Ars Technica - Kot smo že pisali, bo čez dva tedna brskalnik Chrome začel nekoliko bolj kričeče označevati spletne strani, ki še niso prešle na naslov https z veljavnim TLS certifikatom. Na spletni strani Ars Technica so se pred dnevi nekoliko ozrli naokoli in ugotovili, da se s prehodom ne mudi niti nekaterim velikim medijskim družbam. BBC je ta prehod sicer opravil nedavno, so pa med zamudniki tudi take družbe, kot so Fox News, Time in Newsweek.
Znano je, da take strani Google že nekaj časa razvršča nižje pri prikazovanju zadetkov svojega iskalnika, predvsem pa je problematična varnostna vrzel med spletno stranjo in uporabnikom, saj lahko nepridipravi vanjo z BGP napadi vnesejo tudi zlonamerne vsebine, med katerimi so še najbolj nedolžni lažni oglasi ali lažne novice.
Kaj pa v Sloveniji? Če pobrskamo med svojimi medijskimi zaznamki, je verjetno največja hiša, ki še ni prešla na šifrirane povezave RTV Slovenija. Med manjšimi pa smo našli denimo Požareport, Demokracijo in Nova24. So pa na Rtvslo varnostno opremljene vsaj strani, na katerih se pretakajo občutljivi podatki, denimo za registracijo in upravljanje profila. Pa Požarreportu in Demokraciji niti tam ne, medtem ko Nova24 sploh nima take opcije.
Opažam, da tudi dosti spletnih trgovin uporablja nešifrirane povezave pri registraciji in prav tako pri login-ih oz. pri oddaji naročil. Nekatere izmed teh trgovin pa se nahajajo na strežnikih v ZDA.
Ta beta stran rtvslo je bolj tako tako ... že na mesece se je nihče ni dotaknil. Sem pol leta nazaj komentiral par UX odločitev, pa je vse ostalo enako. Tudi margin pri spodnjih novicah ni popravljen, tako da sklepam, da ta projekt ne gre nikamor. Pač nekdo je kupil temo, povezal novice in pustil.
Kot smo že pisali, bo čez dva tedna brskalnik Chrome začel nekoliko bolj kričeče označevati spletne strani, ki še niso prešle na naslov https z veljavnim TLS certifikatom.
Dajmo najprej definirati kaj pomeni "prehod na HTTPS", da ne bo potem nepotrebnega ugibanja. To pomeni, da bo vsak zahtevek, ki bo uporabljal protokol HTTP avtomatično preusmerjen na protokol HTTPS. Kako bo preusmerjen, tako, da bo strežnik z uporabo nezavarovanega protokola HTTP odgovoril kam naj odjemalec pošlje nov zahtevek.
Nevidno za uporabnika, vendar še kako zelo relevantno za varnost.
Znano je, da take strani Google že nekaj časa razvršča nižje pri prikazovanju zadetkov svojega iskalnika, predvsem pa je problematična varnostna vrzel med spletno stranjo in uporabnikom, saj lahko nepridipravi vanjo z BGP napadi vnesejo tudi zlonamerne vsebine, med katerimi so še najbolj nedolžni lažni oglasi ali lažne novice.
Ta varnostna vrzel ostaja še naprej, ker lahko prestrežem prvotni HTTP zahtevek in uporabnika preusmerim na lastno domeno in HTTPS protokol, če se za to odločim.
So pa na Rtvslo varnostno opremljene vsaj strani, na katerih se pretakajo občutljivi podatki, denimo za registracijo in upravljanje profila.
Neuporabno, ker na takšno stran prideš s klikom povezave na nezavarovani strani. Ergo, če se gremo MiTM napade, potem ti jaz tisto povezavo v dokumentu zamenjam s svojo povezavo in tako poberem tvoje podatke za prijavo.
Za 24 ur ni problema - ker že sami širijo lažne novice
V Sloveniji je vse, kar ima v imenu 24 (ali analogijo kakca oz. kanalizacije), fake news, it seems. In tega kar mrgoli.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Mene mediji ne zanimajo tako zelo, kot me zanimajo razne ".gov" strani. Ajpes, FURS ipd, s katerimi so večne težave in križi ob vsaki nadgradnji. Zadnjič naša računovodkinja nekaj dni ni mogla oddati nekega poročila (žal so mi detajli ušli iz spomina), pojasnilo je bilo, da se zavedajo težave in da odpravljajo. Odpravljajo pa navadno zadnji hip ali pa celo z zamudo, nikoli pa mesece pred znanim datumom spremembe.
Mene mediji ne zanimajo tako zelo, kot me zanimajo razne ".gov" strani. Ajpes, FURS ipd, s katerimi so večne težave in križi ob vsaki nadgradnji. Zadnjič naša računovodkinja nekaj dni ni mogla oddati nekega poročila (žal so mi detajli ušli iz spomina), pojasnilo je bilo, da se zavedajo težave in da odpravljajo. Odpravljajo pa navadno zadnji hip ali pa celo z zamudo, nikoli pa mesece pred znanim datumom spremembe.
Razlog za to je sila preprost: da se proračun obremeni čim kasneje, po možnosti med mandatom svojega naslednika, ki bo potem kriv za vse.
Glede na to kako hitro lahko vzpostavis Let's Encrypt na vseh popularnih spletnih streznikih skoraj ni razloga da strani z vsaj nekaj obiskovalci ne bi vklopile tega.
Kot je ze bilo omenjeno v komentarjih podobne novice nedolgo nazaj, potrebovali bi precej opazno razliko med stranjo, ki uporablja SSL, ter stranjo, ki je vredna zaupanja (npr. PayPal, Amazon, itd.). Uporabnikom se ze nekaj let govori, da kljukica pomeni varno povezavo, kar pa je dokaj brezpredmetno sedaj, ko jo ima ze vsaka stran. Naziv podjetja pri EV certifikatih ni dovolj poudarjen, da bi ljudje opazili razliko.
Najbolj hecno je to, da se dela cirkus glede tega, če bo neka statična spletna stran z nepomembno vsebino kriptirana ali ne - istočasno pa se nihče ne obregne ob to, da se večina naših ljubih (ID-)IoT naprav krmili preko nekriptiranega HTTP.
Koliko vaših spletnih kamer, pa celo routerjev(!?!) ne podpira HTTPS in ste jih prisiljeni upravljati preko HTTP?
Prava reč, če je 24kur preko kriptiranega linka. Raje naj bo krmiljenje bajte preko kriptirane povezave, da ti ne bo vsak tepec mogel ukrasti gesla, ko boš preveril, če se je doma klima prižgana.
Google res tako zelo skrbi naša zasebnost? Dvomim. Prodaja naših zasebnih informacij je ja njihov core business. Jim pa pride prav HTTPS, da lažje nagajajo kakšnemu potencialnemu konkurentu.
In ste sploh že nared za HTTPS everywhere? Imate opremo, ki bo zaznala malware v kriptiranem prometu.....ali se boste zanašali samo na lokalno nameščeni AV, ki ponavadi grožnje zaznava šele potem, ko je že prepozno (Murphy&Co)? Ravno danes videl neko omembo, da je lani bilo okoli 70% malware-a posredovanega preko kriptiranih povezav. Ta odstotek bo samo še naraščal. Ščitimo se pa kako? Tako da vpijemo, da bog ne daj delat MITM 'napada' na naš lastni promet?
Veliko je tega, kar bi morali prej postoriti, predno se v brskalnikih očrni HTTP kot apriori nevaren način komunikacije. Predvsem na področju ozaveščanja bi morali veliko naresti, da bi ljudje sploh razumeli v čem je problem. Tako pa dejansko vsakdo vidi samo svojo plat problema, zelo malo kdo pa celovito - četudi je 'strokovnjak'.
Hinavsko je tudi, da se dela takšna gonja proti HTTP, medtem ko se molči o drugih protokolih, ki so ravno tako brez enkripcije.
Tudi nakladanje, da letsencrypt rečuje ves problem z certifikati ne drži. Že res, da se lahko do neke mere avtomatizira proces posodabljanja certifikatov - na sodobnih spletnih strežnikih. Kaj pa vse ostale naprave? Routerji, požarne pregrade, .....?
Mogoče so stvar že poenostavili, ali pa je bil problem na implementatorju... nazadnje ko sem nekomu moral odpirat porte za tak postopek samodejnega posodabljanja certifikata, je zadeva harala okoli po nevem koliko domenah, katerim sem moral dovoliti dostop. Web server v DMZ nima kaj vzpostavljat outgoing povezav in je treba vsako tako dodajat kot izjemo. Če proces ni 'clean' in se povezuje na cel niz domen, dela dejansko več zgage kot koristi.
Potem so tu še problemi z wildcard certi za domeno.....in to takimi, ki jih nebi rabil obnavljat vsake 3 mesece.... samo proti $$$? Presneto, potem pa nehaj vsiljevati nečesa, kar ne potrebujem pod 'nujno'....
Ne vem, kaj je to za en joke s temi 3-mesečnimi certifikati, če itak ni omejitve za podaljšanje. Naj nehajo komplicirat in jim dajo veljavnost 1 leto, pa jih bom začel nalagat tudi na kakšno bolj eksotično zadevo in ročno obnavljal, kjer drugače ne gre.
Tudi nakladanje, da letsencrypt rečuje ves problem z certifikati ne drži. Že res, da se lahko do neke mere avtomatizira proces posodabljanja certifikatov - na sodobnih spletnih strežnikih. Kaj pa vse ostale naprave? Routerji, požarne pregrade, .....?
Nihce te ne sili da uporabljas letsencrypt. Za lasten router pa si loh sam narediš/izdas cert
Ne vem, kaj je to za en joke s temi 3-mesečnimi certifikati, če itak ni omejitve za podaljšanje. Naj nehajo komplicirat in jim dajo veljavnost 1 leto, pa jih bom začel nalagat tudi na kakšno bolj eksotično zadevo in ročno obnavljal, kjer drugače ne gre. Odgovori
3 mesecna omejitev je z razlogom, vse pise zakaj in kako.. Drugace imaš pa tut free ponudnike ki izdajo za eno leto
Pa ne govorimo o self-signed certih. Naprava, ki HTTP sploh ne podpira, temveč izključno HTTPS, bi morala self-signed cert že v osnovi sama kreirat. Na mojem Firewall-u npr. čisto preprosto zamenjam certifikate: pobrišem obstoječe in napravo pošljem v reboot. Ko se zbudi ugotovi da nima certifikatov in jih zgenerira. Zakaj ni povsod tako enostavno?
Drugače pa so v malo večjih okoljih potem spet problemi s temi self-signed certi in je praktično, da preideš na domenske certifikate. Ampak to je potem že druga zgodba.
Problem je predvsem v tem, da je vse okrog tega še vedno preveč komplicirano, istočasno pa imamo bistveno večja 'gradbišča' od katerih gledamo proč.
Sploh pa bo še celo sranje, ker nihče ne bo več vedel kakšna je razlika med 'prav zares' nevarno stranjo in 'nevarno' HTTP stranjo. Uporabnik bo slepo klikal po gumbu "naprej", sranje naj pa potem drugi rešujejo. Hvala Google!
Uporabnik bo slepo klikal po gumbu "naprej", sranje naj pa potem drugi rešujejo.
To je odgovorost ponudnika vsebine, da zrihta da se stran prikaze brez opozoril in blokad
Ne vem....
Če ponudniki ftp, telnet, pop3, smtp, imap,...., itd. niso stigmatizirani, da ponujajo 'nevarne' vsebine, potem to tudi HTTP nebi smel biti.
Saj prav, da se gre proti HTTPS in kriptitanim storitvam....ampak je RES Google tisti, ki ima pravico v našem imenu soditi o tem, kdaj je pravi trenutek za prehod? Kje je svobodna volja posameznika? Danes ti korporacija diktira da si podlež, če nisi na HTTPS. Jutri ti bo tako rekla, če ne boš v nedeljo šel k maši? Mogoče ti bodo še predpisali kdaj imaš za opraviti veliko potrebo, da ne boš 'sumljiv uporabnik interneta'?
Ne vem....veliko aspektov je tu in nisem prepričan, da se v imenu 'zasebnosti za nekatere' lahko tepta po ostalih, ki jo ne potrebujejo. Druge 'varnosti' pa HTTPS takointako ne prinaša na statičnih straneh brez inputa. Stvari bi lahko lepše, manj vsiljivo rešili.
Samo da ne bodo nazadnje ugotovili, da je vse skupaj strel v koleno, če bodo ljudje pričeli bolj uporabljati druge manj 'sitne' brskalnike. Lahko se bo tudi kdo spomnil napraviti plugin, da bo vrnil dobro staro ključavnico na svoje mesto in izklopil 'žnaranje' če se bo pojavilo. Zakaj pa ne?
meni kot končnemu uporabniku dol visi se povežem na strežnik skoz ipv4 ali ipv6, ni nekih prednosti.. pri https pa je efekt konkreten
Ne gre se za to kakšen je efekt. Gre se za "Who the fu*k is Google!" Korporacija ki ima sama trupla v kleti bo drugim solila pamet?
Pri "exportu demokracije" iz Amerike gredo vsi v jok.... ko pa ameriška korporacija začne nekaj diktirat je pa ok?
Medtem ko se vse ostalo v internetnem prostoru ureja preko RFC-jev, bomo kar zamižali ob samohodu ene korporacije in njeni diktaturi? Mogoče pa Google tako testira svojo moč, kaj si lahko dovoli, kaj bomo še 'požrli'? Kaj bo sledilo stigmatiziranju HTTPS-a? Je prav, da se eni multinacionalki da toliko moči v roke? Radi bi demokracijo, ploskate pa diktaturi? Nekako mi to ne gre skupaj.
Zakaj Google ni pritiskal na Microsoft in Apache, da bi se njihovi spletni strežniki po defaultu namestili z vključenim HTTPS protokolom? Zakaj ni pritiskal na to, da se še poenostavi in poenoti samodejno obnavljanje certifikatov, da bi to že bilo vgrajeno v strežnike, samo še checkbox za uporabnika?
In kdo daje Googlu pravico, da mojo stran na HTTP označi za nevarno, da jo zaradi tega diskriminira? Nihče!!!
Google si je to pravico vzel. To pa nikoli ne more biti dobro, če si neka korporacije lahko jemlje takšne pravice.
Kar se pa tiče tvojega problema z HTTP - blokiraj outgoing TCP port 80, pa ne boš rabil pomoč Googla.
Zakaj Google ni pritiskal na Microsoft in Apache, da bi se njihovi spletni strežniki po defaultu namestili z vključenim HTTPS protokolom? Zakaj ni pritiskal na to, da se še poenostavi in poenoti samodejno obnavljanje certifikatov, da bi to že bilo vgrajeno v strežnike, samo še checkbox za uporabnika?
Ker se pričakuje da boš znal sam porihtat strežnik, če ga že postavljaš hosting providerji pa že imajo certifikate dobesedno na klik
In kdo daje Googlu pravico, da mojo stran na HTTP označi za nevarno, da jo zaradi tega diskriminira? Nihče!!!
Kdo te sili da uporabljaš google. Nihče!
Sicer pa mi ni jasno kaj jamraš, do zdaj je za tabo lahko vohunil vsak skriptkiddie ki ima 5 minut časa, 200 obveščevalnih služb brez vsakega napora..no zdaj bo samo google-amerika. Na splošno je to boljše zate
@SeMiNeSanja: Firefox Nightly (ne vem kako je pri release verziji) mi tudi kaze ikonco, ki pomeni 'not secure', ampak samo v primeru da je na strani kaksno vnosno polje/forma. Tako da Google ni edini.
Druge 'varnosti' pa HTTPS takointako ne prinaša na statičnih straneh brez inputa.
Zagotavlja ti, da je vsebina na strani taksna, kot jo je lastnik domene (oz. oseba, ki ima moznost posodobiti DNS zapise/naloziti datoteko na specificni URL) zelel pokazati.
Imate opremo, ki bo zaznala malware v kriptiranem prometu
Upam da ne, ker je namen SSLja da imas end-to-end sifriranje brez moznosti prestrezanja/prirejanja.
Hinavsko je tudi, da se dela takšna gonja proti HTTP, medtem ko se molči o drugih protokolih, ki so ravno tako brez enkripcije.
Dandanes je precej malo komunikacij, s stalisca povprecnega uporabnika, ki ne gredo preko HTTP. Kar je ostalo so v bistvu emaili (kjer vsi vecji/resni ponudniki podpirajo SSL), ter aplikacije, ki vzpostavljajo direktno povezavo med racunalniki (npr. TeamViewer, Skype), ki tako uporabljajo svoje protokole, ki bi naj imeli dovolj dobro sifriranje.
Koliko vaših spletnih kamer, pa celo routerjev(!?!) ne podpira HTTPS in ste jih prisiljeni upravljati preko HTTP?
Vecina IoT opreme komunicira preko njihovih streznikov, kar pomeni da uporabljajo SSL. Definitivno pa se malokdo trudi tako kot recimo Plex, kjer oni poskrbijo za generiranje certifikatov za komunikacijo po lokalnem omrezju.
Definitivno vecina proizvajalcev zanemarja varnostne vidike pri vsej IoT odpremi, in niti ni videti, da bi se situacija kaj izboljsevala.
Dejstvo je, da so default nastavitve raznoraznih OSov in strežnikov v veliki večini glupe nevarne ali celo oboje. Apache in podobni bi ACME protokol morali imeti integriran in po defaultu celo vključen.
Https je tak bare minimum da je nič drugega kot žalostno, da šele opozorila v browserju zaležejo za kako migracijo več.
Če hočemo kdaj v prihodnosti imeti nek resen varen internet, ki je varen tudi pred kontrolo pa itak rabimo ves promet spravit na P2P mesh network z anonimizacijo in kriptiranjem.
1.) Who the f*ck is Google, da mi bo narekoval, kako naj imam nastavljen moj strežnik?
2.) HTTPS tudi približni ni tako 'varen', kot bi ga radi prikazovali - sploh ko brskaš po spletišču, ki je okužen z malwareo-m.
3.) Ustvarja se lažen vtis, da če ima stran HTTPS, potem je kao 'varna' - v resnici pa je (razmeroma) varna izključno komunikacija do strani. Phishing stran + HTTPS = 'varna stran'?
4.) Koliko? 40%?!? vseh strani bo kar na enkrat 'nevarnih'? Kdo bo potem še resno jemal varnostn opozorila?
Nightly? Jaz ga uporabljam in ravno na HTTPS marsikdaj zašepa. HTTPS ni tako enostaven, kot se ga prikazuje. V ozadju je ogromno tega, kar mora pravilno delovati. Čim enkrat blokiraš SSL in stare TLS verzije imaš hitro težave z določenimi stranmi.
In kakšna je prednost end-to-end šifriranja, če olajšuje nemoteno dostavo malware-a? Če omogoča nemoteno delovanje spyware-u in podobno? Ob tem pozabljate, da marsikateri AV ravno tako podre end-to-end verigo, pa se tega še zavedate ne. Pa ko bi vsaj potem 'pospravil' za seboj kot bi se spodobilo.
End-to-end enkripcija je primerna le za spletišča, katerim zaupamo. Pri vseh ostalih pa bi morali biti še 3x bolj pazljivi, kaj nam bo postreženo. Ampak eni boste to dojeli šele potem, ko se vam bo 'zgodil HTTPS'....
1.) Who the f*ck is Google, da mi bo narekoval, kako naj imam nastavljen moj strežnik?
lahko si ga nastaviš kakor želiš, nihče ti nič ne narekuje.. kakšno vezo ima tvoj strežnik sploh z googlom?
HTTPS tudi približni ni tako 'varen', kot bi ga radi prikazovali - sploh ko brskaš po spletišču, ki je okužen z malwareo-m.
3.) Ustvarja se lažen vtis, da če ima stran HTTPS, potem je kao 'varna' - v resnici pa je (razmeroma) varna izključno komunikacija do strani. Phishing stran + HTTPS = 'varna stran'?
nihče ne prikazuje https kot da je varen proti malwaru, taka namigovanja in povezave je zaznat samo v tvojem trollanju
4.) Koliko? 40%?!? vseh strani bo kar na enkrat 'nevarnih'? Kdo bo potem še resno jemal varnostn opozorila?
vsak sposoben admin bo zrihtal stran da bo delovala bp, brez opozoril
Koliko enega jokanja za namestit en usran certifikat. Ja, stvar je daleč od idealne, samo to pač ne more biti izgovor, da niti tistega, kar lahko narediš, ne narediš.
In ja, sem čisto za to, da google kaznuje tudi strani, ki nimajo ipv6.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Kaj bomo IETF zdaj kar razpustili in vse skupaj prepustili Googlu, da nam bo on krojil, kakšen internet naj imamo?
Come on people wake up!!!
Saj ne, da smo imeli kakšno prav hudo demokracijo na internetu, ampak da se še tisto, kar je je prepušča samovolji in diktaturi ene korporacije, pa res ne gre.
In še stotič za tiste ki še vedno ne kapirajo: NE GRE SE (samo) ZA HTTPS !!!
HTTPS JE treba spodbujat - ampak ne na tak način. Spodbujat je trebaše marsikaj, določene reči celo bolj nujno, kot HTTPS - pa se tega nihče ne loteva preko diskriminacij in vsiljevanja.
Skratka, danes HTTPS, jutri pa......kaj? Boš dobil extra flag in x pozicij nižje rangiranje, če ne boš imel Googlove vohunske piškotke nameščene na spletnem strežniku?
Izgovor pa bo spet "Koliko enega jamranja za namestit en usran cookie..."?
HTTPS JE treba spodbujat - ampak ne na tak način. Spodbujat je trebaše marsikaj, določene reči celo bolj nujno, kot HTTPS - pa se tega nihče ne loteva preko diskriminacij in vsiljevanja.
Skratka, danes HTTPS, jutri pa......kaj? Boš dobil extra flag in x pozicij nižje rangiranje, če ne boš imel Googlove vohunske piškotke nameščene na spletnem strežniku?
Ta tvoja filozofija ni nic manj "diktatorska" od googla. Ti meni zarad svoje paranoje vsiljujes da moram gledat tvojo slabo rangirano crap vsebino in to po nekriptiranih kanalih
HTTPS JE treba spodbujat - ampak ne na tak način. Spodbujat je trebaše marsikaj, določene reči celo bolj nujno, kot HTTPS - pa se tega nihče ne loteva preko diskriminacij in vsiljevanja.
Skratka, danes HTTPS, jutri pa......kaj? Boš dobil extra flag in x pozicij nižje rangiranje, če ne boš imel Googlove vohunske piškotke nameščene na spletnem strežniku?
Ta tvoja filozofija ni nic manj "diktatorska" od googla. Ti meni zarad svoje paranoje vsiljujes da moram gledat tvojo slabo rangirano crap vsebino in to po nekriptiranih kanalih
Ne nabijaj - nihče nikogar ne sili gledat nobeno stran (razen če ti je kak spyware 'ugrabil' brskalnik - a to nima veze s tem topicom).
Dejstvo je, da vsiljujete HTTPS povsod, ne zanima vas pa niti 5%, kaj so lahko posledice tega. Poleg tega - če že tako ganjate HTTP - ste izključili možnost komunikacije preko SSL in TLS v1.0? Če ne....potem je vsakršno nabijanje proti HTTP čisto navadna hinavščina.
In...kaj vraga Googlov Quic? Še en backdoor na omrežju? "Fast and Secure" ?!? Vedno je vprašanje, za KOGA je ta "Secure" res "Secure" - običajno ne za tistega, ki upravlja z omrežjem.
Torej nam bo jutri vsiljen še Quic? Še kakšen kandidat?
Še en backdoor na omrežju? "Fast and Secure" ?!? Vedno je vprašanje, za KOGA je ta "Secure" res "Secure" - običajno ne za tistega, ki upravlja z omrežjem.
Sem ti že enkrat napisal, pa bom bom ob tej priložnosti še enkrat za kakšnega drugega bralca, da si ne bodo mislili, da je tvoj pristop k varovanju edini možen ali zveličav:
Propad "perimetra" kot edine obrambe proti nevarnostnim: "In information security, de-perimeterisation[1] is the removal of a boundary between an organisation and the outside world. De-perimeterisation is protecting an organization's systems and data on multiple levels by using a mixture of encryption, secure computer protocols, secure computer systems and data-level authentication, rather than the reliance of an organization on its network boundary to the Internet."
Jericho Forum (2004-2014, postal del Open Group Security Forum): "The Jericho Forum was an international group working to define and promote de-perimeterisation. It was initiated by David Lacey from the Royal Mail, and grew out of a loose affiliation of interested corporate CISOs (Chief Information Security Officers), discussing the topic from the summer of 2003, after an initial meeting hosted by Cisco, but was officially founded in January 2004. It declared success, and merged with The Open Group industry consortium's Security Forum in 2014."
BeyondCorp For The Rest Of Us: "The idea of getting rid of the perimeter is generally too scary for enterprises to contemplate, especially if they’ve only recently solidified one. So let’s not think of it as getting rid of the perimeter, but rather as tightening security on the inside so that the perimeter isn’t the only thing keeping the attacker at bay."
Developing a Framework to Improve Critical Infrastructure Cybersecurity (NIST research paper, Forrester Research, 2013): "The Government has built strong perimeters, but well-organized cybercriminals have recruited insiders and developed new attack methods that stretch thin their current resources and penetrate current security protections used to protect important industries like defense, financial services, and utilities. To confront these new threats, cybersecurity professionals must eliminate the soft chewy center by making security ubiquitous throughout the network, not just at the perimeter."
"In summary, “trust, but verify” is obsolete. Forrester has found that many cybersecurity professionals trust often but verify very little. In addition, “trust” simply does not apply to packets. Identity at the network level is merely an assertion of certain attributes that may be true or false, forged or real. However, all we can truly know about network traffic is what is contained in packets, and packets cannot tell us about the veracity of the asserted identity, let alone the intentions or incentives of the entity generating the packets."
AndrejO - en kup nakladanja, na koncu pa ti isti de-perimeterisation nakladači še vedno imajo takšne ali drugačne ACL-e na svojih sistemih. WTF je to kaj drugega kot firewalling?
Bolj ali manj pa se na koncu vsa ta De-perimetrizacija zreducira na čim bolj zanesljivo identifikacijo uporabnika v okviru APLIKACIJ.
Torej naj bi bil dosežen tolikšen napredek, če vem da je Janez RES Janez, jaz lahko podrem vse požarne pregrade in ukinem ACL-e na vseh napravah? Seriousely?
Drugi spet pravijo, da bodo požarne pregrade takointako kmalu obsolete, ker bomo imeli vse v oblakih, kjer nam lokalne požarne pregrade takointako ne bodo več koristile. Pa bo res tako? Kaj pa ko pade internetna povezava in celotno poslovanje podjetja počepne? Eni so se že opekli in naredili korak nazaj. Sploh pa ti 'de-perimetrizacija' nič kaj dosti ne pomaga, ko so tvoji odjemalci enkrat okuženi s kakšnimi trojanci.
Prvi koncept se ukvarja zgolj z aplikacijami, pozablja pa, da imamo buggy operacijske sisteme (na serverjih in odjemalcih!) in buggy protokole. Aplikacije......pa tudi niso ravno vse brez bugov. Ko si v oblaku in imaš opravka z virtualnimi omrežji, v resnici tudi upravljaš z nekimi perimetri. Perimetru ne moreš ubežati, čim imaš network+gateway. Vse ostalo pa je potem odvisno od tega, kaj boš počel na tem omrežju, kaj bo dovoljeno in kaj ne. Ampak brez čisto vsake kontrole na nivoju mreže.... for fools only!
Leta in leta smo se učili, da je varnost zgrajena na nivojih. To, kar pridigate kot de-perimetrizacijo je zgolj eden nivo. Definitivno ta nivo ni tako soliden in čvrst, da bi na njegov račun lahko opustil vse ostale. No Way!
In nenazadnje.... kako se že začno vsi network security standardi? Da moraš imeti nadzor nad prometom na perimetru? Mogoče se pa perimeter zgolj širi, ne pa da se odpravlja? Če imam strežnik v oblaku in mi ga hackajo - pa nikjer nimam logov o tem...s katerim standardom sem potem še skladen? Ali pa mogoče vendarle zgolj eno govorijo, drugo pa delajo, ko pridigajo o de-perimetrizaciji? Kdo bi vedel......?
Heh, ko bi vsaj citate prebral, preden si napisal svoj komentar ...
Ne... točno na to se nanašajo, o čemer sem govoril.
Cloud ponudniki pač nimajo druge pametne alternative, pa zdaj prodajajo meglo o de-perimetrizaciji, kot da so nekaj novega odkrili.
Miško, ko so se formirale prve delovne skupine na to temo, "cloud" še ni bila beseda, ki bi obstajala. Za NIST bi pa tudi težko rekel, da so to neki "cloud ponudniki". Kar se pa tiče "odkrivanja", pa bom rekel, da jemljem za pozitivno, da ljudje ne odkrivajo tople vode, temveč iščejo načine kako udejaniti obstoječe teoretične koncepte, kot je Zero trust network architecture.
Skratka ... če si bi vsaj citate prebral, preden si se izkazal.
Pa nič ne de. Itak nisem spravil skupaj nekaj virov za takšne, kot si ti, temveč za takšne, ki radi preberejo tudi kaj drugačnega od običajne ortodoksije. Širjenje obzorij in to.
aplikativci in sistemci nikoli niso in nikoli ne bodo naredili sistema, ki je 100% 'vodotesen', pa ti ne pomanga ne zero niti sub-zero trust. Vse okoli tega je zgolj 'krpanje' tega, kar bi že v osnovi moralo štimat. Na koncu pa se še vedno na perimetru odnese 'rit' za marsikaj, kar zgolj teoretično rešuje 'zero-trust'.
Vseeno pa vztrajno ignoriraš dejstvo, da se vse to ukvarja zgolj s strežniško stranjo, oz. z aplikacijami na tej strani, medtem ko se ignorira odjemalce.
V praksi pa niso serverji tisti, ki na mreži delajo sranje ampak odjemalci in uporabniki. Ti pa ves čas samo o serverjih oz. aplikacijah. Pri tem pa delaš za podjetje, ki je sokrivo za miljarde android odjemalcev, ki že leta niso več posodobljeni. Aja...to ni problem, ker imaš 'zero-trust' in de-perimetrizacijo? Vprašanje je samo za koga to ni problem....
Lahko je bluziti o deperimetrizaciji, če odjemalci niso tvoja briga, če ti je takointako v interesu, da vse zrineš v Cloud. Marketing pač. Realnost izgleda drugače. Pejt kdaj v kakšno firmo z 2-20 uporabniki in si poglej kako izgleda realnost. To je namreč realnost 90+% podjetij!
Počni, kar pač hočeš početi in ignoriraj, kar pač hočeš ignorirati. Samo ne pričakovati, da te bo kaj dosti ljudi resno jemalo, ko boš jokal, da ti grdi, grdi strokovnjaki standardizirajo stvari, ki jih ne maraš.