Comments | dwarkin: А для крутых парней барабаны

dwarkin

А для крутых парней барабаны - часть 3

Dec 02, 2013 12:30

Первая часть.
Вторая часть.

Часть третья.Я в прошлый раз писал про три степени сотрудничества с law enforcement agencies, и начал разговор как раз с криптопанков, которые с радостными криками: «умри душа моя вместе с филистимлянами» побегут уничтожать ваши данные - лишь бы они не достались федералам. Я также высказал теорию, что без особой ( Read more... )

nsa

Comments 18

evg25 December 2 2013, 13:13:36 UTC

Спасибо, интересно.
А что за история с израильской энигмой?

dwarkin December 2 2013, 13:29:34 UTC

Я не могу найти пруфлинк, читал на иврите. намеки на это есть в ивритской википедии по слову Enigma, но была большая статья, кажется на ynet.

идея вот какая - англичане после войны еще долгие годы не признавались, что взломали Энигму, поэтому решили убить двух зайцев одним выстрелом и продали некоторым своим бывшим колониями трофейные машинки со словами: "лучшая немецкая криптография". Израиль (если я верно помню статью) какое-то время ею попользовался, даже поменял клавиши на ивритские, но достаточно быстро перестали ее применять для по-настоящему жареной информации, а индусы долгие годы радовали англичан своим top secret.

Crypto AG погугли, там тоже очень красивая история.

evg25 December 2 2013, 15:01:28 UTC

Упоминание этого случая нашел, а саму статью - нет... Но спасибо, факт прикольный!

oboroten_ December 3 2013, 13:46:17 UTC

Я читал об этом в Code Book

Thread 5

rimon_ December 2 2013, 14:10:25 UTC

Очень интересно, спасибо!

digest December 2 2013, 16:18:56 UTC

ни один специалист по компьютерной безопасности, кроме откровенно аффилированных с Редмондом, не рекомендовал ставить продукцию мелкомягких для проектов связанных с sensitive data

Неправда. Еще со времен NT 3.1 виндоза получила все нужные сертификаты и конформанс с пентагоновскими, црушными, кгбшными и моссадовскими "Books" разных цветов, и проходила и продолжает проходить в этих конторах суровый аудит.

что во втором десятилетии двадцать первого века можно послать человеку мейлом документ с «кривоватым» шрифтом и получить полный доступ на уровне администратора к его компьютеру? Ты путаешь мелкое с мягким. Какая связь у "sensitive data" и ОС, по умолчанию настроенной на пользователя-ламера? Для sensitive data есть целый гроссбух требований и протоколов, начиная от глубины и толщины стен бункера, защищающего физический носитель с sensitive data и до полного разделения внутренней и внешней сетей, или даже полного отключения внешней. Более того, ты можешь потратить 10 минут времени и настроить виндозу на вполне секурный уровень для ( ... )

dwarkin December 2 2013, 17:06:49 UTC

Я в курсе всех этих сертификатов и book-ов разных цветов. я лично не видел чего-то серьезного в production использующего вот эти вот trusted что-то. Я прикола ради игрался году в 2001м с Trusted Solaris, очень больная система. В плане сертификатов - я знаю, что у Windows NT они все были ( ... )

digest December 2 2013, 21:51:25 UTC

при любой возможности поставить Linux на firewall например, нормальный security спец выбирал его, а не NT.

Ни один security спец не мог поставить Линух просто потому, что такой solution не сертифицирован, а даже если и есть кастомные солюшены со всеми необходимыми сертификатами серьезных контор, их деплоймент и поиск знающей обслуги стоили бы как 3 NT. Ты говоришь про сввободный выбор сервера или инфраструктуры какой-нибудь фирмы в свободном полёте, но если речь шла о военных или финансовых организациях, никаких линуксов там и близко не было. В любом случае мы уходим от темы сохранности sensitive data, потому как сохранность таких данных - комплексная и совершенно не подходящая домашнему юзеру мера. Еще раз: по-настоящему секретные данные НЕ хранят на компьютерах с интерфейсами во внешний мир, будь то USB или интернет. Firewall играет роль лишь в случае бытовых данных неуловимого джо.

сейчас Goolge бабло платит всем, кто найдет vulnerability в ключевых open source проектахАга, и торжественно заплатили двум школьникам... Нет никакой ( ... )

dwarkin December 3 2013, 06:44:40 UTC

,но если речь шла о военных или финансовых организациях, никаких линуксов там и близко не было

Давай-давай, расскажи мне о военных и финансовых организациях :) По крайней мере насчет Израиля годов с 98го и далее.

Нет никакой связи между нахождением vulnerabilities и открытостью кода, находят же дыры в виндозе. Живой бинарный код под отладчиком гораздо лучше исходников, в которых можно так изощренно спрятать бэкдор, что сотня аудиторов ни в жисть не догадается

Ага. А живой бинарный код плюс исходники плюс награда за нахождение багов - еще лучше.

Можно слить базу паролей

Можно prooflink на то, что ЖЖ хранил unsalted базы паролей??? И вообще на technical background этой истории. Про 20 взломанных журналов я в курсе.

Thread 7

towndwarf December 3 2013, 05:24:32 UTC

По стилю - чувствуется влияние Стивенсона :))
respect тебе + digest годах в 2002-2006 я сотрудничал с ребятами, близкими к теме с обеих сторон баррикад, наслышался всяких историй ( ... )

danikh December 3 2013, 09:51:50 UTC

Интересно. Особенно вот это:
Более того, десятилетиями, ни один специалист по компьютерной безопасности, кроме откровенно аффилированных с Редмондом, не рекомендовал ставить продукцию мелкомягких для проектов связанных с sensitive data.
Можно узнать откуда инфа?

dwarkin December 3 2013, 10:02:49 UTC

Я тут немножко передергиваю, но именно что немножко.

Лично я повседневно этой областью занимался с 1996го по 2005 где-то, дальше так, почитываю в качестве хобби.
Мы ставили, конечно, NT и прочие Windows Servers под firewall-ы, делали им hardening, сервисы закрывали и т.д. - но ни один серьезный профессионал тех времен из мне лично знакомых не посоветовал бы поставить win против sparc solaris/linux даже x86 solaris на машину открытую во внешний мир.

Когда клиент настаивал - ставили Windows конечно.

danikh December 3 2013, 10:56:59 UTC

Ясно. Спасибо.