информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / law
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Менты и Управление "Р" - немного размышлений... 21.05.02 01:11  Число просмотров: 4451
Автор: bdy Статус: Незарегистрированный пользователь
<"чистая" ссылка>
[Часть первая ;)]

[...]
> это уже не по теме форума, тем не менее.
> умение проводить аналогии - полезно. но использовать в качестве
> доказательства - моветон.

Моветон, говоришь? ;)

ты> [...] и мало кто может оценить качество софта/услуги. посему введено ты> обязательное лицензирование деятельности по проектированию и
ты> производству криптосредств [...] по аналогии с магазином: и продавец
ты> должен иметь сан. книжку, и колбаса - сертификат СЭС.
еще ты> hint: сертифицированный замок можно поставить на картонную
еще ты> дверь. и ругать разработчиков замка.
и еще> [...] это был не SecretNet, другое изделие, н осути не меняет... ;)
опять ты, аналогия с личным жизненным опытом> знаешь, сколько мне
опять ты> приходилось возить фейзом по клавиатуре разработчиков
опять ты> доморощенных защит системы "рулез немерянный,
опять ты> самособранный"?

Это только очевидные, употребленныетобойв сходных обстоятельствах, аналогии (далеко не все, надо полагать). Надеюсь, ты таки найдешь в себе силы одолеть учебник философии (гносеологии) и мне не придется углубляться в оффтопичный ликбез ;-\

>> >> ... сильно смахивающая на аффилированную структуру
>> >> органам же запрещено напрямую торговать ...
>> > не угадал ;)
>> Я и не гадал.

> т.е. ты обвиняешь контору в аффилированности.

"сильно смахивающая" это не обвинение. Это мнение пообьективнотруднодоказумому вопросу.

> это надо делать аргументировано, или не делать вообще, в противном
> случае,

Я свои аргументы привел. При этом отнюдь не пытался выдать свои выводы за истину в последней инстанции (подтвержденные факты).

> это смахивает на клевету.

Так что, как говорится, мимо тазика.

[...]

>> опровержения изначального тезиса (о том, что "Р" -- "это
>> хорошие/очень хорошие/лучшие [...] специалисты в области
>> безопасности") достаточно сертифицированности SN и
>> использования ее в серьезных (вроде как) проектах типа
>> "Выборов".

> давайте, мух и котлеты отдельно?
> уровень квалификации "Р" ну никак не связан с характеристиками SN и
> уровнем ее разработчиков.

На мой взгляд связаны: незаметно, чтобы "Р" каким-либо образом противодействовало сертификации и впариванию сей очевиднейшей туфты (втч государственным организациям, втч для значимых проектов типа ГАС "Выборы") / способствовало направлению ее разработчиков на путь истинный. Т.е. они, очевидно, не видят вопиющих плюх, дилетантского дизайна -> их собственный уровень невысок.

>> Ну невозможно же поверить в то, что они а) не в курсе б) в
>> белых фраках, хотя коллеги из других госструктур того же
>> уровня по уши в дерьме ...

> м-да. весна ;)

Ты с чем-то не согласен или просто не понял?

>> >> 1. Из песни слова не выкинешь -- были пальцы
>> насчет ГАС
>> >> "Выборы", были (и есть) всевозможные сертификаты
>> > у кого? ;)
>> У НИП "ИНФОРМЗАЩИТА". На SN. От Гостехкомиссии, МинОбороны

> медленно и печально идем изучать систему сертификации.

Медленно и печально обьясняем, причем тут система сертификации.

> hint: сертифицированный замок можно поставить на картонную дверь. и
> ругать разработчиков замка.

Разве я где-то выводил слабость SN из подобных случаев?

>> И в чем же ты видишь принципиальные изменения (кроме
>> ролевой модели, базирующейся, судя по описанию, на все той
>> же импотентной схеме ~восьмилетней давности) ?

> если ты путаешь дискретную и мандатную системы, то объяснить
> сложно...

Я не путаю (с чего ты взял?). Мандатную систему я здесь вообще [еще] не рассматривал -- она, IMNSHO, нужна лишь узкому кругу клиентов, особенно в том виде, в каком она присутствует в SN.

>> Впрочем, думается, теоретически это вполне можно проделать
>> прямо в форуме.

> Ну так ты бы и обрисовал для начала "в общих чертах", как ты себе
> представляешь защиту этого дела на самописных скриптах и примочках.

Я и не предлагалэтозащищатьисключительно"на [...] скриптах и примочках".

Вотмойтезис:

> Для тех времен: filelock от Е.Музыченко, dprot (не помню уже чей).
> Для нынешних: BestCrypt, RSBAC, tripware (ну и встроенные средства).
>
> Да, разумеется, это только основные подсистемы -- остальное при
> необходимости
> довешивается в ходе настройки на конкретном обьекте, благо что при
> правильном дизайне многие из фич этого монстра обеспечиваются
> скриптами / утилитками на несколько десятков строк.

В filelock и т.п. ACL-схемах пользователь также не имеет прав на доступ к данным, ему позволено только запускать интерфейсную программу (ну и прочий нужный ему софт из установленного на машине). Интерфейсная же программа обьявляется "привилегированной" (исполняющейся с правами, отличными от прав запускающего ее пользователя), с предоставлением ей доступа к файлам БД:
---- filelock.doc ----
Раздел привилегированных программ


Описание каждой программы в разделе начинается с ключевого
слова %Program:
[...]
На следующих строках могут перечисляться полномочия прог-
рамм по отношению к другим файлам/каталогам, логическим/физи-
ческим секторам, аналогично правилам общего раздела.
[...]
Раздел пользователей


Описание каждого пользователя в разделе начинается с клю-
чевого слова %User:

%User <Имя> 00000000
[...]
Вслед за строкой %User перечисляются полномочия пользова-
теля, как в предыдующих разделах.
[...]
S - поиск файлов, запрос атрибутов
E - исполнение программ
R - чтение файлов
W - запись файлов
C - создание файлов/каталогов
D - удалением файлов/каталогов
---- Пример: ----
%User operator 00000000
c:tools se
d:db s ; optional?
d:db\db_iface.exe e
...
%Program d:db\db_iface.exe
d:db scdrw
---- cut ----

В NT встроены сходные возможности (начиная с Win2K -- поддержка на уровне GUI).

В *nix-схеме такое делается через set[ug]id враппер к интерфейсной программе (если она сама не поддерживает переключения), права на собственно данные даются только соответствующему псевдопользователю.

> Я ведь не знаю, какая степень подробности тебе нужна...

Не проблема -- уточним в процессе. Я же тоже не знаю, с какой степенью подробности описывать тебе задачу ...

>> Итак, имеется БД и интерфейсная программа к ней. Доступ к
>> БД должен осуществляться исключительно через эту программу,
>> которая производит необходимые специфичные проверки
>> вводимой информации, оперируя закрытыми для оператора
>> данными, [отчасти] хранимыми локально (в той же БД).

> Разработчик этой байды - имбецил?

1. Да хоть бы и да. Для "давно используемого виндозный софта" это скорее правило, чем исключение ;(
2. Ну зачем же так грубо о SN-щиках? ;) Я, разумеется, не их имел в виду, но в SN тоже есть БД с такими характеристиками ...

>> Работа с БД -- не единственная обязанность пользователя.
>> Для обеспечения других выполняемых им задач на машине стоит
>> масса других программ, включая архиваторы, редакторы, шелл
>> ("интерпретатор команд", если угодно). Кроме того, по роду
>> деятельности, этому пользователю необходимо обмениваться
>> данными с внешним миром. Т.е внешние (отчуждаемые) носители
>> доступны как на чтение, так и на запись. С точки зрения
>> исполняемого кода среда замкнутая.
>>
>> С тебя описание (в общих чертах) конфигурирования SN.

> Какие проблемы?
> Завести юзеров с разными правами. "Базнику" дать доступ к базе только
> через приложение, не давать доступа к левым ресурсам/тулзам.
> Остальным - дать доступ к нужным ресурсам, не давать доступ к
> базе/приложению.

_КАК_ в SN "дать доступ к базетолько_через_ приложение"? Цитату из документации и пример, please (Господи, неужели сейчас хотя бы по одному пункту ты скажешь что-то конкретное?;)
На всякий случай: реальных пользователей там только два -- оператор и администратор, и ограничивать последнего запуском только одного приложения в каждый момент времени неприемлимо: та интерфейсная БД-программа и прочие запускаемые им софтины (из числа разрешенных, разумеется) должны иметь возможность работать параллельно.

> Хотя, если эта базанастольковажна, я бы ее вынес на отдельный комп
> и закрыл тем же "Соболем".

Это не всегда возможно / оптимально. Втч по соображениям важности информации в БД.

> Собственно, защиту чего угодно начинают с планирования, т.е.
> составляют план доступа к ресурсам, а потом смотрят, чем реализовать.

Угу.

> Ты не сделал первого шага,

BTW, мое изложение покрывает намного больше аспектов, чем твоя аналогичная попытка ниже (в вопросе о стойкости программной защиты).

> а предлагаешь мне набросать реализацию?

Нет. Я тебе предлагаю всего лишь изложить идею таковой через функциональность SN. Выше приведен пример для filelock (можно я обойдусь без примера и цитат из документации для *nix и NT? Спасибо;)

> Так для этого ты не дал исходных данных ;)

Тебе что-то непонятно? Я разжую, не впервой ... ;-\

> Не говоря уже о том, что это и есть та часть работы, которая требует
> квалификации безопасника - дальнейшую реализацию может сделать
> любой технарь. И она, как правило, дороже остальных ;)

Мне не нужна реализация. Она у меня есть, причем для куда более сложных случаев реальной жизни. Здесь приведен рафинированный, максимально упрощенный пример, призванный показать потенции обсуждаемого продукта в одном из аспектов. В том же ключе ожидается твой ответ.

>> > платы я в свое время снимал "защиту от изъятия
>> аппаратной части" за 7
>> > минут ;) это был не SecretNet, другое изделие, н осути
>> не меняет... ;)
>>
>> Еще одно доказательство ламерства SN-щиков ...

> да ну? ну-ка, г-не "не-ламер", порази концептуальной идеей, как сделать
> защиту от изъятия, которую не обойдешь? ась?

Защиты, "которую не обойдешь" не существует. Но сделать программную защиту прочнее, чем на "7 минут" вполне можно.
Например, прозрачным [де]шифрованием раздела целиком, начиная c MBR (пролонгированного). После загрузки ядра ОС оно, естественно, "подхватывает" эту функциональность.
На уровне приложений -- шитый код (некоторые разновидности прям как специально созданы для этих целей) с использованием данных, хранимых на том, что изьято, ну и с перекрестными проверками на целостность, само собой. Можно и пошифровать код (помодульно, с расшифровкой, естественно, только по обращению, ключ брать все оттуда же).

> вот и не надо извращать тезис.

Взаимно -- я разве где-то претендовал на знание "как сделать защиту [...], которую не обойдешь"?

> чисто программная защита обьходится по определению...

Любая защита теоретически обходится. Вопрос только в том, стоит ли защищаемый обьект требуемых усилий. "7 минут" это, в твоей терминологии, "курятник, который никому не нужен как Неуловимый Джо". Можно спорить, нужна ли программная защита от изьятия как таковая, но "7 минут" это столь низкий уровень защиты, что кроме как для "курятников" его можно считать несуществующим вовсе. Заявлять о наличии таковой -- либо обман (довольно таки бессмысленный в такого рода вещах), либо добросовестное заблуждение, равно недопустимое для специалиста.

>> > м-да. rsbac на винде - мсье знает толк в половых
>> извращениях ;))
>>
>> Отчего же "извращениях"-то (особенно сравнивая с SN)?

> оттого, что Rsbac - RULE SET BASED ACCESS CONTROL, разработанная
> исключительно под линукс.

Под "разработанная исключительно под линукс" надо понимать "дизайн базируется на специфике линукс" или что-то иное?

> что-то я не слышал про ее портирование на винду.

Из этого, что, следует извращенность? ;)

>> > а dprot - даже не замочек от честных людей, а
>> шпингалет. даже на то
>> > время...
>>
>> Возможно, я его с чем-то попутал ... времени-то сколько
>> прошло ... Ленты ворошить лень ...
>> Разумеется, в сколь-нибудь серьезных задачах я такого рода
>> (шифрование "на лету") утиль не использовал. Просто ничего
>> бОльшего SN не представляет -> аналогии проводить не с
>> чем.

> мсье, вы бредите. "такого рода утиль" - dprot? и там было шифрование на
> лету?

Это Вы бредите -- да, dprot (втч) осуществляет прозрачное ("на лету") шифрование. Так что, оказывается, это не я попутал ...

> а после заявления, что СН предоставляет только это, я не поверю, что
> документация прочитана хотя бы по диагонали...

Контекст намерено игнорируем?
SN предоставляет что-нибудь кроме "шифрования данных на диске" для прозрачной работы с даннми, которым в некриптованном виде дозволено находиться лишь в ОЗУ?

>> > какие, в %опу, скрипты на винде?! мы ничего не путаем?
>>
>> На этот раз нет. Скрипты на "родном" cmd, 4nt, tcl, perl.
>> Портированное по принципу минимальных затрат -- на bash.
>> Разумеется, не все так элегантно, шустро и ловко, как в
>> родной среде, но для данных целей в большинстве случаев
>> вполне приемлимо.

> "скрипты на cmd" - единственная родная вещь. хотя, не разгонишься там
> сильно. все остальное - привнесенное, со всеми вытекающими
> (разработчик интерпретатора накосячил, плюс разработчик скрипта, да
> все это вместе никто не проверял независимо...).

Во-первых, почему же "никто не проверял независимо", а во-вторых, использование тех или иных привнесенных(*) приложений (модулей) / собственноручно сделанных настроек (не суть важно каким способом -- главное, чтобы адекватным) само по себе не плохо и не хорошо -- зависит от того, _что за приложения (модули) / настройки_,ктоикаких применил. Они вполне могут и улучшить исходную среду, исправить "косяки" от производителя ОС / прикладных программ, для чего, собственно, вся эта открытость (модульность) и предназначена ...

(*) jfyi: виндовсы содержат преизрядное количество кода, заимствованного у не-MS-овских разработчиков.

>> > не, можно, конечно и зайца научить курить, но зачем?
>>
>> Ровно затем же, зачем и весь этот виндовс вообще. См. ниже
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> вы не любите виндовс? ;) а может, просто не умеете готовить? ;)

Судя по Вашей реакции на вопрос о применении скриптов, это _у Вас_ проблемы с его использованием на уровне выше минимиального ;-\
Впрочем, она и с униховой стороны Вас характеризует не лучшим образом:

>> я - не против. только вот разработчики не торопятся. посему
>> приходится, матерясь сквозь зубы, пытаться делать из винды юникс.

Так "юникс" (пусть и сделанный "из винды") Вам представляется без скриптов?
Без привнесенных программ? Ну кроме SN, для которого Вы почему-то сделали исключение, хотя к *nix он имеет примерно такое же отношение, как и, например, DOS ;)
На что ж он в таком случае годен-то будет (если исключать привнесенное на том же уровне -- MS вон доказывает, что это чуть ли не невозможно)?

> мы ведь о ситуации, когда нет возможности пользоваться юникс, и надо
> защитить задачу на винде.

Здесь -- да. А я в подчеркнутом разве возражал? Разве "надо защитить задачу на винде" каким-то образом противоречит использованию скриптов для этой цели?

>> твой же собственный пассаж про "давно используемый
>> виндозный софт". Если уж взялись его поддерживать, и не
<law>
Продолжение!:) 18.03.02 10:01  
Автор: Miraclе Статус: Незарегистрированный пользователь
<"чистая" ссылка>
А вот и продолжение недавней моей истории:
Со мной повестку в военкомат получил мой друг и мы с ним в тот раз вместе ходили и вместе смылись оттуда не пройдя мед.ком.
Теперь ему пришла повторная повестка в военкомат с пометкой "повтор". Это напоминая при том, что мы еще только заканчиваем учебу.
Однако настойчивые они:(((

з.ы.
Мне еще не приходила, но кто знает:(((
Теперь кстати интересная картина получается. Нам вручили повестки на призывную, но мы нигде не подписывались и конечно идти не собираемся.. вот и думали, что военкомат успокоится, а они вот как. Давят до последнего:( И я так понимаю как только мы не прийдем за нами начнут охоту.
Стремно! особенно после того как у меня блат обломался в "некоторые" органы:(((

Лирика: а так хочется пивка попить на свежем воздухе..
Продолжение!:) 24.03.02 07:47  
Автор: zonny <Sasha> Статус: Member
<"чистая" ссылка>
Надо было в Академию ФСБ идти
совет 19.03.02 05:02  
Автор: йцукенг <jcukeng> Статус: Member
<"чистая" ссылка>
иди в менты.
тем кто после вуза присваивают лейтенанта.
может, будешь по профилю работать:)
В менты так просто не возьмут. 08.04.02 10:41  
Автор: PS <PS> Статус: Elderman
<"чистая" ссылка>
после кризиса 98г. поехала моя крыша от полного безденежъя. Моя знакомая работала в ментовке, через нее подел заявление, прошел собеседование, психологический тест и т.д. Осталось пройти мед комисию. И тут началось. Во первых ездить прешлось на другой конец Москвы, работают эти врачи всего пол дня, народу у них... вообщем лучше приезжать часа за 2 до начала. Но это еще не проблеммы. Проблеммы у самих врачей. Шел я для работы в компьютерном отделе, а медики смотрели так, как будто я на должность спец агента иду.
Очень понравилось у ухагорлоноса. Кабинет абсолютно не звукоизоляционный. Шум стоит жуткий. Поставила меня еще около двери (а в коредоре гвал стоит) и давай мне что то там шептать (а у нее еще окошко открыто, шум от машин с улици). Есно я ничего не слышу. Ну говорит со слухом у вас проблеммы. Так и записала. Я потом в нормальную клинику сходил, деньги заплатил (это потом уже было), так там мне заявили, что такой великолепный слух еще поискать надо. Так вот.
У терапевта прикольно было. Молодая женщина подходит в плонтую, а под халатом ничего нет... а груди у нее... и начинает мне сердце слушать... "а что это - говорит - оно у Вас так стучит ?" Действительно с чего бы это ? Давление мне померила, естественно оно зашкалило... вообщем не прошел я мед комисию. И слава богу.
Да... Тыб пригласил этого терапевта на ужин... 08.04.02 13:37  
Автор: GorynYch Статус: Member
<"чистая" ссылка>
дЫк.. 19.03.02 10:03  
Автор: Miraclе Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> иди в менты.
> тем кто после вуза присваивают лейтенанта.
> может, будешь по профилю работать:)

дЫк работаю над этим:) Пробиваю управление "р":)))
А что, можно без армии в менты??? 19.03.02 15:59  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
Да. Армия нужна для поступления в сержантскую школу 22.03.02 22:50  
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
<"чистая" ссылка>
можно, только... 19.03.02 19:22  
Автор: йцукенг <jcukeng> Статус: Member
<"чистая" ссылка>
1. берут не всех, например, наркоманы и пидоры там не нужны:)
2. з/п очень маленькие, в Москве, говорят, побольше - Лужков доплачивает.
3. уволиться - сложно, найти работу после работы в милиции - тоже проблематично
4. характер портится.
так что еще не факт, что армия хуже. бандформирования есть не только в Чечне, в Москве их тоже больше чем хотелось бы.
можно, только... 20.03.02 17:40  
Автор: Miraclе Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> 1. берут не всех, например, наркоманы и пидоры там не
> нужны:)
Хмм... странно тада как туда наркоманы попадают!?:)))
Кстати мед комиссию а можно все же пройти!

> 2. з/п очень маленькие, в Москве, говорят, побольше -
> Лужков доплачивает.
ИМХО не одной зарплатой жив мент:))

> 3. уволиться - сложно, найти работу после работы в милиции
> - тоже проблематично
Почему проблематично?
Уволиться?
Безпроблем! Подписываешь сначала контракт на 5 лет...работал - свободен!

> 4. характер портится.
> так что еще не факт, что армия хуже. бандформирования есть
> не только в Чечне, в Москве их тоже больше чем хотелось бы.
Бандитов бояться - на улицу не ходить!
можно, только... 20.03.02 19:51  
Автор: йцукенг <jcukeng> Статус: Member
<"чистая" ссылка>
> ИМХО не одной зарплатой жив мент:))
таких сажают. и, думаю, в "Р" таких очень мало. тем паче, лейтенантов.
ps. на "зоне" к бывшим сотрудникам МВД относятся с особой нежностью, если все же устроишься, взятками особо не увлекайся:).
Для мнтов существуюст спец. тюрьмы, где сидят только МВДшники 06.04.02 10:45  
Автор: GorynYch Статус: Member
<"чистая" ссылка>
Всем известный факт.
И встречный вопрос: а что все менты отслужили?:))) 19.03.02 18:43  
Автор: Miraclе Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Можно! Ябы даже сказал нужно.. при поступлении на службу дело изымается из военкомата!
Блин народ ну вы не ох**ли? :E 20.03.02 20:20    Штраф: 10 [Glory]
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
<"чистая" ссылка>
Мля он на ментовскую зарплату и за инет не расплатиться. Есть другой вариант(не проверял, не знаю точно) - после 1-го окончания универа поступаешь на какой-нибудь саксный факультет не менее засратого института и получаешь отсрочку на 6 лет - за это время можно много что придумать. С докторами дело не пройдет - раз в полгода по новым законам ты должен пройти медосмотр(даже если у тебя нет ноги или руки). Вообще тебе опять же надо получить отсрочку. А там уж и альтернативка утвердиться...
Менты и Управление "Р" - немного размышлений... 22.03.02 20:11  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Мля он на ментовскую зарплату и за инет не расплатиться.

Я тут не совсем понял: разговор идёт о ментах или всё-же Управлении "Р"?

Если о ментах - то компьтеры и инет им нужны как сисадмину жезл, а если о управлении "Р", о коем изначально и была речь - то это ИМО не менты.
Туда берут не после Школы Милиции, это хорошие/очень хорошие/лучшие (нужное подчеркнуть) специалисты в области безопасности, конечно не всмысле запускания эксплоита под Апачи итд.
Например в одном крупном российском городе организовали на физическом факультете курс "Компьютерная Безопасность", который курирует ФСБ.
Конкурс там был ТААААКОЙ!
Блата и взяток, которые обычно всегда присутствуют, не было,оченьсерьёзные люди ничего не смогли сделать - брали дучших.
Из физ-мат школы, которая где-то 3-4-ая в России туда попали пара человек, один победитель разных там областных олимпиад, не хакер но отличный математик и физик.
Он быстро научился программировать, если будет надо, за месяц выучит всё для раздела hacking.
У меня возникает смутные догадки, что их будущим работодателем может оказаться "Р".
И ещё мне кажется, что на интернет им хватит, и не только себе но и своему дому.
По выделенке.
На оборонке в России не экономят - "cyberwar" aka Information Warfare это реально, а уровень развития таких стран как США и Китай в этой области довольно высок.
Ракеты и танки уже не так актуальны, а вот когда выкрадут чертежи атомной подводной лодки или взломают центр ПВО установок будет не до смеха.
Так вот чтобы не было этого "будет" люди и работают.

P.S. А что, ни у кого нет знакомых работающих/в перспективе в управлении "Р" и им подобным?

Борис.
Менты и Управление "Р" - немного размышлений... 29.06.02 01:27  
Автор: 123mitya Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> P.S. А что, ни у кого нет знакомых работающих/в перспективе
> в управлении "Р" и им подобным?

Для того, чтобы служить в разных *CБ , кроме прочего, вам нужна рекомендация от уже служащего в этом самом *СБ или от нач. секретного отдела вашей воинской части.

Это раз.

Окончание ВУЗа со специальностью типа "Защита информации" (если не ошибаюсь, 2208) никак не связана в перспективе с вашим поступлением на службу в *СБ.

Это два.

А где работать потом с такой специальностью, после ВУЗа, чтобы по специальности работать ? Сис. админом ? В банке?

О какой "защите информации" вообще идет речь, когда в любой банк могут приезхать, например, чиновники от ЦБ и выгрестивсюлюбую документацию и электронную документацию проверяемого банка?

Не смешите мои тапочки.
Менты и Управление "Р" - немного размышлений... 01.07.02 07:58  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> О какой "защите информации" вообще идет речь, когда в любой
> банк могут приезхать, например, чиновники от ЦБ и выгрести
>всюлюбую документацию и электронную документацию
> проверяемого банка?
>
> Не смешите мои тапочки.

тапочки у кого-то слишком смешливые. если банк - не курятник однодневный, управляющего и юриста нанимали не на вокзале - никто ничего не выгребет, как краевед говорю ;)
это во-первых ;)
а во-вторых, в модели угроз банка приоритеты выглядят несколько по- другому, поэтому владельцу смешливых тапочек хочется посоветовать рассуждать о предмете после некоторого знакомства с ним.

информацию в банках защищать можно и нужно. в том числе и от слишком ретивых чиновников из ЦБ/налоговой. применяются для этого и технические, и юридические методы. судя по учебным планам специальности "ЗИ" необходимые знания студентам даваться должны. к сожалению, оценить пока не довелось - не общался с выпускниками...
Менты и Управление "Р" - немного размышлений... 06.07.02 17:33  
Автор: 123mitya Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > О какой "защите информации" вообще идет речь, когда в
> любой
> > банк могут приезхать, например, чиновники от ЦБ и
> выгрести
> >всюлюбую документацию и электронную документацию
> > проверяемого банка?
> >
> > Не смешите мои тапочки.
>
> тапочки у кого-то слишком смешливые. если банк - не
> курятник однодневный, управляющего и юриста нанимали не на
> вокзале - никто ничего не выгребет, как краевед говорю ;)
> это во-первых ;)
> а во-вторых, в модели угроз банка приоритеты выглядят
> несколько по- другому, поэтому владельцу смешливых тапочек
> хочется посоветовать рассуждать о предмете после некоторого
> знакомства с ним.

Только от самих себя и защищают. Касаемо защиты от чиновников - это просто смешно, либо вы работаете не в российском банке.
Менты и Управление "Р" - немного размышлений... 08.07.02 09:17  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Только от самих себя и защищают. Касаемо защиты от
> чиновников - это просто смешно, либо вы работаете не в
> российском банке.
именно в российском. самом обычном, коммерческом. а до этого работал в ЦБ. так что проблему знаю с обеих сторон, и повторю еще раз: если юриста и управляющего нанимали не на вокзале, то беспредела не будет, все четко по закону.
кстати, эта тема (доступ ЦБ, налоговой и т.п. к банковской инфе о клиентах) почти постоянно обсасывается в юридическом разделе форума www.bankir.ru. рекомендую зайти, там масса интересного ;)
Менты и Управление "Р" - немного размышлений... 23.03.02 16:48  
Автор: bdy Статус: Незарегистрированный пользователь
<"чистая" ссылка>

> Если о ментах - то компьтеры и инет им нужны как сисадмину
> жезл,

Дай-то Бог, чтобы они тоже так думали ...

> а если о управлении "Р", о коем изначально и была
> речь - то это ИМО не менты.
> Туда берут не после Школы Милиции, это хорошие/очень
> хорошие/лучшие (нужное подчеркнуть) специалисты в области

Кгм ... Я не шибко разбираюсь в структуре этих структур ;), но ребята,
которые сделали SecretNet (по их словам, обеспечивающий защиту АРМ ГАС "Выборы") -- ламеры перворазряднейшие. Нахватались по верхам, толком ничего не поняли из мимолетом увиденного, и изобрели свой велосипед, существенно уступающий уже имевшемуся на тот момент freeware / shareware софту.

> безопасности, конечно не всмысле запускания эксплоита под
> Апачи итд.
> Например в одном крупном российском городе организовали на
> физическом факультете курс "Компьютерная Безопасность",
> который курирует ФСБ.
> Конкурс там был ТААААКОЙ!

В моем родном городе (>1млн населения) тоже не так давно открыли подобное, тоже на физфаке, тоже с огромным конкурсом, курируемый теми же (неофициально обещано трудоустройство в эту славную организацию, разумеется только "лучшим выпускникам";). Мой знакомый туда поступил. Первый год был занят в основном лекциями про то, какие бяки американцы и как нужно Родину любить ;)

> Блата и взяток, которые обычно всегда присутствуют, не
> было,оченьсерьёзные люди ничего не смогли сделать -
> брали дучших.

Не знаю, не знаю, тот мой знакомый ничем таким особенным на самом деле не выделялся. И я, честно говоря, сомневаюсь, что из него получится специалист выше среднего уровня -- склад ума не тот.

> Из физ-мат школы, которая где-то 3-4-ая в России туда
> попали пара человек, один победитель разных там областных
> олимпиад, не хакер но отличный математик и физик.
> Он быстро научился программировать, если будет надо, за

На том уровне, на котором можно "быстро научиться программировать", можно быстро и математику с физикой выучить ;)

> месяц выучит всё для раздела hacking.

Hacking -- это стиль жизни, состояние души, если угодно. "Выучить" (тем более "все") его невозможно.
Поднатаскаться на cracking -- можно, но за месяц не более, чем на применение готовых эксплойтов.

> У меня возникает смутные догадки, что их будущим
> работодателем может оказаться "Р".
> И ещё мне кажется, что на интернет им хватит, и не только
> себе но и своему дому.
> По выделенке.
> На оборонке в России не экономят - "cyberwar" aka

К деньгам нужно еще и голову приложить. Свободную от предрассудков и собственной же идеологической лапши.

> Information Warfare это реально, а уровень развития таких
> стран как США и Китай в этой области довольно высок.
> Ракеты и танки уже не так актуальны, а вот когда выкрадут
> чертежи атомной подводной лодки или

Вы сами себе противоречите.

> взломают центр ПВО установок будет не до смеха.

Угу. По -дцатому разу это уже не смешно.

> Так вот чтобы не было этого "будет" люди и работают.

Для того, чтобы "не было этого" нужно просто выгнать нахрен того "специалиста", что воткнул его в общедоступный бэкбон.
1  |  2  |  3 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach