Novice » NWO » Crypto AG: umazana obveščevalna zgodba bajnih zaslužkov
SeMiNeSanja ::
Gre se za firmo, ki izdeluje kriptografske rešitve. Pa ne moreš glih šifiriranje zajebat na predstavitveni strani.
Bi rad vse tukaj videl, kako bi šli nakupovati v trgovsko središče kjer je namazan drek pred vrati.
Te firme ne prodajajo preko spletne strani. Prodaja poteka preko poznanstev, osebnih kontaktov, lobiranja,.... Info spletna stran je zgolj 'nujno zlo'.
Dejansko je siljenje 'vse na https' en navaden bullshit, ki je internet naredil kar precej manj varnega, pa če to zagovorniki priznajo ali ne.
Kjer se ne vnaša podatkov, kjer ne prenašaš kočljivih datotek, je https povsem nepotreben in ne koristi prav ničemur.
Samo zato, ker tipični uporabnik ne loči kdaj bi bilo treba prenos imeti 'zaščiten', kdaj pa ne, so si avtorji te kampanje mislili 'saj ne more škodovati, če popolnoma vse kriptiramo z https'. Žal pa to po drugi strani dokazuje, da tudi avtorji nimajo toliko pojma, kot bi ga morali imeti - ali pa so namerno ignorirali tveganje, kateremu so s tem izpostavili premnoge uporabnike.
Morda poznaš koga, ki vsako spletno stran pred obiskom preveri, ali uporablja zadnje standarde in priporočila? Ali je res bolje, da je slabo implementiran https, kot če bi se uporabilo navaden http?
Veš na koliko spletišč me ne spusti, če na požarni pregradi nastavim, da naj blokira vse, kar ni TLSv1.3? Poskusi in poročaj!
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Poldi112 ::
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
matijadmin ::
SeMiNeSanja je izjavil:
Gre se za firmo, ki izdeluje kriptografske rešitve. Pa ne moreš glih šifiriranje zajebat na predstavitveni strani.
Bi rad vse tukaj videl, kako bi šli nakupovati v trgovsko središče kjer je namazan drek pred vrati.
Te firme ne prodajajo preko spletne strani. Prodaja poteka preko poznanstev, osebnih kontaktov, lobiranja,.... Info spletna stran je zgolj 'nujno zlo'.
To je pa mimgrede kaznivo!
SeMiNeSanja je izjavil:
Dejansko je siljenje 'vse na https' en navaden bullshit, ki je internet naredil kar precej manj varnega, pa če to zagovorniki priznajo ali ne.
Kjer se ne vnaša podatkov, kjer ne prenašaš kočljivih datotek, je https povsem nepotreben in ne koristi prav ničemur.
Samo zato, ker tipični uporabnik ne loči kdaj bi bilo treba prenos imeti 'zaščiten', kdaj pa ne, so si avtorji te kampanje mislili 'saj ne more škodovati, če popolnoma vse kriptiramo z https'. Žal pa to po drugi strani dokazuje, da tudi avtorji nimajo toliko pojma, kot bi ga morali imeti - ali pa so namerno ignorirali tveganje, kateremu so s tem izpostavili premnoge uporabnike.
Se delaš norca?
SeMiNeSanja je izjavil:
Morda poznaš koga, ki vsako spletno stran pred obiskom preveri, ali uporablja zadnje standarde in priporočila? Ali je res bolje, da je slabo implementiran https, kot če bi se uporabilo navaden http?
Jaz to počnem in mnogi drugi, ki uporabljajo znan in razširjen app EFF.
SeMiNeSanja je izjavil:
Veš na koliko spletišč me ne spusti, če na požarni pregradi nastavim, da naj blokira vse, kar ni TLSv1.3? Poskusi in poročaj!
SeMiNeSanja ::
Mene bi zanimale implikacije. Kakšni varnostni problemi nastajajo, če imaš kontaktne podatke na http?
Lahko ti preko MITM ugrabijo povezavo in podtaknejo napačno telefonsko.
Pač ni certifikata, ki bi jamčil, da podatki, katere ti vidiš v brskalniku, dejansko izvirajo s strežnika, katerega misliš, da si obiskal.
A tu samo https tudi še ne reši problema (hijack)- če imaš self-signed certifikat si namreč skoraj na istem, kot če bi stran gledal preko http....
matijadmin je izjavil:
Jaz to počnem in mnogi drugi, ki uporabljajo znan in razširjen app EFF.
znan? razširjen?
Ali se ti delaš norca?
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
matijadmin ::
Mene bi zanimale implikacije. Kakšni varnostni problemi nastajajo, če imaš kontaktne podatke na http?
Zamenjal bi lahko objavljeno telefonsko številko. Z nje pa preusmeril klice na pravo in tako prestrezal klice. Podobno bi lahko naredil z e-postnim naslovom. In še huje, z javnim ključem. Četudi se po tel. ne komunicira zaupnih reči, je to še vedno čisto realno tveganje, podatek kdaj bo kdo koga in kje obiskal pa tudi lahko zelo občutljive narave.
Taki napadi so sicer rezervirani za velike napadalce (primer: quantum insert), z nekaj sreče pa bi se lahko izšel tudi veliko preprostejši MITM.
SeMiNeSanja ::
In kaj vraga, če ti ugrabijo DNS in te pošljejo na xy strežnik, tudi tega lahko preparirajo tako, da boš preko https in prepričan, da si na pravemu.
En velik sranje je s tem http vs. https, ker je ena cela armada paranoikov vtikala svoje prste zraven. Me tako zelo spomnja na paniko okoli 5G tehnologij.
Veš kdo je najbolj hvaležen za https? Vsi tisti, ki želijo zares delati sranje!
Ta, ki je paničar in vpije "HTTPS Everywhere!" namreč zaradi 'verskega prepričanja' ne bo vklopil https preverjanje prometa na požarni pregradi (če sploh ima tako, ki bi bila tega zmožna). Nefiltrirano bo spuščal ves malware na notranjo stran, proti zunanji pa dovolil prosto komunikacijo vsem mogočim botom in trojancem.
Ko bo pa kaj šlo narobe, bodo pa krive vse tiste strani, ki so še vedno na navadnem grdem http, ne pa njegovo neznanje in ignoranca.
Če bi znal karikature risat, bi narisal sliko WC-ja, ki namesto dišave uporablja https za enkriptiranje smradu. Enkriptaš pa ne smrdi več....mar ne?
Tako kot tudi virus preko https ni več nevaren. Ali pač? A? A?
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
matijadmin ::
SeMiNeSanja je izjavil:
In koliko krat smo že slišali, da je v časih, ko je svetu vladal samo http, nekdo nekomu podtaknil napačno telefonsko na spletni strani?
In kaj vraga, če ti ugrabijo DNS in te pošljejo na xy strežnik, tudi tega lahko preparirajo tako, da boš preko https in prepričan, da si na pravemu.
En velik sranje je s tem http vs. https, ker je ena cela armada paranoikov vtikala svoje prste zraven. Me tako zelo spomnja na paniko okoli 5G tehnologij.
Veš kdo je najbolj hvaležen za https? Vsi tisti, ki želijo zares delati sranje!
Ta, ki je paničar in vpije "HTTPS Everywhere!" namreč zaradi 'verskega prepričanja' ne bo vklopil https preverjanje prometa na požarni pregradi (če sploh ima tako, ki bi bila tega zmožna). Nefiltrirano bo spuščal ves malware na notranjo stran, proti zunanji pa dovolil prosto komunikacijo vsem mogočim botom in trojancem.
Ko bo pa kaj šlo narobe, bodo pa krive vse tiste strani, ki so še vedno na navadnem grdem http, ne pa njegovo neznanje in ignoranca.
Če bi znal karikature risat, bi narisal sliko WC-ja, ki namesto dišave uporablja https za enkriptiranje smradu. Enkriptaš pa ne smrdi več....mar ne?
Tako kot tudi virus preko https ni več nevaren. Ali pač? A? A?
Prodajaj bučke kje drugje. Pa svoje DPI neumnosti tudi. Hvala za razum-evanje.
poweroff ::
Moj članek se nanaša IZKLJUČNO na analizo spletni strani (konkretno HTTPS) in ne na analizo njihovih šifrirnih rešitev. To sem tudi jasno zapisal.
Šifrirne rešitve je preveril UVTP - in jim dal potrdilo, da so OK. Sicer tole nima veze, ampak slučajno poznam nekatere konkretne izdelke treh od navedenih podjetij. Za nekaj teh sem zelo prepričan, da so odlični izdelki, pri enem sem našel kar resno napako in jih o tem tudi obvestil (že pred leti). Kdo je kdo, vedo že sami. Ne vem, če so potem tudi dejansko popravili.
Kar se tiče ideje "vse na HTTPS", pa jaz mislim, da je to dobro. Sicer je res, da ni vredno šifrirati vsega, ampak če se šifrira samo pomembne stvari, je to že neke vrste "samooznaka", kaj je pomembno. Pred leti so šifriranje uporabljali samo tisti, ki so imeli nek konkreten razlog za to. Ampak s tem so si sami narisali tarčo na čelo. In to je seveda problem. Če se šifrira VSE, pa se to izgubi. Napadalec težje ugotovi katere so pomembne informacije in katere nepomembne.
Ja, seveda HTTPS ni magična rešitev za vse. Tudi preko HTTPS lahko dobiš servirano bedno vsebino. Ali pa malware. Razumem tudi, da je problem, če hočeš delati DPI in loviti malware, pa ti TLS 1.3 pokvari igro. Ampak po drugi strani je pa tudi zanašanje na DPI oz. IDS tehnike neustrezno. Konec koncev lahko malware uporablja obfuskacijske tehnike, pa ga celo na HTTP ne boš zaznal.
Ampak da gremo nazaj.
Dejstvo je, da ima danes spletna stran marsikaterega javnega (!) medija bolje postavljen HTTPS kot so ga imele nekatera teh podjetij. Je smiselno šifrirati informacije, ki so itak namenjene široki javnosti? Če bi gledali tako, potem se lahko večina spletnega prometa neha šifrirati.
Ampak kar želim poudariti je tole. Od direktorja avtomobilskega podjetja pričakuješ, da se bo na sestanek pripeljal v brezhibnem avtu, ne v razmajani kripi. Od direktorja tiskarne pričakuješ, da ti bo v roke potisnil brezhibno izdelano vizitko, in ne nekaj, kar je šlo v škart. In od ponudnika šifrirnih rešitev čisto upravičeno pričakuješ, da bo tudi na spletni strani pokazal, da obvlada svoj posel. Še posebej, če se hvali da sledi novim trendom in tehnologijam ter se redno izobražuje na področju svoje dejavnosti. Saj lahko verjamem, ampak potem pa to tudi pokažite.
In ja, če se vrnemo k Šparu in krofom... imamo dve trgovini, ki prodajata verificirano okusne krofe. Ko stopiš v eno, so police urejene kot iz škatlice, čiste, itd... v drugi pa odpada zidna barva, zaudarja po plesni in imaš občutek, da si v kotu videl miško. Ja, krofi so v obeh trgovinah zapakirani v lepo plastično škatlo. Ampak kje dobiš boljši vtis?
In točno to je bil namen mojega članka. Verjamem pa, da malomarnost (ali splošna zanemarjenost) za slovenski zasebni sektor ne predstavlja neke težave...
Aja, pa še tole... kako bi gledali na predstavitveno stran novinarja, kjer bi objavljal vsebine s kupom slovničnih napak. Hkrati bi se pa hvalil, da je odličen raziskovalni novinar.
Saj ni problema, ne? Časopis ima itak lektorja...
Zgodovina sprememb…
- spremenilo: poweroff ()
111111111111 ::
V napisanem se strinjam z Matthai-em. Če ne morejo niti plačati dobrega zunanjega izvajalca, da jim naredi spletno stran tako kot se zagre, potem tudi njihov ostali posel ne more biti kaj prida.
Z ostalimi se strinjam le v tem, da odlična spletna stran še ni pogoj, da so izdelki dobri in obratno. Vsekakor pa šalabajzarstvo pušča izredno grenak priokus.
Poldi112 ::
> Nekako je to njihova primarna dejavnost.
Nekako ni, razen če so v biznisu izdelave spletnih strani...
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Zgodovina sprememb…
- spremenil: Poldi112 ()
poweroff ::
secops ::
Poldi112 ::
Saj nihče ni ocenjeval designa in vsebine spletne strani. Ocenjeval sem kvaliteto šifriranja.
Vem. Ampak sam sem mnenja, da je to precej nesmiselno. Tudi primerjava s krofi mi ravno ne potegne, ker varnostnih rešitev pač ne kupuješ (oz. naj jih ne bi) glede na embalažo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
SeMiNeSanja ::
Kar se tiče ideje "vse na HTTPS", pa jaz mislim, da je to dobro. Sicer je res, da ni vredno šifrirati vsega, ampak če se šifrira samo pomembne stvari, je to že neke vrste "samooznaka", kaj je pomembno. Pred leti so šifriranje uporabljali samo tisti, ki so imeli nek konkreten razlog za to. Ampak s tem so si sami narisali tarčo na čelo. In to je seveda problem. Če se šifrira VSE, pa se to izgubi. Napadalec težje ugotovi katere so pomembne informacije in katere nepomembne.
Ja, seveda HTTPS ni magična rešitev za vse. Tudi preko HTTPS lahko dobiš servirano bedno vsebino. Ali pa malware. Razumem tudi, da je problem, če hočeš delati DPI in loviti malware, pa ti TLS 1.3 pokvari igro. Ampak po drugi strani je pa tudi zanašanje na DPI oz. IDS tehnike neustrezno. Konec koncev lahko malware uporablja obfuskacijske tehnike, pa ga celo na HTTP ne boš zaznal.
Sorry, se ne morem strinjati s tem.
Še nisem slišal, da bi nek strežnik nenadoma pričeli na veliko napadati, samo zato, ker se je na njemu uvedel HTTPS. Kdor ima namen napadati nek strežnik oz. komunikacijo z njim, bo že v naprej vedel, kaj je njegova tarča - če ta potem uporablja http ali https pa je zgolj dodatna informacija. Na splošno pa se išče "low hanging fruits" - kar bi pomenilo, da uvajanje https kvečjemu povzroča več napadov na 'stari' http protokol, ker bi predpostavljal, da so to slabše vzdrževani strežniki z več ranljivostmi.
Tvoja razlaga 'smiselnosti' za https povsod, da se potem lažje 'skrivajo' taki, ki imajo občutljive podatke je zelo čudna. Skrivati se ne moreš ne tako ne drugače, če imaš javno izpostavljen strežnik. Ne glede na protokol, se ga bo vsako uro skeniralo po dolgem in počez. Če ima ranljivosti, ti tudi https protokol ne bo pomagal - ali boš rekel, da je npr. SQL injection težji, če komuniciraš preko https?
Omenjaš obfuskacijo...
Danes je klasični, na signaturah bazirani AV, samo ena od možnih metod preverjanja vsebin. Že kar nekaj let se množično uporablja sandbox analitika, vse bolj pa se uveljavlja tudi strojno učenje za prepoznavo malware-a - brez signatur, kakršne ima AV.
Prej bi rekel, da so to krasni izgovori za tiste, ki uporabljajo crap rešitve za katere so zmetali kup denarja, katere pa niso niso vredne piškavega oreha, ker ne znajo in še lep čas ne bodo znale delati z TLS 1.3. Če so potem bili še dodatno nategnjeni, da so kupovali samo precenjeno 'firmo', škrtarili pa na licencah za različne varnostne storitve, potem se seveda začne kvasiti bedarije o tem, da DPI ne reši nič, da TLS 1.3 ne moreš nadzirat, itd. itd.
Odvisno od tega, s katerim področjem se nekdo ukvarja, bo tudi pogled na to področje imel drugačnega. Raznorazni 'raziskovalci' se bolj ukvarjate z nekimi odprtokodnimi igračkarijami, pre-pogosto pa nimate pregleda nad tem, kaj danes komercialni sektor na tem področju zmore ali ne zmore.
Tukaj so pogosto zelo glasni raznorazni postavljalci spletišč. Ti imajo spet čisto svoje poglede in jim prepogosto sploh ni jasno, zakaj bi nekdo pravzaprav hotel zganjati DPI inšpekcijo prometa. Tako in tako v mislih vse projicirajo na tisti 'svoj' strežnik, na katerem pa 'tako in tako ni nič slabega'. Zanje je 'OWASP biblija', kaj dosti drugega pa jih niti ne zanima več. 'Uporabniki' so zanje le tisti, ki obiščejo njihov spletni strežnik, nimajo pa kaj dosti pojma o realnih težavah z uporabniki v lokalnih omrežjih.
Popolnoma druga zgodba pa je, če si odgovoren za delovanje omrežja z X uporabniki, ki vsak dela bedarije, tudi take, ki presegajo domišljijo povprečnega administratorja.
Zadnjič je bil cel rompompom, ko je sesulo Lekarne Ljubljana, danes ste pa že pozabili, da te grožnje še vedno čakajo za vsakim vogalom interneta. Ne le pozabili - ste že pričeli pridigat, da inšpekcija prometa tako in tako ni učinkovita - presneto pa začnite že enkrat uporabljati učinkovite rešitve! Ali pa se vsaj izobraževati o tem, kaj je dejansko učinkovito in kaj ni. Testirajte, pa potem govorite, kaj je učinkovito in kaj ni. Kar pavšalno trditi, da 'itak ne gre' ni ravno na nekem resnem nivoju, na katerega bi lahko bil ponosen, ker je taka trditev povsem zgrešena in priča zgolj o preslabem poznavanju tega področja.
Ne vem, kako naj bom vesel nad TLS 1.3, če vem, da bo 95% požarnih pregrad tam zunaj gladko prepustilo kakršenkoli virus, ki jim ga boš postregel preko TLS 1.3?
No, pa ko bi bil problem le TLS 1.3 - za nekatere bi celo SSL v2 zadoščal, da bi ga še vedno lahko okužil, ker preprosto VSE spustijo do uporabnikov. Potem pa molijo, da bo AV na desktopu kaj 'polovil' in preklinjajo, ker imajo neprestano neko sranje z virusi.
Sem hotel predlagati, da naj ljudje poskusijo prenesti Eicar testni 'virus' - a žal eicar.org ne podpira TLS 1.3, da bi lahko preverili, kako klavrno jim odpovedo požarne pregrade.
Ampak če smo realni - v primeru, da AV 'odpove', lahko 'zaščitenost' enačimo z možnostjo prenašanja izvršljivih datotek. Če torej lahko uporabnik prenese poljubno izvršjivo datoteko s spleta, to pomeni, da lahko prenaša tudi 0day malware. Ne vem, za katero okolje je to lahko sprejemljivo - če se ve, da se da to preprečiti. Glede na to, kako se večinoma pristopa do varnosti, je to očitno povsem sprejemljivo - dokler se ljudem ne zgodi 'lekarna'? Kaj je res treba na najbolj kruti način spoznavat, da nekaj z razumevanju 'varnosti' ni tako, kot bi moralo biti?
Vse preveč vas je, ki vam je fokus izključno na zasebnosti. Zasebnost je potrebna, je pa daleč od tega, da je dovolj. Problematično pa postane, če zaradi zasebnosti varnost trpi. Oboje mora iti z roko v roki. Če torej hočeš TLS 1.3 zaradi zasebnosti, potem tudi investiraj v varnostne rešitve, ki podpirajo TLS 1.3, ne pa da s tem narediš luknjo v celotno varnost.
Zdi se mi, da niste razumeli, da večina rešitev, ki ne podpirajo TLS 1.3 degradirajo protokol na TLS 1.2 ali nižji. Tako se povežeš na 'super varni strežnik' - vmes pa ti 'varnostna rešitev' vse skupaj degradira na lame protokol.
No, potem pa še nagradno vprašanje za liziko: ali tvoja požarna pregrada podpira TLS 1.3? Moja ga že lep čas! Koliko jih še poznaš, ki podpirajo DANES TLS 1.3?
Meraki danes sploh šele uvaja TLS - ampak le v verziji 1.2 ! Vprašanje, če bodo sploh kdaj imeli 1.3 verzijo pokrito. Kaj pa drugi? Sophos? Itd. itd....?
Se pravi, da se veselo ignorira, da 'svet' po varnostni plati tehnološko še ni pripravljen za 'vse na https' - ampak to 'privacy freak-e' ne moti, ker očitno ne razumejo bistva security-ja v omrežjih z 'naivnimi uporabniki'. Ravno tako ti freak-i ne razumejo, da je vse skupaj jalovo, če potem slabe varnostne rešitve degradirajo vso to superduper 'zasebnost' - ne da bi uporabnik to sploh vedel!
Kot sem rekel, vsakdo ima glede na svojo specialnost drugačen vidik in pogled na te tehnologije - odvisno od tega, kakšne težave mu povzročajo. MENI TLS ne povzroča težav, ker imam podporo zanj - ampak mene skrbijo tisti, ki te podpore nimajo. Skrbijo me tisti, ki niti ne razumejo, kaj je problem tega, da imajo backdoor do svojega omrežjao, preko katerega se lahko pretaka karkoli.
Skrbi me splošni pristop do varnosti, ki še vedno pridiga zgolj to, da poskrbi za backup, za ostalo pa ne rabiš skrbeti (razen za https). Seveda, zaradi takih pridig se potem 'zgodi Lekarna' in podobni incidenti, ki nebi bili potrebni, če bi se uporabljale prave tehnologije z pravilno konfiguracijo.
Ampak saj vidiš kakšen je nivo - glavno da imaš nek tool, da ja ne boš slučajno prenesel malware preko nekriptirane povezave. Če ga preneseš preko https, pa je vse v redu. Jaz sicer še nisem slišal za malware, ki bi se ustrašil https-a in postal krotek. Očitno imajo neki eksperti tu gor drugačne izkušnje.
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Poldi112 ::
>Ampak če smo realni - v primeru, da AV 'odpove', lahko 'zaščitenost' enačimo z možnostjo prenašanja izvršljivih datotek.
V primeru, da AV odpove, je dobra šansa, da odpove tudi AV na FW, tako da je precej bolj smiselno investirati čas v zaklepanje pravic uporabnika na njegovi napravi, kot trud, da se AV delo, ki ga client tako ali tako praktično vedno izvaja, podvaja še na FW.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
matijadmin ::
SeMiNeSanja je izjavil:
Kar se tiče ideje "vse na HTTPS", pa jaz mislim, da je to dobro. Sicer je res, da ni vredno šifrirati vsega, ampak če se šifrira samo pomembne stvari, je to že neke vrste "samooznaka", kaj je pomembno. Pred leti so šifriranje uporabljali samo tisti, ki so imeli nek konkreten razlog za to. Ampak s tem so si sami narisali tarčo na čelo. In to je seveda problem. Če se šifrira VSE, pa se to izgubi. Napadalec težje ugotovi katere so pomembne informacije in katere nepomembne.
Ja, seveda HTTPS ni magična rešitev za vse. Tudi preko HTTPS lahko dobiš servirano bedno vsebino. Ali pa malware. Razumem tudi, da je problem, če hočeš delati DPI in loviti malware, pa ti TLS 1.3 pokvari igro. Ampak po drugi strani je pa tudi zanašanje na DPI oz. IDS tehnike neustrezno. Konec koncev lahko malware uporablja obfuskacijske tehnike, pa ga celo na HTTP ne boš zaznal.
Sorry, se ne morem strinjati s tem.
Še nisem slišal, da bi nek strežnik nenadoma pričeli na veliko napadati, samo zato, ker se je na njemu uvedel HTTPS. Kdor ima namen napadati nek strežnik oz. komunikacijo z njim, bo že v naprej vedel, kaj je njegova tarča - če ta potem uporablja http ali https pa je zgolj dodatna informacija. Na splošno pa se išče "low hanging fruits" - kar bi pomenilo, da uvajanje https kvečjemu povzroča več napadov na 'stari' http protokol, ker bi predpostavljal, da so to slabše vzdrževani strežniki z več ranljivostmi.
Tvoja razlaga 'smiselnosti' za https povsod, da se potem lažje 'skrivajo' taki, ki imajo občutljive podatke je zelo čudna. Skrivati se ne moreš ne tako ne drugače, če imaš javno izpostavljen strežnik. Ne glede na protokol, se ga bo vsako uro skeniralo po dolgem in počez. Če ima ranljivosti, ti tudi https protokol ne bo pomagal - ali boš rekel, da je npr. SQL injection težji, če komuniciraš preko https?
Omenjaš obfuskacijo...
Danes je klasični, na signaturah bazirani AV, samo ena od možnih metod preverjanja vsebin. Že kar nekaj let se množično uporablja sandbox analitika, vse bolj pa se uveljavlja tudi strojno učenje za prepoznavo malware-a - brez signatur, kakršne ima AV.
Prej bi rekel, da so to krasni izgovori za tiste, ki uporabljajo crap rešitve za katere so zmetali kup denarja, katere pa niso niso vredne piškavega oreha, ker ne znajo in še lep čas ne bodo znale delati z TLS 1.3. Če so potem bili še dodatno nategnjeni, da so kupovali samo precenjeno 'firmo', škrtarili pa na licencah za različne varnostne storitve, potem se seveda začne kvasiti bedarije o tem, da DPI ne reši nič, da TLS 1.3 ne moreš nadzirat, itd. itd.
Odvisno od tega, s katerim področjem se nekdo ukvarja, bo tudi pogled na to področje imel drugačnega. Raznorazni 'raziskovalci' se bolj ukvarjate z nekimi odprtokodnimi igračkarijami, pre-pogosto pa nimate pregleda nad tem, kaj danes komercialni sektor na tem področju zmore ali ne zmore.
Tukaj so pogosto zelo glasni raznorazni postavljalci spletišč. Ti imajo spet čisto svoje poglede in jim prepogosto sploh ni jasno, zakaj bi nekdo pravzaprav hotel zganjati DPI inšpekcijo prometa. Tako in tako v mislih vse projicirajo na tisti 'svoj' strežnik, na katerem pa 'tako in tako ni nič slabega'. Zanje je 'OWASP biblija', kaj dosti drugega pa jih niti ne zanima več. 'Uporabniki' so zanje le tisti, ki obiščejo njihov spletni strežnik, nimajo pa kaj dosti pojma o realnih težavah z uporabniki v lokalnih omrežjih.
Popolnoma druga zgodba pa je, če si odgovoren za delovanje omrežja z X uporabniki, ki vsak dela bedarije, tudi take, ki presegajo domišljijo povprečnega administratorja.
Zadnjič je bil cel rompompom, ko je sesulo Lekarne Ljubljana, danes ste pa že pozabili, da te grožnje še vedno čakajo za vsakim vogalom interneta. Ne le pozabili - ste že pričeli pridigat, da inšpekcija prometa tako in tako ni učinkovita - presneto pa začnite že enkrat uporabljati učinkovite rešitve! Ali pa se vsaj izobraževati o tem, kaj je dejansko učinkovito in kaj ni. Testirajte, pa potem govorite, kaj je učinkovito in kaj ni. Kar pavšalno trditi, da 'itak ne gre' ni ravno na nekem resnem nivoju, na katerega bi lahko bil ponosen, ker je taka trditev povsem zgrešena in priča zgolj o preslabem poznavanju tega področja.
Ne vem, kako naj bom vesel nad TLS 1.3, če vem, da bo 95% požarnih pregrad tam zunaj gladko prepustilo kakršenkoli virus, ki jim ga boš postregel preko TLS 1.3?
No, pa ko bi bil problem le TLS 1.3 - za nekatere bi celo SSL v2 zadoščal, da bi ga še vedno lahko okužil, ker preprosto VSE spustijo do uporabnikov. Potem pa molijo, da bo AV na desktopu kaj 'polovil' in preklinjajo, ker imajo neprestano neko sranje z virusi.
Sem hotel predlagati, da naj ljudje poskusijo prenesti Eicar testni 'virus' - a žal eicar.org ne podpira TLS 1.3, da bi lahko preverili, kako klavrno jim odpovedo požarne pregrade.
Ampak če smo realni - v primeru, da AV 'odpove', lahko 'zaščitenost' enačimo z možnostjo prenašanja izvršljivih datotek. Če torej lahko uporabnik prenese poljubno izvršjivo datoteko s spleta, to pomeni, da lahko prenaša tudi 0day malware. Ne vem, za katero okolje je to lahko sprejemljivo - če se ve, da se da to preprečiti. Glede na to, kako se večinoma pristopa do varnosti, je to očitno povsem sprejemljivo - dokler se ljudem ne zgodi 'lekarna'? Kaj je res treba na najbolj kruti način spoznavat, da nekaj z razumevanju 'varnosti' ni tako, kot bi moralo biti?
Vse preveč vas je, ki vam je fokus izključno na zasebnosti. Zasebnost je potrebna, je pa daleč od tega, da je dovolj. Problematično pa postane, če zaradi zasebnosti varnost trpi. Oboje mora iti z roko v roki. Če torej hočeš TLS 1.3 zaradi zasebnosti, potem tudi investiraj v varnostne rešitve, ki podpirajo TLS 1.3, ne pa da s tem narediš luknjo v celotno varnost.
Zdi se mi, da niste razumeli, da večina rešitev, ki ne podpirajo TLS 1.3 degradirajo protokol na TLS 1.2 ali nižji. Tako se povežeš na 'super varni strežnik' - vmes pa ti 'varnostna rešitev' vse skupaj degradira na lame protokol.
No, potem pa še nagradno vprašanje za liziko: ali tvoja požarna pregrada podpira TLS 1.3? Moja ga že lep čas! Koliko jih še poznaš, ki podpirajo DANES TLS 1.3?
Meraki danes sploh šele uvaja TLS - ampak le v verziji 1.2 ! Vprašanje, če bodo sploh kdaj imeli 1.3 verzijo pokrito. Kaj pa drugi? Sophos? Itd. itd....?
Se pravi, da se veselo ignorira, da 'svet' po varnostni plati tehnološko še ni pripravljen za 'vse na https' - ampak to 'privacy freak-e' ne moti, ker očitno ne razumejo bistva security-ja v omrežjih z 'naivnimi uporabniki'. Ravno tako ti freak-i ne razumejo, da je vse skupaj jalovo, če potem slabe varnostne rešitve degradirajo vso to superduper 'zasebnost' - ne da bi uporabnik to sploh vedel!
Kot sem rekel, vsakdo ima glede na svojo specialnost drugačen vidik in pogled na te tehnologije - odvisno od tega, kakšne težave mu povzročajo. MENI TLS ne povzroča težav, ker imam podporo zanj - ampak mene skrbijo tisti, ki te podpore nimajo. Skrbijo me tisti, ki niti ne razumejo, kaj je problem tega, da imajo backdoor do svojega omrežjao, preko katerega se lahko pretaka karkoli.
Skrbi me splošni pristop do varnosti, ki še vedno pridiga zgolj to, da poskrbi za backup, za ostalo pa ne rabiš skrbeti (razen za https). Seveda, zaradi takih pridig se potem 'zgodi Lekarna' in podobni incidenti, ki nebi bili potrebni, če bi se uporabljale prave tehnologije z pravilno konfiguracijo.
Ampak saj vidiš kakšen je nivo - glavno da imaš nek tool, da ja ne boš slučajno prenesel malware preko nekriptirane povezave. Če ga preneseš preko https, pa je vse v redu. Jaz sicer še nisem slišal za malware, ki bi se ustrašil https-a in postal krotek. Očitno imajo neki eksperti tu gor drugačne izkušnje.
Škoda besed za tale PR. Varnostni strokovnjaki se pač ne strinjajo s teboj. V množici zelo podobnih metrik se je lažje skrivati. AV na delovnih postajah ze dolgo lahko tudi behavioristicno prepoznavajo groznje in na sploh imajo tudi hevristiko, sploh pa so to v vecini primerov endpoint sec. klienti, ki so tudi sami po sebi lahko povrsina/vektor napada. Sploh, ce ni uredu postimana varnost streznika in, ce je povezava z njim NESIFRIRANA. Drugace, pa se nisi slisal za acl, peskovnike, virtualizacijo, omejevanje dostopa do resursov na nivoju jedra ipd. Ja sifriranje vsega je korak h varnosti in ne obeatno. DPI pa je zelo omejeno uporaben in lahko pomeni resni varnostno tveganje, ce se ga posiljuje kot univerzalno resitev za vse.
poweroff ::
Prav tako pa tudi ne kakovost "vrhunsjih šifrirnih rešitev", kot je to navedeno v naslovu.
Saj če si prebral članek, si verjetno opazil zakaj je bil tak (malce provokativen) naslov, ne?
SeMiNeSanja je izjavil:
Še nisem slišal, da bi nek strežnik nenadoma pričeli na veliko napadati, samo zato, ker se je na njemu uvedel HTTPS. Kdor ima namen napadati nek strežnik oz. komunikacijo z njim, bo že v naprej vedel, kaj je njegova tarča - če ta potem uporablja http ali https pa je zgolj dodatna informacija.
OK, da malo razložim na primeru maila, bo lažje. Maili so nešifrirani, včasih so se tudi med mail serverji relayali nešifrirano. Imaš milijardo mailov na dan... ljudje pišejo notri vse živo. Samo s tehnično analizo ("bomba", "jihad",...) ne moreš vsega poloviti, dobiš tudi veliko šuma.
Potem pač gledaš, če kdo uporablja PGP/GPG. Če ga, to pomeni, da ima nek razlog za to. Hoče se skrivat. Ampak ker uporablja šifriranje, se je sam markiral. Sam si je narisal tarčo na čelo.
S tehnično analizo zelo hitro identificiraš tistih 10 ljudi, ki uporabljajo šifriranje. Ti so takoj zate bolj zanimivi (če si npr. obveščevalna služba). In se jih lotiš fokusirano.
Če pa šifriranje uporabljajo vsi - se pa teh 10 notri skrije.
Isto velja za Tor (anonimizacijo). Čim se nekdo večkrat priklaplja na Tor, si je sam narisal tarčo na čelo. Če bi pa Tor uporabljali vsi, bi se pa tisti, ki ga zares potrebujejo precej bolj skrili notri.
Pa da se razumemo. Ne trdim, da DPI ne reši nič. Trdim pa, da ni magična rešitev za vse.
Osebno imam z DPI še dva problema. Prvi je, da če se na eno tehnologijo začneš preveč zanašati, to nikoli ni dobro. Nekdo bo prepričan, da mu podatki ne morejo odtekati, ker uporablja DPI, pa bo nekdo lahko podatke leaknil na drug način. Preko obfuskirane povezave, preko USB ključka, s fotografijo zaslona... skratka DPI je eno izmed orodij, je lahko zelo učinkovito, ampak na svojem spektru problemov. Ni pa to rešitev za vse.
Druga težava pa je, da DPI posega v pravice uporabnikov. Razumem, da so uporabniki dostikrat neumni, nevarni samim sebi, da se obnašajo kot otroci... in da jih je včasih treba zaščititi pred samimi sabo. Ampak preveliko poseganje v pravice uporabnikov se mi zdi problem. Poleg tega ti uporaba DPI lahko povzroči tudi velike probleme, če nekdo uspe hekniti notri in potem dela "legalen" MITM.
SeMiNeSanja ::
Tvoja priljubljena tematika, ki tebi pomeni vse, je "kako se bom obvaroval pred oblastniki, da me ne bodo mogli preganjati kot političnega disidenta".
To je 'individualistična' problematika, nekaj kar povprečnega network admina ne zanima, ker ima popolnoma druge skrbi - namreč kako obdržati omrežje podjetja delujoče 24/7, brez okužb, brez odtekanja podatkov.
Želje / zahteve / potrebe takega admina so v popolnem nasprotju s tem, kar je tvoje interesno področje. Vse povezave, ki gredo ven iz podjetja in jih ni možno prirediti konkretni aplikaciji in namenu predstavljajo določeno tveganje. Zato se v podjetju nočeš ukvarjati s tem, kdo 'si riše tarčo na hrbet', ampak mu boš pobral svinčnike, da si tarče niti mogel ne bo narisati. Posledično pa tudi ne bo mogel jamrat, da mu posegaš v zasebnost. Zasebne stvari naj počne doma ali na svojem 'zasebnem' telefonu. Službene pa so službene.
Seveda se veliko stvari lahko nadzira (in tudi mora!) na samih endpoint-ih. Je pa to spet nočna mora svoje vrste, sploh če se v zgodbo prične vpletati še BYOD kolobocija. Kakorkoli obrneš, je veliko bolj preprosto nadzirati kdo vstopa in izstopa iz stavbe ter kaj s seboj prinaša in odnaša in tako poskrbeti za PREVENTIVO. To seveda ne jamči, da se izza vhoda ne more 'dogajati'.
Toda tukaj se pogovarjamo o tem, da na sodišču ali letališču brezveze uporabljajo rentgen in detektorje kovin - medtem ko se navija za čim bolj široko uporabo posebnih škatel, skozi katere rentgen ne posveti in po možnosti prevarajo detektor kovin, če v njej skrijemo pištolo! To pa se potem opravičuje z 'varovanjem zasebnosti', ker je to kvazi hud poseg v zasebnost, če varnostnik vidi na rentgenu, da v službo nosiš vibrator.
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
MrStein ::
"Nadaljevanje" zgodbe: https://telefoncek.si/2020/02/13/2020-0...
Kaj točno je smisel linkanja tvojega članka oz nadaljevanja v to temo?
Kot si sam napisal - "Uporaba ali neuporaba HTTPS na spletnem strežniku in kvaliteta HTTPS povezave seveda ne pove kaj dosti o kvaliteti šifrirnih rešitev, ki so jih omenjena podjetja akreditirala v Sloveniji."
Hja, malo sojenja knjige po ovitku, pa malo samohvale. Bum, članek!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MrStein ::
Tukaj dam Matthaiu čisto prav. Ne, ni normalno, da je kovačeva kobila bosa.
V bistvu je to precej normalno. Tako normalno, da obstaja celo pregovor o tem.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
poweroff ::
Je pa res, da naši sistemci zelo dobro vedo kaj delajo.
MrStein, mogoče je to normalno v Sloveniji. Ampak kot si lahko videl, firme, ki so usmerjene v tujino, imajo do tega drugačen odnos. Ne pozabit, da imata 2 firmi dobro urejene stvari.
SeMiNeSanja ::
"Nadaljevanje" zgodbe: https://telefoncek.si/2020/02/13/2020-0...
Kaj točno je smisel linkanja tvojega članka oz nadaljevanja v to temo?
Kot si sam napisal - "Uporaba ali neuporaba HTTPS na spletnem strežniku in kvaliteta HTTPS povezave seveda ne pove kaj dosti o kvaliteti šifrirnih rešitev, ki so jih omenjena podjetja akreditirala v Sloveniji."
Hja, malo sojenja knjige po ovitku, pa malo samohvale. Bum, članek!
Že že....ampak ne smeš pozabiti, da pri različnih akreditacijah, standardih, itd itd ni bistven samo izdelek, temveč tudi vse okoli njega.
Ko se gre za neke kritične high-end rešitve, ti nič ne pomaga, če je proizvod vrhunski, da mu ni para v svetu - če pa potem lahko podkupljena snažilka z ustrezno pripravljenim USB ključkom odnese vso intelektualno lastnino in omogoči konkurentom / sovražnikon / .... da najdejo nek 'how to', ki lahko to vrhunsko rešitev onemogoči / onesposobi / ....
Tako da v bistvu ne drži vedno, da platnice niso pommbne.
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
MrStein ::
Aja, pa MrStein ne more sodelovati, ker je že prevelik talent.
Eh, si moral uničiti dober vtis... No ja, sloteška debata pač.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
matijadmin ::
SeMiNeSanja je izjavil:
@Matthai - in spet sva pri tem, da vsak gledava s popolnoma drugega zornega kota oz. interesa.
Tvoja priljubljena tematika, ki tebi pomeni vse, je "kako se bom obvaroval pred oblastniki, da me ne bodo mogli preganjati kot političnega disidenta".
To je 'individualistična' problematika, nekaj kar povprečnega network admina ne zanima, ker ima popolnoma druge skrbi - namreč kako obdržati omrežje podjetja delujoče 24/7, brez okužb, brez odtekanja podatkov.
Želje / zahteve / potrebe takega admina so v popolnem nasprotju s tem, kar je tvoje interesno področje. Vse povezave, ki gredo ven iz podjetja in jih ni možno prirediti konkretni aplikaciji in namenu predstavljajo določeno tveganje. Zato se v podjetju nočeš ukvarjati s tem, kdo 'si riše tarčo na hrbet', ampak mu boš pobral svinčnike, da si tarče niti mogel ne bo narisati. Posledično pa tudi ne bo mogel jamrat, da mu posegaš v zasebnost. Zasebne stvari naj počne doma ali na svojem 'zasebnem' telefonu. Službene pa so službene.
Seveda se veliko stvari lahko nadzira (in tudi mora!) na samih endpoint-ih. Je pa to spet nočna mora svoje vrste, sploh če se v zgodbo prične vpletati še BYOD kolobocija. Kakorkoli obrneš, je veliko bolj preprosto nadzirati kdo vstopa in izstopa iz stavbe ter kaj s seboj prinaša in odnaša in tako poskrbeti za PREVENTIVO. To seveda ne jamči, da se izza vhoda ne more 'dogajati'.
Toda tukaj se pogovarjamo o tem, da na sodišču ali letališču brezveze uporabljajo rentgen in detektorje kovin - medtem ko se navija za čim bolj široko uporabo posebnih škatel, skozi katere rentgen ne posveti in po možnosti prevarajo detektor kovin, če v njej skrijemo pištolo! To pa se potem opravičuje z 'varovanjem zasebnosti', ker je to kvazi hud poseg v zasebnost, če varnostnik vidi na rentgenu, da v službo nosiš vibrator.
Pri vsej tej zapisani solati si po eni strani toliko korekten, da priznaš svoj (parcialni) interes (saj take rešitve prodajaš). Po drugi strani pa pozabiš omeniti, da je DPI z razlogom zakonsko oz. s pravnimi pravili na sploh omejen. Raba v večini primerov brez konsenza uporabnika, ki ga tko zelo sovražiš in zaničuješ, je protipravna, saj bi tak poseg pomenil kratenje ČP oz. svoboščin. Tudi pisem se ne odpira kar vsepovprek. Toliko o tem, kaj je parcialno. In sprijazni se, da je tvoj biznis model zanič, sploh, če sicer uporabnih tehnologij ne znaš ne prodajati ne propagirati.
Seminesanja - seveda, gledava vsak iz svojega stališča. Ampak stvar je v tem, da je mogoče omrežje zaščititi tudi s precej manj drastičnimi ukrepi. Pri nas recimo je omrežje zelo odprto, pa kar funkcionira, brez večjih težav (krptovirusov, itd.).
Je pa res, da naši sistemci zelo dobro vedo kaj delajo.
MrStein, mogoče je to normalno v Sloveniji. Ampak kot si lahko videl, firme, ki so usmerjene v tujino, imajo do tega drugačen odnos. Ne pozabit, da imata 2 firmi dobro urejene stvari.
Pa najbrž tudi v edukacijo uporabnikov vlagate ...
Zgodovina sprememb…
- spremenil: matijadmin ()
MrStein ::
Aja, pa še tole... kako bi gledali na predstavitveno stran novinarja, kjer bi objavljal vsebine s kupom slovničnih napak. Hkrati bi se pa hvalil, da je odličen raziskovalni novinar.
Saj ni problema, ne? Časopis ima itak lektorja...
Pa kljub vsemu kup napak v končnem idelku. (javnem, če jih že ločiš po tem kriteriju)
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
111111111111 ::
SeMiNeSanja je izjavil:
Ko se gre za neke kritične high-end rešitve, ti nič ne pomaga, če je proizvod vrhunski, da mu ni para v svetu - če pa potem lahko podkupljena snažilka z ustrezno pripravljenim USB ključkom odnese vso intelektualno lastnino in omogoči konkurentom / sovražnikon / .... da najdejo nek 'how to', ki lahko to vrhunsko rešitev onemogoči / onesposobi / ....
Pri nas ne gre nič ven preko usb ključka/diska če ni kriptirano. Ključka sistem sploh ne prebere, če nima prej vnešenega hasha iz strani admina. :) Pri nas bo morali podkupiti admina + čistilko, pa še ključek bi se moral kriptirati z 12 mestnim geslom. :D
SeMiNeSanja ::
111111111111 je izjavil:
Pri nas ne gre nič ven preko usb ključka/diska če ni kriptirano. Ključka sistem sploh ne prebere, če nima prej vnešenega hasha iz strani admina. :) Pri nas bo morali podkupiti admina + čistilko, pa še ključek bi se moral kriptirati z 12 mestnim geslom. :D
Koliko jih poznaš, ki imajo enako strog režim? Mislim, da jih moraš kar z lupo iskat.
Samo pazi, ker se bodo pričeli oglašat šalabajzerji, ki bodo trdili, da je to nezakonito, če ti uporabnik ni podal svojega konsenza! Kako morete tako grobo posegat v uporabnikove "človekove pravice". Resnično sovražite svoje uporabnike! Pa še 12 mestno geslo? Sadisti! Ljudomrzneži!
Brihtneži si očitno razlagajo zakonodajo na način, da moraš kot delodajalec prositi uporabnike, če smeš uvajati kakršnekoli varnostne rešitve in omejitve. Čudi me le to, da ne trdijo tudi za AV na desktopu, da ti mora uporabnik podati svoj blagoslov, da mu ga smeš namestiti. Tako kot DPI namreč tudi AV prebere vse 'osebne podatke' in komunikacije. Pri kriptiranju na ključek pa sistem ravno tako 'prebere' vse, kar prenašaš. Bog ne daj, da bi imel še kakšno DLP funkcionalnost vključeno!
V bistvu je žalostno, da se oglašajo osebe, ki več kot očitno nimajo pojma o sodobnem varovanju omrežij in potem tukaj za povrhu trosijo napačne interpretacije zakonodaje. Dejansko se potem sprašuješ, kaj jim je agenda, čemu trosijo bedarije - ali res nimajo pojma, ali se namerno delajo butaste, samo da bi drugim 'srali na glavo', če jim iz bilo katerega razloga gredo 'na jetra'.
Potem ti pa še očitajo, da prodajaš varnostne rešitve. Nisem vedel, da je to danes neke vrste slabost, pregreha, malodane zločin. Ker prodajaš rešitve, kvazi nimaš pojma?
Glede na to, da s temi rešitvami delam od zgodnjih beta testov, pa vse do podpore in inštruiranja uporabnikov, sem si drznil domišljati, da se vsaj malo spoznam na to področje. No, potem pa pride nek xxxadmin in mi soli pamet, da baje nimam pojma o zadevah.
Se počutiš, kot heretik, ki ga obtožuje nek verski fanatik, ki ne dovoljuje uporabe zdravil.... Naj zmolim tri zdravemarije ali pa me bodo zažgali na grmadi, grdega grdega zeliščarja!?! Pa še vpijem naj, da je zemlja ploščata...?
Ne razumem, kako si lahko nekdo v nick da 'admin', nima osnovnega pojma o sodobnih požarnih pregradah, potem pa še nekaj na veliko jezika. Enkrat videl ASA napravo, potem namestil pfSense, in že misli, da je videl vse, kar je za videti? Kar je pa komercialnega, se pa demonizira in proglaša za 'ilegalno'? WTF?
Res bi bilo včasih bolje, če bi se ljudje držali svojih vrtičkov in se manj vtikali v stvari, v katere se ne razumejo. Če se pa že želijo vtikati, pa bi bilo dobro, da bi se najprej malo podučili, kaj je danes 'state of the art', kaj je dejansko 'standard', ko se pogovarjaš o naprednih rešitvah na nekem področju. Ne pa da nimajo pojma, potem še menijo, da morajo soliti pamet nekomu, ki se že leta vsakodnevno ukvarja z rešitvami, ki sodijo v sam vrh tega področja.
Celo med uporabniki sodobnih rešitev najdemo cel kup takih, ki nimajo pojma, kaj tista 'škatla' pravzaprav zmore in kako se iz nje izvleče največ, kar se da. Poleg tega zelo pogosto nimajo kupljenih niti osnovnih varnostnih servisov in niti dobro ne vedo, čemu ti pravzaprav služijo - istočasno pa se proglašajo za 'eksperte'.
Če jaz ne pametujem programerjem, kako naj programirajo, ali serverskim adminom, kako naj zrihtajo group policy, sql server in nevem kaj še, kakor tudi ne pametujem web adminom, kako naj nastavljajo spletne strežnike in aplikacije - zakaj se potem vsi ti vtikajo v področje požarnih pregrad, če tam niso 'doma'?
Namesto da bi poslušali in se kaj novega naučili, raje v nič dajejo ves razvoj zadnjih 20 let na tem področju. Razvoj, ki je bil strahoten, morda eden najhitrejših v informatiki. A kaj češ o tem diskutirati z osebki, katerih poznavanje področja je na nivoju stanja izpred 20-30 let in jih niti ne zanima, kaj se je v tem času spremenilo. Informacijski Amiši...?
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Poldi112 ::
Enako kot one, ki furajo UTM.
>Samo pazi, ker se bodo pričeli oglašat šalabajzerji, ki bodo trdili, da je to nezakonito, če ti uporabnik ni podal svojega konsenza!
Boš rekel, da dejansko ne vidiš razlike med dekripcijo uporabnikovega prometa ter dolgim geslom?
>Brihtneži si očitno razlagajo zakonodajo na način, da moraš kot delodajalec prositi uporabnike, če smeš uvajati kakršnekoli varnostne rešitve in omejitve.
Ti vklopiš DPI, brez da bi od uporabnikov dobil soglasje? Ali zgolj mutiš?
>Potem ti pa še očitajo, da prodajaš varnostne rešitve. Nisem vedel, da je to danes neke vrste slabost, pregreha, malodane zločin. Ker prodajaš rešitve, kvazi nimaš pojma?
Problem je, da zgolj ponavljaš marketinško sranje, nimaš pa resnih argumentov.
>Res bi bilo včasih bolje, če bi se ljudje držali svojih vrtičkov in se manj vtikali v stvari, v katere se ne razumejo.
In česa ne razumemo? Ter zakaj potem ne razložiš? Sklicevanje na lastno avtoriteto ni ravno znak razumevanja.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Zgodovina sprememb…
- spremenil: Poldi112 ()
starfotr ::
Dejansko je siljenje 'vse na https' en navaden bullshit, ki je internet naredil kar precej manj varnega, pa če to zagovorniki priznajo ali ne.
Kdo koga sili? Vsak še vedno lahko fura http, brez https. Čisto nič ne bo narobe.
Edino gugl te rangira slabše v svojih zadetkih. To je vse.
matijadmin ::
SeMiNeSanja je izjavil:
111111111111 je izjavil:
Pri nas ne gre nič ven preko usb ključka/diska če ni kriptirano. Ključka sistem sploh ne prebere, če nima prej vnešenega hasha iz strani admina. :) Pri nas bo morali podkupiti admina + čistilko, pa še ključek bi se moral kriptirati z 12 mestnim geslom. :D
Koliko jih poznaš, ki imajo enako strog režim? Mislim, da jih moraš kar z lupo iskat.
Samo pazi, ker se bodo pričeli oglašat šalabajzerji, ki bodo trdili, da je to nezakonito, če ti uporabnik ni podal svojega konsenza! Kako morete tako grobo posegat v uporabnikove "človekove pravice". Resnično sovražite svoje uporabnike! Pa še 12 mestno geslo? Sadisti! Ljudomrzneži!
Brihtneži si očitno razlagajo zakonodajo na način, da moraš kot delodajalec prositi uporabnike, če smeš uvajati kakršnekoli varnostne rešitve in omejitve. Čudi me le to, da ne trdijo tudi za AV na desktopu, da ti mora uporabnik podati svoj blagoslov, da mu ga smeš namestiti. Tako kot DPI namreč tudi AV prebere vse 'osebne podatke' in komunikacije. Pri kriptiranju na ključek pa sistem ravno tako 'prebere' vse, kar prenašaš. Bog ne daj, da bi imel še kakšno DLP funkcionalnost vključeno!
V bistvu je žalostno, da se oglašajo osebe, ki več kot očitno nimajo pojma o sodobnem varovanju omrežij in potem tukaj za povrhu trosijo napačne interpretacije zakonodaje. Dejansko se potem sprašuješ, kaj jim je agenda, čemu trosijo bedarije - ali res nimajo pojma, ali se namerno delajo butaste, samo da bi drugim 'srali na glavo', če jim iz bilo katerega razloga gredo 'na jetra'.
Potem ti pa še očitajo, da prodajaš varnostne rešitve. Nisem vedel, da je to danes neke vrste slabost, pregreha, malodane zločin. Ker prodajaš rešitve, kvazi nimaš pojma?
Glede na to, da s temi rešitvami delam od zgodnjih beta testov, pa vse do podpore in inštruiranja uporabnikov, sem si drznil domišljati, da se vsaj malo spoznam na to področje. No, potem pa pride nek xxxadmin in mi soli pamet, da baje nimam pojma o zadevah.
Se počutiš, kot heretik, ki ga obtožuje nek verski fanatik, ki ne dovoljuje uporabe zdravil.... Naj zmolim tri zdravemarije ali pa me bodo zažgali na grmadi, grdega grdega zeliščarja!?! Pa še vpijem naj, da je zemlja ploščata...?
Ne razumem, kako si lahko nekdo v nick da 'admin', nima osnovnega pojma o sodobnih požarnih pregradah, potem pa še nekaj na veliko jezika. Enkrat videl ASA napravo, potem namestil pfSense, in že misli, da je videl vse, kar je za videti? Kar je pa komercialnega, se pa demonizira in proglaša za 'ilegalno'? WTF?
Res bi bilo včasih bolje, če bi se ljudje držali svojih vrtičkov in se manj vtikali v stvari, v katere se ne razumejo. Če se pa že želijo vtikati, pa bi bilo dobro, da bi se najprej malo podučili, kaj je danes 'state of the art', kaj je dejansko 'standard', ko se pogovarjaš o naprednih rešitvah na nekem področju. Ne pa da nimajo pojma, potem še menijo, da morajo soliti pamet nekomu, ki se že leta vsakodnevno ukvarja z rešitvami, ki sodijo v sam vrh tega področja.
Celo med uporabniki sodobnih rešitev najdemo cel kup takih, ki nimajo pojma, kaj tista 'škatla' pravzaprav zmore in kako se iz nje izvleče največ, kar se da. Poleg tega zelo pogosto nimajo kupljenih niti osnovnih varnostnih servisov in niti dobro ne vedo, čemu ti pravzaprav služijo - istočasno pa se proglašajo za 'eksperte'.
Če jaz ne pametujem programerjem, kako naj programirajo, ali serverskim adminom, kako naj zrihtajo group policy, sql server in nevem kaj še, kakor tudi ne pametujem web adminom, kako naj nastavljajo spletne strežnike in aplikacije - zakaj se potem vsi ti vtikajo v področje požarnih pregrad, če tam niso 'doma'?
Namesto da bi poslušali in se kaj novega naučili, raje v nič dajejo ves razvoj zadnjih 20 let na tem področju. Razvoj, ki je bil strahoten, morda eden najhitrejših v informatiki. A kaj češ o tem diskutirati z osebki, katerih poznavanje področja je na nivoju stanja izpred 20-30 let in jih niti ne zanima, kaj se je v tem času spremenilo. Informacijski Amiši...?
V tem postu si samo clearly pokazal, da so tvoji odzivi čustveni in še enkrat, predvsem, da ne poznaš slovenske zakonodaje, ki ureja področe, na katerem furaš biznis. Too bad.
https://telefoncek.si/2009/12/02/dpi-te...
poweroff ::
Ukrepi morajo biti sorazmerni (kamere v navadni pisarni niso OK, kamere v visoko občutljivem varnostnem območju pač so).
In pa: zaposleni morajo biti SEZNANJENI s tem kaj se dela.
Ales ::
SeMiNeSanja je izjavil:
... Brihtneži si očitno razlagajo zakonodajo na način, da moraš kot delodajalec prositi uporabnike, če smeš uvajati kakršnekoli varnostne rešitve in omejitve. ...Zveni kot da bi ti zakonodajo vrgel skozi okno z izgovorom "varnosti". V zadnjem obdobju gledamo kup takih usmeritev, meni to diši na totalitarizem in prikladen izgovor za ukinitev državljanskih pravic lastnih državljanov.
V bistvu je žalostno, da se oglašajo osebe, ki več kot očitno nimajo pojma o sodobnem varovanju omrežij in potem tukaj za povrhu trosijo napačne interpretacije zakonodaje. Dejansko se potem sprašuješ, kaj jim je agenda...No ja, isto se človek vpraša pri tebi. A naj rečemo, da je žalostno, da se oglašaš? Sploh nisem opazil, da bi glede zakonodaje povedal kaj konkretnega, a jo pri svojem delu sploh upoštevaš?
Potem ti pa še očitajo, da prodajaš varnostne rešitve. Nisem vedel, da je to danes neke vrste slabost, pregreha, malodane zločin. Ker prodajaš rešitve, kvazi nimaš pojma?Tvoj poklic te dela pristranskega. Saj nisi edini. Bi bilo pa fajn, da bi se tega zavedal in uravnotežil pristop. Namesto tega pa dobimo dolg rant brez kakršnih koli dejanskih argumentov.
SeMiNeSanja ::
Naj bo nekaj jasno - lastnik seveda lahko kadarkoli določi ukrepe, za zavarovanje svojega omrežja ali infrastrukture. Ampak.
Ukrepi morajo biti sorazmerni (kamere v navadni pisarni niso OK, kamere v visoko občutljivem varnostnem območju pač so).
In pa: zaposleni morajo biti SEZNANJENI s tem kaj se dela.
Točno tako kot si napisal. Vse ostalo, pa so čisto navadne blodnje in zavajanje.
No, v bistvi ne le, da lastnik 'lahko' - celo DOLŽAN je ustrezno varovati osebne podatke, kar posredno pomeni tudi omrežje in infrastrukturo.
Vprašanje je le, ali je to zavajanje namerno ali je posledica neznanja in nerazumevanja tematike!
Drugače pa je celo to vprašanje (mislim da tega IP RS še ni pojasnil), če je res treba na veliko 'seznanjati' uporabnike, če promet sicer pregleduješ, vendar prometnih podatkov nikjer ne logiraš.
Pred 30 leti se je podobna debata zganjala okoli tega, če je dopustno logiranje prometnih podatkov. So se tudi našli pametnjakoviči, ki so trdili, da je to grozen zločin nad človeštvom.
Danes se ista zgodba ponavlja z dekripcijo in preverjanjem HTTPS prometa - in to od ljudi, ki sami verjetno nikoli niso uporabljali teh tehnologij in v bistvu niti dobro ne vedo, kaj to dejansko v praksi pomeni.
Pri tem pa v isti koš mečejo vse DPI tehnologije. Kot kaže, pravzaprav niti ne vedo, kaj DPI pravzaprav pomeni. Zreducirali so pojem na HTTPS, pri tem pa mu pripisali naklep vohunjenja za uporabniki.
DPI tehnologije so v resnici vse proxy tehnologije, pa če uporabljate samo Squid! DPI smo delali 30 let nazah nad HTTP prometom, da smo v njemu iskali viruse in blokirali protokolske anomalije, zaustavljali morebitne poskuse zlorab.
'Zlovešči' DPI nad HTTPS prometom ne počne popolnoma nič drugega, kot je to počel od nekdaj z navadnim HTTP prometom. Zgolj dekriptira, preveri za grožnjami in ga zakriptira nazaj, da bi promet lahko varno dostavil do uporabnika.
Popolnoma drugo poglavje so DPI tehnologije, katerim je dejansko namen vohunjenje za uporabniki. To so popolnoma druge rešitve, ki preko zrcaljenih portov zbirajo ves promet določenega uporabnika in potem lahko replicirajo kompletne seanse spletnega delovanja. Te tehnologije tudi meni vzbujajo nelagodje, saj nimajo popolnoma nič skupnega z varovanjem omrežja pred grožnjami, temveč se gre za konkretno 'prisluškovanje'.
Tukaj pa se ustvarja vtis, kot da požarne pregrade počno točno to vohunjenje, kar pa je neskončno daleč od resnice. Jaz še nisem videl požarne pregrade, ki bi beležila vsebine nekega chata ali maila, ki ga je nekdo tipkal na gmail-u in sem tudi prepričan, da tega NIKOLI ne bo počela nobena požarna pregrada - niti ob vključeni DLP funkcionalnosti.
Toda zakaj se potem v javnosti ustvarja vtis, kot da bi požarne pregrade točno to počele?
Ali se gre za zagovarjanje rabe zastarelih tehnologij, ali za navadno trollanje. Chemtrail-i v IT-ju? Teorije zarote?
Vsekakor se ne gre za interese varovanja omrežij na današnjemu času primernem nivoju, kar ti dejansko narekuje zakonodaja!
Pravilno izvedena HTTPS dekripcija kot tehnologija je 'problematična' izključno pri dostopanju do spletišč, kjer potrebuješ obojestranske certifikate. V vseh ostalih primerih, pa se v resnici ne gre za problem dekripcije in inšpekcije, temveč za problem logiranja prometnih podatkov in dostopa do njih.
Tu se tudi striže z razumevanjem zakonodaje: NI problem ne HTTPS dekripcija, niti inšpekcija dekriptiranega prometa - PROBLEM je nadzor nad dostopom do logiranih prometnih podatkov!
In zakaj je problem? Ker večina rešitev ne ponuja spodobnega trackinga vpogledov v prometne podatke, kot tudi ne ponujajo sistemske anonimizacije podatkov (z možnostjo odklepa dostopa s strani DPO pooblaščenca v podjetju)!
Skratka - zakonodaja te zavezuje, da osebne podatke varuješ. HTTPS dekripcija z inšpekcijo prometa pa je tehnologija, katere namen je izpolnjevanje te zakonske zahteve.
Drugi varnostni standardi (npr. PCI DSS ipd.) pa potem še predpisujejo logiranje prometnih podatkov - v nekaterih primerih celo do enega leta!
Skratka - zavezan si, da osebne podatke varuješ na 'primeren način', zavezan si tudi, da prometne podatke logiraš.
Kaj je 'primeren način'? Dokler se nič ne zgodi, je to vprašanje trivialno. Ko pride do kompromitacije, pa je evidentno, da podakni niso bili varovani na primeren način, če nisi uporabljal najboljše tehnologije, ki so ti za to na voljo. Med te tehnologije pa vsekakor spada tudi HTTPS dekripcija in inšpekcija!
Morda res, da marsikdo danes še smatra HTTPS dekripcijo kot neke vrste 'nadstandard', vendar je samo še vprašanje časa, kdaj bo uradno obveljalo, da to ni več noben nadstandard, temveč nuja.
Morda ima marsikdo upravičene pomisleke proti HTTPS dekripciji in inšpekciji, ker je na trgu polno enih implementacij, ki ne izpolnjujejo tega, kar obljubljajo.
Danes je zopet velika prelomnica pri TLS 1.3, kjer se pokaže, kateri proizvajalci sledijo razvoju, kateri pa uporabnike v resnici zavajajo, z razvojem ne dohajajo stanja tehnologije in posledično mečejo slabo luč na samo tehnologijo nadzora HTTPS
prometa.
Zadnjih 30 let so se požarne pregrade razvijale z navadnih packet filtrov v multifunkcijske UTM ali NextGen požarne pregrade. Pri tem se je dodajalo najrazličnejše varnostne storitve, katere pregledujejo promet za grožnjami, s katerimi se vsakodnevno soočamo.
Nepoznavalec bi na prvi pogled lahko menil, da vse rešitve počno približno isto, vendar se izza raznoraznih buzzwordov lahko skrivajo tudi precej velike razlike v sami implementaciji tehnologij.
Danes vsi ponudniki naprednih požarnih pregrad (UTM&NextGen) omogočajo odkrivanje malware-a v HTTPS prometu (ali pa rešitev ni 'napredna'!). Glede na to, da danes HTTPS predstavlja 2/3 vsega prometa to zveni vsekakor vzpodbudno - dokler se ne spustiš v 'drobni tisk' in moraš ugotoviti, da le redko kateri proizvajalec danes podpira TLS 1.3.
Če ne izvajaš nadzora na SSL/TLS kriptiranim prometom, prepuščaš 3/4 prometa brez vsakega resnega nadzora. Pri tem se gre za promet, preko katerega se pretaka večina tveganih datotek - bodisi preko spleta ali pa preko elektronske pošte.
Torej čemu potem sploh karkoli preverjati na požarni pregradi, če kriptirani promet ne preverjaš? Da bo kaj škodljivega v tisti preostali četrtini prometa, je minimalna možnost.
Toda kljub vsemu, tukaj še vedno kup 'adminov' zagovarja kamenodobno 'zaščito' na nivoju NAT-a (kaj dosti več namreč navaden stateful packet filter ne počne).
Sodobne UTM/NextGen rešitve pa so zanje neke vrste hudičevega dela, ki ga zagovarjamo izključno pokvarjeni in pohlepni prodajalci tovrstnih rešitev.
Fantje... dajte se malo izobraziti - ali pa pojdite v penzijo, zamenjajte poklic, oz. se nehajte vpletati in komentirati o zadevah, v katere se ne razumete.
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
matijadmin ::
Naj bo nekaj jasno - lastnik seveda lahko kadarkoli določi ukrepe, za zavarovanje svojega omrežja ali infrastrukture. Ampak.
Ukrepi morajo biti sorazmerni (kamere v navadni pisarni niso OK, kamere v visoko občutljivem varnostnem območju pač so).
In pa: zaposleni morajo biti SEZNANJENI s tem kaj se dela.
Odvisno čigavo je to omrežje, za operaterje in ponudnike veljajo nekoliko drugačna pravila. Delodajalci pa morajo sprejeti ustrezne notranje akte, obvestiti uporabnike in še vse to le kadar govorimo o sorazmernem ukrepu tveganjem.
SeMiNeSanja ::
matijadmin je izjavil:
Naj bo nekaj jasno - lastnik seveda lahko kadarkoli določi ukrepe, za zavarovanje svojega omrežja ali infrastrukture. Ampak.
Ukrepi morajo biti sorazmerni (kamere v navadni pisarni niso OK, kamere v visoko občutljivem varnostnem območju pač so).
In pa: zaposleni morajo biti SEZNANJENI s tem kaj se dela.
Odvisno čigavo je to omrežje, za operaterje in ponudnike veljajo nekoliko drugačna pravila. Delodajalci pa morajo sprejeti ustrezne notranje akte, obvestiti uporabnike in še vse to le kadar govorimo o sorazmernem ukrepu tveganjem.
In kaj je po tvoje sorazmerno v času izsiljevalskih virusov, ob sočasni grožnji,da te bodo zaradi GDPR obesili za jajca?
Po tvoje je očitno 'sorazmerno', da plačaš odkupnino, dogodek pa pometeš pod preprogo, da se ne bo slučajno IP RS vtaknil v to, kako si ti 'sorazmerno' varoval omrežje.
Čestitam "admin" .....
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
SeMiNeSanja ::
Očitno nimate pojma, da SSL/TLS inšpekcija prometa počne popolnoma isto, kot vsak malo boljši desktop antivirus.
Razlika je le v toliko, da je v primeru požarne pregrade nadzor na eni centralni točki namesto decentraliziran, ter da se vodi loge komunikacij.
Tem logom pa se tako in tako ne moreš izogniti, če želiš biti skladen z določenimi varnostnimi standardi.
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
poweroff ::
matijadmin je izjavil:
Naj bo nekaj jasno - lastnik seveda lahko kadarkoli določi ukrepe, za zavarovanje svojega omrežja ali infrastrukture. Ampak.
Ukrepi morajo biti sorazmerni (kamere v navadni pisarni niso OK, kamere v visoko občutljivem varnostnem območju pač so).
In pa: zaposleni morajo biti SEZNANJENI s tem kaj se dela.
Odvisno čigavo je to omrežje, za operaterje in ponudnike veljajo nekoliko drugačna pravila. Delodajalci pa morajo sprejeti ustrezne notranje akte, obvestiti uporabnike in še vse to le kadar govorimo o sorazmernem ukrepu tveganjem.
Ja, seveda. Mislil sem privatna podjetja in njihove zaposlene. Operaterji so druga zgodba.
call_cry-pto ::
Zgodovina sprememb…
- predlagal izbris: knesz ()
slomakita ::
Ali pa sta mogoče jo? Če kdo ve, kaj sta uporbljala? je na seznamu certificirane opreme?
Skoraj ne morem verjet, da sta se pogovarjala kar tako, preko navadne linije... :/
p.s. -- v Jugi so na službenih telefonih pogosto bile nalepke "Pazi, neprijatelj sluša"
Zgodovina sprememb…
- spremenilo: slomakita ()
MrStein ::
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
suri ::
Vedla je tudi švicarksa tajna služba, zaposleni Crypto AG delali brez vedenja kot agentje. Nekateri zaposleni obvestili švicarske organe, tožilstvo opustilo pregon (kaj znano?)...
P.S. Zanimivo, da se je tudi ta tehnična debata sprevrgla v gostilniško debato. Kot po knjigi, si bi človek mislil...
Zgodovina sprememb…
- spremenilo: suri ()
matijadmin ::
SeMiNeSanja je izjavil:
Še nekaj....
Očitno nimate pojma, da SSL/TLS inšpekcija prometa počne popolnoma isto, kot vsak malo boljši desktop antivirus.
Razlika je le v toliko, da je v primeru požarne pregrade nadzor na eni centralni točki namesto decentraliziran, ter da se vodi loge komunikacij.
Tem logom pa se tako in tako ne moreš izogniti, če želiš biti skladen z določenimi varnostnimi standardi.
Katerimi standardi točni? ISO 27001, PCI DSS, SOC2? A da ne gre brez DPI?
SeMiNeSanja je izjavil:
matijadmin je izjavil:
Naj bo nekaj jasno - lastnik seveda lahko kadarkoli določi ukrepe, za zavarovanje svojega omrežja ali infrastrukture. Ampak.
Ukrepi morajo biti sorazmerni (kamere v navadni pisarni niso OK, kamere v visoko občutljivem varnostnem območju pač so).
In pa: zaposleni morajo biti SEZNANJENI s tem kaj se dela.
Odvisno čigavo je to omrežje, za operaterje in ponudnike veljajo nekoliko drugačna pravila. Delodajalci pa morajo sprejeti ustrezne notranje akte, obvestiti uporabnike in še vse to le kadar govorimo o sorazmernem ukrepu tveganjem.
In kaj je po tvoje sorazmerno v času izsiljevalskih virusov, ob sočasni grožnji,da te bodo zaradi GDPR obesili za jajca?
Po tvoje je očitno 'sorazmerno', da plačaš odkupnino, dogodek pa pometeš pod preprogo, da se ne bo slučajno IP RS vtaknil v to, kako si ti 'sorazmerno' varoval omrežje.
Čestitam "admin" .....
1) Da se drugače, z drugimi prijemi in morda celo bolje.
2) Da je DPI bolj učinkovit (ali včasih sploh), ga moraš izvajati na nešifriranih povezavah. Ali pa izvajati MITM z nekim certom org. Oboje je zelo tvegano.
Zgodovina sprememb…
- spremenil: matijadmin ()
SeMiNeSanja ::
Res misliš, da si kompetenten sogovornik, da komurkoli pametuješ o nadzorovanju SSL/TLS prometa?
Ali z drugimi besedami: obveščevalne službe širom sveta so izredno veseli takih diletantov in nabijanja o 'škodljivosti' nadzora nad kriptiranim prometom. Veselijo se vas tudi vsi tisti, ki služijo z okuževanjem omrežij z kriptovirusi in drugimi nadlogami.
Ob taki naivnosti, res ne rabimo še nekih Crypto AG-jev, ker se vam lahko preko SSL/TLS kriptiranih povezav sprehajajo po omrežju, kradejo kar hočejo ali celo kaj podtaknejo.
In wau, cert lastne organizacije je nevarno uporabljati? Če lastnemu ne zaupaš - čigavemu potem lahko?
In koliko krat je treba še ponoviti, da DPI nima NOBENE veze z SSL/TLS dekripcijo? DPI se lahko izvaja nad katerimkoli prometom in pomeni zgolj to, da se 'analizira' protokol/vsebina/payload/...
DPI lahko izvajaš tako nad DNS prometom, kot nad HTTP ali HTTPS. Edina razlika je v tem, da moraš HTTPS promet najprej dekriptirati, da bi ga lahko analiziral.
Drugače pa točno to počne tudi AV na desktopu, za vsak desktop posebej. Le da AV proizvodi nimajo kaj dosti pojma o mrežnih protokolih in ne bodo odkrili, da ti nekdo skuša vzpostavljati VPN tunel preko HTTPS povezave ali kakšen drug tunel preko DNS protokola.
Skratka, način, na katerega uporabljate izraz DPI, že sam po sebi priča o tem, da nimate pojma o celi zadevi in kar nekaj nabijate, samo da nabijate.
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
Ales ::
SeMiNeSanja je izjavil:
In koliko krat je treba še ponoviti, da DPI nima NOBENE veze z SSL/TLS dekripcijo? DPI se lahko izvaja nad katerimkoli prometom in pomeni zgolj to, da se 'analizira' protokol/vsebina/payload/...
DPI lahko izvajaš tako nad DNS prometom, kot nad HTTP ali HTTPS. Edina razlika je v tem, da moraš HTTPS promet najprej dekriptirati, da bi ga lahko analiziral.
Kaj je zdaj, ima kaj veze, nima veze? Mora biti HTTPS promet za analizo dekriptiran ali ne? Odloči se. (retorična vprašanja, ne se trudit)
Skratka, način, na katerega uporabljate izraz DPI, že sam po sebi priča o tem, da nimate pojma o celi zadevi in kar nekaj nabijate, samo da nabijate.
Luba duša, nehaj se napihovati in žaliti vse po vrsti. Nimaš nobenega razloga.
Če bi samo videl skozi oči kakega drugega bralca, kako v tej temi zgleda tvoj odnos in tvoji posti... Uau.
SeMiNeSanja ::
Kako pa naj 'izgleda' oporekanje lažnim trditvam?
Kako naj izgleda, če imaš poven kufer, ker se nekomu ne da dopovedati, KAJ JE in KAJ NI DPI ?
Kako naj izgleda, če se potem raje obregate ob MENE, kot da bi se ukvarjali s samim razumevanjem zadeva, o kateri se diskutira?
Sorry, meni to preklemansko izgleda kot spodbujanje diletantizma in pljuvanje po tistemu, ki se mu malenkostno sanja o teh rečeh, ker ima že 30 let opravka z njimi!
Odločite se že enkrat, ali se hočete kaj naučiti, ali pa hodite sem gor samo zato, da bi črnili tiste, ki vam skušajo kaj povedati.
Dajte si napis na nick, da hočete trollat in zajebavat, pa se vas bo pač preskočilo.
Ne vem, zakaj ste tako preklemansko radi super pametni o rečeh, s katerimi sploh ne delate in s katerimi nimate izkušenj.
Naj se oglasi tisti, ki je DEJANSKO delal z SSL/TLS dekripcijo, ne pa nekdo, ki (iz verskih razlogov?) dela velik ovinek okoli tega in si okoli vratu naveša venec česna, čim samo omeniš SSL/TLS dekripcijo.
Potem pa temu na koncu še reče, da je to DPI. Sorry, to NI DPI! Najprej se naučite, kaj DPI sploh je, da boste lahko o tem diskutirali!
Potem pa še tako daleč pridemo, da ne veste kaj sploh DPI je - pa kar na blef trdite, da je to nekaj 'nezakonitega', potem pa nekaj blodenj o nekem 'konsenzu'.
Kaj ni to žaljitev zdravega človeškega razuma?
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
SeMiNeSanja ::
Ja, imam 'pomanjkljivost' - na požarni pregradi imam izključene vse verzije TLS-a, ki so nižje od 1.2 in ne podpiram SSL-a.
Kaj pa vaši brskalniki? Tudi pridejo skozi z oceno 'good'?
Ali vam oceno sesuje že desktop antivirus?
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
nsa_ag3nt ::
Še nekaj podrobnosti:
Vedla je tudi švicarksa tajna služba, zaposleni Crypto AG delali brez vedenja kot agentje. Nekateri zaposleni obvestili švicarske organe, tožilstvo opustilo pregon (kaj znano?)...
P.S. Zanimivo, da se je tudi ta tehnična debata sprevrgla v gostilniško debato. Kot po knjigi, si bi človek mislil...
Kaj je Crypto AG 2.0 ? Android (z google dodatki)/iphone telefoni ?
Zgodovina sprememb…
- spremenilo: nsa_ag3nt ()
poweroff ::
SeMiNeSanja je izjavil:
Glede na to, da je tukaj SSLTest od Qualisa tako visoko cenjen, pripenjam sliko Client SSL testa (Firefox) ob vključeni SSL/TLS inšpekciji.
Ja, pa saj je jasno zakaj je tako.
SeMiNeSanja je izjavil:
Kaj pa vaši brskalniki? Tudi pridejo skozi z oceno 'good'?
Jasno.
SeMiNeSanja je izjavil:
Ali vam oceno sesuje že desktop antivirus?
Jaz ne uporabljam antivirusov. In ne poganjam kakršnegakoli zaprtega programa s sistemskimi privilegiji.
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Glede na to, da je tukaj SSLTest od Qualisa tako visoko cenjen, pripenjam sliko Client SSL testa (Firefox) ob vključeni SSL/TLS inšpekciji.
Ja, pa saj je jasno zakaj je tako.
SeMiNeSanja je izjavil:
Kaj pa vaši brskalniki? Tudi pridejo skozi z oceno 'good'?
Jasno.
SeMiNeSanja je izjavil:
Ali vam oceno sesuje že desktop antivirus?
Jaz ne uporabljam antivirusov. In ne poganjam kakršnegakoli zaprtega programa s sistemskimi privilegiji.
@Matthai - napisano je bilo zato, ker 'eksperti' trdijo, da požarna pregrada z vključenim nadzorom SSL/TLS prometa vnaša nevem kakšne grožnje in dodatne varnostne luknje.
Priloženo jim je bilo v dokaz, da očitno le ni tako 'grozno', če z mojim brskalnikom preživim priljubljeni SSL/TLS test, kot bi rekli "with flying colors".
Verjetno pa ni nihče pogledal linka do raziskave izpred parih let, ki je razkrinkala vrsto proizvodov, kateri so dejansko 'sesuli' SSL/TLS varnost zaradi svoje bedne implementacije.
Nekje sem imel celo neke 'in-depth' podatke TLS testiranj NSS Labs v lanskem group testu požarnih pregrad, ampak bi jih bilo popolnoma nesmiselno objavljati, če tukaj ljudje ne znajo ločiti niti med DPI in SSL/TLS dekripcijo. Če ljudem ni jasno, da vsak ALG ali proxy izvaja DPI, ter da SSL/TLS dekripcijo izvaja tudi marsikateri desktop antivirus.
Po eni strani sem naveličan nekih pavšalnih 'anti' trditev brez enega samega konkretnega primera. Kajti na koncu bi se vedno izkazalo, da če so kje problemi, so ti vedno povezani z crap implementacijami raznih proizvajalcev, ki desetletja zamujajo s tovrstno tehnologijo, potem pa menijo, da morajo po levi prehitevati.
Potem pa se zaradi nekaj črnih ovac pomeče vse rešitve v isti lonec in začne z dretjem, kakšno hudičevo delo je to, da bo sesulo cel internet, da predstavlja zločin nad človeštvom, kršenje človekovih pravic, ustave Bananistana in kaj vem kaj še. No, pa še česen se privleče na dan in škropi z blagoslovljeno vodo. Tako čisto za vsak slučaj.
A ni tam pri antivaxxerjih nekako podoben pristop?
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
poweroff ::
SeMiNeSanja je izjavil:
Priloženo jim je bilo v dokaz, da očitno le ni tako 'grozno', če z mojim brskalnikom preživim priljubljeni SSL/TLS test, kot bi rekli "with flying colors".
Ja, ampak to ne dokazuje tega.
To samo dokazuje, da se je tvoj brskalnik sposoben varno (šifrirano) povezati na požarno pregrado. Kaj se pa tam dogaja pa nima veze s tem testom.
Kaj če recimo požarna pregrada potem vmes vriva zlonameren promet? Tega ta test nič ne kaže.
V bistvu je to isto kot če preko HTTPS strani dobiš malware. To, da stran uporablja HTTPS, še ne pomeni, da ti ne more servirat malwera. In to, da tvoj brskalnik podpisa samo TLS1.3, če ne pomeni, da ne more dobiti šifriranega malwera.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Crypto AG: umazana obveščevalna zgodba bajnih zaslužkov (strani: 1 2 3 )Oddelek: Novice / NWO | 32072 (22404) | poweroff |
» | Nova prisluškovalna afera s švicarsko opremo za šifriranje: OmnisecOddelek: Novice / Varnost | 6781 (4659) | poweroff |
⊘ | VPN ni anonimen (strani: 1 2 )Oddelek: Loža | 7974 (6707) | Facebook dev |
» | Maximator: evropsko elitno združenje za prisluškovanjeOddelek: Novice / Varnost | 5742 (4199) | boldleaf |
» | Domače branje: "Bamford, James. 1983. The Puzzle Palace. Baskerville: Penguin Books."Oddelek: Novice / Domače branje | 5668 (4788) | STASI |