Forum » Informacijska varnost » Juniper backdoors
Juniper backdoors
jukoz ::
http://arstechnica.com/security/2015/12...
"An operating system used to manage firewalls sold by Juniper Networks contains unauthorized code that surreptitiously decrypts traffic sent through virtual private networks, officials from the company warned Thursday."
"A separate advisory from Juniper says there are two separate vulnerabilities, but stops short of describing either as "unauthorized code." The first flaw allows unauthorized remote administrative access to an affected device over SSH or telnet. Exploits can lead to complete compromise. "The second issue may allow a knowledgeable attacker who can monitor VPN traffic to decrypt that traffic," the advisory said. "It is independent of the first issue. There is no way to detect that this vulnerability was exploited.""
"article published by Der Spiegel reported that an NSA operation known as FEEDTHROUGH worked against Juniper firewalls and gave the agency persistent backdoor access."
=)
"An operating system used to manage firewalls sold by Juniper Networks contains unauthorized code that surreptitiously decrypts traffic sent through virtual private networks, officials from the company warned Thursday."
"A separate advisory from Juniper says there are two separate vulnerabilities, but stops short of describing either as "unauthorized code." The first flaw allows unauthorized remote administrative access to an affected device over SSH or telnet. Exploits can lead to complete compromise. "The second issue may allow a knowledgeable attacker who can monitor VPN traffic to decrypt that traffic," the advisory said. "It is independent of the first issue. There is no way to detect that this vulnerability was exploited.""
"article published by Der Spiegel reported that an NSA operation known as FEEDTHROUGH worked against Juniper firewalls and gave the agency persistent backdoor access."
=)
SeMiNeSanja ::
Presneto, pa ja niso šele zdaj pokrpali zadevo, ki jo je Snowden objavil že pred celo večnostjo?!?
Velik problem pri Juniperju in podobnih rešitvah je tudi samo nadgrajevanje firmware-a. Marsikatera kišta, ko se jo enkrat postavi, ne doživi več nobene nadgradnje firmware-a, ker uporabniki preprosto ne razumejo, da je treba tudi take naprave posodabljati, čeprav morda s tem ne pridobijo nobenega novega pomembnega fature-a.
Še bolj problematično seveda postane, če je posodabljanje možno zgolj v primeru, da imaš 'maintenance', uporabnik pa smatra, da bi bil maintenance nepotreben strošek....
Velik problem pri Juniperju in podobnih rešitvah je tudi samo nadgrajevanje firmware-a. Marsikatera kišta, ko se jo enkrat postavi, ne doživi več nobene nadgradnje firmware-a, ker uporabniki preprosto ne razumejo, da je treba tudi take naprave posodabljati, čeprav morda s tem ne pridobijo nobenega novega pomembnega fature-a.
Še bolj problematično seveda postane, če je posodabljanje možno zgolj v primeru, da imaš 'maintenance', uporabnik pa smatra, da bi bil maintenance nepotreben strošek....
crniangeo ::
večji problem je, da se prodajalcem tj proizvajalcem gladko je** koliko bugov ima stranka, vazn je da se plačuje nek mesečni pavšal.
stranka pa noče plačevati zblj let za nek kvazi support, ki je nagnjen k spamanju uporbnikov.
Primer : Cisco.
stranka pa noče plačevati zblj let za nek kvazi support, ki je nagnjen k spamanju uporbnikov.
Primer : Cisco.
Convictions are more dangerous foes of truth than lies.
SeMiNeSanja ::
Kar se tega tiče, imam jaz kar mirno vest.
Naše stranke vedo, da za plačilo supporta tudi 'nekaj' dobijo. Pa tudi vsaka podverzija firmware-a prinaša kakšen 'bonbonček', ki stranke še dodatno spodbudi k posodobitvi, tudi če se je noben bugfix direktno ne tiče.
Je pa res, da ne prodajam Cisco opreme.....
Naše stranke vedo, da za plačilo supporta tudi 'nekaj' dobijo. Pa tudi vsaka podverzija firmware-a prinaša kakšen 'bonbonček', ki stranke še dodatno spodbudi k posodobitvi, tudi če se je noben bugfix direktno ne tiče.
Je pa res, da ne prodajam Cisco opreme.....
crniangeo ::
no v tem primeru ok. Bolj sem mel v mislih cisco, ki so res nemogoči kar se tega tiče..
Convictions are more dangerous foes of truth than lies.
jukoz ::
"The Silicon Valley maker of networking gear said it would ship new versions of security software in the first half of this year to replace those that rely on numbers generated by Dual Elliptic Curve technology."
Samo kot zanimivost:
"Though the academic team looking at Juniper has not named a suspect in the 2008, 2012 or 2014 changes, 2008 was one year after veteran cryptographers raised questions about Dual Elliptic Curve."
Ne Juniper ne Reuters s prstom ne kaže na NSA, je pa url novice kar zgovoren in zelo pogumen za Reuters =)
http://www.reuters.com/article/us-spyin...
Samo kot zanimivost:
"Though the academic team looking at Juniper has not named a suspect in the 2008, 2012 or 2014 changes, 2008 was one year after veteran cryptographers raised questions about Dual Elliptic Curve."
Ne Juniper ne Reuters s prstom ne kaže na NSA, je pa url novice kar zgovoren in zelo pogumen za Reuters =)
http://www.reuters.com/article/us-spyin...
Zgodovina sprememb…
- spremenilo: jukoz ()
aleksander10 ::
no v tem primeru ok. Bolj sem mel v mislih cisco, ki so res nemogoči kar se tega tiče..
Taki komentarji na splošno mi gredo res na živce. Raje povej kateri partner ti je dal pomoč, ker verjemi, Cisco ne dela nič direktno z končnimi strankami, razen če si zaposlen v DT, BT, AT&T, etc.
Če ti pa partner ne nudi popore in ti ne pove kaj ti podpora omogoča, ga zamenjaj z drugim. Možnosti imaš mnogo, jokat na forumu je pa brez veze. Povej zadevo vendorju in ne dvomim, da se bodo potrudili.
To velja za vse vendorje in ne samo za Cisco.
Aleksander
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
crniangeo ::
aleksander10 je izjavil:
no v tem primeru ok. Bolj sem mel v mislih cisco, ki so res nemogoči kar se tega tiče..
Taki komentarji na splošno mi gredo res na živce. Raje povej kateri partner ti je dal pomoč, ker verjemi, Cisco ne dela nič direktno z končnimi strankami, razen če si zaposlen v DT, BT, AT&T, etc.
Če ti pa partner ne nudi popore in ti ne pove kaj ti podpora omogoča, ga zamenjaj z drugim. Možnosti imaš mnogo, jokat na forumu je pa brez veze. Povej zadevo vendorju in ne dvomim, da se bodo potrudili.
To velja za vse vendorje in ne samo za Cisco.
Aleksander: govorim o dejstvih, da v kolikor se pri določenih vendorjih pojavi kritičen bug na napravah in izdajo popravek za določen model. Pri nekaterih od teh je potrebno urediti registracijo pri izdelkovem partnerju, ki pa se sklicuje na neke pogodbe in ne vem kaj še vse. Na živce mi gre to, da v kolikor sem 100 kosov izdelkov kupil recimo: pred tremi leti, nisem več upravičen do posodobitev, ker nimam pogodbe s tem partnerjem.
Pri določenih vendorjih pa čisto enostavno pridem do posodobitev brez vmešavanja tretjih strani. Kaj šele, da bi se moral registrirat in uveljavljat pravico do dolpotega posodobitev?
Btw, cisco sem navedel kot primer :)
Convictions are more dangerous foes of truth than lies.
Isotropic ::
a ni NIL znan, da jemlje samo smetano s faksa? dvomim, da bi bili potem slabi.
čeprav je pa res, da vsaka druga firma najraje jemlje samo smetano :)
čeprav je pa res, da vsaka druga firma najraje jemlje samo smetano :)
aleksander10 ::
Aleksander: govorim o dejstvih, da v kolikor se pri določenih vendorjih pojavi kritičen bug na napravah in izdajo popravek za določen model. Pri nekaterih od teh je potrebno urediti registracijo pri izdelkovem partnerju, ki pa se sklicuje na neke pogodbe in ne vem kaj še vse. Na živce mi gre to, da v kolikor sem 100 kosov izdelkov kupil recimo: pred tremi leti, nisem več upravičen do posodobitev, ker nimam pogodbe s tem partnerjem.
Pri določenih vendorjih pa čisto enostavno pridem do posodobitev brez vmešavanja tretjih strani. Kaj šele, da bi se moral registrirat in uveljavljat pravico do dolpotega posodobitev?
Btw, cisco sem navedel kot primer :)
Se lahko delno strinjam. Takrot, ko ti je zaradi cene ali bilokaterega razloga support zdel oveč je bilo super. Takoj ko pa pride do težav, pa je vendor problem, pa partner pa vsi okrog. Podpora je tam z razlogom in ni kar nekaj brezveze. Ko gre nekaj narobe, takrat jo rabiš.
Če ti partner ne more pomagati, se lahko pomoje vedno obrneš na predstavike vendorja in le ti ti lahko pomagajo.
Pri nas bi vsi imeli najboljše super druper, skoraj zatonj, a veš tisto: "nije džabe ni kod stare babe".
a ni NIL znan, da jemlje samo smetano s faksa? dvomim, da bi bili potem slabi.
čeprav je pa res, da vsaka druga firma najraje jemlje samo smetano :)
Vsak ima svoje prednosti in slabosti. Vedno pa je izbira na trgu, koga lahko vzameš. Noben ne sili nikogar, da mora vzeti točno določenega.
Aleksander
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
Zgodovina sprememb…
- spremenilo: aleksander10 ()
SeMiNeSanja ::
Mislim, da so te fore močno odvisne tudi od proizvajalca. Nekateri redki proizvajalci morda svoje partnerje res tako zelo ščitijo, da sploh ne nudijo direktne podpore ampak samo preko partnerja, s katerim si podpisal pogodbo. Pa še ta mora potem proizvajalcu plačati za to, da ga podpirajo pri reševanju tvojih težav.
Za večino proizvajalcev pa se mi zdi, da lahko vzdrževanje za SME rešitve kupiš kjerkoli in nisi vezan na nekoga, s katerim bi imel kakšno posebno pogodbo. Je pa potem spet vprašanje, koliko ti bo lokalni partner na razpolago za 'neumna vprašanja', če boš kupil vzdrževanje preko eBay-a...
Načeloma se mi zdi nesmiselno, da urejaš zahtevnejše tehnične težave preko nekega posrednika, saj ta nikakor ne more sam odpraviti morebitnih bug-ov, ki so privedli do težav. Če težave presegajo nivo znanja/zmožnosti lokalnega partnerja, pa se prične komunikacija podvajati (partner forwardira vprašanja proizvajalcu in nazaj), informacije se izgubljajo,.... reševanje pa poteka počasneje, kot bi moralo, saj zavisi še od ene osebe v kolesju.
Žal marsikdo pozablja preveriti, kako poteka podpora in kakšne opcije so mu na razpolago, predenj se odloči za nakup neke rešitev.
Za večino proizvajalcev pa se mi zdi, da lahko vzdrževanje za SME rešitve kupiš kjerkoli in nisi vezan na nekoga, s katerim bi imel kakšno posebno pogodbo. Je pa potem spet vprašanje, koliko ti bo lokalni partner na razpolago za 'neumna vprašanja', če boš kupil vzdrževanje preko eBay-a...
Načeloma se mi zdi nesmiselno, da urejaš zahtevnejše tehnične težave preko nekega posrednika, saj ta nikakor ne more sam odpraviti morebitnih bug-ov, ki so privedli do težav. Če težave presegajo nivo znanja/zmožnosti lokalnega partnerja, pa se prične komunikacija podvajati (partner forwardira vprašanja proizvajalcu in nazaj), informacije se izgubljajo,.... reševanje pa poteka počasneje, kot bi moralo, saj zavisi še od ene osebe v kolesju.
Žal marsikdo pozablja preveriti, kako poteka podpora in kakšne opcije so mu na razpolago, predenj se odloči za nakup neke rešitev.
aleksander10 ::
SeMiNeSanja je izjavil:
Mislim, da so te fore močno odvisne tudi od proizvajalca. Nekateri redki proizvajalci morda svoje partnerje res tako zelo ščitijo, da sploh ne nudijo direktne podpore ampak samo preko partnerja, s katerim si podpisal pogodbo. Pa še ta mora potem proizvajalcu plačati za to, da ga podpirajo pri reševanju tvojih težav.
Za večino proizvajalcev pa se mi zdi, da lahko vzdrževanje za SME rešitve kupiš kjerkoli in nisi vezan na nekoga, s katerim bi imel kakšno posebno pogodbo. Je pa potem spet vprašanje, koliko ti bo lokalni partner na razpolago za 'neumna vprašanja', če boš kupil vzdrževanje preko eBay-a...
Načeloma se mi zdi nesmiselno, da urejaš zahtevnejše tehnične težave preko nekega posrednika, saj ta nikakor ne more sam odpraviti morebitnih bug-ov, ki so privedli do težav. Če težave presegajo nivo znanja/zmožnosti lokalnega partnerja, pa se prične komunikacija podvajati (partner forwardira vprašanja proizvajalcu in nazaj), informacije se izgubljajo,.... reševanje pa poteka počasneje, kot bi moralo, saj zavisi še od ene osebe v kolesju.
Žal marsikdo pozablja preveriti, kako poteka podpora in kakšne opcije so mu na razpolago, predenj se odloči za nakup neke rešitev.
Ja to res do neke mere drži. Hudič je, ker lokalni IT ljudje včasih ne znajo razložiti kaj bi lahko bil problem (v maternem jeziku), kaj šele v tujem. V tem primeru pa partnerji lahko veliko oddelajo. In takozvanih IT ljudi veliko po našil podjetjih. Redki so tisti , ki imajo znanje.
Aleksander
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
SeMiNeSanja ::
Pri teh zgodbah imaš tudi varianto, ki se ji reče 'MSSP' - Managed security Services Provider. V teh primerih pogosto niti nisi postal lastnik varnostne rešitve, temveč rešitev najameš skupaj z njeno implementacijo in vzdrževanjem. Tu je potem še kako pomembno, da imaš nek urejen (pogodbni) odnos z MSSP ponudnikom.
Ti MSSP aranžmaji so zlasti primerni za stranke, ki same nimajo ne znanja, ne osebja, da bi se ukvarjali z varnostjo.
Tak MSSP aranžman pa vsekakor mora vključevati tudi sprotno posodabljanje opreme, ne glede na to, če si ali nisi njen lastnik.
Ti MSSP aranžmaji so zlasti primerni za stranke, ki same nimajo ne znanja, ne osebja, da bi se ukvarjali z varnostjo.
Tak MSSP aranžman pa vsekakor mora vključevati tudi sprotno posodabljanje opreme, ne glede na to, če si ali nisi njen lastnik.
jukoz ::
aleksander10> Ja to res do neke mere drži. Hudič je, ker lokalni IT ljudje včasih ne znajo razložiti kaj bi lahko bil problem (v maternem jeziku), kaj šele v tujem. V tem primeru pa partnerji lahko veliko oddelajo. In takozvanih IT ljudi veliko po našil podjetjih. Redki so tisti , ki imajo znanje.
Problem kot ga vidim jaz je v tem, da se večina ljudji, ki se ukvarja z varnostjo, s tem ukvarja povsem slučajno, ker jih je usoda porinila tja. Lahko bi se ukvarjali tudi s servisiranjem bele tehnike.
Občutek imam, da večinoma samo preletijo sporočila vendorjev in če se jim slučajno zazdi o tem obvestijo tudi kakšnega admina pri stranki.
Delajo kot prodajalci opreme, ne spremljajo kaj se dogaja na tem področju in rinejo samo preizkušene rešitve (kar običajno pomeni PPTP - samo pomislite kolikokrat ga srečate - ker ga je najlažje skonfigurirat?). Seveda, delajo to od česar so plačani.
Problem je pa tudi v adminih, ki so vsi srečni takoj ko se omeni Cisco (dandaes tudi Mikrotik), ker to pomeni da lahko za vse težave tega sveta rečejo "Cisco neki šteka" in bo management tiho, ker so zanj plačali preveč da bi se kvaril. No, lahko je tudi Juniper.
Ima kdo kakšne praktične izkušnje, so kje menjali Cisco s čim drugim odkar je Snowden povedal kaj se dogaja? Je kdo že updatal Juniperja? Ima kdo plan to menjat?
Bi bilo super če bi tile backdoori povzročili vsaj to, da se trg malo razbije in da se začne uporabljati rešitve več proizvajalcev in s tem bolj temeljito sledenje standardom.
Problem kot ga vidim jaz je v tem, da se večina ljudji, ki se ukvarja z varnostjo, s tem ukvarja povsem slučajno, ker jih je usoda porinila tja. Lahko bi se ukvarjali tudi s servisiranjem bele tehnike.
Občutek imam, da večinoma samo preletijo sporočila vendorjev in če se jim slučajno zazdi o tem obvestijo tudi kakšnega admina pri stranki.
Delajo kot prodajalci opreme, ne spremljajo kaj se dogaja na tem področju in rinejo samo preizkušene rešitve (kar običajno pomeni PPTP - samo pomislite kolikokrat ga srečate - ker ga je najlažje skonfigurirat?). Seveda, delajo to od česar so plačani.
Problem je pa tudi v adminih, ki so vsi srečni takoj ko se omeni Cisco (dandaes tudi Mikrotik), ker to pomeni da lahko za vse težave tega sveta rečejo "Cisco neki šteka" in bo management tiho, ker so zanj plačali preveč da bi se kvaril. No, lahko je tudi Juniper.
Ima kdo kakšne praktične izkušnje, so kje menjali Cisco s čim drugim odkar je Snowden povedal kaj se dogaja? Je kdo že updatal Juniperja? Ima kdo plan to menjat?
Bi bilo super če bi tile backdoori povzročili vsaj to, da se trg malo razbije in da se začne uporabljati rešitve več proizvajalcev in s tem bolj temeljito sledenje standardom.
Zgodovina sprememb…
- spremenilo: jukoz ()
Invictus ::
Zakaj bi menjal opremo za katero si dal cel kup denarja za nekoga drugega, ki ima skoraj gotovo tudi vgrajene backdoore ?
Kot recimo Huawei. Avstralska vlada je prepovedala Huaweju sodelovati na javnih razpisih, ker so jih dobili da duplicirajo promet in ga pošiljajo na Kitajsko.
Kot recimo Huawei. Avstralska vlada je prepovedala Huaweju sodelovati na javnih razpisih, ker so jih dobili da duplicirajo promet in ga pošiljajo na Kitajsko.
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
aleksander10 ::
SeMiNeSanja je izjavil:
Pri teh zgodbah imaš tudi varianto, ki se ji reče 'MSSP' - Managed security Services Provider. V teh primerih pogosto niti nisi postal lastnik varnostne rešitve, temveč rešitev najameš skupaj z njeno implementacijo in vzdrževanjem. Tu je potem še kako pomembno, da imaš nek urejen (pogodbni) odnos z MSSP ponudnikom.
Ti MSSP aranžmaji so zlasti primerni za stranke, ki same nimajo ne znanja, ne osebja, da bi se ukvarjali z varnostjo.
Tak MSSP aranžman pa vsekakor mora vključevati tudi sprotno posodabljanje opreme, ne glede na to, če si ali nisi njen lastnik.
Načelom je vseeno kako takemu servisu rečeš in ai si lastnik opreme ali jo najemaš. Bistvo je drugje. Potrebno je razumeti kaj je potrebno ščititi, kako bomo to naredili in kako preverjali (na vseh nivojih) in ob tem imeli zanesljivega partnerja, ki bo znal svetovati in pomagati pri tem. Pogodbeni odnos je pomemben v vsakem primeru, ali najemaš rešitev ali pa kupiš rešitev in ti jo nekdo vzdržuje, spreminja, itd.
Aleksander
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
jukoz ::
Zakaj bi menjal opremo za katero si dal cel kup denarja za nekoga drugega, ki ima skoraj gotovo tudi vgrajene backdoore ?
Kot recimo Huawei. Avstralska vlada je prepovedala Huaweju sodelovati na javnih razpisih, ker so jih dobili da duplicirajo promet in ga pošiljajo na Kitajsko.
Ker v primeru da imaš Juniperjevo opremo, je namenoma luknjasta (sej si prebral novico tu ali pa Wiredov članek?) in omogoča napade tudi drugim.
Za Avstralce (in vse ostale) pa čakam kdaj bodo prepovedali še Juniperjevo opremo. Predvidevam da nikoli, ker so NSA dobri, Kitajci pa hudobni. Spomni se kaj se je zgodilo ko je Snowden objavil da se prisluškuje EU komisiji (s strani Angležev), pa Merklovi, pa ... Nič se ni zgodilo. Vsi smo prijatelji.
Poldi112 ::
Zakaj bi menjal opremo za katero si dal cel kup denarja za nekoga drugega, ki ima skoraj gotovo tudi vgrajene backdoore ?
Kot recimo Huawei. Avstralska vlada je prepovedala Huaweju sodelovati na javnih razpisih, ker so jih dobili da duplicirajo promet in ga pošiljajo na Kitajsko.
Link?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
SeMiNeSanja ::
aleksander10 je izjavil:
Načelom je vseeno kako takemu servisu rečeš in ai si lastnik opreme ali jo najemaš. Bistvo je drugje. Potrebno je razumeti kaj je potrebno ščititi, kako bomo to naredili in kako preverjali (na vseh nivojih) in ob tem imeli zanesljivega partnerja, ki bo znal svetovati in pomagati pri tem. Pogodbeni odnos je pomemben v vsakem primeru, ali najemaš rešitev ali pa kupiš rešitev in ti jo nekdo vzdržuje, spreminja, itd.
Moje navajanje se je nanašalo na sam postopek podaljšanja licenc/vzdrževanja vendorja, ki lahko poteka drugače, če imaš napravo najeto v sklopu celovite storitve (pričakuješ, da to ureja pogodbenik v sklopu svoje storitve). Seveda v tem primeru potrebuješ nekakšno pogodbo z izvajalcem, če je oprema njegova.
Kar se pa tiče ostalega pa moraš za security najprej križemkražem čez cel IT, da si nabereš izkušnje z vsem, kar po mrežah straši od Windows pa do Linuxa, takih in drugačnih serverjev in odjemalcev. Ne rabiš biti nujno ekspert za posamezno področje, škoduje pa tudi ne. Security je interdisciplinarno področje. Če ne veš, kako deluje neka zadeva, jo tudi ne moreš varovati. Če nastopijo kje težave, moraš znat sklepat od kje lahko prihajajo - kar pa je nemogoče brez konkretnih izkušenj.
Konfiguriranje 'škatle' se lahko naučiš v parih dnevih. Greš na izpit in si 'certificiran' - pa s tem še nič ne znaš, če nimaš osnov.
Za neko konkretno postavitev pa moraš tudi imeti vpogled v organizacijo podjetja, vedeti kdo je kdo, kdo uporablja kakšne aplikacije in orodja, poznat varnostno politiko podjetja, jim znat tudi predlagat kakšen popravek,....
Pa še se z vsako postavitvijo nekaj novega naučiš. Če bi dvakrat postavljal, bi drugič verjetno precej drugače postavil zadeve. Potem pa pridejo še vse novotarije, ki jih neka tehnologija, ki jo uporabljaš, prinaša s seboj. Tehnologija se kar precej razvija. Danes se ne more primerjati s tem, kar se je uporabljalo deset let nazaj. Idealno je, če se igraš že z beta verzijami, da si pripravljen na vse muhe in fore, ki jih neki novi feature prinaša s seboj že na sam dan, ko to postane razpoložljivo za javnost.
Dan pa ima samo 24 ur....
jukoz ::
No, vidiš. Pol pa hitro ugotoviš da brez internega IT oddelka ne bo šlo, saj zunanji ne morejo poznati delovanja podjetja in vseh zahtev uporabnikov. No, ok, lahko so tudi zunanji. Ampak vseeno visijo na firmi 24 ur na dan.
aleksander10 ::
Zakaj bi menjal opremo za katero si dal cel kup denarja za nekoga drugega, ki ima skoraj gotovo tudi vgrajene backdoore ?
Kot recimo Huawei. Avstralska vlada je prepovedala Huaweju sodelovati na javnih razpisih, ker so jih dobili da duplicirajo promet in ga pošiljajo na Kitajsko.
Link?
Samo v google daj "australian government bans huawei" pa boš dobil mnogo articlov, ki ti opisujejo zadevo (iz različnih kotov)
Aleksander
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
SeMiNeSanja ::
Pa sej so podobne zgodbe v preteklosti tudi že imeli z US vlado. Tu sicer ni prišlo do direktnega bana, so pa izdali warning, kar tudi ravno ne koristi poslu...
Poldi112 ::
aleksander10 je izjavil:
Zakaj bi menjal opremo za katero si dal cel kup denarja za nekoga drugega, ki ima skoraj gotovo tudi vgrajene backdoore ?
Kot recimo Huawei. Avstralska vlada je prepovedala Huaweju sodelovati na javnih razpisih, ker so jih dobili da duplicirajo promet in ga pošiljajo na Kitajsko.
Link?
Samo v google daj "australian government bans huawei" pa boš dobil mnogo articlov, ki ti opisujejo zadevo (iz različnih kotov)
To da avstralska vlada blokira Huawei ni sporno. Sporna je tvoja trditev, da:
so jih dobili da duplicirajo promet in ga pošiljajo na Kitajsko.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
aleksander10 ::
SeMiNeSanja je izjavil:
Kar se pa tiče ostalega pa moraš za security najprej križemkražem čez cel IT, da si nabereš izkušnje z vsem, kar po mrežah straši od Windows pa do Linuxa, takih in drugačnih serverjev in odjemalcev. Ne rabiš biti nujno ekspert za posamezno področje, škoduje pa tudi ne. Security je interdisciplinarno področje. Če ne veš, kako deluje neka zadeva, jo tudi ne moreš varovati. Če nastopijo kje težave, moraš znat sklepat od kje lahko prihajajo - kar pa je nemogoče brez konkretnih izkušenj.
Za neko konkretno postavitev pa moraš tudi imeti vpogled v organizacijo podjetja, vedeti kdo je kdo, kdo uporablja kakšne aplikacije in orodja, poznat varnostno politiko podjetja, jim znat tudi predlagat kakšen popravek,....
No to sem že prej trdil, da je potrebno na varnost gledati povsod, tudi na fizično varovanje, ki ga nekateri tudi zanemarjajo. Drugače se pa strinjam, poznati moraš čim več (ni nujno globoko), da lahko sestaviš kaj boš varoval in na kakšen način in kako boš preverjal in posodabljal.
To da avstralska vlada blokira Huawei ni sporno. Sporna je tvoja trditev, da:
so jih dobili da duplicirajo promet in ga pošiljajo na Kitajsko.
No malo si se zmotil. Ni bila moja trditev.
Drugače je pa znano, da Huawai zna "podkupovati", kar so naredili na Telekom Austria, pa so jih zaradi tega ven vrgli. Sicer so zanikali, a v TA so jih izločili iz RFP-ja.
Aleksander
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
Zgodovina sprememb…
- spremenilo: aleksander10 ()
SeMiNeSanja ::
Podkupovanja pa mora biti v IT-ju toliko, da se ven ne vidiš.
Jaz lahko edino zase dam roko v ogenj, da nisem še nikogar podkupil, za drugega pa jo za niti enega ne dam.
Tudi če sem pa tja koga kdaj ujamejo s prtom v loncu z marmelado, je to zgolj vrh ledene gore.
Pri nas pa takointako ni da bi govoril. Še onega Jakliča in kompanjona so spustili, kar je bil eden od redkih primerov, da je kakšna zadeva sploh prišla do sodišča. Kdor zato verjame, da podkupovanja ni, ta verjame še v vse kaj drugega, kot v brezmadežno spočetje...
Jaz lahko edino zase dam roko v ogenj, da nisem še nikogar podkupil, za drugega pa jo za niti enega ne dam.
Tudi če sem pa tja koga kdaj ujamejo s prtom v loncu z marmelado, je to zgolj vrh ledene gore.
Pri nas pa takointako ni da bi govoril. Še onega Jakliča in kompanjona so spustili, kar je bil eden od redkih primerov, da je kakšna zadeva sploh prišla do sodišča. Kdor zato verjame, da podkupovanja ni, ta verjame še v vse kaj drugega, kot v brezmadežno spočetje...
jukoz ::
Haha, zdej si pa Jakliča najdu - sej pri njemu je znano da je Vzajemna preplačala S&T za 550k€, ravno toliko pa so S&T firme po balkanu plačale Jakliču. Povsem naključno.
twom ::
SeMiNeSanja je izjavil:
Tudi če sem pa tja koga kdaj ujamejo s prtom v loncu z marmelado, je to zgolj vrh ledene gore.Najdejo tistega ki ga želijo na ta način izločiti, država ali konkurenca, pač vse v povezavi s politiko...
Invictus ::
Zakaj bi menjal opremo za katero si dal cel kup denarja za nekoga drugega, ki ima skoraj gotovo tudi vgrajene backdoore ?
Kot recimo Huawei. Avstralska vlada je prepovedala Huaweju sodelovati na javnih razpisih, ker so jih dobili da duplicirajo promet in ga pošiljajo na Kitajsko.
Link?
Nekje konec leta 2011. Ne bom iskal. Sem pač takrat tam delal.
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Poldi112 ::
No, jaz sem iskal, pa nisem našel. Tako da mirno rečem bullshit. Ali pa, jasno, link. Vse kar je so izjave raznih šefon nsa o tem, kar pa že vemo, da je traparija.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Poldi112 ::
Takih linkov je polno. Vse, kar pove je, da določene vlade nočejo kitajske network robe, ker ji ne zaupajo. Kar itak že vemo, s tem da večina vidi skozi bullshit NSA, sploh po snowsnovih odkritjih.
Daj mi en relevanten link, kjer so dejansko dobili kitajce, da imajo/izkoriščajo backdoor.
Daj mi en relevanten link, kjer so dejansko dobili kitajce, da imajo/izkoriščajo backdoor.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
jukoz ::
Takih linkov je polno. Vse, kar pove je, da določene vlade nočejo kitajske network robe, ker ji ne zaupajo. Kar itak že vemo, s tem da večina vidi skozi bullshit NSA, sploh po snowsnovih odkritjih.
Daj mi en relevanten link, kjer so dejansko dobili kitajce, da imajo/izkoriščajo backdoor.
Glede tega pa samo NSA ter njihove nemške in ameriške kolege najdem =)
SeMiNeSanja ::
Žal je tako, da pri teh zadevah zelo veliko pomeni zaupanje v neki proizvod/proizvajalca. To zaupanje pa je na security področju po Snowdenu izredno krhko in se z vedno novimi razkritji še dodatno krha.
Koneckoncev tudi niso nikoli ujeli NSA s prstom v loncu, da bi lahko rekli "IP naslov xxx.xxx.xxx.xxx je bil dne dd.mm.ll prisesan na naj Juniper firewall in iz naše mreže kradel zaupne podatke". Vsaj jaz nisem zasledl takšnega članka. Vedno se je zgolj govorilo o MOŽNOSTI. Se strinjam, da so to možnost pri Juniperju potem raziskovalci tudi dokazali, pri Huaweiu pa ne (vsaj ne da bi vedel).
Ampak varnostne službe nebi bile varnostne službe, če nebi ocenjevale tveganje - koneckoncev je tudi to del njihovega dela. Sicer pa lahko vsak od nas logično sklepa. Vsi vemo, da kitajci niso neumni ali 'za luno'. Če lahko američani vgradijo backdoor v svoje proizvode, je to na kitajskem še toliko lažje, ker je takointako vse podrejeno partiji. Samo idiot pa lahko pomisli, da kitajci tehnično nebi bili sposobni vgraditi backdoor v svoje proizvode.
Na koncu se za trezno razmišljajočega lahko izkristalizira samo vprašanje "Ali si kitajci res želijo vgraditi backdoor"? Tu pa se lahko dolgo prepiramo. Poslovno gledano, si to noben proizvajalec ne želi, saj bi dokazan backdoor lahko zelo slabo vplival na poslovanje. Po drugi strani pa imaš opravka z lakomnostjo po informacijah. Vprašanje je samo kateri interes prevlada.
Kljub temu pa se je treba zavedati, da je nek proizvod lahko 10 let 'brezmadežen', potem pa en sam update vse postavi na glavo. Torej bo dober strateg najprej poskrbel za čim večjo razširjenost nekega proizvoda (brez backdoora). Ko se je enkrat v dovoljšni meri infiltriral, pa lahko aktivira backdoor.
Mi načeloma o backdoor-ih razmišljamo kot o nekem portu, ki je ves čas odprt in čaka, da se bo nekdo priklopil nanj. Vendar se da backdoor implementirati tudi tako, da ga aktiviramo samo na nekem določenem routerju ali drugi napravi preko posodobitve neke od signatur (IPS, AV,....). Te signature se vsakih nekaj ur preverjajo in bi lahko vanje skrili seznam naprav, na katerih naj se aktivira backdoor. Lahko bi celo definirali IP naslov, s katerega naj bo dostopen, medtem ko bo za vse ostale neviden. Pa potem poskusi ujeti nekoga, ki hoče priti do tvojih podatkov. Nazadnje bi potreboval firewall, da boš ščitil firewall, ki ščiti firewall - vsak seveda od drugega proizvajalca....
Znanstvena fantastika? Kdo ve.... ask Snowden?
Koneckoncev tudi niso nikoli ujeli NSA s prstom v loncu, da bi lahko rekli "IP naslov xxx.xxx.xxx.xxx je bil dne dd.mm.ll prisesan na naj Juniper firewall in iz naše mreže kradel zaupne podatke". Vsaj jaz nisem zasledl takšnega članka. Vedno se je zgolj govorilo o MOŽNOSTI. Se strinjam, da so to možnost pri Juniperju potem raziskovalci tudi dokazali, pri Huaweiu pa ne (vsaj ne da bi vedel).
Ampak varnostne službe nebi bile varnostne službe, če nebi ocenjevale tveganje - koneckoncev je tudi to del njihovega dela. Sicer pa lahko vsak od nas logično sklepa. Vsi vemo, da kitajci niso neumni ali 'za luno'. Če lahko američani vgradijo backdoor v svoje proizvode, je to na kitajskem še toliko lažje, ker je takointako vse podrejeno partiji. Samo idiot pa lahko pomisli, da kitajci tehnično nebi bili sposobni vgraditi backdoor v svoje proizvode.
Na koncu se za trezno razmišljajočega lahko izkristalizira samo vprašanje "Ali si kitajci res želijo vgraditi backdoor"? Tu pa se lahko dolgo prepiramo. Poslovno gledano, si to noben proizvajalec ne želi, saj bi dokazan backdoor lahko zelo slabo vplival na poslovanje. Po drugi strani pa imaš opravka z lakomnostjo po informacijah. Vprašanje je samo kateri interes prevlada.
Kljub temu pa se je treba zavedati, da je nek proizvod lahko 10 let 'brezmadežen', potem pa en sam update vse postavi na glavo. Torej bo dober strateg najprej poskrbel za čim večjo razširjenost nekega proizvoda (brez backdoora). Ko se je enkrat v dovoljšni meri infiltriral, pa lahko aktivira backdoor.
Mi načeloma o backdoor-ih razmišljamo kot o nekem portu, ki je ves čas odprt in čaka, da se bo nekdo priklopil nanj. Vendar se da backdoor implementirati tudi tako, da ga aktiviramo samo na nekem določenem routerju ali drugi napravi preko posodobitve neke od signatur (IPS, AV,....). Te signature se vsakih nekaj ur preverjajo in bi lahko vanje skrili seznam naprav, na katerih naj se aktivira backdoor. Lahko bi celo definirali IP naslov, s katerega naj bo dostopen, medtem ko bo za vse ostale neviden. Pa potem poskusi ujeti nekoga, ki hoče priti do tvojih podatkov. Nazadnje bi potreboval firewall, da boš ščitil firewall, ki ščiti firewall - vsak seveda od drugega proizvajalca....
Znanstvena fantastika? Kdo ve.... ask Snowden?
jukoz ::
http://arstechnica.com/security/2016/07...
Here we go again...
"The company rated the risk level of VPN weakness "medium" compared with "high" for several of the other vulnerabilities."
=)
Here we go again...
"The company rated the risk level of VPN weakness "medium" compared with "high" for several of the other vulnerabilities."
=)
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Huawei se pripravlja na katastrofo (strani: 1 2 3 4 )Oddelek: Novice / Android | 52139 (38052) | Poldi112 |
| » | Huaweijeva finančna direktorica Meng Wanzhou bo na odločitev počakala na prostostiOddelek: Novice / Ostale najave | 5450 (2338) | MrStein |
| » | Cisco z rekordnim dobičkom odpušča osem odstotkov zaposlenih (strani: 1 2 )Oddelek: Novice / Rezultati | 20262 (17114) | Mr.B |
| » | Juniper odkril podtaknjena stranska vrata v svojih napravah (strani: 1 2 )Oddelek: Novice / NWO | 28624 (24168) | AC_DC |
| » | Podrobnosti o Juniperjevih stranskih vratihOddelek: Novice / Varnost | 4711 (3135) | čuhalev |