[image]

Пропаганда, цензура и IT-безопасность по Voennich-у на фоне коронавируса в мире

 
1 2 3 4 5 6
RU Vоеnniсh #17.04.2020 19:01  @Zenitchik#17.04.2020 18:53
+
-
edit
 

Vоеnniсh
Voennich

аксакал

Zenitchik> Это Ваши отраслевые тараканы.
Именно. В отрасли ИБ ровно так и считается.
Действия пользователей - главная уязвимость.
Социальная инженерия - исконный инструмент злоумышленника.
   80.0.3987.16280.0.3987.162
RU Полл #17.04.2020 19:03  @Vоеnniсh#17.04.2020 18:54
+
+1
-
edit
 

Полл

координатор
★★★★★
Vоеnniсh> Отчёты любого из ИБ ведра + какого нибудь IDC.
Ну так где они?

Полл>> А почему бы не вбить в поисковик сочетание "Информационная Безопасность Зайцев" и не ознакомится
Vоеnniсh> И обнаружить как минимум несколько Зайцевых.
Несколько Александров Петровичей Зайцевых, работающих в ИБ?
Вау!
Познакомь меня с ними?

Vоеnniсh> Ради чего?
Vоеnniсh> Что бы закрыть целых 46 сайтов .ru на не фоне 2500+ всего?
Тебе не надо лезть в зону, где ты ничерта не понимаешь.

Vоеnniсh> Я там добавил выше результаты сканирования сайта. Иди читай что им не нравится.
Во-первых, это не им, а другой компании. Во-вторых, подобная предъява из пальца высосана, так как обвиняют сайт на основании того, что скрипт на нем написан "не достаточно красиво": "Too low entropy detected in string".
Как я сказал - чисто политическая цензура.
Спасибо, что подтвердил.
   74.074.0
RU Zenitchik #17.04.2020 19:05  @Полл#17.04.2020 18:56
+
-
edit
 

Zenitchik

старожил

Полл> Антивирусы безусловно обнаружат выполнение опасного кода в системе раньше, чем производители броузера,

Погодите. Чтобы в системе начал выполняться опасный код, злоумышленник должен обнаружить уязвимость браузера и написать код, её эксплуатирующий.

Антивирус, чтобы на это среагировать, должен иметь паттерн обнаружения такой угрозы, т.е. тоже знать об уязвимости.


Полл> которые данную проблему в принципе отслеживать не будут - их Программный Продукт ведь работает хорошо и правильно! :)

Простите, это так не работает. Разработчики обычно следят за новостями относительно своего продукта. А в наше время, на коротком цикле выхода версий, багу можно закрыть чуть ли не мгновенно.

Zenitchik>> Но в браузере, а не в Nodejs. И это клиентский код, а не серверный. Серверный код - на клиент не отправляется. А клиентский - на сервере не запускается.
Полл> Класс уязвимостей - общий. Запроси в поиск уязвимости выполнения клиентского кода Явы

Причём тут Ява? Её в браузерах уже несколько лет как нет.
   80.0.3987.16380.0.3987.163
RU Полл #17.04.2020 19:06  @Zenitchik#17.04.2020 18:53
+
-
edit
 

Полл

координатор
★★★★★
Zenitchik> Это Ваши отраслевые тараканы.
Ну вообще-то тут Военных прав.

Zenitchik> В терминах здорового человека, если для реализации атаки требуются действия пользователя - то это не атака.
От этой модели ИБ ушли еще в 90гг:

Рядовой пользователь как угроза ИБ: практические советы по решению проблемы

За последние лет десять кто только не напоминал о том, что информационная безопасность должна быть сквозной и интегрированной во всю ИТ-инфраструктуру. Несмотря на это большинство компаний продолжают строить «крепости» //  www.itweek.ru
 

Zenitchik> Погодите. Чтобы в системе начал выполняться опасный код, злоумышленник должен обнаружить уязвимость браузера и написать код, её эксплуатирующий.
Или броузера, или Ява-скрипта, или одного из адобовских форматов - стандартов де-факто на сегодня много.

Zenitchik> Антивирус, чтобы на это среагировать, должен иметь паттерн обнаружения такой угрозы, т.е. тоже знать об уязвимости.
Антивирус может отловить получение рута - повышение прав процесса в системе в обход пользователя. Изменение, вносимые в файловую систему. Выполнение процессов, требующих админских привелегий, без входа админа в систему.
   74.074.0
RU Zenitchik #17.04.2020 19:09  @Полл#17.04.2020 19:06
+
-
edit
 

Zenitchik

старожил

Полл> От этой модели ИБ ушли еще в 90гг:
Полл> Рядовой пользователь как угроза ИБ: практические советы по решению проблемы)

Концептуально - это верно. Если моя работа - защищать тупых пользователей, которые не смотрят, куда тыкают, то я буду классифицировать угрозы так же, как Vоеnniсh.

Но для нормального человека, который смотрит что делает, наличие какой-то там угрозы, которая "требует действий пользователя для реализации атаки" - это не повод сраться заходить на сайт.
   80.0.3987.16380.0.3987.163
RU Zenitchik #17.04.2020 19:10  @Полл#17.04.2020 19:06
+
-
edit
 

Zenitchik

старожил

Полл>одного из адобовских форматов

Вот это другое дело. Открывать файлы - в принципе небезопасно.
   80.0.3987.16380.0.3987.163
RU Vоеnniсh #17.04.2020 19:14  @Полл#17.04.2020 19:03
+
-1
-
edit
 

Vоеnniсh
Voennich

аксакал

Полл> Ну так где они?
Вежливо попроси - подумаю.

Полл> Несколько Александров Петровичей Зайцевых, работающих в ИБ?
Несколько "Зайцевых", в т.ч О.В. z-oleg и "коммерческий директор компании «Траст Технолоджиз» Александр Зайцев." Это только на первой странице.

Полл> Тебе не надо лезть в зону, где ты ничерта не понимаешь.
Так научи меня :)
Кроме болтовни у тебя ничего нет.
У меня отраслевые отчёты и результаты сканирования.
Угроза - дать слишком большой объем данных и выйти за пределы стека, где уже выполнить зловред, тебе знакома?

Полл> Во-первых, это не им, а другой компании.
А с чего ты решил, что forti и trend-micro действуют только на основе bkack-list'а госов+?

> Во-вторых, подобная предъява из пальца высосана, так как обвиняют сайт на основании того, что скрипт на нем написан
Потенциально угрожающе.

Полл> Как я сказал - чисто политическая цензура.
В чем политика забанить 2500 сайтов про всему миру?
Попробуй обоснуй хоть чем то кроме "это пиндосы и бриташки"
   80.0.3987.16280.0.3987.162
RU Полл #17.04.2020 19:15  @Zenitchik#17.04.2020 19:09
+
-
edit
 

Полл

координатор
★★★★★
Zenitchik> Открывать файлы - в принципе небезопасно.
Все верно, есть только одно маленькое "но": любой сайт, который ты просматриваешь в интернете, это открытый на твоем компьютере скачанный из Интернета файл "*.html", как минимум один. :)
В "Адобовских" форматах сегодня очень много анимации на сайтах.
   74.074.0
RU Полл #17.04.2020 19:19  @Vоеnniсh#17.04.2020 19:14
+
+2
-
edit
 

Полл

координатор
★★★★★
Vоеnniсh> Вежливо попроси - подумаю.
У тебя сутки, чтобы привести доказательство своих слов.
После каждый твой пост будет внимательно рассматриваться, штрафоваться и сносится в "Тартар".
Время пошло.
Бредоносец будет счастлив.

Vоеnniсh> Несколько "Зайцевых", в т.ч О.В. z-oleg и "коммерческий директор компании «Траст Технолоджиз» Александр Зайцев." Это только на первой странице.
Да, никто не делает для дискриминации либерального движения в России больше, чем либералы.
   74.074.0
Это сообщение редактировалось 17.04.2020 в 19:24
RU Zenitchik #17.04.2020 19:20  @Полл#17.04.2020 19:15
+
-
edit
 

Zenitchik

старожил

Полл> Все верно, есть только одно маленькое "но": любой сайт, который ты просматриваешь в интернете, это открытый на твоем компьютере скачанный из Интернета файл "*.html", как минимум один. :)

Вот об этом мы и говорим с самого начала. *.html и сопутствующие ему форматы - находятся в песочнице. Сами по себе они уязвимостей не имееют - им не в чем их иметь. Если есть уязвимость браузера - это вопрос отдельный. И, не знаю, как на счёт остальных, но гугл свою "песочницу" изо всех сил анально огораживает.

Полл> В "Адобовских" форматах сегодня очень много анимации на сайтах.

Это какие, например? Я как-то больше с гугловскими сталкиваюсь.
   80.0.3987.16380.0.3987.163
RU Полл #17.04.2020 19:27  @Zenitchik#17.04.2020 19:20
+
-
edit
 

Полл

координатор
★★★★★
Zenitchik> И, не знаю, как на счёт остальных, но гугл свою "песочницу" изо всех сил анально огораживает.
Но если приходится стараться огораживать "изо всех сил" - согласись, что-то требует напряжения этих самых сил, верно? :)

Полл>> В "Адобовских" форматах сегодня очень много анимации на сайтах.
Zenitchik> Это какие, например? Я как-то больше с гугловскими сталкиваюсь.
В качестве примера:
   74.074.0
RU Vоеnniсh #17.04.2020 19:29  @Полл#17.04.2020 19:19
+
-1 (+1/-2)
-
edit
 

Vоеnniсh
Voennich

аксакал

Полл> У тебя сутки, чтобы привести доказательство своих слов.
Т.е. аргументы кончились, включил админ ресурс.
Быстро Паша.

Встречное предложение
Я доказательства (дня через три, на выходные у меня другие планы) - ты вешаешь себе на аватарку "Военныч прав, Полл нет"?;)
Слабо?

Полл> Да, никто не делает большего для дискриминации либерального движения в России больше, чем либералы.
Ты опять тащишь политику туда где её нет.
Будешь утверждать что поиск "Зайцев Информационная безопасность" не даёт на первой странице никого кроме, не имеющего к современному корпоративу, Александра Петровича?
Серьезно?
   80.0.3987.16280.0.3987.162
+
+1
-
edit
 

SEA

втянувшийся

Vоеnniсh> Я там добавил выше результаты сканирования сайта. Иди читай что им не нравится.
> Я там добавил выше результаты сканирования сайта. Иди читай что им не нравится.
/scripts/region/region.js
Severity:	Potentially Suspicious
Reason:	Detected procedure that is commonly used in suspicious activity.
Details:	Too low entropy detected in string [['<!DOCTYPE html><html lang="ru"><head><meta charset="UTF-8"><meta name="viewport" content="width=devi']] of length 32917 which may point to obfuscation or shellcode.
...


Ну что же, это то самое детектед, "highly likely"

"Reason: Detected procedure that is commonly used in suspicious activity."
Обнаружена процедура, которая часто используется в подозрительной деятельности.
Хотя и не только в ней...
   75.075.0
Это сообщение редактировалось 17.04.2020 в 19:36
RU Zenitchik #17.04.2020 19:36  @Полл#17.04.2020 19:27
+
+2
-
edit
 

Zenitchik

старожил

Полл>>> В "Адобовских" форматах сегодня очень много анимации на сайтах.
Zenitchik>> Это какие, например? Я как-то больше с гугловскими сталкиваюсь.
Полл> В качестве примера:
Полл> Adobe устранила 42 бага, 34 из которых были критическими — «Хакер»

Ай, блин, Вы про флеш? Он же уже года два как в браузерах отключен по умолчанию. Я и не знал, что он до сих пор где-то есть. Сам не подключал, потому что от флеша и без уязвимостей вреда больше, чем пользы.

Для меня флеш - это где-то рядом с ява-апплетами и актив-икс-компонентами. Дела давно минувших дней, преданья старины глубокой.
   80.0.3987.16380.0.3987.163
RU Vоеnniсh #17.04.2020 19:38  @Zenitchik#17.04.2020 19:20
+
-
edit
 

Vоеnniсh
Voennich

аксакал

Zenitchik> Вот об этом мы и говорим с самого начала. *.html и сопутствующие ему форматы - находятся в песочнице.
Предположу, что ты опять неверно используешь терминологию.
"Песочница" ака Sandbox - это другое.

>Сами по себе они уязвимостей не имееют - им не в чем их иметь. Если есть уязвимость браузера - это вопрос отдельный.
У любого ПО находят уязвимости.
В т.ч. у браузеров и их движков.
Например

U.S. Government Says Update Chrome 80 As High-Rated Security Flaws Found

The Cybersecurity and Infrastructure Security Agency is encouraging Google users to update again just weeks after the Chrome 80 release. Here’s what you need to know. //  www.google.com
 

Не нравится касперский - можно прочитать этих

Positive Technologies — безопасность, консалтинг, compliance management

Positive Technologies: системы анализа защищенности, мониторинг событий //  www.ptsecurity.com
 

Раздел "Исследования"
   80.0.3987.16280.0.3987.162
Это сообщение редактировалось 17.04.2020 в 21:10
RU Полл #17.04.2020 19:39  @Vоеnniсh#17.04.2020 19:29
+
+1
-
edit
 

Полл

координатор
★★★★★
Vоеnniсh> Я доказательства (дня через три, на выходные у меня другие планы) - ты вешаешь себе на аватарку "Военныч прав, Полл нет"?;)
Принимается.
Трое суток. Жду доказательств до 20.04.2020, до 24:00 по Новосибирскому времени.

Vоеnniсh> Будешь утверждать что поиск "Зайцев Информационная безопасность" не даёт на первой странице никого кроме, не имеющего к современному корпоративу, Александра Петровича?

Буду утверждать, что Александр Петрович Зайцев к современной корпоративной ИБ относится прямо и непосредственно.
Впрочем, что с тобой реальность обсуждать бессмысленно, я уже понял. Жду доказательств.
   74.074.0
RU Zenitchik #17.04.2020 19:40  @Vоеnniсh#17.04.2020 19:14
+
-
edit
 

Zenitchik

старожил

Полл>> Как я сказал - чисто политическая цензура.
Vоеnniсh> В чем политика забанить 2500 сайтов про всему миру?
Vоеnniсh> Попробуй обоснуй хоть чем то кроме "это пиндосы и бриташки"

Ой, вряд ли тут есть политическая или какая-то ещё "человеческая" причина. Думаю, мы имеем дело со срабатыванием какого-то формального признака, по которому сайты забанили автоматически.
   80.0.3987.16380.0.3987.163
+
0 (+1/-1)
-
edit
 

Vоеnniсh
Voennich

аксакал

SEA> Обнаружена процедура, которая часто используется в подозрительной деятельности.
Две процедуры (и это бесплатный анализ показал)
+ Использование хайповой темы
+ Регистрация домена на частное лицо
+ Сервисы "присоединиться"

Вот и получили итоговую рекомендацию "держаться подальше".

В ИБ часто "подозрения но не гарантии".
Никакой политики тут нет.
   80.0.3987.16280.0.3987.162
RU Полл #17.04.2020 19:44  @Zenitchik#17.04.2020 19:40
+
-
edit
 

Полл

координатор
★★★★★
Zenitchik> Ой, вряд ли тут есть политическая или какая-то ещё "человеческая" причина.
С одной стороны, с практической точки зрения ты прав - не надо искать диверсантов там, где достаточно глупости.
С другой стороны, приведенные в первом сообщении Военныча конторы - предельно вонючие, созданы именно под пропаганду, цензуру и прочие "информационные войны".
   74.074.0
RU Vоеnniсh #17.04.2020 19:45  @Полл#17.04.2020 19:39
+
-
edit
 

Vоеnniсh
Voennich

аксакал

Полл> Принимается.
Полл> Трое суток. Жду доказательств до 20.04.2020, до 24:00 по Новосибирскому времени.
Договорились.
Критерии - чему должны соответствовать предоставленные отчёты?

Полл> Буду утверждать, что Александр Петрович Зайцев к современной корпоративной ИБ относится прямо и непосредственно.
Имя-Отчество ты добавил когда?
Сколько Зайцевых на первой же странице поиска?

Профессор уже 8 лет в другом мире-к актуальным угрозами и методами противодействия ...

Полл> Впрочем, что с тобой реальность обсуждать бессмысленно, я уже понял.
Это тебе политические шоры мешают.
Бывает.
   80.0.3987.16280.0.3987.162
RU Полл #17.04.2020 19:51  @Vоеnniсh#17.04.2020 19:45
+
+1
-
edit
 

Полл

координатор
★★★★★
Vоеnniсh> Критерии - чему должны соответствовать предоставленные отчёты?
В отчетах должен делаться вывод, что "львиная доля" (© твой), то есть больше 50% сайтов по данной теме - сделаны злоумышленниками.
Согласен даже на 25%.

Vоеnniсh> Имя-Отчество ты добавил когда?

Пропаганда, цензура и IT-безопасность по Voennich-у на фоне коронавируса в мире [Полл#17.04.20 18:28]

… Докажи. По материалам того же челябинского болида, благо дело было мало политизированным и уже давно прошедшим, так что информация по нему - достаточно открытая. … Ну так и событие затронуло гораздо меньше людей и на гораздо меньшем времени. … А почему бы не вбить в поисковик сочетание "Информационная Безопасность Зайцев" и не ознакомится, кто такой Александр Петрович, чтобы не выставлять себя еще раз пустозвоном, который пытается врать в области, где ничего не знает? … Потому что названные…// Политический
 

Второй мой пост с этим именем.

Vоеnniсh> Профессор уже 8 лет в другом мире.
А я уже 8 лет не ведущий специалист отдела ИТ на НПО "Сибсельмаш".

Vоеnniсh> к актуальным угрозами и методами противодействия...
Относится примерно на Вселенную ближе, чем ты.
   74.074.0
RU Zenitchik #17.04.2020 19:51  @Vоеnniсh#17.04.2020 19:38
+
-
edit
 

Zenitchik

старожил

Vоеnniсh> Предположу, что ты опять наверно используешь терминологию.
Vоеnniсh> "Песочница" ака Sandbox - это другое.

Я о том, что окружение в котором выполняется клиентский скрипт, не имеет никаких прав для воздействия на систему пользователя. Ну, всю память может под себя зарезервировать, или, там, процессор нагрузить по самое немогу, и то пока браузер не закроют.

>>Сами по себе они уязвимостей не имееют - им не в чем их иметь. Если есть уязвимость браузера - это вопрос отдельный.
Vоеnniсh> У любого ПО находят уязвимости.

Язык - это не ПО.
Vоеnniсh> В т.ч. у браузеров и их движков.
Vоеnniсh> Например
Vоеnniсh> U.S. Government Says Update Chrome 80 As High-Rated Security Flaws Found

Простите, но опять-же беллетристика.
Я с этим обновлением взаимодействовал самым непосредственным образом. Нам, для того, чтобы правильно работать, нужно было выставить директивы кук в соответствии с новыми правилами, что повлекло за собой новую логику: для http и для https и так разная работа с куками, а тут ещё для локальных систем пришлось отдельную логику проставления директив писать.
Читать портянку "общих слов" на эту тему - мягко говоря, неприятно.

Причём, это вообще не про уязвимость, а про дополнительную фичу, позволяющую разработчикам сайта лушче управлять своими куками.

Vоеnniсh> Positive Technologies — безопасность, консалтинг, compliance management
Vоеnniсh> Раздел "Исследования"

Слегка пошерстил статьи. Всё найденное про уязвимости браузеров - это либо кросссайтовый скриптинг (знаю, практикую), либо устаревшие браузеры, либо скачанные и запущенные файлы (ума не приложу, причём тут уязвимость браузеров).
   80.0.3987.16380.0.3987.163
RU Zenitchik #17.04.2020 19:58  @Vоеnniсh#17.04.2020 19:42
+
-
edit
 

Zenitchik

старожил

Vоеnniсh> Две процедуры (и это бесплатный анализ показал)
Vоеnniсh> + Использование хайповой темы
Vоеnniсh> + Регистрация домена на частное лицо
Vоеnniсh> + Сервисы "присоединиться"

В принципе, каждый из этих признаков сам по себе ни о чём не говорит. И о безопасности тоже.
Но лично для меня, совокупности первого и третьего пунктов достаточно, чтобы не захотеть иметь дел с этим "частным лицом".
   80.0.3987.16380.0.3987.163
RU Vоеnniсh #17.04.2020 20:00  @Zenitchik#17.04.2020 19:51
+
-
edit
 

Vоеnniсh
Voennich

аксакал

Zenitchik> Я о том, что окружение в котором выполняется клиентский скрипт, не имеет никаких прав для воздействия на систему пользователя. Ну, всю память может под себя зарезервировать, или, там, процессор нагрузить по самое немогу, и то пока браузер не закроют.
Эксплоиты это и есть инструменты выхода за пределы ограничений того окружения, в котором они запускаются.
Используя дыры браузера/ОС.

Zenitchik> Язык - это не ПО.
Можно рассказать как ты себе представляешь запуск html/JS в браузере.
Что - где их запускает?


Zenitchik> Простите, но опять-же беллетристика.
Это конкретное уведомление об угрозах.
Что случилось вперёд
- Гугл их закрыл
- антивирусы его прикрыли/защитили
Или злоумышленники успели воспользоваться
Вопрос - открытый

Vоеnniсh>> Раздел "Исследования"
Zenitchik> Слегка пошерстил статьи.
Не надо "слегка" если вопросы технические и желание разобраться.
Надо подробно.
А когда реанимируют PosutiveHackDays - посетить их.
Там расскажут-покажут.
   80.0.3987.16280.0.3987.162
RU Полл #17.04.2020 20:03  @Zenitchik#17.04.2020 19:58
+
+1
-
edit
 

Полл

координатор
★★★★★
Zenitchik> В принципе, каждый из этих признаков сам по себе ни о чём не говорит. И о безопасности тоже.
И без принципа - тоже ни о чем не говорит.

Zenitchik> Но лично для меня, совокупности первого и третьего пунктов достаточно, чтобы не захотеть иметь дел с этим "частным лицом".
Зайди на обсуждаемый сайт, посмотри, как выглядит функционал "присоединиться": апплет для сторонних сайтов и регистрация для комментариев на сайте.
   74.074.0
1 2 3 4 5 6

в начало страницы | новое
 
Поиск
Настройки






Твиттер сайта
Статистика
Рейтинг@Mail.ru
АвиаТОП
 
Яндекс.Метрика
website counter
 
free counters