Novice » NWO » Crypto AG: umazana obveščevalna zgodba bajnih zaslužkov
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Priloženo jim je bilo v dokaz, da očitno le ni tako 'grozno', če z mojim brskalnikom preživim priljubljeni SSL/TLS test, kot bi rekli "with flying colors".
Ja, ampak to ne dokazuje tega.
To samo dokazuje, da se je tvoj brskalnik sposoben varno (šifrirano) povezati na požarno pregrado. Kaj se pa tam dogaja pa nima veze s tem testom.
Kaj če recimo požarna pregrada potem vmes vriva zlonameren promet? Tega ta test nič ne kaže.
V bistvu je to isto kot če preko HTTPS strani dobiš malware. To, da stran uporablja HTTPS, še ne pomeni, da ti ne more servirat malwera. In to, da tvoj brskalnik podpisa samo TLS1.3, če ne pomeni, da ne more dobiti šifriranega malwera.
Izpis/test se ne generira na brskalniku, temveč se testira end-to-end. Če smo dlakocepski, bi tako kvečjemu lahko trdil, da je komunikacija med Qualis-ovim strežnikom in požarno pregrado o.k., ker za tisti del povezave izza požarne pregrade, do mojega brskalnika, Qualis-u odgovore vrača požarna pregrada, brskalnik torej samo posredno.
Če bi bila implementacija slaba, nebi nikoli videl niti TLS 1.3 podpore, kaj šele kaj več, ker mora požarna pregrada tako dobro posredovati do brskalnika, da Qualis-ov server to ne zazna kot pomanjkljivost v protokolu.
Ne vem pa zakaj vlečeš ven možnost, da ti bo požarna pregrada kaj vrivala. Meni požarna pregrada kvečjemu kaj neželenega ven pomeče! Če ne zaupaš požarni pregradi, jo pač nimaš - vsaj to znamko ne. Če ne zaupaš omrežju (javna omr., gostilne, hoteli,...), se pa tako in tako nimaš kaj povezovati nanj, še najmanj pa preko njega komunicirati brez VPN povezave!
A ti pa HTTPS-u in certifikatom zaupaš brezmejno?
Jaz jim ne, ampak mi nič drugega ne preostane, ker boljše opcije nimam!
Vedno je vprašanje, kaj hočeš doseči. Če hočeš varovati omrežje, sklepaš drugačne kompromise, kot če hočeš varovati svojo 'zadnjico'. Vse preveč gledaš na internetno varnost v vlogi političnega preganjanca (ali vohuna?), da potem ne razmišljaš o težavah 'normalnih' omrežij, na katerih se ne tepe političnih disidentov.
Ne razumem tvojo argumentacijo 'če dobiš preko HTTPS strani malware..' - pa saj ravno zaradi tega se to dela, da ta malware prepoznaš in onemogočiš z vsemi razpoložljivimi sredstvi. Če kliknem na eicarcom2.zip file, se mi oglasi IPS že daleč predenj se antivirus prične ukvarjati z datoteko. Pri tem pa mi secure.eicar.org vrže na blocklisto, da tudi kaj drugega tam ne morem 'pomotoma' početi. Če bi hotel to datoteko prenesti na moj računalnik, bi moral po vrsti izklapljat celo vrsto zaščit, da bi na koncu procesa enkrat datoteka pristala na računalniku, kjer bi šele lahko desktop AV zagnal paniko.
Tebi se gre za to, da boš lahko neopaženo pošiljal 'sumljive' datoteke - meni pa da se to na mojem omrežju ne dogaja.
Pozabljaš, da se lahko okužiš in sistem sam vleče malware, kar ob odsotnosti antivirusa najbrž ne boš opazil dokler ne bo že prepozno. Postaneš člen botneta, ne da bi vedel, celo 'oblast' ti lahko podtakne kakšnega 'vladnega trojanca', ki ga ne boš imel s čem zaznati, ker si slep za vse, kar se pretaka znotraj SSL/TLS povezav. Vidiš samo source/destination in port, kar ti pa samo zase nič ne pove.
Kako torej potem preprečiš, da te kot disidenta ne okuži hudobna vlada? Oz. kako še pravočasno prepoznaš, da te je?
Namesto vlade je lahko v igri tudi industrijska špionaža in cela vrsta drugih 'nevšečnosti'.
Če sešteješ HTTPS+SMTPS+IMAPS/POP3S si danes že na 3/4 vsega prometa, ki ga uporabniško omrežje ustvarja. Si RES prepričan, da zadošča zgolj 'vpogled' v source/destination, da boš omrežje obranil pred nekim trojancem ali drugim malware-om?
Jaz se potem sprašujem, kaj ti koristi telegraf in vse ostale fancy aplikacije za 'varno komunikacijo', če imaš računalnik kompromitiran in nisi v stanju tega opaziti. Dobro veš, da soliden rootkit zna marsikaj skriti, tako da tudi z opazovanjem procesov ne boš daleč prišel. Na koncu obvelja edina resnica: MREŽA NIKOLI NE LAŽE - Vsaka komunikacija mora ven preko mreže. Če se ti na računalniku lahko prikriva, na mreži te možnosti nima, če lahko nadziraš VES promet in ne le tisto 1/4, katera ni SSL/TLS kriptirana.
Skratka, tudi iz tvojega zornega kota, bi moral misliti malenkost širše in ti biti jasno, da ne moreš kar zamižati, kaj se v tistih 3/4 prometa skriva.
Danes še vedno marsikdo uporablja tako butaste rešitve, da lahko preko porta 443 pošlješ ven karkoli hočeš, tudi plaintext telnet lahko zganjaš čez, ker niso v stanju zaznati niti to, ali se sploh gre za HTTPS promet.
Če to ne gre na portu 443, pa potem zlorabijo kakšen DNS promet, ker niso v stanju, da zaznajo, da to niso regularna DNS povpraševanja ampak povsem nekaj drugega.
No, pa v bistvu so ti še kar dobri - še več jih je, ki imajo vse porte odprte proti svetu in lahko bilokaj komunicira na bilokateri način. Običajno tuporabniki v teh omrežjih pravijo, da stvari 'odlično delujejo'. Seveda, odlično delujejo - a kaj, ko odlično delujejo tudi tiste stvari, katere niti pod razno nebi želel imeti na svoji mreži (recimo tor strežnik z otroško pornografijo?).
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
matijadmin ::
SeMiNeSNja, res se ti ne sanja, ker ti "veš," kaj drugi znamo, vemo in mislimo. Bedarija.
Problem certa požarne je, ker centraliziraš tudi tveganje. Požarne se da obiti, pa tudi ranljivosti so se že našle.
Antivirusi ne počnejo tega, kar jim pripisuješ. To so namizne požarne oz. ti. endpoint security rešitve, ki jih vsebujejo s še drugimi mehanizmi. Običajno. Res pa je, da določeni AV pošiljajo hashe in/ali datoteke k njim v oblak, taki me seveda zelo motijo.
Ker vidim, da ne bova zbližala stališč in ker tveganj, ki jih dodatno prinašaji rešitve z DPI nočeš videti, je brez smisla, da replicirava drug drugemu.
Problem certa požarne je, ker centraliziraš tudi tveganje. Požarne se da obiti, pa tudi ranljivosti so se že našle.
Antivirusi ne počnejo tega, kar jim pripisuješ. To so namizne požarne oz. ti. endpoint security rešitve, ki jih vsebujejo s še drugimi mehanizmi. Običajno. Res pa je, da določeni AV pošiljajo hashe in/ali datoteke k njim v oblak, taki me seveda zelo motijo.
Ker vidim, da ne bova zbližala stališč in ker tveganj, ki jih dodatno prinašaji rešitve z DPI nočeš videti, je brez smisla, da replicirava drug drugemu.
Vrnite nam techno!
Zgodovina sprememb…
- spremenil: matijadmin ()
SeMiNeSanja ::
matijadmin je izjavil:
SeMiNeSNja, res se ti ne sanja, ker ti "veš," kaj drugi znamo, vemo in mislimo. Bedarija.
Problem certa požarne je, ker centraliziraš tudi tveganje. Požarne se da obiti, pa tudi ranljivosti so se že našle.
Antivirusi ne počnejo tega, kar jim pripisuješ. To so namizne požarne oz. ti. endpoint security rešitve, ki jih vsebujejo s še drugimi mehanizmi. Običajno. Res pa je, da določeni AV pošiljajo hashe in/ali datoteke k njim v oblak, taki me seveda zelo motijo.
Ker vidim, da ne bova zbližala stališč in ker tveganj, ki jih dodatno prinašaji rešitve z DPI nočeš videti, je brez smisla, da replicirava drug drugemu.
Kot rečeno, ne razumeš (nočeš razumeti?) že 5x razloženo razliko med DPI in SSL/TLS dekripcijo in še vedno uporabljaš napačni izraz (namerno?).
Itak pa imaš TI prav, celotna industrija požarnih pregrad pa je zmotnega prepričanja? Na, še celo pri Cisco Meraki so 'nasedli' in sedaj na vrat na nos uvajajo SSL/TLS dekripcijo!
Ampak ja... TI imaš prav....
Taki vročekrvni zagovorniki se najdejo pri cepljenju, pri 5G tehnologijah in še nevem kje. Veliko vpijete, oprijemljivih argumentov pa od vas itak ni.
Ali sem enkrat samkrat rekel, da zaradi požarne pregrade odpraviš endpoint security? Kdorkoli dela z UTM/NextGen rešitvami, se od prvega dne uči, da se varnost gradi v plasteh in v sklopu tega se ve, da se ne sme zanemarjati niti varnost na samemu desktopu. Ti in tebi podobni pa ustvarjate vtis, kot da bi trdil ravno nasprotno. Čemu?
Danes se gre še dlje in se dejansko dela korelacije med procesi in komunikacijami med endpointi ter internetom (požarno pregrado) - poleg klasične AV zaščite končne točke.
Kdor je kdaj uporabljal Virustotal, točno ve, da ga ni antivirusa, na katerega bi se lahko 100% zanesel, še najmanj pa za 0day malware. V mnogih primerih posamezni proizvajalec še dneve, celo tedne po pojavu določenega malware nima signature zanj, v kar smo se lahko že dolgo nazaj prepričali na Virustotal portalu.
Zato se endpoint security nadgrajuje z pametno požarno pregrado in dodatnim preverjanjem z drugim AV, sandbox analitiko in številnimi drugimi tehnologijami/varnostnimi storitvami.
Pa če že lahko na Windows PC-je nabiješ nek dodaten endpoint security - kaj pa nabiješ na vse tiste fancy IoT naprave? Taki kot ti potem gostujete hladilnike, ki spammajo v svet? Aja, port 25 imaš zaprt, čez port 443 pa se ne pošilja maila? Ups, čak - ali ni bil ne SMTPS, kriptiran, tam nekje na portu 465?
No, kakorkoli že - okužena IoT naprava tudi lahko postane leglo za distribucijo malware-a v lastnem omrežju, kakor tudi v tuja omrežja (port 443?).
V bistvu se je treba vrniti na začetek zgodbe in se vprašati, kaj je razlog, zakaj bi se nekdo tako zelo branil, da bi blokiral potencialno nevarne povezave in prenose že na samem obrobju omrežja podjetja.
Če ta možnost obstaja, zakaj bi tvegal in poslovanje podjetja po nepotrebnem izpostavljal grožnjam?
Desktop security je zadnji obrambni zid - pri vas inkvizitorjih pa očitno tudi edini!
Kako strankam/delodajalcem potem razlagate, da jim ne nudite najboljše možne večplastne zaščite omrežja in poslovanja? S tem, da je lahko požarna pregrada kompromitirana? Resno? Potem jih pa kar se vrzimo proč!
Pa antivirus tudi vrzi proč, ker je tudi ta lahko kompromitiran!
Argumenti? Argumenti? Presneto na majavih nogah!
Ampak ja... cela industrija se moti, vključno z Gartnerji, NSS Labs, itd. itd. Vsi so samo požrtni na denar. Edino antivaxxerji imajo prav, ne pa grda požrešna farma industrija?
Ti in tebi podobni ste IT antivaxxerji.
Če meniš, da jaz govorim bullshit, pa lahko povprašava, kaj menijo pri vodilnih svetovnih IT podjetjih o pomembnosti nadzorovanja 3/4 prometa, ki bi ga ti kar brez vsakega nadzora spustil. Pojdi danes vprašat v Lekarne Ljubljana, če še spuščajo 3/4 prometa, ne da bi ga kontrolirali!
Eni se pač morate naučiti lekcije tako, da vas usoda pretepe.....
Ali se gre zgolj za lenobo? Vzpostaviti striktno varnostno politiko in spodobno filtriranje prometa je tudi nekaj dela. Če ga opraviš (preveč?) vestno, imaš s tem neprestano nekaj dela. Seveda je potem lažje nastaviti eno samo pravilo "From: Trusted To:Any - Allow ANY". Vse deluje, nihče se ne pritožuje, 'Delo' opravljeno! (žal je točno to stanje na več kot polovici, če ne celo 3/4 vseh perimeter naprav!)
Torej.... želiš, da povprašamo pri Meraki, zakaj uvajajo SSL/TLS inšpekcijo? Ali pri keremu drugemu proizvajalcu, zakaj so to tehnologijo uvedli že pred desetletji?
Ali vprašamo pri NSS Labs, zakaj na njihovih testih ne sodeluje niti ena požarna pregrada brez SSL/TLS inšpekcije? Pa zakaj pravzaprav tudi toliko časa posvetijo analizi delovanja posamezne implementacij SSL/TLS inšpekcije?
Kako je že bilo z certom požarne pregrade? Danes cert požarne pregrade podpišeš na certifikatnemu strežniku podjetja (če imaš MS domeno, je to certifikat, ki ga je podpisal domenski strežnik). Če je torej certifikat požarne pregrade problematičen, potem je tudi VSA domenska varnost problematična, ker zavisi od zaupanja v lastne domenske certifikate. Skratka najbolje, da kar zapreš štacuno, če tudi temu ne zaupaš. Gremo nazaj v kameno dobo - v jamah brez elektrike je bilo še najbolj 'varno'.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
poweroff ::
Zdaj bom malo nesramen in bom rekel, da če ne uporabljaš Wintendo/closed opreme, potem tudi DPI ni potreben, niti desktop AV...
OK, malo pretiravam in provociram, ampak "u got the point".
OK, malo pretiravam in provociram, ampak "u got the point".
sudo poweroff
jukoz ::
Ker smo pošteno zašli se bom malo oglasil o deep pocket inspection-u:
@SeMiNeSanja, daj prosim razloži kako izvajaš dekripcijo SSL/TLS - vse ali so izjeme. Ker vsega prometa ne smeš dešifrirati (banke, prijave na FB, ...).
Saj meni si že povedal, še ostalim povej.
Lahko pa tudi jaz - uvajaš izjeme. In teh izjem je veliko - vse kar gre na FB, na googla, na amazon, na azure, paypal...
In kar naenkrat si na tem, da vseeno prepuščaš 3/4 prometa nepregledanega, pregleduješ pa random strani, zaščitene z LetsEncrypt, ker jih google drugače slabše rangira.
In kaj ostane na teh izjemah? Čudni fajli na google drive, dropbox ali pa office 365.
In kar naenkrat je edina obrambna linija spet AV na klientu.
Ker prosim ne mi razlagat, da lahko 300, 500 ali par giga velik blob FW pregleda on-the-fly in oceni ali ga lahko klient sploh prenese =)
@SeMiNeSanja, daj prosim razloži kako izvajaš dekripcijo SSL/TLS - vse ali so izjeme. Ker vsega prometa ne smeš dešifrirati (banke, prijave na FB, ...).
Saj meni si že povedal, še ostalim povej.
Lahko pa tudi jaz - uvajaš izjeme. In teh izjem je veliko - vse kar gre na FB, na googla, na amazon, na azure, paypal...
In kar naenkrat si na tem, da vseeno prepuščaš 3/4 prometa nepregledanega, pregleduješ pa random strani, zaščitene z LetsEncrypt, ker jih google drugače slabše rangira.
In kaj ostane na teh izjemah? Čudni fajli na google drive, dropbox ali pa office 365.
In kar naenkrat je edina obrambna linija spet AV na klientu.
Ker prosim ne mi razlagat, da lahko 300, 500 ali par giga velik blob FW pregleda on-the-fly in oceni ali ga lahko klient sploh prenese =)
misek ::
SeMiNeSanja, imam občutek, da so tvoji prispevki daleč, daleč predolgi. Imaš morda kakšen blog, kjer si lahko preberemo kaj več o tem, kar počneš?
SeMiNeSanja ::
Zdaj bom malo nesramen in bom rekel, da če ne uporabljaš Wintendo/closed opreme, potem tudi DPI ni potreben, niti desktop AV...
OK, malo pretiravam in provociram, ampak "u got the point".
Kako je bila že tista objava zadnjič, da je danes več malware-a na eplu, kakor na polknih?
Se bojim, da bo čas, da počasi spremeniš svojo miselnost in pristop.
Drugače pa so včasih temu rekli "security through obscurity", zagovornike pa pribijali na križ kot diletante - celo takrat, ko 'obskurnost' to sploh ni bila, temveč prej 'taktika'.
Danes se je to sicer malenkost posodobilo in se 'obskurnost' jemlje kot dodatni 'security layer'.
No, problem pa je, če ti je to edini layer....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
poweroff ::
Saj zato pa pravim, da je to pretiravanje in provokacija.
V resnici mi je jasno, da Linux ni kar magično zaščiten proti malwareu samo zato, ker je Linux.
V resnici mi je jasno, da Linux ni kar magično zaščiten proti malwareu samo zato, ker je Linux.
sudo poweroff
SeMiNeSanja ::
Ker smo pošteno zašli se bom malo oglasil o deep pocket inspection-u:
@SeMiNeSanja, daj prosim razloži kako izvajaš dekripcijo SSL/TLS - vse ali so izjeme. Ker vsega prometa ne smeš dešifrirati (banke, prijave na FB, ...).
Saj meni si že povedal, še ostalim povej.
Lahko pa tudi jaz - uvajaš izjeme. In teh izjem je veliko - vse kar gre na FB, na googla, na amazon, na azure, paypal...
In kar naenkrat si na tem, da vseeno prepuščaš 3/4 prometa nepregledanega, pregleduješ pa random strani, zaščitene z LetsEncrypt, ker jih google drugače slabše rangira.
In kaj ostane na teh izjemah? Čudni fajli na google drive, dropbox ali pa office 365.
In kar naenkrat je edina obrambna linija spet AV na klientu.
Ker prosim ne mi razlagat, da lahko 300, 500 ali par giga velik blob FW pregleda on-the-fly in oceni ali ga lahko klient sploh prenese =)
Če v podjetju moraš uvesti toliko izjem, kot jih ti navajaš, potem je že v osnovi nekaj narobe z varnostno politiko podjetja.
Če že 'morajo' v podjetju imeti dostop do FB - zakaj bi moral na tega obesiti izjemo? Od nekdaj je FB znan kot gojišče neželenih nadlog, poleg tega pa ni ravno 'spodbujevalec produktivnosti'.
No, potem pa imaš take primere, kot tisti, da sem v čakalnici zdravstvenega doma čakal kot budala, med. sestra pa brez kančka sramu na istem računalniku, na katerem se obdeluje podatke pacientov brskala po FaceBook-u.
Drugače pa na nič od tega, kar si napisal ne moreš kar pavšalno odgovoriti, ker to v prvi liniji zavisi od varnostne politike podjetja. Ali banke dovolijo uporabnikom dostop do Google/One Drive in podobnih oblačnih storitev?
Če uporabljajo Azure - ga uporabljajo preko VPN ali direktno?
Požarne pregrade in SSL/TLS inšpekcija ne obstajata za to, da bi zamenjala neko pametno varnostno politiko. Nasprotno - so zgolj orodja, s katerimi lahko podkrepimo varnostno politiko!
Morda je tudi tu eden od problemov, ker marsikdo sodobnih požarnih pregrad ne razume kot 'orodja', temveč misli, da mora kar sama od sebe rešiti vse težave.
V resnici pa moraš najprej vedeti, kakšno varnost pravzaprav sploh želiš imeti. Šele nato izbereš in prilagodiš orodja (požarno pregrado, varnostne storitve, endpoint security, strežniške konfiguracije, nadzorna orodja, kadre?,......), da boš lahko zadano varnostno politiko uveljavil, izvajal in nadzoroval.
Tp pa pomeni, da lahko FB&Co potegnejo 'ta kratko', ker enostavno predstavljajo preveliko tveganje. Podobno tudi razno razni 'drive-i'.
Istočasno pa se seveda v skladu z politiko definira izjeme - npr. marketing oddelek lahko dostopa do FB, backup server lahko odlaga backup v Cloud in podobno.
Stvari niso črno-bele, enako pa tudi niso 'zabetonirane'. Neka storitev, za katero se pokaže, da ima resne varnostne težave, se lahko ukine preko noči - brez da bi rabil komurkoli kaj pojasnjevati. Na drugi strani pa se zaradi poslovnih potreb omogoči kakšno drugo storitev, ki je bila prej nedostopna.
Večina forumašev ima izkušnje zgolj z 'routerji', zato potem tudi ne morejo razumeti, kako vraga bi lahko bila požarna pregrada, ki je zanje zgolj 'malo dražji router' neko orodje.
Ravno tako so navajeni, da se router enkrat nastavi, naslednjih 10 let pa se ga dotakneš kvečjemu še za kakšen update ali da bi dodal kakšen nov port za forwarding.
Takemu uporabniku že sama misel na to, da 'blackbox' kar na enkrat ni več navadna črna škatla povzroča nelagodje.
Potem pa pridejo naokoli eni pametnjakoviči, ki začno trditi, da je to samo zato tam, da se bo vohunilo za zaposlenimi. Bravo!
Potem pa se demonizira vse nove tehnologije, da se teorije zarote še dodatno podkrepi. Tako potem že leta eni in isti osebki demonizirajo inšpekcijo SSL/TLS prometa.
Ampak zares prepričljivega argumenta še nisem slišal. Vedno so argumenti nekje v smeri, da bi radi počeli nekaj, kar ni ravno najbolj dovoljeno in se bojijo, da bi bili pri tem zaloteni.
No, zadnje čase se jim pridružujejo kompromitirane varnostne rešitve. Kar vse varnostne rešitve so danes očitno že tako slabo narejene, da ti podtikajo nevem kaj. No, če so varnostne rešitve take - kakšne so šele aplikacije, ki jih uporabljajo ti dvomljivci? Mogoče bi zanje bilo najbolje, če s podstrešja privlečejo stari pisalni stroj?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
taliban ::
SeMiNeSanja je izjavil:
Potem pa pridejo naokoli eni pametnjakoviči, ki začno trditi, da je to samo zato tam, da se bo vohunilo za zaposlenimi. Bravo!
Potem pa se demonizira vse nove tehnologije, da se teorije zarote še dodatno podkrepi. Tako potem že leta eni in isti osebki demonizirajo inšpekcijo SSL/TLS prometa.
Ampak zares prepričljivega argumenta še nisem slišal. Vedno so argumenti nekje v smeri, da bi radi počeli nekaj, kar ni ravno najbolj dovoljeno in se bojijo, da bi bili pri tem zaloteni.
No, zadnje čase se jim pridružujejo kompromitirane varnostne rešitve. Kar vse varnostne rešitve so danes očitno že tako slabo narejene, da ti podtikajo nevem kaj. No, če so varnostne rešitve take - kakšne so šele aplikacije, ki jih uporabljajo ti dvomljivci? Mogoče bi zanje bilo najbolje, če s podstrešja privlečejo stari pisalni stroj?
S temi tehnologijami ustvarjaš nove vektorje napada, ki jih agencije pridno zlorabljajo.
Vkolikor bi bila policija 100% efektivna, bi (verjetno) tudi sam bil že v zaporu. Predlagam, da si kaj prebereš na to tematiko.
Zgodovina sprememb…
- spremenilo: taliban ()
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Potem pa pridejo naokoli eni pametnjakoviči, ki začno trditi, da je to samo zato tam, da se bo vohunilo za zaposlenimi. Bravo!
Potem pa se demonizira vse nove tehnologije, da se teorije zarote še dodatno podkrepi. Tako potem že leta eni in isti osebki demonizirajo inšpekcijo SSL/TLS prometa.
Ampak zares prepričljivega argumenta še nisem slišal. Vedno so argumenti nekje v smeri, da bi radi počeli nekaj, kar ni ravno najbolj dovoljeno in se bojijo, da bi bili pri tem zaloteni.
No, zadnje čase se jim pridružujejo kompromitirane varnostne rešitve. Kar vse varnostne rešitve so danes očitno že tako slabo narejene, da ti podtikajo nevem kaj. No, če so varnostne rešitve take - kakšne so šele aplikacije, ki jih uporabljajo ti dvomljivci? Mogoče bi zanje bilo najbolje, če s podstrešja privlečejo stari pisalni stroj?
S temi tehnologijami ustvarjaš nove vektorje napada, ki jih agencije pridno zlorabljajo.
Vkolikor bi bila policija 100% efektivna, bi (verjetno) tudi sam bil že v zaporu. Predlagam, da si kaj prebereš na to tematiko.
No saj, kaj sem rekel!
So že tu zagovorniki teorij zarot in brez sramu se začne trositi neke 'resnice'.
Zdaj po novem spadam že v zapor! Wau!
Hja, fantje, hitro po pisalne stroje na podstrešje! Pa poštni golobi bodo tudi bolj 'varno' prenesli vaša sporočila.
Pa drva nabirat, ker v jamah ni preveč toplo!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
poweroff ::
SeMiNeSanja je izjavil:
No, potem pa imaš take primere, kot tisti, da sem v čakalnici zdravstvenega doma čakal kot budala, med. sestra pa brez kančka sramu na istem računalniku, na katerem se obdeluje podatke pacientov brskala po FaceBook-u.
To ni nujno nekaj, kar bi bilo narobe. Če je "problem" pri zdravniku - se pravi, premalo je zdravnikov, pacienti "zastajajo" pri njih, sestre pa vmes opravijo vse, kar je potrebno - potem ne vidim problema, če brska. Problem je, če namesto da bi opravljala svoje delo brska.
SeMiNeSanja je izjavil:
Ali banke dovolijo uporabnikom dostop do Google/One Drive in podobnih oblačnih storitev?
Bank ne moreš primerjati z nekim običajnim podjetjem. Varnostne zahteve v tistem okolju so precej drugačne.
Še enkrat - v tajni službi lahko ozvočiš telefone določenih zaposlenih in se to da upravičiti. V računovodskem servisu Spodnji Duplek, pa to ne bo šlo skozi.
SeMiNeSanja je izjavil:
Tako potem že leta eni in isti osebki demonizirajo inšpekcijo SSL/TLS prometa.
Če tole leti name, je neupravičeno. DPI na državnem nivoju ne no-go. DPI na nivoju ISPja je no-go. DPI na nivoju izobraževalne institucije ne no-go. DPI na nivoju banke... e, tu se pa lahko začnemo drugače pogovarjati. Ne pravim torej, da je DPI kar problem. Pravim pa, da ga a) ni smiselno uvajati kjerkoli in b) tudi ni zakonito uvajati kjerkoli.
SeMiNeSanja je izjavil:
No, zadnje čase se jim pridružujejo kompromitirane varnostne rešitve.
Če je NSA uspešno podtaknila ranljivosti v Cisco in RSA produkte... je to povsem legitimno vprašanje.
sudo poweroff
SeMiNeSanja ::
@Matthai -
- glede medicinske sestre - če nič drugega je skrajno nespodobno, da se pred čakajočimi pacienti zabava na Facebook-u.
Drugače pa bi morali v zdravstvu veljati bistveno strožji kriteriji, saj se gre za delovna mesta, katera imajo neposreden stik z osebnimi in zdravstvenimi podatki pacientov.
Se tebi zdi normalno, da se na takem delovnem mestu dostopa do FB? Meni ne!
Tako kot se v kuhinji na isti deski ne pripravlja zelenjavo in perutnino, tudi na istem računalniku nimaš kaj obdelovati osebne podatke in brskati po internetu.
Jaz temu rečem HIGIENA. Te v našem IT-ji presneto manjka. Ko se jo omeni, pa si mimogrede sovražnik uporabnikov. Če sestre 'nujno' potrebujejo dostop do FB, da nebi od dolgočasja preminile v tistih 8 urah napornega šihta, se jim lahko uredi izoliran VLAN in računalnik v sestrski sobi, pa naj se tam zabavajo.
- demonizacija SSL/TLS inšpekcije - letelo je na xxx-admina, talibančka in nevem kdo je še kvasil nekaj o 'nezakonitosti' in podobnih neumnostih - ti si bil eden redkih, ki je pravilno povedal, da imaš na lastnem omrežju vso pravico izvajati inšpekcijo kateregakoli prometa.
Demonizacija pa predvsem zato, ker se zadevi pripisuje stvari, ki z njo nimajo nobene veze. Tako kot pri 5G, cepljenjih, itd. itd - ni važno, kako debela je laž, da se ustvarja vtis, da se gre za nekaj grozno grozljivega, vse do kršenja človekovih pravic.
Ampak tudi tebi se očitno ne da dopovedati, da DPI =/= SSL/TLS inšpekcija.
Kaj je tako teško razumeti, da je DPI veliko širši pojem? Da ga uporabljate napačno?
O DPI govorimo, ko na podatkovnem paketu pogledamo več, kot samo vzglavje paketa. Čim vtakneš nos v payload, izvajaš DPI, pa nima veze, ali imaš opravka z DNS paketom, telnet, FTP, nekriptiranim, kriptiranim,... DPI pomeni analizo vsebine kateregakoli paketa - vi pa to ozkogledno omejujete na HTTPS.
Pri tem pozabljate, da nad HTTPS ni možno izvajati DPI, če predhodno ne izvedeš SSL/TLS dekripcije. Če bi se samo tega dejstva spomnili, potem nebi mešali oba pojma, katera imata vsak popolnoma drug pomen.
Poleg tega HTTPS protokol ni edini, ki je lahko predmet SSL/TLS dekripcije. Enako se to tiče tudi POP3S, IMAPS, SMTPS in še kakšnega protokola.
Pri vsem tem pa bi morali najprej tudi pojasniti, kaj je pri vsem tem 'problematično': ali sama dekripcija, kontrola vsebine paketa, logiranje 'ugotovitev' ali dostop do teh 'ugotovitev'.
Seveda ne želimo, da nam država in ISP brskata po našem prometu - toda če boš komu postal trn v očesu, bodo točno to naredili, tako, kot se ti bodo obesili na telefon itd.
Toda če govorimo o spremljanju brez 'odredbe', potem res nekako upravičeno pričakujemo, da se ne bosta ne država, ne ISP vtikala v 'vsebino' naših komunikacij.
A tukaj potem že naletimo na manjši problemček, ker je 'vsebina' malenkost preširok pojem, v času mokrih sanj o teptanju internetne nevtralnosti vendarle obstajajo apetiti, da bi se it 'tehnoloških potreb' pogledalo še malenkost več, kakor samo vzglavje paketka. Poleg tega... če se nikamor ne zabeleži kaj je bilo 'videno' poleg nujno potrebne informacije, kvazi baje nikogar glava ne boli?
Praviš, da izobraževalna ustanova = No-Go?
Se ne strinjam, ker je to preveč pavšalna trditev. Vsaka ustanova, pa četudi je to izobraževalna ima več 'varnostnih con'. Nekatere cone so lahko 'public', druge so namenejene izobraževalnemu procesu, tretje izobraževalnemu kadru, ter četrta, ki je namenjena administraciji.
Bolj ali manj ne boš hotel, da se promet teh con med seboj meša. Istočasno pa boš tudi imel različne politike za ene in druge vrste con.
Tako se boš 'požvižgal' na to, kaj se počne na 'public' conah - mogoče boš poskrbel za ustrezen QOS, da nebi nekdo ostalim zabil komunikacije, morda boš blokiral kakšno vprašljivo spletišče (npr. znane kompromitirane spletne strežnike?). Tu se pa potem tudi konča veselje za ukvarjanje s tem omrežjem, ki je namenjeno bolj ali manj izključno dostopu do interneta.
Izobraževalne cone so že druga zgodba. Tu bo že precej več omejitev, da se zagotovi nemotenost izobraževalnega procesa (blokada FB?). Ker na tem delu omrežja v principu ni zaželeno, da bi izvajal neke 'zasebne komunikacije', bo tudi nadzor nad SSL/TLS kriptiranim prometom lahko opcija, če ti to preprečuje neprestano ponavljajoče se okužbe z različnimi nadlogami.
Tako se zadeve stopnjujejo do administrativnega dela, kjer se obdeluje osebne podatke in seveda potrebuje vse možne mehanizme in tehnologije, da jih zaščitiš.
Kdorkoli dela na delovnem mestu, ki ima opravka z osebnimi podatki, se mora zavedati te odgovornosti. Zakon ti nalaga, da jih moraš osebne podatke primerno varovati - to pa pomeni, da v bistvu si opustil dolžno ravnanje, če iz 'verskih razlogov' nisi uporabil temu namenjene tehnologije, ki so ti bile na razpolago.
Sorazmernost? Seveda - a v luči današnjih groženj in sredstev, s katerimi se borimo proti njim, ne tistih od izpred 30 let!
Sorazmernost - mislim, kdo bi si dejansko želel izvajat SSL/TLS inšpekcijo na javnem delu omrežja? Kot administrator bi si s tem nakopal samo neskončno veliko dodatnih (tudi lažnih!) alarmov, katere bi moral vsakega posebej raziskovati, od kje je priletel in kaj pomeni. Kdo ima čas za to? Hočeš se posvetiti bistvenim delom omrežja, 'kronskim juvelom', ne pa temu, če je na javnem delu mreže nek telefon z mac adreso X mogoče šel na Facebook ali vlekel mail z Gmaila. Tudi če bi ga iskal, tega telefona nebi našel, pa če ti še toliko utripa alarm, da je del nekega botneta.
Skratka treba je na vse skupaj gledati tudi z malo zdrave pameti, ne kar vse skupaj pavšalizirat, kaj šele demonizirat, kot to počno nekateri.
- glede medicinske sestre - če nič drugega je skrajno nespodobno, da se pred čakajočimi pacienti zabava na Facebook-u.
Drugače pa bi morali v zdravstvu veljati bistveno strožji kriteriji, saj se gre za delovna mesta, katera imajo neposreden stik z osebnimi in zdravstvenimi podatki pacientov.
Se tebi zdi normalno, da se na takem delovnem mestu dostopa do FB? Meni ne!
Tako kot se v kuhinji na isti deski ne pripravlja zelenjavo in perutnino, tudi na istem računalniku nimaš kaj obdelovati osebne podatke in brskati po internetu.
Jaz temu rečem HIGIENA. Te v našem IT-ji presneto manjka. Ko se jo omeni, pa si mimogrede sovražnik uporabnikov. Če sestre 'nujno' potrebujejo dostop do FB, da nebi od dolgočasja preminile v tistih 8 urah napornega šihta, se jim lahko uredi izoliran VLAN in računalnik v sestrski sobi, pa naj se tam zabavajo.
- demonizacija SSL/TLS inšpekcije - letelo je na xxx-admina, talibančka in nevem kdo je še kvasil nekaj o 'nezakonitosti' in podobnih neumnostih - ti si bil eden redkih, ki je pravilno povedal, da imaš na lastnem omrežju vso pravico izvajati inšpekcijo kateregakoli prometa.
Demonizacija pa predvsem zato, ker se zadevi pripisuje stvari, ki z njo nimajo nobene veze. Tako kot pri 5G, cepljenjih, itd. itd - ni važno, kako debela je laž, da se ustvarja vtis, da se gre za nekaj grozno grozljivega, vse do kršenja človekovih pravic.
Ampak tudi tebi se očitno ne da dopovedati, da DPI =/= SSL/TLS inšpekcija.
Kaj je tako teško razumeti, da je DPI veliko širši pojem? Da ga uporabljate napačno?
O DPI govorimo, ko na podatkovnem paketu pogledamo več, kot samo vzglavje paketa. Čim vtakneš nos v payload, izvajaš DPI, pa nima veze, ali imaš opravka z DNS paketom, telnet, FTP, nekriptiranim, kriptiranim,... DPI pomeni analizo vsebine kateregakoli paketa - vi pa to ozkogledno omejujete na HTTPS.
Pri tem pozabljate, da nad HTTPS ni možno izvajati DPI, če predhodno ne izvedeš SSL/TLS dekripcije. Če bi se samo tega dejstva spomnili, potem nebi mešali oba pojma, katera imata vsak popolnoma drug pomen.
Poleg tega HTTPS protokol ni edini, ki je lahko predmet SSL/TLS dekripcije. Enako se to tiče tudi POP3S, IMAPS, SMTPS in še kakšnega protokola.
Pri vsem tem pa bi morali najprej tudi pojasniti, kaj je pri vsem tem 'problematično': ali sama dekripcija, kontrola vsebine paketa, logiranje 'ugotovitev' ali dostop do teh 'ugotovitev'.
Seveda ne želimo, da nam država in ISP brskata po našem prometu - toda če boš komu postal trn v očesu, bodo točno to naredili, tako, kot se ti bodo obesili na telefon itd.
Toda če govorimo o spremljanju brez 'odredbe', potem res nekako upravičeno pričakujemo, da se ne bosta ne država, ne ISP vtikala v 'vsebino' naših komunikacij.
A tukaj potem že naletimo na manjši problemček, ker je 'vsebina' malenkost preširok pojem, v času mokrih sanj o teptanju internetne nevtralnosti vendarle obstajajo apetiti, da bi se it 'tehnoloških potreb' pogledalo še malenkost več, kakor samo vzglavje paketka. Poleg tega... če se nikamor ne zabeleži kaj je bilo 'videno' poleg nujno potrebne informacije, kvazi baje nikogar glava ne boli?
Praviš, da izobraževalna ustanova = No-Go?
Se ne strinjam, ker je to preveč pavšalna trditev. Vsaka ustanova, pa četudi je to izobraževalna ima več 'varnostnih con'. Nekatere cone so lahko 'public', druge so namenejene izobraževalnemu procesu, tretje izobraževalnemu kadru, ter četrta, ki je namenjena administraciji.
Bolj ali manj ne boš hotel, da se promet teh con med seboj meša. Istočasno pa boš tudi imel različne politike za ene in druge vrste con.
Tako se boš 'požvižgal' na to, kaj se počne na 'public' conah - mogoče boš poskrbel za ustrezen QOS, da nebi nekdo ostalim zabil komunikacije, morda boš blokiral kakšno vprašljivo spletišče (npr. znane kompromitirane spletne strežnike?). Tu se pa potem tudi konča veselje za ukvarjanje s tem omrežjem, ki je namenjeno bolj ali manj izključno dostopu do interneta.
Izobraževalne cone so že druga zgodba. Tu bo že precej več omejitev, da se zagotovi nemotenost izobraževalnega procesa (blokada FB?). Ker na tem delu omrežja v principu ni zaželeno, da bi izvajal neke 'zasebne komunikacije', bo tudi nadzor nad SSL/TLS kriptiranim prometom lahko opcija, če ti to preprečuje neprestano ponavljajoče se okužbe z različnimi nadlogami.
Tako se zadeve stopnjujejo do administrativnega dela, kjer se obdeluje osebne podatke in seveda potrebuje vse možne mehanizme in tehnologije, da jih zaščitiš.
Kdorkoli dela na delovnem mestu, ki ima opravka z osebnimi podatki, se mora zavedati te odgovornosti. Zakon ti nalaga, da jih moraš osebne podatke primerno varovati - to pa pomeni, da v bistvu si opustil dolžno ravnanje, če iz 'verskih razlogov' nisi uporabil temu namenjene tehnologije, ki so ti bile na razpolago.
Sorazmernost? Seveda - a v luči današnjih groženj in sredstev, s katerimi se borimo proti njim, ne tistih od izpred 30 let!
Sorazmernost - mislim, kdo bi si dejansko želel izvajat SSL/TLS inšpekcijo na javnem delu omrežja? Kot administrator bi si s tem nakopal samo neskončno veliko dodatnih (tudi lažnih!) alarmov, katere bi moral vsakega posebej raziskovati, od kje je priletel in kaj pomeni. Kdo ima čas za to? Hočeš se posvetiti bistvenim delom omrežja, 'kronskim juvelom', ne pa temu, če je na javnem delu mreže nek telefon z mac adreso X mogoče šel na Facebook ali vlekel mail z Gmaila. Tudi če bi ga iskal, tega telefona nebi našel, pa če ti še toliko utripa alarm, da je del nekega botneta.
Skratka treba je na vse skupaj gledati tudi z malo zdrave pameti, ne kar vse skupaj pavšalizirat, kaj šele demonizirat, kot to počno nekateri.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Ales ::
SeMiNeSanja je izjavil:
...
- demonizacija SSL/TLS inšpekcije - letelo je na xxx-admina, talibančka in nevem kdo je še kvasil nekaj o 'nezakonitosti' in podobnih neumnostih - ti si bil eden redkih, ki je pravilno povedal, da imaš na lastnem omrežju vso pravico izvajati inšpekcijo kateregakoli prometa.
...
Definiraj "inšpekcija prometa". Kaj vse smeš početi in v kolikšni meri? Oz. da ti morda olajšam, česa ne smeš početi?
SeMiNeSanja ::
SeMiNeSanja je izjavil:
...
- demonizacija SSL/TLS inšpekcije - letelo je na xxx-admina, talibančka in nevem kdo je še kvasil nekaj o 'nezakonitosti' in podobnih neumnostih - ti si bil eden redkih, ki je pravilno povedal, da imaš na lastnem omrežju vso pravico izvajati inšpekcijo kateregakoli prometa.
...
Definiraj "inšpekcija prometa". Kaj vse smeš početi in v kolikšni meri? Oz. da ti morda olajšam, česa ne smeš početi?
Obratno: TI pojasni, kaj 'počnem', kar nebi smel - potem pa še pokaži, kje to piše.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Saul Goodman ::
sam žal ne morem več izbrisat linka, seminesanja je rajš server po tleh vrgu k da kdo vid.. moderatorji maybe? :-)
Ales ::
SeMiNeSanja je izjavil:
Od kod naj jaz vem, kaj vse počneš?SeMiNeSanja je izjavil:
...
- demonizacija SSL/TLS inšpekcije - letelo je na xxx-admina, talibančka in nevem kdo je še kvasil nekaj o 'nezakonitosti' in podobnih neumnostih - ti si bil eden redkih, ki je pravilno povedal, da imaš na lastnem omrežju vso pravico izvajati inšpekcijo kateregakoli prometa.
...
Definiraj "inšpekcija prometa". Kaj vse smeš početi in v kolikšni meri? Oz. da ti morda olajšam, česa ne smeš početi?
Obratno: TI pojasni, kaj 'počnem', kar nebi smel - potem pa še pokaži, kje to piše.
Sicer pa si menda ekspert, vsi ostali v tej temi pa popolni laiki, tako da ti na tako preprosto vprašanje sigurno ni noben problem dati hiter splošen odgovor s parimi alinejami. Ne rabiš študije pisat. Samo zanimalo me je, kje so pasti, pri katerih bi lahko nadebuden network admin s svojim dobronamernim početjem kršil zakonodajo, to je vse. Ni treba sploh iti v podrobnosti.
SeMiNeSanja ::
Od kod naj jaz vem, kaj vse počneš?
Sicer pa si menda ekspert, vsi ostali v tej temi pa popolni laiki, tako da ti na tako preprosto vprašanje sigurno ni noben problem dati hiter splošen odgovor s parimi alinejami. Ne rabiš študije pisat. Samo zanimalo me je, kje so pasti, pri katerih bi lahko nadebuden network admin s svojim dobronamernim početjem kršil zakonodajo, to je vse. Ni treba sploh iti v podrobnosti.
Ne vem, kaj naj ti rečem, da ni bilo že 100x rečeno.
Vsekakor pa to ni tako preprosta tema, ki bi se jo dalo 'pojasniti' v treh vrsticah. V 'treh vrsticah' se predvsem ustvarja nesporazume in napačna razumevanja!
Poleg tega je nekaterim bolj interes, da bi se norčevali, kot pa zares diskutirali o temi ali se kaj novega naučili.
Kje so pasti?
Če iščeš skupni imenovalec 'pasti', se tega po mojem mnenju ta najde v pojmu "osebni podatki".
Karkoli že počneš, se to na koncu dneva lahko opredeli kot zbiranje, hramba in obdelava osebnih podatkov, četudi na prvi pogled morda ne izgleda tako.
Kdor meni, da ta past obstaja izključno v primeru uporabe DPI tehnologij, se krepko moti. Tudi če poganjaš čisto navaden router in logiraš prometne podatke na syslog/SIEM strežnik, te čaka popolnoma ista past, le da je mogoče malenkost manjša, ker imaš bistveno manj podrobne prometne podatke.
Zato:
a) uporabnikom ne smeš skrivati / prikrivati, da zbiraš, hraniš in obdeluješ 'osebne podatke' - uporabniki sicer nimajo kaj dosti možnosti nasprotovati temu, če to počneš v 'sorazmernem obsegu' (razumnem obsegu, ki služi zagotavljanju varnosti, ne pa vohunjenju) - vsekakor pa zelo pomaga, če si pri tem čim bolj transparenten in vsakemu zainteresiranemu razložiš, ter na zahtevo tudi pokažeš, kaj si o njemu 'nabral'. S tem se potem izogneš bajkam, da jim bereš mail, chat-e in podobno.
Običajno se ti že ob zaposlitvi poda v podpis dokument, da si seznanjen z varnostno politiko in politiko hranjenja ter obdelave logov.
Na koncu mora vsako podjetje vedeti, koliko je potrebno še posebej poudarjati in razlagati, da se beležijo prometni podatki, ali pa je to že zaradi same dejavnosti samoumevno.
Jaz sem tudi zagovornik tega, da uporabnikom ponudiš alternativo z manj ali celo brez nadzora in logiranja (npr. dostop do 'guest' WiFi za mobitele) in jih tako preusmeriš, da ne počno zasebne stvari na računalnikih podjetja in povezavi, na kateri bi se lahko obregnili ob zasebnost.
b) moraš voditi nadzor/dnevnik nad dostopom do zbranih/obdelanih "osebnih podatkov", da se točno ve, kdo je kdaj imel dostop do njih.
Optimalno je, če imaš možnost funkcionalnost DPO-ja v log strežniku/sistemu, tako da le ob prijavi DPO-ja vidiš tudi tisti dejansko 'osebni' del podatkov.
Kakor sem jaz razumel, se je v preteklosti IP-RS običajno obregnil ravno v ta del - kdo je kdaj dostopal do zbranih/obdelanih 'osebnih podatkov' (beri: prometnih podatkov).
Predvsem pa se podaš na minsko polje, če želiš tako zbrane podatke uporabiti zoper zaposlenega, zato lahko samo odsvetujem že sam poskus take rabe brez izdatnega posveta z pravno službo. Tudi če se gre za konkretno kaznivo dejanje, nikakor ni pametno natisniti podatke, z njimi mahati po zraku in s prstom kazati na 'osumljenca'.
Podatki so namenjeni odkrivanju / odpravljanju tehničnih težav in varnostnih incidentov. Če je prišlo do okužbe, da se lahko najde, kdo je bil pacient 0 in od kod je prišel malware, če je prišel preko internetne povezave - ter kaj lahko narediš, da se to ne more ponoviti.
Želel bi si, da bi imeli kakšna bolj konkretna inšpekcijska poročila IP-RS ali vsaj izpovedi 'očividcev', ki so kdaj prestali 'obtožbo o kršenju človekovih pravic', da bi lahko sami povedali konkretno, v kaj se je inšpekcija zataknila in kaj jim je naložila.
Vsak ponudnik požarnih pregrad ima neke svoje variante za logiranje podatkov (vključene ali za dokupiti), vendar res ne morem reči, kako popolne oz. 'GDPR-skladne' so katere izvedbe, ali podpirajo funkcionalnost DPO-ja, anonimizacijo podatkov, dnevnik dostopa in podobno.
Če imaš problem z zagotavljanjem zakonitosti dostopa do zbranih podatkov, imaš tudi problem s samim zbiranjem podatkov, posledično pa tudi varnostni problem, saj ga ni varnostnega standarda, ki ti nebi nalagal beleženje prometa/dogodkov.
Kakorkoli obrneš zadeve, če imaš neko 'črno škatlo' ki 'nekaj dela', a nihče ne ve kaj to počne, pa tudi nikjer ne shranjuje ničesar, niti ne omogoča dostopa/vpogleda v živ promet (npr. switch?), nimaš problema z 'osebnimi podatki'. Pri tem se nihče ne obregne ob to, kaj pravzaprav tista škatla počne. Bistveno je, da nikomur ne omogoči, da 'nekaj vidi'.
Problemi se začno s tem, ko prometne podatke vidiš, jih shranjuješ in obdeluješ. Več podrobnosti kot lahko vidiš in shraniš, večje breme imaš na strani zagotavljanja varnosti dostopa do teh podatkov, saj se med njimi lahko nahajajo tudi zelo občutljivi podatki - čeprav ne shranjuješ samih vsebin komunikacij.
Toda če kdaj pride do incidenta, pa potrebuješ čim več podatkov, da bi lahko poskusil nekaj rekonstruirati. Če jih ne boš imel, boš spet imel težave, lahko celo z IP-RS!
Na eni strani se od nas zahteva, da omrežja, sisteme in podatke primerno varujemo, na drugi strani tehtnice pa potem obesijo utež zasebnosti posameznika. Ustreči pa moraš obema stranema.
Veliko preveč pravlic se širi o hudobnem DPI, mnogo premalo pa se poudarja dejanska problematika - hranjenje in dostop do logiranih podatkov.
Koliko vas sploh ve, kako dolgo hrambo logov ti kateri varnostni standard nalaga?
Namig: PCI-DSS: 1 leto, ISO 27001: 3 leta, pa vse do HIPAA in SOX: 7 let !!!
Mislim, da tudi ni potrebno, da se še kaj dosti 'na pamet' pametuje o tej tematiki. Če ima kdo kaj za dodati / nasprotovati naj prosim postreže z konkretnimi primeri iz pakse, primeri inšpekcij IP-RS, primeri odločb, pa jih lahko komentiramo, se kaj iz njih naučimo.
Drugače pa jaz nisem pravnik - samo vprašanje pa je predvsem pravne narave.
A hudiča tudi pravnika ne najdeš kar tako, ki bi se kaj spoznal na tematiko.
Tehnična plat, kaj/kako/koliko s pomočjo proxijev, ALG-jev in varnostnih servisov lahko prečistimo promet neželenih headerjev, protokolskih anomalij, nevarnih datotek in priponk se razlikuje od proizvoda do proizvoda. Enako velja tudi za količino (uporabnost) podatkov, ki jih lahko o posamezni vrsti prometa zberemo. Zato ni ravno najbolj smiselno preveč pavšalno govoriti o tem, kaj je tehnično mogoče.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
matijadmin ::
SeMiNeSanja je izjavil:
matijadmin je izjavil:
SeMiNeSNja, res se ti ne sanja, ker ti "veš," kaj drugi znamo, vemo in mislimo. Bedarija.
Problem certa požarne je, ker centraliziraš tudi tveganje. Požarne se da obiti, pa tudi ranljivosti so se že našle.
Antivirusi ne počnejo tega, kar jim pripisuješ. To so namizne požarne oz. ti. endpoint security rešitve, ki jih vsebujejo s še drugimi mehanizmi. Običajno. Res pa je, da določeni AV pošiljajo hashe in/ali datoteke k njim v oblak, taki me seveda zelo motijo.
Ker vidim, da ne bova zbližala stališč in ker tveganj, ki jih dodatno prinašaji rešitve z DPI nočeš videti, je brez smisla, da replicirava drug drugemu.
Kot rečeno, ne razumeš (nočeš razumeti?) že 5x razloženo razliko med DPI in SSL/TLS dekripcijo in še vedno uporabljaš napačni izraz (namerno?).
Itak pa imaš TI prav, celotna industrija požarnih pregrad pa je zmotnega prepričanja? Na, še celo pri Cisco Meraki so 'nasedli' in sedaj na vrat na nos uvajajo SSL/TLS dekripcijo!
Ampak ja... TI imaš prav....
Taki vročekrvni zagovorniki se najdejo pri cepljenju, pri 5G tehnologijah in še nevem kje. Veliko vpijete, oprijemljivih argumentov pa od vas itak ni.
Ali sem enkrat samkrat rekel, da zaradi požarne pregrade odpraviš endpoint security? Kdorkoli dela z UTM/NextGen rešitvami, se od prvega dne uči, da se varnost gradi v plasteh in v sklopu tega se ve, da se ne sme zanemarjati niti varnost na samemu desktopu. Ti in tebi podobni pa ustvarjate vtis, kot da bi trdil ravno nasprotno. Čemu?
Danes se gre še dlje in se dejansko dela korelacije med procesi in komunikacijami med endpointi ter internetom (požarno pregrado) - poleg klasične AV zaščite končne točke.
Kdor je kdaj uporabljal Virustotal, točno ve, da ga ni antivirusa, na katerega bi se lahko 100% zanesel, še najmanj pa za 0day malware. V mnogih primerih posamezni proizvajalec še dneve, celo tedne po pojavu določenega malware nima signature zanj, v kar smo se lahko že dolgo nazaj prepričali na Virustotal portalu.
Zato se endpoint security nadgrajuje z pametno požarno pregrado in dodatnim preverjanjem z drugim AV, sandbox analitiko in številnimi drugimi tehnologijami/varnostnimi storitvami.
Pa če že lahko na Windows PC-je nabiješ nek dodaten endpoint security - kaj pa nabiješ na vse tiste fancy IoT naprave? Taki kot ti potem gostujete hladilnike, ki spammajo v svet? Aja, port 25 imaš zaprt, čez port 443 pa se ne pošilja maila? Ups, čak - ali ni bil ne SMTPS, kriptiran, tam nekje na portu 465?
No, kakorkoli že - okužena IoT naprava tudi lahko postane leglo za distribucijo malware-a v lastnem omrežju, kakor tudi v tuja omrežja (port 443?).
V bistvu se je treba vrniti na začetek zgodbe in se vprašati, kaj je razlog, zakaj bi se nekdo tako zelo branil, da bi blokiral potencialno nevarne povezave in prenose že na samem obrobju omrežja podjetja.
Če ta možnost obstaja, zakaj bi tvegal in poslovanje podjetja po nepotrebnem izpostavljal grožnjam?
Desktop security je zadnji obrambni zid - pri vas inkvizitorjih pa očitno tudi edini!
Kako strankam/delodajalcem potem razlagate, da jim ne nudite najboljše možne večplastne zaščite omrežja in poslovanja? S tem, da je lahko požarna pregrada kompromitirana? Resno? Potem jih pa kar se vrzimo proč!
Pa antivirus tudi vrzi proč, ker je tudi ta lahko kompromitiran!
Argumenti? Argumenti? Presneto na majavih nogah!
Ampak ja... cela industrija se moti, vključno z Gartnerji, NSS Labs, itd. itd. Vsi so samo požrtni na denar. Edino antivaxxerji imajo prav, ne pa grda požrešna farma industrija?
Ti in tebi podobni ste IT antivaxxerji.
Če meniš, da jaz govorim bullshit, pa lahko povprašava, kaj menijo pri vodilnih svetovnih IT podjetjih o pomembnosti nadzorovanja 3/4 prometa, ki bi ga ti kar brez vsakega nadzora spustil. Pojdi danes vprašat v Lekarne Ljubljana, če še spuščajo 3/4 prometa, ne da bi ga kontrolirali!
Eni se pač morate naučiti lekcije tako, da vas usoda pretepe.....
Ali se gre zgolj za lenobo? Vzpostaviti striktno varnostno politiko in spodobno filtriranje prometa je tudi nekaj dela. Če ga opraviš (preveč?) vestno, imaš s tem neprestano nekaj dela. Seveda je potem lažje nastaviti eno samo pravilo "From: Trusted To:Any - Allow ANY". Vse deluje, nihče se ne pritožuje, 'Delo' opravljeno! (žal je točno to stanje na več kot polovici, če ne celo 3/4 vseh perimeter naprav!)
Torej.... želiš, da povprašamo pri Meraki, zakaj uvajajo SSL/TLS inšpekcijo? Ali pri keremu drugemu proizvajalcu, zakaj so to tehnologijo uvedli že pred desetletji?
Ali vprašamo pri NSS Labs, zakaj na njihovih testih ne sodeluje niti ena požarna pregrada brez SSL/TLS inšpekcije? Pa zakaj pravzaprav tudi toliko časa posvetijo analizi delovanja posamezne implementacij SSL/TLS inšpekcije?
Kako je že bilo z certom požarne pregrade? Danes cert požarne pregrade podpišeš na certifikatnemu strežniku podjetja (če imaš MS domeno, je to certifikat, ki ga je podpisal domenski strežnik). Če je torej certifikat požarne pregrade problematičen, potem je tudi VSA domenska varnost problematična, ker zavisi od zaupanja v lastne domenske certifikate. Skratka najbolje, da kar zapreš štacuno, če tudi temu ne zaupaš. Gremo nazaj v kameno dobo - v jamah brez elektrike je bilo še najbolj 'varno'.
Težko je debatirati z nekom, ki "ve," kaj jaz vem o DPI, na katerih OSI nivojih deluje, kako delujejo protivirusniki, končni varnostni odjemalci in še huje, da je krasni novi svet, kjer varne kanale komunikacije slačimo in preoblačimo v cesarjeva nova oblačila, super fina reč. Sem izven debate, vsaj zate in ti zame. Prosim, spoštuj.
Vrnite nam techno!
SeMiNeSanja ::
matijadmin je izjavil:
Težko je debatirati z nekom, ki "ve," kaj jaz vem o DPI, na katerih OSI nivojih deluje, kako delujejo protivirusniki, končni varnostni odjemalci in še huje, da je krasni novi svet, kjer varne kanale komunikacije slačimo in preoblačimo v cesarjeva nova oblačila, super fina reč. Sem izven debate, vsaj zate in ti zame. Prosim, spoštuj.
Težko?
Sploh ni kaj debatirati z nekom, ki negira vse, kar zadnjih 20+ let počne industrija na področju naprednih požarnih pregrad in varnostnih rešitev.
Ampak očitno imaš edino TI prav, motijo pa se vsi strokovnjaki iz podjetij od Cisco, CheckPoint, Fortinet, PaloAlto, SonicWall, Sophos, WatchGuard,...
Ne samo to - motijo se tudi vsi, ki njihove rešitve uporabljajo in sledijo priporočenim smernicam proizvajalcev (vsi do zadnjega namreč poudarjajo nujnost inšpekcije TLS kriptiranega prometa)?
Ampak ja...glavno da veš, da 'obstajajo' OSI nivoji. Kao 'back to the roots', nazaj v jamo, potem bo pa že....
Ne, res se ni kaj pogovarjati z nekom, ki trdi, da se moti vsa industrija varnostnih rešitev. Mogoče se lahko z njim pogovarjam o OSI nivojih. Ampak to nekako sodi v prvi letnik srednje šole! Kako bi to pomagalo k izboljšanju kibernetske varnosti, mi je pa uganka.
Če si za sebe odločil, da boš živel v kameni dobi, kar se tiče kibernetske varnosti, je to tvoj problem. Toda ne razumem, zakaj greš glumiti nekakšno 'avtoriteto', kvazi 'eksperta', govoriš pa ravno nasprotno od tega, kar že leta govori vsa industrija.
Tako nekako, kot nekdo, ki se noče cepiti in se naokrog dere, da nas hoče farmacevtska industrija zlorabiti, uničiti, zastrupiti.
Dejansko preseneča, koliko je pri nas 'konzervativcev', ki se z vsemi štirimi branijo napredka in sodobnim načinom varovanja omrežij, katera priporoča celotna industrija.
Pri tem pa v bistvu niti ne poznajo sodobnih rešitev in konceptov. Seveda se potem ne moreš pogovarjati o sodobnih rešitvah. Najbrž se je potem res lažje pogovarjati o OSI modelu?
Enako, kot pri Anti-Vaxxer-jih, se sprašujem, kako lahko prevzameš odgovornost, da pridigaš nekaj, kar je v nasprotju z celotno industrijo. Ampak mislim da že vem odgovor - tudi Anti-Vaxxer-ja ni nikjer, ko zaradi njegovega prepričevanja kakšen otrok zboli ali bognedaj umre. Vedno ista zgodba. Veliko za povedat, ko je treba pa prevzeti odgovornost, pa rep med noge.
Včasih se je temu reklo šarlatanstvo. Poznamo še en kup enih zeliščarjev, ki nategujejo bolnike, da naj ne hodijo na kemoterapije in obsevanja, da jim šolska medicina ne bo koristila. Namesto tega pa jim rinejo svoj 'čudežni napoj' in jih obirajo do onemoglosti. Ko se potem zgodi, kar se mora....jih pa ni nikjer več, že obirajo naslednjo žrtev.
Podoben princip najdeš samo še pri Amiših. Medtem ko se ves svet vozi naokoli z avtomobili, se oni z konjsko vprego. Presneto podobno kot tisti, ki omrežja varujejo z usmerjevalniki, namesto s sodobnimi varnostnimi rešitvami, pri tem pa zagovornike sodobnih rešitev označujejo za krivoverce.
A doma imaš tudi še vedno črnobel analogni TV?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
joze67 ::
Pravni zaključek: Switzerland closes investigation into CIA-linked encryption firm
The Swiss authorities have concluded that Crypto AG did not violate any laws when applying for export licences for what turned out to be compromised encryption devices.
kow ::
Zanimivo, ja. So pa izgubili veliko kredibilnosti kot drzava. Tezje bodo se naprej prodajali svojo "nevtralnost".
poweroff ::
Brez težav bodo prodajali svoje zgodbice naprej.
Money can buy any bullshit.
Ovce so pa za to, da se strižejo.
Money can buy any bullshit.
Ovce so pa za to, da se strižejo.
sudo poweroff
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Crypto AG: umazana obveščevalna zgodba bajnih zaslužkov (strani: 1 2 3 )Oddelek: Novice / NWO | 31667 (21999) | poweroff |
» | Nova prisluškovalna afera s švicarsko opremo za šifriranje: OmnisecOddelek: Novice / Varnost | 6704 (4582) | poweroff |
⊘ | VPN ni anonimen (strani: 1 2 )Oddelek: Loža | 7835 (6568) | Facebook dev |
» | Maximator: evropsko elitno združenje za prisluškovanjeOddelek: Novice / Varnost | 5702 (4159) | boldleaf |
» | Domače branje: "Bamford, James. 1983. The Puzzle Palace. Baskerville: Penguin Books."Oddelek: Novice / Domače branje | 5657 (4777) | STASI |