IoT. Безопасность вперде?

Ну как показывает практика с государством это не работает в общем случае, во всяком случае бывают казусы.
А кто платит, тот заказывает музыку в кабаке, будет ли тоже самое зависит от участников процесса, бывает по разному, понятное дело, но поскольку количество таких 'проверяющих' может быть любым, конкуренция, вероятно выдавит нечестно играющих.(пример, кто то дал сертификат безопасности после своего аудита, за взятку, другая организация взломала сертифицированный продукт, все усомнились в профессионализме/честности давших сертификат)

Ну как показывает практика с государством это не работает в общем случае, во всяком случае бывают казусы.

Ломающие новости, а пруфлинков будет?

зависит от участников

бывает по разному

Дальше не читал.

И про конкуренцию - Trustwave

Живет и здравствует поныне, весело правда? Спалились по самые уши, но всем срать.

Trustwave

Cisco, Juniper, Fortinet... Список можно продолжать очень долго. Все живут и здравствуют.

Ломающие новости, а пруфлинков будет?

Видимо он про порашу, а не про сша. У нас тут чтобы внести критический апдейт надо полгода фстэк ожидать

У нас тут чтобы внести критический апдейт надо полгода фстэк ожидать

Ну, во-первых, это касается только буржуйских продуктов, отечественные проверяются куда шустрее. Ну, да, их хрен да маленько, и что?

Видимо он про порашу, а не про сша.

С понтом, в асашай нет сертификации? Гы :)

А кто платит, тот заказывает музыку в кабаке, будет ли тоже самое зависит от участников процесса, бывает по разному, понятное дело, но поскольку количество таких 'проверяющих' может быть любым, конкуренция, вероятно выдавит нечестно играющих.(пример, кто то дал сертификат безопасности после своего аудита, за взятку, другая организация взломала сертифицированный продукт, все усомнились в профессионализме/честности давших сертификат)

Лолшто? Конкуренция выдавит честных. Потому что никто не хочет трать бабки на секьюрити, а потом ещё и признавать, что он обосрался в штаны. Типичный пример: утилизация списанного оборудования в госконторах или пожарная сертификация в обычных. Честные тут нафиг никому не нужны.

другая организация взломала сертифицированный продукт

Её просто засудит производитель, вот и вся история.

Ну, во-первых, это касается только буржуйских продуктов, отечественные проверяются куда шустрее. Ну, да, их хрен да маленько, и что?

Лолшто? Внесение апдейта в какой-то российский популярный криптошлюз (vpn с линуксом на деле) - полгода. КопроПРО - 3 месяца. Там разница была в 20 строчках кода.

Ну не нужны, значит не нужны, о чем тогда спор? Если безопасность людям не нужна, то никакими мерами вы её им не привьёте. Хотя мне кажется, если у людей есть хоть капля мозгов, пострадав от отсутствия мер безопасности(любого характера) они хотя бы попытаются исправить ситуацию.

Ок, а вот это проблема законодательства, за что засудит то? за публичное доказательство уязвимости продукта, без злого умысла?

Ну не нужны, значит не нужны, о чем тогда спор? Если безопасность людям не нужна, то никакими мерами вы её им не привьёте. Хотя мне кажется, если у людей есть хоть капля мозгов, пострадав от отсутствия мер безопасности(любого характера) они хотя бы попытаются исправить ситуацию.

Прекрати. У людей нет мозгов. Если бы были, то они не юзали бы винду, айпеды и андроид. Ну или хотя бы не цеплялись бы первому попавшемуся вайфаю, когда у них и так есть 4G. Даже после пары взломом они всё-равно ничему не учатся. Видел много таких инцидентов. Мало того, я знаю производство, где юзали самопальные станки. Одному чуваку там отхреначило палец из-за сбоя схемы. И что ты думаешь? Они дали чуваку 25к, уволили его, и ничего не изменилось. Люди - лохи и говно. Признай это.

Ок, а вот это проблема законодательства, за что засудит то? за публичное доказательство уязвимости продукта, без злого умысла?

Злой умысел они найдут. Плюс как продукт взламывался без реверсинжиниринга? Обычно это весьма сложно. В США были многократно засужены частные исследователи, которые в паблик (после месячного молчания компании) выкладывали данные.

Я лично не понимаю, зачем они это делали: лично я бы продавал бы экспойт несколько раз на разных хакерских биржах. А потом пусть сами разбираются, если они ведут себя как мудаки и не делают аудит.

vpn с линуксом на деле

Сотрудник ИнфоТеКса детектед.

Внесение апдейта в какой-то российский популярный криптошлюз (vpn с линуксом на деле) - полгода

А вот ваши коллеги с FreeBSD говорят, что все оперативно решается.

Прекрати. У людей нет мозгов. Если бы были, то они не юзали бы винду, айпеды и андроид. Ну или хотя бы не цеплялись бы первому попавшемуся вайфаю, когда у них и так есть 4G. Даже после пары взломом они всё-равно ничему не учатся. Видел много таких инцидентов. Мало того, я знаю производство, где юзали самопальные станки. Одному чуваку там отхреначило палец из-за сбоя схемы. И что ты думаешь? Они дали чуваку 25к, уволили его, и ничего не изменилось. Люди - лохи и говно. Признай это.

Я и не отрицал, только вот проблемы не вижу. Не вижу смысла создавать безопасный мир, для тех кому он не нужен(по их мнению). Я вот пользуюсь андроидом, но там во первых почти нет ценностей, во вторых просто нет альтернативы/денег на неё.
ну и если мой андроид взломают, я не буду удивлен :) итп

Злой умысел они найдут. Плюс как продукт взламывался без реверсинжиниринга? Обычно это весьма сложно. В США были многократно засужены частные исследователи, которые в паблик (после месячного молчания компании) выкладывали данные.

Я лично не понимаю, зачем они это делали: лично я бы продавал бы экспойт несколько раз на разных хакерских биржах. А потом пусть сами разбираются, если они ведут себя как мудаки и не делают аудит.

согласен, лучше бы продали, если законы позволяют засудить за такое, ну и опять же, проблема законов, имели бы эти альтруисты право на такой добровольный аудит(конечно, включающий реверсинженеринг) получилось бы лучше.

Сотрудник ИнфоТеКса детектед.

Не понял прикола. Это что-то типа ООО «Вектор»? Нет, там серьёзно на борту линукс, тыкали железку списанную. Легко получили доступ через сервисное меню через UART + shellshock, там ipsec, но с патчами для параша-криптографии. Видимо, на GPL всем срать.

А вот ваши коллеги с FreeBSD говорят, что все оперативно решается.

Бздуны всегда на словах впереди планеты всей (даже первей гентушником). А не деле все трусы в говне.

Не вижу смысла создавать безопасный мир, для тех кому он не нужен(по их мнению).

Когда ты заводишь собаку, то убираешь яды с нижних полок, а с кроликом и провода 220в. Когда ты делаешь что-то для конечных пользователей надо думать также. Поверь, кроме возможности не ссать под себя, они не особо отличаются от домашних животных, в сравнении с нами.

Если ты разводчик «хомячков», то конечно, надо убирать и «провода» и «яды», но мне такая аналогия не очень близка, я хомячков дрессировать не хочу.

Не понял прикола. Это что-то типа ООО «Вектор»?

Ой, не строй дурочку. Если и не сотрудник, то уж в гугле-то тебя не забанили еще?

Нет, там серьёзно на борту линукс, тыкали железку списанную.

Ну, поздравляю. Я их вполне себе не списанных, а эксплуатируемых сношал не одну, не две, и не десяток. И достаточно неплохо представляю себе, что там и как.

Легко получили доступ через сервисное меню через UART + shellshock, там ipsec, но с патчами для параша-криптографии.

Там еще и sshd старый. И аутентификация только по паролям. Короче, вариантов его поиметь - вагон и тележка.

Бздуны всегда на словах впереди планеты всей (даже первей гентушником). А не деле все трусы в говне.

Ню-ню :) То-то все нормально, типа JunOS и OnTAP, делается на *BSD.

Ой, не строй дурочку. Если и не сотрудник, то уж в гугле-то тебя не забанили еще?

Там таких компаний до жопы разных выдаёт. Поэтому я и спросил. Я серьёзно.

Ну, поздравляю. Я их вполне себе не списанных, а эксплуатируемых сношал не одну, не две, и не десяток. И достаточно неплохо представляю себе, что там и как.

И какие отличия от того, что я написал?

Ню-ню :) То-то все нормально, типа JunOS и OnTAP, делается на *BSD.

Пфф, они просто аналить наработки хотят, а бздуны - редкостные терпилы. Линуксоиды бы быстро их лядей бы засудили, как циску. И своего бы чекиста в штате обязали держать, чтобы контролировать отсутствие нарушения GPL.

Ню-ню :) То-то все нормально, типа JunOS и OnTAP, делается на *BSD.

И да: оба говна спалились не один раз «инженерными входами», а одна так вообще бекдором от NSA, который они типа годами не замечали.

Я, пожалуй, сразу на все отвечу, лень капчу вбивать 100500 раз.

Там таких компаний до жопы разных выдаёт. Поэтому я и спросил. Я серьёзно.

В РФ их, по сути, всего 2. Инфотекс и Код безопасности. Одни (инфотекс) пилят свой vipnet hw на линуксах, а КБ до недавнего времени юзали freebsd. Правда, по слухам от их маркетолухов, тоже переходят на линуксы. Мелочь типа НПО РТК в расчет не берем.

И какие отличия от того, что я написал?

Да я, вроде бы, ответил. Из-за корявой процедуры сертификации они не особо парятся.

Пфф, они просто аналить наработки хотят, а бздуны - редкостные терпилы. Линуксоиды бы быстро их лядей бы засудили, как циску. И своего бы чекиста в штате обязали держать, чтобы контролировать отсутствие нарушения GPL.

Напомни, когда прижимали Check Point, Stonesoft и Fortinet? Они вполне себе перепиливают линукс.

И да: оба говна спалились не один раз «инженерными входами», а одна так вообще бекдором от NSA, который они типа годами не замечали.

Эм, OnTAP? Не слышал такого. А жунипер спалился со ScreenOS, который, емнип, не на бсд. Хотя могу и путать.

Ты говоришь, как менеджер-дебил, а не как технарь-эксперт. Вот из-за таких офигенных управленцев мы в жопе и живём.

Я сужу с позиции конечного пользователя. Им реально пофигу, что на чем написано. Задача InfoSec Manager-а - это убедить CEO потратить хоть сколько-то денег на безопасность. И тут аргументы типа «указатели, ручное управление памятью, etc» - не работают. Бизнес понимает только разговор денег. А для того, что бы конвертировать секуре софтваре девелопмент в деньги - нужны метрики. Вот и приходится скрещивать бульдога с чемоданом.

А как архитектор я по-умолчанию любое дополнительное устройство (пусть вендор хоть обвешается наклейками о хакероустойчивости) воспринимаю как дополнительную точку на attack surface. Что бы этого не делать, нужно любой девайс подвергать реверс-инжинирингу и тщательному тестированию, но на это тупо нет ресурсов - ни человеческих, ни материальных, ни временных. Что приводит нас к тому, с чего мы начали. Третья сторона должна подтвердить соответствие требованиям для применения в данной сфере. У нас это делается путем сертификации ФСТЭК, в буржуйлэнде - Common Ctriteria, отраслевые/национальные стандарты.

Так что, мы снова пришли к тому, что приходится уравновешивать ресурсы и требования.

ЗЫ А в жопе, не смотря ни на что, мы не живем.

Я, пожалуй, сразу на все отвечу, лень капчу вбивать 100500 раз.

Зарегать яндекс-ящик и тут зарегаться не пробовал? 2 минуты занимает, зато очень удобно.

vipnet hw на линуксах

Дада, именно про это дерьмище я и говорил.

ЗЫ А в жопе, не смотря ни на что, мы не живем.

Смею не согласиться.

Анон, у тебя джаббер или другой IM есть?

Зарегать яндекс-ящик и тут зарегаться не пробовал? 2 минуты занимает, зато очень удобно.

Да я как-бы зареган, просто логиниться с рабочего ПК лень %)

Дада, именно про это дерьмище я и говорил.

Весьма глючная поделка, на самом деле. Правда, они все более чем странные.

Смею не согласиться.

Вопрос обсуждаемый.

Анон, у тебя джаббер или другой IM есть?

Скайп