The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Занимательная статистика в области безопасности от компании HP"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Занимательная статистика в области безопасности от компании HP"  +/
Сообщение от opennews (??) on 11-Дек-13, 13:23 
На заседании "Security 20/20", проведённом в рамках конференции HP Discover, руководитель  подразделения компании HP, занимающегося развитием связанных с безопасностью сервисов, привёл (http://www.neowin.net/news/hp-discover-startling-security-st...) следующие цифры:

-  84% проблем безопасности встречаются на уровне приложений, а не на уровне сети или операционной системы;
-  9 из 10 приложений для смартфонов содержат проблемы с безопасностью;
-  Только 2.5% паролей пользователей являются уникальными;
-  В Великобритании отмечен наибольший в мире охват камерами слежения, на 32 жителей приходится одна камера;
-  Среднее время выявления проблем с безопасностью составляет 243 дня;
-  94% всех проблем безопасности выявляется не потерпевшим, а сторонним лицом.

URL: http://www.neowin.net/news/hp-discover-startling-security-st...
Новость: http://www.opennet.dev/opennews/art.shtml?num=38642

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Занимательная статистика в области безопасности от компании ..."  +1 +/
Сообщение от Аноним (??) on 11-Дек-13, 13:26 
Policykit таки нужен?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Занимательная статистика в области безопасности от компании ..."  +3 +/
Сообщение от Аноним (??) on 11-Дек-13, 14:05 
Нет. И права на файлы - тоже. И вообще работать надо только от рута.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Занимательная статистика в области безопасности от компании ..."  +1 +/
Сообщение от pavlinux (ok) on 11-Дек-13, 14:20 
В троллейбусном парке города N. работает ms-dos версии 5.0, работает с 1992 года.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Занимательная статистика в области безопасности от компании ..."  –1 +/
Сообщение от Аноним (??) on 11-Дек-13, 14:32 
> В троллейбусном парке города N. работает ms-dos версии 5.0, работает с 1992 года.

Молодцы! Дос - лучшая промышленная ОС всех времен и народов.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

64. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от Mikula on 12-Дек-13, 09:52 
>> В троллейбусном парке города N. работает ms-dos версии 5.0, работает с 1992 года.
> Молодцы! Дос - лучшая промышленная ОС всех времен и народов.

Он там работает, комп забыли выключить!

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

43. "Занимательная статистика в области безопасности от компании ..."  +8 +/
Сообщение от Аноним (??) on 11-Дек-13, 21:11 
< В троллейбусном парке города N. работает ms-dos версии 5.0, работает с 1992 года.
Нашел чем удивить! Я вот давеча паровоз видал. Он еще и ездил даже. Готов поспорить, его выпустили намного раньше DOS 5-й версии.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

54. "Занимательная статистика в области безопасности от компании ..."  +3 +/
Сообщение от kurokaze (ok) on 11-Дек-13, 22:56 
> Нет. И права на файлы - тоже. И вообще работать надо только от рута.

Работать надо на себя.
А от рута запскать комманды для администрирования системы.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Занимательная статистика в области безопасности от компании ..."  –4 +/
Сообщение от Аноним (??) on 11-Дек-13, 14:19 
>В Великобритании отмечен наибольший в мире охват камерами слежения, на 32 жителей приходится одна камера

Это, типа, проблема безопасности? А не наоборот? Такой расклад не способствует повышению раскрываемости преступлений, не? Или кругом зонды, а пристукнут меня британские чурки - ну и ладно, зато пострадал за свободу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Занимательная статистика в области безопасности от компании ..."  +1 +/
Сообщение от anonymous (??) on 11-Дек-13, 15:00 
>>В Великобритании отмечен наибольший в мире охват камерами слежения, на 32 жителей приходится одна камера
> Это, типа, проблема безопасности? А не наоборот? Такой расклад не способствует повышению
> раскрываемости преступлений, не?

Держи карман шире.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

42. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от Аноним (??) on 11-Дек-13, 21:03 
> Это, типа, проблема безопасности? А не наоборот? Такой расклад не способствует повышению раскрываемости преступлений, не?

Незначительно. В любом случае это с лихвой перекроется негативным эффектом от злоупотреблений и хаков таких систем наблюдения.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

49. "Занимательная статистика в области безопасности от компании ..."  +2 +/
Сообщение от Аноним (??) on 11-Дек-13, 21:32 
> Это, типа, проблема безопасности? А не наоборот? Такой расклад не способствует повышению
> раскрываемости преступлений, не?

Да вот как-то преступления как совершались, так и совершаются. С другой стороны, территория типа улиц по идее публичное место, кто угодно может невозбранно пялиться на улицу. Камеры в этом ничем таким не особенные и ничего фундаментально не меняют. Ну разве что запоминают получше двуногих и не задалбываются смотреть.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

56. "Занимательная статистика в области безопасности от компании ..."  +1 +/
Сообщение от suminona on 11-Дек-13, 23:32 
В Сети есть статистика. И она какбе намекает, что за прошлый год ни одно преступление совершенное в Великобритании не было раскрыто при помощи камер слежения. Что в общем-то и вызвало негодование в английском обществе.
1984
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

62. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от тоже Аноним email(ok) on 12-Дек-13, 08:56 
Зато у них резко снизилась статистика краж камер видеонаблюдения. Их вокруг столько, что они никому нахрен не нужны. Результат!
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

71. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от anonymous (??) on 12-Дек-13, 18:02 
> В Сети есть статистика. И она какбе намекает, что за прошлый год
> ни одно преступление совершенное в Великобритании не было раскрыто при помощи
> камер слежения. Что в общем-то и вызвало негодование в английском обществе.
> 1984

one_nation_under_cctv.png

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

12. "Занимательная статистика в области безопасности от компании ..."  +2 +/
Сообщение от dxd on 11-Дек-13, 14:24 
Последний пункт абсолютно очевиден. Только 6% людей могут обнаружить проблему в безопасности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от Ytch (ok) on 11-Дек-13, 22:58 
> Только 6% людей могут обнаружить проблему в безопасности.

По моим скромным наблюдениям это очень-очень-очень оптимистично. Очень имхо, но даже 0,6% это чрезмерно завышенная и нереальная цифра (даже с учетом случайных обнаружений без понимания происходящего).

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

59. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от Аноним (??) on 12-Дек-13, 00:35 
6% людей могут обнаружить, что им кое-куда засунули швабру. С квалификацией в области инфобеза это никак не связано.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

60. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от dxd on 12-Дек-13, 01:27 
> 6% людей могут обнаружить, что им кое-куда засунули швабру. С квалификацией в
> области инфобеза это никак не связано.

Так это и есть проблема в безопасности. Мы же не говорим о _заблаговременном_ обнаружении.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

30. "Занимательная статистика в области безопасности от компании ..."  +2 +/
Сообщение от solardiz (ok) on 11-Дек-13, 17:53 
> Только 2.5% паролей пользователей являются уникальными

Не ясно, откуда такие данные. Они не сходятся с имеющимися у меня. К тому же, говорить о проценте уникальных паролей можно только зная общее количество паролей, т.к. этот процент убывает с ростом количества. Возможно, подразумевается общее количество паролей у человечества (активных на данный момент? или использовавшихся когда-либо раньше тоже? или еще и будущих на сколько-то лет?) Вряд ли HP могли проанализировать все пароли в мире. В лучшем случае, это либо данные по какой-то выборке, либо экстраполяция из таких данных. Вот моя экстраполяция по базе RockYou (32.6 миллионов пользователей, 14.3 миллионов уникальных паролей):

http://openwall.info/wiki/people/solar/unique-password-count

По этим данным, чтобы опустить количество уникальных до 2% от общего, потребуется около 10^20 аккаунтов. Не думаю, что в мире столько есть. ;-) (Конечно, экстраполяция до 10^20 - это несерьезно.) Для более разумного количества аккаунтов в 10^10, получаем оценку в 23% уникальных паролей.

Еще данные в тему: в базе Adobe 130M паролей всего, 56M уникальных. По экстраполяции из RockYou же, получалось бы для 130M всего от 47M до 52M уникальных. Получается, Adobe'овские пароли в среднем даже чуть лучше, чем у RockYou, но в целом данные сходятся (47M...52M vs. 56M - не такая большая разница). А вот приведенные здесь 2.5% от HP из общей картины выпадают.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от тоже Аноним email(ok) on 11-Дек-13, 17:57 
> 32.6 миллионов пользователей, 14.3 миллионов уникальных паролей

То есть у каждого второго уникальный пароль? Такая статистика возможна только в одном случае: если пользователям вообще не доверяют придумывать пароли, а вынуждают сидеть на сгенерированных.


Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

34. "Занимательная статистика в области безопасности от компании ..."  +1 +/
Сообщение от solardiz (ok) on 11-Дек-13, 18:14 
>> 32.6 миллионов пользователей, 14.3 миллионов уникальных паролей
> То есть у каждого второго уникальный пароль?

Почти. Среди уникальных, конечно, много похожих.

> Такая статистика возможна только в одном случае:

Это интуитивное предположение. Интуиция и всякие там Кэпы могут подводить. Есть статистика, и не только по RockYou. Ситуация не столь плоха.

> если пользователям вообще не доверяют придумывать пароли, а вынуждают сидеть на сгенерированных.

В этом случае можно получить и почти 100% уникальных. В реальности, в крупных базах паролей, как правило, встречаются разные категории паролей - как пароли, произвольно выбранные пользователями, так и когда-либо подвергавшиеся каким-либо ограничениям (например, пользователь мог быть вынужден подогнать свой типичный пароль под ограничения каких-либо других сервисов, а теперь уже использует подобный же пароль и на сервисе, не имеющем таких ограничений). Конкретно на RockYou, насколько мне известно, пользователи указывали свои пароли от сторонних сервисов (чтобы RockYou мог туда ходить от их имени) - соответственно, и возможные ограничения на выбор паролей оказались унаследованы оттуда. Именно сгенерированных сервисами паролей там или не было вообще или было очень мало - на глаз, в базе подобных почти нет. И в базе RockYou и в базе Adobe очень много очень простых паролей (самый популярный и там и там, и во многих других базах - 123456).

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

61. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от solardiz (ok) on 12-Дек-13, 03:24 
> То есть у каждого второго уникальный пароль?

Важная поправка: смотря что считать уникальными. 14.3M из 32.6M, что я привел раньше, это количество различных паролей (sort -u | wc -l), в то время как количество паролей, встречающихся ровно один раз (sort | uniq -u | wc -l), насколько-то меньше. Я сейчас проверил - оказалось таких там 11.9M. Если утверждение от HP про 2.5% относилось ко второму случаю (а, похоже, это так), то моя старая экстраполяция из RockYou не подходит - нужна аналогичная с подстановкой 11.9M вместо 14.3M и т.п. для промежуточных точек. При этом 2.5% будет достигнуто при меньшем общем количестве паролей (а не 10^20, что я назвал раньше), но, думаю, всё равно нереально большом (хотя можно проверить).

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от Аноним (??) on 11-Дек-13, 18:58 
> Еще данные в тему: в базе Adobe 130M паролей всего, 56M уникальных.

А насколько изменится число уникальных паролей при одновременном анализе нескольких отдельных крупных баз ?

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

36. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от solardiz (ok) on 11-Дек-13, 19:23 
> А насколько изменится число уникальных паролей при одновременном анализе нескольких отдельных крупных баз ?

Я предполагаю, что оно будет примерно соответствовать экстраполяции по одной крупной базе, такой как RockYou или Adobe. Просто объединить те же RockYou и Adobe пока что нельзя, т.к. в базе Adobe пароли зашифрованы (предположительно, с помощью 3DES в ECB режиме), а ключ пока что публично не известен. Такое шифрование не мешает анализировать количество уникальных паролей в пределах базы Adobe и проводить множество других ее исследований (в том числе выявлять распределение по длинам паролей, а также plaintext отдельных распространенных паролей), но не дает ее объединить для анализа с другой базой (где пароли открытым текстом, как в RockYou, или как-либо хешированы). Аналогично, утечки баз с хешированными паролями в полной мере не объединить с RockYou, так как подобрано оказывается всё же не 100% паролей (хотя по некоторым подобрано около 90%), и зачастую не объединить между собой из-за отличий в методах хеширования или/и наличия salt'ов (когда они есть). Тем не менее, кое-что в этом направлении сделать можно.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от Аноним (??) on 11-Дек-13, 19:44 
> Я предполагаю, что оно будет примерно соответствовать экстраполяции по одной крупной базе,

Я про то, что не нужно сбрасывать со счетов частоту использования одного и того же пароля одним и тем же пользователем в разных системах. У каждого активного пользователя наберётся более десятка разных регистраций. Думаю, что большинство людей используют одинаковый пароль для второстепенных сервисов.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

39. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от solardiz (ok) on 11-Дек-13, 20:32 
> не нужно сбрасывать со счетов частоту использования одного и того же пароля одним и тем же пользователем в разных системах.

Я согласен. Думаю, аналогичный эффект в какой-то степени проявляется уже в пределах одной крупной базы (повторные регистрации того же пользователя), и не факт что в двух крупных базах вместе он проявится больше (лишь какая-то часть пользователей двух разных сервисов окажется общей). Да, есть смысл анализировать пароли из многих баз вместе.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

47. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от Аноним (??) on 11-Дек-13, 21:27 
> Я согласен. Думаю, аналогичный эффект в какой-то степени проявляется уже в пределах
> одной крупной базы (повторные регистрации того же пользователя)

А еще у дypaков мысли сходятся, так что пароль типа qwerty в одной базе может попасться далеко не 1 раз и совсем не факт что это - один и тот же пользователь :).

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

38. "Занимательная статистика в области безопасности от компании ..."  +1 +/
Сообщение от Vkni (ok) on 11-Дек-13, 20:18 
Не зря, не зря Оруэлл писал именно в Англии.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Занимательная статистика в области безопасности от компании ..."  +1 +/
Сообщение от Аноним (??) on 11-Дек-13, 21:29 
> Не зря, не зря Оруэлл писал именно в Англии.

Он догадывался что англичане тяготеют к полицейскому государству...

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

53. "Занимательная статистика в области безопасности от компании ..."  +1 +/
Сообщение от Аноним2.0 (ok) on 11-Дек-13, 22:52 
Но пока в Англии ни разу не было построено полицейского государства.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

57. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от Vkni (ok) on 12-Дек-13, 00:22 
> Он догадывался что англичане тяготеют к полицейскому государству...

Он вообще работал в Министерстве Правды.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

58. "Занимательная статистика в области безопасности от компании ..."  –1 +/
Сообщение от Аноним (??) on 12-Дек-13, 00:31 
> Он догадывался что англичане тяготеют к полицейскому государству...

Не англичане, а люди. Не надо тут беспочвенного национализма.
Просто бриташка и юшка первыми подошли к экономическому и техническому рубежу, за которым становится возможным внедрение технических средств тотального слежения. Скоро и остальные подтянутся.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

65. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от anan on 12-Дек-13, 10:58 
Не национализма, а нацизма. Национализм - это как бы любовь к своей нации, а не ненавасть к другим.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

69. "Занимательная статистика в области безопасности от компании ..."  –2 +/
Сообщение от тоже Аноним email(ok) on 12-Дек-13, 13:02 
> Национализм - это как бы любовь к своей нации, а не ненавасть к другим.

Национализм - это медийный повод, позволяющий продвигать нужные идеи под предлогом разделения людей по национальному признаку. Любовь к одной нации или ненависть к остальным - только лозунги, используемые для продвижения.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

45. "Занимательная статистика в области безопасности от компании ..."  +1 +/
Сообщение от Аноним (??) on 11-Дек-13, 21:13 
>  9 из 10 приложений для смартфонов содержат проблемы с безопасностью;

А 7 из 10 приложений к тому же является откровенным трояном или хотя-бы спайварью и адварью.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от тоже Аноним email(ok) on 12-Дек-13, 12:59 
Вы просто смотрите на вопрос не с той стороны.
Попробуйте сформулировать это так: "Стимулом для написания приложения для смартфона в 9 из 10 случаев является желание на этом приложении заработать. Применяемые для заработка методы: ..."
И добавьте, что оставшийся 1 случай из 10, когда приложение пишется из чистого альтруизма, практически не имеет шансов попасть в топ и вообще быть кем-то замеченным.

Потому что просто так удивляться, что в халявном софте полно ловушек для чайников, по крайней мере наивно.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

63. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от milkman email on 12-Дек-13, 09:08 
А не они ли поставляют сервера со встроенным трояном? у которого ну очень простой пароль для доступа
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от anan on 12-Дек-13, 11:01 
> А не они ли поставляют сервера со встроенным трояном? у которого ну
> очень простой пароль для доступа

Слышал пока про storage у них там какой-то пароль слабый и изменить его нельзя. А сами серваки тут уже вопрос. ILO там пароли все меняются.
Шпионят везде и всегда будут. Пока наши не сделают своё железо от и до никакого толка не будет. МЦСТ есть, процессоры какие-никакие делают, кто-то платы делал. Потенциал есть, но политической воли нет.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

70. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от pkdr (ok) on 12-Дек-13, 14:40 
> Слышал пока про storage у них там какой-то пароль слабый и изменить его нельзя.

Если вы про "!admin" то этот пароль прописан в документации и превосходно меняется.

> А сами серваки тут уже вопрос. ILO там пароли все меняются.

Мало того, с каждым сервером для ILO идёт из коробки свой сгенерированный пароль.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

72. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от anan on 14-Дек-13, 13:01 
>> Слышал пока про storage у них там какой-то пароль слабый и изменить его нельзя.
> Если вы про "!admin" то этот пароль прописан в документации и превосходно
> меняется.
>> А сами серваки тут уже вопрос. ILO там пароли все меняются.
> Мало того, с каждым сервером для ILO идёт из коробки свой сгенерированный
> пароль.

Я про эту новость http://www.securitylab.ru/news/441834.php

А генератор в ILO хорошая штука, но лучше пользоваться сторонними, стойкость сгенерированных паролей генератором в ILO я ставлю под сомнение.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

67. "Занимательная статистика в области безопасности от компании ..."  +/
Сообщение от dimatambov (ok) on 12-Дек-13, 11:13 
Если бы уникальных паролей было бы больше, то можно отследить какой человек где находится. У большинства людей один и тот же пароль от разных сервисов : от почты, от соцсетей, от форумов и тд.Если пароли не уникальны, но сложны, то вероятность, что за одним и тем же паролем на разных сервисах стоит один и тот же человек резко повышается
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру