mse homjak (08.05.2020 21:53 - 22:00, просмотров: 457) ответил s_h_e на Получит команду и начнет транслировать принимаемые по сети секреты
прямо в пентагон. Или тупо отключится в нужный момент.-
- Когда он самоубьется, фпга ставить поздно будет, ракеты уже будут в
воздухе) s_h_e(138 знак., 08.05.2020 22:00)
- Да не блокируется это ничем. Контроллер сидит на физической среде,
над ним драйвер, над ним, где-то там, в облаках, ваш ВПН с
фиреваллами. А АРМ внутри I7 общается с контроллером напрямую. У
него своя операционка и доступ к физической памяти и устройствам. - mse homjak(08.05.2020 22:06)
- Ну и что он с этим доступом будет делать, если у него в виртуальной
сети видно 200 компов, и все этой же структуры? "VPN в облаках" Вы
вообще в курсе, о чем речь? - s_h_e(08.05.2020 22:11)
- "ОБлака", это значит, что даже уровень ядра ОС лежит ниже вашего
ВПН. У него уровень приложений, дай бог, с привилегиями админа. Под
его уровнем можно делать что хочешь. mse homjak(759 знак., 08.05.2020 22:35)
- Речь вообще изначально шла про внешний (полу)аппаратный VPN на этой
же плате, к интерфейсу управления которым комп/юзер в принципе не
имеет доступа. s_h_e(194 знак., 08.05.2020 22:50)
- Да какая разница, обо што речь шла изначально? Вы безапелляционно
задвигаете про дырявость Эльбруса. Я вам тычу пальцем в дыру,
которая лежит на поверхности и про которую все делают вид, что не
видят. Хренли толку в шифровании трафика, ВПН и прочей замысловатой
фигне, когда знающий человек может параллельно с вами шариться
везде, где захочет? Больше того, будет шариться там, где вам, как
юзеру, запрещено. Просто потому, что эта потенциальная возможность
есть. mse homjak(483 знак., 09.05.2020 14:40)
- А вы мне безапелляционно задвигаете про знающего человека, хотя эти
дыры легко закрываются даже на уровне предприятия толковым админом.
Просто выхода из корпоративной VPN, организованной внешними по
отношению к компу средствами, наружу не будет, и все. s_h_e(432 знак., 09.05.2020 14:56)
- Последний вопрос: "любой сетевой контроллер с шифрующей железкой"
будет чей? В нём может быть потенциальная дыра, про которую "тот,
чья надо, нога", знает? Вот вам принесли сетевую плату, роутер,
свичь или ещо какую сетевую %ню, вы готовы дать зуб, что там всё
чисто, с точки зрения бэкдора? Вот не знаю, как вы и "толковый
админ", а "знающий человек" такой гарантии дать не может.
Пичялька... - mse homjak(09.05.2020 15:08)
- Железка с контроллером наружу должна быть своя. Уж это точно проще
процессоров с мостами. Контроллер от компа к железке - без разницы
чей, до него все равно не добраться снаружи. - s_h_e(09.05.2020 15:13)
- А изнутри? В один из компов воткнули спецуевую флешку - и все компьютеры внутри
"защищенной" сети в час X ушли в вечный ребут. Я уж не говорю что
при нынешних скоростях и объемах данных "железка к контроллером
наружу" - весьма непростое изделие. - LightElf(09.05.2020 15:21)
- Флешки уже Джеймс Бонд будет втыкать. Для борьбы с таким
организационные меры нужны) s_h_e(46 знак., 09.05.2020 15:24)
- Вода дырочку найдёт. Т.е. вполне разумно предполагать, что среди
тысяч пользователей найдётся предатель/дурак. Вопрос в том, как
ограничить причиненный им ущерб. Разграничение прав на уровне
ОС/приложений не поможет, если уязвимо само железо. - LightElf(09.05.2020 23:44)
- кстати во внутренней локалке в Ростелекоме у большинства
пользователей USB-порты отключены. - Лaгyнoв(10.05.2020 07:21)
- "Достаточно одной таблэтки!" - LightElf(10.05.2020 16:44)
- куда ее вставить, если флэшка не видна а флоппи отсутствует? Я
понимаю конечно, что возможности хакера безграничны. Но что мешает
так взломать (изнутри, подменив комп в локальной сети) что угодно?
Тут никакой Эльбрус не поможет. :-) - Лaгyнoв(10.05.2020 17:48)
- Абисняю. Защита от слива или уничтожения "всего" осуществляется
путем разграничения прав доступа, когда конкретный юзверь имеет
доступ только к тому, что ему положено. Уязвимое железо не
гарантирует того, что разграничение доступа на уровне ОС будет
действительно работать (тот же Meltdown как пример). Заглушенные
USB порты это конечно прекрасно, но никак не мешает вбить нужный
код в текстовом редакторе, накликать кнопкой мыши или занести его
еще массой других способов. - LightElf(11.05.2020 11:41)
- я продолжаю мысль и вопрос. А НЕуязвимое железо защищено от такого
уровня хакера? На хрен ему закладки в процессоре, если он создаст
закладку в ОС? То есть чем поможет в этом деле Эльбрус? Ничем. - Лaгyнoв(11.05.2020 13:31)
- Отсутствие дыр в железе не позволит юзеру с ограниченными правами
выскочить из предоставленной ему песочницы. Дыры должны быть
ликвидированы на всех уровнях, и в железе и в операционке. Нет серебряной пули. - LightElf(11.05.2020 13:51)
- Вопрос, сколько средств, сил, и времени, уйдет, чтобы ликвидировать
(а не отчитаться). s_h_e(128 знак., 11.05.2020 16:40)
- Жизнь - боль, зачем шевелиться там, чёта дёргаться, если все мы умрём? - =AlexD=(11.05.2020 21:59)
- Вопрос, сколько средств, сил, и времени, уйдет, чтобы ликвидировать
(а не отчитаться). s_h_e(128 знак., 11.05.2020 16:40)
- Отсутствие дыр в железе не позволит юзеру с ограниченными правами
выскочить из предоставленной ему песочницы. Дыры должны быть
ликвидированы на всех уровнях, и в железе и в операционке. Нет серебряной пули. - LightElf(11.05.2020 13:51)
- я продолжаю мысль и вопрос. А НЕуязвимое железо защищено от такого
уровня хакера? На хрен ему закладки в процессоре, если он создаст
закладку в ОС? То есть чем поможет в этом деле Эльбрус? Ничем. - Лaгyнoв(11.05.2020 13:31)
- Абисняю. Защита от слива или уничтожения "всего" осуществляется
путем разграничения прав доступа, когда конкретный юзверь имеет
доступ только к тому, что ему положено. Уязвимое железо не
гарантирует того, что разграничение доступа на уровне ОС будет
действительно работать (тот же Meltdown как пример). Заглушенные
USB порты это конечно прекрасно, но никак не мешает вбить нужный
код в текстовом редакторе, накликать кнопкой мыши или занести его
еще массой других способов. - LightElf(11.05.2020 11:41)
- куда ее вставить, если флэшка не видна а флоппи отсутствует? Я
понимаю конечно, что возможности хакера безграничны. Но что мешает
так взломать (изнутри, подменив комп в локальной сети) что угодно?
Тут никакой Эльбрус не поможет. :-) - Лaгyнoв(10.05.2020 17:48)
- "Достаточно одной таблэтки!" - LightElf(10.05.2020 16:44)
- Даже внутри доверенной сети можно пропускать пакеты/соединения по белому списку. s_h_e(338 знак., 10.05.2020 00:26)
- кстати во внутренней локалке в Ростелекоме у большинства
пользователей USB-порты отключены. - Лaгyнoв(10.05.2020 07:21)
- +100. С тем же успехом Дж.Бонд взломает Эльбрус. :-) - Лaгyнoв(09.05.2020 17:50)
- Вода дырочку найдёт. Т.е. вполне разумно предполагать, что среди
тысяч пользователей найдётся предатель/дурак. Вопрос в том, как
ограничить причиненный им ущерб. Разграничение прав на уровне
ОС/приложений не поможет, если уязвимо само железо. - LightElf(09.05.2020 23:44)
- Флешки уже Джеймс Бонд будет втыкать. Для борьбы с таким
организационные меры нужны) s_h_e(46 знак., 09.05.2020 15:24)
- А изнутри? В один из компов воткнули спецуевую флешку - и все компьютеры внутри
"защищенной" сети в час X ушли в вечный ребут. Я уж не говорю что
при нынешних скоростях и объемах данных "железка к контроллером
наружу" - весьма непростое изделие. - LightElf(09.05.2020 15:21)
- Железка с контроллером наружу должна быть своя. Уж это точно проще
процессоров с мостами. Контроллер от компа к железке - без разницы
чей, до него все равно не добраться снаружи. - s_h_e(09.05.2020 15:13)
- Последний вопрос: "любой сетевой контроллер с шифрующей железкой"
будет чей? В нём может быть потенциальная дыра, про которую "тот,
чья надо, нога", знает? Вот вам принесли сетевую плату, роутер,
свичь или ещо какую сетевую %ню, вы готовы дать зуб, что там всё
чисто, с точки зрения бэкдора? Вот не знаю, как вы и "толковый
админ", а "знающий человек" такой гарантии дать не может.
Пичялька... - mse homjak(09.05.2020 15:08)
- А вы мне безапелляционно задвигаете про знающего человека, хотя эти
дыры легко закрываются даже на уровне предприятия толковым админом.
Просто выхода из корпоративной VPN, организованной внешними по
отношению к компу средствами, наружу не будет, и все. s_h_e(432 знак., 09.05.2020 14:56)
- Да какая разница, обо што речь шла изначально? Вы безапелляционно
задвигаете про дырявость Эльбруса. Я вам тычу пальцем в дыру,
которая лежит на поверхности и про которую все делают вид, что не
видят. Хренли толку в шифровании трафика, ВПН и прочей замысловатой
фигне, когда знающий человек может параллельно с вами шариться
везде, где захочет? Больше того, будет шариться там, где вам, как
юзеру, запрещено. Просто потому, что эта потенциальная возможность
есть. mse homjak(483 знак., 09.05.2020 14:40)
- Речь вообще изначально шла про внешний (полу)аппаратный VPN на этой
же плате, к интерфейсу управления которым комп/юзер в принципе не
имеет доступа. s_h_e(194 знак., 08.05.2020 22:50)
- "ОБлака", это значит, что даже уровень ядра ОС лежит ниже вашего
ВПН. У него уровень приложений, дай бог, с привилегиями админа. Под
его уровнем можно делать что хочешь. mse homjak(759 знак., 08.05.2020 22:35)
- Ну и что он с этим доступом будет делать, если у него в виртуальной
сети видно 200 компов, и все этой же структуры? "VPN в облаках" Вы
вообще в курсе, о чем речь? - s_h_e(08.05.2020 22:11)
- Да не блокируется это ничем. Контроллер сидит на физической среде,
над ним драйвер, над ним, где-то там, в облаках, ваш ВПН с
фиреваллами. А АРМ внутри I7 общается с контроллером напрямую. У
него своя операционка и доступ к физической памяти и устройствам. - mse homjak(08.05.2020 22:06)
- Когда он самоубьется, фпга ставить поздно будет, ракеты уже будут в
воздухе) s_h_e(138 знак., 08.05.2020 22:00)