Pytanie:
Jak mogę się spierać: „System nie da się zhakować, więc po co łatać luki w zabezpieczeniach?”
Ken
2017-12-22 15:33:58 UTC
view on stackexchange narkive permalink

System operacyjny osiągnął koniec wsparcia technicznego (EoS), więc nigdy więcej poprawek zabezpieczeń dla systemu operacyjnego nie będzie już więcej. Urządzenie wbudowane z tym systemem operacyjnym musi zostać zaktualizowane do nowszej wersji. Jednak inżynierowie, którzy zaprojektowali oryginalny produkt, uważają, że maszyny nie da się zhakować i dlatego nie trzeba jej łatać. Urządzenie ma WiFi, Ethernet, porty USB i system operacyjny, który osiągnął EoS.

Pytania, które są mi zadawane codziennie:

  1. Mamy białą listę aplikacji, więc po co nam łatanie luk w zabezpieczeniach?
  2. Mamy zaporę ogniową więc po co nam łatać luki w zabezpieczeniach?

I otrzymane komentarze:

Nasz plan polega na jeszcze większym wzmocnieniu systemu. Jeśli to zrobimy, nie powinniśmy aktualizować systemu operacyjnego i kontynuować jego łatanie. Nikt nie będzie w stanie dotrzeć do luk w zabezpieczeniach. Naprawimy również luki w zewnętrznych częściach systemu operacyjnego (nawet jeśli nie są one w stanie samodzielnie załatać luk), a następnie możemy pozostawić luki, które nie są skierowane na zewnątrz, bez załatania.

I szczegółowo wyjaśnił o skanach poświadczonych przez Nessus. Nie jestem pewien, jak przekazać tym inżynierom mój punkt widzenia. Jakieś przemyślenia, jak mogę to wyjaśnić?

AKTUALIZACJA: Trwa aktualizacja systemu. Dzięki za wszystkie odpowiedzi i pomoc.

Dziękuję Ci.Nasi klienci nie będą chcieli systemu z niezałatanymi wulnami.Uważam, że utwardzony system z sromami jest już nie do przyjęcia.
A więc, czy Twoim zmartwieniem są sępy lub wpływ na reputację klientów * wiedzących *, że były łatki, które można było zastosować?Ponieważ to są dwie bardzo różne rzeczy.
Widzę to na podstawie wulnów.Na przykład wyłączenie SMB dla Wanna Cry.Uważają jednak, że wszystkie przyszłe sępy można złagodzić przez hartowanie.Mogę zawiesić system poprzez fuzowanie protokołów.A WiFi KRACK może być trudne do złagodzenia bez wsparcia dostawcy systemu operacyjnego.
@schroder Moim głównym zmartwieniem jest wpływ na reputację klientów, którzy wiedzą, że istnieją łatki, które można było zastosować.Oczywiście bardzo zależy mi też na łataniu sromów.Jednak w tym przypadku reputacja
ok, to właśnie przedstawiłeś * kolejną * opinię do zakwestionowania (hartowanie może przeciwdziałać wszystkim możliwym przyszłym sromom) i właśnie wymyśliłeś wielkie wyzwanie (KRACK) - myślę, że masz nadzieję na argument srebrną kulą przy użyciu podejścia scattergun, alenie istnieją.Wydaje się, że głównym założeniem jest to najnowsze (wszystkie inne, o których wspomniałeś, wynikają z tego) i jest * łatwe * podważane, tak jak przed chwilą
Jeśli reputacja jest kluczowym problemem, zagłębianie się w szczegóły techniczne nie jest podejściem, które musisz przyjąć.Musisz zbadać swoich klientów i zapytać, co * oni * myślą.Są twoim przedmiotem ryzyka, studiuj je, a nie system operacyjny.
* „Inżynierowie, którzy zaprojektowali oryginalny produkt, uważają, że maszyny nie da się zhakować” *.Nie znam inżyniera ani maszyny, ale wiem, że on / ona się myli **.
„System nie da się zhakować” W tym miejscu głośno się śmiejesz.Każdy, kto uważa, że system jest nie do zhakowania, nie rozumie, jak niezwykle sprytni i zaradni są napastnicy.Wszystkie systemy można zhakować, mając wystarczająco dużo czasu i zasobów.Celem bezpieczeństwa jest sprawienie, aby inwestycja wymagała udanego ataku, która przewyższyłaby korzyści z ataku.
_Zapytanie klientów to świetny pomysł._ Wystarczy wziąć pod uwagę, że jeśli reputacja jest faktycznie Twoim głównym zmartwieniem, a Twoi klienci są choćby zdalnie zaznajomieni z tematami IT, kiedy pytasz swoich klientów, nie wspominałbym im, że Twoi inżynierowie uważają, że chodzi onie do zhakowania;takie twierdzenie słusznie może poważnie zaszkodzić reputacji.
Wkrótce artykuł w DailyWTF blisko ciebie ... „Ale systemu nie da się zhakować! Jak to się mogło stać ?! To musi być wina KEN!
Pomimo tego, jak ktokolwiek myśli o bezpieczeństwie systemu, wydaje mi się, że chciałbyś spróbować załatać każdą znaną lukę lub przynajmniej mieć bardzo dobry powód, dla którego nie możesz.Ponieważ jeśli * zrobisz * w końcu zostaniesz zhakowany, „nie zadaliśmy sobie trudu, aby zastosować żadnych łatek, ponieważ uważaliśmy, że nie da się ich zhakować” nie jest dobrą obroną w żadnym kolejnym dochodzeniu.
Czy istnieje system testowy specjalnie zbudowany do testów hakerskich?Jeśli nie, włamanie się do innego systemu jest skutecznym sposobem na utratę pracy.Co więcej (osobiste doświadczenie), udowodnienie komuś, że się myli, może mieć taki sam skutek, jeśli ta osoba ma wystarczający wpływ.OP jest w trudnej sytuacji.
Zapytaj tak zwanego inżyniera, czy jest skłonny postawić 10000 $, że nie da się go zhakować.Jeśli nadal są tak głupi, by powiedzieć tak, zaoferuj 5K (we właściwych miejscach ...) każdemu, kto może zhakować urządzenie.Zarabiasz 5 tysięcy i twój punkt widzenia ...
Opcją jest wykorzystanie maszyny i zgłoszenie tego, co zrobiłeś, mówiąc, że jeśli ja ją wykorzystam, każdy może.To właśnie robią hakerzy z białymi kapeluszami i jest to najłatwiejszy sposób na zamknięcie tych inżynierów.Jeśli nie chcesz tego robić, udokumentuj fakt, że powiedziałeś inżynierom, że się mylą, więc kiedy nadejdzie dzień i system zostanie zhakowany, nie będziesz winny, możesz po prostu powiedzieć, że to zrobiłemmoja praca
Uważam, że [ten facet] (https://www.schneier.com) powiedział, że każdy może stworzyć system, którego sam nie może zhakować.
Istnienie luk w zabezpieczeniach potwierdza, że system * nie * jest nie do złamania.
Miałem wrażenie, że EoS nie oznacza żadnych planów ulepszeń funkcjonalności, być może żadnych * planów * poprawek, a aktualizacje zabezpieczeń były w rzeczywistości pół-powszechne w przeszłości EoS.OT: nie powinieneś rozmawiać z inżynierami, a raczej z ich i swoim szefem.Ostatecznie, jeśli Twoja firma nadal obsługuje to urządzenie, obsługa systemu operacyjnego staje się Twoją odpowiedzialnością, nie ma znaczenia, czy wsparcie upstream ustało.
Jest to problem umiejętności komunikacyjnych, a nie technicznych.Posłuchaj ich, zadaj pytanie, jaki jest ich argument.Zgódź się z nimi i daj im znać, że jak dotąd wykonali świetną robotę.Nigdy nie używaj słowa „ale”.Na koniec pozwól im podpisać umowę, która stwierdza, że ostrzegałeś i że wiedzą, co robią, i że nie jesteś już za nic odpowiedzialny.
@jpmc26 Myślę, że celem powinno być obniżenie kosztów i skutków udanego ataku przy użyciu środków bezpieczeństwa niż koszt i wpływ ataku bez środków bezpieczeństwa.Zdeterminowany napastnik samobójczy może za wszelką cenę rzucić na ciebie broń termojądrową Steve'a-Jobsa.
@Archimedix Problem z twoim pomysłem polega na tym, że nie nakłada on górnej granicy na wydatki na bezpieczeństwo.Nie możesz zatopić nieskończonego czasu i pieniędzy w bezpieczeństwie, a w pewnym momencie musisz po prostu zaakceptować, że jeśli napastnik zajdzie tak daleko, po prostu przegrałeś.Zastanawiałem się nad stwierdzeniem „uczynienie ataku kosztownym zaporowym”, ale jak zauważyłeś, mogą istnieć napastnicy dysponujący ogromnymi zasobami, z którymi nie możesz mieć nadziei na dopasowanie.
@jpmc26 górną granicę określa się jako sumę kosztów i wpływu (lub lepiej, ryzyko, które jest iloczynem wpływu i prawdopodobieństwa wystąpienia).Jeśli środki bezpieczeństwa są niewystarczające, całkowity koszt i ryzyko są zbyt wysokie, aby działać długoterminowo.Jeśli są za drogie, nic nie zyskujesz.Jest to w zasadzie matematyka ubezpieczeniowa, z tym wyjątkiem, że ubezpieczyciele dodają własne środki bezpieczeństwa i do tego zysk.
@IllidanS4 - Wyjęłam słowa z moich ust: „Nie do zhakowania… luki…” to oksymoron.
Czy jest w ogóle połączony ze światem zewnętrznym?Myślę, że zawsze jest też socjotechnika: |
Poddać się.Jeśli rozmawiasz z kimś - nie mniej niż _inżynierem_ - kto słusznie wierzy, że jakiekolwiek urządzenie jest nie do zhakowania, nie możesz podejść do niego inteligentną argumentacją.
Element ludzki sprawia, że KAŻDY system nie do zhakowania można zhakować.Czy twoja reputacja jest nastawiona na radzenie sobie z żywiołem ludzkim, a także z nieoczekiwanym przeciwnikiem technologicznym.
Twój „inżynier” myli „Brak dowodów na problem” z „Dowód, że nie ma / nie może być problemu”.
Spraw, aby nasza troska została usłyszana i przejdź dalej, nie trać czasu na przekonywanie ludzi (chyba że młodszy płatny format, to znaczy)
Biała lista jest tak silna, jak najsłabszy użytkownik.Zapora sieciowa musi mieć otwarte porty, aby umożliwić wprowadzanie / wysyłanie danych aplikacji.Jednak nie można tutaj wywnioskować, czy POTRZEBUJESZ większego bezpieczeństwa, czy nie.
Niejasne pytanie.Co masz na myśli, mówiąc, że urządzenie „wymaga aktualizacji”?Dlaczego „wymaga aktualizacji”?Musisz podać więcej szczegółów.
Każda poważna zmiana wymaga analizy kosztów i korzyści.Wygląda na to, że nie zgadza się wynik analizy, a ponieważ analiza tkwi w waszych głowach, nie jest to nawet ta sama analiza.Więc najpierw zapisz analizę, zgódź się, że potrzebne punkty są wymienione, a następnie omów ją.
Nie ma czegoś takiego jak system nie do zhakowania.Istnieją tylko systemy, które są wystarczająco trudne do zhakowania, aby „łup” nie był wart wysiłku i / lub zasobów.Powinieneś zadać pytanie: czy ten system jest obecnie wystarczająco trudny do zhakowania, czy też jest na tyle łatwy, że „łup” jest wart wysiłku?
Piętnaście odpowiedzi:
schroeder
2017-12-22 15:48:57 UTC
view on stackexchange narkive permalink

Problem z tą sytuacją (tak jak ją opisujesz) polega na tym, że przyjmuje się wiele założeń z wieloma opiniami. Masz swoje opinie i chcesz, aby się nimi podzieliły, ale oni mają swoje własne opinie.

Jeśli chcesz, aby wszyscy się na coś zgodzili, musisz znaleźć wspólną płaszczyznę. Musisz zakwestionować i potwierdzić każde założenie oraz znaleźć twarde dane na poparcie swojej lub ich opinii. Gdy już będziecie mieli wspólną płaszczyznę, będziecie mogli razem iść do przodu.

  1. Masz białą listę: świetnie, co to znaczy? Czy są sposoby na obejście tego? Czy aplikacja umieszczona na białej liście może zostać uszkodzona?
  2. Co robi zapora? Jak to jest skonfigurowane? Firewalle oznaczają zablokowane porty, ale także dozwolone porty. Czy te dozwolone porty mogą być nadużywane?
  3. Nikt nie ma dostępu? Kto ma dostęp do urządzenia? Czy ufasz insiderowi lub ignorancji użytkownika, aby zapewnić bezpieczeństwo?
  4. Co się stanie, jeśli ktoś uzyska lokalny dostęp do urządzenia? Jakie jest prawdopodobieństwo?

Twoim zadaniem jako specjalisty ds. Bezpieczeństwa informacji nie jest bicie ludzi „sprawdzonymi metodami”, ale przeprowadzanie analiz ryzyka i projektowanie rozwiązań ograniczających ryzyko poniżej progu ryzyka w opłacalny sposób. Musisz uzasadnić nie stosowanie najlepszych praktyk, ale jeśli uzasadnienie jest prawidłowe, to jest prawidłowe.

Doceniam to.Myślę, że jestem winny bicia ludzi „najlepszymi praktykami”.Udało mi się znaleźć dowody na to, że biała lista może zostać zhakowana.Jest dostęp do maszyny, ale nie ma dostępu do pulpitu systemu operacyjnego.Dzięki jeszcze raz.
@Ken To, co powinieneś przeczytać między wierszami ostatniego akapitu, to fakt, że najlepsze praktyki nie zawsze są najlepsze.
Najlepsze praktyki opierają się na aktualnej wiedzy.Nikt nie jest wszechwiedzący, więc obecne najlepsze praktyki nie pozostają takie na zawsze.Gdy obecne najlepsze praktyki stają się przestarzałe, jest to spowodowane nowo odkrytą fundamentalną wadą.
Najlepszą praktyką nie jest poleganie na wyliczonej liście znanych i sprawdzonych rozwiązań, ale zapewnienie niezawodności systemu przez _nie_ zakładanie, że nie da się go zhakować i odpowiednie zaprojektowanie.
@Ken „Jest dostęp do komputera, ale nie do pulpitu systemu operacyjnego” - otwieram twój komputer, podłączam dysk z moim własnym systemem operacyjnym, uruchamiam go, a następnie wprowadzam dowolne zmiany we wszystkim i we wszystkim w twoim systemie.Albo po prostu go otwieram, wyjmę twój dysk i sprzedaję temu, kto zaoferuje najwyższą cenę.
Dodajmy do białej listy.To blokuje uruchamianie nieautoryzowanych plików wykonywalnych.Jeśli jednak dozwolony plik wykonywalny ma lukę, biała lista NIE zrobi NIC, aby to zatrzymać.Exe, jeśli znajduje się na białej liście, będzie działać - z luką w zabezpieczeniach.
Martin Argerami
2017-12-22 18:06:06 UTC
view on stackexchange narkive permalink

Jeśli ktoś mówi mi, że jego maszyna nie daje się zhakować i powinienem mu uwierzyć, od razu dochodzę do wniosku, że

  • Maszyna jest strzeżona w Fort Knox / więzieniu o zaostrzonym rygorze z 24 / 7 strażników i kamer bezpieczeństwa,

a także jedno z poniższych:

  • Maszyna nie wymienia żadnej informacji (bez USB, Ethernet, Firewire, szeregowe, równoległe itp. dowolnego rodzaju)

  • Maszyna jest trwale wyłączona.

Strażnicy 24/7?Cóż, masz właśnie doskonały wektor ataku!Nigdy nie lekceważ potęgi zagrożenia wewnętrznego.
Jedyny system, którego nie można zhakować, znajduje się wewnątrz sejfu, który został zaspawany i zepchnięty z łodzi do Rówu Marianas.Następnie rozstrzelano całą załogę łodzi, aby zachować jej lokalizację w tajemnicy.
Poza tym zawsze denerwuję się słysząc takie rzeczy, jak „najbezpieczniejszy komputer to odłączony komputer”, ponieważ to całkowicie narusza zasadę triady dostępności CIA.Odłączony komputer to ostatecznie niezabezpieczony komputer, czyli całkowita odmowa usługi.
@Adonalsium To nie jest nie do zhakowania.Lokację można wymusić brutalnie.Prawdziwa odpowiedź brzmi: „hakowalność” nie jest absolutna.Zwykle uważam system bez połączenia sieciowego za „bezpieczny” w takim stopniu, w jakim ktoś potrzebowałby fizycznego dostępu, aby go złamać.W sytuacjach o wysokim poziomie bezpieczeństwa szczelina powietrzna (w tym porty USB i innych urządzeń) jest zwykle uważana za najwyższy poziom bezpieczeństwa.
Podczas naszego ciągłego audytu GSS nasi pracownicy ochrony nieustannie uderzają nas po głowach, mówiąc, że „bramy, pistolety i osłony nie wystarczą”, aby chronić media pozbawione przestrzeni powietrznej.przy okazji, znajdujemy się w bazie armii USA.
@Adonalsium pociąga za sobą.Wszyscy wiemy, że jedynym nie do zhakowania systemu jest ten, który przekroczył horyzont zdarzeń.
Dodatek do Twojej listy: „System, który ma zostać zhakowany, nawet nie istnieje”.
@R .. och, z pewnością, że system, który przekroczył horison zdarzenia, można zhakować, możesz w ten sposób wysyłać informacje.Po prostu nie możesz uzyskać odpowiedzi po swojej stronie :)
Po prostu użyj cegły.Nikt nie może tego zhakować i jest to równie przydatne.
@DimaTisnek: Prawdopodobnie żadne informacje „po drugiej stronie” po prostu nie istnieją.
@R .. słyszałeś kiedyś o Hawking Radiation?Informacje ostatecznie zostaną wypromieniowane.To tylko kwestia rekonstrukcji.;)
Nie informacje, tylko masa / energia.
Wydaje się, że nie daje to odpowiedzi na pytanie (lub jest to nieprzydatna odpowiedź, jeśli sugerujesz udzielenie im sarkastycznej odpowiedzi, która jest pomocna tylko dla kogoś, kto już wie, dlaczego te rzeczy powinny być prawdą).Możesz chcieć [edytować] i przeformułować, aby dokładniej opisać, co może się nie udać w przypadku umieszczenia urządzenia w mniej bezpiecznym miejscu i dlaczego wymiana informacji jest problemem.
@NotThatGuy: Odkryliśmy, że próba wyjaśnienia, dlaczego te rzeczy są prawdziwe, prowadzi tylko do narzekania, dlaczego nie naprawiono x, gdzie x jest podstawowym prawem bezpieczeństwa komputera.
@Joshua Nie zmienia to faktu, że to nie jest odpowiedź (chociaż drobne przeformułowanie może to zmienić, ale wtedy byłaby to dość niska jakość odpowiedzi IMO - wymaga dodania do niej mięsa).
Pracująca maszyna zawsze „wymienia” jakąś informację: przynajmniej zużywa energię elektryczną i wytwarza ciepło.Ataki przeprowadzano w przeszłości, analizując zużycie energii i fale upałów, a także problemy z synchronizacją.Tak więc prosty fakt, że maszyna już działa, tworzy informacje, które można wykorzystać.
@jpmc26 można to osiągnąć, po prostu się rozstając
Mike Scott
2017-12-22 15:49:31 UTC
view on stackexchange narkive permalink

Ponieważ potrzebujesz wielowarstwowej strategii bezpieczeństwa z dogłębną obroną. Masz zaporę ogniową, ale co zrobić, jeśli w zaporze jest luka w zabezpieczeniach? Co się stanie, jeśli jakiś exploit aplikacji zapewni dostęp do systemu operacyjnego na poziomie użytkownika, a następnie niezałatana luka w systemie operacyjnym umożliwia eskalację tego problemu do uprawnień administratora? Aby zapewnić odpowiednie bezpieczeństwo, musisz załatać wszystkie znane luki, a nie tylko te, które Twoim zdaniem mogą zostać wykorzystane w systemie, ponieważ połączenie nieznanej luki i znanej luki, której Twoim zdaniem nie może być exploited może pozwolić na kompromis tam, gdzie samo w sobie by nie pozwolił, i nie można załatać nieznanych luk w zabezpieczeniach.

@KalleMP to jest * jedna * odpowiedź i zakłada możliwość poprawienia.Oceny ryzyka są z natury „ocenami wartości” i gdyby bezpieczeństwo było tak proste, jak „robienie wszystkich właściwych rzeczy”, to zawód informatyków potrzebowałby tylko techników do biegania po przyciskach.Rzeczywistość, jak stwierdza sytuacja PO, jest o wiele bardziej skomplikowana.
Szukałem frazy „głęboka obrona”.To najprostsza odpowiedź dla tych ludzi i zazwyczaj najlepsza.
user166832
2017-12-24 20:18:15 UTC
view on stackexchange narkive permalink

Powód jest prosty - zabezpieczenia nakładane są warstwami. Na przykład, aby połączyć się z ważną bazą danych, należy najpierw dostać się do sieci bazy danych (przejść przez firewall), dodać własny adres IP do listy klientów, którzy mogą się połączyć, a następnie zainicjować połączenie za pomocą nazwy użytkownika i hasła. Każda z warstw sprawia, że ​​pozostałe dwie są zbędne. Problem polega na tym, że „co jeśli”. Pomyślmy o domyślnym loginie scott / tiger starej Oracle lub pracownik nieumyślnie przekazuje port do publicznego Internetu. Zapora może blokować tylko TCP, podczas gdy serwer nasłuchuje również na UDP lub IPv6 jest źle skonfigurowany, a zabezpieczenia dotyczą tylko IP4. Z tego powodu dobre zabezpieczenia są warstwowe, próby są monitorowane, a eksperci ds. Bezpieczeństwa uczą się na podstawie prób (miejmy nadzieję, że nie powiodły się) ataków lub sprawdzają aktywność na honeypotach. Ponadto exploity typu zero day (te, które mają zastosowanie nawet do najnowszej łatki) mają mniejsze szanse powodzenia w środowisku warstwowym, ponieważ atakujący będzie potrzebował exploita dla każdej warstwy.

Żadne urządzenie nie może zostać zhakowane, po prostu nie został wcześniej zhakowany. Albo twoje urządzenie ma małe zainteresowania i / lub wypłata jest bardzo niska. Nadal mogą istnieć exploity dnia zerowego.

Ponadto niektórych urządzeń z Androidem po prostu nie można zaktualizować poza określoną wersję. Wiedza o tym, że przeciwnik ma takie urządzenie, jest otwartym zaproszeniem do włamania, ponieważ nazwa / marka urządzenia zawiera dokładny przepis na to, jak je zhakować.

Utrzymanie urządzenia bez aktywnego wsparcia jest niebezpieczne również z powodu funkcjonalności z perspektywy.

Bezpieczeństwo nie jest konieczne, aby chronić przed osobami postronnymi (zapora), ale także przed osobami z zewnątrz. Nie znam kontekstu, w jakim działa twoje urządzenie, ale biorąc pod uwagę to, co piszesz, może być podatne na atak kogoś, kto już znajduje się w zaporze.

Meridian
2017-12-23 03:57:24 UTC
view on stackexchange narkive permalink

Nie ma systemów, których nie można zhakować. Dla tych, którzy wspominają o przepuszczaniu powietrza, istnieje wiele przykładów rzeczywistych hacków lub potencjalnych włamań do systemów z przerwami powietrznymi. Stuxnet jest prawdopodobnie najbardziej znanym (i najbardziej ekstremalnym) przykładem. Niektóre inne obejmują phreaking van Eck, analizę akustyczną lub inne ataki typu side channel.

Istnieją sposoby ograniczania luk w zabezpieczeniach, które nie wymagają łatania. Na przykład, jeśli system jest podatny na KRACK, czy można po prostu wyłączyć WiFi? Jeśli Wi-Fi jest trwale wyłączone, nie powinno być potrzeby aktualizowania go. Podobnie, jeśli w systemie są określone aplikacje, które stanowią lukę w zabezpieczeniach (takie jak Java, .NET, Flash, przeglądarki itp.), Możesz po prostu odinstalować te aplikacje. Nie ma potrzeby aktualizowania oprogramowania Java, jeśli nie jest jeszcze zainstalowana.

W przypadku aktualizacji systemu operacyjnego jest to wprawdzie trudniejsze. Musisz zdawać sobie sprawę z potencjalnych luk w zabezpieczeniach, a następnie musisz je złagodzić. Zaletą korzystania z obsługiwanego systemu operacyjnego jest to, że ktoś inny (prawdopodobnie) już wykonuje za Ciebie pierwszą część i połowę drugiej części.

W pełni zaktualizowany / zaktualizowany system nie jest systemem bezpiecznym ani nie do zhakowania. Ale zazwyczaj minimalizuje ryzyko ZNANYCH luk w zabezpieczeniach. Aby powtórzyć Schroeder, analiza ryzyka jest ważniejsza niż „ulepszanie / blokowanie” lub ślepa „aktualizacja” z nadzieją, że dzięki temu będziesz bezpieczniejszy.

Stuxnet był wynikiem naruszenia polityki dotyczącej luk powietrznych, a phreaking van eck i inne tego typu ataki naruszają poufność, ale nie integralność.Nazywanie ich „hakowaniem” byłoby daleko idące.Jeśli chodzi o „brak systemów, których nie da się zhakować”, sprawa EAL7 + jest dość bliska!
To niezłe rozróżnienie między poufnością a uczciwością.OP nie wspomniał o celu zabezpieczenia systemu, a moje własne doświadczenie jest bardziej skoncentrowane na ryzyku związanym z poufnością.
https://www.wired.com/2017/02/malware-sends-stolen-data-drone-just- pcs-miging-led / - znowu, mógłbym argumentować, że jest to naruszenie polityki dotyczącej szczelin powietrznych - ale mimo to trochę zabawy, którą myślałem, że się podzielę.
emory
2017-12-22 23:24:27 UTC
view on stackexchange narkive permalink

Żaden system nie jest naprawdę „nie do zhakowania”. Jednak gdy już zdecydujemy, że system jest wystarczająco „nie do zhakowania”, nie musimy utrzymywać kanału dla poprawek bezpieczeństwa.

Na konkretny przykład, nasz system „nie do zhakowania” kontroluje kamerę bezpieczeństwa. Zadaniem aparatu jest patrzenie w ustalone miejsce. Każde ustawienie jest stałe lub system jest wystarczająco inteligentny, aby dostosować się sam. System przesyła strumieniowo dane wideo i nie potrzebuje żadnych danych wejściowych od użytkownika.

Moglibyśmy uruchomić ssh, abyśmy mogli okresowo logować się i stosować poprawki bezpieczeństwa, ale to faktycznie otwiera (bardzo mały) dziura w zabezpieczeniach. Atakujący może użyć ssh do zhakowania kamery. (Powodzenia w hakowaniu ssh).

Więc to jest kompromis. Jeśli naprawdę uważasz, że nigdy nie będziesz musiał instalować łatki bezpieczeństwa, możesz zdecydować, że pozostawienie tego kanału otwartego nie jest tego warte.

Pomysł zrodził się z prezentacji, w której uczestniczyłem, gdzie ktoś opisał systemy, w których budowali dla rządu. Składnikami systemu były krótkotrwałe maszyny wirtualne (zwykle krótsze niż jeden dzień). Każda maszyna wirtualna była niezmienna i jednorazowa. Plan był taki, że gdyby potrzebowali zastosować łatkę bezpieczeństwa, po prostu pozbyliby się maszyn w uporządkowany sposób i stworzyli nowe. Maszyny wirtualne nie miały ssh.

Rządowy audytor bezpieczeństwa wydmuchał uszczelkę i zmusił ich do zainstalowania ssh, aby mogli zastosować poprawki zabezpieczeń. Serwer ssh nie zapewniał żadnej wartości bezpieczeństwa i był w rzeczywistości dziurą.

Jednak jeśli o tym myślę, ten (i mój aparat) przykład to tylko aktualizacje zabezpieczeń przez nietradycyjny kanał.

A co z

  1. kamerą rozmieszczoną na Marsie ... każdy wie o kamerze i każdy może oglądać dane z kamery
  2. kamerę, która znajduje się potajemnie za liniami wroga (gdyby wróg wiedział o kamerze, z łatwością mógłby ją zabrać ... czy chcemy utrzymywać kanał aktualizacji zabezpieczeń).
Nawet jeśli chcesz później zastosować poprawki zabezpieczeń, dobrym rozwiązaniem byłoby wymaganie fizycznego dostępu w połączeniu z ochroną przed manipulacją.
Ale kamera przypuszczalnie musi przesłać swoje nagranie do odległej lokalizacji, czy osoba atakująca sfałszuje jej DNS, aby przesłać go na serwer atakującego?A przypuśćmy, że w jego stosie sieciowym występuje przepełnienie buforu, które osoba atakująca może wykorzystać przy użyciu źle sformułowanego pakietu?W końcu nie jest to niemożliwe do zhakowania.
Ponadto kamera bezpieczeństwa akceptuje wejście z zewnątrz.A co, jeśli w oprogramowaniu do przetwarzania obrazu znajduje się błąd, który można wykorzystać, który pozwala komuś włamać się do systemu za pomocą kamery?
`Powodzenia w hakowaniu ssh` Nigdy wcześniej nie otrzymałeś oferty na OpenSSH 0 dzień wcześniej, prawda?
Myślę, że punkt @Nzall's jest ważny.W tym przykładzie nadal stosujemy aktualizacje zabezpieczeń - po prostu zmieniamy kanał, w którym są stosowane.
@MikeScott może kamera transmituje na świat.kamera właśnie wylądowała na Marsie i robi zdjęcia i nadaje na cały świat.jeśli zostawimy otwarty kanał aktualizacji zabezpieczeń, osoba atakująca może zalać go szumem.osoba atakująca nie chce zastosować ich aktualizacji, ale uniemożliwia nam jej zastosowanie i może marnować zasoby mocy kamery.
@forest sugerujesz, że łatwo jest zhakować ssh?
@RobWatts Myślę, że mówisz, że prezentując do kamery odpowiednio dobrany obraz, haker może przejąć kontrolę nad systemem.Jest to z pewnością możliwe.Myślę, że po prostu będziemy musieli pogodzić się z faktem, że nasze systemy można zhakować.Jeśli naprawdę się tym martwisz, musisz zastosować pewne fizyczne zabezpieczenia w obszarze wokół aparatu, aby uniemożliwić ludziom prezentowanie obrazów do aparatu, ale to prawdopodobnie zniweczyłoby cel aparatu.
@emory Nie, ale nie jest to niemożliwe do zhakowania.
@emory to prawda.Zasadniczo starałem się podkreślić, że nic nie jest nie do zhakowania - wiele osób nawet nie rozważałoby możliwości zhakowania kamery.
@RobWatts szczerze mówiąc, nie brałem tego pod uwagę i nadal nie mam pojęcia, jak to zrobić, ale skoro zwróciłeś mi na to uwagę, jestem pewien, że poświęcenie czasu i pieniędzy na problem znalazłby słabość w aparacie
A co, jeśli luka ma charakter, który w końcu umożliwia atakującemu komunikowanie się z maszyną?Jest podłączony do sieci, ponieważ wysyła dane do miejsca docelowego.Teraz masz urządzenie, które jest trwale narażone.Jeśli Twoja odpowiedź brzmi „Wymienimy wszystkie urządzenia”, to w rzeczywistości określiłeś schemat „fizycznego łatania” jako swoją odpowiedź.Twoje uwagi dotyczące urządzeń, które są teraz poza Twoją kontrolą, mają jednak sens.
@jpmc26 Myślałem o tym trochę i zwykle się z tobą zgadzam.W większości przypadków chcesz stosować poprawki zabezpieczeń.Czasami wybierasz alternatywne kanały (które mogą powodować opóźnienia).Prawie nigdy nie zdecydowałeś się nie stosować poprawek bezpieczeństwa.
@RobWatts Myślę, że jest to przykład tego, co masz na myśli https://globalnews.ca/news/3654164/altered-stop-signs-fool-self-driving_cars/.Nawet jeśli komputer w samochodzie jest w inny sposób odporny na włamania, można go rozbić za pomocą „graffiti”
W kuchni mam drewnianą łyżkę, której nie można hakować.Przynajmniej mam taką nadzieję.Mogę się mylić.
@gnasher729 za późno.Od lat używam go do wydobywania kryptowaluty.dziękuję za nie łatanie łyżki.
Ángel
2017-12-24 09:01:24 UTC
view on stackexchange narkive permalink

Fakt, że nie mogą wymyślić (w tej chwili) sposobu na zhakowanie go, nie oznacza, że ​​jest on „nie do zhakowania”. Dlatego z zasady stosujemy wszystkie poprawki zabezpieczeń, nawet jeśli są one na komponencie, który nie powinien być dostępny (np. Po co załatać lukę w zabezpieczeniach eskalacji uprawnień, skoro atakujący nie miałby nawet dostępu użytkownika?).

Teraz mogą mieć rację, a nie łatanie tego może być właściwą decyzją w twoim przypadku. Ale jest kilka osób, dla których bym to zaakceptował. A ci inżynierowie prawdopodobnie nie mają szczególnej wiedzy na temat przeprowadzania audytów bezpieczeństwa.

Jako argument za ich przekonaniem, poprosiłbym ich o udostępnienie jednego z tych urządzeń każdemu zainteresowanemu soczysta nagroda (np. postawili zakład?).

Jeśli czują się nieswojo, robiąc to, cóż, tak naprawdę nie uważają, że jest to niemożliwe do zhakowania. A jeśli uważają, że takie postępowanie ujawniłoby ważne informacje, oznacza to, że polegają na bezpieczeństwie przez zaciemnienie. Prawdziwy system, którego nie da się zhakować, byłby nadal możliwy do zhakowania, gdyby atakujący wiedział wszystko o jego działaniu.

PS: Nawet jeśli nie obstawią swoich domów, naprawdę skorzystasz na wdrożeniu programu wykrywania błędów.

thecarpy
2017-12-24 03:30:43 UTC
view on stackexchange narkive permalink

Inżynierowie, którzy zaprojektowali oryginalny produkt, uważają, że maszyny nie da się zhakować

Inżynierowie, którzy zaprojektowali Titanica, uznali, że jest niezatapialny.

Problem w IT polega na tym, że ludzie nie widzą potrzeby aktualizowania systemu, po co zmieniać działający system? Te firmy trafiają na pierwsze strony gazet: „4 fabryki zostały zamknięte z powodu wybuchu epidemii x” lub „Firma x została naruszona, dane osobowe y milionów klientów zostały ujawnione”.

Wyobraź sobie, że chmura IBM niedawno przeniosła wszystkie klienci na siłę do TLS 1.1 (TAK, już przestarzała wersja) i niektórzy klienci narzekali ... TEN KLIENCI POWINNI PRZYGOTOWAĆ SIĘ DO TLS 1.3, nie wiem, co robią, i nie obchodzi mnie, jakie mają wymówki, powinni korzystać z TLS 1.2 WSZĘDZIE! IBM z powrotem sprzedał, NIEDOPUSZCZALNY!

Teraz możesz mi powiedzieć, że czarny jednorożec w stajni uniemożliwia Ci przeniesienie wszystkiego do TLS 1.2, cokolwiek, pozbądź się go i nie współpracuj z firmą sprzedającą czarny jednorożec ... My jako branża tego nie robimy, a naruszenia będą pojawiać się na pierwszych stronach gazet, a naruszenia będą pojawiać się na pierwszych stronach gazet, dopóki nie wyciągniemy wniosków.

Problem polega na tym, że czarny jednorożec w stajni jest na przykład najstarszym klientem, który przynosi największe dochody.Możesz zrezygnować z prowadzenia interesów z jakimś dostawcą, o ile ma on bezpiecznego konkurenta, w przypadku klienta jest to zupełnie inna sprawa.Ponadto Microsoft jest głupi, że [nie pozwala na przesłonięcie protokołu TLS pod względem żądań] (https://stackoverflow.com/a/3795952/1739000) (lub nawet w odniesieniu do witryny), więc zasadniczo zaostrzają one czarnego jednorożcaproblem.
Jestem pewien, że twój klient doceni fakt, że naraża swoje bezpieczeństwo, twoje i innych twoich klientów.Nagłówek wiadomości jest również dobrym argumentem.Klient jest królem, to prawda, ale bezpieczeństwo musi być najważniejsze!
Tom
2017-12-24 09:24:01 UTC
view on stackexchange narkive permalink

czuć, że maszyna nie daje się zhakować

Uczucia nie mają znaczenia. Fakty tak.

Wróć do oceny ryzyka i / lub modelu zagrożenia. Sprawdź, czy łatanie lub aktualizowanie oprogramowania było częścią planu leczenia ryzyka. Sprawdź, czy przestarzałe oprogramowanie było częścią analizy ryzyka lub modelu zagrożeń.

Wróć do inżynierów, podając te fakty i omów z nimi, jak zmienia się ryzyko lub które zagrożenia są teraz nieleczone. w oparciu o fakt, że oprogramowanie nie jest już nieaktualne. należy również wziąć pod uwagę, że to szczególne ryzyko będzie rosło z czasem , wraz ze wzrostem szansy na wykrycie defektu, który można wykorzystać. Więc patrz w przyszłość, aż do rozsądnego końca okresu eksploatacji produktu.

Pamiętaj, że ich działania łagodzące mogą sprawić, że ryzyko będzie akceptowalne. Należy to jednak przedyskutować i zaktualizować plan ryzyka. Może się też zdarzyć, że dzięki temu ryzyko będzie dziś akceptowalne, ale za kilka lat już nie. Co wtedy Zamiast szukać argumentów przeciwko inżynierom, wejdź z nimi na tę samą stronę. Przynajmniej zdajesz sobie sprawę, że mogą być potrzebne działania łagodzące.

Matt E
2017-12-28 23:39:24 UTC
view on stackexchange narkive permalink

„Systemu nie można zhakować, więc po co łatać luki w zabezpieczeniach?” W swoim pytaniu próbujesz argumentować przeciwko błędnemu przekonaniu i argumentowi, którego nie da się udowodnić („Skąd wiesz , że jest„ nie do zhakowania ”? A może po prostu myślisz, że skoro nie możesz tego zhakować, nikt inny nie może? ”). Myślę jednak, że ostatecznie sprowadzi się to do dyskusji na temat akceptowalności ryzyka i tego, kto jest skłonny je zaakceptować. Spróbuj im to wyjaśnić w ten sposób.

„Mamy białą listę aplikacji, więc po co nam łatanie luk w zabezpieczeniach?”

Biała lista aplikacji jest tylko dobre jak sama biała lista, narzędzia do blokowania aplikacji spoza tej białej listy i zakładają, że w samym narzędziu do białej listy aplikacji nie ma błędów ani luk w zabezpieczeniach. Chroni również tylko przed nieznanymi / niezaufanymi aplikacjami. A jeśli atakujący zdecyduje się „żyć z ziemi” i użyć własnych narzędzi systemu przeciwko sobie? Co się stanie, jeśli jedna z aplikacji umieszczonych na białej liście jako część systemu operacyjnego ma lukę w zabezpieczeniach

„Mamy zaporę ogniową, więc po co nam łatanie luk w zabezpieczeniach?” To jest: w rzeczywistości ten sam argument, co poprzedni. Czy jesteś pewien, absolutnie, pozytywnie, w 100%, poza cieniem wątpliwości, że nie ma żadnych luk w stosie sieciowym i / lub samej zaporze sieciowej, ani żadnej z aplikacji lub usług, które mogą nasłuchiwać lub być dostępne za pośrednictwem tego stosu sieciowego?

Jeśli ich odpowiedzi na powyższe pytania są takie, że są w 100% pozytywni co do swoich wyborów i decyzji, napisałbym dokument szczegółowo opisujący akceptację tego ryzyka i podpisany przez ich zespół kierowniczy aż do CIO. Ostatecznie to ich (poziom CxO) jest na haku za problem, jeśli i kiedy system zostanie naruszony i to oni mogą zostać wezwani przed Kongresem (lub jakimkolwiek rządowym organem nadzorczym, któremu podlegają), a także kierownictwo w Equifax były. Kiedy zostanie wyjaśnione kierownictwu, że nie robią wszystkiego, co w ich mocy, aby system był aktualizowany i łatany (zgodnie z wymogami wielu różnych grup / przepisów dotyczących poświadczania i nadzoru) i że oni (CxO) mogą zostać pociągnięci do odpowiedzialności, postawy często się zmieni.

Thomas Carlisle
2017-12-23 20:28:59 UTC
view on stackexchange narkive permalink

Wydaje mi się to proste. Wracając do pytania, jak dojść do argumentu przeciwko niepoprawowaniu systemu uważanego za nie do zhakowania. Jaki jest najgorszy scenariusz, który może się zdarzyć, jeśli system zostanie naruszony? Załóżmy, że wszystkie istniejące zabezpieczenia zawiodły lub zostały naruszone. Nie lekceważ tego ćwiczenia, pomijając konsekwencje, ponieważ nie uważasz, że może lub zostanie naruszone.

Teraz umieść ten najgorszy scenariusz w kontekście kosztów biznesowych w postaci utraconych przychodów, kar prawnych / regulacyjnych lub szkody dla wizerunku firmy w branży.

Jeśli ten wpływ jest poważny, spójrz swoim inżynierom w oczy i powiedz „Czy jesteś gotów postawić swoją pracę - i być może całą swoją karierę - zagrozić, że to się nigdy nie wydarzy? po wyjaśnieniu, jak to się stało, świadoma decyzja o dalszym korzystaniu z systemu operacyjnego EOL i uznanie, że łatanie jest niepotrzebne, znajdzie się blisko, jeśli nie na szczycie listy. ”

Z drugiej strony, jeśli wpływ biznesowy nie ma takiego wpływu, dalsze korzystanie z systemu operacyjnego EOL może mieć sens. Ale jak najlepiej to zrobić w sposób dobrze zarządzany ryzykiem, to już inny temat.

Finlay McWalter
2017-12-27 04:14:34 UTC
view on stackexchange narkive permalink

To może wcale nie być decyzja techniczna. Korzystanie z dowolnego komponentu pochodzącego z zewnątrz ogólnie oznacza, że ​​musisz używać tego komponentu ściśle zgodnie z wytycznymi jego producenta, w przeciwnym razie ryzykujesz, że utkniesz ze wszystkimi konsekwencjami i odpowiedzialnością wynikającą z wszelkich awarii, w które może być powiązany.

Więc jeśli urządzenie zachowuje się nieprawidłowo i ktoś jest ranny (lub poniesie inną odpowiedzialność), wówczas producent oryginalnego systemu operacyjnego powie „nieobsługiwane oprogramowanie - to nie nasz problem”. Ubezpieczyciel Twojej firmy powie: „używanie przestarzałego oprogramowania, które nie jest objęte pomocą techniczną - to zaniedbanie, a więc nie nasz problem”.

Dlatego z osobistego punktu widzenia upewnij się, że osoby podejmujące decyzję pozytywną o kontynuowaniu używają przestarzałych, nieobsługiwanych komponentów:

  • pokazano, że to robią (i masz to na piśmie)
  • potwierdzili, że aktualizacja jest niepotrzebna ( i zrobili to na piśmie)

Jest duża przepaść między ludźmi, którzy mówią „nie musimy robić tego uaktualnienia” a „Osobiście przyjmuję odpowiedzialność za to, że nie robię tego uaktualnienia” .

W praktyce często zdarzają się aktualizacje komponentów, które są wymagane przez nich po przejściu na EOL, nawet jeśli nie ma takich technicznych potrzeb. To niezbędna część projektowania złożonego produktu.

tj1000
2017-12-28 02:12:41 UTC
view on stackexchange narkive permalink

Jeśli Twoje urządzenie ma połączenie Wi-Fi, może zostać zaatakowane przez sieć. Czy ten atak się powiedzie? Jest to kwestia korzyści z ataku na urządzenie w porównaniu z wymaganym poziomem wysiłku. Oparcie go na przestarzałym i nieobsługiwanym systemie operacyjnym zdecydowanie upraszcza metodę ataku.

Biała lista aplikacji nie jest ochroną, a jedynie niewielką przeszkodą na wyłączność. Myślisz, że haker nie może stworzyć aplikacji, która udaje aplikację z białej listy aplikacji? Oczywiście, że mogą ... coś, na co mogą spojrzeć, jeśli ich pierwsza próba się nie powiedzie.

Equifax miał zainstalowaną całkiem sporą zaporę ogniową. Nie powstrzymało to hakerów przed wykorzystaniem luki w Struts, której menedżerowie IT Equifax nie zdołali załatać, przez port, który został otwarty z konieczności. Zapora ogniowa po prostu zatrzymuje niektóre starsze, oczywiste ataki.

Przypomnij sobie hack Target - dyrektor generalny i dyrektor ds. informatyki stracili pracę przez to, a został on popełniony przez osobę wewnętrzną, wspomaganą przez użycie przez Target starszej wersji systemu Windows, która nie jest już aktualizowana, a także starszej , niezabezpieczone metody łączności na urządzeniach w punktach sprzedaży. Bez wątpienia CIO doszedł do wniosku, że aktualizacja wersji Win na ich urządzeniach POS była zbyt droga, co okazało się bardzo błędne.

Myślisz, że wbudowane oprogramowanie układowe jest odporne na włamania? Weź pod uwagę włamanie do drukarki HP. Firma HP wpadła na sprytny pomysł aktualizacji oprogramowania sprzętowego drukarki poprzez zadanie drukowania - łatwe do zainicjowania. Aż ... ktoś wymyślił wersję oprogramowania układowego, która zamieniła drukarkę w przekaźnik spamu i dostarczyła ją za pośrednictwem zadania drukowania zawierającego złośliwe oprogramowanie.

Jak aktualizuje się oprogramowanie sprzętowe? Przez Wi-Fi? Tak, haker może to powtórzyć ... jeśli ma wystarczająco dobry powód.

Urządzenie sieciowe może zostać zhakowane, aby stać się częścią botnetu ... częstym sposobem przeprowadzania ataku DOS. Haker może znaleźć lukę i wiedząc, że zaszkodziłoby to reputacji firmy, przeprowadzić atak w tym samym czasie, w którym następuje skrócenie akcji Twojej firmy. Tak się stało ... Kradzież informacji umożliwiających identyfikację użytkownika i CC to nie jedyny sposób na czerpanie korzyści z włamania.

Teraz zadaj sobie pytanie - jakie jest ryzyko dla ciebie osobiście? Jeśli Twój system miałby zostać zhakowany, czy możesz wykazać kierownictwu swojej firmy, że dołożyłeś należytej staranności w identyfikowaniu i ograniczaniu potencjalnych zagrożeń, zwłaszcza, że ​​opierasz system na systemie operacyjnym, który nie jest już aktualizowany? Wskazówka: biorąc słowo inżynierów, którzy twierdzą, że system jest „nie do zhakowania”, prawdopodobnie nie kwalifikuje się jako należyta staranność.

Jeśli o to chodzi, jeśli twoi inżynierowie twierdzą, że nie da się tego zhakować, prawdopodobnie nawet nie szukają potencjalnych luk, nie mówiąc już o ich łagodzeniu.

Każdy, kto twierdzi, że systemu nie da się zhakować, po prostu nie jest realistą. Nie w dzisiejszych czasach.

Odwołałeś się do bardzo wielu przykładów historycznych.Niektóre linki byłyby dobre.
Peter - Reinstate Monica
2017-12-26 22:23:13 UTC
view on stackexchange narkive permalink

W zależności od dostępnych zasobów, sposobem "głupiego dowodu" (z całym szacunkiem dla twoich kolegów) byłoby udowodnienie im, że system daje się zhakować. Zatrudnij kogoś, kto może i pozwól mu zademonstrować słabości systemu. Domyślam się, że z WLAN nie powinno to być strasznie trudne. WLAN i firewall? To jest contradictio in adjecto .

Po namyśle: Być może można uzgodnić zapłatę za sukces (mój słownik nazywa to „opłatą awaryjną”); w ten sposób usługa (hakerska) zawsze byłaby warta swojej ceny.

A potem po prostu łagodzą te słabości i nie muszą aktualizować systemu operacyjnego ...
@schroeder Niektóre z nich będą w systemie operacyjnym (stos IP, szyfrowanie itp.)
tak ... i można je złagodzić ...
@schroeder Cóż, tak, możesz zacząć od nowa pisać system operacyjny.Możesz także ograniczyć funkcjonalność, np.ogranicz łączność.
Sampath Madala
2017-12-23 01:48:21 UTC
view on stackexchange narkive permalink

Każdego dnia mamy nagłówki, że jakiś system został zhakowany. Nie dlatego, że nie są aktualne ani chronione karabinami maszynowymi, ale dlatego, że ktoś inwestuje czas, aby je zhakować.

Co najważniejsze, te, które są dobrze rozegrane, nie są tworzone przez siłę IQ, ale przez prostą inżynierię społeczną. Dlatego mówi się nam, abyśmy aktualizowali system, ponieważ jeśli w jakiś sposób wpadliśmy do tej dziury, podajemy informacje, które im nie pomagają.

To nie odpowiada na pytanie.Inżynierowie łagodzą problemy.Jeśli tak, po co aktualizować system operacyjny do nowszej wersji?
@schroeder Jak wspomniałem wcześniej, robimy, aby chronić sprzęt przed włamaniami zarówno z wewnątrz, jak i z zewnątrz, jak wspomniano, pytanie o łatki skierowane na zewnątrz chroni osoby postronne, ponieważ nie wiedzieli, czym są łatki, ale administrator wie, co zostało zrobione, aby je zabezpieczyć i czy on samchcesz pieprzyć pracodawcę, łatwo mu to zrobić, to jest powód, dla którego przeprowadzane są kontrole bezpieczeństwa stron trzecich, aby uniknąć takich katastrof
Nie da się złagodzić zupełnie nieznanego ryzyka.
Głos za wzmianką o atakach socjotechnicznych.Luki w zabezpieczeniach mogą dotyczyć zarówno ataków społecznościowych, jak i zautomatyzowanych.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...