На заседании "Security 20/20", проведённом в рамках конференции HP Discover, руководитель подразделения компании HP, занимающегося развитием связанных с безопасностью сервисов, привёл (http://www.neowin.net/news/hp-discover-startling-security-st...) следующие цифры:- 84% проблем безопасности встречаются на уровне приложений, а не на уровне сети или операционной системы;
- 9 из 10 приложений для смартфонов содержат проблемы с безопасностью;
- Только 2.5% паролей пользователей являются уникальными;
- В Великобритании отмечен наибольший в мире охват камерами слежения, на 32 жителей приходится одна камера;
- Среднее время выявления проблем с безопасностью составляет 243 дня;
- 94% всех проблем безопасности выявляется не потерпевшим, а сторонним лицом.URL: http://www.neowin.net/news/hp-discover-startling-security-st...
Новость: http://www.opennet.me/opennews/art.shtml?num=38642
Policykit таки нужен?
Нет. И права на файлы - тоже. И вообще работать надо только от рута.
В троллейбусном парке города N. работает ms-dos версии 5.0, работает с 1992 года.
> В троллейбусном парке города N. работает ms-dos версии 5.0, работает с 1992 года.Молодцы! Дос - лучшая промышленная ОС всех времен и народов.
>> В троллейбусном парке города N. работает ms-dos версии 5.0, работает с 1992 года.
> Молодцы! Дос - лучшая промышленная ОС всех времен и народов.Он там работает, комп забыли выключить!
< В троллейбусном парке города N. работает ms-dos версии 5.0, работает с 1992 года.
Нашел чем удивить! Я вот давеча паровоз видал. Он еще и ездил даже. Готов поспорить, его выпустили намного раньше DOS 5-й версии.
> Нет. И права на файлы - тоже. И вообще работать надо только от рута.Работать надо на себя.
А от рута запскать комманды для администрирования системы.
>В Великобритании отмечен наибольший в мире охват камерами слежения, на 32 жителей приходится одна камераЭто, типа, проблема безопасности? А не наоборот? Такой расклад не способствует повышению раскрываемости преступлений, не? Или кругом зонды, а пристукнут меня британские чурки - ну и ладно, зато пострадал за свободу.
>>В Великобритании отмечен наибольший в мире охват камерами слежения, на 32 жителей приходится одна камера
> Это, типа, проблема безопасности? А не наоборот? Такой расклад не способствует повышению
> раскрываемости преступлений, не?Держи карман шире.
> Это, типа, проблема безопасности? А не наоборот? Такой расклад не способствует повышению раскрываемости преступлений, не?Незначительно. В любом случае это с лихвой перекроется негативным эффектом от злоупотреблений и хаков таких систем наблюдения.
> Это, типа, проблема безопасности? А не наоборот? Такой расклад не способствует повышению
> раскрываемости преступлений, не?Да вот как-то преступления как совершались, так и совершаются. С другой стороны, территория типа улиц по идее публичное место, кто угодно может невозбранно пялиться на улицу. Камеры в этом ничем таким не особенные и ничего фундаментально не меняют. Ну разве что запоминают получше двуногих и не задалбываются смотреть.
В Сети есть статистика. И она какбе намекает, что за прошлый год ни одно преступление совершенное в Великобритании не было раскрыто при помощи камер слежения. Что в общем-то и вызвало негодование в английском обществе.
1984
Зато у них резко снизилась статистика краж камер видеонаблюдения. Их вокруг столько, что они никому нахрен не нужны. Результат!
> В Сети есть статистика. И она какбе намекает, что за прошлый год
> ни одно преступление совершенное в Великобритании не было раскрыто при помощи
> камер слежения. Что в общем-то и вызвало негодование в английском обществе.
> 1984one_nation_under_cctv.png
Последний пункт абсолютно очевиден. Только 6% людей могут обнаружить проблему в безопасности.
> Только 6% людей могут обнаружить проблему в безопасности.По моим скромным наблюдениям это очень-очень-очень оптимистично. Очень имхо, но даже 0,6% это чрезмерно завышенная и нереальная цифра (даже с учетом случайных обнаружений без понимания происходящего).
6% людей могут обнаружить, что им кое-куда засунули швабру. С квалификацией в области инфобеза это никак не связано.
> 6% людей могут обнаружить, что им кое-куда засунули швабру. С квалификацией в
> области инфобеза это никак не связано.Так это и есть проблема в безопасности. Мы же не говорим о _заблаговременном_ обнаружении.
> Только 2.5% паролей пользователей являются уникальнымиНе ясно, откуда такие данные. Они не сходятся с имеющимися у меня. К тому же, говорить о проценте уникальных паролей можно только зная общее количество паролей, т.к. этот процент убывает с ростом количества. Возможно, подразумевается общее количество паролей у человечества (активных на данный момент? или использовавшихся когда-либо раньше тоже? или еще и будущих на сколько-то лет?) Вряд ли HP могли проанализировать все пароли в мире. В лучшем случае, это либо данные по какой-то выборке, либо экстраполяция из таких данных. Вот моя экстраполяция по базе RockYou (32.6 миллионов пользователей, 14.3 миллионов уникальных паролей):
http://openwall.info/wiki/people/solar/unique-password-count
По этим данным, чтобы опустить количество уникальных до 2% от общего, потребуется около 10^20 аккаунтов. Не думаю, что в мире столько есть. ;-) (Конечно, экстраполяция до 10^20 - это несерьезно.) Для более разумного количества аккаунтов в 10^10, получаем оценку в 23% уникальных паролей.
Еще данные в тему: в базе Adobe 130M паролей всего, 56M уникальных. По экстраполяции из RockYou же, получалось бы для 130M всего от 47M до 52M уникальных. Получается, Adobe'овские пароли в среднем даже чуть лучше, чем у RockYou, но в целом данные сходятся (47M...52M vs. 56M - не такая большая разница). А вот приведенные здесь 2.5% от HP из общей картины выпадают.
> 32.6 миллионов пользователей, 14.3 миллионов уникальных паролейТо есть у каждого второго уникальный пароль? Такая статистика возможна только в одном случае: если пользователям вообще не доверяют придумывать пароли, а вынуждают сидеть на сгенерированных.
>> 32.6 миллионов пользователей, 14.3 миллионов уникальных паролей
> То есть у каждого второго уникальный пароль?Почти. Среди уникальных, конечно, много похожих.
> Такая статистика возможна только в одном случае:
Это интуитивное предположение. Интуиция и всякие там Кэпы могут подводить. Есть статистика, и не только по RockYou. Ситуация не столь плоха.
> если пользователям вообще не доверяют придумывать пароли, а вынуждают сидеть на сгенерированных.
В этом случае можно получить и почти 100% уникальных. В реальности, в крупных базах паролей, как правило, встречаются разные категории паролей - как пароли, произвольно выбранные пользователями, так и когда-либо подвергавшиеся каким-либо ограничениям (например, пользователь мог быть вынужден подогнать свой типичный пароль под ограничения каких-либо других сервисов, а теперь уже использует подобный же пароль и на сервисе, не имеющем таких ограничений). Конкретно на RockYou, насколько мне известно, пользователи указывали свои пароли от сторонних сервисов (чтобы RockYou мог туда ходить от их имени) - соответственно, и возможные ограничения на выбор паролей оказались унаследованы оттуда. Именно сгенерированных сервисами паролей там или не было вообще или было очень мало - на глаз, в базе подобных почти нет. И в базе RockYou и в базе Adobe очень много очень простых паролей (самый популярный и там и там, и во многих других базах - 123456).
> То есть у каждого второго уникальный пароль?Важная поправка: смотря что считать уникальными. 14.3M из 32.6M, что я привел раньше, это количество различных паролей (sort -u | wc -l), в то время как количество паролей, встречающихся ровно один раз (sort | uniq -u | wc -l), насколько-то меньше. Я сейчас проверил - оказалось таких там 11.9M. Если утверждение от HP про 2.5% относилось ко второму случаю (а, похоже, это так), то моя старая экстраполяция из RockYou не подходит - нужна аналогичная с подстановкой 11.9M вместо 14.3M и т.п. для промежуточных точек. При этом 2.5% будет достигнуто при меньшем общем количестве паролей (а не 10^20, что я назвал раньше), но, думаю, всё равно нереально большом (хотя можно проверить).
> Еще данные в тему: в базе Adobe 130M паролей всего, 56M уникальных.А насколько изменится число уникальных паролей при одновременном анализе нескольких отдельных крупных баз ?
> А насколько изменится число уникальных паролей при одновременном анализе нескольких отдельных крупных баз ?Я предполагаю, что оно будет примерно соответствовать экстраполяции по одной крупной базе, такой как RockYou или Adobe. Просто объединить те же RockYou и Adobe пока что нельзя, т.к. в базе Adobe пароли зашифрованы (предположительно, с помощью 3DES в ECB режиме), а ключ пока что публично не известен. Такое шифрование не мешает анализировать количество уникальных паролей в пределах базы Adobe и проводить множество других ее исследований (в том числе выявлять распределение по длинам паролей, а также plaintext отдельных распространенных паролей), но не дает ее объединить для анализа с другой базой (где пароли открытым текстом, как в RockYou, или как-либо хешированы). Аналогично, утечки баз с хешированными паролями в полной мере не объединить с RockYou, так как подобрано оказывается всё же не 100% паролей (хотя по некоторым подобрано около 90%), и зачастую не объединить между собой из-за отличий в методах хеширования или/и наличия salt'ов (когда они есть). Тем не менее, кое-что в этом направлении сделать можно.
> Я предполагаю, что оно будет примерно соответствовать экстраполяции по одной крупной базе,Я про то, что не нужно сбрасывать со счетов частоту использования одного и того же пароля одним и тем же пользователем в разных системах. У каждого активного пользователя наберётся более десятка разных регистраций. Думаю, что большинство людей используют одинаковый пароль для второстепенных сервисов.
> не нужно сбрасывать со счетов частоту использования одного и того же пароля одним и тем же пользователем в разных системах.Я согласен. Думаю, аналогичный эффект в какой-то степени проявляется уже в пределах одной крупной базы (повторные регистрации того же пользователя), и не факт что в двух крупных базах вместе он проявится больше (лишь какая-то часть пользователей двух разных сервисов окажется общей). Да, есть смысл анализировать пароли из многих баз вместе.
> Я согласен. Думаю, аналогичный эффект в какой-то степени проявляется уже в пределах
> одной крупной базы (повторные регистрации того же пользователя)А еще у дypaков мысли сходятся, так что пароль типа qwerty в одной базе может попасться далеко не 1 раз и совсем не факт что это - один и тот же пользователь :).
Не зря, не зря Оруэлл писал именно в Англии.
> Не зря, не зря Оруэлл писал именно в Англии.Он догадывался что англичане тяготеют к полицейскому государству...
Но пока в Англии ни разу не было построено полицейского государства.
> Он догадывался что англичане тяготеют к полицейскому государству...Он вообще работал в Министерстве Правды.
> Он догадывался что англичане тяготеют к полицейскому государству...Не англичане, а люди. Не надо тут беспочвенного национализма.
Просто бриташка и юшка первыми подошли к экономическому и техническому рубежу, за которым становится возможным внедрение технических средств тотального слежения. Скоро и остальные подтянутся.
Не национализма, а нацизма. Национализм - это как бы любовь к своей нации, а не ненавасть к другим.
> Национализм - это как бы любовь к своей нации, а не ненавасть к другим.Национализм - это медийный повод, позволяющий продвигать нужные идеи под предлогом разделения людей по национальному признаку. Любовь к одной нации или ненависть к остальным - только лозунги, используемые для продвижения.
> 9 из 10 приложений для смартфонов содержат проблемы с безопасностью;А 7 из 10 приложений к тому же является откровенным трояном или хотя-бы спайварью и адварью.
Вы просто смотрите на вопрос не с той стороны.
Попробуйте сформулировать это так: "Стимулом для написания приложения для смартфона в 9 из 10 случаев является желание на этом приложении заработать. Применяемые для заработка методы: ..."
И добавьте, что оставшийся 1 случай из 10, когда приложение пишется из чистого альтруизма, практически не имеет шансов попасть в топ и вообще быть кем-то замеченным.Потому что просто так удивляться, что в халявном софте полно ловушек для чайников, по крайней мере наивно.
А не они ли поставляют сервера со встроенным трояном? у которого ну очень простой пароль для доступа
> А не они ли поставляют сервера со встроенным трояном? у которого ну
> очень простой пароль для доступаСлышал пока про storage у них там какой-то пароль слабый и изменить его нельзя. А сами серваки тут уже вопрос. ILO там пароли все меняются.
Шпионят везде и всегда будут. Пока наши не сделают своё железо от и до никакого толка не будет. МЦСТ есть, процессоры какие-никакие делают, кто-то платы делал. Потенциал есть, но политической воли нет.
> Слышал пока про storage у них там какой-то пароль слабый и изменить его нельзя.Если вы про "!admin" то этот пароль прописан в документации и превосходно меняется.
> А сами серваки тут уже вопрос. ILO там пароли все меняются.
Мало того, с каждым сервером для ILO идёт из коробки свой сгенерированный пароль.
>> Слышал пока про storage у них там какой-то пароль слабый и изменить его нельзя.
> Если вы про "!admin" то этот пароль прописан в документации и превосходно
> меняется.
>> А сами серваки тут уже вопрос. ILO там пароли все меняются.
> Мало того, с каждым сервером для ILO идёт из коробки свой сгенерированный
> пароль.Я про эту новость http://www.securitylab.ru/news/441834.php
А генератор в ILO хорошая штука, но лучше пользоваться сторонними, стойкость сгенерированных паролей генератором в ILO я ставлю под сомнение.
Если бы уникальных паролей было бы больше, то можно отследить какой человек где находится. У большинства людей один и тот же пароль от разных сервисов : от почты, от соцсетей, от форумов и тд.Если пароли не уникальны, но сложны, то вероятность, что за одним и тем же паролем на разных сервисах стоит один и тот же человек резко повышается