Here's how the NSA spied on Cisco firewalls for years
: 24 sie 2016, 10:50
Jedna uwaga. Jak sam zauważyłeś "Juniper jest", natomiast PIX "był" bo to technologia sprzed dekady. To, że ktoś jeszcze tego używa, to już inna historia.pk pisze:a ktos na tym forum krzyczał jaki to Juniper jest dziurawy ...
no wlasnie, jest i bedzie dziurawy i jeszcze zupelnie nic z tym nie robia, kurcze, taka firma ehhKyniu pisze: Jedna uwaga. Jak sam zauważyłeś "Juniper jest", natomiast PIX "był" bo to technologia sprzed dekady. To, że ktoś jeszcze tego używa, to już inna historia.
Co innego dac sobie wsadzic szpiega(-ów?) do firmy, ktory wstawia backdoory (ile ich jeszcze jest w Juniperze? skoro w krotkim odstepie czasu wyszly takie rzeczy?) a co innego exploitowac roznego rodzaju bledy. To roznica miedzy bledem systemowym, w ktorym firma nie panuje nad swoim kodem i bledem typowym, ktory po prostu sie zdarza - wszystkim.pk pisze:a ktos na tym forum krzyczał jaki to Juniper jest dziurawy ;) ...
Szczególnie, że w tamtej dyskusji poruszano problem urządzeń ze ScreenOS (poszukaj sobie kiedy dokładnie je zaprzestano produkować).Kyniu pisze:Jedna uwaga. Jak sam zauważyłeś "Juniper jest", natomiast PIX "był" bo to technologia sprzed dekady. To, że ktoś jeszcze tego używa, to już inna historia.pk pisze:a ktos na tym forum krzyczał jaki to Juniper jest dziurawy ...
Akurat tutaj fakt wielkosci nie jest atutem, bo po co eksplojtowac jakiegos malego vendora, skoro wszyscy uzywaja tego duzego, powszechnego. Druga sprawa, to wsadzenie szpiega do malej firmy jest o wiele trudniejsze, niz gdzies gdzie sa cale tabuny inzynierow programistow. Tam moze i nawet caly team jest latwiej wprowadzic. Co do badania jakosci kodu, to zapewne jest to kosztowne, lecz nie zawsze gwarantuje sukces. Najbezpieczniejsi jestesmy wtedy kiedy korzystamy ze sprzetu zaprzyjaznionego producenta, w ktorym siedza nasze 'implanty', dlatego Chiny maja swojego vendora, a Korea swojego etc. Trzeba mocno sie napracowac zeby te furtki ukryc i ktos niepowolany ich nie znalazl. A jak czasem cos znajda, to sie oglasza, ze to normalny bug/security advisory, kazdemu moze sie zdarzyc. Taka jest moja teoria spiskowalbromirs pisze:
Co innego dac sobie wsadzic szpiega(-ów?)...
Nie wiem czy tak Ci wygodnie, czy jest to związane z niewiedzą, ale Linux (nad czym ubolewam) to nie jest już system sprzed 20 lat, o którym wiedziało parę osób, a potrafiło coś zrobić poza kompilowaniem w kółko jądra jeszcze mniej. Bardzo dużo różnego malware'u roznosi się przez zarażone maszyny Linuksowe, więc koncepcje w ramach których "security by obscurity bo przecież nikt za mną nie trafi" zapewniają Ci jakieś szczególne bezpieczeństwo, są lekko rozjechane z rzeczywistością.rysic pisze:Cisco, Fortinet, Juniper... jeden grzyb ;-)
https://niebezpiecznik.pl/post/nsa-zhac ... ka-rosjan/
W zasadzie to najbezpieczniej czuję się gdy stawiam jakieś rzadziej używane narzęcie na Linux-ie. Fakt narobię się przy tym, nie mam wsparcia, ale jest mniejsza szansa, że ktoś użyje gotowego exploita, że moje zabezpieczenia są typowe a i sam lepiej je znam, bo się nadziobałem przy ich konfiguracji :-)
Ulegasz niebezpiecznym iluzjom.rysic pisze:Miałem raczej na myśli narzędzia oparte na Linuchu - jak np. OpenVPN. Generalnie jeśli wszystko robisz z głową, to moim zdaniem jesteś w stanie lepiej to zabezpieczyć niż w rozwiązaniach gotowych - zamkniętych lśniących pudełkach od wielkich producentów.
Ulegasz niebezpiecznym iluzjom i w dodatku mitom.rysic pisze:Fakt, Linux ma sporo linii kodu, ale zobacz też ile osób go codziennie przegląda czyta i poprawia.
Oczywiście. Wystarczy wrzucić do Google'a "openssh remote exploit" i zobaczyć jak bardzo jest bezpieczny.rysic pisze:A swoją drogą, jeśli nie popełnisz jakiegoś ewidentnego błędu, to czy rzeczywiście wystawienie OpenSSH na świat jest rzeczywiście niebezpieczne? Nawet bez port knockingu.
To nie jest tak, że ja ślepo wierzę w bezpieczeństwo tego czy tamtego. Tak samo jak przy każdym innym rozwiązaniu - trzeba zastosować wiele różnych podejść do bezpieczeństwa i wdrożyć go czasem nawet kilkukrotnie dla jednej usługi, żeby podwyższyć swoją pewność... a później dotkliwiej się rozczarować Życie...Naprawdę warto czasem pochylić głowę w pokorze i dobrze zastanowić się nad fundamentami swoich głębokich przekonań
Nie ma czegoś takiego.rysic pisze:No dobrze, to jakie rozwiązanie byś polecił jako w pełni bezpieczne i zabezpieczające?
Dzisiaj jedynym sposobem na zwiększenie bezpieczeństwa po zbudowaniu z tradycyjnych firewallowo/IPSowych/AMPowych/VPNowych rozwiązań jest oparcie się o chmurę i analitykę/badania prowadzone w prawie czasie rzeczywistym - najczęściej poza własną firmą przez wszechstronne zespoły specjalistów - od malware'u na x86, na Windowsy, na Androida, na iOSa... specjalizacja jest konieczna i bardzo głęboka. Po prostu bezpieczeństwo to już nie zabawa dla pojedynczych badaczy tylko wielkich społeczności. Czym więcej producent ma dzisiaj dostępu do danych oraz czym więcej może zainwestować w duże zespoły ludzkie tym większą masz szansę, że zatrzyma Ci atak przed nosem, lub w rozsądnym czasie po jego rozpoczęciu.rysic pisze:Przypuszczam, że możesz polecić lepsze i gorsze, ale nigdy nie będziesz miał 100% pewności.