В MS ошиблись, и выложили свои данные в инет

Написал одной коллеге что она заколебала меня своей тупостью, сообщение изначально адресовалось не ей но в итоге все вышло даже лучше чем предполагалось.

Как можно выложить 38 терабайт данных и не заметить?

Все эти 38TB кем-то уже скачаны?

Пришлось сходить по ссылке и выяснить, что эти обезьяны использовали токен с доступом ко всему Azure Storage их аккаунта, где, помимо моделей, хранились и другие данные. Типичная ошибка с публикацией данных на S3-like хранилищах.

Это мелкий провал, не былинный. Недопровал.

Ну я и сам не очень.

Глупо приравнивать индусов к хомо сапиенс. Они и сами космогонии напридумали для отрицания

После слива исходников WinXP уже не удивительно

Ну подумаешь ложили бекапы двух рабочих станций рядом с данными для тренировки модели)

но в итоге все вышло даже лучше чем предполагалось.

Вдул?

This case is an example of the new risks organizations face when starting to leverage the power of AI more broadly, as more of their engineers now work with massive amounts of training data. As data scientists and engineers race to bring new AI solutions to production, the massive amounts of data they handle require additional security checks and safeguards.

Зачем я сходил по ссылке, там нейросети совсем обленились.

Пришлось сходить по ссылке и выяснить, что эти обезьяны использовали токен с доступом ко всему Azure Storage их аккаунта, где, помимо моделей, хранились и другие данные. Типичная ошибка с публикацией данных на S3-like хранилищах.

Меня не устает поражать простота, с которой S3-like хранилища позволяют давать доступ к черт знает чему. Конечно, больше всего этот маразм я заценил при реализации самого S3-like хранилища — по эту сторону точно так же ничернта не понятно — кто, кому, и что дал в пользование.

Может быть, кому пригодится:

#!/bin/bash
# The AUTHOR of this file is sanyo1234 (https://www.linux.org.ru/people/sanyo1234/profile).
# Copyright (C) sanyo1234, 2023, All Rights Reserved.
# All source code contained in this file is protected by copyright law.
# This file is available under AGPL v3 (GNU Affero General Public License): https://www.gnu.org/licenses/agpl-3.0.en.html
# PROVIDED FOLLOWING RESTRICTIONS APPLY:
# Nobody except the AUTHOR may alter or remove this copyright notice from any legal copies of this file content.
# Unless required by applicable law or agreed to in writing, software distributed under the License is distributed on an
# "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. See the License for the
# specific language governing permissions and limitations under the License.


FileObject=$1;
if ! [ -e $FileObject ]; then
        echo $FileObject;
        echo "ERROR: DOES NOT EXIST!";
        exit 3;
fi;

# On Debian do following before running this script:
# ln -s /usr/lib/git-core/git-check-ignore /utils/git/git-check-ignore
if /utils/git/git-check-ignore $FileObject; then
        echo "Ignored ... (hidden, it is OK)";
        exit 0;
else
        echo $FileObject;
        echo "INCLUDED !!!";
        exit 1;
fi;

Получится ли сэкономить корпам их миллиарды (от тупых утечек данных) простым скриптиком?

Как можно выложить 38 терабайт данных и не заметить?

Облака и безлимитка кричали они.

любые токены/ключи/сертификаты и даже видимо OTP это примерно тоже самое, что хранить и рассылать password.txt. Удобная уловка для всяких црушников, анбшников и гбшников, теперь они могут взламывать кого угодно, не тратя много времени.

Давеча уведомление прилетело от мелкомягких по поводу всяких новых правил и ограничений пользования их сервисами. Жутко насмешил один пункт:

ii. Ограничения на использование данных из Служб ИИ. Вы не можете использовать службы ИИ или данные служб ИИ для создания, обучения или улучшения (прямого или опосредованного) любых других служб ИИ.

А тут такое… ))

Ты знал.

пора его заменять ИИ?

Спешите видеть: искусственный интеллект против естественного идиота, кто кого?!

искусственный идиот против естественного идиота

ftfy

любые токены/ключи/сертификаты и даже видимо OTP это примерно тоже самое, что хранить и рассылать password.txt

а вот этот перл - кандидат на «толстоту года»

ключевой момент тут в том, что можно действовать от вашего имени без вашего физического присутствия. Когда вы вводите пароль, он хранится у вас в голове или даже если на листочке и необходимо знать вас лично или заманить в ловушку чтобы его заполучить. А с ключами достаточно скриптом с эксплойтом поломать один из ваших компьютеров, стянуть файлы и можно будет пользоваться доступами от вашего имени.

ну и конечно не забывайте, что во всех патентованных алгоритмах есть закладки для силовиков, так что им даже упарываться хэкирством не нужно

Когда вы вводите пароль, он хранится у вас в голове или даже если на листочке и необходимо знать вас лично или заманить в ловушку чтобы его заполучить.

ты путаешься в показаниях. Сначала у тебя было «рассылать password.txt», теперь «хранится у вас в голове»…

А с ключами достаточно скриптом с эксплойтом поломать один из ваших компьютеров, стянуть файлы и можно будет пользоваться доступами от вашего имени.

Можно сделать к ключу доступ только, допустим, от рута(с вводом рутового пароля, когда нужен доступ по ключу), а сломали пользователя. Ну или не от рута, а от отдельного пользователя, который только для доступа к ключу нужен.

нет, это вы не способны увязать логически два разных противопоставленных варианта

1. использовать токены/ключи тоже самое, что хранить пароль в текстовом файле и рассылать всем потому, что взломать вас будет не трудно в т.ч. роботом и скорее всего вы этого не заметите вообще

2. использовать пароли из головы не тоже самое. Даже если вы его где-то записали, т.к. то куда вы его записали уникально также как и сама комбинация символов и цифр. ssh-ключ будет у вас всегда лежать в ~/.ssh/ (если вы не извращенец по конфигурациям) и злоумышленник стянет его скриптом и использует, а до пароля записанного в записной книжке придется добираться с фумкой или паяльником.

если вы вводите пароль чтобы пользоваться ключом, то вы просто делаете свой вариант с паролем более уязвимым в том числе к человеческому фактору когда забыли пароль например

Не, разница есть, ssh по паролю всё же менее безопасный, чем по ключу. Да и по паролю его вечно пытаются подобрать, а ключ подбирать не пытаются. Ну и пароль я же локально ввожу, он может быть один на ВСЕ ключи, и по сети передаваться не будет.

Просто как пароль к хранилищу ключей. И это обезопасит от взлома пользователя и кражи ключей.

Или взломать ПК, поставить кейлогер и спокойно его получить.

есть целый класс уязвимостей для выполнения команд от рута, вобщем если есть какой-то файл обеспечивающий доступ то это вообще не защита, а ее имитация что-бы пользователь не вылазил из тепленькой лужи безграмотности и инертности позволяющей сделать с ним и его сферой ответственности что-угодно

поставить кейлоггер без физического доступа к ПК не так уж просто, поменять пароль можно достаточно легко и на средней параноидальности сеттингах это делается регулярно и за паролями есть некоторый уровень внимания, а ключи лежат веками где-то прописанные, менять их несколько муторнее обычно

я уверен, кстати, что повальная мода на двухфакторку связанна сугубо с намерениями корпораций иметь возможность легко получать все доступы в случае необходимости. Было наивное время когда считалось правильным хранить пароли с гарантией даже от утечек данных, но теперь такой мазы не будет и использовать пароли т.е. единственный по-настоящему безопасный способ авторизации просто не дают. Но телепузикам можно просто залечить, что так безопаснее и инклюзивнее, ведь все ставят qwerty и змейку, а если записать сложный пароль в password.txt и рассылать всем/выложить в открытый доступ так будет безопаснее.

Пытаешься утончить? Но уже поздно принимать слабительное, у тебя запор.

ключевой момент тут в том, что можно действовать от вашего имени без вашего физического присутствия. Когда вы вводите пароль, он хранится у вас в голове или даже если на листочке и необходимо знать вас лично или заманить в ловушку чтобы его заполучить.

Телепатия? - нет не слышали.

А еще бывают трояны, буткиты и даже плагины в браузерах, LOL

И вероятно доступ к SMS истории мобильного провайдера, чтобы проходить аутентификацию на сервисах, «защищенных» SMS?

А с ключами достаточно скриптом с эксплойтом поломать один из ваших компьютеров, стянуть файлы и можно будет пользоваться доступами от вашего имени.

PKCS11, U2F/FIDO2 - нет, не знаем :(

А в непатентованных?

если вы вводите пароль чтобы пользоваться ключом, то вы просто делаете свой вариант с паролем более уязвимым в том числе к человеческому фактору когда забыли пароль например

А если это неизвлекаемый ключ, к которому вводится пин. Находится он в аппаратном крипто, криптооперации происходят по интерфейсу PKCS11 ВНУТРИ USB токена, ключ НИКОГДА не покидает внешний USB токен.

Rutoken ECP2/3, Nitrokey PRO 2/3, etc.

я уверен, кстати, что повальная мода на двухфакторку связанна сугубо с намерениями корпораций иметь возможность легко получать все доступы в случае необходимости.

Использование однофакторного пароля в 2023 году для некоторых векторов атак равно почти что отсутствию пароля вообще, т.е. образно чуть прикрытая дверь, НЕзакрытая на замок.

Пытаешься утончить?

А ведь в случае утечки пароля может получиться и наоборот, например, очень жидко.

Че-то ты невежливый. А как же в попу подуть, коком помахать и быть нормальным SJW?

Ему вдули :)

А если это неизвлекаемый ключ, к которому вводится пин.

а если я ваш ключ возьму ненадолго и себе на такой же ключ скопирую скрытным для вас образом? если просто возьму и попользуюсь, допустим он вам нужен раз один в год? если скопирую сразу при создании и буду использовать через эмулятор?

не понял вашей метафоры, объясните почему это так?

Находится он в аппаратном крипто

«Ты ничего не панимаешь»(C), зловещий АНБ’шник уже сидит в твоём крипто, и сливает все ключи большому брату.

если есть пароль, есть механизм его смены при компрометации, если у вас ключ, который выдает некий УЦ его замена всегда будет бюрократической операцией на несколько дней, за это время можно успеть сделать все грязные дела. Кроме того, я тут заметил, что все сервисы с 2FA выдают всякие пожизненные фразы для восстановления. Вот вы ручаетесь, что они эти фразы не хранят у себя? Если я себе эти фразу куда-то запишу, ведь запомнить их нереально, чем это будет совершеннее простого пароля в текстовом файле? Вобщем, как всегда повесточная показуха что-бы запудрить мозги тем кто не разбирается, и манипулятивно подставить добившись обратного эффекта. Именно поэтому у фошистов сейчас на включение 2FA принудиловка.

а если я ваш ключ возьму ненадолго и себе на такой же ключ скопирую скрытным для вас образом?

А как долго длится копирование?

Исчезновение аппаратного токена можно заметить?

«Ты ничего не панимаешь»(C), зловещий АНБ’шник уже сидит в твоём крипто, и сливает все ключи большому брату.

А как быть с полностью открытыми реализациями?

не понял вашей метафоры, объясните почему это так?

В MS ошиблись, и выложили свои данные в инет (комментарий)

PS: Потому что нужно развивать внимательность при чтении.

ключевое тут то, что его можно использовать без вашего физического присутствия, остальное это ньюансы: можно подрезать в аэропорту, можно украсть и вернуть, можно украсть и не вернуть, но успеть все провернуть пока вы судрожно осознаете суть. Можно оргабить и в независимости от вашего упорства воспользоваться им и провернуть все требуемые операции.

если есть пароль, есть механизм его смены при компрометации, если у вас ключ, который выдает некий УЦ его замена всегда будет бюрократической операцией на несколько дней, за это время можно успеть сделать все грязные дела.

Сколько времени занимает отзыв ключа?

Кроме того, я тут заметил, что все сервисы с 2FA выдают всякие пожизненные фразы для восстановления.

Квантор «Все», для чего он тут?

Вот вы ручаетесь, что они эти фразы не хранят у себя?

Вменяемые хранят хотя бы соленые хэши?

Если я себе эти фразу куда-то запишу, ведь запомнить их нереально, чем это будет совершеннее простого пароля в текстовом файле? Вобщем, как всегда повесточная показуха что-бы запудрить мозги тем кто не разбирается, и манипулятивно подставить добившись обратного эффекта. Именно поэтому у фошистов сейчас на включение 2FA принудиловка.

Жду комментариев в стиле «следователя vadd»:

«Фразу они хранят, а пароль не хранят» и т.д и т.п.

там же как раз у них была авторизация по ключам, вот это как раз 100% пример password.txt, лучше и придумать было нельзя

ключевое тут то, что его можно использовать без вашего физического присутствия,

Нужен еще один фактор в зависимости от модели, начиная от парольного пина и до биометрии типа отпечатка, сверяемой самим токеном без участия компа.

остальное это ньюансы: можно подрезать в аэропорту, можно украсть и вернуть, можно украсть и не вернуть, но успеть все провернуть пока вы судрожно осознаете суть. Можно оргабить и в независимости от вашего упорства воспользоваться им и провернуть все требуемые операции.

При аутентификации, сразу же придет сообщение, что какой-то олень пытался зайти с неправильным пином, но с правильным ключом? К сожалению такого пока вроде нет? Зато может прийти сообщение, что кто-то лезет с левого айпи в неправильно время или просто сообщение, что кто-то пытается зайти или даже зашел в ЛК?