LINUX.ORG.RU

Re: 6 самых бессмысленных защит

10 GOSUB LOOK_FOR_HOLES
20 IF HOLE_FOUND = FALSE THEN GOTO 50
30 GOSUB FIX_HOLE
40 GOTO 10
50 GOSUB CONGRATULATE_SELF
60 GOSUB GET_HACKED_EVENTUALLY_ANYWAY
70 GOTO 10  

LOL

grob ★★★★★ ()

Re: 6 самых бессмысленных защит

Ужасно плохо знаю английский, но даже я могу с уверенностью сказать, что тема переведена неправильно, то есть не то чтобы не сохранена мысль, а просто чушь получилась.

Идея (скорее даже принцип) на которой построена защита и защита это две большие разницы

Dubrovsky ()
Ответ на: Re: 6 самых бессмысленных защит от Dubrovsky

Re: 6 самых бессмысленных защит

> что тема переведена неправильно, то есть не то чтобы не сохранена мысль, а просто чушь получилась.

Если вы счастливый пользователь Windows, прогоните статью через PROMPT. Заголовок новости соответствует содержанию статьи. Если вам хочется дословный перевод, то это будет: "Шесть самых тупых идей в компьютерной безопасности".

Это перевод, мягко говоря, не звучит.

birdie ★★★★★ ()
Ответ на: Re: 6 самых бессмысленных защит от Dubrovsky

Re: 6 самых бессмысленных защит

Заголовок просто блеск. Предложенный дословный перевод лучше. Никаких защит - в статье рассматриваются принципы/идеи, реализуемые в системах защиты. В принципе ничего нового, но для новичков полезно.

vlTepes ()
Ответ на: Re: 6 самых бессмысленных защит от birdie

Re: 6 самых бессмысленных защит

> То ли я BASIC забыл, то ли я не понимаю что должен делать этот скрипт. Поясните, пожалуйста.

Он должен ввергать в ужас и иллюстрировать слово dumb в отношении автора.

ivlad ★★★★★ ()
Ответ на: Re: 6 самых бессмысленных защит от Dubrovsky

Re: 6 самых бессмысленных защит

>В это трудно поверить, но я несчастный пользователь линукса =(

Несчастный пользователь линукса должен убить себя об стену, если не сумеет сделать одну из трех вещей:

а) запустить промт под вайном

б) запустить в любимом браузере http://www.translate.ru/text.asp?lang=ru

в) читать и переводить технические тексты на английском

anonymous ()
Ответ на: Re: 6 самых бессмысленных защит от anonymous

Re: 6 самых бессмысленных защит

>Несчастный пользователь линукса должен убить себя об стену, если не сумеет сделать одну из трех вещей:

>а) запустить промт под вайном

траву я курю отдельно, а тексты перевожу сам ибо

>б) запустить в любимом браузере http://www.translate.ru/text.asp?lang=ru

аналогично см а) а вы пробовали читать переведенные таким образом тексты без оригинала? попробуйте, я вам завидую, стену показать или сами найдете?

>в) читать и переводить технические тексты на английском

см а) и б)

Dubrovsky ()
Ответ на: Re: 6 самых бессмысленных защит от ivlad

Re: 6 самых бессмысленных защит

ivlad (фотография) Re: 6 самых бессмысленных защит > 20 IF HOLE_FOUND = FALSE THEN GOTO 50

>за вот такую передачу результата хочется отрывать руки. и эти люди >рассуждают о безопасности.

Ты что, серьёзно? всмотрись повнимательней в программу.. подумай.. может это шутка?

drZ ()
Ответ на: Re: 6 самых бессмысленных защит от birdie

Re: 6 самых бессмысленных защит

>Если вам хочется дословный перевод, то это будет: "Шесть самых тупых идей в компьютерной безопасности".

Да, и он лучше предложенного. Еще лучше, возможно, было бы перевести как "Шесть распространенных заблуждений ... ".

А сама статья довольно дурацкая. Т.е. я не отрицаю, что она может принести кому-нибудь пользу, но грифа "читать обязательно" категорически не достойна.

Пожалуй, наиболее ярко воинствующий экстемизм автора характеризует такое место == When I was CEO of a small computer security start-up we didn't have a Windows system administrator. All of the employees who wanted to run Windows had to know how to install it and manage it themselves, or they didn't get hired in the first place. My prediction is that in 10 years users that need education will be out of the high-tech workforce entirely == Судя по всему, он перестал быть CEO, потому что не смог найти ни маркетологов ни технических писателей, желающих самостоятельно ставить Windows. Очень живо представляю себе трейдеров какого-нибудь крупного банка, которые сами администрируют Windows.

anonymous ()

Re: 6 самых бессмысленных защит

> Читать всем.

У тебя мозли есть? Как все _это_ могут читать? Для меня там набор бессмысленных букв на латинице. Все читать будут на русском. А ты просто КЮ, раз такое говоришь.

anonymous ()
Ответ на: Re: 6 самых бессмысленных защит от anonymous

Re: 6 самых бессмысленных защит

>У тебя мозли есть? Как все _это_ могут читать? Для меня там набор бессмысленных букв на латинице. Все читать будут на русском. А ты просто КЮ, раз такое говоришь.

Ты так еще не понял? Он сам-то не читал, читал PROMPT

Dubrovsky ()

Re: 6 самых бессмысленных защит

спасибо за ссылку. особенно понравилась идея "не запускать ничего, кроме того, что разрешено". как-то не приходило в голову применять правило "ничо нельзя" не только в файрволе, но и по отношению к локально выполняющимся программам.

Vike ()
Ответ на: Re: 6 самых бессмысленных защит от drZ

Re: 6 самых бессмысленных защит

> Ты что, серьёзно? всмотрись повнимательней в программу.. подумай.. может это шутка?

Я посмотрел. Бывают шутки интересные и умные. Бывают другие. Все они говорят о шутящих. Вот эта вкупе с пафосными рассуждениями о безопасности в стиле (пардон) Бернштайна, ничего хорошего не сказала об авторе. ;)

ivlad ★★★★★ ()
Ответ на: Re: 6 самых бессмысленных защит от Vike

Re: 6 самых бессмысленных защит

> спасибо за ссылку. особенно понравилась идея "не запускать ничего, кроме того, что разрешено". как-то не приходило в голову применять правило "ничо нельзя" не только в файрволе, но и по отношению к локально выполняющимся программам.

Ну, например, можно повязать это с libc/пакетной системой: если SHA256 бинарника/либы не совпадает с прописанным в базе, скажем, RPM - посылать нах. Или исполнять в sandbox, с возможностью запретить доступ к сети и откатить изменения на диске.

Вот только не совсем понятно, что делать с интерпретируемыми языками.

$ PERL5LIB=. perl MEvil::Trojan -e 'trojan_start(ddos => "corporation.com");'

anonymous ()

Re: 6 самых бессмысленных защит

thx birdie,
Очень хорошая статья, которая говорит о том, что даже самая маленькая защита - может стать самой сильной.

kbps ★★★ ()
Ответ на: Re: 6 самых бессмысленных защит от sin_a

Re: 6 самых бессмысленных защит

Все там правильно.

ЕСЛИ не_нашли_дыр
50 можно_поздравить_себя
60 вас_все_равно_взломали

Статья для чайников классная, эстетствующие специалисты идут лесом.

dn2010 ★★★★★ ()
Ответ на: Re: 6 самых бессмысленных защит от Vike

Re: 6 самых бессмысленных защит

>особенно понравилась идея "не запускать ничего, кроме того, что разрешено".

Идея действительно достаточно интересная, чтобы с удовольствием напрячься и понять, что она отлично реализуется с помощью acl, прав доступа и audit логов, а в виде "нарисовать окошечно и спросить", скорее всего, бессмысленна.

anonymous ()
Ответ на: Re: 6 самых бессмысленных защит от bmc

Re: 6 самых бессмысленных защит

>без оного знания либо из профессии

Прости, а какую профессию имеют интересующиеся Линуксом граждане ???

Если предположить, что ты имеешь ввиду IT, то без английского жить непросто, но некоторые умудряются, и даже крайне успешно.

А вот граждане, которые переводят английские тексты компьютерным переводчиком и постят сюда результаты этой деятельности, действительно могли бы пойти под пресс ... если бы не положительные отзывы, которые здесь встречаются.

anonymous ()

Re: 6 самых бессмысленных защит

Честно говоря, дочитать статью не смог, уж больно автор умничать пытается на ровном месте. Программа на басиц тоже не добавляет удовольствия читать это. По мне так содержимое статьи должно вмещаться в 12 строк, 6 из которых названия пунктов.

Casus ★★★★★ ()

Re: 6 самых бессмысленных защит

Статья прикольная, перевод\заглавие новости - идиотское.
За использование промпта и прочего дерьма при переводе новостей предлагаю банить!

anonymous ()

Re: 6 самых бессмысленных защит

Начнем? Так же, как и раньше стараюсь передать дух а не букву статьи.

Шесть самых дурацких идей в компьютерной безопасности.

В безопасности происходит множество инноваций --- мы затоплены бурным потоком новинок и это все по слухам должно здорово работать. Каждые несколько месяцев меня приглашают на конференцию по компьютерной безопасности или просят написать предисловие к новой книге о ней. И, благодаря тому, что эта тема вызывает интерес у публики и является "вопросом безопасности" для политиканов, нам следует ожидать потока законов о безопасности от законодателей. Таким образом компьютерная безопасность по прежнему определенно является "горячей темой". Но почему мы тратим кучу времени и денег, а проблемы не уходят?

dn2010 ★★★★★ ()
Ответ на: Re: 6 самых бессмысленных защит от Casus

Re: 6 самых бессмысленных защит

Неужели кусок кода на BASIC, выражающий тупую идею на тупом языке для тупых людей - это все, что удалось понять из этой статьи???!!!

Bogerm ()
Ответ на: Re: 6 самых бессмысленных защит от dn2010

Re: 6 самых бессмысленных защит

> Все там правильно.

> ЕСЛИ не_нашли_дыр 50 можно_поздравить_себя 60 вас_все_равно_взломали

Фигасе... У тебя после 50 выход не написано? Значит после него следует 60, так? Значит ты получаешь последовательно два сообщения. Или бейсик сам соображает когда ему остановится?

sin_a ★★★★★ ()

Re: 6 самых бессмысленных защит

"Шесть самых тупых идей в компьютерной безопасности". это абсолютно корректный (дословный) перевод заголовка, НО:
1. это даже не статья, а эссе, причем написанное в довольно-таки облегченном стиле (esay reading ;-)
2. заголовки рекомендуют переводить после прочтения всего материала; здесь, по-моему глубоко пофигу как :-)

ПС. По теме. Автор поделился своими 2-копеечными соображениями. Вода, но новичкам надо когда-нибкудь с чего-то начинать :-)

рыгардз

anonymous ()

Re: 6 самых бессмысленных защит

автор немного структурировал мысли, которые давно витают везде

anonymous ()
Ответ на: Re: 6 самых бессмысленных защит от sin_a

Re: 6 самых бессмысленных защит

> впрочем, дошло, поздравить себя можно, но сломали все равно... а в чем тогда разница, только в том, что не поздравляют в первом случае?

тут невозможна ситуация "не нашли багов" =) поэтому поздравят всегда, возможно посмертно.

anonymous ()
Ответ на: Re: 6 самых бессмысленных защит от anonymous

Re: 6 самых бессмысленных защит

>security - одна из немногих областей, где лесом идут чайники. Им тут не место.

Вот потому, что ньюбисы идут лесом в вопросах секьюрити, мы и наблюдаем такое количество SQL-инжекшенов, взломов и дефейсов серверов. Это не язык программирования виноват, а пренебрежение элементарными вопросами безопасности.

anonymous ()
Ответ на: Re: 6 самых бессмысленных защит от anonymous

Re: 6 самых бессмысленных защит

> Вот только не совсем понятно, что делать с интерпретируемыми языками.

> $ PERL5LIB=. perl MEvil::Trojan -e 'trojan_start(ddos => "corporation.com");'

Например, пересобрать перл, чтобы проверял права доступа к файлу. Т.е., например, не исполнял все что доступно на запись юзерам из группы kon_v_palto.

И, естественно, отвергал -е для этой группы.

Ну, про acl тут уже советовали.

lodin ★★★★ ()
Ответ на: Re: 6 самых бессмысленных защит от ivlad

Re: 6 самых бессмысленных защит

>Я посмотрел. Бывают шутки интересные и умные. Бывают другие. Все они говорят о шутящих. Вот эта вкупе с пафосными рассуждениями о безопасности в стиле (пардон) Бернштайна, ничего хорошего не сказала об авторе. ;)

Вот ссылка, рассказывающая об авторе http://www.ranum.com/index.html Нужно на русский перевести? Можно просто в гугле набрать Marcus J. Ranum и посмотреть ссылки: Results 1 - 10 of about 117,000 for Marcus J. Ranum. (0.14 seconds).

Статья классная - хотя и ничего нового, но почитать стоит, потому несмотря на то, что все эти ошибки знают, большинство продолжает делать их снова и снова. В тоже время его идеи - это идеальный мир, в котором каждый пользователь должен быть в состоянии выбрать безопасные решения самостоятельно и отказаться от патчей и антивирусов только потому, что они малоэффективны, забывая про то, что других эффективных способов защиты компьютеров для обычных людей ( не сисадминов и экспертов по безопасности ) пока нет. Админам рекомендуется перевести статью и хорошенько над ней подумать.

Bogerm ()
Ответ на: Re: 6 самых бессмысленных защит от dn2010

Re: 6 самых бессмысленных защит

> ...а проблемы не уходят?

Позвольте представить *шесть тупейших идей в компьютерной безопасности*. Что это такое? Это не-хорошие идеи. Это тупость, которая открывает "какерам" дорогу сквозь дорогущий супер-навороченный аппаратный брандмауэр. Откуда берутся не-хорошие идеи? Из ложных попыток достичь невозможного, говоря другими словами -- "из отрицания реальности". "Ложки нет, Нео". Часто это честные попытки не до конца разбирающихся в вопросе добропорядочных индивидуумов или компаний, иногда -- разрекламированный кусок дерьма, впариваемый за бешеные бабки умелыми ПиАр менеджерами. И если вам не удастся избежать подобных тупых идей, все вложенные в информационную безопасность бабки пойдут в /dev/null.

Для удобства я разбил список в порядке убывания распространенности. Можете считать себя "c00l pro", если не попали на первые три разводки.

baka-kun ★★★★★ ()
Ответ на: Re: 6 самых бессмысленных защит от birdie

Re: 6 самых бессмысленных защит

>>Если вы счастливый пользователь Windows, прогоните статью через PROMPT.

Если вы счастливый пользователь Windows Вам эта статья вообще не поможет, бо виновс + секурность = LOL

anonymous ()
Ответ на: Re: 6 самых бессмысленных защит от ivlad

Re: 6 самых бессмысленных защит

> Я посмотрел. Бывают шутки интересные и умные. Бывают другие.
> Все они говорят о шутящих. Вот эта вкупе с пафосными рассуждениями
> о безопасности в стиле (пардон) Бернштайна, ничего хорошего не
> сказала об авторе. ;)

Учитель: "Дети, верните телик на место. Вам пора начать смотреть за пределы голубого экрана"
Бивис: "Хе-хе, Батхед, зацени. Он сказал голубого! Хе-хе"
Батхед: "Что, голубого-голубого? Хы-хы. Чё за тупость!"

mutronix ★★★★ ()
Ответ на: Re: 6 самых бессмысленных защит от dn2010

Re: 6 самых бессмысленных защит

Позвольте мне представить Вам шесть самых дурацких идей в компьютерной безопасности. Что это за идеи? Это идеи за гранью добра и зла. Это помутнение рассудка, которое делает Ваш основанный на ПЛИС раскрученный отслеживающий состояние пакетокрошащий брандмауер за 100000 убитых ежиков прозрачным для хакеров. Откуда появляются эти антинаучные идеи? Они появляются из неорганизованных попыток сделать невозможное --- или другими словами "попыток игнорировать реальность". Нередко эти неорганизованные попытки --- искренние усилия желающих добра людей и компаний, которые просто не видят ситуации в целом, в то же время это может быть просто группа толковых торгашей с хорошо раскрученной на рынке кучей мусора, которую они продают в надежде на быстрые деньги. В любом случае, эти дурацкие идеи являются основными причинами по которым все деньги, потраченные на информационную безопасность пропадут, если Вы не придумаете способ как их избежать.

Для вашего удобства я перечислил дурацкие идеи в убывающем порядке, начиная с наиболее часто встречающихся. Если Вам удастся избежать первых трех, Вы в числе этиты компьютерных безопасников.

dn2010 ★★★★★ ()
Ответ на: Re: 6 самых бессмысленных защит от ivlad

Re: 6 самых бессмысленных защит

> Я рад, что он дизайнил NFR и FWTK. Это ничего не говорит о его шутках. ;)

Прошу прощения, может все дело в том, что я не программист, но мне шутка понравилась. Что там не так, может, объясните? А то все возмущаются, а я, как идиот, радостно улыбаюсь. Непорядок.

genmaxxx ()

Re: 6 самых бессмысленных защит

Отличная статья!

#1. Да! Давайте закроем ICMP, Route Record! Нам не надо! Стандарты идут лесом! Да! У меня нет паранойи! Да, я разберусь конретно, какой пользователь какой программой имеет право пользоваться. Да! ifconfig и arp пользователю не нужны. Да! Я работаю под рутом.

#2. #3. Да! Давайте не будем знать, какой тип атаки к каким последствиям приведёт! Да! Вася пофиксит этот баг! Мы подождём! В конце концов все баги давно известны. А ещё лучше известно, что Васи растут в тайге на ёлках.

#3. Вася! Сколько ты хочешь денег? Да, Вась а я не знаю, ну скажи мне , к моему почтовому серверу отностится этот CAN?

#3. Да! IE версии 3.0 содержит ошибки! В нём всё ещё есть ошибки!

#4. Да! Beer drinking process is only cool process. You mind must be absolutely free from anything!

#5. Да! Юзеры! Запускайте всё что найдёте в инете у меня в сети! Пользуйтесь MS Outlook express для редактирования текстовых файлов.

#6. Да! Да!

А подпись вообще наизанимательнейшая: цитата: (A big "thank you" goes to Abe Singer and Tina Bird for contributing a couple dumb ideas, and to Paul Robertson and Fred Avolio for acting as the test choir).

По п.2 отдельного восхищения заслуживает график! Таких попугаев очи мои еще не видели.

Правильный метод по пункту 3 на самом деле: 1 LET IMAX=F(ORGANIZATION) 5 LET I=1 10 GOSUB UPDATE 20 IF YOU_SEE_YOU_HACKED=FALSE THEN GOTO 40 30 GOTO 10 40 GOSUB CALL_VASYA 45 LET I=I+1 50 IF I<=IMAX THEN GOTO 10 60 GOTO HOME

gena2x ★★★ ()
Ответ на: Re: 6 самых бессмысленных защит от dn2010

Re: 6 самых бессмысленных защит

Слишком многословно для литературного перевода, плюс обилие калек. :-P

По нюансам значений вопросы: cкажем, "misguided" здесь с оттенком "заблуждаться". Плюс извечное "situation" == "ситуация" и т.п. Одним словом, добротный подстрочник, от которого за версту веет переводом.

PS. А что, больше нет желающих поупражняться?

baka-kun ★★★★★ ()
Ответ на: Re: 6 самых бессмысленных защит от dn2010

Re: 6 самых бессмысленных защит

#1) Разрешать по умолчанию

Эта дурацкая идея возникает во множестве различных форм; она невероятно живуча и весьма трудноустранима. Почему? Потому что она слишком привлекательна. В компьютерной безопасности системы, основанные на правиле "разрешать по умолчанию" --- это эквивалент фаст фуда: вкусно, но ведет к ожирению.

Характерный пример, в которм дурацкая идея разрешать по умолчанию проявляет себя --- это правила брандмауэра. Давным давно на заре времен компьютерной безопасности, менеджеры сети как правило настраивали подключение к интернет и принимали решение обезопасить его, отключив входящие telnet, rlogin и ftp. Все остальное разрешалось беспрепятственно, как следует из названия "разрешать по умолчанию". Это приводило к бесконечной гонке вооружений между практикующим безопасником и хакерами. Предположим, что новая уязвимость найдена в сервисе, который не заблокирован --- теперь администратору нужно решать стоит его блокировать или нет, надеясь, что он успеет раньше, чем его взломают. Множество организаций применяли тактику "разрешать по умолчанию" в начале 1990х и были уверены, что поступают правильно, поскольку "хакеры никогда не потрудятся найти нас". Девяностые, с появлением червей, должны были навсегда положить конец практике "разрешать по умолчанию", но этого не произошло. В действительности, большинство сетей сегодня строятся по принципам открытого ядра без разделения на сегменты. Это тоже "разрешать по умолчанию".

Другое существенное место, где неожиданно обнаруживается практика "разрешать по умолчанию" проявляется в том, как мы обычно подходим к исполнению кода в наших системах. По умолчанию разрешено выполнить все что угодно на Вашей машине, если Вы щелкните по нему мышью, в том случае, если его выполнение не запрещено чем-нибудь вроде антивирусной программы или блокировщика шпионского ПО. Если Вы потратите пару секунд чтобы подумать об этом, Вы ясно поймете насколько это дурацкая идея. На моем компьютере я регулярно запускаю порядка 15 разных приложений. Еще порядка 20--30 других установленных я использую раз в несколько месяцев или вроде того. Я до сих пор не понимаю, почему операционные системы настолько тупы, что позволяют любому старому вирусу или шпионскому софту выполняться даже не спросив меня об этом. Это --- "разрешать по умолчанию"

dn2010 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.