» »

Kako resna podjetja komunicirajo?

Kako resna podjetja komunicirajo?

«
1
2

vostok_1 ::

V bistvu me že dolgo časa zanima, še posebej sedaj v soju vseh NSA afer. Kako...resna in velika podjetja tipa Siemens itd. komunicirajo znotraj in zunaj podjetja. Namreč, če uporabljajo metode običnih smrtnikov pol so praktično vse njihove poslovne skrivnosti prosto dostopne tajnim službam.

Prepričan sem, da počnejo stvari nekoliko drugače. Kot drugo, me zanima kako srednja/manjša napredna podjetja to počnejo?

Any ideas?

siniša ::

Pr nas uporablajmo SAP in pa lotus notes za maile. Seveda je vse sifrirano, aja pa vse poteka prek serverjev v nemciji.... :)

Zgodovina sprememb…

  • spremenil: siniša ()

jukoz ::

Z resnimi podjetji s katerimi sem bil v stiku (farmacevti - podobne velikosti ko Siemens, ne-amreiška) uporabljajo Cisco mrežno opremo in Microsoft (ala Lync za interno komunikacijo). Ko njihove sysadmine vprašaš kaj menijo o sodelovanju teh podjetij z NSA so skomignili z rameni in rekli da je to politka firme in da se nič ne da. Govorice o tem da NSA "prodaja" informacije so pa samo govorice.

SeMiNeSanja ::

Mislim, da sta komuniciranje in varovanje omrežja dva različna pojma, ki se sicer v nekaterih točkah srečujeta, sicer pa govorimo o dveh povsem različnih pojmih.

Za komuniciranje kot tako, tudi 'veliki' ne uporabljajo nič drugega, kot elektronsko pošto. Se pa tu že polaga pozornost na to, da poteka izmenjava sporočil med mail strežniki preko kriptirane povezave, če je to možno, poleg tega pa se kriptira sporočila, ki so občutljive narave (ostala gredo skozi kot normalna pošta). Nekatera podjetja zahtevajo obvezno podpisovanje mailov s certifikatom - če dobiš mail od sodelavca, ki ni podpisan s certifikatom, lahko takoj posumiš na phishing.
Poleg tega nekatera podjetja uporabljajo DLP rešitve, ki naj bi pomagale preprečevati uhajanje podatkov preko elektronske pošte. Te rešitve iščejo določene besede in besedne zveze, vrste dokumentov oz. določene 'prstne odtise' zaupnih dokumentov. Na osnovi tega lahko nek mail prepustijo, drugega pa označijo za tveganega in ga vrnejo pošiljatelju, da naj ga šifrira pred pošiljanjem oz. razmisli, če je ta dokument dejansko za poslati iz hiše.

Poleg tega se pogosto razni spletni maili blokirajo, prepovedani/blokirani so razni Dropbox-i in podobna skladišča podatkov v 'oblakih' (namesto tega imajo kakšen zasebni 'oblak').

Drugače pa s pomočjo tehnike lahko zaščitiš zgolj 'vrh ledene gore'. Tudi če navlečeš za miljon € opreme, ti lahko še vedno nekdo 'kupi' kakšnega od ključnih sodelavcev in od njega dobi več podatkov, kot bi jih lahko ukradel preko omrežja.

Večina tehničnih zaščitnih ukrepov gre v smer preventive pred nehotenim uhajanjem podatkov, veliko manj pa v smeri 'velikega brata', ki bi ti gledal čez rame, kaj vse si ti dejansko komu pošiljal.

jkreuztzfeld ::

@vostok_1 Velika večina komunikacije gre še vedno preko e-maila, ki je v redkih primerih šifriran (smime ali pgp/gpg/...). Nekatera večja podjetja imajo v politiki obvezno šifriranje internih mailov. Real-time komunikacija gre v 99% preko Webex, Lync, Skype.
--
Great minds run in great circles.

jype ::

vostok_1> Kako...resna in velika podjetja tipa Siemens itd. komunicirajo znotraj in zunaj podjetja.

Google apps.

dronyx ::

To je zanimivo vprašanje. Po moje pri teh velikih igralcih v svetu vohunjenja kot je NSA, britanski GHCQ in še kdo velja kljub vsemu nekakšen "fair play" oziroma je postavljena nekakšna nevidna meja, do kje se sme. Da bi recimo NSA razvila nek svoj trojanski program, ki bi se namestil v informacijskem sistemu Novartisa, skopiral njihove strežnike vključno z vsemi patenti, formulami, procedurami za izdelavo zdravil itd. potem pa bi šla dva v črno oblečena uslužbenca NSA s temi podatki do Mercka mislim da se ne dela. Industrijska špijunaža na takem nivoju je kot bi lansiral jedrsko orožje, ker zanesljivo nazaj fašeš enako ali večjo dozo (sledile bi gospodarske sankcije, blokada trgovine...skratka škoda, ki bi se merila v tisočih milijard USD).

Za kakšne Kitajce ali Ruse tega ne bi upal trditi, saj so že sunili kakšnemu ameriškemu vojaškemu izdelovalcu načrte za orožje. Vendar ti ne razpolagajo s takšno napredno tehnologijo (za marsikaj velja prepoved izvoza iz ZDA oziroma se izvaža lahko samo v partnerske države), tako da verjetno ob ustrezno izvedenih varnostnih ukrepih naletijo na precej močan zid. Kakšen je dejansko obseg teh uspešnih udorov pa ne ve nihče, ker o teh rečeh se ponavadi ne dela medijskih zgodb, razen če po nekem čudnem naključju pridejo podatki kako v javnost.

AndrejO ::

Zgodovina sprememb…

  • spremenil: AndrejO ()

vostok_1 ::

@AndrejO
Exactly.

@dronyx

Tu ni nobenega fairplaya IMO. Za NSA dela ogromno zunanjih izvajalcev (ki so povečini privatniki) in bi jim industrijsko vohunjenje kar koristilo. Jaz osebno nimam nobenega dvoma, da se informacije na veliko zlorablja. Oversighta itak ni, za napake po trenutno veljavni zakonodaji nihče ne odgovarja.

Po sami naravi dela vrjamem, da je izredno težko držati informacije tajne.

Zgodovina sprememb…

  • spremenil: vostok_1 ()

jype ::

vostok_1> Exactly.

Bistvo velikih je to, da so za taka tveganja zavarovani. Samo sem in tja kakšnemu inženirju, ki je na svoje izjemno delo ponosen, se zdi taka reč problematična, investitorji in managerji pa zelo dobro razumejo, da v zahodnih pravnih sistemih vedno lahko iztožijo odškodnino za znaten del škode, ki nastane ob takšnih nepravilnostih (kot je industrijsko vohunjenje državnih organov).

Looooooka ::

vostok_1 je izjavil:

V bistvu me že dolgo časa zanima, še posebej sedaj v soju vseh NSA afer. Kako...resna in velika podjetja tipa Siemens itd. komunicirajo znotraj in zunaj podjetja. Namreč, če uporabljajo metode običnih smrtnikov pol so praktično vse njihove poslovne skrivnosti prosto dostopne tajnim službam.

Prepričan sem, da počnejo stvari nekoliko drugače. Kot drugo, me zanima kako srednja/manjša napredna podjetja to počnejo?

Any ideas?

Jup. Vse kar je na meji legalnega se pogovori na 4 oči. Stroga pravila glede odgovornosti in pošiljanja občutljivega materiala v elektronski obliki. Prepoved nošenja medijev, ki se jih da uporabiti za prenašanje datotek.
Ampak a ne...to so na koncu samo uporabniki in vedno nekaj ven pobegne :)

AndrejO ::

jype je izjavil:

vostok_1> Exactly.

Bistvo velikih je to, da so za taka tveganja zavarovani. Samo sem in tja kakšnemu inženirju, ki je na svoje izjemno delo ponosen, se zdi taka reč problematična, investitorji in managerji pa zelo dobro razumejo, da v zahodnih pravnih sistemih vedno lahko iztožijo odškodnino za znaten del škode, ki nastane ob takšnih nepravilnostih (kot je industrijsko vohunjenje državnih organov).

A zato je Francija plačala že miljone odškodnin, ko je organizirano pobirala industrijske skrivnosti svojih "zaveznic". Ravno tako tudi Kitajska, ki je verjetno tudi že plačala kakšno kazen tarčam svojih vohunskih ekspedicij.

Seveda lahko tujega vohuna vržeš v zapor, lahko ga narediš za primer v opozorilo drugim, lahko ga izženeš ali pa tudi usmrtiš (v kakšni malo manj civilizirani državi). Zagotovo pa tuja država ne bo nikoli priznala nikakršne povezave in težko boš našel sodišče pred katerim boš lahko tožil "državne organe" tujcev. Gentelmanski dogovor v teh primerih je, kakor vi nam, tako mi vam.

Razen, če si nekje zavil levo namesto desno in si pomislil, da rabi država vohuniti za podjetji na lastnem ozemlju. Nekako redundantno, če pomisliš, da jim lahko pošlje davčno inšpekcijo in izve vse od A do Ž. Pa še kupca boš težko našel. Kot je nek filmski mafiozo povzel: ne seri, kjer spiš.

jype ::

AndrejO> A zato je Francija plačala že miljone odškodnin, ko je organizirano pobirala industrijske skrivnosti svojih "zaveznic".

Saj tega ne plača država. Zavaruješ se pri zavarovalnici.

AndrejO ::

jype je izjavil:

AndrejO> A zato je Francija plačala že miljone odškodnin, ko je organizirano pobirala industrijske skrivnosti svojih "zaveznic".

Saj tega ne plača država. Zavaruješ se pri zavarovalnici.

Ah, OK. Nisem povezal "iztožijo odškodnino" s pojmom zavarovalnice. S temi se običajno pogajaš glede obsega škode, ne pa tožiš.

Pa tudi to nisem prepričan, da bi kdo imel zavarovalno polico za škodo v primeru vohunjenja. Sem pa prepričan, da boš hitro pokazal s prstom na takšen primer, če obstaja. ;)

jype ::

AndrejO> Pa tudi to nisem prepričan, da bi kdo imel zavarovalno polico za škodo v primeru vohunjenja. Sem pa prepričan, da boš hitro pokazal s prstom na takšen primer, če obstaja. ;)

Pojma nimam (ker zavarovalne police niso javne), ampak ameriška zakonodaja, ki daje pravno podlago za takšen biznis, je zdaj stara že več kot desetletje.

Zgodovina sprememb…

  • spremenilo: jype ()

dronyx ::

Jaz še vedno ne verjamem, da bi agencije kot je NSA izvajale masovno industrijsko vohunjenjen zato, da bi omogočala neposredno korist ameriškim podjetjem (torej ukradli neke informacije ali industrijsko lastnino ter to neposredno predali ali prodali naprej ameriškim podjetjem). Če nekaj počnejo podizvajalci ali posamezniki to ne štejem kot sprejeto politiko delovanja agencije. Se pa zanesljivo izvaja tudi industrijsko vohunjenje s ciljem zagotavljanja "strateških ciljev ZDA...bla, bla, bla...". S tem pa se potem posredno omogoča ameriškim podjetjem da pridobijo konkurenčno prednost.

Vprašanje je tudi, kako tesno sodeluje NSA z ameriškimi računalniškimi firmami, ki imajo na nekaterih področjih večinski tržni delež. Ravno za zgoraj omenjeni produkt Lotus Notes sem pred časom bral, da je NSA od izdelovalca zahtevala, da v šifrirnem algoritmu omogoči backdor za njih. To pa je seveda izredno umazana igra in če se to počne masovno, potem so vse investicije v računalniško varnost in opremo, ki naj bi to zagotavljala rahlo...!? Zopet moje osebno mnenje je, da NSA tega v širokem obsegu ne počne. V tem pogledu se verjetno oni prej obnašajo kot običajni hackerji, torej se trudijo odkriti ali ranljivosti ali kakšne druge varnostne pomanjkljivosti teh sistemov in potem to uporabljajo pri svojem delu (marsikdo bi uporabil izraz zlorabljajo).

Kaj zares se vse počne v ozadju pa bomo morda izvedeli, ko se pojavi novi Snowden. Ampak kakorkoli že, podjetja (in tudi ostali jasno) ocenijo tveganja in na podlagi tega izberejo primeren nivo informacijske varnosti. Ni isto, če si nek mali proizvajalec lahkih jadralnih letal z nekaj 10 MIO letnega prometa, ali pa specializirana računalniška firma, ki za Kitajsko vojsko razvija napredne šifrirne algoritme. V tem primeru boš zanesljivo "top priority" tarča za kakšno NSA in še koga.

Zgodovina sprememb…

  • spremenil: dronyx ()

jype ::

dronyx> Vprašanje je tudi, kako tesno sodeluje NSA z ameriškimi računalniškimi firmami, ki imajo na nekaterih področjih večinski tržni delež. Ravno za zgoraj omenjeni produkt Lotus Notes sem pred časom bral, da je NSA od izdelovalca zahtevala, da v šifrirnem algoritmu omogoči backdor za njih. To pa je seveda izredno umazana igra in če se to počne masovno, potem so vse investicije v računalniško varnost in opremo, ki naj bi to zagotavljala rahlo...!?

Uporabljaj prosto programje, pa bodo te težave bistveno manjše.

SeMiNeSanja ::

Srce mi krvavi, pudel v sosednji sobi pa besno renči, ko Jype izjavi, da je prosto programje rešitev za vse probleme.

jype ::

Jaz pa samo zavzdihnem nad učinkovitostjo funkcionalnega opismenjevanja našega šolskega sistema. Če ne znaš brat, potem morda tudi pisat ne bi smel.

dronyx ::

jype je izjavil:

Uporabljaj prosto programje, pa bodo te težave bistveno manjše.

Ne štekaš, da je problem vohunjenja na tem nivoju (velike agencije kot je NSA z letnim proračunom par milijard USD) bistveno bolj kompliciran. Snowden je razkril, da britanski GCHQ prestreza promet na optičnih kablih ki povezujejo Evropo in ZDA. Po spominu je bilo govora o TAT-14 povezavi, verjetno pa se prestreza še marsikaj drugega. Tu zbirajo tako metapodatke (torej kdo, kaj, s kom...), kot samo vsebino komunikacij. Seveda ti pa z vsem tem ne morejo nič, če imaš tvoj odprtokodni PC doma v faradeyevi kletki in ne pozabi, da ga ne smeš priklopiti v električno omrežje, ampak ga za vsak slučaj raje napajaj iz kakšnega akumulatorja.

Gandalfar ::

Odprta koda ti resi problem backdora v Lotus Notes. Kaj ima to veze s kabli?

dronyx ::

Gandalfar je izjavil:

Odprta koda ti resi problem backdora v Lotus Notes. Kaj ima to veze s kabli?

V bistvu nič. Hotel sem samo napisati, da če se bojiš NSA imaš problem malo večji, kot samo odprta koda.

Roadkill ::

dronyx dela v javni upravi in mu gredo Notesi na živce. Zato ob vsaki priliki ven potegne IBM in NSA dogovor iz leta 97.

Od 97 je v ameriki veljala zakonodaja, da mora ves software, ki se izvaža v tujino imeti dovolj šibko enkripcijo, da jo lahko le NSA cracka.
Od 2001 naprej pa Notes podpira precej več in večje ključe, tako da NSA ne ve več kaj dronyx počne v službi.
Ü

dronyx ::

Lotus Notes je super program in da mi gre na živce sploh ni res. Kar se tiče pa šifriranja sem po spominu nekje bral, da naj bi NSA imela polovico ključa, da so lahko v razumnem času dešifrirali podatke. Meni ni sporno, če ZDA recimo omejijo izvoz neke tehnologije. Sporno pa je, če ima ta tehnologija namerno vgrajen "backdor", ki pa tebi daje potem lažen občutek varnosti. To je pa potem zame umazana igra.

jype ::

dronyx> V bistvu nič. Hotel sem samo napisati, da če se bojiš NSA imaš problem malo večji, kot samo odprta koda.

Odprta koda sicer pomeni, da lahko vidiš neumnosti, prosto programje pa pomeni, da jih smeš tudi popraviti in o njih javno govoriti (pri odprti kodi te pravice niso vedno zagotovljene).

Komunikacije preko tuje infrastrukture moraš vedno smatrati za nezaupanja vredne in jih ustrezno kriptografsko zaščititi, za kar zopet potrebuješ zaupanja vredno programje, ki ga lahko vsakdo preveri (in nekateri potem tudi zares ga).

Looooooka ::

Pustmo dejstvo, da lahko končnemu programu že prek compilerja dodajo backdore in da ti izvorna koda prav nič ne pomaga če nisi sam vsega doma postavil in sam skompajlal.
Ampak seveda v življenju geekov je čisto logično, da bo vsak na tem svetu to počel sam.
Ker a ne...če bi ti kirurg rekel "pa saj sam mal anestezije uporabiš(ki je itak on ne dovaja) pa pol zarežeš in odrežeš pa je" bi bil tud super odgovor za vsako jamranje pacientov.
Sploh na mestu.
Saj vsake toliko cajta prebereš, da nekdo to celo naredi in preživi. Če to naredi z zepnim nožkom o njemu posnamejo celo film.

jype ::

Looooooka> Pustmo dejstvo, da lahko končnemu programu že prek compilerja dodajo backdore in da ti izvorna koda prav nič ne pomaga če nisi sam vsega doma postavil in sam skompajlal.

Raje pustimo dejstvo, da nič od tega ni res.

Looooooka> Ker a ne...če bi ti kirurg rekel "pa saj sam mal anestezije uporabiš(ki je itak on ne dovaja) pa pol zarežeš in odrežeš pa je" bi bil tud super odgovor za vsako jamranje pacientov.

Kirurgi nič ne skrivajo kirurških metod, ravno nasprotno.

Zgodovina sprememb…

  • spremenilo: jype ()

Invictus ::

Looooooka je izjavil:

Pustmo dejstvo, da lahko končnemu programu že prek compilerja dodajo backdore in da ti izvorna koda prav nič ne pomaga če nisi sam vsega doma postavil in sam skompajlal.

Prvi prevajalnik za C je imel backdoor vgrajen od samega začetka.

Avtor je to objavil 20 let kasneje.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

ZaphodBB ::

To je zanimivo vprašanje. Po moje pri teh velikih igralcih v svetu vohunjenja kot je NSA, britanski GHCQ in še kdo velja kljub vsemu nekakšen "fair play" oziroma je postavljena nekakšna nevidna meja, do kje se sme. Da bi recimo NSA razvila nek svoj trojanski program, ki bi se namestil v informacijskem sistemu Novartisa, skopiral njihove strežnike vključno z vsemi patenti, formulami, procedurami za izdelavo zdravil itd. potem pa bi šla dva v črno oblečena uslužbenca NSA s temi podatki do Mercka mislim da se ne dela. Industrijska špijunaža na takem nivoju je kot bi lansiral jedrsko orožje, ker zanesljivo nazaj fašeš enako ali večjo dozo (sledile bi gospodarske sankcije, blokada trgovine...skratka škoda, ki bi se merila v tisočih milijard USD).

Povej mi en dober razlog zakaj tega NSA ali CIA ne bi počeli? Razen romantičnega "smo prijatelji". BTW z zornega kota inštitucij, kot so NSA, CIA ali pa SOVA - koncept prijateljev ne obstaja. Obstajajo trenutni zavezniki, trenutni nasprotniki in potencialni bodoči nasprotniki.

Nič ni resnično vse je dovoljeno.
"Naši dedje so se borili za to, da lahko odločamo
o lastni usodi - ne o usodi drugih ljudi." -jype

AndrejO ::

dronyx je izjavil:

Jaz še vedno ne verjamem, da bi agencije kot je NSA izvajale masovno industrijsko vohunjenjen zato, da bi omogočala neposredno korist ameriškim podjetjem (torej ukradli neke informacije ali industrijsko lastnino ter to neposredno predali ali prodali naprej ameriškim podjetjem). Če nekaj počnejo podizvajalci ali posamezniki to ne štejem kot sprejeto politiko delovanja agencije. Se pa zanesljivo izvaja tudi industrijsko vohunjenje s ciljem zagotavljanja "strateških ciljev ZDA...bla, bla, bla...". S tem pa se potem posredno omogoča ameriškim podjetjem da pridobijo konkurenčno prednost.

Sam med "pridobivanjem konkurenčne prednosti" in "kraja nekih informacij ali industrijske lastnine", ne vidim nikakršne razlike. Samo namerno in usklajeno prikrito delovanje za zaščito interesov domače industrije. Strateški cilj vsake "ozaveščene" države je, da podpira koristi domačih podjetij in jim pomaga doseči njihove načrte. Pa naj si bo to prisluškovanje konkurentom pred sklenitvijo kakšne pogodbe, ali pa prestrezanje notranjih informacij podjetja, da se lahko izniči njegovo konkurenčno prednost. To se preprosto splača.

"The ID [DGSE Intelligence Directorate] is deeply involved in industrial espionage, particularly against the USA. In early 1993 the CIA obtained a long list of the most important DGSE targets in the USA, which included Boeing, among other companies. The DGSE agents were mainly interested int he navigation system of Boeing's new jumbo-jet to pass on to French companies, particularly Airbus Industries."
-- Vir: Espionage, Spies and Secrets; Bennet R.; ISBN 978-0756766399

Sicer pa še več precej zanimivih navedb najdeš tukaj.

Sicer ne poznam tehničnih izrazov, ampak nastavljanje prisluškovalnih naprav na letala Air France? Tale Francija je res simpatična prijateljica. V luči tega, te bi čudilo, če se bi izkazalo, da je DGSE morda zbrala dovolj smetja o slovenskih politikih, da je omogočila zmago Alstoma na kakšnem razpisu?

Kot bi Matthai na tem mestu zlobno pripomnil, saj se naši SOVI verjetno niti ne sanja za kaj se gre...

Sicer ne vem na čigave podizvajalce si meril, vendar pa (proti)obveščevalne agencije redno najemajo "podizvajalce" ravno zato, da se zabriše sled do njih. Pri tem delu se vedno uporabi vsa razpoložljiva sredstva, da se minimizira možnost, da bi kakršna koli preiskava dokazala povezavo nazaj do državnega naročnika. Podizvajalci so v tem poslu zlat standard, ne pa nekaj, kar bi lahko verodostojno odmahnil z roko, rekoč, da to pa že ni NSA/CIA/DGSE/... kriva. Zelo verjetno je, vendar tega ne boš mogel skoraj nikoli dokazati, ker je cilj njihovega obstoja, da se prepreči dokazovanje povezave med naročnikom in dejanjem.

Roadkill ::

dronyx je izjavil:

Lotus Notes je super program in da mi gre na živce sploh ni res. Kar se tiče pa šifriranja sem po spominu nekje bral, da naj bi NSA imela polovico ključa, da so lahko v razumnem času dešifrirali podatke. Meni ni sporno, če ZDA recimo omejijo izvoz neke tehnologije. Sporno pa je, če ima ta tehnologija namerno vgrajen "backdor", ki pa tebi daje potem lažen občutek varnosti. To je pa potem zame umazana igra.


smo malo offtopic: NSA je zahtevala, da ni nobena stvar šifrirana z več kot 40 bitnim ključem, ker so takrat njene kapacitete dopuščale crackanje takih zadev.
IBM je spoštoval to zahtevo, ampak na način, da je ponudil 64bitno enkripcijo s tem, da je NSA dobila prvih 24bitov. To pomeni, da je bil software načeloma malo bolj varen, kot če bi za export ponudili 40bitno šifriranje. Samo NSA je imel upper hand.

Export of cryptography from the United States @ Wikipedia
Ü

dronyx ::

@Roadkill: Ali so kupci takrat vedeli, da ima NSA del ključa? To je zame pomembno, če se gredo transparentno poslovanje, pa ne glede na to, da je bilo teoretično šifriranje bolj varno.

ZaphodBB ::

dronyx je izjavil:

@Roadkill: Ali so kupci takrat vedeli, da ima NSA del ključa? To je zame pomembno, če se gredo transparentno poslovanje, pa ne glede na to, da je bilo teoretično šifriranje bolj varno.

Seveda ne. Transparenca ni niti med top 10 najpomembnejšimi koncepti za obveščevalne agencije. Ne vem a si res tako naiven al trolaš?
"Naši dedje so se borili za to, da lahko odločamo
o lastni usodi - ne o usodi drugih ljudi." -jype

dronyx ::

ZaphodBB je izjavil:

Seveda ne. Transparenca ni niti med top 10 najpomembnejšimi koncepti za obveščevalne agencije. Ne vem a si res tako naiven al trolaš?

Govorim s stališča IBM, ne NSA. Za tako velike firme je transparentno poslovanje po moje pomemben koncept. Če bi se vedelo, da recimo kodo za Microsoftove produkte ali Cisco mrežno opremo delno pišejo na sedežu NSA potem verjemi, da bi marsikdo prekinil poslovanje s temi firmami.

ZaphodBB ::

Govorim s stališča IBM, ne NSA. Za tako velike firme je transparentno poslovanje po moje pomemben koncept. Če bi se vedelo, da recimo kodo za Microsoftove produkte ali Cisco mrežno opremo delno pišejo na sedežu NSA potem verjemi, da bi marsikdo prekinil poslovanje s temi firmami.

Orly? Kaj bi potem kupil Iskrino mrežno opremo? Da prisluškujejo slovenci in predajajo podatke NSA? Huawei? Mogoče kako rusko mrežno opremo? Stop kidding yourself.

IBM in Cisco, pa teh informacij ne bosta razkrila, ker hkrati s takimi zahtevki pride tudi t.i. "gag order" (Gag order) @ Wikipedia, ki ti prepoveduje vsakršno govorjenje o teh zadevah.

Ne me razumet narobe, jaz se ne strinjam s takšnim početjem - ampak se pa zavedam kako stvari laufajo in da NSA bo svoje podatke dobila, pa če se ti na glavo postaviš.
"Naši dedje so se borili za to, da lahko odločamo
o lastni usodi - ne o usodi drugih ljudi." -jype

dronyx ::

ZaphodBB je izjavil:

Ne me razumet narobe, jaz se ne strinjam s takšnim početjem - ampak se pa zavedam kako stvari laufajo in da NSA bo svoje podatke dobila, pa če se ti na glavo postaviš.

To je jasno tudi meni, težko pa sodim za kakšen obseg dejansko gre. Sam sem mnenja, da so za take agencije zlasti atraktivne namerno vgrajene varnostne pomanjkljivosti oziroma "exploit-i", ker se tako ne pusti nekih sledi, omogočajo pa jim da počnejo praktično kar hočejo dokler ni tak exploit odkrit. Zero day? Ha, ha...za koga?

ZaphodBB ::


To je jasno tudi meni, težko pa sodim za kakšen obseg dejansko gre. Sam sem mnenja, da so za take agencije zlasti atraktivne namerno vgrajene varnostne pomanjkljivosti oziroma "exploit-i", ker se tako ne pusti nekih sledi, omogočajo pa jim da počnejo praktično kar hočejo dokler ni tak exploit odkrit. Zero day? Ha, ha...za koga?

Obveščevalne službe se poslužujejo vseh kanalov. Od socialnega inženiringa, do prebiranja časopisov, do uporabe eksploitev in đejms bondovskih likov. Kršenje zakona za njih ne predstavlja nikakršne ovire - razen tega, da povečuje možnost odkritja.

In ravno to - okdkritje in razkritje je glavni strah in sovražnik obveščevalnih služb, ne kršenje takih in drugačnih zakonov in norm.

V digitalni dobi je vohunjenje postalo prekleto enostavna zadeva (v operativnem smislu), če imaš dostop do informacijskih sistemov.
"Naši dedje so se borili za to, da lahko odločamo
o lastni usodi - ne o usodi drugih ljudi." -jype

jype ::

Glavni problem razvoja dogodkov v zadnjih desetih letih je predvsem uporaba zasebnih ponudnikov storitev za vohunjenje in pripadajoča pravna podlaga, ki odpravlja potrebo po nadzoru sodišč in ki tem podjetjem prepoveduje, da bi karkoli glede tega omenila komurkoli.

Če imaš podjetje, pa te pridejo prosit za vpogled v življenje tvojih strank, ne moreš reči ne, pa tudi nikomur drugemu ne smeš ničesar povedat o tem, da je kdorkoli od tebe kaj zahteval, hkrati pa nimaš nobenega zagotovila, da te stranke za takšno početje ne bodo tožile, ker v roki nimaš papirja (naloga sodnika), ki bi ti zagotovil legalnost tvojega početja.

Zgodovina sprememb…

  • spremenilo: jype ()

AndrejO ::

dronyx je izjavil:

ZaphodBB je izjavil:

Seveda ne. Transparenca ni niti med top 10 najpomembnejšimi koncepti za obveščevalne agencije. Ne vem a si res tako naiven al trolaš?

Govorim s stališča IBM, ne NSA. Za tako velike firme je transparentno poslovanje po moje pomemben koncept. Če bi se vedelo, da recimo kodo za Microsoftove produkte ali Cisco mrežno opremo delno pišejo na sedežu NSA potem verjemi, da bi marsikdo prekinil poslovanje s temi firmami.

ZDA so pri temu bizarno razdvojene. Na eni strani imaš podjetja, ki bodo storila vse, da obdržijo tuje trge in so pripravljena vreči velike miljone v to, da se ideje tipa Echelon v kali zatrejo (vedno znova zatrejo). Po drugi strani pa vsake toliko pricurijo ven informacije o kakšnem sodelovanju pod mizo, ki jih ni možno enostavno zavreči.

Francozi so bili v tem mnogo bolj brutalni. Preprosto so prepovedali posest in uporabo šifriranja na svojih tleh. Če si bil pri tem zaloten, si bil nemudoma in brez pardona "sprocesiran". To je pač bila alternativa grajenju računalniških farm, česar si Francija ni mogla privoščiti.

ZaphodBB je izjavil:

IBM in Cisco, pa teh informacij ne bosta razkrila, ker hkrati s takimi zahtevki pride tudi t.i. "gag order" (Gag order) @ Wikipedia, ki ti prepoveduje vsakršno govorjenje o teh zadevah.

Dejansko ne. Ne mešati stvari, ki se delajo po prisilni zakonodaji s stvarmi, ki se delajo prikrito. Kot prvo to niso "zahtevki", temveč "prijateljsko razumevanje". Kot drugo, iz prej navedenega razloga (izguba tujih trgov), je podjetju, ki se odloči tako sodelovati pri obveščevalnih podvigih svoje države, tajnost še celo bolj pomembna, kot pa državi sami.

ZaphodBB je izjavil:


Obveščevalne službe se poslužujejo vseh kanalov. Od socialnega inženiringa, do prebiranja časopisov, do uporabe eksploitev in đejms bondovskih likov. Kršenje zakona za njih ne predstavlja nikakršne ovire - razen tega, da povečuje možnost odkritja.

Seveda se ta zakon krši nekje drugje in v skladu z domačim zakonom. SOVA lahko tako "zakonito" opravlja obveščevalne naloge nekje v tujini, seveda pa samo, če to gledaš skozi lupo slovenske zakonodaje. V ekonomskih interesih preprosto ni prijateljev. So samo konkurenti in najbolj razvite države imajo vedno na voljo soliden obveščevalni aparat, ki ga lahko uporabijo za promocijo lastnih gospodarskih koristi.

GTX970 ::

Invictus je izjavil:

Looooooka je izjavil:

Pustmo dejstvo, da lahko končnemu programu že prek compilerja dodajo backdore in da ti izvorna koda prav nič ne pomaga če nisi sam vsega doma postavil in sam skompajlal.

Prvi prevajalnik za C je imel backdoor vgrajen od samega začetka.

Avtor je to objavil 20 let kasneje.

Tale http://scienceblogs.com/goodmath/2007/0... ?

Potem so novejši programi za prave agencije odprti kot švicarski sir.Linux in odprta koda tu nič ne pomaga.

jype ::

GTX970> Linux in odprta koda tu nič ne pomaga.

To ni res.

GTX970 ::



To ni res.

Do elaborate.

jype ::

GTX970> Do elaborate.

Pomaga, ker jo smeš in moreš pregledati in popraviti. Pa prevajalnik tudi.

Randomness ::

Prvi prevajalnik za C je imel backdoor vgrajen od samega začetka. Avtor je to objavil 20 let kasneje.
A si to malo pobrkljal s The Ken Thompson Hack ali misliš na kaj drugega?

BigD ::

Mislim da če se hoče kak patent ali resen načrt prestavit je to delano osebno, če kdo prestreže človeka imajo diske ki se uničijo, tako kot denar na bankomatih ki se pobarva...

Vem da deluje zelo bond varianta, samo to je edino kjer lahko veš če ti je kdo kaj vzel...

matijadmin ::

Invictus je izjavil:

Looooooka je izjavil:

Pustmo dejstvo, da lahko končnemu programu že prek compilerja dodajo backdore in da ti izvorna koda prav nič ne pomaga če nisi sam vsega doma postavil in sam skompajlal.

Prvi prevajalnik za C je imel backdoor vgrajen od samega začetka.

Avtor je to objavil 20 let kasneje.


Omenjeni prevajalnik ni imel nobenih stranskih vrat. Imel je nenavadno zanko, ki se je tiho reproducirala pri prevajanju lastne kode. Izkazala se je kot povsem neškodljiva šala. Lahko bi pa nekdo na podoben način tudi stranska vrata vgrajeval oz. tako v prevajalniku ohranjal izvršljivi mehanizem za vgradnjo poljubne kode (celo drugih vrst ranljivosti ali šibkosti, ne samo stranskih vrat) v prevedene programe.

Zgodovina sprememb…

vostok_1 ::

vostok_1 ::

PS.



Slo ima 51 - 75% NSA coverage. lol

Zgodovina sprememb…

  • spremenil: vostok_1 ()

jype ::

Ne vem čemu se tako zelo sekiraš. Za resnično varno komunikacijo imaš na voljo resne kriptografske rešitve. Velika podjetja jih praviloma ne uporabljajo predvsem zato, ker jim ni treba - ne glede na to kako zelo učinkovito je industrijsko vohunjenje, se na mednarodnem odru velikih korporacij večina posla dogaja pod budnim očesom pravniških oddelkov (poleg tega da so velike korporacije praviloma v postelji z vsaj eno državo in njihovim obveščevalnim aparatom).

Male ribe hkrati niso zanimive in so tudi veliko bolj fleksibilne pri tehnologiji.

dronyx ::

Zadnji računalniški vdor v Sony Pictures in povzročena škoda dokazuje, da ni vprašanje kako podjetja komunicirajo, ampak tudi kako varujejo svoje podatke oziroma celoten svoj informacijski sistem. Čeprav ukradeni podatki kažejo, da ima v tej firmi vsaj prvih 17 top plačanih managerjev letne zaslužke čez 1 MIO USD očitno za računalniško varnost firma ni znala ustrezno poskrbeti. Sem bil pa pozitivno presenečen, da naj bi ob tem vdoru ameriški FBI poslal ameriškim podjetjem zaupen memo z obvestilom za kakšno nevarnost gre. Da bi pri nas kdo poslal obvestilo o cyber grožnjah še nisem slišal.

V strategiji kibernetske varnosti je celo omenjeno, da naj bi mi dobili po novem kar tri "certe". Poleg sedanjega Si-cer še gov-cert in mors-cert. Mar res to potrebujemo? Slovenija je majhna državica, kjer kompetentnega kadra ni zelo veliko, sploh za tako zahtevno področje kot je računalniška varnost. Zakaj za vraga ne naredijo en močan cert oziroma sedanji Si-cert ustrezno kadrovsko okrepijo in naj potem oni pokrivajo vsa ta področja, po moje tudi strateški del gospodarstva (luka, letališče, elektro distribucija, telekomunikacije, večje firme...). In obveščanje je po moje eden pomembnejših delov zagotavljanja kibernetske varnosti.

Jaz lahko rečem, da nisem dobil do sedaj niti enega samega sporočila od kogarkoli s tega področja! Vse kar izvem je iz medijev, slučajno kje na spletu, ali pa na spletni strani Si-certa.

Zgodovina sprememb…

  • spremenil: dronyx ()
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Vohunske igre: Izraelci vdrli Rusom, ki so vdrli Američanom, ki so vohunili

Oddelek: Novice / Varnost
2910130 (8039) 7982884e
»

Nemška obveščevalna služba tesno sodelovala z NSA

Oddelek: Novice / NWO
3713428 (11263) poweroff
»

Prvi Snowdnov intervju v Rusiji: NSA izvaja industrijsko vohunjenje

Oddelek: Novice / NWO
238640 (5489) Manu
»

NSA vohuni tudi za finančnimi transakcijami

Oddelek: Novice / Zasebnost
4517258 (14198) krneki0001
»

Šifriranje skoraj ni ovira za NSA in GCHQ (strani: 1 2 )

Oddelek: Novice / NWO
6148879 (43404) trizob

Več podobnih tem