Как же хорошо, что сейчас не девяностые https://www.rbc.ru/society/06/11/2018/5be149639a79471b1476eadc
РБК
В Москве расстреляли автомобиль бизнесмена из списка Forbes
Олег Бурлаков, входящий в список богатейших бизнесменов России по версии Forbes, сообщил о покушении на него. Неизвестный обстрелял его автомобиль
Forwarded from dg (Artem Pronichkin)
Давайте я тоже чего-нибудь напишу про увлекательные новости с Битлокером. Как обычно — это частная точка зрения и всё такое.
Во-первых, эти новости следует читать так: «Сегодня я узнал, что Битлокер может использовать аппаратное шифрование».
Потому что всё остальное, в общем-то, не новость. Разве мы не знаем уже, что производители оборудования, и особенно жёстких дисков любят врать как сивые мерины? Что будет следующей экстренным поводом — новости о том, что на диске с надписью «10 TB» на самом деле от силы восемь с половиной?
Или это новость, что если вы используете аппаратные средства защиты, то нужно проводить их аудит и разбираться, как именно они шифруют данные? Ну то есть вообще-то, конечно, и программных это тоже касается. Но ОС и её компоненты и так постоянно исследуют толпы хакеров в разных там шапках, а вот до дисков только недавно совсем добрались. Лучше поздно, чем никогда.
Ну вот, допустим, вы поставили балансировщик нагрузки с разгрузкой шифрования (SSL Offload) и сидите в ус не дуете. А потом выясняется, что балансировщик плохо шифрует и вообще сливает закрытые ключи сертифиатов албанским хакерам. Что теперь — это веб-сервер виноват, что допустил SSL Offload? Наверное, всё-таки нет, это аппаратная уязвимость, и в ней виноват только производитель оборудования.
(Несколько лет назад кстати выяснилось, что например Azure Pack не умеет в SSL Offload вообще никак. Работает только через HTTPS, а без SSL заставить его работать нельзя. Вот не надо так.)
Да, довольно неприятно, конечно, что Битлокер тихонечко начинает использовать аппаратное шифрование в случаях, когда диск ему заливает, что умеет. Но тут какое дело. Диску приходится верить. Мы не можем, да и никто не может, программно проверить, выполняет ли кусок железа то, что мы ему приказали — если он не вернул никаких ошибок. Ну вот, допустим, у вас видеокарта слегка тронулась умом и выводит синюю полосу сбоку экрана. Как компьютер может об этом узнать? Да никак, если только вы не поставите перед монитором веб-камеру. Так и с шифрованием этим дурацким.
Я не проводил масштабных исследований, но мне пока что кажется, что масштаб бедствия сильно преувеличен. Дело в том, что это аппаратное шифрование, конечно, включается по умолчанию. Но для этого должны особым образом сойтись звёзды на небе. Т.е. вообще довольно много условий должны быть выполнены. Со стороны ОС эти условия перечислены вот тут: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive#system-requirements
Но ведь есть ещё условия со стороны диска. Даже если семейство дисков заявлено с поддержкой шифрования — ещё не факт, что оно включено в микрокоде (прошивке) именно вашего диска. У некоторых производителей это надо включать явно через специальную утилиту или установку особой версии микрокода.
Короче, вчера мы с коллегами проверили несколько десятков компьютеров — докуда могли дотянуться. У всех использовалось программное шифрование по тем или иным причинам. (Политикой это у нас не регулируется).
Во-первых, эти новости следует читать так: «Сегодня я узнал, что Битлокер может использовать аппаратное шифрование».
Потому что всё остальное, в общем-то, не новость. Разве мы не знаем уже, что производители оборудования, и особенно жёстких дисков любят врать как сивые мерины? Что будет следующей экстренным поводом — новости о том, что на диске с надписью «10 TB» на самом деле от силы восемь с половиной?
Или это новость, что если вы используете аппаратные средства защиты, то нужно проводить их аудит и разбираться, как именно они шифруют данные? Ну то есть вообще-то, конечно, и программных это тоже касается. Но ОС и её компоненты и так постоянно исследуют толпы хакеров в разных там шапках, а вот до дисков только недавно совсем добрались. Лучше поздно, чем никогда.
Ну вот, допустим, вы поставили балансировщик нагрузки с разгрузкой шифрования (SSL Offload) и сидите в ус не дуете. А потом выясняется, что балансировщик плохо шифрует и вообще сливает закрытые ключи сертифиатов албанским хакерам. Что теперь — это веб-сервер виноват, что допустил SSL Offload? Наверное, всё-таки нет, это аппаратная уязвимость, и в ней виноват только производитель оборудования.
(Несколько лет назад кстати выяснилось, что например Azure Pack не умеет в SSL Offload вообще никак. Работает только через HTTPS, а без SSL заставить его работать нельзя. Вот не надо так.)
Да, довольно неприятно, конечно, что Битлокер тихонечко начинает использовать аппаратное шифрование в случаях, когда диск ему заливает, что умеет. Но тут какое дело. Диску приходится верить. Мы не можем, да и никто не может, программно проверить, выполняет ли кусок железа то, что мы ему приказали — если он не вернул никаких ошибок. Ну вот, допустим, у вас видеокарта слегка тронулась умом и выводит синюю полосу сбоку экрана. Как компьютер может об этом узнать? Да никак, если только вы не поставите перед монитором веб-камеру. Так и с шифрованием этим дурацким.
Я не проводил масштабных исследований, но мне пока что кажется, что масштаб бедствия сильно преувеличен. Дело в том, что это аппаратное шифрование, конечно, включается по умолчанию. Но для этого должны особым образом сойтись звёзды на небе. Т.е. вообще довольно много условий должны быть выполнены. Со стороны ОС эти условия перечислены вот тут: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive#system-requirements
Но ведь есть ещё условия со стороны диска. Даже если семейство дисков заявлено с поддержкой шифрования — ещё не факт, что оно включено в микрокоде (прошивке) именно вашего диска. У некоторых производителей это надо включать явно через специальную утилиту или установку особой версии микрокода.
Короче, вчера мы с коллегами проверили несколько десятков компьютеров — докуда могли дотянуться. У всех использовалось программное шифрование по тем или иным причинам. (Политикой это у нас не регулируется).
Docs
Encrypted Hard Drive - Windows Security
Encrypted Hard Drive uses the rapid encryption that is provided by BitLocker Drive Encryption to enhance data security and management.
Forwarded from Усы Пескова
Идеальная картинка путинской россии. Убийца под крышей генпрокурора на зоне живет и питается лучше, чем большинство простых россиян на свободе