Skocz do zawartości
Forum Kopalni Wiedzy

Rekomendowane odpowiedzi

Ujawniony właśnie kwietniowy raport Inspektora Generalnego Departamentu Obrony wykazał, że amerykański System Ochrony Rakietami Balistycznymi (BMDS) jest pełen dziur. Okazało się, że dane przekazywane przez system nie są szyfrowane, nie zainstalowano żadnego oprogramowania antywirusowego, brak jest wielostopniowych systemów uwierzytelniających, znaleziono za to dziury liczące sobie... 28 lat.

Raport powstał na podstawie audytu w pięciu przypadkowo wybranych miejscach, w których Missile Defense Agency (MDA) umieściła części wspomnianego systemu. BMDS ma za zadanie bronić terytorium USA przed atakiem atomowym. Z opublikowanego właśnie raportu dowiadujemy się, że Armia, Marynarka Wojenna i MDA nie chronią sieci i systemów, które przetwarzają, przechowują i przesyłają informacje techniczne BMDS.

Osoby prowadzące audyt znalazły kilka problemów, a największy z nich był związany z uwierzytelnianiem się. Przepisy mówią, że każdy nowo zatrudniony pracownik MDA otrzymuje nazwę użytkownik i hasło dające mu dostęp do sieci BMDS. Dodatkowo dostaje też kartę dostępu, którą powinien aktywować i używać równolegle z nazwą użytkownika i hasłem jako drugi stopień uwierzytelniania. Procedury mówią, że wszyscy nowi pracownicy MDA muszą korzystać z wielostopniowego uwierzytelniania najpóźniej w ciągu dwóch tygodni od podjęcia pracy. Inspektorzy odkryli jednak, że w 3 na 5 badanych instalacji pracownicy nie używali dwustopniowego uwierzytelniania. Posługiwali się wyłącznie hasłami. Jeden z pracowników robił tak od... 7 lat, a w jednej z instalacji sieć nigdy nie została skonfigurowana pod kątem dwustopniowego uwierzytelniania.

Okazało się również, że w 3 zbadanych instalacjach administratorzy systemu nie aktualizowali oprogramowania. Znaleziono w nim dziury, dla których łaty istnieją od 2013 roku, a nawet dziury z roku 1990.

Innym problemem był brak fizycznych zabezpieczeń. W dwóch instalacjach szafy z serwerami nie były zamknięte i łatwo było uzyskać do nich dostęp. Zatem gość, osoba odwiedzająca czy w końcu szpieg umieszczony przez wrogi kraj, mógł z łatwością podpiąć do serwera urządzenie ze złośliwym oprogramowanie. Gdy jednej z osób odpowiedzialnych za bezpieczeństwo zwrócono uwagę na otwarte szafy serwerów, ta odpowiedziała, że nie wiedziała, iż należy je zamykać, a poza tym do serwerowni i tak jest ograniczony dostęp. W innej bazie szafa nie była zamykana, pomimo tego, iż miała zainstalowany mechanizm ciągle informujący, że należy ją zamknąć.

Kolejnym problemem był brak szyfrowania danych na urządzeniach przenośnych. Pomiędzy bezpiecznymi sieciami, które nie są ze sobą w żaden sposób połączone, dane są przenoszone ręcznie na fizycznych nośnikach. Okazało się, że w trzech lokalizacjach nie były one szyfrowane. Odpowiedzialni za bezpieczeństwo stwierdzili, że to wina systemu, który nie ma ani możliwości ani odpowiednich zasobów, by szyfrować dane, oni nie dostali pieniędzy na systemy szyfrowania danych i używają oprogramowania, które nie zawsze spełnia wymagania Pentagonu. W jednej z baz osoby odpowiedzialne za bezpieczeństwo przyznały, że nie wiedziały, iż takie dane należy szyfrować, w innej stwierdziły, że nie mają nawet oprogramowania, które informowałoby o tym, że pracownik kopiuje jakieś dane, nie mówiąc o tym, że wymagałoby ono szyfrowania.

W jednej z baz nie było ponadto oprogramowania monitorującego sieć pod kątem ewentualnych ataków z zewnątrz.

Menedżerowie odpowiedzialni za bezpieczeństwo tłumaczyli, że winni niedociągnięć są ich przełożeni, którzy – mimo złożonych wniosków – nie przyznali pieniędzy na odpowiedni sprzęt i oprogramowanie.


« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

"winni niedociągnięć są ich przełożeni, którzy – mimo złożonych wniosków – nie przyznali pieniędzy na odpowiedni sprzęt i oprogramowanie."

I to jest to, z czym i ja najczęściej się spotykam. Bo przełożeni często nie mają pojęcia o informatyce, lekceważą wnioski i wydaje im się, że informatycy wymyślają niepotrzebne wydatki. A jak przychodzi co do czego, to konsekwencje nie ponoszą oni, tylko informatycy.

Edytowane przez Sławko
  • Pozytyw (+1) 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
3 godziny temu, Sławko napisał:

Bo przełożeni często nie mają pojęcia o informatyce, lekceważą wnioski i wydaje im się, że informatycy wymyślają niepotrzebne wydatki. A jak przychodzi co do czego, to konsekwencje nie ponoszą oni, tylko informatycy.

Chyba nie całkiem.

Okazało się również, że w 3 zbadanych instalacjach administratorzy systemu nie aktualizowali oprogramowania. Znaleziono w nim dziury, dla których łaty istnieją od 2013 roku, a nawet dziury z roku 1990. Jedyna wina przełożonych polega tutaj na tym, że niedostatecznie mocno trzymali informatyków za twarz!

W innej bazie szafa nie była zamykana, pomimo tego, iż miała zainstalowany mechanizm ciągle informujący, że należy ją zamknąć. Niby przez kogo nie była zamykana, jeśli nie przez olewających bezpieczeństwo informatyków?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Normalne :)
Na kwitach łatwo się tworzy supersystemy. Tylko że nie zawsze są środki aby coś zrobić. Nie zawsze jest czas.
Zawsze jakoś to jest :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
W dniu 17.12.2018 o 22:23, thikim napisał:

Zawsze jakoś to jest

Pewnie, w przypadku sklepu internetowego, niewielkiego, nieistotnego systemu w przemyśle czy bankowości (może...), ale mówimy o Systemie Ochrony (przed?) Rakietami Balistycznymi największego supermocarstwa. Hmmm...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Hmm.
Nie rozumiesz.
Właśnie dlatego że mówimy o " Systemie Ochrony  ..." to:

Zawsze jakoś to jest.

Ty uważasz to za argument przeciw, a ja za argument za.

Rzeczywistość rozstrzyga kto ma rację :)

11 godzin temu, radar napisał:

ale mówimy o Systemie Ochrony (przed?) Rakietami Balistycznymi największego supermocarstwa. Hmmm...

To życzenia (niekoniecznie pobożne) a nie rzeczywistość.

Gdyby to dotyczyło:

"sklepu internetowego" to byłaby istotna sprawa. Sklep źle zarządzany by padł.

A w przypadku państw w zasadzie niewiele rzeczy jest istotne, bo państwo nie tak łatwo zniszczyć.

Socjaliści niszczą dziesiątki państw od dziesiątek lat i poza spektakularnym upadkiem ZSRR to w zasadzie nigdzie im się nie powiodło. Przy czym ZSRR nie tak do końca upadło bo w zasadzie był to nie upadek ale częściowy rozpad połączony ze zmianą nazwy.

Więc jak socjaliści - którzy potrafią sprawić przysłowiowo żeby na pustyni piasek kosztował i był na kartki - nie dają rady to naprawdę mało co da radę zniszczyć państwo.
A na pewno nie parę tysięcy dziur w oprogramowaniu. To są problemy na poziomie administratorów i informatyków, czyli na niskim poziomie.

Edytowane przez thikim

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
49 minut temu, thikim napisał:

"sklepu internetowego" to byłaby istotna sprawa. Sklep źle zarządzany by padł.

Nie sądze :P Są takie sklepy/firmy, które nie padną pomimo znacznych zaniedbań, złego zarządzania, kierownika idioty etc. To jest idealizacja kapitalisty. Polega to na fałszywym wrażeniu, że im ktoś bogatszy, im większą firmą zarządza, im dłużej nią zarządza etc. tym inteligentniejszy lub mądrzejszy ;P "Firma działa 20 lat? Szef musi mieć łeb na karku! ". W pewnych warunkach nie musi. 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tak, ale piszesz o dużym. Z tym zgoda.

A my pisaliśmy o niewielkim.
Duże firmy są podobne do państwa w sposobie zarządzania.

Edytowane przez thikim

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
W dniu 19.12.2018 o 09:53, thikim napisał:

Zawsze jakoś to jest.

Ty uważasz to za argument przeciw, a ja za argument za.

...

A w przypadku państw w zasadzie niewiele rzeczy jest istotne, bo państwo nie tak łatwo zniszczyć.

No, akurat właśnie mówimy tu o rzeczy, która niedopilnowana może (pośrednio) zniszczyć Państwo. Jeśli agresywny przeciwnik znalazłby lukę w systemie, która umożliwiłaby atak bez odpowiedzi wtedy tak, kilkadziesiąt/set głowic może z powodzeniem zniszczyć to Państwo, prawda?

W dniu 19.12.2018 o 09:53, thikim napisał:

Rzeczywistość rozstrzyga kto ma rację :)

Masz rację, że tak jest i ja nie pisałem, że tak nie jest, widać to w badaniu, dziwi mnie to tylko. Może na poziomie jakiegoś admina "jakoś to jest", ale 2, 3 czy 4 poziomy wyżej... Moim zdaniem to nie "jakoś to jest" jest winne, a malowanie trawy na zielono niezależnie od ustroju. Widać to nawet w prywatnych przedsiębiorstwach/korporacjach. "Sukces" musi być.

Takie skecze nie biorą się z niczego :)

 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Komputery kwantowe mogą zrewolucjonizować wiele dziedzin nauki oraz przemysłu, przez co wpłyną na nasze życie. Rodzi się jednak pytanie, jak duże muszą być, by rzeczywiście dokonać zapowiadanego przełomu. Innymi słowy, na ilu kubitach muszą operować, by ich moc obliczeniowa miała znaczący wpływ na rozwój nauki i technologii.
      Na pytanie to postanowili odpowiedzieć naukowcy z Wielkiej Brytanii i Holandii. Przyjrzeli się dwóm różnym typom problemów, jakie będą mogły rozwiązywać komputery kwantowe: złamaniu zabezpieczeń Bitcoina oraz symulowanie pracy kofaktora FeMo (FeMoco), który jest ważnym elementem białka wchodzącego w skład nitrogenazy, enzymu odpowiedzialnego za asymilację azotu.
      Z AVS Quantum Science dowiadujemy się, że naukowcy stworzyli specjalne narzędzie, za pomocą którego mogli określić wielkość komputera kwantowego oraz ilość czasu potrzebnego mu do rozwiązania tego typu problemów. Obecnie większość prac związanych z komputerami kwantowymi skupia się na konkretnych platformach sprzętowych czy podzespołach nadprzewodzących. Różne platformy sprzętowe znacząco się od siebie różnią chociażby pod względem takich kluczowych elementów, jak tempo pracy czy kontrola jakości kubitów, wyjaśnia Mark Webber z University of Sussex.
      Pobieranie azotu z powietrza i wytwarzanie amoniaku na potrzeby produkcji nawozów sztucznych to proces wymagający dużych ilości energii. Jego udoskonalenie wpłynęłoby zarówno na zwiększenie produkcji żywności, jak i zmniejszenie zużycia energii, co miałoby pozytywny wpływ na klimat. Jednak symulowanie odpowiednich molekuł, których opracowanie pozwoliłoby udoskonalić ten proces jest obecnie poza możliwościami najpotężniejszych superkomputerów.
      Większość komputerów kwantowych jest ograniczone faktem, że wykorzystywane w nich kubity mogą wchodzić w bezpośrednie interakcje tylko z kubitami sąsiadującymi. W innych architekturach, gdzie np. są wykorzystywane jony uwięzione w pułapkach, kubity nie znajdują się na z góry ustalonych pozycjach, mogą się przemieszczać i jeden kubit może bezpośrednio oddziaływać na wiele innych. Badaliśmy, jak najlepiej wykorzystać możliwość oddziaływania na odległe kubity po to, by móc rozwiązać problem obliczeniowy w krótszym czasie, wykorzystując przy tym mniej kubitów, wyjaśnia Webber.
      Obecnie największe komputery kwantowe korzystają z 50–100 kubitów, mówi Webber. Naukowcy oszacowali, że do złamania zabezpieczeń sieci Bitcoin w ciągu godziny potrzeba – w zależności od sprawności mechanizmu korekty błędów – od 30 do ponad 300 milionów kubitów. Mniej więcej godzina upływa pomiędzy rozgłoszeniem a integracją blockchaina. To czas, w którym jest on najbardziej podatny na ataki.
      To wskazuje, że Bitcoin jest obecnie odporna na ataki z wykorzystaniem komputerów kwantowych. Jednak uznaje się, że możliwe jest zbudowanie komputerów kwantowych takiej wielkości. Ponadto ich udoskonalenie może spowodować, że zmniejszą się wymagania, co do liczby kubitów potrzebnych do złamania zabezpieczeń Bitcoin.
      Webber zauważa, że postęp na polu komputerów kwantowych jest szybki. Przed czterema laty szacowaliśmy, że do złamania algorytmu RSA komputer kwantowy korzystający z jonów uwięzionych w w pułapce potrzebowałby miliarda fizycznych kubitów, a to oznaczało, że maszyna taka musiałaby zajmować powierzchnię 100 x 100 metrów. Obecnie, dzięki udoskonaleniu różnych aspektów tego typu komputerów, do złamania RSA wystarczyłaby maszyna o rozmiarach 2,5 x 2,5 metra.
      Z kolei do przeprowadzenia symulacji pracy FeMoco komputery kwantowe, w zależności od wykorzystanej architektury i metod korekcji błędów, potrzebowałyby od 7,5 do 600 milionów kubitów, by przeprowadzić taką symulację w ciągu około 10 dni.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Nowa metoda ataku na procesory Intela wykorzystuje techniki overclockingu. Eksperci ds. bezpieczeństwa odkryli, że możliwe jest przeprowadzenie ataku na procesory i zdobycie wrażliwych danych – jak na przykład kluczy kryptograficznych – poprzez manipulowanie napięciem procesora.
      Nowy atak, nazwany Plundervolt, bierze na celownik Intel Software Guard Extensions (SGS). To zestaw kodów bezpieczeństwa wbudowanych w intelowskie CPU. Celem Intel SGX jest zamknięcie najważniejszych informacji, takich właśnie jak klucze, w fizycznie odseparowanych obszarach pamięci procesora, gdzie są dodatkowo chronione za pomocą szyfrowania. Do obszarów tych, zwanych enklawami, nie mają dostępu żadne procesy spoza enklawy, w tym i takie, działające z większymi uprawnieniami.
      Teraz okazuje się, że manipulując napięciem i częstotliwością pracy procesora można zmieniać poszczególne bity wewnątrz SGX, tworząc w ten sposób dziury, które można wykorzystać.
      Naukowcy z University of Birmingham, imec-DistriNet, Uniwersytetu Katolickiego w Leuven oraz Uniwersytetu Technologicznego w Grazu mówią: byliśmy w stanie naruszyć integralność Intel SGX w procesorach Intel Core kontrolując napięcie procesora podczas przetwarzania instrukcji w enklawie. To oznacza, że nawet technologia szyfrowania/uwierzytelniania SGX nie chroni przed atakiem Plundervolt.
      Intel zaleca aktualizacje BIOS-u do najnowszych wersji.
      Przeprowadzenie ataku nie jest łatwe. Znalezienie odpowiedniej wartości napięcia wymaga eksperymentów i ostrożnego zmniejszania napięcia (np. w krokach co 1 mV), aż do czasu wystąpienia błędu, ale przed spowodowaną manipulacją awarią systemu, stwierdzają odkrywcy dziury. Naukowcom udało się doprowadzić do takich zmian w SGX, że stworzyli dziury umożliwiające zwiększenie uprawnień i kradzież danych.
      Do przeprowadzenia ataku nie trzeba mieć fizycznego dostępu do komputera, jednak by zdalnie zaatakować SGX konieczne jest wcześniejsze zdobycie uprawnień administracyjnych na atakowanym systemie.
      Plundervolt może zostać przeprowadzony na wszystkie procesory Intel Core od czasów Skylake'a, co oznacza, że narażone są Intel Core 6., 7., 8., 9. i 10. generacji oraz układy Xeon E3 v5 i v6, a także Xeony z rodzin E-2100 i E-2200.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Być może już wkrótce bakterie będą wykorzystywane do zapobiegania dziurom powodowanym przez sól drogową.
      Sole drogowe, np. chlorek wapnia, stosuje się, by nie dopuścić do tworzenia się lodu i akumulacji śniegu. Przyczyniają się one jednak również do powstawania uszkodzeń nawierzchni drogi. Są one powodowane przez reakcje zachodzące z betonem i wodą z lodu i śniegu. W ich wyniku powstaje podchloryn wapnia (CAOXY), który infiltrując nawierzchnię drogi, m.in. odseparowuje kawałki betonu.
      Ostatnio naukowcy z Drexel University wykazali jednak, że niewielka domieszka bakterii w betonie może zapobiegać tworzeniu CAOXY.
      Autorzy raportu z pisma Construction and Building Materials doszli do takich wniosków, badając szczep Sporosarcina pasteurii. S. pasteurii to niezwykłe kalcyfikujące organizmy, które są w stanie indukować reakcję chemiczną prowadzącą do powstania węglanu wapnia (jest on często nazywany cementem natury). Tylko kilka rodzajów bakterii opanowało tę "sztuczkę", nazywaną fachowo biomineralizacją bądź bakteryjnie indukowanym strącaniem węglanu wapnia (ang. microbial induced calcium carbonate precipitation, MICCP).
      W ostatnim dziesięcioleciu S. pasteurii badano pod kątem zastosowania w naprawie pęknięć w pomnikach/zabytkach oraz betonowej infrastrukturze, a także w produkcji ekologicznych cegieł. Akademicy z Drexel University szybko zdali sobie sprawę z tego, że talenty bakterii mogą być całkiem przydatne także w zapobieganiu uszkodzeniom nawierzchni dróg.
      Przyglądaliśmy się produktowi reakcji angażującej te bakterie - kalcytowi - i zdaliśmy sobie sprawę, że sposób, w jaki go wytwarzają, może się przydać do zmieniania kierunku reakcji, która przekształca sól drogową w związek niszczący drogę. Wiedzieliśmy, że by wytworzyć nieszkodliwy kalcyt, S. pasteurii potrzebują chlorku wapnia. Byłoby więc świetnie, gdyby się udało wypracować metodę, aby bakterie były obecne w betonie w odpowiednim momencie i zapobiegły reakcji prowadzącej do degradacji materiału - opowiada dr Yaghoob Farnam.
      Na potrzeby eksperymentu Farnam i dr Christopher Sales przygotowali serię próbek betonu i dodali S. pasteurii. W części próbek znalazły się też składniki odżywcze potrzebne do ich przetrwania. Po 28 dniach ekspozycji na roztwór chlorku wapnia, która miała oddawać miesiąc warunków zimowych, wykonano serię testów. Analizowano integralność strukturalną próbek oraz ilość obecnego CAOXY.
      Badacze przyglądali się wibracjom akustycznym i rozwojowi mikroporów i stwierdzili, że po ekspozycji na chlorek wapnia beton wykonany z dodatkiem bakterii prawie nie ulegał deterioracji.
      W próbkach z bakteriami poziom CAOXY był o wiele niższy; to skutek MICCP. Obecność węglanu wapnia sugeruje, że S. pasteurii można też wykorzystać do wzmocnienia nawierzchni. Wg zespołu, praktyczne zastosowania wymagają jednak dalszych badań.
      Bakterie potrafią zmieniać swoje mikrośrodowisko. Tworzą środowisko z wysokim pH, bo przekształcają związki z pożywki w słabą zasadę [...]. Takie warunki sprzyjają raczej wytrącaniu jonów [...] do węglanu wapnia niż tworzeniu CAOXY - wyjaśnia Sales.
      Ponieważ S. pasteurii występują w naturze i nie są patogenne, mogą być bezpiecznym ekologicznie rozwiązaniem problemu niszczenia wielu dróg.

      « powrót do artykułu
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...