tag:blogger.com,1999:blog-7101910961245278683.post3704754192970085681..comments2023-12-22T13:56:19.216+03:00Comments on Рецепты безопасности от Емельянникова: На пороге катастроф. О том ли мы думаем сегодня?Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.comBlogger27125tag:blogger.com,1999:blog-7101910961245278683.post-9562376679719380802012-04-27T16:57:16.662+04:002012-04-27T16:57:16.662+04:00Понятно, что при даже самой благоприятной обстанов...Понятно, что при даже самой благоприятной обстановке уже существующие системы всё-равно ещё долго будут продолжать своё существование. Но и здесь есть своё, пусть извращённое, но вполне приемлемое решение - программная реализация виртуальной машины, которая будет оберегаться лучше радужки глаза [например].<br /><br />Второй момент, который я вижу как неизбежность - это сети Изолированные сегменты, конечно можно поддерживать, но всё-равно потенциально опасно. Будут отключены корневые сервера, страшно подумать какие последствия будут дальше. Вроде как, можно без них обойтись, но проверять желания нет никакого.<br /><br />Армия... Да. Это боль. 9 лет, не Генштаб конечно, но... мог бы внести в научную сферу свежую струю. )Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-70018438043203668472012-04-27T13:00:31.462+04:002012-04-27T13:00:31.462+04:00Можно, конечно, рассуждать и так. Но весь мир (кро...Можно, конечно, рассуждать и так. Но весь мир (кроме пересчитываемых на пальцах одной руки) живет на чужих процессорах и ОС, а опасные производства, водохранилища, полеты авиации, электронику в медицине никто не отменял. Можно ждать манны небесной в виде велосипеда собственного изобретения, но до нее будут Чернобыль, Фукусима, Саяно-Шушенская ГЭС, центрифуги в Иране, и многое другое. А про армию не стоит - там, кроме боли, ничего не осталось.Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-71963480251070882182012-04-27T12:52:53.382+04:002012-04-27T12:52:53.382+04:00Смешно говорить про информационную безопасность, к...Смешно говорить про информационную безопасность, когда отечественная электроника лежит на боку, и ни в одной части я не видел, ни то что, микропроцессор, а хотя бы операционную систему. Ну, на худой конец - офисный пакет.<br />--------<br />Всё это стенания ни о чём.<br /><br />Генштаб... В безопасности 40 лет... Ога. Впечатлило.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-66860845479059047742011-11-07T20:17:59.370+04:002011-11-07T20:17:59.370+04:00http://www.it-world.ru/pressroom/services/173856/
...http://www.it-world.ru/pressroom/services/173856/<br /><br />Что же делать остальным если Российский флагман транспортной безопасности страны исполнитель оборонного заказа может позволить себе нарушить требования по запрету к применению на территории РФ криптографии зарубежного производства и даже построить УЦ на этом продукте?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-12046513603374289202011-10-07T13:34:32.264+04:002011-10-07T13:34:32.264+04:00Я говорю не только о SCADA.
А про повышение их без...Я говорю не только о SCADA.<br />А про повышение их безопасности - сплошь и рядом сталкиваюсь с аргументом необходимости их подключения к Инету из-за обязательного доступа разработчиков в рамках поддержки Без комментариев. Про троянов. Уже писал про эксперимент среди своих знакомых, использующих лицензированные антивирусы и обновляющих их ежедневно, не отключающих никогда. По моей просьбе поставили компы на тотальную проверку тем же антивиром (много, разные). 100% нашли вредоносный контент.Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-6660018954846419572011-10-07T13:25:42.520+04:002011-10-07T13:25:42.520+04:00Тупиковый. Фикция. Проблема в том, что защита есть...Тупиковый. Фикция. Проблема в том, что защита есть, но она очень трудоемка в обслуживании: профилирование системы (не "системы вообще", как это делают эвристики в антивирусах, а вот своей, конкретной системы с набором прикладного ПО) и поиск отклонений. Решений такого класса много, но популярными я бы их не назвал. Однако, есть места, где они применяются и вполне успешно.<br /><br />И все же, это все равно попытка заткнуть пожарный гидрант с помощью изоленты и жевательной резинки, хотя у нас сейчас есть очень прочная изолента и очень липкая жевательная резина. Правильное решение, увы, еще дороже и чаще всего находится далеко за гранью приемлемых бюджетов и сроков: отказаться по возможности в SCADA от больших немодульных систем (Windows) и всего, что на них завязано -- .Net и кошмара сетевой безопасности -- netbios rpc. Но проблема упирается в производителей, которые снижают расходы на разработку любыми способами. А ведь есть и методологии безопасной разработки -- дорогие, но опять же успешно применяемые -- но не в коммерческом секторе, где каждая копеечка дорога, а за безопасность никто доплачивать не хочет.<br /><br />Насчет троянов -- я не исключаю этой возможности, но не очень в нее верю. Именно из-за того, что существует достаточное количество _разных_ систем обнаружения вторжений на уровне узла, которые не обходятся универсальными методами. Уж их бы разработчики заметили что-то необычное. Чуть более вероятно, что есть закладки в коде Windows или поставляемых по умолчанию драйверов, но и тут есть аргументы против. Хотя на ядерном объекте я бы и эту возможность не обошел вниманием.<br /><br />Легкость разворачивания ботнетов любого размера, однако же, пока что ничего сверхъестественного не требует -- все это вполне изученные материи, вполне укладывающиеся в статистически предсказуемую картину.arkanoidhttps://www.blogger.com/profile/16788299034814627694noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-81087978762293449512011-10-07T12:52:18.454+04:002011-10-07T12:52:18.454+04:00Ну что ж, позиции сблизились. Почти ни с чем из Ва...Ну что ж, позиции сблизились. Почти ни с чем из Вашего коммента спорить не буду. Карта (реестр) рисков - то, без чего сегодня серьезный бизнес вести нельзя. Дурак у руля - смерть.<br />Кроме антивирусов. Путь, по которому они развиваются - тупиковый, эвристика - фикция. Значит, найдется тот, кто предложит новый подход для защиты от этого типа угроз. И станет лидером. Так было всегда. Атакующие изобретут новые виды атак. Но, то что имеем сегодня - никуда не годится. Не Вам говорить, что есть точка зрения о уже состоявшемся заражении абсолютного большинства компьютеров в мире. Просто трояны пока ничего не делают. Именно поэтому мгновенно поднимаются боты любой производительности. И я сторонник этой теории. Значит, нужна новая таблетка. Прежние не помогают. Она, таблетка, появится.Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-68119115060127560022011-10-07T12:19:56.048+04:002011-10-07T12:19:56.048+04:00Да не помогут антивирусы от таргетированной атаки,...Да не помогут антивирусы от таргетированной атаки, хоть образвивайся. Как и любая другая реактивная защита. А вот системный подход -- поможет: и модель нарушителя нарисуется не типовая, а актуальная, и риски, и векторы, и какие средства защиты применять и где, и главное -- что делать, если наша защита все-таки не сработает и как это понять раньше, чем последствия станут абсолютно неприемлемы и что делать в этой ситуации (эта часть как раз полностью и отсутствовала). И тогда не то чтобы никакой Моссад не страшен -- но будет хотя бы уверенность, что не ИБ окажется слабым местом, а насчет диверсантов пусть у физической безопасности голова болит. Но для того, чтобы его применить, нужен минимум один умный человек на каждую службу ИБ (а лучше -- несколько), потому что серебряной пули нет и даже всякие разумные и полезные стандарты корректно воплотить в жизнь не так просто. Если его не найдется -- дело швах.arkanoidhttps://www.blogger.com/profile/16788299034814627694noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-55034010435787146792011-10-07T12:00:14.899+04:002011-10-07T12:00:14.899+04:002Arkanoid
Я вовсе никого не оправдываю. И катастро...2Arkanoid<br />Я вовсе никого не оправдываю. И катастрофичность - то, из-за чего я постился. Просто я не считаю всех вокруг макаками-троечниками и исхожу из того, что люди думают все-таки головой. Но они, люди, разные. Набрать на работу только гениев пока не удавалось никому. Среди побочных выводов, которые я обсуждал с аналитиками разных компаний - от ЛК и DrWeb до ESET - необходимость, на мой взгляд, изменения самого подхода и, соответственно, стратегии развития антивирусов. Другой побочный вывод - необходимость наконец по-настоящему заняться безопасностью SCADA. А весь Ваш конструктив, который я пока вижу - разогнать идиотов и набрать нормальных, заставив их работать очень хорошо. Я в ИБ - больше 40 лет, 21 - в Генштабе. И в предлагаемое Вами решение не верю.<br />Семь антивирусов никто, кстати, не ставил. Еще раз. StuxNet эксплуатировал семь антивирусов, распространяясь и скрывая свою деятельность.Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-41531921936017584462011-10-07T11:50:04.141+04:002011-10-07T11:50:04.141+04:00Да уж тут-то кто бы спорил. Только мы ОБЯЗАНЫ быть...Да уж тут-то кто бы спорил. Только мы ОБЯЗАНЫ быть умными. И услугами дураков пользоваться только десять раз перепроверив, что дураки не смогут навредить.<br /><br />Что до проблем АСУТП, то там много очень неприятных моментов и просто неразрешимых нормально из-за генетических дефектов системы случаев. Если бы этого не было, и дурак бы справился.<br /><br />А вы, получается, принимаете оправдательную позицию и оцениваете не результат (компрометация с катастрофическими последствиями), а то, что дураки хорошо старались в рамках своего скудоумия (семь современных антивирусов поставили). Это очень, очень деструктивный подход.arkanoidhttps://www.blogger.com/profile/16788299034814627694noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-29188782558035433172011-10-07T11:12:35.395+04:002011-10-07T11:12:35.395+04:00Александр, все правильно. И со всем согласен. Кром...Александр, все правильно. И со всем согласен. Кроме антивирусов. Проблема не в том, что не определяли (вопросов нет), а в том что Stuxnet их эксплуатировал. И пост был не про мастерство одних. И не про глупость других. Просто есть серьезные проблемы с потенциальными тяжкими последствиями. А мы с подачи государства занимаемся придуманными. А вот про то, что все известно и можно предотвратить, как, похоже, считаете Вы и уж точно Arkanoid, спорить бесполезно. Мне, во всяком случае. Если бы все всегда были умными, а не обкладывались сертификатами, в истории человечества не было бы разведки. А она была всегда.Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-22939412927588703002011-10-07T02:28:54.842+04:002011-10-07T02:28:54.842+04:00уязвимости нулевого дня покупаются вполне себе отк...уязвимости нулевого дня покупаются вполне себе открыто, нужно всего лишь зарегистрироваться на форуме, подождать годик пока аккаунт обретет достаточный вес, ну и денег заплатить. <br /><br />коммодитизация - проникновение в головы широких масс мысли "если все сертифицировать и застраховать, то вражеские несертифицированные пули до нас не долетят". не, она, конечно, выгодна. только сертификаторам, а не тем, кто сертифицируется.Oleksandr Nikitinhttps://www.blogger.com/profile/15954507117997451042noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-8846271023504213962011-10-07T02:25:10.496+04:002011-10-07T02:25:10.496+04:00> Два года труда моссадовских программистов
я ...> Два года труда моссадовских программистов<br /><br />я бы оценил банальный Zeus (SpyEye) в 10-20 человеколет, может и в 50. просто на обьем кода и частоту апдейтов посмотрите. <br /><br />> А вот контроль целостности - совсем не при чем. Контролировать целостность динамических показателей с датчиков - занятная тема<br /><br />Контроля целостности CRC у файлов в системе с головой хватило бы.Oleksandr Nikitinhttps://www.blogger.com/profile/15954507117997451042noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-51361251317053039012011-10-07T02:23:09.693+04:002011-10-07T02:23:09.693+04:00> два подлинных сертификата
на сегодняшний ден...> два подлинных сертификата<br /><br />на сегодняшний день известно о компрометации 4 certificate authority, а также что как минимум правительство южной кореи штампует сертификаты просто так, без ордеров и прочих формальностейOleksandr Nikitinhttps://www.blogger.com/profile/15954507117997451042noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-19275643280219196372011-10-07T02:20:04.294+04:002011-10-07T02:20:04.294+04:00-- Семь антивирусов
да любой дрянной троян никто ...-- Семь антивирусов<br /><br />да любой дрянной троян никто не купит, если его будет определять хоть один, что уж говорить о таком проектеOleksandr Nikitinhttps://www.blogger.com/profile/15954507117997451042noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-89263968834097784592011-10-06T09:40:36.615+04:002011-10-06T09:40:36.615+04:00И причем тут датчики? Ну подумайте же головой, пон...И причем тут датчики? Ну подумайте же головой, понятно станет, что контроль целостности к датчикам не имеет ни малейшего отношения.arkanoidhttps://www.blogger.com/profile/16788299034814627694noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-84145721740668604432011-10-06T09:39:44.056+04:002011-10-06T09:39:44.056+04:00Универсальной нет. Ничего не бывает универсального...Универсальной нет. Ничего не бывает универсального, кроме человека. Надо просто делать свою работу. И что самое занятное, решительно никакой тут ракетной физики, давайте уже по пунктам:<br /><br />-- Два года труда моссадовских программистов. Да, на таком объекте исходить из другой модели нарушителя -- преступная халатность.<br /><br />-- Четыре уязвимости нулевого дня. Да, а что вы хотели? Если они оказываются в руках у подростков, которые зарабатывают на спаме и ботнетах, вы надеялись, что они не будут использованы в такой ситуации? Это как называется? Строить модель безопасности так, чтобы наличие уязвимостей нулевого дня не было для нее фатально -- не учили?<br /><br />-- Два подлинных сертификата. Да, а вы не знали, что PKI имеет генетические дефекты и подобные проблемы, как бы сказать, предсказуемы и очевидны? Ах, не предусмотрели? Как это называется?<br /><br />-- Семь антивирусов. Даже не смешно. Можно я оставлю это без комментария?<br /><br />-- USB. Да ни при чем тут USB. Могла быть дискета с таким же успехом. Уязвимость универсальная, но что интересно, заражение обнаруживается СРАЗУ, стоит засунуть флэшку в систему, отличную от винды. Никто этого ни разу не сделал? Или не обратил внимания?<br /><br />Я не понимаю, кого и зачем вы защищаете? Этих людей, которые пытаются уронить планку компетентности в нашей отрасли до уровня дрессированной макаки?arkanoidhttps://www.blogger.com/profile/16788299034814627694noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-91022455511414634852011-10-06T00:47:38.872+04:002011-10-06T00:47:38.872+04:00Смущает, как уже писал, безапелляционность. USB ту...Смущает, как уже писал, безапелляционность. USB тут очень при чем. А вот контроль целостности - совсем не при чем. Контролировать целостность динамических показателей с датчиков - занятная тема. Антивирусы - уж какие есть. Защита от Z-day - тема отдельная. У Вас есть универсальная вакцина?Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-45797295464852168022011-10-06T00:26:18.189+04:002011-10-06T00:26:18.189+04:00а теперь такие же троечники надеются на то, что их...а теперь такие же троечники надеются на то, что их SCADA системы "изолированы". Что во-первых, чуть менее чем полностью неправда (недавно читал интересное исследование об этом), а во-вторых, попробуйте "изолировать" территориально распределенную систему из пары сотен объектов, физическая безопасность которых далеко не везде соблюдается. И пока жареный петух не клюнет в задницу и этих, будут надеяться на авось.arkanoidhttps://www.blogger.com/profile/16788299034814627694noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-16411797535779390362011-10-06T00:23:43.178+04:002011-10-06T00:23:43.178+04:00Я утверждал и буду утверждать, что построить схему...Я утверждал и буду утверждать, что построить схему безопасности, которая не учла бы среди возможных векторов и подлинные сертификаты и уязвимости нулевого дня -- в данном случае преступная халатность. А уж надеяться на "семь современных антивирусов" и вовсе смешно.<br /><br />Stuxnet был ОЧЕНЬ "шумным". И не заметить его могли только троечники. Я в достаточной мере в теме, чтобы утверждать, что простейшая система контроля целостности забила бы тревогу незамедлительно. Но ее не было, а зато были "семь современных антивирусов". И вот результат. Никакого сослагательного наклонения. Что тут может смущать? <br /><br />USB тут ни при чем.<br /><br />Про Бушер действительно спутал, но это дело десятое.arkanoidhttps://www.blogger.com/profile/16788299034814627694noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-70637535709810790412011-10-06T00:03:29.929+04:002011-10-06T00:03:29.929+04:00Меня очень смущает Ваша безапелляционность. Вы вп...Меня очень смущает Ваша безапелляционность. Вы вправе считать, что группа дебилов, нанятая для реализации ядерной программы в Иране, просто ничего не делала. Но есть и другие мнения, а доказательства в сослагательном наклонении ничего не стоят. Надеюсь, теперь Ахмадинежад предложит Вам возглавить свою службу компьютерной безопасности, и Вы таких инцидентов не допустите. Но есть и другие мнения. Два года труда моссадовских программистов, четыре уязвимости нулевого дня, два подлинных сертификата, эксплуатация семи современных антивирусов вкупе с тем, что USB, через который произошло проникновение, изобретен в Израиле, дают основания думать по-другому. Тем более, что Вы, похоже, не совсем в теме. Атаковали не АЭС в Бушере (там завода нет), а газовые центрифуги для обогащения в Натанзе. Не буду спорить о том, что недоказуемо. Я лишь постил проблему безопасности АСУ ТП, а не универсальную вакцину.Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-52500724112485828232011-10-05T22:07:52.764+04:002011-10-05T22:07:52.764+04:00О том, что нет никаких принципиально новых угроз, ...О том, что нет никаких принципиально новых угроз, слово APT придумали в RSA, чтобы оправдать то же самое, что погубило завод в Бушере: если заниматься защитой информации не понимая, чем ядерный объект в мягко говоря недружественной обстановке отличается от галантерейной лавки, то наступит закономерный результат. Я в своем блоге об этом написал чуть больше.<br /><br />Stuxnet как раз этим очень показателен. От него МОЖНО было защититься, если заранее подумать головой, а не задницей.<br /><br />вот еще написал:<br /><br />http://arkanoid.livejournal.com/350893.htmlarkanoidhttps://www.blogger.com/profile/16788299034814627694noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-49445266484372420092011-10-05T20:06:08.664+04:002011-10-05T20:06:08.664+04:002arkanoid
Это вы про что написали? Про стрелки, ко...2arkanoid<br />Это вы про что написали? Про стрелки, коммодизацию и страшные слова?Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-51561025069558295872011-10-05T16:00:25.960+04:002011-10-05T16:00:25.960+04:00История со Stuxnet показывает ровно то, что показы...История со Stuxnet показывает ровно то, что показывает история с RSA: коммодитизация рынка труда и желание пользоваться "общепринятыми" методами в ситуациях, требующих дополнительного внимания, приводит к предсказуемым последствиям. Только и всего. И попытка перевести стрелки, придумав всякие страшные слова и измыслив якобы новые угрозы и новые парадигмы -- это не более чем попытка уронить планку компетентности в отрасли ниже всякого здравого смысла.arkanoidhttps://www.blogger.com/profile/16788299034814627694noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-77126538501518876822011-09-17T23:07:45.752+04:002011-09-17T23:07:45.752+04:00К сожалению всё зависит не только от интегратора.
...К сожалению всё зависит не только от интегратора.<br />Для того чтобы делать вложения в проработку проблемы нужен потенциальный спрос. А его нет.<br />Законодательство защиту АСУ ТП не регламентирует, а самостоятельно предприятия ещё не созрели для серьёзных вложений в безопасность АСУ ТП. <br />В качестве основных мер большинство предприятий старается изолировать АСУ ТП или подключают к ССОП только компоненты для мониторинга и информирования, без возможностей управления.Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.com