Bezpečnost sítě

[Mirek Prýmek]

Soukromé klíče lze šifrovat heslem

...čímž se efekt smrskne zpět na bezpečnost toho hesla. A jsme (skoro*) tam, kde jsme byli a navíc máme zbytečně zkomplikovanou situaci...

* Skoro proto, že alespoň v některých případech můžu klíč ukrást a vesele si na něj bruteforcovat doma, aniž by to kdokoli věděl a mohl to zjistit, neřkuli zastavit.

Docela silně zastávám názor, že jediný nárůst bezpečnosti oproti heslu je hw token s nevyexportovatelným klíčem. Všechno ostatní jsou šidítka.

...ale to jsme se dostali někam, kam jsem se právě dostat něchtěl - k diskusi o technologii bez znalosti širšího kontextu, k čemu má vlastně sloužit...

[Reklama]

[Sten]

Soukromé klíče lze šifrovat heslem

...čímž se efekt smrskne zpět na bezpečnost toho hesla. A jsme (skoro*) tam, kde jsme byli a navíc máme zbytečně zkomplikovanou situaci...

* Skoro proto, že alespoň v některých případech můžu klíč ukrást a vesele si na něj bruteforcovat doma, aniž by to kdokoli věděl a mohl to zjistit, neřkuli zastavit.

Docela silně zastávám názor, že jediný nárůst bezpečnosti oproti heslu je hw token s nevyexportovatelným klíčem. Všechno ostatní jsou šidítka.

...ale to jsme se dostali někam, kam jsem se právě dostat něchtěl - k diskusi o technologii bez znalosti širšího kontextu, k čemu má vlastně sloužit...

Proto jsem psal, že by počítače, které mohou být mimo kancelář, měly být zašifrovány. Mimochodem ono ukrást klíč je většinou o dost těžší než ukrást heslo. Heslo získáte třeba jenom tím, když dotyčného natočíte, jak to heslo zadává. Nebo prolomíte rádiové spojení od bezdrátové klávesnice. Pro klíč musíte získat přístup na disk počítače.

[jeník]

Btw. http://xkcd.com/936/

jak se z 11 znaků stane 28 bitů?

[Jakub L.]

Btw. http://xkcd.com/936/

jak se z 11 znaků stane 28 bitů?

https://cs.wikipedia.org/wiki/Entropie#Informa.C4.8Dn.C3.AD_entropie
http://ari.wikidot.com/kryptologie-a-komprimace#toc6

[jeník]

aha. v tom případě je ten výpočet z komixu dost nedotažený.

[Reklama]

[smoofy]

Security through obscurity tak trosku?

[franta]

Jaký plat a motivaci má nejhůře placený zaměstnanec s přístupem k datům?
Mají uklízečky se znalostmi "ajťáka" přístup k počítačům bez dozoru?
Řešíte firemní problémy u piva v blízké hospůdce?

Pokud jsi alespoň na jednu otázku odpověděl ano, začni řešit i jiné druhy bezpečnosti.

Podobných otázek je spousta.

[Jenda]

Docela silně zastávám názor, že jediný nárůst bezpečnosti oproti heslu je hw token s nevyexportovatelným klíčem. Všechno ostatní jsou šidítka.

Ani ten token nejspíš (v případě třeba unixových účtů) nepomůže - útočníkovi stačí přihlásit se jednou a může na vzdálený systém zasadit backdoor.

[TomasP]

Jak to tak čtu, tak vlastně neexistuje bezpečná síť, existuje pouze řada komplikací, které musí útočník řešit, ale všechny jsou obejitelné a záleží jen na tom, jak moc po těch datech pase...

[Mirek Prýmek]

Ani ten token nejspíš (v případě třeba unixových účtů) nepomůže - útočníkovi stačí přihlásit se jednou a může na vzdálený systém zasadit backdoor.

To už je ale zranitelnost jiného druhu. Heslo slouží k autentizaci, ne k ochraně před instalací backdooru

[Tom fi]

Jak to tak čtu, tak vlastně neexistuje bezpečná síť, existuje pouze řada komplikací, které musí útočník řešit, ale všechny jsou obejitelné a záleží jen na tom, jak moc po těch datech pase...

Dobrý, že pouze na základě pár příspěvků jste došel k závěru, který je bohužel pravdivý... možná mě někdo poopraví, ale risk managenet je právě o tom odhadnout co je pro firmu riziko a tam nasadit zabezpečení, ale zabezpečení takové, které svými náklady a snížením komfortu používání odpovídá míře rizika (měnit hesla každý měsíc například ve většině případů vede k zbytečnému snížení komfortu používání služby a ke zvýšení rizika použití "lehkých hesel" - prostě to povede uživatele k volbě špatných hesel, protože uživatelé budou chtít aspoň částečně kompenzovat snížený komfort).

Je tady zmíněno filtrování adres z Číny. To bych nezonačil za zabezpečení, ale jako jeden ze způsobů zkrácení logů z důvodu přehlenosti a zároveň snížení zátěže serveru. Pro tento účel jsou lepší automatické nástroje než ruční dohledávání (denyhosts, online listy apod.)

[Mirek Prýmek]

Dobrý, že pouze na základě pár příspěvků jste došel k závěru, který je bohužel pravdivý... možná mě někdo poopraví, ale risk managenet je právě o tom odhadnout co je pro firmu riziko a tam nasadit zabezpečení

Podle mě je začít riziky dobré taky v tom, že to člověka úplně přirozeně dovede k zamýšlení se nad disaster recovery. Prostě počítám s tím, že se určité věci můžou stát a mám promyšlené, co udělám, když se stanou. Oproti tomu, pokud si udělám fetiš ze "zabezpečovacích tehnologií", sám sobě nutím představu, že jsem udělal všechno proto, aby se něco NEstalo - a když se to přesto stane, jsem zaskočený... To první vede k počítání se vším, to druhé k překvapení čímkoli

[Mirek Prýmek]

Mají uklízečky se znalostmi "ajťáka" přístup k počítačům bez dozoru?

Nemusí mít ani žádné znalosti. Stačí umět do usb portu vrazit keylogger.

[ABC]

Uvědomuju si realitu, takže jen pro inspiraci.

Technický věci už zazněly, proto stručně:
Fyzická bezpečnost budovy a serverovny (ve stručnosti: zámky, dveře a okna, revize alarmu prověřeným technikem, analýza kudy by to šlo proniknout do objektu, zabezpečení kabeláže, docházkovej systém vs. vrátnej, hlídači vs. kamerovej systém, nepravidelnej interval obchůzek hlídačů ).
Položit si otázku jakej typ útočníka je nejpravděpodobnější (jestli bude mít možnosti jako Mossad tak jseš stejně nahranej ;-))

Bezpečnost čistě na základě návrhu je příliš nákladná, proto je dobré kombinovat bezpečný návrh a bezpečnost na základě utajení.

Kontrolujte přenosná zařízení přistupující do sítě.
Prověřujte uživatele, návštěvníky i úklidovou službu.
Nastav procesy tak aby byly odolný proti sociotechnikám.
Předpokládejte že k  napadení už došlo.
Zákaz BYOD

Mirek Prýmek
Bezpečnější než hw tokeny je vícefaktorová autentizace. Pokud by byla bezpečnost skutečnou prioritou tak se dá kombinvat nějaký sofistikovaný způsob heslové fráze (např. jednorázové hesla). s nějakým tokenem a biometrií.

Ohledně tý analýzy rizik. Zrovna se učim na zkoušku z "risk managementu" zaměřenou obecně na průmysl (bohužel s převahou bezpečnosti chemických provozů, jaderné energetiky oproti praktickejm věcem jako jsou projekty, nebo IT).
Setkal jsi se v IT praxi i s kvantivativní analýzou rizika? Od kud se berou data pravděpodobnosti, respektive frekvenci standartních typů bezpečnostních incidentů?

[franta]

Mají uklízečky se znalostmi "ajťáka" přístup k počítačům bez dozoru?

Nemusí mít ani žádné znalosti. Stačí umět do usb portu vrazit keylogger.

Jasný :-) chtěl jsem mu jen naznačit, že je potřeba se na to podívat i z jiného pohledu.