Macil
Активный участник-
Публикации
387 -
Зарегистрирован
-
Посещение
Все публикации пользователя Macil
-
О ликвидации весьма противоречивой статьи 10.2 («о блогерах») закона «Об информации...», конечно же, ни слова. Впрочем, вам-то расстраиваться? «Злые языки» утверждают, что это перевод актуального немецкого законодательства — это объясняет откровенную корявость текста. Так что привет вашим хозяевам из ППГ.
-
Не «модно», а очень и очень актуально. Для корпоративного сектора, ессно.
-
Прикладное ПО у них открыто. Как я понимаю, даже реализация PKCS#11. Но, я никогда не держал его в руках. Так что врать не буду. А вот всё что уровнем ниже — проприетарщина, прардон, «защищённый криптографический процессор», но про него мы вам не расскажем потому что у вас докУменты (NDA) не подписаны. Это касается всей линейки, даже «третьей» версии, где открыт только апплет для JavaCard.
-
В корп. среде, когда нужно обмазаться бумажками, что не верблюд — сойдет. А вот если для дела... Закрытый программный стек (начиная от прошивки и заканчивая прикладными библиотеками). До недавнего времени — необходимость ставить драйвера. Необходимость приобретать «SDK» для любого использования, отличного от «стандартного» (читай проприетарного). Удручающий «комитетский» дизайн, когда вроде бы на каждом уровне всё стандартизовано, но толку с этого... (Это примерно как связка RADIUS + EAP + WPA2 или как VoIP-решения). Яростная надрачивание на «защищённое» железо. Просто какая-то клиника. «Этой же путёй» пошла Yubico, хотя у них стек несколько более открытый И ЕСТЬ АППАРАТНАЯ КНОПКА, мать её. Да-да-да, токены нужно вытаскивать из портов, иначе они превращаются в тыкву. Если честно, проще купить дешёвый смартфон и использовать его в качестве TOTP токена. Даже по деньгам не сильно дороже выйдет.
-
А кто ж его знает? Есть уubikey, но пошёл тем же путём. Хотя его стек более открытый.
-
Подойдёт любой. Весь вопрос в количестве телодвижений для получения PKCS#11. Но в любом случае юзкейса «воткнул в любой комп и работаешь» не получится. Нужно ставить дополнительный софт. Кстати, а чем не устраивает «второй фактов» в виде TOTP (Google Authenticator и иже с ним) с телефона? P.S. Токены — жуткая помойка. Я бы посмотрел в сторону других аппаратных решений.
-
Как это изменит мир? Во-первых, это серьёзная заявка на криптографию в L2. Всё уже готово, или почти готово. Во-вторых, EAP-TLS 1.3 поддерживает аутентификацию по разделяемому ключу, но в отличие от WPA-PSK поддерживает прямую секретность. Так что нет препятствий для использования у хомячков и в прочих интернетах вещей. В-третьих, поддерживается безопасный механизм восстановления сессии. Не нужно постоянно хранить на компе пароль, он же ключ. В-четвёртых, нет препятствий для выноса аутентификации в физически отдельную сущность: токен, отдельный процессор, гипервизор, защищённый процесс. В-пятых, всё вышеперечисленное будет одинаково работать как по проводу, так и по «беспроводу».
-
Внедрения не будет. Раз WPA2 — значит EAP-TLS, а это каждый первый девайс на рынке. От AP требуется интеллекта только на пропуск EAPoL-фреймов и трансляцию EAP в радиус. Выработанный симметричный ключ передаётся в AP, а дальше стандартный 4-way handshake. Всё упирается исключительно в клиентский и серверный софт. Угу. И там и там весьма тривиальные правки. Это касается любого EAP. Нерешённым остаётся только вопрос передачи ключа на AP. Но, RADIUS — такое говнище, что официально признана невозможность разработки и предлагается юзать MPPE.
-
Мешает, и как раз много чего. Много проблем начиная от чисто технических. Но, если честно, мне это неинтересно обсуждать, т.к. PKI не подходит для «интернета по паспорту». Мне намного интереснее другое. Почему спустя столько лет таки решили ввести «забытый» функционал. Откровения Сноудена? Интернет вещей? Обострение проблемы сетевой нейтральности? Если звёзды зажигают — значит кому-то это нужно... Вот и интересный вопрос — кому.
-
Вот уж чего не знал! С чем приходилось сталкиваться — юзался IPSec и IKE. В каком виде и для чего в данном контексте используется EAP?
-
А ведь мы в интересную эпоху живём! Вот лежит проект новой версии EAP-TLS, приуроченный к выходу будущего TLS 1.3. Помимо чисто косметических изменений, важное дополнение «забытое» в RFC5216: аутентификация в режиме «только сервер» (а-ля массовый HTTPS, без клиентского сертификата). Плюс, в TLS 1.3 засунули механизм восстановления сессии (сейчас он существует в виде расширения), существенно уменьшающий количество RTT (что актуально в схема EAP по RADIUS). Ессно, с сохранением способности выработки сессионного ключа (точнее, ключей). Почему именно Wi-Fi? Ну, наверное потому что 802.11i — самый массовый «пользователь» EAP. Второй по популярности — 802.1x, некоторые операторы связи даже умудряются использовать его для своих нужд. Что ж, в скором времени о таком понятии как «открытая сеть Wi-Fi» мы забудем, «валидный» серверный сертификат обеспечивает инициатива ДавайШифруй. От всего этого весьма смешанные чувства: с одной стороны в кой-то веке навели порядок, с другой стороны ещё на один шаг стали ближе к интернету по паспорту. С одной стороны, маркетологи получат очередную «суперкуку», с другой стороны — вот оно готовое решение проблемы роуминга. Но ясно одно: мир Wi-Fi ждут кардинальные изменения.
-
Опубликована Процедура блокировки некошерной инфо
тему ответил в Галушко Дмитрий пользователя Macil в У нага
Что пошла за мода любую попытку упорядочивания правоотношений считать нарушением каких-то «прав» и каких-то «свобод»? Эгоизм и нарциссизм операторов связи просто поражает... Так сложно хоть на пять минут высунуться из свей раковины и просто посмотреть что происходит вокруг? «Затраты», они, понимаете, несут... А другие, что? Балду пинают? Все несут затраты. Ровно потому, что 90-е годы с их анархией закончились безвозвратно. Это просто до вас руки не доходили. Маленькие вы слишком, а те которые не маленькие — так они и не маленькие и очень быстро выучились культуре ведения бизнеса: жизнь научила. Скажите спасибо, что у нас де-факто (и даже, вроде, де-юре) не действуют «рекомендации» ФАТФ касательно нефинансового сектора. А то ещё и стучать бы заставили. В финмониторинг. Не нужно, пожалуйста, забывать про DMCA, директивы ЕС и британский реестр запрещённых сайтов (с которого мы свой скоммуниздили). Есть ещё Германия, со своими особенностями типа принудительной фильтрации в CPE-железяках. Это к вопросу «кто на кого сваливает» и предостережение «трактористам»... Да даже сейчас с вас многого не просят. С вас пока только просят по-цивилизованному вести абонентскую базу и исполнять несколько специфичных требований, связанных с нацбезопасностью. С банков (и прочего финансового сектора), например, спрашивают намного больше и строже. Как и с предприятий торговли. -
Регистрация Телеграма
тему ответил в Robot_NagNews пользователя Macil в У нага
Что тут скажешь? Уважение, хуле! -
В *этот* раз!? Нет. Всё-таки операторы связи — оголтелые нарциссы. Но, ничего... Это поправимо. Поправимо. Да по сравнению с тем, *как* это было каких-нибудь 25 лет назад... Когда, реально, выходила инспектор и объявляла бухгалтерам: «Считаем так!». И быстро-быстро пересчитать и сдать, пока *снова* не поменяли. Ибо тогда ещё МНС (Министерство по Налогам и Сборам). Со своими собственными масками-шоу, и полнейшее отсутствие законов. Времена-то прошли, а привычка осталась. Хотя, всё познаётся в сравнении. Кое-где ещё хуже. В конце-концов (о чудо!) даже не каждый ответ на запрос — отписка. Да и уровень семинаров вырос.
-
Опубликована Процедура блокировки некошерной инфо
тему ответил в Галушко Дмитрий пользователя Macil в У нага
Дикая и немытая Россия! Вот, понимаю, в цивилизованных США за организацию сайтов казино и лотерей судют и содют, особо не вникая в несущественные с точки зрения правосудия моменты кто был «организатором», а кто — «пособником». А у нас — только отключают. Нет, ну дикари! Однозначно! -
И хотя ФНС имеет полный и безраздельный доступ к любому р/с налогоплательщика, это не очень удобно. Мессыдж ФНС примерно в следующем: вся выручка подлежит обязательной регистрации, ибо сиё есть основа исчисления НДС и «Прибыли». Странно, что сделали исключение для банковских переводов. Или таки не сделали? Вряд ли ФНС заботят операторы связи... Думаю, её в большей степени заботят наши героические предприятия торговли, крупные и не очень. В какой-то степени, присутствует лоббизм крупных торговых сетей, ибо издержки на администрирование ККТ. В общем и целом в 54-ФЗ достаточно позитивные изменения. В первую очередь для пресловутого «мелкого» и «среднего». Но, увы! У нашей ФНС есть ***цкая традиция внедрения нововведений, ещё с начала 90-х годов, когда в виду полнейшего отсутствия законодательства приходилось работать по телеграммам и телефонограммам. С другой стороны, я просто уверен что в местных УФНС — а уж в местной Торгово-Промышленной палате точно — проводятся необходимые курсы и семинары. В некоторых случаях — даже бесплатно.
-
Регистрация Телеграма
тему ответил в Robot_NagNews пользователя Macil в У нага
Не нужно ёрничать и передёргивать. Если применить подобный подход, то всё вокруг начиная с фирмвари в железяке — левые бинарники. Левые бинарники — это когда мальчик-обновленец пришёл с флешкой, побывавшей до этого в 20-ти конторах и стал запускать SFX-архивы с «обновлениями». Хотя почему в кавычках? Эти обновления поставили много *нового*, если пресса не врёт. Проблема ОИБ рабочих мест а-ля твой юрист стоит очень серьёзно. Твоему юристу могут подсунуть специальный PDF с весьма затейливым содержимым. Всё зависит от того по каким делам твой юрист таскается... Как минимум, промышленный шпионаж... Как максимум, вещи похуже. И никакие антивирусы и никакие своевременные обновления не спасут. И если на компьютере твоего юриста содержатся криптографические материалы, например для доступа в АД твоей конторы (не говоря уж про ключи ЭЦП к каким-нибудь госзакупкам), то кого-то очень сильно будут иметь. Некоторые в отчаянии высказывают идею т.н. memory firewall т.е. динамического бинарного инструментирования (Valgrind, qemu, DynamoRIO) недоверенных программ. Некоторые пытаются строить системы а-ля CubesOS. Некоторые пытаются строить легковесные гипервизоры, например на основе K4... Но наиболее важными были и остаются традиционные меры ОИБ. И если твоему юристу «удобно» таскаться по всяким левым местам с ноутбуком, полным важных документов, то это совсем не значит, что это допустимо с точки зрения системы управления рисками. -
Да, дату менять не будут. Просто опубликуют проект приказа «как есть». Я лично, страшного там ничего не нашёл. Намного интереснее выглядят требования более тесного взаимодействия биллинга и СОРМ. Тут возникнут определённые проблемы... Но это целиком и полностью укладывается в общий курс нашего законодательства, начиная с ПДН и заканчивая взаимодействием с Уполномоченными Органами.
-
Регистрация Телеграма
тему ответил в Robot_NagNews пользователя Macil в У нага
Не моя слава Богу! Но да, не в состоянии. Потому что не понимает как выработанные меры должны работать в реальности. Потому что ни разу не сидели на рабочем месте рядового сотрудника. Сложившаяся ситуация же, полностью устраивает. Т.к. оправдывает любую некомпетентность и снимает любую ответственность: «Я не бездействовал! Я сразу на "капу" нажал. Скрипач — свидетель!». -
Регистрация Телеграма
тему ответил в Robot_NagNews пользователя Macil в У нага
Это не левые бинарники. Предваряя следующий вопрос отвечу: будет ровно то же самое, как и в случае продажи любого иного бракованного продукта: внутреннее расследование, обращение в правоохранительные органы, возбуждение уголовного дела, суд, привлечение к ответственности виновных, гражданский иск, компенсация ущерба. -
Регистрация Телеграма
тему ответил в Robot_NagNews пользователя Macil в У нага
Лол, *всем*. Модель нарушителя прежде всего отвечает на вопрос «Что?». А только потом «Как?». И на вопрос «Что?» без понимания *текущей*, *реальной*, структуры активов, ответить невозможно. В этом-то и проблема большинство безопасников: почесали левое яйцо, и выдумали «модель», которая не имеет никакого отношения к реальности. А поэтому, в лучшем случае не может быть исполнена. В хдущем — выполнение несёт риски. Нет, уважаемый! Выработка мер ОИБ как раз строится в реалиях текущих бизнес-процессов! Иначе, нафиг нужна штатная единица безопасника в конторе? Понятно дело, что по итогам работы вырабатываются рекомендации по внесению изменений в бизнес-процессы. Но. Во-первых, внесение изменений требует понимания как процессы работают сейчас. Для этого и требуется инвентаризация информационных активов. Во-вторых, не всё можно изменить. И есть вполне адекватные причины. В-третьих, изменения должны быть соразмерны и экономически адекватны. Вот за это и отвечает модель угроз. Если не следовать этому простому правилу, то СИБ вместо мер ОИБ выпускает пособие для диверсанта-итальянщика, и только нулевая ответственность СИБ за принятые решения мешает пользоваться им в полном объёме. В результате, требования игнорируюся, отчёты о выполнении подделываются. Так что, не надо «ля-ля». -
Регистрация Телеграма
тему ответил в Robot_NagNews пользователя Macil в У нага
В первую очередь, не нужно запускать левые бинарники. Это азбучная истина. Нужно быть постоянно готовым, что после обновления целевая система будет неработоспособна, и загодя принимать необходимые меры. Неплохо бы сначала производить обновление в тестовом контуре. А наличие тестового контура — побочный эффект системы резервного копирования. Не факт. Но да, сегментирование ведёт к дублированию, и росту расходов на инфраструктуру. Грамотное управление активами помогает снизить затраты... но не ликвидировать полностью... Ради этого всё и затевается. Как показывает практика, *дороже* оно не выйдет. -
Регистрация Телеграма
тему ответил в Robot_NagNews пользователя Macil в У нага
Если бы я щас админил домен, я бы каждого запихал бы в отдельный VLAN (в зависимости от количества юзеров и фичастости коммутатора). Ибо — нех. А интернет на рабочих станциях запретил бы от слова «вообще»... Нужны специализированные АРМ для обмена информацией с банками, ФНС, и прочими ФС — давайте делать. Особо «творческие» личности проживут и в отдельном сегменте сети. Руководителям «которым без интернета никак» будет поставлен ноутбук или планшет. И никаких «Петь», «Вась» и «ЯПлакал» не будет. Кстати, первым шагом развёртывания ИБ является не модель нарушителя или модель угроз, а инвентаризация информационных активов. Вот по итогам как раз и формируется модель угроз и принимается решение о разделении сети на сегменты. -
Обойти закон о блокировке анонимайзеров
тему ответил в ne-vlezay80 пользователя Macil в У нага
Аутентификация по клиентскому сертификату добавляет ещё один RTT и происходит *до* завершения хэндшейка (т.е. в открытом виде, до выработки сеансового ключа). Такой подход: а) вносит неприемлемые задержки; б) негативно сказывается на прайвеси и общественном мнении. В TLS 1.3. решение об аутентификации по клиентским сертификатам может приниматься *после* хэндшейка. Это существенно упрощает внедрение в масштабах интернет-компании. -
Обойти закон о блокировке анонимайзеров
тему ответил в ne-vlezay80 пользователя Macil в У нага
x.509 есть *очень* давно. Я не про это. В текущей версии TLS аутентификация по клиентским сертификатам не очень удачно реализована... Для мелких масштабов — более-менее, а вот для масштабов интернет-компании — не очень.