Compartir a través de

Security: Строили новый забор... сделали две новых дырки

  • Artículo

«??????? ??? ???? ?????...»
?????? ?????????

??????? ? ????????? ?? ???? ?????? ????????? ?????, ??? ? ???? ???? ????, ? ?????????, ??? ??? ????? ????? security ???? ?????????? SiteKey – ????-??-????? . ???? ???? ???? – ?????? ?? «phishing», ?????? ??????????? ????? ????????-?????????????. ????? ??? ????? ?? ???????????? ?? «fishing» – «???????» – ???????? ??? ?? ????????, ??? ? «??????-??????».

???? ???????, ??? ???????? ????????????? ????. ???????? ????????? ?????? ? ??????? «?????????» ????? ?????????,

«??????? ???????????? ??????, ? ??? ??? ??????? (????????: ?????????, ?????????, ??????, ??????????? ??????, ?????????? ?????...), ??? ??? ??????????, ???? ??????, ?? ???? ???? ? ????? ?????????????? ?????? (????????: ??????? ??? ??? ? ???????, ???????? ????? ??????????, ?????? ?????????...) ???? ????

???? (? ??? ??? ??? ??????? ? ????? ????, ??? ?? ???????) ???? ?? « ???? » ? ???????? ?? ???? ??????? ??? ???????-???? ?? ????????? ???? ?????, ?????? ???? ??? ? ??????, ?? ? ?????? ??? ????????, ??? ??? ??????, ???, ???????.

??????? ?? ????????????? ???? ?? ??? ????????, ????????? ??? ?????? ????? ??? ?????? ??? ????? ?? ????????? ???? ?????. ?????? ????? ?????? ??????????? ?? ?????? ???? (???????? ? ??????????? ???????????), ????? ?? ??????, ? ???, ???? ??? ?? ??????? ???-?????? ?? ?????????? ???????, ??? ???????? ???? ??????????? ???? ??????? ??????? ???????? ?? ????????? ? ????????? ? ??????????? ??????????? (????????: ??????? ? ??????? ? ????????-??????????? ? ??????? ??????????? ??????, ???????? ?????? ? ??????????? ????, ???????? ?? ? ?????? ? ???????? ??? ??????, ???? ???? ? ??? ?? ??? ????? ?? ??????????? ??????? BlackHat – «?????? ???????») ????????? ??????, ?????????? ?????, ??????? ?????????? ?? ?????, ??? ? ?? ????? ??? ?? ???????? ?? ????? ????, ????? ??? ? ???? ? ?????????? ?????????? ??????.

???? ??????, ?? ???????? ????????????? ???????. ??? ? ??? ? ????? ???????? ??? ???? ??? ?????? ?????? ?????? ???????????? ??? ????????? ????-??-?????. ???? ??????. ?????? ????? ?? ?? ??????? ??? ? ??????, ? ?????? ???. ???? ???????????? ? ????? ?????? ??????? ? ???? ???? ?????? ????????? (????? ???? ??? ??? ???), ?? ?? ??? ??????? ????????? ???? ???????? ? ????????? ???? ?????. ???? ???????? ??? ????? ?? ?????????, ?? ???? ?????? ??????????, ??? ????? ?? ????, ? ?????? ?? ???????. ????? ????, ? ???? ?? ???? ?????? ?? ??????????, ?? ?????? ??? ?????????? ???????? ? ?????, ??? ??????? ??? ??????? ???? ????????? ???? ?? ?? ?????? ???????? ????? «????? ?? ????? ??? ????» ??? «?? ????? ?????????? ??????? ?????? ???? ???????». ???? ???????? ?????????, ?? ??? ????? ?? ?????? ?? ????????? ? ????????? ? ??????, ??? – ???? ?? ?? ??????? – ?? ?????? ?????? ??????.

???? ? ???, ??? ???? ?????? ???????????? ???????? ?? ?????????? ? ?? ?????? ??????? ???? ??????, ??????? ?????????????? ????? ??? ?????, ??????????, ??????? ? ???????????. ???? ??? ?? ????? ???????, ??? ??? «????????? ????» ???????? «award winning», ?? ????, ???, ???????? ????? ?? ????. ???? ? ??????????, ??? ??? ??? ???? ??????? (???? ?? ? ??? ?? ??????? – ???????? ? ?????????, ??????????? ???????? ? ?????? ???.)

????? ????? - ????? ?????

????, ??? ?? ??? ???? ???? ??? ?????????, ??? ? ??? ????? ?????? ????????? ????? ?????????, ??? ???? ???? ?????? ??? ???? ????? ?????. ? ??? ?????? ???????? ?????? ?????????? ????????, ????? – ????? ? ????? ?????????, ? ?? ?????? ?????????????. ? ??? ??????, ??? ?????? ????? ????? ???????? ????? ?????, ? ??? ???-?? ??? ? ?? ????????. ?? ?????? ??? ?? ??????? ??????????. ????, ????? ?????????, ????? ?? ????? ????? ???? ??????? ? ?????????????

??? ??????, ?????? ??? ???? ?????, ??? ???? ?? ?????? ??????? ??????? ?????????????? ?? ?????? ???????? ????????? ?? ??? ? ?? ?????? ?? ??????????, ??? ?????? ??????? ?????????? ???? ? ??????? ??? ? ?????? ???? ??? ???? – ??? ? ??????. ??????? ???????????, ?????? ?? ?????? ?? ???????, ? ???? ? ???????, ?? ???? ???? ???????????? ????????? ???, ??? ????? ???? ?????? ? ??????????????? ??-???????? ??????? ?? ????? ? ??????, ?? ?? ?????? ??????????? ????, ??? ???? ???????? «??? ????????» (? ??? ??, ????? ????, ? ????), ? ??? ?? ???????? ?????? ???? ?????? (? ??? ?? ????? ??????.) ? ????? ???? ?????? ??????, ? ????? ????? ??????? ????????, ? ????? ????????, ??? ??? ?? ?? ????????. ???? ??? ??????!

?? ??? ???? ?????????????? ?? ?????? ?????????? ????????. ? ???? ????? ? ????????. ???, ??????? ??? ? ????? ??????. ????? ???????? ?????, ????? ?????? ??????????? ??????? (???????? «????? ?? ????? ??? ?????» ? ???? ????????). ????????? ????? ?????, ? ???????: «? ??????, ??? ???????, ?? ???????????? ?????????, ???? ???? ?????? ???? ? ??? ??????? ????????????, ??? ??? ??????-?? ????? SiteKey ????????. ? ????? ????, ?????????? ??????? ????? ????????, ??????????? ??? ?????????, ??? ????? ???????????? ?????? ??? ????????? ???????? ? ?????? ?????? ??????. ???????, ?? ????? ?????? ?????? ?????????? ? ???, ??-??????, ??????? ?? ????? ? ????????

??????????, ????? ?????? ? ?????? ??????, ? ?????? ????? ????????? ? ????????? ????????, ???? ? ?????? ????? ?????? ????? ?????????? ??, ?? ?????? ?????? IMHO ????????? ?????? ????? ????? ????????? ????? ??????? (???? ????? ??????? ???????? ???? ?? ?????, ????? ??? ??????? ? ???? ??????), ?? ??????? ?? ? ????. ??????? ? ???, ??? ???????????? ???????? ?? ????????? ???????. ? ???????? ??, ??? ????? ????????? ??????? ?? ??????? ?????? ????? ??? ????????? ?????, ?? ????????? ?? ??????, ??? ????? ?????????? ? ??? ??????, ? ?? ?? ??? ?????? ???????. ???? ?????????????? ??????? ??????? ??? ??????, ??????? ???? ????????? ?????? ? ?????? ????? ??? ?? ??????? ??? SSN – ????? ?????????? ????????????. ? ?????? ?????? ? ????-???? ????? ???????? ???????? ? ??????? ???????????? ??????, ??? ?????? ??????????? ????????? ??? ??????????? «?????» ????????? ?? ?????? ? ?????? ?????? ??? ??? ????? ? ????????? ????????. ??? ??? ?????, ???? ???? ?? ??????? ??? ????? ? ??????? ?????, ??????? ??????? ?????? ? ???? ?? ????? ?? ?????????, ??? ??? ????? ????? ??????? ???? ??? ??????? ????? ! ???????, ?? ?????????????, ?? ??? ? ???? ????? ??????, ?? ?????????????? ??????? ??? ????????? ???????????????? ?????????? ?? ???????. ? ??? ????????? ?????? ?????? ??? ????????? SiteKey. ????????, ????????? ????...

??? ?????????????, ??????, ??? ???? ? ???-?? ? ???? ???? ????????????. ????????? ? «????? ?????????? ????????» – FAQ – ???? ??????? ???? «?????? ??? ???? ????? ?????????????» ? «??? ? ???? ????????? ?????? ???????????? ??? ????», ?? ??? ? ???? ?? ?????? ????????? «??? ? ???? ?????????? ?? ???? ????» ??? ???? ?? «??? ? ???? ???????? ???, ??? ? ?? ???? ?????».

«? ???????! ? ??? ??? ???????! – ????????? ?????????.»
???? ??????? «????? ? ?????? ?????»

? ??????, ? ???? ??? ? ??? ??? ???????????? ? ??? ??????? ? ?????? ? ???, ??? ? IT seciruty/???????????? ?????? ????? ????? ??? ??? ? ????? ????? ?????. ? ?? ???? ???? ???????, ????? ??? ???????, ? ??? ?????, ?? ???? ??? ????? ??? ???????.

??, ? ?? ?????? ????. ??-????? ????????? ?????????, ??????????? ???????????? ???????????? ?????? ??????????? ???????????, ????????? ?????????? ??????? (??? ?????????? «???????????????????? ???????»), ? ? ???? ? ????? ? ???????. ????? ???? ???????? ?? ??????? ??? ????? ?????????????, ???? ?? ?????? ?????? ? ???? ?????? ?? ???????? – ?????????????? ??????? ??????, ???????????? ????????, ??????????? ? ??????? ? ?????????? ??????? ?????? ??? ?? ???? ????. ??? ??? ???????????? ???? – ??? – ????. ? Windows, ? Unix (??????? Linux) ???????? ? ?????? ?????? ??? ????????? ????????????? ???? ? ???????????? ????????. ? ??? Windows, ? ??? Unix/Linux ????????????? ????????? ????????? ?????, ?? ??????? ?? ??? ????????? ?? ??????. ? ? Windows, ? ? Unix/Linux ???? ??????? ???? ? ?? ?? ???????????? ??????????? ????????? ? ????? ?????. ? ??? ?? ??????? ???????????-?? ? ?????????? ???? ???? ? ?? ?? ??? ????? ???????????? ??????. ?? ? ??????????? ???????????? ????????? ? ???????? ??????????? ? ??? ?? ???????????. ??? ?? ? ????????, «????? ???????? – ??? ???????, ??? ???????? – ????? ???????.» ???????, ??????? ?????????? ??????????? ??????????, ?????? ?????? ??? ???? ???? ??? ?????. ?? «??????????» ??? ??? ?? «??????????». ??? ???????? ??? ? ???? ?????????? ??????? ???????????? ????????????. ?? ?? ???? – ? ?????? ??????.

Comments

  • Anonymous
    July 18, 2006
    Удручающе. Но правда. Хотелось бы, кстати, узнать, что предпринимается в этой связи вендорами? Хотя проблема, как всегда в умах, имхо.
  • Anonymous
    July 19, 2006
    Ну, а что вендорами? Вон, этот банк, все по собственной инициативе сделал. Глупости можно на любой платформе сделать. Как справедливо замечено - проблема, кк всегда, в умах...
  • Anonymous
    July 20, 2006
    Я это писал к тому, что во все головы мозгов не напихаешь. Но я вижу следующее:
    1) все пишут про то, что нужно менять ситуацию, нужно переходить от глубокоэшелонированной обороны и модели "нашли -> защитились" к превентивным моделям.
    2) эти самые все идут ставить патчи и качать базы к антивирусам.
    Я достаточно умен, чтобы понять вслед за этими всеми, что говорят они правильно, но не в состоянии разработать самостоятельно "систему превентивного реагирования". Лишь хорошую (надеюсь) традиционную систему. И не вижу чтобы кто-то что-то подобное реализовал. Именно в этом ключе и интересовали шаги, предпринимаемые вендорами. Trustworthy computing это здорово, но все так же не позволяет мне более эффективно предупреждать атаки, чем хакерам их проводить. Оно лишь сужает фронт атаки.
    Или я что-то не так понимаю?
  • Anonymous
    July 21, 2006
    Да, нет, правильно понимаешь. Фон-неймановские машины по природе своей податливы на зловредный софт, поскольку не различают программы и данные. Нужно для начала отказаться от фон-неймановской машины хотя бы на уровне пользователя, а какой тут отказ, если активно пропагандируется "активный content" и прочие непрхотливые радости простого человека вроде макромедии...

    Кстати, у меня еще один пост на эту тему готовится, там подробнее на эту тему будет (где-нибудь на следующей неделе соберусь дописать)
  • Anonymous
    July 24, 2006
    Ждем-с.