Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2017-12-02 19:44:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение: sick
Музыка:Dedalus - Dedalus
Entry tags:fascism, internet, ljr, putin

Сертификат истёк 12.11.2014 15:46
Какое-то странное явление
http://lj.rossia.org/community/ljr_bugs/105296.html
выгядит, как подмена сертификата, причем массовая
у нас сертификат let's encrypt, есличо, и он истекает
12/19/17.

Такое вообще бывает? Я думал, подмена сертификата
дело непростое и очень редко применяется.

Здесь тоже жалуются:
http://lj.rossia.org/users/tiphareth/2081841.html?thread=109744177#t109756721
(на то же самое явление). Прошу объяснить, кто знает.
Спасибо

Привет



(Читать комментарии) - (Добавить комментарий)


[info]perfect_kiss
2017-12-03 05:47 (ссылка)
А что они там сделали ? Генерили серты своей кривой наколеночной реализацией SSL, или просто пароли на фронт серваки придумывала жена сисодмина, и пару сбрутили и редиректнули десяток юзеров на гоатсе ?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 06:25 (ссылка)
мне лень опять это всё искать. как минимум — проёбывали мыла клиентов (тупая макака не ту кнопочку в гуе клацнула в рассылке, лол), и были детские проблемы с автоапдейтером сертификатов. ещё что‐то, кажется, точно не помню: мне, в общем, неинтересно, чем там выпускники пту для даунов занимаются.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 06:48 (ссылка)
если серьёзно.

инфо сесурити практики в больших организациях всегда исходят из того факта, что люди ошибаются, а также подвержены коррупции, а ещё легко выдают любую информацию при применении довольно простых методов физического воздействия. и вылизываются хорошо, покрывая пространство возможностей наотличненько.

потому большие компании серьёзно ломают редко, а если ломают серьёзно, это потому что у архитектора-дизайнера политик безопасности в голове (и, как следствие на бумаге и в документации) картинка всего многообразия обмена конфиденциальной инфой внутри организации не сложилась. А такое бывает только при выполнении одного из следующих 2х условий: организация либо растёт настолько быстро и динамично, что потоки обмена информацией просто не успевают покрываться нужными практиками безопасности; ну либо вышеозначенный архитектор-дизайнер долбоёб (на практике в больших организациях такое бывает только в постсовке правда, и то уже начинают отвыкать). Но большие организации быстро и динамично не растут.

А вот стартапы всякие, особенно на публичном фандинге вроде let's encrypt, архитекторов-дизайнеров безопасников выделенных не имеют, поэтому инфо сесурити занимаются челы по совмещению с основной специализацией на проекте; а ещё сраные стартапщики в сраном сан франциско много работают (зачастую глупо и впустую), и бывает выгорают так, что падают в обморок прямо на клавиатуру в сраных душных офисах; а ещё многие стартапщики действительно заканчивают пту для даунов, или, например, попадают на проект потому, что хорошо умеют верстать, а потом в долине начинается хайп "full stack engineer", и версталы начинают работать над бэкендом авторизации... вполне естественно, что в таких условиях продукты сраных стартапов будут содержать ошибки и уязвимости.

вообще по возможности пытайтесь избежать бытия стартапщиком или пересечений с таковыми. вот математики много лучше и приличнее: имеют много денег, связи в калабрийской мафии, ходят в дорогих костюмах, дают интервью lenta.ru. а стартапщику подойдёт и конура в общаге в чёрном квартале сан-хосе, которую он будет делить с тремя такими же, коротая вечера за просмотром techcrunch, вместо званых ужинов, премий и встреч с уважаемыми людьми.
потом ещё удивляются, почему у них данные воруют, ага.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 07:05 (ссылка)
>и вылизываются хорошо, покрывая пространство возможностей наотличненько.
это было бы так, если бы инфосекурити действительно заведовали профессионалы, в работу которых никто не вмешивается. а на деле — как показывала куча исследований — простейшая подброшеная на стоянку флэшка мгновенно суётся в технику. а техника у какого‐нибудь босса средней руки всенепременно подключена к корпоративной сети, и засовывание флэшек с автостартом не заблокировано, потому что среднебоссу очень напряжны все эти «меры безопасности». поэтому он ультимативно потребовал сделать как ему хорошо, а не как безопасно.

«большие конторы» не ебёт только очень ленивый. а если большую контору выебали, и это заметили — то большая контора постарается этот факт максимально умолчать, так что Широкая Общественность может и не узнать, что кого‐то raped.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 07:26 (ссылка)
https://cloud.google.com/security/security-design/resources/google_infrastructure_whitepaper_fa.pdf вот эту штуку ты наверняка читал же (изложение маркетинговый булшит конечно но за ним скрываются тысячи реальных внутренних практик)
у реально технологичных ребят у всех подобно организовано.
чувак который вставляет флэшку он просто пришелец из 20го века, ретроград, ну вроде Путина.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 07:32 (ссылка)
так, поржать. это, на минуточку, ребята, специализирующиеся на security были.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 07:56 (ссылка)
> For example, unlike Gamma Group, their customer support site needed a client certificate to connect. What they had was their main website (a Joomla blog in which Joomscan[2] didn't find anything serious), a mail server, a couple routers, two VPN appliances, and a spam filtering appliance.
Чёто как то забавно, хакеры-хуякеры, роутеры торчат прямо в сеть. Ну понятно, что за журналистами другие шпионить и не будут. Руткиты писать и в сетях шаманить это кстати два разных навыка, может их руткиты писать в пту для даунов научили, а ipsec настраивать через гейт в облаке не научили.
Но их тоже там 40 человек всего, типичные стартаперы же, только итальянские, эти могут и с калабрийской мафией связи особо тесные иметь, математикам носы хоть в чём-то утрут.

(Ответить) (Уровень выше)


(Читать комментарии) -