CVE и Kali Linux в РФ кончатся

А ты что видел санкционированные уязвимости и методы атак?

Разумеется. Как и любой кто профессионально занимался ИБ. Причём как со стороны продавца так и покупателя - поскольку в индустрии уже давно.

Такое ощущение, что мы о чем-то разном говорим. Какие продавец и покупатель, причем тут торговля?

Вопрос простой, техническая подробная информация о том как конкретно какие-то системы или кого-то взломали, в чем состоит узявимость она запрещается или не запрещается подобными законами? Если не запрещается, то что тогда вообще запретить собрались?

А вот с чего ты вдруг решил притащить на ЛОР свой возмущённый куд-кудааах если не в курсе элементарных понятий практической ИБ?

Я в курсе понятий ИБ, а также в курсе, что есть реальная ИБ и «пиджачная». Ты похоже, как и те кто выдумавает такие запреты, пиджачной занимаешься и даже не понимаешь реальной проблемы.

Ты еще прокомментируй про возмущенный кудах слова специалистов https://www.kommersant.ru/doc/7991253

«Запретить специалистам доступ к такой информации — все равно что запретить токсикологам доступ к описанию поражающих факторов отравляющих веществ»,— говорит управляющий директор по работе с госорганами Positive Technologies Игорь Алексеев.

И там же еще по поводу, что блокировать собрались:

В Минцифры объясняют, что бесконтрольное распространение информации об атаках «несет риски кибербезопасности, может быть использовано для компьютерных атак на важные системы государства и бизнеса». Ограничением такой информации в целом занимаются Роскомнадзор и Генпрокуратура. В аппарате вице-премьера Дмитрия Григоренко добавляют, что инициатива создаст правовой барьер, что затруднит деятельность киберпреступников и снизит количество успешных атак. Во-вторых, она позволит правоохранителям эффективно блокировать каналы распространения вредоносных программ, минимизируя риски для граждан. Позднее в Минцифры “Ъ” уточнили, что «запрет направлен не на деятельность «белых хакеров», а именно на распространение информации о способах кибератак».

Иначе говоря, просто цензура технической информации.

Смотри апдейт с цитатой из коммерсанта

Смотри апдейт с цитатой из коммерсанта

Интересно когда они догадаются обязать граждан регистрировать любое ЭВМ устройство с переписыванием серийников у участкового?

Уже почти. Помимо прочего IMEI собрались в базу заносить.

Страусиная политика как есть во всей красе. Мы спрячем голову в песок и будем бормотать «этого ничего нет, этого ничего нет... ой, а что это попе так больно стало? а я ведь даже посмотреть не могу по причине того что голова зарыта в песок.»

Интересно когда они догадаются обязать граждан регистрировать любое ЭВМ устройство с переписыванием серийников у участкового?

Регистрировать... что за вольности? Выдавать за деньги только тем кому положено с описью прописью и отпечатками пальцев. И еженедельно являться с девайсом на осмотр в компетентные органы.

И че́. Я тыкал кали. Ничего ьам нет. Только mint. Больше ничего не нужно.

История из жизни. День начала, извиняюсь за кусок танцпола, СВО. Естественно, я ни сном, ни духом, прибываю на работу. И иду по заявке. Прихожу, решаю вопрос и тут началась провокация. В чём она заключалась, я умолчу.

У пользаков от export LANG='en_US.UTF-8' в отдельном терминале запущенном в гуйне такой инфаркт микарда случается, что бегут строчить телегу начальству на тему «мне иностранное ПО устанавливают». Я сейчас в лютый дауншифт попал по причине здоровья, это просто пиии... полный восторг сэр.

Ты в госухе работаешь что ли?

Не стоит переживать. Строгость российских законов смягчается необязательностью их исполнения.

Как раз именно по причине «закон как дышло» сухари сушить таки стоит. Кого-то могут оправдать, а кого-то и по полной закатать.

Не «в», а «на» лютую госуху высокого уровня и прям внутри неё :( Жуть жуткая... :( Реально лютый дауншифт, причем ЧСХ «в анонсе» было вот ваапче не про это, т.е. нанимали как бэ на исполнение других работ, а по факту мышевоз оказался. И мля здоровье ещё конечно эту подлянку, хоть и предполагаемую, но все-таки не настолько люто ожидаемую подкинуло... жизнь говно...
ЗЫ Оплата больничного за 21 день даже не покрыла расходов на: такси в/из больницы и заказы хоть каких-то плюшек в саму больницу.

т.е. нанимали как бэ на исполнение других работ, а по факту мышевоз оказался.

Обещали взять кнопкодавом?

Обещали взять кнопкодавом?

Не, серваки, но их нэма от слова совсем в нашей юрисдикции, зато дофейхуа пользаков.

Трэш Неужели ничего лучше нет на рынке труда?

… зато дофейхуа пользаков.

А какая операционная система установлена на служебных компьютерах пользователей?

Трэш Неужели ничего лучше нет на рынке труда?

Да есть конечно, но у меня стечение обстоятельств, пока обустроился, пока кормят обещаниями «мы выясним...» работаю мышевозом (это в целом нормально же коллегам помогать), а тут хренак! «ты сдохнешь» (именно в кавычках, т.к. я себя норм чувствовал, но выявили прижившихся гадов) мляяя... какой тут поиск работы... дождаться квоты и на операцию... А после операции надо в себя прийти, перед тем как снова в бой на поиск работы.
PS Как сказал коллега (по другой части) работающий здесь всего год, я уже третий за этот год. Он тоже по его словам валить собирается.

в принципе большинство софта и так имеется в репах обычных дистров, ну вы поняли.

Не стоит так драматизировать, у вас останется возможность пользоваться российскими разработанными оттестированными дистрибутивами. Я уверен, вам предложат значительную скидку. Русские люди должны помогать друг другу.

А нащёт уязвимостей не переживайте их там не будет - исходники и разработка находятся в надёжных руках.

Раздел форума про Security тогда наверное макскому снести придется со всеми темами и вообще серьезно почистить уютненький от уже накопившейся кучи тем и постов внезапно могущих стать из чисто технических в правонарушающие.

А вместо всего этого сделать раздел с хвалебными отзывами на российское по и мудрость богомданного родного начальства.

P.S. Фашизм - это открытая террористическая диктатура наиболее реакционных, наиболее шовинистических, наиболее империалистических элементов финансового капитала… Фашизм - это не надклассовая власть и не власть мелкой буржуазии или люмпен-пролетариата над финансовым капиталом. Фашизм - это власть самого финансового капитала. Это организация террористической расправы с рабочим классом и революционной частью крестьянства и интеллигенции. Фашизм во внешней политике - это шовинизм в самой грубейшей форме, культивирующий зоологическую ненависть к другим народам. (с) Димитров.

А какая операционная система установлена на служебных компьютерах пользователей?

альт да астра.

альт да астра.

Звучит как «иван-да-марья». 🙂

Держись дружище, я уверен что всё будет хорошо

Альт да Астра — жемчужины кадастра [отечественного ПО]!
лишь Астра да Альт закрыли мой гештальт!

альт да астра.

Звучит как «иван-да-марья». 🙂

Да, но это на самом деле это фигня. Дело даже не в «иван-да-марья», тут «замени картриджи» чуть больше чем много, а сам процесс учета и получения этих картриджей это просто лютый писец... но это ещё не все, они мля и «сборники отходов» решили не заказывать, а отдали нам на вытряхивание...
Надеюсь вы понимаете насколько это лютый дауншифт?
ЗЫ И до кучи у них куча всяких ВКС( видеоконференц связей проходит) которые проходят во всевозможных вариантах, а пользаки не шпрех зе дойч сами осилить, им мля надо в обязательном порядке помочь подключиться... но и это фигня, в особо упоротых вариантах там надо присутствовать в обязательном порядке на случай сбоев... мне пока не довелось присутствовать, но вот коллеги норм там часа на два три могут зависнуть. От чем там заниматься в это время? Елду теребенить? вроде тоже не очень получиться...

Держись дружище, я уверен что всё будет хорошо

Спасибо!

Да, но это на самом деле это фигня. Дело даже не в «иван-да-марья», тут «замени картриджи» чуть больше чем много, а сам процесс учета и получения этих картриджей это просто лютый писец... но это ещё не все, они мля и «сборники отходов» решили не заказывать, а отдали нам на вытряхивание...

Звучит как бред, это просто не ваши служебные обязанности. Не ну в принципе вдруг накопившийся мусор нормально даже иногда самому вынести, а не дожидаться кого-то, но не на постоянной основе же.

От чем там заниматься в это время? Елду теребенить? вроде тоже не очень получиться...

Мда, самый плохой вариант. Недостатки госух есть, а плюшек получается не особо. Плюшки, кроме стабильного отпуска то, что обычно никто не контролирует чем занимаешься и если отбиться от наваливания работы, то можно спокойно чем угодно заниматься: флудить на лоре, фрилансить, самообразовываться и тд.

ЗЫЫ И докину на вентилятор. В кабинетах присутствуют по две! розетки рыжиков из двух разных «серых» сетей класса C, типа 192.168.1/24 192.168.2/24, розетки робят рандомно, т.е. не факт что каждая рабочая, сети полностью равнозначны по уровню доступа, dhcp отсутствует как класс, ведут учет выданных IP «где-то там» видимо в каком-то файлеге про который явно забывают ибо я уже всего за три месяца работы, но попал на случай когда где-то кому-то настроили такой же ip и у человека у которого «кудахтер не трогали» перестало все работать.
Очучения что я попал в прошлый век. dhcp? не, не слышали (именно так, они правда все ещё не осилили это) про ddns я даже боюсь этим людям намекать.
Патчкорды? Чувак, ты о чем? Пачкордами у нас тут служит только самопально обжатая одножилка.
И т.д. и т.п.

Звучит как бред

Оно не звучит! Оно так и есть. Разницу чуете?

и если отбиться от наваливания работы

От! После того как однажды оказалось мою инициативу ( я думал так и нужно работать) мне не иллюзорно разъяснили в виде «чувак, а это воскресенье ты проработал нахаляву, с нами согласовывали только субботу» я перешел на вариант итальянской забастовки, сказали сделал, но не более того, никакой в опу инициативы...
А жаль :( Работаю роботом, главное вовремя придти и отметиться, что я пришел ( это в ручном режиме) и уходя не забыть отметиться что я ушел.
ЗЫ А оплата больничного в виде 5кр за 21 день совсем удручила.

...сейчас в лютый дауншифт попал по причине здоровья...

Желаю вам всего самого доброго. Чтобы всё устаканилось.

Иногда я думаю, что «вовремя» я слёг, появилось время о многом подумать, многое переосмыслить, от многого отказаться. Отец вот только умер.

Дауншифтинг, да, был. Но теперь всё в порядке, как я надеюсь.

Желаю вам всего самого доброго. Чтобы всё устаканилось.

Спасибо вам огромное!

Иногда я думаю, что «вовремя» я слёг, появилось время о многом подумать, многое переосмыслить

Это я в прошлом году проходил :) А через год и на более другом уже немного иначе оно посмотрелось :) Все-таки разница между медикоментозным и хирургичиским реально очучается. В первом случае просто психопат ( это нормально), а во втором «то лапы жмет, то хвост отваливается».

...бегут строчить телегу начальству...

И эти люди запрещают нам ковыряться в носу. И считают себя образованными и оч. мудрыми. На моей бывшей работе тоже система стукачества существовала и поди существует по сию пору. Я не первый пострадавший и очевидно не последний.

И эти люди запрещают нам ковыряться в носу. И считают себя образованными и оч. мудрыми.

Да-да, их почему-то не смущают надписи на латинице на клаве в виде всяких ctrl, alt... их не смущает, что название дистра написано латиницей в виде altlinux, но смущает другая локаль. Странные люди индейцы.

Да-да, их почему-то не смущают надписи на латинице на клаве в виде всяких ctrl, alt…

Ну не на себя ж стучать, и не на богом данное начальство, выдавшее клавиатуру.

их не смущает, что название дистра написано латиницей в виде altlinux

Ну так тем более, не на серьёзных дядь из Базальта же стучать, и уж точно не на тех, кто включал его в реестр.

но смущает другая локаль

Ну вот а тут ты сам написал, можно и стукнуть.

Причем ЧСХ девченка молодая, мозг вроде ещё подвижный должен быть, а ведет себя как 100-летняя старуха.

Дистрибутив, который собирает в себе абсолютно все инструменты для незаконной компьютерной деятельности удивительно что не запрещён. Я думаю что если пошерудить информацию в каких странах он запрещён то, окажется что единицы стран его ещё не запретили.

А как же чувство стаи?

Причём, в моём случае, эти, с позволения сказать, пошли на очевидное нарушение закона. И хоть бы хрен! Во истину, плюй в глаза — божья роса.

Да и хрен с ними, чума на их дома!!!

1) про черные/белые списки IMEI

Вот это звучит неприятно. Хотя, конечно, вопрос как эти списки будут формироваться. Если, условно, будут списки IMEI краденных телефонов, которые должны превращаться в тыкву - почему бы и нет. Если надо будет все смартфоны принудительно регистрировать по паспорту, чтобы работал, то это не ок.

2) про распространение недостоверной информации

По описанию выглядит как фишинг (за исключением white hat пентеста с согласия атакуемой организации, потому что нет имущественного ущерба и неправомерного доступа - заказчик пентеста в том или ином разрешает пентестеру потенциальный доступ к своей информации, до которой он может добраться, а пентестер обязуется не использовать её во вред компании).

Просто +1 статья/отягчающее обстоятельство для киберпреступников. Описанное уже подпадало под УК про киберпреступления, теперь у судов просто будет дополнительная бумага с уточнением признаков правонарушения.

3) про аутентификацию по e-mail

Вопрос какие «случаи» будут установлены. Если госслужащих обяжут регистрировать рабочие емейлы на mail.ru, то ладно. Если Госуслуги перестанут работать для всех с gmail.com, то не ладно.

4) про предустановку сертификатов минцифры

Тут, конечно, как посмотреть. С одной стороны, есть объективная проблема - из-за санкций перестают выпускать новые сертификаты для российских госорганов и некоторых крупных компаний. А надо как-то жить, не без HTTPS же. И государство должно минимизировать последствия санкций для своих граждан (сюда вполне входит отсутствие необходимости что-то специально качать и ставить, чтобы открывались государственные сайты). С другой стороны, архитектура SSL сертификатов такая, что нельзя сделать корневой сертификат, покрывающий, например, чисто зону .ru/.su/.рф. В итоге левые корневые сертификаты даже из благих намерений серьёзная дырка в безопасности.

Ну. Тут же как с ножом. Резать еду можно. Резать людей нельзя. Но если ты хирург и выполняешь медицинскую операцию, то можно и людей резать.

То есть водораздел не по самому действию, а по дополнительным факторам.

Вопрос в том, как они будут относиться к инструкциям по взлому, где первым пунктом «получите согласия атакуемого на проведения пентеста».

В чём она заключалась, я умолчу

То есть ты по сути ничего не сказал, кроме абстрактного «меня кто-то когда-то попытался подставить».

Не просто список сертификатов, а ПО позволяет получить доступ к сайтам из списка. То есть если делаешь веб-браузер носящий с собой свои сертификаты, то должен включить сертификат Минцифры. Если приложение использует сертификаты для доступа к ограниченному набору веб-сервисов, который не пересекается со списком, то носи какие хочешь сертификаты, а какие не хочешь не носи.

Дистрибутив, который собирает в себе абсолютно все инструменты для незаконной компьютерной деятельности удивительно что не запрещён. Я думаю что если пошерудить информацию в каких странах он запрещён то, окажется что единицы стран его ещё не запретили.

Я думаю, что единицы стран, в которых он запрещен. Во всяком случае, я не смог нагуглить где бы его запрещали. Программы в нем спокойно хостятся на гитхабе и присутствуют в репозиториях очень многих дистрибутивов, например, Debian. Отличие Kali от Debian в том, что там сформировали специфический Live-образ с которого можно загрузиться, а не в том, что вообще собрали инструменты.

Потому что преступление не в инструментах, а в их использовании. При желании можно чуть ли не что угодно счесть инструментом для незаконной деятельности. И вот обсуждаемые запреты этому способствуют. Еще в нулевые помню была история, что пытались сделать компьютерными преступниками разработчиков программы для анализа сетевого траффика (аналог tcpdump, wireshark) и им стоило большого труда отбиться.

Про Kali же еще скажу, что как страшный хакерский инструмент, которым любой дебил бы смог все поломать он практически бесполезен, там нет кнопки «хакнуть сайт». Это скорее инструмент системного администратора.

Вопрос в том, как они будут относиться к инструкциям по взлому, где первым пунктом «получите согласия атакуемого на проведения пентеста».

Как сейчас, если РКН прислал требование удалить информацию - обязан взять под козырек и удалить. Можешь посудиться с ним с почти гарантированно проигрышным результатом.