Jump to content
Forum Kopalni Wiedzy

Recommended Posts

Ujawniony właśnie kwietniowy raport Inspektora Generalnego Departamentu Obrony wykazał, że amerykański System Ochrony Rakietami Balistycznymi (BMDS) jest pełen dziur. Okazało się, że dane przekazywane przez system nie są szyfrowane, nie zainstalowano żadnego oprogramowania antywirusowego, brak jest wielostopniowych systemów uwierzytelniających, znaleziono za to dziury liczące sobie... 28 lat.

Raport powstał na podstawie audytu w pięciu przypadkowo wybranych miejscach, w których Missile Defense Agency (MDA) umieściła części wspomnianego systemu. BMDS ma za zadanie bronić terytorium USA przed atakiem atomowym. Z opublikowanego właśnie raportu dowiadujemy się, że Armia, Marynarka Wojenna i MDA nie chronią sieci i systemów, które przetwarzają, przechowują i przesyłają informacje techniczne BMDS.

Osoby prowadzące audyt znalazły kilka problemów, a największy z nich był związany z uwierzytelnianiem się. Przepisy mówią, że każdy nowo zatrudniony pracownik MDA otrzymuje nazwę użytkownik i hasło dające mu dostęp do sieci BMDS. Dodatkowo dostaje też kartę dostępu, którą powinien aktywować i używać równolegle z nazwą użytkownika i hasłem jako drugi stopień uwierzytelniania. Procedury mówią, że wszyscy nowi pracownicy MDA muszą korzystać z wielostopniowego uwierzytelniania najpóźniej w ciągu dwóch tygodni od podjęcia pracy. Inspektorzy odkryli jednak, że w 3 na 5 badanych instalacji pracownicy nie używali dwustopniowego uwierzytelniania. Posługiwali się wyłącznie hasłami. Jeden z pracowników robił tak od... 7 lat, a w jednej z instalacji sieć nigdy nie została skonfigurowana pod kątem dwustopniowego uwierzytelniania.

Okazało się również, że w 3 zbadanych instalacjach administratorzy systemu nie aktualizowali oprogramowania. Znaleziono w nim dziury, dla których łaty istnieją od 2013 roku, a nawet dziury z roku 1990.

Innym problemem był brak fizycznych zabezpieczeń. W dwóch instalacjach szafy z serwerami nie były zamknięte i łatwo było uzyskać do nich dostęp. Zatem gość, osoba odwiedzająca czy w końcu szpieg umieszczony przez wrogi kraj, mógł z łatwością podpiąć do serwera urządzenie ze złośliwym oprogramowanie. Gdy jednej z osób odpowiedzialnych za bezpieczeństwo zwrócono uwagę na otwarte szafy serwerów, ta odpowiedziała, że nie wiedziała, iż należy je zamykać, a poza tym do serwerowni i tak jest ograniczony dostęp. W innej bazie szafa nie była zamykana, pomimo tego, iż miała zainstalowany mechanizm ciągle informujący, że należy ją zamknąć.

Kolejnym problemem był brak szyfrowania danych na urządzeniach przenośnych. Pomiędzy bezpiecznymi sieciami, które nie są ze sobą w żaden sposób połączone, dane są przenoszone ręcznie na fizycznych nośnikach. Okazało się, że w trzech lokalizacjach nie były one szyfrowane. Odpowiedzialni za bezpieczeństwo stwierdzili, że to wina systemu, który nie ma ani możliwości ani odpowiednich zasobów, by szyfrować dane, oni nie dostali pieniędzy na systemy szyfrowania danych i używają oprogramowania, które nie zawsze spełnia wymagania Pentagonu. W jednej z baz osoby odpowiedzialne za bezpieczeństwo przyznały, że nie wiedziały, iż takie dane należy szyfrować, w innej stwierdziły, że nie mają nawet oprogramowania, które informowałoby o tym, że pracownik kopiuje jakieś dane, nie mówiąc o tym, że wymagałoby ono szyfrowania.

W jednej z baz nie było ponadto oprogramowania monitorującego sieć pod kątem ewentualnych ataków z zewnątrz.

Menedżerowie odpowiedzialni za bezpieczeństwo tłumaczyli, że winni niedociągnięć są ich przełożeni, którzy – mimo złożonych wniosków – nie przyznali pieniędzy na odpowiedni sprzęt i oprogramowanie.


« powrót do artykułu

Share this post


Link to post
Share on other sites

"winni niedociągnięć są ich przełożeni, którzy – mimo złożonych wniosków – nie przyznali pieniędzy na odpowiedni sprzęt i oprogramowanie."

I to jest to, z czym i ja najczęściej się spotykam. Bo przełożeni często nie mają pojęcia o informatyce, lekceważą wnioski i wydaje im się, że informatycy wymyślają niepotrzebne wydatki. A jak przychodzi co do czego, to konsekwencje nie ponoszą oni, tylko informatycy.

Edited by Sławko
  • Upvote (+1) 1

Share this post


Link to post
Share on other sites
3 godziny temu, Sławko napisał:

Bo przełożeni często nie mają pojęcia o informatyce, lekceważą wnioski i wydaje im się, że informatycy wymyślają niepotrzebne wydatki. A jak przychodzi co do czego, to konsekwencje nie ponoszą oni, tylko informatycy.

Chyba nie całkiem.

Okazało się również, że w 3 zbadanych instalacjach administratorzy systemu nie aktualizowali oprogramowania. Znaleziono w nim dziury, dla których łaty istnieją od 2013 roku, a nawet dziury z roku 1990. Jedyna wina przełożonych polega tutaj na tym, że niedostatecznie mocno trzymali informatyków za twarz!

W innej bazie szafa nie była zamykana, pomimo tego, iż miała zainstalowany mechanizm ciągle informujący, że należy ją zamknąć. Niby przez kogo nie była zamykana, jeśli nie przez olewających bezpieczeństwo informatyków?

Share this post


Link to post
Share on other sites

Normalne :)
Na kwitach łatwo się tworzy supersystemy. Tylko że nie zawsze są środki aby coś zrobić. Nie zawsze jest czas.
Zawsze jakoś to jest :)

Share this post


Link to post
Share on other sites
W dniu 17.12.2018 o 22:23, thikim napisał:

Zawsze jakoś to jest

Pewnie, w przypadku sklepu internetowego, niewielkiego, nieistotnego systemu w przemyśle czy bankowości (może...), ale mówimy o Systemie Ochrony (przed?) Rakietami Balistycznymi największego supermocarstwa. Hmmm...

Share this post


Link to post
Share on other sites

Hmm.
Nie rozumiesz.
Właśnie dlatego że mówimy o " Systemie Ochrony  ..." to:

Zawsze jakoś to jest.

Ty uważasz to za argument przeciw, a ja za argument za.

Rzeczywistość rozstrzyga kto ma rację :)

11 godzin temu, radar napisał:

ale mówimy o Systemie Ochrony (przed?) Rakietami Balistycznymi największego supermocarstwa. Hmmm...

To życzenia (niekoniecznie pobożne) a nie rzeczywistość.

Gdyby to dotyczyło:

"sklepu internetowego" to byłaby istotna sprawa. Sklep źle zarządzany by padł.

A w przypadku państw w zasadzie niewiele rzeczy jest istotne, bo państwo nie tak łatwo zniszczyć.

Socjaliści niszczą dziesiątki państw od dziesiątek lat i poza spektakularnym upadkiem ZSRR to w zasadzie nigdzie im się nie powiodło. Przy czym ZSRR nie tak do końca upadło bo w zasadzie był to nie upadek ale częściowy rozpad połączony ze zmianą nazwy.

Więc jak socjaliści - którzy potrafią sprawić przysłowiowo żeby na pustyni piasek kosztował i był na kartki - nie dają rady to naprawdę mało co da radę zniszczyć państwo.
A na pewno nie parę tysięcy dziur w oprogramowaniu. To są problemy na poziomie administratorów i informatyków, czyli na niskim poziomie.

Edited by thikim

Share this post


Link to post
Share on other sites
49 minut temu, thikim napisał:

"sklepu internetowego" to byłaby istotna sprawa. Sklep źle zarządzany by padł.

Nie sądze :P Są takie sklepy/firmy, które nie padną pomimo znacznych zaniedbań, złego zarządzania, kierownika idioty etc. To jest idealizacja kapitalisty. Polega to na fałszywym wrażeniu, że im ktoś bogatszy, im większą firmą zarządza, im dłużej nią zarządza etc. tym inteligentniejszy lub mądrzejszy ;P "Firma działa 20 lat? Szef musi mieć łeb na karku! ". W pewnych warunkach nie musi. 

Share this post


Link to post
Share on other sites

Tak, ale piszesz o dużym. Z tym zgoda.

A my pisaliśmy o niewielkim.
Duże firmy są podobne do państwa w sposobie zarządzania.

Edited by thikim

Share this post


Link to post
Share on other sites
W dniu 19.12.2018 o 09:53, thikim napisał:

Zawsze jakoś to jest.

Ty uważasz to za argument przeciw, a ja za argument za.

...

A w przypadku państw w zasadzie niewiele rzeczy jest istotne, bo państwo nie tak łatwo zniszczyć.

No, akurat właśnie mówimy tu o rzeczy, która niedopilnowana może (pośrednio) zniszczyć Państwo. Jeśli agresywny przeciwnik znalazłby lukę w systemie, która umożliwiłaby atak bez odpowiedzi wtedy tak, kilkadziesiąt/set głowic może z powodzeniem zniszczyć to Państwo, prawda?

W dniu 19.12.2018 o 09:53, thikim napisał:

Rzeczywistość rozstrzyga kto ma rację :)

Masz rację, że tak jest i ja nie pisałem, że tak nie jest, widać to w badaniu, dziwi mnie to tylko. Może na poziomie jakiegoś admina "jakoś to jest", ale 2, 3 czy 4 poziomy wyżej... Moim zdaniem to nie "jakoś to jest" jest winne, a malowanie trawy na zielono niezależnie od ustroju. Widać to nawet w prywatnych przedsiębiorstwach/korporacjach. "Sukces" musi być.

Takie skecze nie biorą się z niczego :)

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Nowa metoda ataku na procesory Intela wykorzystuje techniki overclockingu. Eksperci ds. bezpieczeństwa odkryli, że możliwe jest przeprowadzenie ataku na procesory i zdobycie wrażliwych danych – jak na przykład kluczy kryptograficznych – poprzez manipulowanie napięciem procesora.
      Nowy atak, nazwany Plundervolt, bierze na celownik Intel Software Guard Extensions (SGS). To zestaw kodów bezpieczeństwa wbudowanych w intelowskie CPU. Celem Intel SGX jest zamknięcie najważniejszych informacji, takich właśnie jak klucze, w fizycznie odseparowanych obszarach pamięci procesora, gdzie są dodatkowo chronione za pomocą szyfrowania. Do obszarów tych, zwanych enklawami, nie mają dostępu żadne procesy spoza enklawy, w tym i takie, działające z większymi uprawnieniami.
      Teraz okazuje się, że manipulując napięciem i częstotliwością pracy procesora można zmieniać poszczególne bity wewnątrz SGX, tworząc w ten sposób dziury, które można wykorzystać.
      Naukowcy z University of Birmingham, imec-DistriNet, Uniwersytetu Katolickiego w Leuven oraz Uniwersytetu Technologicznego w Grazu mówią: byliśmy w stanie naruszyć integralność Intel SGX w procesorach Intel Core kontrolując napięcie procesora podczas przetwarzania instrukcji w enklawie. To oznacza, że nawet technologia szyfrowania/uwierzytelniania SGX nie chroni przed atakiem Plundervolt.
      Intel zaleca aktualizacje BIOS-u do najnowszych wersji.
      Przeprowadzenie ataku nie jest łatwe. Znalezienie odpowiedniej wartości napięcia wymaga eksperymentów i ostrożnego zmniejszania napięcia (np. w krokach co 1 mV), aż do czasu wystąpienia błędu, ale przed spowodowaną manipulacją awarią systemu, stwierdzają odkrywcy dziury. Naukowcom udało się doprowadzić do takich zmian w SGX, że stworzyli dziury umożliwiające zwiększenie uprawnień i kradzież danych.
      Do przeprowadzenia ataku nie trzeba mieć fizycznego dostępu do komputera, jednak by zdalnie zaatakować SGX konieczne jest wcześniejsze zdobycie uprawnień administracyjnych na atakowanym systemie.
      Plundervolt może zostać przeprowadzony na wszystkie procesory Intel Core od czasów Skylake'a, co oznacza, że narażone są Intel Core 6., 7., 8., 9. i 10. generacji oraz układy Xeon E3 v5 i v6, a także Xeony z rodzin E-2100 i E-2200.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Być może już wkrótce bakterie będą wykorzystywane do zapobiegania dziurom powodowanym przez sól drogową.
      Sole drogowe, np. chlorek wapnia, stosuje się, by nie dopuścić do tworzenia się lodu i akumulacji śniegu. Przyczyniają się one jednak również do powstawania uszkodzeń nawierzchni drogi. Są one powodowane przez reakcje zachodzące z betonem i wodą z lodu i śniegu. W ich wyniku powstaje podchloryn wapnia (CAOXY), który infiltrując nawierzchnię drogi, m.in. odseparowuje kawałki betonu.
      Ostatnio naukowcy z Drexel University wykazali jednak, że niewielka domieszka bakterii w betonie może zapobiegać tworzeniu CAOXY.
      Autorzy raportu z pisma Construction and Building Materials doszli do takich wniosków, badając szczep Sporosarcina pasteurii. S. pasteurii to niezwykłe kalcyfikujące organizmy, które są w stanie indukować reakcję chemiczną prowadzącą do powstania węglanu wapnia (jest on często nazywany cementem natury). Tylko kilka rodzajów bakterii opanowało tę "sztuczkę", nazywaną fachowo biomineralizacją bądź bakteryjnie indukowanym strącaniem węglanu wapnia (ang. microbial induced calcium carbonate precipitation, MICCP).
      W ostatnim dziesięcioleciu S. pasteurii badano pod kątem zastosowania w naprawie pęknięć w pomnikach/zabytkach oraz betonowej infrastrukturze, a także w produkcji ekologicznych cegieł. Akademicy z Drexel University szybko zdali sobie sprawę z tego, że talenty bakterii mogą być całkiem przydatne także w zapobieganiu uszkodzeniom nawierzchni dróg.
      Przyglądaliśmy się produktowi reakcji angażującej te bakterie - kalcytowi - i zdaliśmy sobie sprawę, że sposób, w jaki go wytwarzają, może się przydać do zmieniania kierunku reakcji, która przekształca sól drogową w związek niszczący drogę. Wiedzieliśmy, że by wytworzyć nieszkodliwy kalcyt, S. pasteurii potrzebują chlorku wapnia. Byłoby więc świetnie, gdyby się udało wypracować metodę, aby bakterie były obecne w betonie w odpowiednim momencie i zapobiegły reakcji prowadzącej do degradacji materiału - opowiada dr Yaghoob Farnam.
      Na potrzeby eksperymentu Farnam i dr Christopher Sales przygotowali serię próbek betonu i dodali S. pasteurii. W części próbek znalazły się też składniki odżywcze potrzebne do ich przetrwania. Po 28 dniach ekspozycji na roztwór chlorku wapnia, która miała oddawać miesiąc warunków zimowych, wykonano serię testów. Analizowano integralność strukturalną próbek oraz ilość obecnego CAOXY.
      Badacze przyglądali się wibracjom akustycznym i rozwojowi mikroporów i stwierdzili, że po ekspozycji na chlorek wapnia beton wykonany z dodatkiem bakterii prawie nie ulegał deterioracji.
      W próbkach z bakteriami poziom CAOXY był o wiele niższy; to skutek MICCP. Obecność węglanu wapnia sugeruje, że S. pasteurii można też wykorzystać do wzmocnienia nawierzchni. Wg zespołu, praktyczne zastosowania wymagają jednak dalszych badań.
      Bakterie potrafią zmieniać swoje mikrośrodowisko. Tworzą środowisko z wysokim pH, bo przekształcają związki z pożywki w słabą zasadę [...]. Takie warunki sprzyjają raczej wytrącaniu jonów [...] do węglanu wapnia niż tworzeniu CAOXY - wyjaśnia Sales.
      Ponieważ S. pasteurii występują w naturze i nie są patogenne, mogą być bezpiecznym ekologicznie rozwiązaniem problemu niszczenia wielu dróg.

      « powrót do artykułu
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...