Форум: "Потрепаться";
Текущий архив: 2005.10.16;
Скачать: [xml.tar.bz2];
Вниз
Шесть самых тупых идей в компьютерной безопасности. Найти похожие ветки
← →
Ученик чародея © (2005-09-21 07:42) [0]http://www.rutechnion.com/cgi-bin/yabb2/YaBB.pl?num=1126991676/0/
← →
Anatoly Podgoretsky © (2005-09-21 08:59) [1]Вот это то, о чем я говорил выше
Enumerating Badness - "Подсчёт проблем"
В тех же началах 1990-х количество известных дыр было ограниченно. Скажем, было известно о 15 способах взломать компьютерную сеть, и можно было подумать о защите от каждого способа в отдельности. И администраторы расписывали каждый способ, думали над возможностью защититься от соответствующей атаки и приходили к каким-то выводам.
Зачем мне думать о том, какими методами хакер будет пытаться ломать, пусть это он ломает свою голову, я просто не разрешу ничего сверх того, что мне нужно. В построении своего файрвола исходил именно из этих правил, разрешено только нужное и используется только нужно. И я вижу как методы хакеров меняются на протяжение лет, а файрвол стоит без изменения все эти годы. Но даже если бы и файрвола не было, ситуация сильно бы не изменилось, ничего лишнего не разрешено, а то что разрешено, контролируется тем кому и откуда.
← →
Anatoly Podgoretsky © (2005-09-21 09:19) [2]Дочитал до конца - хорошая статься. И соответсвует моему поведению, за исключением обучения пользователей и установки операционных систем и стандартного программного обеспечения. Это к в его же примере с беспроводными сетями, должен делать профессионал высоко класса и не только установить но настроить на безопасную и максимально удобную работу. Кроме того расположение кнопок на панелях и их набор должен быть стандартизирован.
← →
КаПиБаРа © (2005-09-21 09:36) [3]Anatoly Podgoretsky © (21.09.05 8:59) [1]
Зачем мне думать о том, какими методами хакер будет пытаться ломать
Это с точки зрения администратора сети или специалиста по безопасности?
← →
Anatoly Podgoretsky © (2005-09-21 10:11) [4]А дай толкование термина специалист по безопасности?
У меня такой есть, отрывает руки пользователям. К сети конечно он не допускается, не его это дело.
← →
Думкин © (2005-09-21 10:13) [5]> Anatoly Podgoretsky © (21.09.05 10:11) [4]
Такой везде есть. :)
Сетью он пользуется, когда паяльник нужен. :)))))))))))
← →
Игорь Шевченко © (2005-09-21 10:27) [6]Хорошая статья. Правильная.
← →
КаПиБаРа © (2005-09-21 10:52) [7]КаПиБаРа © (21.09.05 9:36) [3]
Администратор обеспечивает безопасность сети.
Специалист по безопасности подтверждает, что средства, которыми пользуются администраторы для обеспечения безапасности сети, гарантируют требуемый уровень безопасности.
← →
Anatoly Podgoretsky © (2005-09-21 11:33) [8]КаПиБаРа © (21.09.05 10:52) [7]
Это ответственный
← →
КаПиБаРа © (2005-09-21 11:34) [9]Anatoly Podgoretsky © (21.09.05 11:33) [8]
не понял. У вас обед начался на полуслове?
← →
Anatoly Podgoretsky © (2005-09-21 12:30) [10]Повторяю, в болеев расширенной редакции - это отвественный за безопасность, а не специалист по безопасности. Специалистом здесь является администратор сети/системы. А отвечает у нас другой человек, который так и называется Специалист по безопасности, компьютер мы ему не даем. Поскольку это проблема административная, а не техническая. Для оценки безопасности системы существуют аудиторские фирмы. Мы периодически заказываем внешний аудит, без приезда на фирму. Нашу безопасность они преодалеть не смогли, как и тысячи хакеров. Это означает, что уровень безопасности от внешнего взлома достаточный, а абсолютных систем не бывает. Гранатомет эффективно действует и против бронированых помещей, а у нас именно такие. Security Firm.
← →
КаПиБаРа © (2005-09-21 12:38) [11]Anatoly Podgoretsky © (21.09.05 12:30) [10]
Мы периодически заказываем внешний аудит, без приезда на фирму.
Во во во. Я как раз на это и намекал.
Как вы считаете, специалисты таких фирм должны (могут)
думать о том, какими методами хакер будет пытаться ломать
или они по списоку установленного у вас ПО и информации о его настройках скажуть, что ваша система удовлетворяет заданному уровню безопасности?
← →
isasa © (2005-09-21 12:38) [12]>заказываем внешний аудит, без приезда на фирму.
.......
Гранатомет эффективно действует и против бронированых помещей, а у нас именно такие.
А если заказать с приездом...., то приезжают с гранатометом :)
← →
Anatoly Podgoretsky © (2005-09-21 12:54) [13]КаПиБаРа © (21.09.05 12:38) [11]
Как вы считаете, специалисты таких фирм должны (могут)
думать о том, какими методами хакер будет пытаться ломать
или они по списоку установленного у вас ПО и информации о его настройках скажуть, что ваша система удовлетворяет заданному уровню безопасности?
Ломать является их задачей, я наблюдал в real их работу, мне понравилось. Такую проверку заказывают каждый год у разных, у акцепцированых фирм.
Если они делают какие либо предложения по усилению защиты, то обязательно прислушиваемся, если считаем обоснованным. Без подобной проверки не продляется сертификат на деятельность, точнее снижается до полностью не акцепцированого уровня.
← →
КаПиБаРа © (2005-09-21 13:11) [14]Anatoly Podgoretsky © (21.09.05 12:54) [13]
Ломать является их задачей,
Именно их я и имел в виду под "специалистами по безопасности". Просто не смог мысль сразу до вас довести.
← →
Anatoly Podgoretsky © (2005-09-21 13:49) [15]Считай, что довел, а оно так и есть :-)
← →
Ученик чародея © (2005-09-21 18:29) [16]>>Anatoly Podgoretsky © (21.09.05 13:49) [15]
Осталась доказать последняю мысль. Специалист по безопасности тот же хакер, но на ставке (так же как спецназовец тот же профессиональный киллер, но на ставке). Согласны?
← →
Anatoly Podgoretsky © (2005-09-21 18:34) [17]Не согласен, один занимается противоправными действия и может загреметь в тюрьму, последнее время это случается все чаще и чаще. Вторые же действуют в рамках закона и только при наличии заказаной услуги.
Какие они при этом используют инструменты меня совсем не волнует. Меня волнует только результат проверки и подписаный акт.
← →
Ученик чародея © (2005-09-21 18:52) [18]>>Anatoly Podgoretsky © (21.09.05 18:34) [17]
Извините, но инструменты и знания у них практически одинаковые(возможно у спеца по безопасности даже лучше). Так что здесь замешан только моральный аспект, которые не может являться беспристрастным доказательством.
Ответьте тогда на вопрос - ядерная физика это хорошо или плохо(ядерная бомба и обычный ядерный реактор)?
PS
В школе на уроке физики за 10??? класс нам рассказывали схематичное устройство ядерной бомбы.
← →
Игорь Шевченко © (2005-09-21 19:05) [19]Ученик чародея © (21.09.05 18:52) [18]
> В школе на уроке физики за 10??? класс нам рассказывали
> схематичное устройство ядерной бомбы.
Аффигеть. Сделать самим на практических занятиях не предлагали ?
← →
Ученик чародея © (2005-09-21 19:35) [20]>>Игорь Шевченко © (21.09.05 19:05) [19]
>>Аффигеть. Сделать самим на практических занятиях не предлагали ?
Да нет, там было понятно что на чердаке ее собрать :)
← →
Игорь Шевченко © (2005-09-21 22:20) [21]Ученик чародея © (21.09.05 19:35) [20]
Я с тобой поделюсь страшным секретом - устройство атомной бомбы было описано в учебнике Перышкина "Курс общей физики. III часть" еще во время моего обучения.
← →
Ученик чародея © (2005-09-21 22:45) [22]>>Игорь Шевченко © (21.09.05 22:20) [21]
Прекрасно, тогда что вредоносного в журнале Хакер?
← →
Игорь Шевченко © (2005-09-21 22:48) [23]Ученик чародея © (21.09.05 22:45) [22]
Целую ветку написали. Есть желание продолжить - иди в ту ветку и прочитай ее. Всю.
Страницы: 1 вся ветка
Форум: "Потрепаться";
Текущий архив: 2005.10.16;
Скачать: [xml.tar.bz2];
Память: 0.51 MB
Время: 0.223 c
