидеть и раскручивать, что там глючит.

Вообще-то, выправляют и очень быстро.

Цитата: slavae от 19.04.2017 13:58:33И когда вам понадобится проанализировать трафик хотя бы ста компьютеров, будет интересно понаблюдать за этой простотой.

Ваершарком даже такой трафик достаточно просто разбирается.

Цитата: slavae от 19.04.2017 13:58:33И когда вам понадобится проанализировать трафик хотя бы ста компьютеров, будет интересно понаблюдать за этой простотой.

Ничего сложного нет, если знаешь, как все работает. Трафик анализируется на любом уровне. От среды передачи до прикладных протоколов. И даже глубже.
Курьезный пример из практики – народ, которому распределены фиксированные ip в корпоративной сети, начал жаловаться, что перемещаясь по сети с лаптопами, иногда не может привязать интерфейс к выделенному ему ip на новом месте – вантуз сообщает, что адрес занят, при этом "занятый" адрес ниоткуда не пингуется. Запустили tcpdump на ARP и через 5 минут обнаружили, что один из двух сотен интерфейсов, присутствующих в сети, на запросы относительно занятости этого конкретного ip отвечает, что адрес занят именно им, хотя ip у него совершенно другой. Вставили подозрительную карту в другую материнку – все работает. Вставили в слот такую же, но другую карту – адрес занят. Вывод – проблема в материнке. Запустили тесты – все в порядке. Кроме неправомочного ответа на ARP-запрос. А в результате обнаружилась микротрещина в пайке электролита в цепи питания слота с картой. Не было бы сем анализировать трафик, глючный электролит не нашли бы никогда.

Цитата: ps_ от 20.04.2017 04:57:14Ну вы и монстры Разглядеть микротрещину на плате с 12 слоями разводки

Аплодисметны Ваши неуместны. Электролит паяется насквозь через все слои. И не только электролит, но и всякие слоты и разъемы. И, кстати, плохой пропай, трещины и китайский электролит – 95% проблем всех материнок. Года через три на четверти материнок начинают вздуваться низкокачественные китайские конденсаторы – пальцем проводишь и чувствуешь выпуклость. Это обычная болезнь всех, которые собираются в Китае. У нас электролиты меняют через пару лет на более приличные, не дожидаясь проблем, и материнка беспроблемно ходит до амортизационного упора и более. Обычно, это происходит тогда, когда списываются  старые компы и материнки из новых перезжают в корпуса списанных. В процессе меняются электролиты в блоках питания и на материнках.

Цитата: adolfus от 20.04.2017 09:38:00Аплодисметны Ваши неуместны. Электролит паяется насквозь через все слои. И не только электролит, но и всякие слоты и разъемы. И, кстати, плохой пропай, трещины и китайский электролит – 95% проблем всех материнок. Года через три на четверти материнок начинают вздуваться низкокачественные китайские конденсаторы – пальцем проводишь и чувствуешь выпуклость. Это обычная болезнь всех, которые собираются в Китае. У нас электролиты меняют через пару лет на более приличные, не дожидаясь проблем, и материнка беспроблемно ходит до амортизационного упора и более. Обычно, это происходит тогда, когда списываются  старые компы и материнки из новых перезжают в корпуса списанных. В процессе меняются электролиты в блоках питания и на материнках.

Сколько у вас срок амортизации не проще просто более качественные материнки покупать

Цитата: Yuri__1964 от 21.04.2017 03:55:33Сколько у вас срок амортизации не проще просто более качественные материнки покупать

Конечно проще. Но есть такая фигня, как тендер. В нем нельзя указать, что ты хочешь купить, например, супермикро, хапэ или интел. Только класс процессора, объем и класс памяти и прочая фигня. Вот и получаешь кал типа нвидии или асуса, в который даже две видюхи не вставить, чтобы убедиться, что БП их не потянет.  Обычно, чтобы не подсунули говно, пишешь, что среди интерфейсов должны быть 2 eSATA, 2 IEEE 1394b, не менее двух 16-лейновых PCIe, разнесенных так, чтобы в них можно было поставить две кастрюли от нвидии (видюхи покупаются отдельно) и высокие требования по питанию. Это немного смягчает положение – такие мамки и за 200 баксов не купишь. Особая статья – корпуса. Здесь все хреново. Максимум, на что можно влиять – это мощность БП и достаточное количество шнурков, чтобы запитать пару числодробительных видюх, два быстрых винчестера и выдать максимальные токи одновременно во все интерфейсы. Обычно выходит не менее киловатта, что ставит поставщиков в тупик, поскольку дешевые корпуса не рассчитаны на рассеивание такой мощности. Когда они такие гордые привозят комп, при них грузимся с живого DVD, втыкаем во все дырки флешки, в eSATA – внешние накопители и запускаем скрипт, который по полной нагружает систему по питанию. Комп, разумеется, тут же идет на перезагрузку из-за сбоев по питанию. Показываем, как работает на другом компе (типа, вот тот, который до вас у нас был, поставлял это) и отправляем допиливать. Было раз, что полгода "специалисты" из подвалов на Немиге разгребали.
Обычно сходимся на том, что они ставят БП 1,2-1,4 кВт в обычный, но приличный корпус, дают шапку высококачественных электролитов и по мелочи чего-нибудь полезного, типа удлиннителей APC. После всего этого корпус дорабатываем сами на месте – ставится дополнительный вентилятор, из электрокартона режутся и выгибаются воздухонаправляющие, ну и святое – замена электролитов и пропай всех навесных деталей в БП. Материнка ходит гарантийный срок, после чего ей перепаивают электролиты и под микроскопом исследуют все сквозные пайки. Перепайка электролитов занимает вдвое меньше времени, чем достать и вернуть материнку на место. Вместе с микроскопом – час с небольшим.

Касперский в очередной раз призывает следить за безопасностью
Ниже ссылка на историю про ботнет из взломанных роутеров, подбирающий пароли. Список доменов взломщиков на второй фотке тоже интересен. Впрочем, может это как раз список взломанных роутеров, подбирающих чужие пароли )


3. Интернет дурных вещей.
Использование «умных» бытовых девайсов напоминает безответственный секс. Вкорячить смарт-холодильник или пылесос, удалённо управляемый термостат или тем круче, обвязать сетевыми протоколами весь дом, — это доступно, просто и уже стало дёшево. Но вкорячить — одно, а вот задуматься о последствиях — совсем другое. Насколько эти устройства защищены? Какие последствия могут быть в случае взлома? Последствия и для вашего дома и для других — ведь те же смарт-холодильники могут использоваться для кибератак на другие цели?!
Так вот: я уже много раз говорил (и не только я) — «Интернет вещей» очень фигово защищён. Безопасность, увы, далеко не приоритет производителей. И перед внедрением любого «умного» девайса нужно внимательно изучить его защищённость, сменить пароли и установить патчи. Как минимум.

Доказательство катастрофическому положению вещей — свежее исследование, представленное на Security Analyst Summit 2017.
Кратко: эксперт выставил в Сеть ловушки из уязвимых устройств (в частности, IP-камеры и домашние Wi-Fi роутеры) и в течение двух лет наблюдал кто и как их ломает. Ну, что вам сказать — шансов НЕ быть взломанным при использовании девайсов as is, с настройками по умолчанию практически нет. Подробности читайте здесь.

Что настораживает: очень, ОЧЕНЬ многие пользователи именно так и поступают. Купил девайс, воткнул в розетку, подключил Интернет и забыл. А девайс, между тем, такие вещи вытворяет… В общем, перефразируя поговорку ещё раз — на производителя не надейся и сам не плошай. Возвращаясь к п.1 выше, включай голову, ставь патчи и пользуйся хорошей защитой от уязвимостей для нередких случаев отсутствия патчей.