Смысл жизни

Не упущу случая проставить пинка в тупую жопу типового тупого инфобезничка. Цитирую очередного болвана:

“I was having a chat to a fellow security professional who was doing some work for an organization where they were boasting about servers being up for 1,000 days. That’s not something to be proud of. I don’t get the whole idea of being proud of your uptime. That just means you haven’t done any updates on that thing for three years.”
Jess Dodson

https://blog.malwarebytes.com/podcast/2022/01/why-we-dont-patch-with-jess-dodson-lock-and-code-s03e02/

Никаких вам ремарок типа "хотя...", "однако..." и пр.

Из соображений язвительности, сарказма и чёрного йумора вообще, поставим это всё в контекст.

Да, в современных условиях системы нужно патчить и делать это регулярно и это лучше (в значении "менее плохо"), чем не патчить. Это общее соображение, впрочем, есть контекст и есть нюансы.

Слон в комнате в том, что факт того, что необходимо патчить софт и делать это регулярно, это трагедия софтостроения. Криворукие ебланы не могут написать 100 строк блядь кода, чтобы не забыть проконтролировать длину резервируемого фрагмента памяти. Если же представить, что требовать этого от болванов это слишком много, и вообще запретить им заниматься операциями с памятью и поручить это компилятору, то это открывает возможности для болванов вообще не понимать как работает компьютер на фундаментальном уровне и допускать ещё более идиотские ошибки.

Это также означает, что вся королевская рать из всех многочисленных проверок и перепроверок кода и сэндбоксов и уровней допуска и всего прочего неспособна остановить поток говнокода хотя бы до уровня при котором не нужно было бы патчиться на данный момент ежемесячно, но есть все данные предполагать, что скоро будет еженедельно.

Если отступить ещё на шаг назад это также означает, что софт не делают доверенным (см. TCSEC), в результате чего непредсказуемое поведение программы было бы невозможно, потому что любой бранчинг и любой расчёт полностью предопределён и предсказуем, также как при математической операции невозможно чтобы как правило в результате извлечения корня из двух получалась одна величина, но вот иногда, хз почему, другая. Это также является трагедией.

Также, хочу заметить что аптайм это показатель общей надёжности и предсказуемости работы системы, поэтому да, блядь, это плюс и повод гордиться.

Но даже если наша система говно и её нужно патчить периодически, то наша система полнейшее говно, если её блядь невозможно пропатчить без её полной остановки и прерывания аптайма, так что даже в этом случае аргумент хреновый.

Он об этом не подумал, когда языком молол? Или, ещё хуже, он об этом не знает? (сам подкаст йа не слушал, если он там эти оговорки делает, то отчасти лицо спасает от полной потери).

Чтобы два раза не вставать, зацените как хвастается другой болван из той же категории своим достижением в линкедине:



Вопрос -- что в башке у человека, который замарывает данные, которые по определению не являются секретными (для справки, полуболванов на азах учат, что идентификатор не является секретным, аутентификатор является, и применительно к криптографии мало смысла в том, чтобы делать алгоритм секретным, ключ имеет смысл делать секретным, принцип Кирхофа) и которые в два клика можно получить с сайта GIAC, а постит он под своим собственным именем в соцсети?

Как он потом с этой вот башкой и зияющими дырами в ней космических размеров будет обеспечивать кокойты там инфобез?

Существуют различные состояния информации в которых она может быть атакована различными способами. Например, два состояния на которые я хотел бы обратить внимание это data-in-use и data-in-motion.

К нынешнему дню data-in-motion хорошо защищена, большинство протоколов перепроложили поверх TLS или они поддерживают нативную аутентификацию и шифрование. И всё это делается ради уменьшения простого риска -- якобы сервис провайдер будет нюхать наши пакеты и копировать себе, чем создаст утечку, а то и подменит важную информацию на лету и изменит смысл пересылаемого сообщения. Классика "Man in the middle".

Ничего подобного в практическом инфобезе не происходит: MITM атаки крайне редки. Случаи практической эксплуатации, допустим, BEAST атаки на TLS равны нулю. Причина номер один этого в том, что хозяева роутеров, лежащих между источником и назначением, в этом особого интереса не видят. И по сей день можно годами, допустим, аутентифицироваться по чистому HTTP через, допустим, формы или базовую, при которых пароль передаётся открытым текстом, и буквально всем будет на это похуй и наш пароль никому не будет нужен. Я проводил такой эксперимент (ну, например, на сервере можно отслеживать факты аутентификации) годами с нулевым результатом.

Таким образом, МИТМ атаки это удел маргинальных сценариев типа "открытая или PSK вай-фай сеть" или комбинации со спуфом сервера.

Тем не менее, кажного тупого инфобезничка в америчке обымет трясунец, если вдруг ему предложить одобрить дизайн приложения, которое обменивается сообщениями в открытом тексте, даже если это всё происходит внутри одного датацентра. "Усё должно быть зашифровано во время передачи", ггг.

При этом абсолютно аналогичные и я бы даже сказал большие по размеру риски для data-in-use в облаках полностью игнорируются и вся проблема спускается на тормозах. Как я уже много раз писал в этом бложеке, если информация обрабатывается в облаках, облачный провайдер не может избавиться от доступа к ней, причём доступа неконтролируемого. Попробуйте на митингах с агитаторами переезда в облака задать простой вопрос -- имеют ли ваши собственные сотрудники и сотрудники Амазона, где вы хостите своё говноподелие, доступ к нашим данным и послушать их бессмысленные заверения в полной зашифрованности и даже доступности технологий Bring Your Own Key. Это всё -- полнейшая туфта, доступ они имеют, доступ неконтролируемый и избавиться от него они не могут. И проверяется это простым вопросом: "...but, for you, in order to process our information, it has to be decrypted first, right? RIGHT, MOTHERFUCKER? ANSWER ME!"

Каким образом это существенно отличается от рисков для состояния data-in-motion в отношении которых все знают, что незашифрованные соединения абсолютно недопустимы в наше время и любой трафик должен быть зашифрован и через TLS? Ну, например, любой икоммерс прямо запрещён, если трафик не зашифрован, через соотв. положения PCI DSS, которые энфорсятся на любого процессора данных кредитных карт. И при этом он же в облаках (причём нередко с многослойным пирогом различных провайдеров от инфраструктуры через платформу до софта) разрешён.

Все эти хуесосы являются сертифицированными специалистами, читают соответствующие книжки и торчат на соответствующих конференциях. Проблема в том, что все эти источники "знаний" оплачиваются теми самыми облачными провайдерами которым не хотелось бы, чтобы эта информация была широко известна.

Это абсолютно неизбежно ведёт к скандалу уровня Сноуден 2.0 в котором окажется что все поголовно и без исключения облачные провайдеры шпионят за своими покупателями, как в собственных интересах, так и в интересах трёхбуквенных агентств.

https://www.bleepingcomputer.com/news/security/trickbot-malware-dev-extradited-to-us-faces-60-years-in-prison/

Владимир Дунаев, вроде как один из разработчиков модуля Трик Бота ответственного за проксиинг бровсеров с целью, надо полагать, пиздунга бабосов с онлайн-банкинга.

Жил не тужил, но потянуло болезного в Южную Корею, тут-то его и прихлопнули.

Совет всем сидящим на жопе ровно вне зависимости от стороны баррикад -- ну вот не надо вот этого вот, ок?

Чтобы два раза не вставать, по ссылке от rotbar из интервью с этим вхистлбловером про пытки в эрэфийских тюрьмах:

https://meduza.io/feature/2021/10/25/edinstvennoe-chego-oni-hotyat-eto-zatknut-mne-rot

— Вы сразу решили, что нужно уезжать из России?

— После освобождения я просто возвращался к себе домой [в Беларусь]. Совершенно спокойно доехал до Беларуси, поселился у родственников, сделал документы и устроился на работу. Жил обычной жизнью, не считая того, что сотрудничал с Gulagu.net. Если не ошибаюсь, то уже в марте пошли первые публикации на основе материалов, которые я передавал.

— Что было дальше? Если я не ошибаюсь, у вас в аэропорту Петербурга произошла встреча с некими «сотрудниками».

— Я летел из Минска к друзьям в Новосибирск 24 сентября. В Пулково была пересадка. Там на стойке регистрации меня встретили полицейские и много людей в штатском. Отвели в служебный кабинет и допрашивали несколько часов.

https://blog.malwarebytes.com/security-world/government/2021/07/microsoft-exec-reveals-routine-secrecy-orders-from-government-investigators/

Клиффс:

- Майкрософт получает от спецслужб около 2400-3500 "gag order" запросов на данные их клиентов в год.
- Это не традиционная "subpoena" полученная по суду (которых, наверное, десятки если не сотни тысяч), а спецзапросы из спецслужб одобренные секретными спецсудьями о которых Майкрософту запрещено информировать их клиентуру.
- По мнению этой шишки из Майкрософта, множество этих спецзапросов не относятся к к-л расследованиям, а делаются по политическим соображениям.

Напоминаю, что если вы не шифруете данные на стороне клиента, любой облачный провайдер имеет доступ ко всем вашим данным, невзирая ни на какие декларации о то, что у них там всё зашифровано и "at ... we take security seriously".

Законный предлог дающий спецслужбам это делать это Бушевский Patriot Act от 2001 года, принятый под шумок крайне сомнительных обружений WTC в том же году.

Есть ещё в современных технологиях проблема "чьё устройство". Ну, например, взять айфон. Вот йа пошёл в магаз и купил себе айфон. Это моё устройство или это не моё устройство? Это интересно с т.з. обработки конфиденциальной информацией на этом устройстве. Ну, для примера, наснимал йа домашнего порно на телефон и оно там хранится зашифрованное ключом сконструированным из пин-кода который кроме меня больше никто не знает. Или, допустим, йа планирую захват власти в стране, т.к. уверен, что власть является тиранической и моё право на революцию закреплено 2-ой поправкой к консититуции США и в рамках этого плана йа веду некую документацию. Насколько можно гарантировать, что эта инфа не будет рассмотрена каким-либо другим заинтересованным лицом?

Раньше всё было понятно, серверы в этих ваших энторнетах были где-то там, и они чьи-то. В то время как мой домашний комп он вот он и он мой.

Но щас всё подключено к энторнетам и на постоянку. Другой тренд, проистекающий из первого, это что устройством мы преимущественно пользуемся, в то время как его администрирование аутсорсим его производителю, т.е. Эпплу (где юзер вообще не имеет административных прав и от этого принципиально отрезан) или Майкрософту. А можем ли мы доверять администраторам?

Ведь если разобраться, то компьютер это набор микрочипов соединённых между собой проводами. И если как бы мной купленный набор микрочипов с проводами на постоянку соединён с где-то там другими микрочипами скоростными проводами энторнета, то в чём разница между набором микрочипов которые я держку в руке и набором микрочипов в облаках Эппла или Майкрософта? По-большому счёту ведь разницы здесь нет.

В традиционной для нашего скоромного бложига рубрике.

Бурков получил 9 лет.

https://www.bleepingcomputer.com/news/security/owner-of-cardplanet-credit-card-market-gets-9-years-in-prison/

Burkov, 29, admitted to running CardPlanet, a site that sold more than 150,000 stolen credit card accounts, and to being the founder and administrator of DirectConnection — a closely guarded underground community that attracted some of the world’s most-wanted Russian hackers. He pleaded guilty last week in a Virginia court to access device fraud and conspiracy to commit computer intrusion, identity theft, wire fraud and money laundering.

https://krebsonsecurity.com/2020/01/russian-cybercrime-boss-burkov-pleads-guilty/

Ну блядь ну если ты хакерствуешь ну не выезжай ты из Рашеньки. Если не дебил, конечно. Буркова ещё по-божески обслужили, а Максик так и сидит в турецкой тюрьме, например.

С другой стороны, в американской тюрьме есть масса возможностей сделать выбор, от которого трудно отказаться, поэтому что он plead guilty значит немного. С третьей стороны, чтобы экстрадировать его из Израиля ушло 4 года, просто так такое затевать не будут.

Аккаунт локауты это дебильнейшая идея, застрявшая в индустрии на десятки лет. Прикиньте: допустим, йа подбираю пароль к вашему аккаунту на некотором сервисе, но этот контрол наказывает не меня, нет; он наказывает вас -- невозможностью залогониться в свой аккаунт, ггг, и использовать сервис. Сколько горькой иронии и параллелей с clown world сегодняшнего дня в этом контроле.

Фактически, это самоиндуцированное приглашение к ДоСу: все наши аккаунты могут быть залочены, включая аккаунты топов, а работа бизнеса парализована, вот простой способ для этого. Привет от Конфикера, бородатейший вирус 2008 года, ггг, но воз, как видим, там же в 2019 году.

Подобрать в разумное время сложный пароль, если мы не говорим о хотя бы десятках гига попыток в секунду (что, разумеется, невозможно для любого онлайн сервиса), затея тухлая.

Вместо этого, разумеется, нужно просто банить источник.



Другая дебильная идея с паролями это менять их раз в эн дней. Нахуя, блядь! Чтобы гарантировать невозможность запоминания юзером? Чтобы гарантировать использование юзером схем для паролей типа September2019! (полностью удовлетворяет требованиям complexity)? Чтобы беспомощный юзер был вынужден записывать всио в блокнот как делал раньше (не знаю, делает ли щас) мудак Шнайер или на приклеенные к монегу стикеры?

Если нет оснований полагать, что аккаунт скомпрометирован, то нет резона менять сложный пароль, точка.

Всё это происходит потому, что корпоративные инфобезнички тупы, конформны и инертны и не в курсе базовых понятий о поведении человека (кроме, мб, Митника, но он никогда не был корпоративным андроидом). Именно поэтому >90% случаев получения первоначального доступа осуществляются через соц. инженерию. И ПЦИ ДСС это имхо лучший фреймворк, хайтраст, для сравнения, это куча бюрократического говна на почти 1000 страниц.

На эту тему граф с реддита (даю ссылкой, т.к. большой):

http://lpine.org/wp-content/uploads/2019/09/time-to-crack-password-complexity.png

Т.к. щас эпоха облаков и все в них переезжают, все спрашивают а как там чо с безопасностью? По сравнению, разумеется, со своей серверной или коло.

Здесь есть несколько переплетающихся трендов и конкретный ответ для конкретного тенанта будет разным.

Ну, например, патчинг в облаках, при прочих равных, будет лучше, чем он-премисес. Разумеется, возможны исключения, но хорошая и работающая патчинг программа в крупном энтерпрайзе стоит больших денег, как по софту, так и по людям, а главное, по культуре -- попробуй владельцу бизнес направления, который приносит фирме деньги, втолкуй, что отныне и навсегда его серверы будут перезагружаться минимум раз в месяц, а при out-of-band (т.е. в критических ситуациях, которые случаются неск. раз в год) так и вообще в произвольное время, будучи членом ИТ-направления, которое никаких денег не приносит ваще и только одни бесконечные расходы. Т.е. проблема патчинга в облаках не столько техническая, сколько психологическая, как и почти всё в ИТ. Человеческая природа, ебана.

Другой тренд это т.н. ubiquity, который есть часть определения облачных сервисов. Тоись, доступность отовсюду. А оно вам надо, чтобы кокойты хуй из Уганды или Нигерии или из России подбирал пароли к вашим аккаунтам? Чуть усложнив, через американский прокси? Разумеется, это никому не надо. Поэтому предлагается повышенный контроль, включая дуальный контроль и separation of duties, 2-х факторная и прочее. Это работает, но: многие 2-х факторные работают через телефонный номер, который, при желании, нетрудно хайджекнуть и который, тащемта, сабскрайберу вовсе даже не принадлежит в большинстве случаев. Не говоря уже о том, что любая многофакторная идёт вразрез с convenience, и, следовательно, усложняет ведение бизнеса и снижает производительность. Он-премисес эта проблема куда менее остра и обычно все довольствуются юзернейм/пассворд внутри корп. сети: куда более удобно и достаточно безопасно.

Но это всё понятные "но", есть же, однако, целый слон в комнате которого в масштабах всей индустрии принято не замечать. Недавно прочитал документ на почти 100 страниц по стратегии входа в облака (откуда выход, как известно, рубль и об этом в таких документах пишут мало, если вообще, но это другой слон, размером поменьше) и там ни слова не оказалось про такую вещь, как риск компрометации со стороны вендора, а именно, дампы памяти тенантов.

Например, везде указывают такой контрол -- виртуальные диски будут (или могут быть) зашифрованы. Окэй. Что это за группа рисков, которую этот контрол адресует? Разумеется, это против угрозы типа "некто скорпировал ваш vhdx/vmdk и приатачил к своему hyper-v/ESXi". Т.н. сценарий "data at rest". Внимание, вопрос: "кто этот некто мог бы быть?". Разумеется, это навряд ли ваш сотрудник или его прохаканный аккаунт, т.к. если это он, то зачем ему париться с файлом? Ему проще скопировать данные с уровня приложения, на котором они уже заботливо дешифрованы облачным сервисом. Таким образом, эта группа рисков призвана адресовать сценарий rogue/прохаканный гипервизор или сотрудников облачного сервиса.

Но если этот контрол в стратегии и попадает, то лишь потому, что лежит на поверхности и об этом "люди спрашивают". О чём они не спрашивают, так это о сценарии "data in use". В почти любых гипервизорах, и никаких внятных защит против этого я толком не знаю, можно делать дампы памяти любых виртуалок. Разумеется, для этого нужно контролировать гипервизор, что вендору доступно по определению. В этих дампах куча паролей, доменные админы, например, те же пароли/ключи для шифрования дисков и прочая и прочая. Для почти всего этого есть в публичном доступе парсеры/дешифровщики, ну, например, для доменных админов хорошо справляется mimikatz. И это даже если пароль зашифрован (как в случае клиента актив дайректори), хотя и ключ шифрования/дешифрования лежит в том же дампе, почему это скорее обфускация, нежели шифрование, которое по определению бессмысленно без лежащей в его основе аутентификации. В целой массе случаев пароль лежит в памяти процесса плэйн текстом (напр. в юникоде). Делаешь дамп, ищешь юзернейм, недалеко смотришь на нечто похожее на пароль (для чего хорошо иметь возможность создавать юзеров, таким образом можно искать известный заранее пароль и далее разбираться в механизмах для общего случая). В крайнем случае долгий рисёч (для актив дайректори разобраться с механизмом заняло у хацкеров 12 лет, AD представлена в 1999, Беньямин Делпи представил мимикатз в 2012).

Вполне вероятно, что в масштабах 5-15 лет будет скандал масштаба всей индустрии (типа Сноудена) в котором обнаружится, что облачные вендоры массово и систематически шпионят за всеми тенантами путём снятия мемори дампов с тенантских виртуалок.

Например, есть такой сервис, AWS. И есть такой брэнд, Amazon Basics. Известный тем, что, через изучение маркета на своём собственном Амазоне, копирует наиболее успешные брэнды и выживает их с маркета. В их случае это имхо конфликт интересов -- владельцы общедоступного маркета также и торгуют на этом маркете и хайджэкают успешные товары. Кто им мешает шпионить за тенантами и хайджэкать их бизнесы?

Первоначально это обставят, или уже обставили, как шпионство для государства. Сами может и засцали бы (не совесть, разумеется, никакой совести нет, а вот аудиты...), а так, когда есть запрос из nsa то почему бы, раз уж всё равно будем разрабатывать для них шпиёнское решение, и самим не воспользоваться инфой? Да и государственное шпиёнство имеет длинную историю абьюза, в котором конкретные сотрудники аппарата преследуют свои личные бизнес-цели, для чего используют собранную для государственного шпионства инфу.

Технически если, йа обосрался. В 2017 году писал следующее:

https://leo-sosnine.dreamwidth.org/659348.html

Кстати, если кто не знает, бричи это чушь. Я по этому вопросу делал презентацию в 2015 году с цифрами. Эквифакс ничего своего не потерял, только данные клиентов (а на них почти насрать). От исков они отбрехаются, уложатся в 200-300 миллионов убытка совокупно на протяжении 5 лет.

Цена акций вернётся к 140 за ~9 месяцев.

Если бы у меня были лишние деньги, то я бы сейчас купил их акций и побольше.

Серьёзные с т.з. денег вещи в инфосеке это комбинация рансомвари и вормов. Merck встрял капитально на этом, т.к. они потеряли не никому не нужные confidentiality & integrity, а availability. У них некоторые производственные мощности стояли 2 месяца, рухнула логистика, до сих пор полностью не восстановились, хотя прошло уже месяца три. Вот это серьёзно, а что произошло с Эквифаксом это лёгкий ветер.

На деле:



Т.е. недотянул 6 долларов, да и 12 месяцев прошло, а не 9. Но общее направление верно и совет покупать акции эквифакса сразу после брича был верен -- если кто вложил крупную сумму то озолотился.

Жена меня как-то спросила -- ты всё верно и регулярно угадываешь в ИТ, почему не торгуешь? Йа отвечаю, так ты же все деньги на проживание семьи расходуешь, ггг, -- чего вкладывать-то? Допустим, вложил бы свободную тыщу, за год заработал бы пару сотен -- ниачём вообще, по сравнению с зарплатой это пренебрежимо малая величина и если уж выбирать на что тратить время, то на дальнейшее продвижение карьеры -- с т.з. профита это окупается куда лучше.

Но вот люди оперирующие миллионами и в своё время затарившиеся выручили неплохо, думаю.

PS Не могу пройти мимо не пнув по этому поводу безмозглых американских инфобезничков:

https://leo-sosnine.dreamwidth.org/659483.html

Цифры в 37% говорят о том, что никто за эту работу платить не готов. Ну, кроме контор типа Гугла, которым деньги девать буквально некуда и они их тратят на всякое безумие типа дичайших дирижаблей с пивом интернетом и т.п. Типовой пример -- Бенжамин Делпи.

Всего лишь 3% и более делает 6 фигур. Ваще ниачём.