The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика

08.02.2017 09:18

Группа, в которую вошли исследователи из ряда известных университетов, а также представители Mozilla, Cloudflare и Google, провела анализ распространения методов локального перехвата HTTPS-трафика и влияния такого перехвата на сетевую безопасность. Результаты превзошли ожидания исследователей, оказалось, что 4-11% HTTPS-трафика перехватывается и анализируется сторонним ПО на стороне клиента (антивирусное ПО, межсетевые экраны), при этом в большинстве случаев подобный перехват приводит к уменьшению уровня защиты соединения.

Под локальным перехватом подразумеваются случаи анализа HTTPS-трафика с использованием программного обеспечения, установленного на системе пользователя (например, антивирусное ПО), или применением корпоративных шлюзов инспектирования трафика, работающих в виде прокси. Подобные системы перехватывают обращение клиента, затем от своего лица и с собственным сертификатом транслируют HTTPS-запрос на сервер, получают ответ и отдают его клиенту в рамках отдельного HTTPS-соединения, установленного с использованием SSL-сертификата перехватывающей системы. Для сохранения индикатора защищённого соединения в браузере на машины клиента устанавливается дополнительный корневой сертификат, позволяющий скрыть работу применяемой системы инспектирования трафика.

Исследователи разработали ряд эвристических методов, позволивших на стороне сервера выявить факты перехвата HTTPS и определить какие именно системы использовались для перехвата. На основании заголовка User Agent определялся браузер, а затем сравнивались специфичные для браузера и фактические особенности устанавливаемого TLS-соединений. Более того, сопоставив такие характеристики TLS-соединения, как параметры по умолчанию, поддерживаемые расширения, заявленный набор шифров, порядок определения шифров и методы сжатия, удалось достаточно точно определить конкретный продукт, применяемый для перехвата трафика.

Серверные компоненты для определения подмены HTTPS-соединения были установлены на серверы распространения обновлений для Firefox, в сеть доставки контента Cloudflare и на некоторые популярные интернет-магазины. В итоге, на серверах обновления Firefox выявлено 4% перехваченных запросов, в интернет-магазинах - 6.2%, а в CDN-сети Cloudflare - 10.9%. В 62% случаев использование корпоративных систем инспектирования снижало безопасность соединения из-за применения менее надёжных алгоритмов шифрования, а в 58% случаев соединения были подвержены известным уязвимостям. В 10-40% случаев системы перехвата анонсировали при установке соединения с сервером поддержку небезопасных шифров, подверженных MITM-атакам.

Из рассмотренных 12 шлюзов инспектирования только 5 предлагали актуальный набор шифров, 2 вообще не осуществляли верификацию сертификатов (Microsoft Threat Mgmt и WebTitan Gateway).

24 из 26 протестированных систем перехвата, работающих на компьютере клиента (как правило антивирусы), снижали общий уровень безопасности HTTPS-соединения. Актуальные наборы шифров предоставлялись в 11 из 26 продуктов. 5 систем не осуществляли верификацию сертификатов (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Продукты Kaspersky Internet Security и Total Security подвержены атаке CRIME. Продукты AVG, Bitdefender и Bullguard подвержены атакам Logjam и POODLE. Продукт Dr.Web Antivirus 11 позволяет откатиться на ненадёжные экспортные шифры (атака FREAK).

Интересно, что поддерживаемая современными браузерами возможность привязки сертификата к сайту (public key pinning) не работает в случае применения систем локального перехвата трафика. Chrome, Firefox и Safari выполняют данную проверку только если цепочка проверки ключей связана с сертификатом удостоверяющего центра. Проверка не выполняется, если цепочка верификации завершается локальным корневым сертификатом, установленным администратором.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Выпуск mitmproxy 1.0, инструмента для анализа трафика HTTP/HTTPS
  3. OpenNews: Представлен Sweet32, новый вид атаки на HTTPS и OpenVPN
  4. OpenNews: Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS-сайтов
  5. OpenNews: В устройствах Dell выявлен корневой сертификат, позволяющий перехватывать HTTPS
  6. OpenNews: Организация EFF представила HTTPS Everywhere 5.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/45996-https
Ключевые слова: https, crypt, tls
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (101) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Grishko (?), 09:51, 08/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Правильно, сначала раструбили что можно и нужно так делать, теперь локти начинаем кусать, да? )
     
     
  • 2.2, Аноним (-), 09:56, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Про перехват трафика антивирусами вроде никто ничего не трубил
     
     
  • 3.3, Анонимум (?), 10:11, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну да. Это по принципу: "но ведь вирусы же используют HTTPS, как же с ними бороться?" Это так же как "но ведь террористы же используют программу/сайт N, как же с ними бороться?". В первом случае решение очевидно - хотя бы для начала сменить винду на линух. Может и во втором можно действовать по тому же принципу?
     
     
  • 4.7, Andrey Mitrofanov (?), 10:37, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >хотя бы для начала сменить винду на
    > линух. Может и во втором можно действовать по тому же принципу?

    Я бы почитал такое на opensource.com. </brace yurslvz="broz"></trump is="here">

     
  • 4.10, Аноним (-), 11:04, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –10 +/
    > Ну да. Это по принципу: "но ведь вирусы же используют HTTPS, как
    > же с ними бороться?" Это так же как "но ведь террористы
    > же используют программу/сайт N, как же с ними бороться?". В первом
    > случае решение очевидно - хотя бы для начала сменить винду на
    > линух. Может и во втором можно действовать по тому же принципу?

    При условии что Linux практически не защищает себя от пользователей (И совсем не защищает от рута), то момент перехода пользователей на Linux будет самым счастливым в жизни вирусописателей %)

     
     
  • 5.20, marks (?), 12:13, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Всегда говорил, что линукс принято считать небезопасным не потому, что там идеальные меры безопасности, а просто потому, что он тупо никому не нужен. Разграничение прав - не панацея. Всегда можно что-то закинуть в автозапуск пользователя, например. Или ради лулзов какие-то команды выполнять, вроде выезжающих лотков приводов cd в 98х виндах. Или попросить сделать sudo что-то там. Этот способ и в винде самый эффективный, если стоят все апдейты и есть голова на плечах.

    Это как дыры во BSD. Их мало не потому, что идеальный код, а потому, что пользуется полтора человека. Поэтому нет смысла под  них искать тратить время.

     
     
  • 6.21, marks (?), 12:14, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Всегда говорил, что линукс принято считать небезопасным не потому,

    То есть безопасным, а не небезопасным

     
     
  • 7.35, Michael Shigorin (ok), 13:20, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Всегда говорил, что линукс принято считать небезопасным не потому,
    > То есть безопасным, а не небезопасным

    Так вот ты какая, оговорочка по marks'у... вообще-то тема стократ перетёртая, но почему-то "никому не нужный линукс" на очень вкусных целях вроде серверов и кластеров остаётся достаточно неудобной мишенью.

     
     
  • 8.43, marks (?), 13:50, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ответ в вопросе То, что находится на серверах, кластерах и в руках отдельных г... текст свёрнут, показать
     
     
  • 9.45, tsypa (?), 14:05, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    среднестатистический пользователь одноквасников является проблемой сам для себя ... текст свёрнут, показать
     
     
  • 10.61, marks (?), 17:23, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну правильно Я и говорю о мифе о том, что ЛИНУКС сама система защищает каким-... текст свёрнут, показать
     
     
  • 11.62, Michael Shigorin (ok), 17:51, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Этот волшебный образ называется разделение привилегий от рождения, а не примо... текст свёрнут, показать
     
     
  • 12.86, marks (?), 00:01, 09/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У меня Kaspersky Total, я думаю, что он заметил бы за меня Просто голова на пле... текст свёрнут, показать
     
     
  • 13.94, Michael Shigorin (ok), 16:06, 09/02/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Довольно странный знаменатель, не находите ... текст свёрнут, показать
     
  • 12.117, yz (?), 20:52, 11/02/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    и что ты там разделять собрался Если в windows от этого толк есть и ведется ист... текст свёрнут, показать
     
  • 11.68, Гость (??), 19:32, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А что мешает-то Или вы продолжаете верить, что антивирусы - чрезвычайно нужная ... текст свёрнут, показать
     
  • 9.63, Тузя (ok), 17:51, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Справедливости ради, в линуксе нет защиты от кривых рук пользователя, потому что... текст свёрнут, показать
     
     
  • 10.88, DummyBoy (?), 08:54, 09/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Да, да, именно поэтому 99 приложений для вашего робота требует в системе полном... текст свёрнут, показать
     
  • 8.48, Аноним (-), 14:28, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Постоянно ломают и эти сервера через cms и прочие веб приложения, все что нужно ... текст свёрнут, показать
     
  • 6.78, Led (ok), 21:43, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Всегда говорил

    Ты всегда порол чушь.

     
  • 3.49, Аноним (-), 14:30, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не трубили, но это очевидная вещь Когда я использовал Handycache в домашней лок... большой текст свёрнут, показать
     
  • 3.67, Аноним (-), 19:14, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и в последнее время про проблему антивирусов таки трубят.
    https://geektimes.ru/post/285284/
    https://arstechnica.com/information-technology/2017/01/antivirus-is-bad/
     
  • 2.4, Аноним (-), 10:16, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Правильно, сначала раструбили что можно и нужно так делать, теперь локти начинаем кусать, да? )

    Можно и нужно, лично этим занимаюсь. На работе работать надо, а не шариться где попало. Вот дома пожалуйста, никто ничего не подменяет.

     
     
  • 3.5, Аноним (-), 10:31, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Думаю пара прецендентов с посадками ( пароли к сберу на работе спёрли ) и ваше руководство начнёт задумываться :)
     
     
  • 4.6, Аноним (-), 10:34, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Думаю пара прецендентов с посадками ( пароли к сберу на работе спёрли
    > ) и ваше руководство начнёт задумываться :)

    Или посерьёзней... в ваш линк "доброжелатели" свой "шлюзик" подсунули, а вы не проверяете сертификаты, а бухгалтер через инет-банк платёжки отправлял

     
     
  • 5.16, Гость (??), 11:21, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Все сертификаты подряд устанавливаешь? Тогда причем тут ось?
     
     
  • 6.22, DmA (??), 12:26, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    сертификаты часто с программами ставятся, а не сам пользователь. Те же антивирусы . любые утилиты. Нужно  периодически брать на сайте микрософт минимальный набор сертификатов. А Все остальные удалять из доверенных. Потом добавлять нужные(если он вообще нужны лишние)
     
     
  • 7.33, Michael Shigorin (ok), 13:14, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > брать на сайте микрософт минимальный набор сертификатов
    > остальные удалять из доверенных

    И зачем мне минимальный набор недоверенных сертификатов...

     
  • 7.69, Гость (??), 19:39, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что же это за программы такие?
     
  • 7.73, Аноним (-), 20:04, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Нужно  периодически брать на сайте микрософт минимальный набор сертификатов.

    На МСДН, рустер!

     
  • 7.79, Led (ok), 21:44, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Нужно  периодически брать на сайте микрософт

    Вендузоед не должен брать, вендузоед должен страдать.

     
  • 4.64, Аноним (-), 18:04, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Думаю пара прецендентов с посадками ( пароли к сберу на работе спёрли ) и ваше руководство начнёт задумываться :)

    Не все же сайты в правиле, а популярная хрень, к работе отношения не имеющая, но трафик которой считать нужно. Да и банк-клиенты работать нормально не будут. И вообще... Кто админит, тот понимает зачем это и угонять пароли и т.п. - себе могилу рыть.
    P.S. Все необходимые документы народ подписывает и интернет должен использоваться только в рабочих целях, а не для покупок на алиекспресс и т.д.

     
  • 3.11, Аноним (-), 11:07, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    гугл и подобные вкорячивает тебе в браузер исполняемый код, который не понятно что делает. и так 90% вэб.
     

  • 1.12, Аноним (-), 11:10, 08/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кргда я работал в одной гнилой шараге, где используется некрософт-тмг в качестве MITM-зонда, то работал через свой CDMA-модем. Скорость пониже, но коннект постабильнее будет. И главное, все нужные для работы ресурсы - доступны.
     
     
  • 2.50, Аноним (-), 14:32, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Кргда я работал в одной гнилой шараге, где используется некрософт-тмг в качестве
    > MITM-зонда, то работал через свой CDMA-модем. Скорость пониже, но коннект постабильнее
    > будет. И главное, все нужные для работы ресурсы - доступны.

    Потом меня пропалили и теперь я ищу работу?
    В большинстве шараг используется, что-то закрытое для этого хорошо интегрируемогое в те же закрытые ос. Или если будет шпионить через окрытое по, "шарага" превратиться в процветающую успешную компанию?

     
     
  • 3.56, Аноним (-), 16:12, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > В большинстве шараг используется, что-то закрытое для этого хорошо интегрируемогое в те же закрытые ос.

    Мне ни то, ни другое нафиг не впилось.

    > Или если будет шпионить через окрытое по, "шарага" превратиться в процветающую успешную компанию?

    Не знаю, попробуй у себя, расскажешь.

    Я сам попросил вменяемую сеть, и сам принёс мопед. И другим это тоже рекомендовал. Когда я надумал уходить с той шараги, то было уже 2 джоб-оффера, из которых я выбрал тот, который мне понравился больше.

     
     
  • 4.89, DummyBoy (?), 09:03, 09/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Я сам попросил вменяемую сеть, и сам принёс мопед.

    Админы той конторы, судя по всему, лопухи, раз не закрыли на рабочих местах подключение и использование сторонних устройств. Ибо это куда большая брешь, чем подмена сертификатов.

     
     
  • 5.90, Аноним (-), 11:41, 09/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Да, такие же как и ты.

    Понимаешь, разработчику для выполнения его работы нужно дать подходящие инструменты. Ну, а ты можешь сидеть спокойно за своими троянами и в трояне и рассказывать про "безопасность" и "закрытие". Я мог дальше продолжать ходить на работу со своим ноутом и модемом, но смог добиться того, чтобы удалить некрософт_вантуз с конторского тазика, ибо таскать свой ноут мне влом. Что же касается сети в этой шараге - то действительно, проще таскать свой модем. В кармане места много не занимает.

     
     
  • 6.92, DummyBoy (?), 14:16, 09/02/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Насколько я знаю, всяким "html-программистам" и прочим изнасиловавшим WEB своими JS(подставьте-свое-любимое-go_v_no)-фреймворками "разработчикам" вообще можно в офисе не сидеть. Но вы можете тешить своё ЧСВ дальше.
     
     
  • 7.93, Аноним (-), 15:31, 09/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ты слегка не в ту ветку отвечаешь.
     

  • 1.15, Аноним (-), 11:19, 08/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Это и есть настоящие трояны.
     
  • 1.17, zanswer CCNA RS (?), 11:30, 08/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Инспектирование соединений в корпоративной среде является общепринятым механизмом обеспечения информационной безопасности. И направленно в числе прочего на не допущение утечки конфиденциальных или иных классифицированных данных (Data loss prevention). Проблемы конкретных продуктов, реализующих данный механизм без сомнений требуют внимания, если итоговое соединение в результате инспекции стало менее защищённым, это является причиной для внимательного изучения данной проблемы.

    Но, важно помнить, что организация сама вольна устанавливать в рамках политики сетевой безопасности, какие именно алгоритмы шифрования, протоколы и методы сжатия, должно использовать оборудование или программные продукты.

    С другой стороны, очевидно, что продукты предназначенные для использования дома, не должны без ведома пользователя, выполнять инспекцию и уж тем более, снижать уровень защищённости соединения.

     
     
  • 2.23, DmA (??), 12:27, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Инспектирование соединений в корпоративной среде является общепринятым механизмом обеспечения

    сначала нужны доказательства, что тот же касперский имея полный контроль над трафиком не отсылает лишнего куда-нибудь!

     
     
  • 3.24, zanswer CCNA RS (?), 12:40, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для этого на пограничном брандмауэре (Firewall) или системе противодействия вторжениям (IPS), выполняется инспекция всего трафика. Если же конкретный программный продукт выступает в роли пограничного, то в таком случае, существует несколько возможных вариантов. Мы вынуждены полагаться на репутацию производителя в профессональных кругах, либо выполнять тщательное предварительное тестирование, с использованием других инструментов.

    С другой стороны, если мы всё ещё говорим о корпоративном секторе, то для защиты от возможных не задекларированных возможностей, существует практика сертификации продуктов. В зависимости от типа сертификации, уровня сертификации, на продукт налагаются определённые требования и ограничения, которым он обязан соответствовать, чтобы получить такой сертификат.

     
     
  • 4.102, пох (?), 01:49, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    наивный недо-ccna, вынужден тебя огорчить ВСЕ современные системы подобного род... большой текст свёрнут, показать
     
  • 3.100, пох (?), 01:26, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > сначала нужны доказательства, что тот же касперский имея полный контроль над трафиком
    > не отсылает лишнего куда-нибудь!

    касперский ничуть не скрывает, что отсылает ;-)
    Немного не афишируя, для чего именно. К сожалению, вовсе не только для поиска новых вирусов.

    Ну да, можно opt-out из KSN, но вот уверенности у меня никакой нет.

     
  • 2.25, Аноним (-), 12:42, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >Инспектирование соединений в корпоративной среде является общепринятым механизмом обеспечения информационной безопасности.

    Инспектирование квартир и дач сотрудников в корпоративной среде является общепринятым механизмом обеспечения информационной безопасности.

    У вас мобильники отнимает охрана? Нет? Вы лошары. Через современный 3G/4G отлично сливаются секретные корпоративные данные на сервера гугла. Ой стоп. У вас же документо-оборот построен на Google Docs! Все в шоколаде, не так ли?

     
     
  • 3.28, zanswer CCNA RS (?), 13:01, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Политики информационной безопасности предприятия не является чем-то общим для вс... большой текст свёрнут, показать
     
     
  • 4.30, Аноним (-), 13:03, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Столько воды. Ты про свою фирму бы рассказал. А этот бред вливай в уши своим клиентам (ты же продаешь свои услуги или _исполняешь_ чужие? =).
     
     
  • 5.44, zanswer CCNA RS (?), 13:55, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всё выше изложенное относится к теории информационной безопасности, если вы, считаете, что где-то я не правильно изложил материал, то буду рад услышать ваши доводы.

    Я нечего не кому не продаю и не связан с производителями программных или аппаратных решений в области безопасности.

     
  • 5.51, Аноним (-), 14:39, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Столько воды. Ты про свою фирму бы рассказал. А этот бред вливай
    > в уши своим клиентам (ты же продаешь свои услуги или _исполняешь_
    > чужие? =).

    Похоже, у этого парня заказывают написание документации по ИБ компании со всей страны. Именно поэтому, такую докуменацию потом сложно читать и невозможно исполнять.

    Он не расскажет про свою фирму, т к это нарушение ИБ (щас напишет тоже самое в 5 строк)

     
  • 5.98, пох (?), 01:07, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    гордая подпись ccna rs - как бы говорит нам, что своя фирма - очередной мега-и... большой текст свёрнут, показать
     
  • 3.34, Michael Shigorin (ok), 13:16, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > У вас мобильники отнимает охрана? Нет? Вы лошары.

    Где-то и оставляют всё подобное на входе.  Где-то не требуется.

    > Ой стоп. У вас же документо-оборот построен на Google Docs!

    Нередко достаточно одного форвардящегося на gmail почтового ящика...

     
     
  • 4.36, Аноним (-), 13:30, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Где-то и оставляют всё подобное на входе.  Где-то не требуется.

    Это в Альте, у вас или вы вобщих чертах, что такое бывает. Я знаю, что такое бывает. Однако, там где такое бывает не читают опеннет =)

    Очень много встречался по работе с псевдо-знатоками безопасности. По факту в безопасность могут лишь единицы, у которых есть деньги на эту безопасность. И увы, физические меры намного важнее, чем все эти файрволы и антивирусы.

    Банальная аналоговая камера смотрящая в мониторы сотрудников намного полезней. Намного полезней шмон сотрудников на входе И выходе. Но нет, кругом слишком много звездежа как ИНФОРМАЦИОННАЯ безопасность важна! Важна когда работает в купе со всеми остальными методами, о которых почему-то НИКТО не заикается из этих псевдо-безопасников.

    Хорошо бомбануло )

     
     
  • 5.59, Аноним (-), 17:14, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Дружище, а как твой смарфтон и комп окажутся в одной подсети?
    А так да, варианты для слива всё равно есть почти всегда.
     
  • 3.37, fi (ok), 13:32, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > У вас мобильники отнимает охрана? Нет? Вы лошары. Через современный 3G/4G отлично сливаются секретные корпоративные данные на сервера гугла. Ой стоп…

    И как ты на мобилку закачаешь слив?  Предложи свой вариант без USB :)))

     
     
  • 4.40, Аноним (-), 13:40, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Подключусь по вафле? Дальше неткатом по 80 порту. Ты журнал хакер в нулевых не читал гляжу. Вобщем, вангую ты типичный сис.админ, который считается в фирме начальником IT-отдела и все знает.

    Скажу больше, все можно сделать через браузер, отослав самому себе письмо с зашифрованным архивом, а дальше по той же вафле себе забрать на телефон.

    Другой способ. Я беру и открываю комп для чистки вентилятора, вставляю плату PCI-экспресс как кард-ридер и вауля, залил все себе на карточку microSD.

    Еще вариант, я заливаю в свою бранчу на корпоративном гитЛАБе зашифрованный архив с нужной инфой, а дальше из ДОМА забираю его.

    И т.д. и т.п. Еще вопросы?

     
     
  • 5.54, fi (ok), 15:00, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну если из журнала хакер - то ты монстр пролет обычно внешние устройств... большой текст свёрнут, показать
     
     
  • 6.55, Аноним (-), 15:09, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да ты походу ген дир Без шуток, что мешает мне взять и вынуть хард из компа и у... большой текст свёрнут, показать
     
     
  • 7.72, Аноним (-), 19:51, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, первое что пришло в голову, выдернуть диск.
    Можно домой и не носить.
     
     
  • 8.91, fi (ok), 13:25, 09/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Можно домой и не ходить 8230 уже ждут Речь шла чтоб не спалиться, комп без... текст свёрнут, показать
     
     
  • 9.96, Аноним (-), 00:01, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот ты бол еще тот Я беру ноут на кухню коридор туалет, где нет камеры или ... большой текст свёрнут, показать
     
     
  • 10.97, пох (?), 00:51, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    э я один сраный неудачник с леновой, где диск шифруется aes, и без родной мат... большой текст свёрнут, показать
     
     
  • 11.101, Аноним (-), 01:44, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько стоит твоя леново У вас у всех так Ну, хорошо Мажоры Точно Таких п... большой текст свёрнут, показать
     
     
  • 12.104, пох (?), 02:18, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    блин, а я откуда знаю, я еще ни одной не потерял У инженеров у всех, и не тольк... большой текст свёрнут, показать
     
     
  • 13.105, Аноним (-), 02:34, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Где там, мои шпилька и булавка Замок в стандартных десктопах откроет школьник ... большой текст свёрнут, показать
     
     
  • 14.109, пох (?), 03:20, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    мне кажется, это уже немного палево - если и после этого не прибежит секьюрить, ... большой текст свёрнут, показать
     
     
  • 15.110, Аноним (-), 03:35, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мы опять вернулись к камерам Прекрати, умоляю, пожалуйста Возвращаемся к вопро... большой текст свёрнут, показать
     
  • 3.52, Аноним (-), 14:46, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > У вас мобильники отнимает охрана? Нет? Вы лошары. Через современный 3G/4G отлично
    > сливаются секретные корпоративные данные на сервера гугла. Ой стоп. У вас
    > же документо-оборот построен на Google Docs! Все в шоколаде, не так
    > ли?

    Если быстрый экспорт инфы в файлы из онлайновых информационных систем невозможен, подключение к компу всяких медиа носителей тоже, инет закрыт, то в какой-то мере юзер под контролем даже если сидит со своей техникой на работе. Если начнет что-то вытаскивать на раб стол (с целью вытащить загрузившись и з нормальной ос), то можно пропалить по поведенческому анализу. Смену способа загрузки не всегда можно запретить на дешманском оборудовании.

     
  • 2.113, Аноним (-), 12:55, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Data loss prevention

    Это маркетинговая туфта поможет только от совсем тупopылых. rarjpeg'а хватит, чтоб на неё положить большой и толстый.

     

  • 1.26, th3m3 (ok), 12:48, 08/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я давно уже говорю, что нафиг эти антивирусы вместе с виндой. Пользуйтесь нормальными системами и будет профит.
     
     
  • 2.29, Аноним (-), 13:02, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В соседней теме для выявления эксплойтов (вирусов) рекомендуют пропатчить ядро левым патчем. Ваше "нормально" в этом заключается?
     
     
  • 3.32, Гость (??), 13:13, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ссылку можно?
     
     
  • 4.38, Аноним (-), 13:33, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http://mobile.opennet.ru/opennews/art.shtml?num=45992

    Проект grsecurity представил набор патчей с реализацией механизма защиты ядра Linux, позволяющего блокировать работу эксплоитов

     
     
  • 5.41, chinarulezzz (ok), 13:41, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > http://mobile.opennet.ru/opennews/art.shtml?num=45992
    > Проект grsecurity представил набор патчей с реализацией механизма защиты ядра Linux, позволяющего
    > блокировать работу эксплоитов

    Это уже "усиленно", как и Grsecurity + SELinux + PaX + hardened building.

    А просто (мб + hardened building) - это "нормально".

     
     
  • 6.42, Аноним (-), 13:45, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А, т.е. "нормально" - это патчить ядро на каждый чих вместо установки программ-утилит? Нужна дефрагментация - патчим ядро. Нужен антивирус - патчим ядро. Купили новую видеокарту - патчим ядро. Это по-вашему "нормально"?
     
     
  • 7.46, chinarulezzz (ok), 14:19, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А, т.е. "нормально" - это патчить ядро на каждый чих вместо установки
    > программ-утилит?

    Да. Мы в пту развлекались: написать вирусню, которая бы не палилась антивирусами с распоследними апдейтами, инжектилась в системные процессы, и всячески скрывали своё существование.

    > Нужна дефрагментация - патчим ядро. Нужен антивирус - патчим ядро.
    > Купили новую видеокарту - патчим ядро. Это по-вашему "нормально"?

    Я поддерживаю предыдущего комментатора в том, что в сравнении с виндой, ядро линукса и без grsecurity более безопасно.


     
     
  • 8.99, пох (?), 01:20, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    фиговое пту В смысле - почему вам не объяснили, что в линуксе это делать тоже м... текст свёрнут, показать
     
     
  • 9.103, chinarulezzz (ok), 01:50, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну давай пример Винда беззащитна перед CreateRemoteThread Что в линуксе проще,... текст свёрнут, показать
     
     
  • 10.106, пох (?), 02:39, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    сменить имя своего процесса на dhcpcd Зачем тебе ради этого какие-то треды в чу... текст свёрнут, показать
     
     
  • 11.107, chinarulezzz (ok), 02:54, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    пффф, ты моё пту ругал, а сам детский сад предлагаешь вообще ой, я тя умоляю O... текст свёрнут, показать
     
     
  • 12.108, chinarulezzz (ok), 02:58, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    -... текст свёрнут, показать
     
  • 12.114, пох (?), 15:45, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну дык, кто же виноват, что в винде такой детский сад несколько затруднен, а в л... текст свёрнут, показать
     
     
  • 13.115, crz (?), 16:20, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Readonly на LD_PRELOAD, noexec на хомяк и tmp Твои действия Замечу, это станда... текст свёрнут, показать
     
  • 7.65, Аноним (-), 18:18, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А в чём принципиальное различие? В линукс компиляция и перезагрузка, там установка драйвера и перезагрузка? В первом случае модифицируется ядро патчем, во втором модифицируется ядро загружаемой библиотекой. Не вижу ничего не "нормального"
     
     
  • 8.85, Michael Shigorin (ok), 23:11, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Гляньте всё-таки матчасть, прежде чем продолжать задавать глупые вопросы Линук... текст свёрнут, показать
     
  • 7.116, Michael Shigorin (ok), 18:35, 10/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А, т.е. "нормально" - это патчить ядро на каждый чих вместо установки
    > программ-утилит? Нужна дефрагментация - патчим ядро. Нужен антивирус - патчим ядро.
    > Купили новую видеокарту - патчим ядро. Это по-вашему "нормально"?

    Вот это был автор комментария вида "сердюков, захарченко, серединин, список альта" в теме про вебкит..

    Смотрите, люди.  Мотайте на ус, что это за контингент.  Обострившийся сегодня флудер-наркоман по поведению тоже перекликается.

     
  • 5.70, Гость (??), 19:40, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Спасибо за ответ.
     
  • 4.39, chinarulezzz (ok), 13:37, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    он, видимо, про grsecurity.
     
  • 3.58, Аноним84701 (ok), 16:43, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > В соседней теме для выявления эксплойтов (вирусов) рекомендуют пропатчить ядро левым патчем.
    > Ваше "нормально" в этом заключается?

    Ну да, конечно же лучше установить антивирус, который отрубит всякие новомодные ASLR (помимо привнесения целой кучи своих, древних и не очень дыр, типа спотыканий при распаковке и всевозможных переполнений при парсинге файлов),
    http://joxeankoret.com/download/breaking_av_software_44con.pdf
    перехватит (причем, опять же, криво – см новость) HTTPS и будет усиленными тормозами делать вид, что "на страже"!.
    При этом, на практике, не будет перехватывать ничего нового и незнакомого (зато поднимать тревогу на "подозрительный" netcat, типа "смотри хозяин, я бдю!"), хотя еще лет 6-7 назад более-менее серьезные "ботоводы" перешли на регулярные "превентивные" обновления, как раз с целью изменения сигнатуры.

    Как-то оно ... сомнительно, что-ли. Даже не просто "сравнительно честный способ отъема денег", уже из серии "приобрети наш продукт и получи геморрой в подарок бесплатно!"

     
  • 2.53, Аноним (-), 14:47, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я давно уже говорю, что нафиг эти антивирусы вместе с виндой. Пользуйтесь
    > нормальными системами и будет профит.

    Странно что тебя такого умного никто не слушает....

     
     
  • 3.76, anonymous (??), 20:58, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Я давно уже говорю, что нафиг эти антивирусы вместе с виндой. Пользуйтесь
    >> нормальными системами и будет профит.
    > Странно что тебя такого умного никто не слушает....

    Ничего странного. Когда умных слушали-то?

     

  • 1.47, dr Equivalent (ok), 14:25, 08/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    MITM-атака сводит на нет всю модель безопасности SSL. Прямо кто бы мог подумать.
     
  • 1.57, anonymous (??), 16:24, 08/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А я себе такое хочу домой поставить. privoxy не умеет https, squid умеет перехват https, но не умеет в приватность, и друг с другом они не дружат. Вот жду, когда одно из трёх условий изменится и можно будет наконец-то настроить перехват https трафика.
     
     
  • 2.82, Anonim (??), 22:54, 08/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А я себе такое хочу домой поставить. privoxy не умеет https, squid умеет перехват https, но не умеет в приватность, и друг с другом они не дружат. Вот жду, когда одно из трёх условий изменится и можно будет наконец-то настроить перехват https трафика.

    https://mitmproxy.org/

     

  • 1.66, Аноним (-), 19:13, 08/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    вот вам и весь ынтерпрайз. вместо того, чтобы направлять ресурсы на повышение своего качества и устойчивости, акулы бизнеса гонятся за быстрой наживой, падая в лужи с гумном
     
  • 1.81, Crazy Alex (ok), 22:53, 08/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну закономерно. Эти системы перехвата - корпоративный софт с медленной разработкой и вечно запаздывающими апдейтами, которые, понятно, не успевают за браузерами в плане обновления параметров шифрования и подобного, да и к устранению уюязвимостей относятся абы как.
     
  • 1.83, Crazy Alex (ok), 22:54, 08/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вот за "Проверка не выполняется, если цепочка верификации завершается локальным корневым сертификатом, установленным администратором" надо голову отъедать.
     
  • 1.118, Аноним (-), 16:25, 16/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Категорически не согласен с обобщениями и выводами автора!

    Перехватывать расшифровывать и проверять ВЕСЬ трафик антивирусом сегодня просто необходимо!

    Но автор статьи благую идею добавил ложку дёгтя от мелкософта, кашпировского и им подобных..

     
     
  • 2.119, Andrey Mitrofanov (?), 17:09, 16/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Перехватывать расшифровывать и проверять ВЕСЬ трафик антивирусом сегодня просто необходимо!
    >от мелкософта, кашпировского и
    > им подобных..

    Евгений Валентинович, шифруйтесь лучше---

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру