анализ ИБ от Силверана

[silveran]

Приветствую Вас уважаемые коллеги.
Поздравляю Вас от лица группы “античат” и себя лично, с столь быстрорастущими темпами развития. С последней нашей встречи Вы, так сказать, выросли и расширились. Вы поразили меня с какой скоростью Вы родились и выросли. Я искренне рад за Вас.
Теперь оставил дифирамбы и поговорил детальнее) .
Для начала высоко оценил работу над Вашим сайтом. Не рискнул проверять степень его безопасности, но заметил, что работа над улучшением ваших ресурсов ведётся постоянно и плодотворно- это радует, но изучив детально выложенную Вами информацию, позволю себе небольшой анализ как вас так и обстановки ИБ в целом.
Для начала прочитал Ваши общие положения про ИБ. И то, иронию вызвало, к примеру заявление что хакеры это обычно 14-23 летние подростки, и получается что ЦЕРТ ведёт борьбу с их деятельностью.  Господа времена Кевина Митника прошли, когда всё было направленно на создания мнения, что хакер- это либо подросток, либо волосатый с огромным пивным животом и мятыми брюками мужик, который только и делает что ворует или ломает. Неужели школьник, скачавший видео ролик с ачата и сломавший форум стоматологического сайта, это хакер (скрипт киди)!? Нет. Хакер- это обычно высокоинтеллектуальный человек с особым складом ума, умеющий находить обходные пути в любой ситуации, и возраст не имеет здесь значения. К примеру в меня часто (тыкали пальцем и говорили- хакер), но нет ни одной компании, которая имеет ко мне претензии. Так что было бы правильнее называть ту часть продвинутых компьютерщиков, на борьбу с которыми Вы вышли, не хакерам,и а скажем взломщиками (в мире профессионалов их называют нюкерами или киберпанками, промышленными шпионами). Хакер, это не синоним преступника. Понимаю, написать хакер-зло, это проще, но есть понятие профессиональной этики.
Ваша оценка уровня ИБ в целом Может и верна но не отражает реальной картины в целом. Да, 30-40% ресурсов, что более подвержено атакам, итд итп может и реальны, но давайте всё же разделим атаки на скажем не финансово и финансово критичные. Сколько из всего ресурсов в республике могут при атаке понести финансовые убытки (моральный ущёрб не учитывается)? А сколько из них достойно защищены? Уже существуют компании, чьи финансовые потоки ведутся через компьютерные технологии а так же владеющие денежно ценной информацией, вот они то и являются важной целью атак. Именно они должны Вас интересовать. Уберём всё лишнее (ресурсы мп3 уз, форумы молодых мам, туристические компании, итд итп ) и дадим оценку финансово критически уязвлённым компаниям. Я готов доказать, что 90% подобных компаний не защищены, правда юридическая сторона вопроса не позволяет провести подобную проверку.)
я понимаю, многие готовы со мной поспорить и к примеру админ компании перфектум мне бы заявил- у нас последняя версия форума ипб, даже если угнать Кеш админа перловой программой (кстати это правда), то куки требую ещё и подтверждения по ip (во загнул). Да- это правда, безопасность на уровне По продуманна удачно, но вот выбор хостера (бузтон и саркор) выбран не удачно( ресурсы этих провайдеров позволяю залить шелл и гулять по их ЖД как у себя дома- так что даже хорошее ПО и грамотные настройки самого ресурса перфектума- ничего не значат. Если мы уже взяли сотовых операторов, то компания коском использует https://sales.coskom.uz защищённые соединения для работы своих филиалов, а так же *119# … для получения информации о номере, (в некоторых филиалах подробная инструкция приклеена к компу липким листком), да раздача лицензий это грамотно, но насколько защищены компьютеры в пунктах оплаты? Учитывая что девчонкам скучно, часто ловил их на играх и общению в Интернете. Так что тут не спасёт 128 битное шифрование…кстати, в моей статье, приведённой ниже, будут ещё упоминаться сотовые операторы. Так же ещё есть банки, использующие телл нет протоколы и стандартно настроенные цыски. Сегодня все, кому не лень создают свои билинг системы, особенно мне нравятся провайдеры, к примеру https://shark.stream.uz/corp_clients/sales********* , из мира этот ресурс не виден, но в нутрии сети работает.. вроде как ещё сильнее защитить!? Но не учтено что в радиусе 500 метров от шарка можно зайти в их сеть по wi-fi. Я уже не говорю, про то, что банкоматы пользуются линиями ГТС, а сотовые компании отменяют вип пакеты из за построения на их базе солибной сети по ip телефонии. Так что, к сожалению, это реальная оценка ИБ, и она ужасна. Объяснить я это могу только оттоком “умных голов”. Всё это привело, что нынешний персонал делает упор на совершенство ПО и оборудования. Стали проводиться семинары, иногда тренинги, разбор Исошныш стандартов итд итп. Но что главное в ИБ?.. это люди. Взломщик не забивает голову исошными стандартами, он просто делает своё дело. И никакое ПО и даже если нужный компьютер находится под горой на глубине 1 го километра, не сможет его остановить. Его остановит человек настраивающий это оборудование и По. К сожалению я пока увидел у Вас только банальные предложения сканирования чем нить типа х спайдера и мелких проверок на ххс и перловых атак, но это не исправит положения- самое важное это обучение персонала. Именно высококвалифицированный центр обучения. Скольких людей вы знаете скажем хорошо разбирающихся в безопасности Вы знаете? Согласен- немного. Не редкие тренинги и семинары исправят физически ИБ а именно обучение- упорное и регулярное.
На последок хочу предложить почитать мою статью “защита от соц. инженера” на примерах известных Вам компаний http://antichat.ru/txt/socing/.
С Уважением Силверан!!!
П.С. я в данный момент нахожусь в поисках работы, так что попытаюсь предложить Вам свои услуги)) вновь.