анализ ИБ от Силверана

[silveran]

Цитата:

Сообщение от Dengiz

А может мне кто-нибудь подробнее объяснить как защитить wi-fi? И вообще, читаю топик и чувствую себя такой отсталой от цивилизации Столько непонятных терминов

есть ya.ru rambler.ru и море поисковиков в помощь, на ачате есть мои статьи по вопросам wi fi
просто ето не тот топ для овсуждения безопасности етого вида конекта.. так то прошу не офтопить а создать отдельную тему раз интересует етот вопрос..
С Уважением Силверан!!!

[Eldar Ishimbaev]

Цитата:

Сообщение от silveran

Уважаемый Ильдар, может ли кто нить из церта проконсультировать меня, что нужно сделать по пунктно чтоб организовать свою фирму по аудиту ИБ!?)

Эльдар...так меня зовут
По этому поводу мы не можем дать консультаций, так как не занимаемся выдачей лицензий аудиторским фирмам. Надо обращаться в хокимият.

[silveran]

Цитата:

Сообщение от Eldar Ishimbaev

Эльдар...так меня зовут
По этому поводу мы не можем дать консультаций, так как не занимаемся выдачей лицензий аудиторским фирмам. Надо обращаться в хокимият.

Уважаемый Эльдар, спасибо за совет, завтра же иду открывать фирму)
ладно о деле- может церт всёже попробует датьсвой анализ критичноси ситуации и возможно мы даже найдём возможности поспорить.. как по Вашему мнению состоит ситуация по ИБ в целом скажем с цифраи и более детально а не просто (не стоит бить панику)!?

[Evgeniy Sklyarevskiy]

Цитата:

Сообщение от Dengiz

А может мне кто-нибудь подробнее объяснить как защитить wi-fi? И вообще, читаю топик и чувствую себя такой отсталой от цивилизации Столько непонятных терминов

Это они специально, для важности...

[Botirbek Samandarov]

Цитата:

Сообщение от Dengiz

А может мне кто-нибудь подробнее объяснить как защитить wi-fi? И вообще, читаю топик и чувствую себя такой отсталой от цивилизации Столько непонятных терминов

Dengiz++, я тебя поддерживаю
Думая на UZ-CERT надо открыт раздел консультации, или как
Хотя бы в на форуме

[Ibrohim Djuraev]

Цитата:

Сообщение от silveran

Уважаемый Эльдар, спасибо за совет, завтра же иду открывать фирму)
ладно о деле- может церт всёже попробует датьсвой анализ критичноси ситуации и возможно мы даже найдём возможности поспорить.. как по Вашему мнению состоит ситуация по ИБ в целом скажем с цифраи и более детально а не просто (не стоит бить панику)!?

уважаемый Силверан,
мне немного не понятна ваша позиция, на счет выдачи анализа критичности ситуации и причем тут слово попробовать? Уж тем более, мы не пытаемся никем спорить., нам этого и не надо. Просмотрел все ваши сообщения, в каких-то частях, вы напрямую спровоцируете выудить различными способами, какую либо информацию, так в чем ваша конечная цель? Что вы хотите в целом узнать? Может для начала поставите в нас в известность в вашей цели или сути вопроса?

[Dengiz]

Цитата:

Сообщение от Ibrohim Djuraev

Просмотрел все ваши сообщения, в каких-то частях, вы напрямую спровоцируете выудить различными способами, какую либо информацию, так в чем ваша конечная цель? Что вы хотите в целом узнать? Может для начала поставите в нас в известность в вашей цели или сути вопроса?

Соц. инженер

[Djalolatdin Rakhimov]

Цитата:

Сообщение от silveran

Не рискнул проверять степень его безопасности,

а не помешало бы, просто надо было договориться с сотрудниками CERT и провести анализ в определенный момент времени.

Цитата:

И то, иронию вызвало, к примеру заявление что хакеры это обычно 14-23 летние подростки, и получается что ЦЕРТ ведёт борьбу с их деятельностью. 

Хакеры - это определение способностей человека, а не определение мотивации его действий. "Хакер" - не есть хорошее или плохое.

Цитата:

Хакер- это обычно высокоинтеллектуальный человек с особым складом ума, умеющий находить обходные пути в любой ситуации, и возраст не имеет здесь значения.

На самом деле определение более обширно. И можете не смоневаться, что у нас именно правильное понимание этого термина.

Цитата:

Хакер, это не синоним преступника.

Именно. Это общество исказило со временем сущность данного термина.

Цитата:

Понимаю, написать хакер-зло, это проще, но есть понятие профессиональной этики.

Это зависит от контекста отдельной статьи.

Цитата:

Ваша оценка уровня ИБ в целом Может и верна но не отражает реальной картины в целом.

Не понятно, о какой оценке идет речь

Цитата:

Да, 30-40% ресурсов, что более подвержено атакам, итд итп может и реальны, но давайте всё же разделим атаки на скажем не финансово и финансово критичные.

Можем и в таком разрезе делать. Смотря как поставлена задача.

Цитата:

Сколько из всего ресурсов в республике могут при атаке понести финансовые убытки (моральный ущёрб не учитывается)? А сколько из них достойно защищены? Уже существуют компании, чьи финансовые потоки ведутся через компьютерные технологии а так же владеющие денежно ценной информацией, вот они то и являются важной целью атак. Именно они должны Вас интересовать.

Поверьте, у нас гораздо шире фронт работ.

Цитата:

я понимаю, многие готовы со мной поспорить и к примеру админ компании перфектум мне бы заявил- у нас последняя версия форума ипб, даже если угнать Кеш админа перловой программой (кстати это правда), то куки требую ещё и подтверждения по ip (во загнул). Да- это правда, безопасность на уровне По продуманна удачно, но вот выбор хостера (бузтон и саркор) выбран не удачно( ресурсы этих провайдеров позволяю залить шелл и гулять по их ЖД как у себя дома- так что даже хорошее ПО и грамотные настройки самого ресурса перфектума- ничего не значат.

Поэтому где-то уже на форуме кому-то мы и отвечали, почему проверям не только сам сайт, но и хостера. Здесь, похоже, у нас одинаковое понимание, что радует.

Цитата:

Если мы уже взяли сотовых операторов, то компания коском использует https://sales.coskom.uz защищённые соединения для работы своих филиалов, а так же *119# … для получения информации о номере, (в некоторых филиалах подробная инструкция приклеена к компу липким листком), да раздача лицензий это грамотно, но насколько защищены компьютеры в пунктах оплаты? Учитывая что девчонкам скучно, часто ловил их на играх и общению в Интернете. Так что тут не спасёт 128 битное шифрование

Кстати, шикарны пример необходимости проведения комплексного аудита.

Цитата:

…кстати, в моей статье, приведённой ниже, будут ещё упоминаться сотовые операторы. Так же ещё есть банки, использующие телл нет протоколы и стандартно настроенные цыски. Сегодня все, кому не лень создают свои билинг системы, особенно мне нравятся провайдеры, к примеру https://shark.stream.uz/corp_clients/sales********* , из мира этот ресурс не виден, но в нутрии сети работает.. вроде как ещё сильнее защитить!? Но не учтено что в радиусе 500 метров от шарка можно зайти в их сеть по wi-fi.

не знаб ничего конкретно про данного провайдера, но в целом показательно пример удачный.

Цитата:

Так что, к сожалению, это реальная оценка ИБ, и она ужасна.

Это и так понятно.

Цитата:

Объяснить я это могу только оттоком “умных голов”.

тут больше причин

Цитата:

Всё это привело, что нынешний персонал делает упор на совершенство ПО и оборудования.

а иногда и этого не делают

Цитата:

Стали проводиться семинары, иногда тренинги, разбор Исошныш стандартов итд итп. Но что главное в ИБ?.. это люди. Взломщик не забивает голову исошными стандартами,

а зря. Не просто так пишутся стандарты. При проведении любой оценки или экспертизы нужны единые критерии, иначе каждому надо будет объяснять как проводилась проверка, на соответствие чего и т.д. Так что, не согласен по части стандартно. Они нужны!

Цитата:

он просто делает своё дело.

да, он делает на сколько понимает

Цитата:

И никакое ПО и даже если нужный компьютер находится под горой на глубине 1 го километра, не сможет его остановить.

амбициозно и безоснавательно

Цитата:

К сожалению я пока увидел у Вас только банальные предложения сканирования чем нить типа х спайдера и мелких проверок на ххс и перловых атак

значит невнимательно читали. Но лучше так, чем писать ради того, чтобы писать (надеюсь).

Цитата:

, но это не исправит положения- самое важное это обучение персонала.

это важно. Но среди "самых важных" есть и много другого.

Цитата:

Именно высококвалифицированный центр обучения. Скольких людей вы знаете скажем хорошо разбирающихся в безопасности Вы знаете?

мало. да, это проблема.

Цитата:

Согласен- немного. Не редкие тренинги и семинары исправят физически ИБ а именно обучение- упорное и регулярное.

разве кто спорит?

Цитата:

На последок хочу предложить почитать мою статью “защита от соц. инженера” на примерах известных Вам компаний http://antichat.ru/txt/socing/. А так же посмотреть 2 моих видео ролика.
Smsvideiuz.narod.ru/asp.rar
Smsvideouz.narod.ru/mail.rar
Первый к примеру хоть и показывает дыру в компании asp.net (сервис поддержка микрософта), но не является финансово критичным для компании, а второй уже финансово опасен для компании (естественно уязвимости уже исправлены).

за материалы всегда спасибо

Цитата:

С Уважением Силверан!!!

зато всё вежливо спасибо

Цитата:

П.С. я в данный момент нахожусь в поисках работы, так что попытаюсь предложить Вам свои услуги)) вновь.

это при личном контакте

[Djalolatdin Rakhimov]

Цитата:

Сообщение от sbssoft

Dengiz++, я тебя поддерживаю
Думая на UZ-CERT надо открыт раздел консультации, или как
Хотя бы в на форуме

Так и пытаемся. Курсы и тренинги - со временем, ресурсов мало

[Djalolatdin Rakhimov]

Цитата:

Сообщение от silveran

Уважаемый Ильдар. Вы правы я не Сижу в Узцерте и возможно не знаю Вашу политику работы, но мы все тут взрослые люи и надеюсь знаем что пишем, так что приношу свои извинения за голословные заявления, в следующий раз я просто многозначительно промолчу, видимо я неправильно понял раздел законодательство на Вашем сайте.)))

бывает просто в последнее время нас очень много провоцируют на форуме, зная нашу политику обязательных ответов на все посты.

Цитата:

Но к сожалению я вижу что мы уходим от темы, чесно говоря моей целью было не обсуждение работы церта а выложить свои мысли как обстоят дела по ИБ в Республике почему так и что надо делать, а так же узнать есть ли у кого мнени именно ПО ЭТОМУ вопросу))

Это категорически приветствуется. Мы развиваемся, никто не идеален. Помощи будем благодарны. А мысли - мыслями. Заодно и поспорим. Ничего страшного.

Цитата:

Уважаемый Ильдар, может ли кто нить из церта проконсультировать меня, что нужно сделать по пунктно чтоб организовать свою фирму по аудиту ИБ!?)

Сложный вопрос. Статус и доверие клиентов очень сложно будет заработать. Кстати, мы этим занимаемся, причем для очень крупных заказчиков (закрытая инфо).

Дело в том, что заключение, сделанное такой фирмой, должно быть весомым.