Киморкин ★➦Натка5• 16.07.16 22:13
Человек, по сути, незаконно вторгся в информационную систему.
Так что его должны принять. В ментовке.
reaper➦Киморкин• 16.07.16 22:17
Та ну, я бы не регулировал информационную безопасность с помощью законодательства. Анархия очень классно расставляет всё на свои места. Это же не по морде дать в переходе.
Киморкин ★➦reaper• 16.07.16 22:47
Ну ну. Что, интересно Вы скажете, после того как кибермошенники спишут деньги с Ваших счетов.
reaper➦Киморкин• 16.07.16 23:24
Если я буду на столько беспечен то у меня денег не будет. Вы говорите о безопасности когда за вас думает чужой дядя а я говорю о безопасности которая возникает в результате развития в суровых условиях. На наших глазах АйТи уже внесла такие корректировки в правила жизни, бизнеса, технологии что какой-то там законишко будет выглядеть просто смешно. Яркий пример: авторское право которое сегодня звучит как скуление творческих импотентов. Проблема в том что как только появляется центральное регулирование нам садятся на голову. Мы видим это во всех сферах кроме АйТи. Хотите по американски? Чтобы вам провайдер штрафы выписывал за то что вы торренты качаете, коины майните или порнографию смотрите? )))))
Киморкин ★➦reaper• 16.07.16 23:39
Демагогия.
Простой пример. Реализация OpenSSL, которая удовлетворяет всем занудным требованиям регулирующего органа, весит примерно вдвое больше, а работает примерно вдвое медленнее чем то, что Вы можете свободно скачать из любого депозитория. Безопасность - она дорогого стоит. Банкам разрешено пользоваться только сертифицированным софтом. А Вы - пользуйтесь чем угодно. Но на Ваш страх и риск.
reaper➦Киморкин• 17.07.16 00:45
Конечно демагогия! Все заблуждаются а я один знаю как надо :-) Ну, в 2x оверхед на OpenSSL я вам не верю. Только что настроил SSH через SSL качнул фильм по scp локально, получил скорость жесткого делёную на два. Вроде вся безопасность включена. То что вы наблюдали может быть связанно с кривыми настройками каналов или невозможностью мультисессионной передачи, то уже специально надо смотреть. Банки покупают секьюр не потому что это сложно а потому что в случае взлома кто-то должен отвечать финансово. Им это копейки поэтому и цены заоблачные: битвы продавцов ветра. Если для вас слово "сертифицированный" - это ключик, то я бы так не напрягался. В суровом мире сертификат зарабатывается не бумажкой купленной за взятку а реальным качеством и финансовой ответственностью. Сертификаты такой же миф как и многое другое.
Tarasios➦Киморкин• 17.07.16 03:41
Я бы по другому взглянул на ситуацию. Претендент без лишних слов показал, что владеет темой, что уже нашёл как минимум одну брешь в безопасности конторы, и что желает использовать свои знания на благо этой конторы. Вместо тысячи слов ;)
Киморкин ★➦reaper• 17.07.16 09:56
>настроил ... качнул ... получил ...
Это абсолютно никого не интересует. Вопросы могут быть разве что только к тем, кто размещает нелицензионный контент.
>я вам не верю.
Ваше право. Но я говорил со слов того, кто реально делал системы ЭЦП для банков.
>Вроде вся безопасность включена.
Блажен, кто верует. Вы же не в курсе, кто к кому какие именно требования предъявляет и во что выливается их исполнение.
>не бумажкой купленной за взятку а реальным качеством и финансовой ответственностью.
Одной взятки, поверьте, недостаточно. В мире ИБ еще и работать надо.
Информационная безопасность - это процесс. В том числе, направляемый государством. Начиная с фальшивых авизо. Помните, что это такое и как их удалось пресечь?
Спускать этот процесс на самотек, полностью доверять насквозь дырявому (пруфы здесь давать не буду) импортному софту/железу ... Увольте.
Киморкин ★➦Tarasios• 17.07.16 10:02
Ситуация типичнейшая. Очень многие по всему миру тешат себя иллюзией, что сломав систему безопасности какой-то фирмы и сообщив ей об этом, они с распростертыми объятиями будут приняты туда на работу.
В абсолютном большинстве случаев это не так. Такие люди доверия не вызывают. Нормальный пен-тестер приступает к работе после заключения договора, а не до. В противном случае он называется иначе.
ваерп➦Tarasios• 17.07.16 17:48
Или, под видом спеца, хочет получить больший уровень доступа. Что бы использовать все ресурсы конторы.
reaper➦Киморкин• 19.07.16 21:35
Почему это я не в курсе ))) Я вам говорю не как посторонний наблюдатель а прямо из сердца системы: регулирование не нужно. Авизо - это пример мошенничества с физическими и незащищёнными бланками а мы говорим о серьёзных системах ИБ. С вашей стороны было бы уместней привести пример MD5 коллизий SSL сертификатов. Однако против подобных ИБ ошибок вас не защитит никто. Сила ГБ-шников в том что они имеют "неограниченные" ресурсы для поиска кибер преступников. Но с чего вы взяли что вы как частное лицо (корпорация) будете защищены? Милиции плевать на ваши проблемы и потери. В лучшем случае вы сможете официально зарегестрировать факт форс-мажорных убытков и вас не посадят партнёры. Всё! Бизнес вы потеряете если не будете защищаться самостоятельно. В частности в конкретном очень большом банке мой друг (он как и я - архитектор) лидит весь промежуточный уровень системы безопасности. Решения которые там используются направлены на создание собственной системы безопасности. И поверьте на слово - никто из государства не рекомендует никаких промежуточных решений которые бы там использовались. А вот РФ пошла по другому пути. Не далее как 3 года назад приезжал к нам один русский потц на конференцию и начал рассказывать про IEEE стандарты в информационных системах контроль исполнения которых должно выполнять государство. Мы его конечно на Х открытым текстом не послали, но дали понять что заинтересованые люди не только баллансируют уровень безопасности на собственных предприятиях но и участвуют в формулировке этих самых стандартов. Конечно же это процесс, но государственное регулирование здесь увы такая чертовская ошибка что вы себе даже не представляете. Сегодня в мире одно из самых приоритетных направлений не оттачивание технологий производства. Инвесторы заинтересованы в оптимизации управления. Если государство влезет на эту арену со своим медленным и неконтролируемым планированием то это отбросит ИС в каменный век.
Каждая компания 10,000+ человек имеет уникальную систему управления, при таких объёмах её гибкость уже безумно низкая. В мире появляются идеи как сделать лучше которые нужно регулярно внедрять. Так вот подумайте на секунду если эти изменения нужно будет ещё с кем-то согласовывать (гос-во). Найдут к примеру дырку в SSL, нужно будет срочно перейти на экспериментальные решения... а они не лицензированы гос-вом!!!! И так во всех вопросах. Вобщем увы. Давайте оставим гос-ву дороги, бытовуху и антимонопольку. Оно и с этими задачаим не в состоянии справиться. А сами тем временем создадим цифровые распределённые системы управления не подконтрольные никому и когда алгоритмы решения стабилизируются и отточаться - выкинем нахрен львиную часть государственного аппарата заменив его электронным правительством.
reaper➦Киморкин• 19.07.16 21:46
Хм, я бы взял на работу человека который смог обойти (или объяснить как обойти) систему. Это априори означат что наш спец - ЛОХ и зря кушает. Другое дело что можно нанести ущерб, тогда и разговор другой. Но поверьте - люди которые в состоянии сломать даже простые защиты уже специалисты высокого уровня и им не интересно тырить что-то или паскудить другим. ИБ нужна чтобы отражать атаки других компаний. Но всё в мире стабильно потому что сломать горааааздно сложнее чем построить.
В продолжение дискуссии. Сегодня 5 часов говорил с умным человеком на тему ГОСТов и их развития. Изначально он поддерживал мысль Киморкина о том что этот институт может работать. Проанализировали системы стандартизации ИБ в рамках экономик трёх стран: пост-советскую, колониальную и штатскую. Вывод не изменился - в первых двух нельзя, в США - под вопросом (время покажет). Основные вопросы ради которых имело бы смысл вводить ГОСТы ИБ можно решить гораздо проще, а те проблемы которые без ГОСТов решить нельзя незначительны по сравнению с негативными последствиями возникающими при их введении. Если у вас есть какие-то интересные мысли по сабжу - с интересом послушаю.