Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Исследование негативного влияния локального перехвата HTTPS-..."	+/–
Сообщение от opennews (?), 08-Фев-17, 09:51
Группа, в которую вошли исследователи из ряда известных университетов, а также представители Mozilla, Cloudflare и Google, https://jhalderm.com/pub/papers/interception-ndss17.pdf провела]] анализ распространения методов локального перехвата HTTPS-трафика и влияния такого перехвата на сетевую безопасность. Результаты превзошли ожидания исследователей, оказалось, что 4-11% HTTPS-трафика перехватывается и анализируется сторонним ПО на стороне клиента (антивирусное ПО, межсетевые экраны), при этом в большинстве случаев подобный перехват приводит к уменьшению уровня защиты соединения. Под локальным перехватом подразумеваются случаи анализа HTTPS-трафика с использованием программного обеспечения, установленного на системе пользователя (например, антивирусное ПО), или применением корпоративных шлюзов инспектирования трафика, работающих в виде прокси. Подобные системы перехватывают обращение клиента, затем от своего лица и с собственным сертификатом транслируют HTTPS-запрос на сервер, получают ответ и отдают его клиенту в рамках HTTPS-соединения, установленного с использованием SSL-сертификата перехватывающей системы. Для сохранения индикатора защищённого соединения в браузере на машины клиента устанавливается дополнительный корневой сертификат применяемой системы инспектирования трафика. Исследователи разработали ряд эвристических методов, позволивших на стороне сервера выявить факты перехвата HTTPS и определить какие именно системы использовались для перехвата. На основании заголовка User Agent определялся браузер, а затем сравнивались применяемые в браузере и фактические особенности устанавливаемого TLS-соединений. Более того, сопоставив такие характеристики TLS-соединения, как  параметры по умолчанию, поддерживаемые расширения, заявленный набор шифров, порядок определения шифров и методы сжатия, удалось достаточно точно определить конкретный продукт, применяемый для перехвата трафика. Серверные компоненты для определения подмены HTTPS-соединения были установлены на серверы распространения обновлений для Firefox, в сеть доставки контента Cloudflare и на некоторые популярные интернет-магазины. В итоге, на серверах обновления Firefox выявлено 4% перехваченных запросов, в интернет-магазинах - 6.2%, а в CDN-сети Cloudflare - 10.9%. В 62% случаев применение корпоративных систем инспектирования снижало безопасность соединения из-за применения менее надёжных алгоритмов шифрования, а в 58% случаев соединения были подвержены известным уязвимостям.   В 10-40% случаев системы перехвата анонсировали при установке соединения с сервером поддержку небезопасных шифров, подверженных MITM-атакам. Из рассмотренных 12 шлюзов инспектирования только 5 предлагали актуальный набор шифров, 2 вообще не осуществляли верификацию сертификатов (Microsoft Threat Mgmt и WebTitan Gateway). 24 из 26 протестированных систем перехвата, работающих на компьютере клиента (как правило антивирусы), снижали общий уровень безопасности HTTPS-соединения. Актуальные наборы шифров предоставлялись в 11 из 26 продуктов. 5 систем не осуществляли верификацию сертификатов (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security и Total Security подвержены атаке CRIME (https://www.opennet.ru/opennews/art.shtml?num=34869). Продукты AVG, Bitdefender и Bullguard подвержены атакам Logjam (https://www.opennet.ru/opennews/art.shtml?num=42270) и POODLE (https://www.opennet.ru/opennews/art.shtml?num=40833). Продукт Dr.Web Antivirus 11 поддерживает экспортные шифры (атака FREAK (https://www.opennet.ru/opennews/art.shtml?num=41782)). URL: https://news.ycombinator.com/item?id=13589664 Новость: https://www.opennet.ru/opennews/art.shtml?num=45996
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Исследование негативного влияния локального перехвата HTTPS-..."	–7 +/–
Сообщение от Grishko (?), 08-Фев-17, 09:51
Правильно, сначала раструбили что можно и нужно так делать, теперь локти начинаем кусать, да? )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Исследование негативного влияния локального перехвата HTTPS-..."	+11 +/–
	Сообщение от Аноним (-), 08-Фев-17, 09:56
	Про перехват трафика антивирусами вроде никто ничего не трубил
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Исследование негативного влияния локального перехвата HTTPS-..."	+1 +/–
	Сообщение от Анонимум (?), 08-Фев-17, 10:11
	Ну да. Это по принципу: "но ведь вирусы же используют HTTPS, как же с ними бороться?" Это так же как "но ведь террористы же используют программу/сайт N, как же с ними бороться?". В первом случае решение очевидно - хотя бы для начала сменить винду на линух. Может и во втором можно действовать по тому же принципу?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	7. "Исследование негативного влияния локального перехвата HTTPS-..."	–1 +/–
	Сообщение от Andrey Mitrofanov (?), 08-Фев-17, 10:37
	>хотя бы для начала сменить винду на > линух. Может и во втором можно действовать по тому же принципу? Я бы почитал такое на opensource.com. </brace yurslvz="broz"></trump is="here">
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	10. "Исследование негативного влияния локального перехвата HTTPS-..."	–10 +/–
	Сообщение от Аноним (-), 08-Фев-17, 11:04
	> Ну да. Это по принципу: "но ведь вирусы же используют HTTPS, как > же с ними бороться?" Это так же как "но ведь террористы > же используют программу/сайт N, как же с ними бороться?". В первом > случае решение очевидно - хотя бы для начала сменить винду на > линух. Может и во втором можно действовать по тому же принципу? При условии что Linux практически не защищает себя от пользователей (И совсем не защищает от рута), то момент перехода пользователей на Linux будет самым счастливым в жизни вирусописателей %)
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	20. "Исследование негативного влияния локального перехвата HTTPS-..."	–6 +/–
	Сообщение от marks (?), 08-Фев-17, 12:13
	Всегда говорил, что линукс принято считать небезопасным не потому, что там идеальные меры безопасности, а просто потому, что он тупо никому не нужен. Разграничение прав - не панацея. Всегда можно что-то закинуть в автозапуск пользователя, например. Или ради лулзов какие-то команды выполнять, вроде выезжающих лотков приводов cd в 98х виндах. Или попросить сделать sudo что-то там. Этот способ и в винде самый эффективный, если стоят все апдейты и есть голова на плечах. Это как дыры во BSD. Их мало не потому, что идеальный код, а потому, что пользуется полтора человека. Поэтому нет смысла под  них искать тратить время.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	21. "Исследование негативного влияния локального перехвата HTTPS-..."	–1 +/–
	Сообщение от marks (?), 08-Фев-17, 12:14
	> Всегда говорил, что линукс принято считать небезопасным не потому, То есть безопасным, а не небезопасным
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	35. "Исследование негативного влияния локального перехвата HTTPS-..."	+3 +/–
	Сообщение от Michael Shigorin (ok), 08-Фев-17, 13:20
	>> Всегда говорил, что линукс принято считать небезопасным не потому, > То есть безопасным, а не небезопасным Так вот ты какая, оговорочка по marks'у... вообще-то тема стократ перетёртая, но почему-то "никому не нужный линукс" на очень вкусных целях вроде серверов и кластеров остаётся достаточно неудобной мишенью.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	43. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от marks (?), 08-Фев-17, 13:50
	> на очень вкусных целях вроде серверов и кластеров остаётся достаточно неудобной мишенью. Ответ в вопросе. То, что находится на серверах, кластерах и в руках отдельных гиков, находится если уж и не в руках ойти-богов, то хотя бы отдающих отчет своим действиям людей. Я же говорил о среднестестическом пользователе одноклассников.
	Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

	45. "Исследование негативного влияния локального перехвата HTTPS-..."	+5 +/–
	Сообщение от tsypa (?), 08-Фев-17, 14:05
	среднестатистический пользователь одноквасников является проблемой сам для себя и операционная система ничего не может и не хочет с ним делать
	Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

	61. "Исследование негативного влияния локального перехвата HTTPS-..."	–3 +/–
	Сообщение от marks (?), 08-Фев-17, 17:23
	Ну правильно. Я и говорю о мифе о том, что ЛИНУКС (сама система) защищает каким-то волшебным образом пользотелей сама по себе. ВЖУУУХ и готово. Это не так. Защищает от проблем с безопасностью только миф о высоком пороге вхождения. Я мог бы вообще жить без антивирусов и под виндой. Единственное, что я ловил за долгое время - это прописавшийся в пользовательский автозапуск батник, который запускал браузер с каким-то сайтом. Неудачно скачал репак какой-то с рутора.
	Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

	62. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Michael Shigorin (ok), 08-Фев-17, 17:51
	> Ну правильно. Я и говорю о мифе о том, что ЛИНУКС (сама система) защищает каким-то > волшебным образом пользотелей сама по себе. Этот "волшебный образ" называется "разделение привилегий от рождения, а не примотанное скотчем", если что. > Я мог бы вообще жить без антивирусов и под виндой. Единственное, что > я ловил за долгое время Скорее единственное, что заметили -- т.к. уже достаточно давно вместо фейерверков малварь предпочитает максимально тихо заниматься тем, за что заплатили (спамом, хостингом картинок или опять же малвари, сканированием и далее по списку).
	Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

	86. "Исследование негативного влияния локального перехвата HTTPS-..."	–1 +/–
	Сообщение от marks (?), 09-Фев-17, 00:01
	> Скорее единственное, что заметили У меня Kaspersky Total, я думаю, что он заметил бы за меня. Просто голова на плечах спасает лучше любых антивирусов.
	Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

	94. "Исследование негативного влияния локального перехвата HTTPS-..."	+2 +/–
	Сообщение от Michael Shigorin (ok), 09-Фев-17, 16:06
	> У меня Kaspersky Total > голова на плечах Довольно странный знаменатель, не находите?
	Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

	117. "Исследование негативного влияния локального перехвата HTTPS-..."	–3 +/–
	Сообщение от yz (?), 11-Фев-17, 20:52
	и что ты там разделять собрался? Если в windows от этого толк есть и ведется история изменения файлов и всякие точки восстановления которые под обычном пользователе удалить нельзя. Так в линуксе ты это будешь настраивать неделю. Кому этот root нужен, когда все важные данные в хомяке находятся и для curl с wget рутовые права не нужны
	Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

	68. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Гость (??), 08-Фев-17, 19:32
	>> Я мог бы вообще жить без антивирусов и под виндой. А что мешает-то? Или вы продолжаете верить, что антивирусы - чрезвычайно нужная и полезная вещь на компе?
	Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

	63. "Исследование негативного влияния локального перехвата HTTPS-..."	–3 +/–
	Сообщение от Тузя (ok), 08-Фев-17, 17:51
	Справедливости ради, в линуксе нет защиты от кривых рук пользователя, потому что ее пока не написали за ненадобностью, т.к. этого криворукого десктопного пользователя на нем нет. Сейчас задачи разрабатывать подобную систему нет. А вот этого самого криворукого десктопного пользователя нет в нормальном линуксе совсем по другим причинам их много, и я не раз их тут перечислял, никакого отношения к безопасности они не имеют. Или возьмем андроид, там-то защита есть. Загоняют пользователей в гетто, обрубают права и пользователям и приложениям. Пользователь с правами - обезьяна с гранатой. Самый простой и верный способ эти права отобрать и нет проблем. > Ответ в вопросе. Не содержится.
	Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

	88. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от DummyBoy (?), 09-Фев-17, 08:54
	> Или возьмем андроид, там-то защита есть. Загоняют пользователей в гетто, обрубают права и пользователям и приложениям. Пользователь с правами - обезьяна с гранатой. Самый простой и верный способ эти права отобрать и нет проблем. Да, да, именно поэтому 99% приложений для вашего робота требует в системе полномочий сильно больше, чем нужно. Каждый второй "фонарик" уже хочет доступ к адресной книге, выходу в сеть и полному списку носителей на запись...
	Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

	48. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Аноним (-), 08-Фев-17, 14:28
	Постоянно ломают и эти сервера через cms и прочие веб приложения, все что нужно с них и воруют. Через год, когда страничку подменят ради лулзов, админы внезапно это замечают. Новостей об этом вагон. Такая же картина в виндосерверами. Если не накосячить особо, то никто кроме МС не взломает.
	Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

	78. "Исследование негативного влияния локального перехвата HTTPS-..."	+3 +/–
	Сообщение от Led (ok), 08-Фев-17, 21:43
	> Всегда говорил Ты всегда порол чушь.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	49. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Аноним (-), 08-Фев-17, 14:30
	Не трубили, но это очевидная вещь. Когда я использовал Handycache в домашней локалке, сразу решил кэшировать только http, ибо доверять какой-то проге https нельзя просто по определению, и особенно если она редко обновляется и очевидно протухшая. Антивирусам так же нельзя доверять https. Только самой ОС и браузерам. А лучше вообще не иметь антивируса. https://twitter.com/justinschuh/status/802491391121260544 >I could rattle off a laundry list of total security breakage due to worthless AV code. In fact, I will. > AV tampering delayed Win32k Flash lockdown for over a year. Lowbox & CSRSS lockdown are still on hold. > We constantly suffer injected AV vulns, from ROP gadgets at predictable addresses to command exec > Broken AV MitM creates a constant stream of TLS failures, and breaks real security like HSTS pinning. > I expect it's possible to make an AV that isn't more harm than good, but none of you are even trying. > You ignore all security best practice, piling dodgy format parsing and other unsafe code into the kernel > No isolation or defense-in-depth. You inject huge blobs of privilege and attack surface in every process > Relying on an antivirus is useless since not all viruses are discovered and not all discovered viruses will be in the database of your particular antivirus. The only way to make sure you don't have any is not to run executables from untrusted sources, which is fairly easy.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	67. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Аноним (-), 08-Фев-17, 19:14
	Ну и в последнее время про проблему антивирусов таки трубят. https://geektimes.ru/post/285284/ https://arstechnica.com/information-technology/2017/01/antiv.../
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Исследование негативного влияния локального перехвата HTTPS-..."	–4 +/–
	Сообщение от Аноним (-), 08-Фев-17, 10:16
	> Правильно, сначала раструбили что можно и нужно так делать, теперь локти начинаем кусать, да? ) Можно и нужно, лично этим занимаюсь. На работе работать надо, а не шариться где попало. Вот дома пожалуйста, никто ничего не подменяет.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "."	–1 +/–
	Сообщение от Аноним (-), 08-Фев-17, 10:31
	Думаю пара прецендентов с посадками ( пароли к сберу на работе спёрли ) и ваше руководство начнёт задумываться :)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "."	+/–
	Сообщение от Аноним (-), 08-Фев-17, 10:34
	> Думаю пара прецендентов с посадками ( пароли к сберу на работе спёрли > ) и ваше руководство начнёт задумываться :) Или посерьёзней... в ваш линк "доброжелатели" свой "шлюзик" подсунули, а вы не проверяете сертификаты, а бухгалтер через инет-банк платёжки отправлял
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	16. "."	–1 +/–
	Сообщение от Гость (??), 08-Фев-17, 11:21
	Все сертификаты подряд устанавливаешь? Тогда причем тут ось?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	22. "."	–2 +/–
	Сообщение от DmA (??), 08-Фев-17, 12:26
	сертификаты часто с программами ставятся, а не сам пользователь. Те же антивирусы . любые утилиты. Нужно  периодически брать на сайте микрософт минимальный набор сертификатов. А Все остальные удалять из доверенных. Потом добавлять нужные(если он вообще нужны лишние)
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	33. "."	–2 +/–
	Сообщение от Michael Shigorin (ok), 08-Фев-17, 13:14
	> брать на сайте микрософт минимальный набор сертификатов > остальные удалять из доверенных И зачем мне минимальный набор недоверенных сертификатов...
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	69. "."	–1 +/–
	Сообщение от Гость (??), 08-Фев-17, 19:39
	А что же это за программы такие?
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	73. "."	+2 +/–
	Сообщение от Аноним (-), 08-Фев-17, 20:04
	> Нужно  периодически брать на сайте микрософт минимальный набор сертификатов. На МСДН, рустер!
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	79. "."	+2 +/–
	Сообщение от Led (ok), 08-Фев-17, 21:44
	> Нужно  периодически брать на сайте микрософт Вендузоед не должен брать, вендузоед должен страдать.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	64. "."	+/–
	Сообщение от Аноним (-), 08-Фев-17, 18:04
	> Думаю пара прецендентов с посадками ( пароли к сберу на работе спёрли ) и ваше руководство начнёт задумываться :) Не все же сайты в правиле, а популярная хрень, к работе отношения не имеющая, но трафик которой считать нужно. Да и банк-клиенты работать нормально не будут. И вообще... Кто админит, тот понимает зачем это и угонять пароли и т.п. - себе могилу рыть. P.S. Все необходимые документы народ подписывает и интернет должен использоваться только в рабочих целях, а не для покупок на алиекспресс и т.д.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	11. "Исследование негативного влияния локального перехвата HTTPS-..."	+4 +/–
	Сообщение от Аноним (-), 08-Фев-17, 11:07
	гугл и подобные вкорячивает тебе в браузер исполняемый код, который не понятно что делает. и так 90% вэб.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Исследование негативного влияния локального перехвата HTTPS-..."	+1 +/–
Сообщение от Аноним (-), 08-Фев-17, 11:10
Кргда я работал в одной гнилой шараге, где используется некрософт-тмг в качестве MITM-зонда, то работал через свой CDMA-модем. Скорость пониже, но коннект постабильнее будет. И главное, все нужные для работы ресурсы - доступны.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	50. "Исследование негативного влияния локального перехвата HTTPS-..."	–1 +/–
	Сообщение от Аноним (-), 08-Фев-17, 14:32
	> Кргда я работал в одной гнилой шараге, где используется некрософт-тмг в качестве > MITM-зонда, то работал через свой CDMA-модем. Скорость пониже, но коннект постабильнее > будет. И главное, все нужные для работы ресурсы - доступны. Потом меня пропалили и теперь я ищу работу? В большинстве шараг используется, что-то закрытое для этого хорошо интегрируемогое в те же закрытые ос. Или если будет шпионить через окрытое по, "шарага" превратиться в процветающую успешную компанию?
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	56. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Аноним (-), 08-Фев-17, 16:12
	> В большинстве шараг используется, что-то закрытое для этого хорошо интегрируемогое в те же закрытые ос. Мне ни то, ни другое нафиг не впилось. > Или если будет шпионить через окрытое по, "шарага" превратиться в процветающую успешную компанию? Не знаю, попробуй у себя, расскажешь. Я сам попросил вменяемую сеть, и сам принёс мопед. И другим это тоже рекомендовал. Когда я надумал уходить с той шараги, то было уже 2 джоб-оффера, из которых я выбрал тот, который мне понравился больше.
	Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

	89. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от DummyBoy (?), 09-Фев-17, 09:03
	> Я сам попросил вменяемую сеть, и сам принёс мопед. Админы той конторы, судя по всему, лопухи, раз не закрыли на рабочих местах подключение и использование сторонних устройств. Ибо это куда большая брешь, чем подмена сертификатов.
	Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

	90. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Аноним (-), 09-Фев-17, 11:41
	Да, такие же как и ты. Понимаешь, разработчику для выполнения его работы нужно дать подходящие инструменты. Ну, а ты можешь сидеть спокойно за своими троянами и в трояне и рассказывать про "безопасность" и "закрытие". Я мог дальше продолжать ходить на работу со своим ноутом и модемом, но смог добиться того, чтобы удалить некрософт_вантуз с конторского тазика, ибо таскать свой ноут мне влом. Что же касается сети в этой шараге - то действительно, проще таскать свой модем. В кармане места много не занимает.
	Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

	92. "Исследование негативного влияния локального перехвата HTTPS-..."	–2 +/–
	Сообщение от DummyBoy (?), 09-Фев-17, 14:16
	Насколько я знаю, всяким "html-программистам" и прочим изнасиловавшим WEB своими JS(подставьте-свое-любимое-go_v_no)-фреймворками "разработчикам" вообще можно в офисе не сидеть. Но вы можете тешить своё ЧСВ дальше.
	Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

	93. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Аноним (-), 09-Фев-17, 15:31
	Ты слегка не в ту ветку отвечаешь.
	Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

15. "Исследование негативного влияния локального перехвата HTTPS-..."	+5 +/–
Сообщение от Аноним (-), 08-Фев-17, 11:19
Это и есть настоящие трояны.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
Сообщение от zanswer CCNA RS (?), 08-Фев-17, 11:30
Инспектирование соединений в корпоративной среде является общепринятым механизмом обеспечения информационной безопасности. И направленно в числе прочего на не допущение утечки конфиденциальных или иных классифицированных данных (Data loss prevention). Проблемы конкретных продуктов, реализующих данный механизм без сомнений требуют внимания, если итоговое соединение в результате инспекции стало менее защищённым, это является причиной для внимательного изучения данной проблемы. Но, важно помнить, что организация сама вольна устанавливать в рамках политики сетевой безопасности, какие именно алгоритмы шифрования, протоколы и методы сжатия, должно использовать оборудование или программные продукты. С другой стороны, очевидно, что продукты предназначенные для использования дома, не должны без ведома пользователя, выполнять инспекцию и уж тем более, снижать уровень защищённости соединения.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	23. "Исследование негативного влияния локального перехвата HTTPS-..."	–1 +/–
	Сообщение от DmA (??), 08-Фев-17, 12:27
	> Инспектирование соединений в корпоративной среде является общепринятым механизмом обеспечения сначала нужны доказательства, что тот же касперский имея полный контроль над трафиком не отсылает лишнего куда-нибудь!
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	24. "Исследование негативного влияния локального перехвата HTTPS-..."	–1 +/–
	Сообщение от zanswer CCNA RS (?), 08-Фев-17, 12:40
	Для этого на пограничном брандмауэре (Firewall) или системе противодействия вторжениям (IPS), выполняется инспекция всего трафика. Если же конкретный программный продукт выступает в роли пограничного, то в таком случае, существует несколько возможных вариантов. Мы вынуждены полагаться на репутацию производителя в профессональных кругах, либо выполнять тщательное предварительное тестирование, с использованием других инструментов. С другой стороны, если мы всё ещё говорим о корпоративном секторе, то для защиты от возможных не задекларированных возможностей, существует практика сертификации продуктов. В зависимости от типа сертификации, уровня сертификации, на продукт налагаются определённые требования и ограничения, которым он обязан соответствовать, чтобы получить такой сертификат.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	102. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от пох (?), 10-Фев-17, 01:49
	> Для этого на пограничном брандмауэре (Firewall) или системе противодействия вторжениям > (IPS), выполняется инспекция всего трафика. наивный недо-ccna, вынужден тебя огорчить: ВСЕ современные системы подобного рода, включая и KSN, используют защищенный канал. Все приличные (включая) - с certificate pinning, поэтому "проинспектировать" не выйдет ровно ничего. Ну, у тебя, по крайней мере. У меня есть определенные идеи, но я, к счастью для вас, не работаю в этой области. Что самое приятное - к списку относятся не только эти системы, но и банальнейшие андроид с ios'ом. Какую там информацию они сливают своим истиным хозяевам (необязательно постоянно - можно по попаданию в зону действия определенных wifi - кстати, гуглю известно где стоит твоя точка и какая организация сидит в этом здании - включать, скажем, камеру и микрофон, этакий вот nfc-наоборот, затрудняющий обнаружение подобной функциональности) - выяснить можно разьве что с помощью паяльника и программатора, но и там будут шифрованные куски, которые не так-то просто расковырять. У User Experience, кажется, такая же фигня, но тут я не уверен, кроме того, она зачем-то использует отдельные узнаваемые сервера. У "секьюрити продкуктов" все четко - сервер для апдейтов (без которых, понятно, жить нельзя), для проверки лицензии, для анализа и для слива - один и тот же (точнее одни и те же, но неразличимые по функционалу). В некоторых случаях их можно изолировать, лицензию проверять оффлайново, апдейты два раза в день подтаскивать на флэшке, анализ отключить, но гарантии, понятно, это никакой не дает, а жизнь очень сильно осложняет. > Мы вынуждены полагаться на репутацию производителя в профессональных кругах, либо эм... в профессиональных кругах безопасников принято не полагаться на репутацию. Ничью. Ибо кинут. За то и деньги платятся. Жаль что это не написано на первой странице учебника для CCNA. С репутацией Касперского вообще все хорошо - можешь быть совершенно уверен,что они сливают как минимум при использовании KSN.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	100. "Исследование негативного влияния локального перехвата HTTPS-..."	–1 +/–
	Сообщение от пох (?), 10-Фев-17, 01:26
	> сначала нужны доказательства, что тот же касперский имея полный контроль над трафиком > не отсылает лишнего куда-нибудь! касперский ничуть не скрывает, что отсылает ;-) Немного не афишируя, для чего именно. К сожалению, вовсе не только для поиска новых вирусов. Ну да, можно opt-out из KSN, но вот уверенности у меня никакой нет.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	25. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Аноним (-), 08-Фев-17, 12:42
	>Инспектирование соединений в корпоративной среде является общепринятым механизмом обеспечения информационной безопасности. Инспектирование квартир и дач сотрудников в корпоративной среде является общепринятым механизмом обеспечения информационной безопасности. У вас мобильники отнимает охрана? Нет? Вы лошары. Через современный 3G/4G отлично сливаются секретные корпоративные данные на сервера гугла. Ой стоп. У вас же документо-оборот построен на Google Docs! Все в шоколаде, не так ли?
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	28. "Исследование негативного влияния локального перехвата HTTPS-..."	–2 +/–
	Сообщение от zanswer CCNA RS (?), 08-Фев-17, 13:01
	Политики информационной безопасности предприятия не является чем-то общим для всех, она уникальная для каждого конкретного случая. При создании политики сетевой безопасности, предприятия может опираться на лучшие практики, архитектуры безопасности производителей безопасности, на международные фреймворки и стандарты. Изымать всю стороннюю технику, разрешать её в рамках политики принеси своё устройство на предприятие (BYOD), при условии установки на устройство специального корпоративного программного обеспечения. Или же реализация закрытого двойного документооборота со строгой отчётностью, обработкой и уничтожением документов. Всё это предметы для рассмотрения, анализа всех аспектов конкретного бизнес процесса и их реализации. Так или иначе, классифицированные документы, если таковые у предприятия вообще есть, будут обрабатываться согласно требованиям законодательства и внутренней политике безопасности, включающей в себя все домены безопасности.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	30. "Исследование негативного влияния локального перехвата HTTPS-..."	+4 +/–
	Сообщение от Аноним (-), 08-Фев-17, 13:03
	Столько воды. Ты про свою фирму бы рассказал. А этот бред вливай в уши своим клиентам (ты же продаешь свои услуги или _исполняешь_ чужие? =).
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	44. "Исследование негативного влияния локального перехвата HTTPS-..."	–1 +/–
	Сообщение от zanswer CCNA RS (?), 08-Фев-17, 13:55
	Всё выше изложенное относится к теории информационной безопасности, если вы, считаете, что где-то я не правильно изложил материал, то буду рад услышать ваши доводы. Я нечего не кому не продаю и не связан с производителями программных или аппаратных решений в области безопасности.
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	51. "Исследование негативного влияния локального перехвата HTTPS-..."	+6 +/–
	Сообщение от Аноним (-), 08-Фев-17, 14:39
	> Столько воды. Ты про свою фирму бы рассказал. А этот бред вливай > в уши своим клиентам (ты же продаешь свои услуги или _исполняешь_ > чужие? =). Похоже, у этого парня заказывают написание документации по ИБ компании со всей страны. Именно поэтому, такую докуменацию потом сложно читать и невозможно исполнять. Он не расскажет про свою фирму, т к это нарушение ИБ (щас напишет тоже самое в 5 строк)
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	98. "Исследование негативного влияния локального перехвата HTTPS-..."	–1 +/–
	Сообщение от пох (?), 10-Фев-17, 01:07
	> Столько воды. Ты про свою фирму бы рассказал. А этот бред вливай > в уши своим клиентам (ты же продаешь свои услуги или _исполняешь_ > чужие? =). гордая подпись ccna rs - как бы говорит нам, что "своя фирма" - очередной мега-интегратор, где у младших падаванов слишком много свободного времени. Собственно, в два клика находится история данного персонажа- он в рамках подготовки к ccna security начитался этой галиматьи (ее полагается зазубривать наизусть, иначе просто не сдашь), и она из кипящего мозга переливается через края. Реальная работа людей с ccna, чтоб вы знали - добавлять очередной хост в acl с разрешением ftp-протокола (на пятиста устройствах, вручную, ибо автодеплой не предусмотрели). Более сложные задачи решают люди с несколько другими уровнями сертификациями (которые уже не пишут в подписи, ибо к этому моменту есть обычно другие поводы для гордости)
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	34. "Исследование негативного влияния локального перехвата HTTPS-..."	–1 +/–
	Сообщение от Michael Shigorin (ok), 08-Фев-17, 13:16
	> У вас мобильники отнимает охрана? Нет? Вы лошары. Где-то и оставляют всё подобное на входе.  Где-то не требуется. > Ой стоп. У вас же документо-оборот построен на Google Docs! Нередко достаточно одного форвардящегося на gmail почтового ящика...
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	36. "Исследование негативного влияния локального перехвата HTTPS-..."	+1 +/–
	Сообщение от Аноним (-), 08-Фев-17, 13:30
	>Где-то и оставляют всё подобное на входе.  Где-то не требуется. Это в Альте, у вас или вы вобщих чертах, что такое бывает. Я знаю, что такое бывает. Однако, там где такое бывает не читают опеннет =) Очень много встречался по работе с псевдо-знатоками безопасности. По факту в безопасность могут лишь единицы, у которых есть деньги на эту безопасность. И увы, физические меры намного важнее, чем все эти файрволы и антивирусы. Банальная аналоговая камера смотрящая в мониторы сотрудников намного полезней. Намного полезней шмон сотрудников на входе И выходе. Но нет, кругом слишком много звездежа как ИНФОРМАЦИОННАЯ безопасность важна! Важна когда работает в купе со всеми остальными методами, о которых почему-то НИКТО не заикается из этих псевдо-безопасников. Хорошо бомбануло )
	Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

	59. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Аноним (-), 08-Фев-17, 17:14
	Дружище, а как твой смарфтон и комп окажутся в одной подсети? А так да, варианты для слива всё равно есть почти всегда.
	Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

	37. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от fi (ok), 08-Фев-17, 13:32
	> У вас мобильники отнимает охрана? Нет? Вы лошары. Через современный 3G/4G отлично сливаются секретные корпоративные данные на сервера гугла. Ой стоп… И как ты на мобилку закачаешь слив?  Предложи свой вариант без USB :)))
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	40. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Аноним (-), 08-Фев-17, 13:40
	Подключусь по вафле? Дальше неткатом по 80 порту. Ты журнал хакер в нулевых не читал гляжу. Вобщем, вангую ты типичный сис.админ, который считается в фирме начальником IT-отдела и все знает. Скажу больше, все можно сделать через браузер, отослав самому себе письмо с зашифрованным архивом, а дальше по той же вафле себе забрать на телефон. Другой способ. Я беру и открываю комп для чистки вентилятора, вставляю плату PCI-экспресс как кард-ридер и вауля, залил все себе на карточку microSD. Еще вариант, я заливаю в свою бранчу на корпоративном гитЛАБе зашифрованный архив с нужной инфой, а дальше из ДОМА забираю его. И т.д. и т.п. Еще вопросы?
	Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

	54. "Исследование негативного влияния локального перехвата HTTPS-..."	–2 +/–
	Сообщение от fi (ok), 08-Фев-17, 15:00
	> Ты журнал хакер в нулевых не читал гляжу. ну если из журнала хакер - то ты монстр :)))))) > Вобщем, вангую … пролет > Подключусь по вафле? Дальше неткатом по 80 порту. обычно внешние устройства выходят в dmz, а не во внутренную сеть - пролет > Скажу больше, все можно сделать через браузер, отослав самому себе письмо с зашифрованным архивом, а дальше по той же вафле себе забрать на  телефон. собственно это и засекут - пролет > Другой способ. Я беру и открываю комп для чистки вентилятора, вставляю плату PCI-экспресс как кард-ридер и вауля, залил все себе на карточку microSD. ну обычно любое изменение оборудования (как и по USB) запрещено в полисе - пролет > Еще вариант, я заливаю в свою бранчу на корпоративном гитЛАБе зашифрованный архив  с нужной инфой, а дальше из ДОМА забираю его. и кто ж тебя пустит снаружи во внутренние сервера? - пролет ну нет, если ты генеральный и доки у тебя на ноуте - то тогда да, вынесешь без этой лабуды. :))))) > И т.д. и т.п. Еще вопросы? Ты фантазер? И никогда не работал в корпорациях?
	Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

	55. "Исследование негативного влияния локального перехвата HTTPS-..."	+2 +/–
	Сообщение от Аноним (-), 08-Фев-17, 15:09
	>пролет Да ты походу ген.дир. Без шуток, что мешает мне взять и вынуть хард из компа и унести домой? Пломба? Да это уборщица. Шмон? У вас его нет. >Ты фантазер? И никогда не работал в корпорациях? Каких? Ты про Яндекс? Про Аэрофлот? Или про что? Нет, я не работал ни в Яндексе, ни в Гугле. Дальше что? Остальные 100500 компаний России такие же как Яндекс? Живут только на американские инвестиции? Давай примеры конкретно, где все сделано тип-топ, ну просто надо гордится как все продумано. Жду список. Хотя бы одно название компании, где телефоны отбирают, где шмонают и т.д., а также палят толчки. Личный опыт заключается в том, что есть единицы контор где есть какая-то безопасность. Увы, это крупные конторы, у всех на слуху. Большинство, со штатом менее 1к человек безопасность только снилась.
	Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

	72. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Аноним (-), 08-Фев-17, 19:51
	Кстати, первое что пришло в голову, выдернуть диск. Можно домой и не носить.
	Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

	91. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от fi (ok), 09-Фев-17, 13:25
	> Кстати, первое что пришло в голову, выдернуть диск. > Можно домой и не носить. Можно домой и не ходить… уже ждут :)) Речь шла чтоб не спалиться, комп без диска это как просигналить - враг проник. Часто компы вообще не гасят - мониторятся круглосуточно. зы. да, есть хорошие приблуды - шифрование диска с токеном с сервера.
	Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

	96. "Исследование негативного влияния локального перехвата HTTPS-..."	+2 +/–
	Сообщение от Аноним (-), 10-Фев-17, 00:01
	>Речь шла чтоб не спалиться, комп без диска это как просигналить - враг проник. Вот ты ****бол еще тот. Я беру ноут на кухню/коридор/туалет, где нет камеры или ее угла обзора. Беру и открываю. Беру и достаю диск. Где я спалился? КОГДА узнают, что пломб нет? Реально, у всех подняты вафли с DMZ. Реально все пломбируют компы так, что либо ломом, либо никак. Реально у всех камеры везде понапиханы, даже в туалетах. Реально, у вас на входе металлодетекторы и шмон: за пронос отвертки -- увольнение. Реально, у вас настолько все секретно, что по VPN к компьютеру сотрудник доступ не получит никогда в жизни: ведь безопасность от недо-сисадминчега важнее милионных убытков. Реально, из дома, больницы, с отпуска у вас никто не коммитит: вы не производитете софт, вы лишь мусор на остановка подметаете. Вобщем, это тут, на словах у вас все идеально. А как придешь, то весь файрволл и просмотр ютуб обходится простым подключением к собственному VPN-серверу. Ой, а я идиот-админ, думал у нас работают кругом блондинки, поэтому сумел настроить только squid, но не сумел в MITM HTTPS. Ой, я думал, что Asterisk не позволит передавать данные  это же невозможно, никогда никто не додумается до использования SIP как хранилища и транспорта слива инфы. Ой, у нас нету человека, кто прослушивает все записи разговора на предмет утечек: болтать в курилке с радио-трубкой это палево. ЕСТЕСТВЕННО. У нас ведь есть камеры и там, и тут. И микрофоны стоят даже на улице, в бачках с мусором. Запись и проверка производится 24/7. Всегда кто-то слушает и смотрит "онлайн" сотрудников. У нас штат таких просмотрищиков составляет 75% компании. Хватит вешать лапшу на уши в попытке выйграть бесмысленный спор. Никто ничего не запалит, потому слово главного разраба в компании всегда выше сисадминского или безопасников. Последние живут на зарплату и ни копейки в компании не заработали. В то время как другие делают деньги, а огрызки достаются бедным админам. И, собственно, в заключении, если бы не дяди из ФСБ, обычный программист недобизнесмен в Яндексе таки сумел бы продать исходники знаменитого поисковика. Заметим, ни сисадмин словил программиста, ни внутренние безопасники, а ФСБ. Пруфы на эту новость гуглете сами. А уж про сам гугл и как их сис. админ почитывал гуглопочту бывшей даже заикаться не буду. Ну, тпа, сис.админ не человек, у него нет чувств, нет злых и корыстных помыслов! Кому надо тот уже все слил давным давно. Просто митники рождаются в той же стране, где офис гугла. И никто их не палит. Это они палят себя в книжках, спустя десятилетия, когда и дело не возбудишь. Да-да, вот так. Жду еще сказок на ночь про то, как у вас все идеально палится. P.S. Гребаная школота понабежала с лора. Идите на лор и там трындите про свою крутость.
	Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

	97. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от пох (?), 10-Фев-17, 00:51
	> Реально все пломбируют компы так, что либо ломом, либо никак. э... я один сраный неудачник с леновой, где диск шифруется aes, и без родной материнки, увы, никак, даже ленововский гарантийный сервис разводит руками? > Никто ничего не запалит, потому слово главного разраба в компании всегда выше > сисадминского или безопасников. Последние живут на зарплату и ни копейки в компании не > заработали. В то время как другие делают деньги, а огрызки достаются бедным админам. увы, увы - это только в маленьких компаниях, еще пытающихся "делать деньги". там где пилят инвесторские бюджеты, нет "главного разраба" (точнее, это всего лишь инженер, на него всем наcрать, а над ним три слоя начальников и один замдиректора по разработке - которому уже самому на все наcрать, в том числе и на проблемы этого инженера - он лишь вяло кивает его начальнику - "ну вы там разберитесь") и да, там админы главнее. Во всяком случае, они так думают. Их любимый ответ - вопросом "а кто будет за это отвечать?!" (как будто хоть один из них хоть раз за что-то ответил - они ж никогда не виноваты, это все пользователи, тупые, не понимают что это для их же блага) В результате имеем тридцать джампхостов (из них 15 неведомо чьих), четыре альтернативных точки выхода в инет, только две из которых кое-как прикрыты фильтрами и политиками, два vpn помимо корпоративного по спец-допуску (один сделан сетевыми инженерами на своем оборудовании, другой программистами на своих серверах) дыру в АТС, вирусняк в СКУД и подпольный сервер с варезом и филезом, спрятанный от админов. Э...в каждом отделе свой, и в двух - общий. > Заметим, ни сисадмин словил программиста, ни внутренние безопасники, а ФСБ. скорее это была провокация ФСБ. Сисадмину и внутренним безопасникам просто ткнули в морду красные книжечки и велели сидеть, не рыпаясь. > Просто митники рождаются в той же стране, где офис гугла. И никто их не палит. а присел Митник, конечно же, не от того что его спалили, а от того что книжку неправильно написал? ;-)
	Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

	101. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Аноним (-), 10-Фев-17, 01:44
	>с леновой, где диск шифруется aes Сколько стоит твоя леново? У вас у всех так? Ну, хорошо. Мажоры. >увы, увы - это только в маленьких компаниях, еще пытающихся "делать деньги". Точно. Таких "пытающихся" в РФ можно по пальцам посчитать. Остальные же 99% подтираются долларами, которые привез им инвестор с бугра. >и да, там админы главнее. "Там". На лебеденых островах. Где берега кисельные, конечно кто-то главнее. Таких компаний, конечно, в РФ 99%. Там только админы и правят всеми. >один сделан сетевыми инженерами на своем оборудовании, другой программистами на своих серверах Прямо как в Гугле, инженеры спроектировали и произвели свое оборудование? Серьезно? Ты про гугл чтоли рассказываешь? Да, я тут недавно читал, что они свои сервера производят сами, и даже сами проектируют. Конечно, "там", где так делают рассказано в контексте 99% IT-фирм в РФ. Хорошо. >скорее это была провокация ФСБ. Ты серьезно? Ой, один тут пытался провоцировать [бывших] ФСБ на собеседовании: ничего не вышло. >а присел Митник, конечно же, не от того что его спалили, а от того что книжку неправильно написал? Ты, лучше скажи, кто такой Satoshi Nakamoto. Как выяснишь спровоцируй ФСБ, они тебе руку пожмут, может даже поцелуют. А ФБР-то и подавно тебе дасть 250 тыс. зелени.
	Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

	104. "Исследование негативного влияния локального перехвата HTTPS-..."	–1 +/–
	Сообщение от пох (?), 10-Фев-17, 02:18
	>>с леновой, где диск шифруется aes > Сколько стоит твоя леново? У вас у всех так? Ну, хорошо. Мажоры. блин, а я откуда знаю, я еще ни одной не потерял. У инженеров у всех, и не только у нас - это уже вторая лавка где такие леновы. У бухгалтеров, наверное, десктопы. Но они, кстати, ключом открываются, и вряд ли ключ у юзера. >>увы, увы - это только в маленьких компаниях, еще пытающихся "делать деньги". > Точно. Таких "пытающихся" в РФ можно по пальцам посчитать. Остальные же 99% > подтираются долларами, которые привез им инвестор с бугра. уй, ну зачем же? Рублями, по курсу, которые пришли (может через эн итераций у "инвесторов", нет у нас настоящих инвесторов) от распила госденег и денег нефтяных монополий (даже если это деньги какой-нибудь МТС, первоисточник все равно там) А ты думал, куда мы проcрали резервный фонд? >>и да, там админы главнее. > "Там". На лебеденых островах. Где берега кисельные, конечно кто-то главнее. Таких > компаний, конечно, в РФ 99%. Там только админы и правят всеми. ну нет, почему же. Еще есть приближенные высокого начальства, которые спрашивают у админа "какого хрена мы вам зарплату платим!" (видимо именно за починку их величества мышки, путем отлепления прилипшего стикера)- у них, полагаю, и интернет без фильтрации, и сбшного троянца в системе нет (а может и есть, эти криворукие могут не суметь удалить). А насчет 99%, боюсь, ты уже прав. Чем дальше, тем хуже. >> один сделан сетевыми инженерами на своем оборудовании, другой программистами на своих >> серверах > Прямо как в Гугле, инженеры спроектировали и произвели свое оборудование? Серьезно? Ты совсем куку? У инженеров - управление сетевыми железками. Взяли и добавили себе непредусмотренный vpn'чик на внешний порт. Я делаю вид что не заметил - в конце-концов, я-то не админ и не безопасник (и аудит конфигов этой железки в мои задачи не входит, на моих такого нет). А у админа и безопасника к той железке, хехе, доступа нет (да и квалификации понять что это такое) Про программистов разжевывать, или хоть это тебе понятно? > Ты серьезно? ну да. Первый же, кому он попытался сбыть товар, оказался фсбшник. Ну надо же, совпадение. Куда легче предположить, что и саму идею подбросили из той же конторы, и не только этому чуваку - просто он клюнул, а дальше его и вели плотненько, чтоб звездочка на погон попала своевременно и четко. > Ты, лучше скажи, кто такой Satoshi Nakamoto. Как выяснишь спровоцируй ФСБ, они вроде - чувак, который играет в паровозики. А кому принадлежат те первые хеши в цепочке - хз, по всей видимости, имя он использовал чужое. > тебе руку пожмут, может даже поцелуют. А ФБР-то и подавно тебе > дасть 250 тыс. зелени. а чо такма? Впрочем, я бы и настолько пожабился - почет большой, но какой материальный  смысл-то, кошелек отпирающий эти хэши он, скорее всего, пропотерял или нарочно убил, а кроме как отжать у него нечестно заработанные (что, видимо, невозможно) - ничего сделать не получится, джинн уже вне бутылки, заклинания обратного запирания не предусмотрено.
	Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

	105. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Аноним (-), 10-Фев-17, 02:34
	>У бухгалтеров, наверное, десктопы. Но они, кстати, ключом открываются, и вряд ли ключ у юзера. Где там, мои шпилька и булавка. Замок в стандартных десктопах откроет школьник. Потому что Китай. Потому что это не является физ. защитой и никак не регламитируется производителем. Т.е. либо ваши админы запаявают корпуса, либо возвращаемся "я тут самый крутой, смотрите у нас...". >есть приближенные высокого начальства... >у них, полагаю, и интернет без фильтрации, и сбшного троянца в системе нет А вот эти "приближенные" они не люди. Роботы без чувств. Без корысти. Никто не сможет у вас в компании построить карьеру "из грязи в князи". Мээн, нафиг к вам вообще идти работать, если как пришел к вам джуном, так и остался джуном до конца жизни? >Я делаю вид что не заметил - в конце-концов, я-то не админ и не безопасник А это вообще беда-печаль русских компаний. Ты же работаешь в волчьей стаи, так? Вы не одна команды. Вы не одна единая фирма. Каждый сам за себя. А ну, и главному шефу ты же не доверяешь. Расскажешь -- не поймет, стопудово. Что ж, бывает.
	Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

	109. "Исследование негативного влияния локального перехвата HTTPS-..."	–1 +/–
	Сообщение от пох (?), 10-Фев-17, 03:20
	> Где там, мои шпилька и булавка. мне кажется, это уже немного палево - если и после этого не прибежит секьюрить, то что они вообще там с этой камерой делают - на сиськи бухгалтерши пялятся? Ну и в сортире с этой хренью прятаться тоже как-то...некомпльфо, вдруг подумают что. > Мээн, нафиг к вам вообще идти работать, если как пришел к вам джуном, так и остался > джуном до конца жизни? э... а ты хотел дорасти до зама генерального? Мне кажется, для этого не идут в ту же компанию работать джуном, как-то по другому такая карьера строится. > А это вообще беда-печаль русских компаний. Ты же работаешь в волчьей стаи, так? тогда бы немедленно слил сию ценную инфу безопасникам, заслужил бы плюсик. (хотя по правде сказать, они бы спросили все ли у меня с головой в порядке, и зачем я им эту херню несу) > Вы не одна команды. Вы не одна единая фирма. мы несколько разных команд. Не всегда друг-друга любящих. Админов не любит никто. Дай угадаю - ты либо вообще еще не закончил учиться, либо работаешь в какой-то крошечной лавочке из пяти человек? > А ну, и главному шефу ты же не доверяешь. а с чего мне ему доверять (или не доверять)? Это человек, которого приставили инвесторы, следить чтоб мы чего не по чину не украли. Я к нему в кабинет не вхож, да и не о чем мне в общем-то с ним тереть.
	Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

	110. "Исследование негативного влияния локального перехвата HTTPS-..."	+1 +/–
	Сообщение от Аноним (-), 10-Фев-17, 03:35
	>это уже немного палево - если и после этого не прибежит секьюрить, то что они вообще там с этой камерой делают - на сиськи бухгалтерши пялятся? Мы опять вернулись к камерам? Прекрати, умоляю, пожалуйста. Возвращаемся к вопросу: сколько у вас "палящих" работает? Они только и делают, что в моники пялятся? Почему ты не устроился палящим? Им-то больше всех должны платить. Они ж люди. Могут продаться. Корысть в крови забурлить. >Админов не любит никто. Спасибо за откровенность. Надеюсь, ваши одмины прочитают это и узнают тебя. >Дай угадаю Не надо гадать. Я не пытался тебя в чем-то обвинить или разобщить с коллективом. Просто ты сам начал рассказать что у вас в конторе творится, ну, я не удержался. Сам же доказываешь, сколько у вас есть вариантов ходов. Мы тут говорим про безопасность или опасность работы у вас в коллективе? Хехехе. Всё. Мира.
	Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

	52. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Аноним (-), 08-Фев-17, 14:46
	> У вас мобильники отнимает охрана? Нет? Вы лошары. Через современный 3G/4G отлично > сливаются секретные корпоративные данные на сервера гугла. Ой стоп. У вас > же документо-оборот построен на Google Docs! Все в шоколаде, не так > ли? Если быстрый экспорт инфы в файлы из онлайновых информационных систем невозможен, подключение к компу всяких медиа носителей тоже, инет закрыт, то в какой-то мере юзер под контролем даже если сидит со своей техникой на работе. Если начнет что-то вытаскивать на раб стол (с целью вытащить загрузившись и з нормальной ос), то можно пропалить по поведенческому анализу. Смену способа загрузки не всегда можно запретить на дешманском оборудовании.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	113. "Исследование негативного влияния локального перехвата HTTPS-..."	+/–
	Сообщение от Аноним (-), 10-Фев-17, 12:55
	> Data loss prevention Это маркетинговая туфта поможет только от совсем тупopылых. rarjpeg'а хватит, чтоб на неё положить большой и толстый.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

26. "Исследование негативного влияния на безопасность локального ..."	+/–
Сообщение от th3m3 (ok), 08-Фев-17, 12:48
Я давно уже говорю, что нафиг эти антивирусы вместе с виндой. Пользуйтесь нормальными системами и будет профит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	29. "Исследование негативного влияния на безопасность локального ..."	+/–
	Сообщение от Аноним (-), 08-Фев-17, 13:02
	В соседней теме для выявления эксплойтов (вирусов) рекомендуют пропатчить ядро левым патчем. Ваше "нормально" в этом заключается?
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	32. "Исследование негативного влияния на безопасность локального ..."	–1 +/–
	Сообщение от Гость (??), 08-Фев-17, 13:13
	Ссылку можно?
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	38. "Исследование негативного влияния на безопасность локального ..."	–1 +/–
	Сообщение от Аноним (-), 08-Фев-17, 13:33
	http://mobile.opennet.ru/opennews/art.shtml?num=45992 Проект grsecurity представил набор патчей с реализацией механизма защиты ядра Linux, позволяющего блокировать работу эксплоитов
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

	41. "Исследование негативного влияния на безопасность локального ..."	+/–
	Сообщение от chinarulezzz (ok), 08-Фев-17, 13:41
	> http://mobile.opennet.ru/opennews/art.shtml?num=45992 > Проект grsecurity представил набор патчей с реализацией механизма защиты ядра Linux, позволяющего > блокировать работу эксплоитов Это уже "усиленно", как и Grsecurity + SELinux + PaX + hardened building. А просто (мб + hardened building) - это "нормально".
	Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

	42. "Исследование негативного влияния на безопасность локального ..."	–3 +/–
	Сообщение от Аноним (-), 08-Фев-17, 13:45
	А, т.е. "нормально" - это патчить ядро на каждый чих вместо установки программ-утилит? Нужна дефрагментация - патчим ядро. Нужен антивирус - патчим ядро. Купили новую видеокарту - патчим ядро. Это по-вашему "нормально"?
	Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

	46. "Исследование негативного влияния на безопасность локального ..."	+2 +/–
	Сообщение от chinarulezzz (ok), 08-Фев-17, 14:19
	> А, т.е. "нормально" - это патчить ядро на каждый чих вместо установки > программ-утилит? Да. Мы в пту развлекались: написать вирусню, которая бы не палилась антивирусами с распоследними апдейтами, инжектилась в системные процессы, и всячески скрывали своё существование. > Нужна дефрагментация - патчим ядро. Нужен антивирус - патчим ядро. > Купили новую видеокарту - патчим ядро. Это по-вашему "нормально"? Я поддерживаю предыдущего комментатора в том, что в сравнении с виндой, ядро линукса и без grsecurity более безопасно.
	Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

	99. "Исследование негативного влияния на безопасность локального ..."	–1 +/–
	Сообщение от пох (?), 10-Фев-17, 01:20
	> Да. Мы в пту развлекались: написать вирусню, которая бы не палилась антивирусами > с распоследними апдейтами, инжектилась в системные процессы, и всячески скрывали своё > существование. фиговое пту. В смысле - почему вам не объяснили, что в линуксе это делать тоже можно, и гораздо проще и удобнее? (и уже, разумеется, понаделано двадцать лет назад) > Я поддерживаю предыдущего комментатора в том, что в сравнении с виндой, ядро > линукса и без grsecurity более безопасно. хмм... Если это на основании вышепроцитированного - ты сильно заблуждаешься. (gresurity оно больше не про ядро, а про защиту юзерских процессов, если что) Если нет, то я, к примеру, не берусь не то что сравнить, а хотя бы примерно набросать план такого сравнения. Слишком несопоставимые вещи. (то есть для начала бы определиться, что есть ядро. Кажется что просто, хотя бы в случае линукса? Ну-ка, а вот модули - это ядро? Наверное, да? А insmod? Это ведь интерфейс к ядру, довольно примитивный? И тут всплывает недавняя история с переменными окружения в modprobe - дыра by design ;-) Нет, в винде _настолько_ тривиальных дыр все же, пожалуй, уже нет)
	Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

	103. "Исследование негативного влияния на безопасность локального ..."	+1 +/–
	Сообщение от chinarulezzz (ok), 10-Фев-17, 01:50
	> В смысле - почему вам не объяснили, что в линуксе > это делать тоже можно, и гораздо проще и удобнее? (и уже, > разумеется, понаделано двадцать лет назад) Ну давай пример. Винда беззащитна перед CreateRemoteThread. Что в линуксе проще, ptrace с включенным yama?
	Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

	106. "Исследование негативного влияния на безопасность локального ..."	–1 +/–
	Сообщение от пох (?), 10-Фев-17, 02:39
	> Ну давай пример. Винда беззащитна перед CreateRemoteThread. Что в линуксе проще, ptrace > с включенным yama? сменить имя своего процесса на dhcpcd. Зачем тебе ради этого какие-то треды в чужом адресном пространстве, где можно ненароком что-то повредить или тебя может повредить соседний тред? (мы ведь все еще о попытке скрыться таким образом от просматривающего список процессов, а не о чем-то другом? Тред, разумеется, будет виден. Как и левый dhcp, но кто на них смотрит-то... А если ты на ходу сменил тему, и речь о попытке перехвата информации или вообще подмены процесса - так у нас для этого LD_PRELOAD обычно используют, нафига по живому-то ковыряться, опять же. Это у них в винде хрен оффлайново подменишь dll, то записать даже админу не дают без uac, то не хотят читать там куда записать получается, то подпись им подавай, сплошные мучения горе-хакеру)
	Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

	107. "Исследование негативного влияния на безопасность локального ..."	+1 +/–
	Сообщение от chinarulezzz (ok), 10-Фев-17, 02:54
	>> Ну давай пример. Винда беззащитна перед CreateRemoteThread. Что в линуксе проще, ptrace >> с включенным yama? > сменить имя своего процесса на dhcpcd. > LD_PRELOAD пффф, ты моё пту ругал, а сам детский сад предлагаешь вообще. > Это у них в винде хрен оффлайново подменишь dll, то записать даже админу не дают > без uac, то не хотят читать там куда записать получается, то > подпись им подавай, сплошные мучения горе-хакеру) ой, я тя умоляю. OpenProcess + VirtualAllocEx + WriteProcessMemory + CreateRemoteThread, и не нужно никаких прав, и не нужно никаких левых DLL, сразу цепляешь процедуры к тому же explorer.exe. И пашет от ХР до 8-ки. На 10-ке не проверял, но там своих бэкдоров хватает, бери, подключайся.
	Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

	108. "Исследование негативного влияния на безопасность локального ..."	+/–
	Сообщение от chinarulezzz (ok), 10-Фев-17, 02:58
	-
	Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

	114. "Исследование негативного влияния на безопасность локального ..."	–1 +/–
	Сообщение от пох (?), 10-Фев-17, 15:45
	> пффф, ты моё пту ругал, а сам детский сад предлагаешь вообще. ну дык, кто же виноват, что в винде такой детский сад несколько затруднен, а в линуксе - пожалуйста? > ой, я тя умоляю. OpenProcess + VirtualAllocEx + WriteProcessMemory + CreateRemoteThread, вместо одного LD_PRELOAD, без всякой необходимости искать в чужом процессе точки входа вручную, я и говорю, сплошные мучения. > На 10-ке не проверял это стандартный api, его никто не отменял и не отменит (как и LD_*), ничего ужасного в нем самом нет. Нестандартный - когда ты хочешь чтобы тебя вообще не было видно в списке процессов - ни с именем dhcpcd, ни как непредусмотренный тред explorer.exe Это в линухе тоже проще делается (разумеется, нужно уже где-то добыть рута, или админский акаунт для винды) в общем, не вижу никаких мегапреимуществ. На практике же, если ты запускаешь всяку каку от эндюзера, шансов огрести проблем больших, чем доступно этому юзеру, в винде, на мой взгляд, меньше. (случаи grsec/selinux в enforcing хотя бы targeted и т д откидываем как чрезвычайно малораспространенные)
	Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

	115. "Исследование негативного влияния на безопасность локального ..."	+1 +/–
	Сообщение от crz (?), 10-Фев-17, 16:20
	Readonly на LD_PRELOAD, noexec на хомяк и tmp. Твои действия? Замечу, это стандартные средства, не надо патчить ядро всякими grsecurity'ями.
	Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

	65. "Исследование негативного влияния на безопасность локального ..."	+/–
	Сообщение от Аноним (-), 08-Фев-17, 18:18
	А в чём принципиальное различие? В линукс компиляция и перезагрузка, там установка драйвера и перезагрузка? В первом случае модифицируется ядро патчем, во втором модифицируется ядро загружаемой библиотекой. Не вижу ничего не "нормального"
	Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

	85. "Исследование негативного влияния на безопасность локального ..."	+/–
	Сообщение от Michael Shigorin (ok), 08-Фев-17, 23:11
	> А в чём принципиальное различие? В линукс компиляция и перезагрузка Гляньте всё-таки матчасть, прежде чем продолжать задавать глупые вопросы.  Линукс несложно поставить на флэшку или закатать и грузиться с неё, чтоб покрутить в руках в качестве как минимум запасной системы. Досадно же, когда приходят с какими-то дикими суевериями.
	Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

	116. "Исследование негативного влияния на безопасность локального ..."	+/–
	Сообщение от Michael Shigorin (ok), 10-Фев-17, 18:35
	> А, т.е. "нормально" - это патчить ядро на каждый чих вместо установки > программ-утилит? Нужна дефрагментация - патчим ядро. Нужен антивирус - патчим ядро. > Купили новую видеокарту - патчим ядро. Это по-вашему "нормально"? Вот это был автор комментария вида "сердюков, захарченко, серединин, список альта" в теме про вебкит.. Смотрите, люди.  Мотайте на ус, что это за контингент.  Обострившийся сегодня флудер-наркоман по поведению тоже перекликается.
	Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

	70. "Исследование негативного влияния на безопасность локального ..."	–1 +/–
	Сообщение от Гость (??), 08-Фев-17, 19:40
	Спасибо за ответ.
	Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

	39. "Исследование негативного влияния на безопасность локального ..."	+/–
	Сообщение от chinarulezzz (ok), 08-Фев-17, 13:37
	он, видимо, про grsecurity.
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

	58. "Исследование негативного влияния на безопасность локального ..."	+/–
	Сообщение от Аноним84701 (ok), 08-Фев-17, 16:43
	> В соседней теме для выявления эксплойтов (вирусов) рекомендуют пропатчить ядро левым патчем. > Ваше "нормально" в этом заключается? Ну да, конечно же лучше установить антивирус, который отрубит всякие новомодные ASLR (помимо привнесения целой кучи своих, древних и не очень дыр, типа спотыканий при распаковке и всевозможных переполнений при парсинге файлов), http://joxeankoret.com/download/breaking_av_software_44con.pdf перехватит (причем, опять же, криво – см новость) HTTPS и будет усиленными тормозами делать вид, что "на страже"!. При этом, на практике, не будет перехватывать ничего нового и незнакомого (зато поднимать тревогу на "подозрительный" netcat, типа "смотри хозяин, я бдю!"), хотя еще лет 6-7 назад более-менее серьезные "ботоводы" перешли на регулярные "превентивные" обновления, как раз с целью изменения сигнатуры. Как-то оно ... сомнительно, что-ли. Даже не просто "сравнительно честный способ отъема денег", уже из серии "приобрети наш продукт и получи геморрой в подарок бесплатно!"
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	53. "Исследование негативного влияния на безопасность локального ..."	–1 +/–
	Сообщение от Аноним (-), 08-Фев-17, 14:47
	> Я давно уже говорю, что нафиг эти антивирусы вместе с виндой. Пользуйтесь > нормальными системами и будет профит. Странно что тебя такого умного никто не слушает....
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	76. "Исследование негативного влияния на безопасность локального ..."	+/–
	Сообщение от anonymous (??), 08-Фев-17, 20:58
	>> Я давно уже говорю, что нафиг эти антивирусы вместе с виндой. Пользуйтесь >> нормальными системами и будет профит. > Странно что тебя такого умного никто не слушает.... Ничего странного. Когда умных слушали-то?
	Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

47. "Исследование негативного влияния на безопасность локального ..."	+1 +/–
Сообщение от dr Equivalent (ok), 08-Фев-17, 14:25
MITM-атака сводит на нет всю модель безопасности SSL. Прямо кто бы мог подумать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "Исследование негативного влияния на безопасность локального ..."	+1 +/–
Сообщение от anonymous (??), 08-Фев-17, 16:24
А я себе такое хочу домой поставить. privoxy не умеет https, squid умеет перехват https, но не умеет в приватность, и друг с другом они не дружат. Вот жду, когда одно из трёх условий изменится и можно будет наконец-то настроить перехват https трафика.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	82. "Исследование негативного влияния на безопасность локального ..."	+/–
	Сообщение от Anonim (??), 08-Фев-17, 22:54
	> А я себе такое хочу домой поставить. privoxy не умеет https, squid умеет перехват https, но не умеет в приватность, и друг с другом они не дружат. Вот жду, когда одно из трёх условий изменится и можно будет наконец-то настроить перехват https трафика. https://mitmproxy.org/
	Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

66. "Исследование негативного влияния на безопасность локального ..."	+2 +/–
Сообщение от Аноним (-), 08-Фев-17, 19:13
вот вам и весь ынтерпрайз. вместо того, чтобы направлять ресурсы на повышение своего качества и устойчивости, акулы бизнеса гонятся за быстрой наживой, падая в лужи с гумном
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

81. "Исследование негативного влияния на безопасность локального ..."	+/–
Сообщение от Crazy Alex (ok), 08-Фев-17, 22:53
Ну закономерно. Эти системы перехвата - корпоративный софт с медленной разработкой и вечно запаздывающими апдейтами, которые, понятно, не успевают за браузерами в плане обновления параметров шифрования и подобного, да и к устранению уюязвимостей относятся абы как.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

83. "Исследование негативного влияния на безопасность локального ..."	+/–
Сообщение от Crazy Alex (ok), 08-Фев-17, 22:54
А вот за "Проверка не выполняется, если цепочка верификации завершается локальным корневым сертификатом, установленным администратором" надо голову отъедать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

118. "Исследование негативного влияния локального перехвата HTTPS-..."	–1 +/–
Сообщение от Аноним (-), 16-Фев-17, 16:25
Категорически не согласен с обобщениями и выводами автора! Перехватывать расшифровывать и проверять ВЕСЬ трафик антивирусом сегодня просто необходимо! Но автор статьи благую идею добавил ложку дёгтя от мелкософта, кашпировского и им подобных..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	119. "Исследование влияния перехвата"	+/–
	Сообщение от Andrey Mitrofanov (?), 16-Фев-17, 17:09
	> Перехватывать расшифровывать и проверять ВЕСЬ трафик антивирусом сегодня просто необходимо! >от мелкософта, кашпировского и > им подобных.. Евгений Валентинович, шифруйтесь лучше---
	Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема