?

Log in

No account? Create an account
Надуло баянов из scada-security - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Надуло баянов из scada-security [May. 28th, 2011|06:46 pm]
ArkanoiD
[Tags|, ]

Про RSA -- таки судя по всему да, они идиоты и мудаки -- и хранили копии клиентских ключей, чего по-моему уже вполне достаточно, чтобы НИКОГДА не связываться с этой продукцией, даже если бы их и не украли:

http://securology.blogspot.com/2011/03/more-rsa-securid-reactions.html

(ссылка старая, но я не видел)

и феерический фейспалм от микрософта (а вы потом спрашиваете, откуда берутся подобные персонажи)

http://blogs.technet.com/b/tomshinder/archive/2010/03/02/why-split-tunneling-is-not-a-security-issue-with-directaccess.aspx
linkReply

Comments:
From: ex0_planet
2011-05-28 03:34 pm (UTC)

Я дебил...

... и ничего не понимаю в безопасности, но меня почему-то очень настораживает тенденция отдавать предпочтение решениям с громким именем, нежели с хорошим дизайном.

Вот то же хранение ключей - никто почему-то не посылает творящих такое сразу в глубокую жопу.
(Reply) (Thread)
[User Picture]From: arkanoid
2011-05-28 04:24 pm (UTC)

Re: Я дебил...

Я, честно сказать, ВООБЩЕ никогда не понимал всенародной любви к SecurID, при том, например, что ему НЕПОНЯТНО ЗАЧЕМ нужен собственный сервер аутентификации (ну то есть понятно в теории зачем -- кагбе, затолкав его в фирменную коробку можно гарантировать, что клиент не решит сэкономить и не засунет софтовую реализацию куда не надо, но на практике это ебанина хуева). При том, что альтернатив полно и с ними всегда как-то проще.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: dil
2011-05-28 06:29 pm (UTC)
"Thus, in the scenario where the DA client might be configured as a router, the source of the traffic isn’t going to be the DA client, and authentication will fail – hence preventing the type of routing that VPN admins are concerned about."

Я чё-то не понял. Многоуважаемый дон никогда не слышал про NAT? Или твёрдо уверен, что на клиенте он невозможен?
(Reply) (Thread)
[User Picture]From: arkanoid
2011-05-28 06:56 pm (UTC)
а также про прокси, туннели и т д. многоуважаемый дон или идиот или прикидывается, чтобы впарить свое "решение".
(Reply) (Parent) (Thread) (Expand)
From: pustota1
2011-05-28 07:06 pm (UTC)
По поводу split tunneling -- да, отсутсвие split tunneling
это ад и пиздец на практике если имеется ввиду действительно
ЕБЕНЯ, ты уж мне поверь. Так что, выкати свое предложение, ну кроме как кататься с двумя лэптопами в места где невсегда
просто найти вторую розетку. Что они имеют ввиду под authenticated client я не знаю, может быть у них fingerprint конфигурации хранится централизовано.
(Reply) (Thread)
[User Picture]From: arkanoid
2011-05-28 07:10 pm (UTC)
В наше время для этого обычно используют две разные виртуалки. Не ахти какое решение, но утверждать, что то, что он предлагает -- безопасно -- это пиздец.
(Reply) (Parent) (Thread)
From: pustota1
2011-05-28 07:41 pm (UTC)
Ну, может ему безопасно. Отсутсвие же split tunneling это, повторюсь, довольно серьезная проблема, и дело даже не в дополнительной цене второго лэптопа и авиаперевозки, есть вполне себе ЕБЕНЯ где помимо розеток и прочая, просто
элементарно не дает охрана проносить два лэптопа одним человеком на режимную территорию.
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
[User Picture]From: dil
2011-05-28 07:23 pm (UTC)
может быть у них fingerprint конфигурации хранится централизовано
И при малейшем изменении конфигурации несчастный сотрудник в ебенях полностью теряет доступ к корпоративной сети? Интересное решение..
(Reply) (Parent) (Thread)
From: pustota1
2011-05-28 07:38 pm (UTC)
В смысле при малейшем изменении? Изменение происходит в файлах с которых снимается fingerprint и в отсутствии VPN соеденения -- тогда думаю, да,
теряет, но не фиг критическую конфигурацию самому менять на корпоративном же компьетере. Кроме того, если уж так горит, можно и out-of-band синхронизировать fingerprint.
(Reply) (Parent) (Thread)
[User Picture]From: _slw
2011-05-28 08:05 pm (UTC)
а где ты нашел authenticated client?
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: xsaper
2011-05-28 08:54 pm (UTC)
А что за business reason заиметь сырой Internet в жопе мира? ИТ-шники не в счет.

BTW Direct Access хуже дерьма, хотя бы потому, что Microsoft его поддерживает только в конфигурации, когда клиенты получают IPv6 адреса.
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
[User Picture]From: arkanoid
2011-05-28 07:31 pm (UTC)
В таком нелепом виде -- "просто взять и отдать"?
(Reply) (Parent) (Thread)
[User Picture]From: msh
2011-05-29 03:58 am (UTC)
Э-э-э, я не понял, а как оно там устроено? Я всегда думал что на сервере нет вообще ничего, что можно украсть и с помощью этого генерировать пароли, сервер может только проверить пароль. ну то есть в токене есть f(time, secret key) = token, а в сервере - g(token, public key, time) = true or false
(Reply) (Thread)
[User Picture]From: arkanoid
2011-05-29 10:02 am (UTC)
a) вероятно, нет, там shared seed

b) что вообще за гранью добра и зла, копия этого seed'а непонятно зачем хранилась у RSA!
(Reply) (Parent) (Thread) (Expand)