China a respins acuzatiile americane ce semnalau faptul ca hackerii serviciilor secrete cineze furau date despre arme americane avansate. Beijingul cataloghiaza astfel de afirmatii drept jignitoare la intelectul poporului chinez, China fiind capabila sa-si produca propriile arme.
O comisie stiintifica americana a declarat ca hackerii chinezi au obtinut acces la date despre 200 sisteme de arme, acest lucru inseamnand ,,miliarde de dolari avantaj pentru China”, care nu mai este nevoita sa cheltuiasca cu cercetarea si dezvoltarea militara.
Washington Post a scris, dupa ce a vazut o copie a raportului, ca informatiile obtinute de Beijing vor accelera proiectele militare. Un oficial american a declarat, sub anonimat, pentru Post ca: „25 de ani au fost salvati de China cu ajutorul planurile furate, timp ce trebuia sa fie dedicat cercetarii si dezvoltarii.”
Beijingul a reactionat cu furie prin purtatorul de cuvant al MApN, Yansheng Geng, respingand rapoartele, dupa ce le-a catalogat ridicole. Oficialul chinez a subliniat ca tara sa a demonstrat in repetate randuri ca are capacitatea de a produce amament propriu, nominalizand exemple, portavionul si J-15 (foarte prost exemplul ales, personal il consider un argument pentru americani – date cumparate de la cercetatorii sovietici prin intermediul Guvernului corupt ucrainian).
Washington Post a mai scris ca Beijingul a obtinut planuri de dezvoltare pentru sistemul de rachete Patriot, elicoptere Black Hawk si avioane F/A-18, F-35 Joint Strike Fighter.
Acuzatiile de razboi cibernetic au fost folosite des in ultima vreme de Casa Alba. La inceputul lunii mai, Departamentul Apararii SUA a acuzat in mod oficial Guvernul chinez de furtul unor date militare. Reactia Chinei a venit rapid prin Hong Lei, purtator de cuvant al MAE: ,,atacurile hackerilor sunt transnaționale și anonime… determinarea originii lor este extrem de dificila. Nu stim cum vor dovedi si pe ce se vor sustine aceste rapoartele” (declaratii ceva mai rafinate comparativ cu penibilu’ ala de la MApN).
Președintele chinez Xi Jingping este în America pana la sfarsitul saptamanii. El se va intalni cu Barack Obama discutand despre cresterea militara a Chinei, pretentiile din Marea Chinei de Est si in mod sigur atacurile cibernetice.
Sursa: RT
NeroFlash
BIETII AMRLOCI,,,
AU AJUNS SA SE PLANGA CA LA GRADINITZA ” MAAAAMIIII , IA UITE CE-MI FACE CHAINIZU , IMI IA ZUCARIILE !”
SUNT ASA DE TANTALAI CAND E VORBA DE SECRETE MILITARE INCAT AU UMPLUT ISTORIA BANCURILOR REALE CU TAMPENIILE LOR, SI ACUM AU GASIT VINOVATUL !
sau nu.. poate ca s-aulasat furati si au dat informatii flase chinezilor..
Regula de baza, calculatoarele care contin informatii secrete sunt legate doar la o reta interna fara acces din exterior.
D’AIA AU FOST ATATEA SCANDALURI CA TANTALAII DIN PENTAGON AU PLECAT DE ATATEA ORI ACASA CU LAPTOPURILE DE LA MUNCA, NU?
pai nici chiar acei numiti tantalai de catre cineva apartinanad mirificului taram romanesc NU se pot conecta cu acele laptopuri la retelele importante.
Atacuri sunt dar nu se fura ce este cu adevarat important. Daca apar scurgeri de informatii apar tot cu ajutorul unui „internal threat” asa cum a fost la wikileaks.
DE CE NU SE POT CONECTA, AU ALT TIP DE SOCKET SAU WI-FI?
ORI CA LE-A ZIS LA SCOALA TOVARASA SA N-O FACA ?
SAU PUR SI SIMPLU CA AU EI O NEPUTINTZA?
SAU IMPOTENTZA?
SIREACII…………………….
Poti sa te conectezi la ce vrea muschiul tau (daca ai privilegii acum): NIPRNet, SIPRNet, JWICS, etc…dar nu poti sa stochezi materiale clasificate pe hard drive. Se mai gaseau si tot felul de izbutiti care stocau din cand in cand pe un „thumb drive”. Nu am dat de raportul Defense Science Board, dar am anumite dubii despre el. In primul rand industria nu isi stocheaza datele care in general sunt proprietatea intelectuala a guvernului SUA (gen AEGIS, Patriot, etc.) in centrele lor de date. De obicei daca le penetrezi sistemele gasesti anumite date care fac aluzie la aceste sisteme si poti sustrage date care au un anumit nivel de folosinta, dar de obicei foarte limitat si care de obicei sunt asociate cu date tehnice care sunt furnizate ca sa se justifice anumite facturi. Cam acesta este naritivul. Daca chinezii vor sa ajunga cu adevarat la „the familiy jewels” trebuie sa penetreze SIPRNet sau JWICS. Asta este mai greu de realizat pentru ca sunt sisteme care sunt separate atat logic cat si fizic de retelele de telecomunicatii publice. Din ce stiu eu NIPRNet a fost penetrat o singura data cam acum 3 ani in urma (este si mai usor avand „gateways” catre Internetul public)…la SIPRNet si JWICS mai au de lucrat…nu este imposibil, dar pentru asta iti trebuie „inside help” si asta pe durata lunga. Baietii incearca oricum…asta nu inseamna acum ca daca fac asta mai mult decat altii au si mai mult succes.
depinde.
Cand vine vorba de subcontractori acestia se pot conecta prin reteaua interna a companiei si pot sa vada „macar” specificatii tehnice de manufacturiere, testare si liste de materiale (suficiente date?) pentru proiecte ITAR (adica defense stuff) si nu am vazut sa fie vreo opreliste la copiere.
Chiar si multinationalele au aceste gauri de securitate si depinde foarte mult de lista de persoane care acces la aceste date.
Nu este nici un fel de protectie SF ci doar de banale drepturi de acces pe anumite locatii pe reteaua interna a multinationalelor.
Cei care au chestii mai sensibile si sunt ceva ma stresati referitor la acces mai recurg la dongle keys si unele terminale de coduri similare cu cele pe care le primesti de la banca.
Cum am zis, nimic SF!
Omul este veriga slaba.
exact la asta ma refeream si eu cand un atot stiutor din tara noastra spunea ceva de laptop… Cum adica poate conecta laptopul pe SIPR si JWICS? Nu se poate ca e classified network si ii trebuie jde mii de aprobari sa il lua cu el acasa. Inutil sa le mai spui ca laptopul nu poate fi Wi-Fi si care sunt conditiile de securitate ca sa te poti conecta de acasa. O poti face pe NIPR doar insa…nu acolo sunt datele importante. Inutil sa le mai pomenesti si de emailurile criptate care sunt tot pe SIPR si JWICS si trebuie sa fii in domeniu. Info se transmit criptat cu fel de fel…nu au cum chinezi sa penetreze datele de e SIPR si sa le si decripteze…si pana la urma datele importante nici macar nu sunt stocate pe ceva share-uit.
SI pana la urma si daca te conectezi sa presupunem pe SIPR sau JWICS ce sa furi nene ca sunt jde domenii si alte parole
Singurul threat poate veni de la un insider…
Cand auzi fantezii cu baietii destepti au spart bazele de date de la pentagon si au furat secretele lui polichinelle sau ca nu-s ce date de pe laptop….
oricum incearca la ora actuala si rusii si chinezii si israelul marea cu degetul…
la subcontractori se mai poate penetra dar theoretic si eu ei au protectii.
americanii au adunat creiere din toata lumea..galbejitul e cu forta de munca si la furat….incearca acum sa isi scoleasca si ei poporul….insa americanii au facut-o adunand ce e mai bun in toata lumea.
MIT Harvard Stanford samd sunt motorul societatii americane…cat timp le ia la galbejiti sa isi creeze un invatamant de valoare?
Te poti conecta „remotely” atat la SIPRNet cat si la JWICS atat timp cat ai un „PKI token” care te autentifica corespunzator – exista un serviciu de VPN care iti ofera acest lucru, irespectiv ca o faci de acasa prin conexiunea de Internet sau prin WiFi de la Starbucks. Cu mici exceptii atat workstations cat si laptops nu stocheaza date clasificate – ele rezida de obicei in centre de date/server-re – un fel de cloud computing. Poti viziona si modifica datele, dar nu poti sa descarci – este un fel de MS SharePoint. De fapt in domenii clasificate laptop-ul sau terminalul nu sunt altceva decat un „thin client.” Poti sa incerci sa te plimbi prin tot felul de domenii, dar accesul depinde de ce spune „PKI token” personal pe care il ai. Acest lucru este valabil si pentru NIPRNet.
De fapt am si un smartphone SME-PED cu care te poti conecta la SPIRNet oriunde in lume…nothing to it.
wow remotelyprin WAP la SIPR si JWICS? ala e caz f grav de DISA. CIne isi asuma riscul sa ofere un WAP cand JWICS e in cusca Faraday? Asta e sincer poveste.
Remotely poate daca esti in acelasi domain si ai drepturi.
Serverele stocheaza date clasificate si userilor li se da sau nu access. Ca sa iti dea access la SIPR JWICS nici vorba trebuie sa seteze un tunneling care sa ruteze tot la SIPR lucru care se face doar ptr situatii ff peciale si personae f importante. Access la SIPR\JWICS inseamna access la date clasificate in fct de PKI de vorbesti. Si asta nu o poti face de acasa. O pot face doar persoanele carora li se ofera protectie a postului de conexie.
Datele clasificate f importante NU sunt pe share. Iar ca sa manipulezi date clasificate trebuie sa o faci sub protectia guvernului in conditii de securitate speciale incl masini speciale. Nu se plilmba driveurile sau HDD asa cum se plimba cele normale.
Nu te poti plimba decat in domeniile in care ai voie drepturi vb de SIPR dar nu n afara dreptului permis. Remote access se poate face in SIPR tot in acelasi domeniu. sau daca iti dau adminii voie.
Deci idea e ca nici aia care lucreaza acolo nu prea stiu ce sa fure daramite unii din afara.
Poti manipula si datale clasificate s trece pe NIPR procesul se cheama declasificare si are un anumit protocol in fct de proprietarul datelor. . Totul in limita permisibilului. Nimeni nu pune date clasificate pe ce zici tu pe MS SharePoint ca ala are access de web chiar si pe SIPR. Si chiar si asa pe SharePoint accesul e restricitonat pe useri si domenii in cadrul aceleiasi organizatii.
Daca se face altfel atunci sunt probleme mari cu adminii si cyber security ceeace nu cred ptr ca DISA nu doarme.
Ce conditii foarte speciale frate? Ai una bucata laptop certificat de JITC. Ai un Fortezza Card pentru criptare NSA Type 1; ai un Common Access Card (CAC) pentru autentificare prin PKI cu „hard token” incorporat in card, ai un cititor de CAC,daca nu ai unul incorporat in laptop; esti la curent cu plata la serviciul de RAS (remote access service) oferit de DISA si esti gata sa stabilesti un tunel VPN pana la un punct de demarcatie SIPRNet, JWICS, etc. Deci esti acasica sau in camaruta ta de hotel si te conectezi. What’s the big flipping deal? Asta este ceva care este la indemana oricarui muritor de foame cu un cont SIPRNet/JWICS si cu un laptop in brate ( si sunt niste zeci de mii de astfel de conturi).
SIPRNet si JWICS sunt servicii separate care servesc enclave diferite. Ca sa stabliesti un tunel VPN prin SIPRNet sau NIPRNet ca sa ai acces la JWICS inseamna ca esti conectat direct la „backbone” care deserveste NIPR/SIPRNet si nu faci asta prin RAS. Daca folosesti RAS de conectezi direct la JWICS.
Laptops sau workstations pe care poti stoca direct date clasificate sunt foarte putine, deci cu hard drive care au „black and red side” alfel un laptop sau un workstation cu acces la SIPRNet sau JWICS este de fapt un „thin Cleint.” Oricum si cu un laptop astfel configurat poti sa pleci acasica fara mari probleme – ca sa obtii access la el trebuie sa te autentifici cu un CAC card, alfel daca ti-l ciordeste careva poate sa-l foloseasca in cel mai rau caz ca tava de servit cafeluta si dulceata.Aproape tot ce se creeaza la nivel clasificat este stocat in centre de date ale DISA (Defense Enterprise Computing Centers – DECC) si nu direct in hard drive, iar marea lor majoritate sunt stocate in enclave MS SharePoint. MS SharePoint care este un serviciu DISA si nu MIcrosoft in acest caz. Microsoft furnizeaza licentele de soft si atata tot. Nu au nimic de a face cu administrarea enclavelor. Accesul la diferite date si enclave este determinat de PKI token care te autentifica ca fiind pe lista de acces sau „need to know”, oricum sunt multe chestii pe SIPRNet care sunt deschise catre toata lumea: tot felul de „reading boards”, produse GIS, etc. SharePoint este furnizat de DISA ca un serviciu de prin 2008-2009 la toate nivelele de clasificare.
Singura si mare masura de securitate pe care trebuie sa o iei zilnic este sa stergi RAM de pe laptop. Procesul de declasificare sau reclasificare nu este facut de tine chiar si din postura de originator al unui document. Acesta este un proces administrativ facut de alte esaloane.
Daca stau bine sa ma gandesc acum, i-am vazut pe unii cum accesau SIIPRNet via VSAT…ma rog un pic mai complicat pentru ca aveau un fel de SIPRNet gateway, dar erau conectati la el prin reteaua locala atat prin ethernet cat si WiFi. De fapt am vazut cum unii se conectau la SIPRNet prin serviciu BGAN oferit de Inmarsat. Asta nu este o problema de tehnologie, cat o porblema de securitate operationala care consta in urmarirea procedurilor de remote access.
laptopul ca si orice alt device ce vrei tu clasificat ca SECRET nu il poti lua acasa la tine pur si simplu ca sa te conectezi la SIPR\JIWACS de la Starbucks din colt. Daca se intampla asa e clara o problema de securitate la compania aia. CAC card nu merge pe SIPR.
Daca ofera un WEP la fel e o alta pb de securitate si ma indoiesc ca DISA le da acreditarile.
Crezi ca DISA le-ar da acreditarile cu un WEP lucrand in strainatate ca si acolo sunt SIPR si JiWICS de ex in bazele overseas.
MS SharePoint e tot un serviciu Microsoft, DISA are doar recomandari cum sa securizezi o rete\soft\baza de date. DISA doar recomanda.
SharePoint trebuie doar securizat la nivel de web, baza de date si domeniu. Nu se stocheaza date importante pe SharePoint pe portal chiar pe SIPR si chiar protejat in spatele domeniului.
Datele sunt stocate local la orice organizatie sau in ecnclava cum zici tu de ex la cea de la Pentagon. Insa unele organizati isi au HBSS proprii cu domeniile proprii unde e imposibil sa patrunzi din afara sunt ca un fel de intranet local. Mai mult datele f importante nu sunt share-uite se afla doar pe un computer si sunt manipulate prin thumb\HDD clasificat.
„Laptopul ca si orice alt device ce vrei tu clasificat ca SECRET nu il poti lua acasa la tine pur si simplu ca sa te conectezi la SIPR\JIWACS de la Starbucks din colt.” Am cont de SIPRNet dar nu pe laptop, dar stiu o serie intreaga de oameni care au asa ceva si merg cu el acasa sau calatoresc. Nu exista nicio directiva sau circular care sa interzica acest lucru; toate vorbesc despre acest lucru din punctul de vedere al securitatii operationale – in ce conditii sa folosesti serviciul- cu Starbucks am facut pur si simplu o aluzie; din punct de vedere tehnic nu exista nimic care sa nu te lase sa faci acest lucru, operational cineva ar avea niste probleme. Inca un lucru, din cand in cand folosesc in scop de serviciu un smartphone SME-PED cu acces la SIPRNET. Cum crezi ca ar trebui sa-l folosesc? Inchizandu-ma intr-un buncar cand ai acces global la SIPRNet atat pe retele GSM cat si CDMA?
„CAC card nu merge pe SIPR.” – Poate imi spui si mie acum cum ma autentific cand ma loghez. Ce fac, incep sa ma rog la cel de sus?
SharePoint este un serviciu oferit de DISA din centrele ei de date (DECC). BAE Systems a instalat si integrat sistemul cu alte aplicatii, iar in momentul de fata il intretine. Inca o data; Microsoft nu face altceva decat sa colecteze banii pentru licentele pe care le vinde si nimic mai mult. De fapt SharePoint este numai una dintre aplicatiile oferite de DISA sub egida unui program care se numeste DEPS (cred) care are si alte aplicatii de colaborare la orice nivel de sucuritate. In momentul de fata DISA este singura organizatie DoD care furnizeaza acest serviciu
DISA nu este singura organizatie care stocheaza date in acest fel. Departamentele militare si agentii DoD au in marea lor majoritate centre de date cu enclave clasificate care folosesc diferite aplicatii pentru a accesa datale, accesul fiind facut via SIPRNet, JWICS sau un anumit intranet de genul CITS (Air Force) sau NMCI (Navy/Marine Corps) Procedurile sunt aceleasi ele fiind stipulate de DISA prin directive si circulare. Acestea sunt chestii legate de control operational asupra anumitor sisteme si active si sunt de mult ori legate de felul in care bugetul pentru anumite sisteme este alocat.
Toata lumea foloseste HBSS fiind un set de unelte de mandatate si dezvoltate de DISA pentru intrusion detection. Toate sistemele end-user (laptop, workstation) DoD sau asociate DoD au un modul HBSS pentru firewall. Cred ca HBSS a fost dezvoltat pentru DISA tot de BAE Systema.
#1. CAC card merge pe NIPR pentru SIPR exista alt card nu CAC emis de organizatia din care faci parte.
#2. ca sa accesezi laptopul secret pe SIPR trebuie sa il ai cu tine. Daca te lasa FSO si IA organizatiei sa il iei cu tine acasa inseamna ca trebuie sa securizezi perimetrul in accord cu directivele DoD de manipulare si stocare a datelor secrete. Laptopul e un secret classified device. Ca va lasa pe voi sau pe altii e o incalc are grava a directivelor DISA.
#3. MS SharePoint e un serviciu al Microsoftt nu al DISA sau al mai stiu eu cui. Instaleaza servicii Windows in fct de cum e farmul de mare 1 2 sau multi tier. Laolalata cu IIS si SQL Server care toate sunt produse Microsoft si isi instaleaza serviciile aferente. Ca il instalezi pe SIPR, NIPR, la firma cucu sau la nea gigel acasa la fel are aceeasi configuratie si aceleasi servicii in fct de configurata aferenta. Servicii NUMAI Microsoft nu exista servicii DISA.
DISA e doar un standard pe care poti sa il aplici sau, un mod de a securiza retelele softul si partea de IT in functie de niste recomandari. Ei ruleaza niste scripturi care iti spun ce security issues ai tu. Nu e un serviciu e o organizatie care impune niste reguli si dac a le respecti iti dau acreditarea IAO samd.
Ca e cloudul de la amazon, google, disa sau nea gigel de acasa MS SharePoint e un serviciu al Microsoft. Asta ti-o spun eu care sunt expert in domeniu si incl la DoD la multe organizatii incl la Pentagon am lucrat.
Nu toata lumea foloseste HBSS unele data center stocheaza datele chiar contra cost ptr diferiti client DoD. E mult de discutat dar daca tu folosesti SIPR de acasa e un mare security issue. Au voie sa o faca doar cei care stau intr-un permietru securizat si fizic si la nivel de networking.
Nu mai scrie aberatii. CAC card este emis de o singura autoritate prin sistemul RAPIDS si ai numai una irespectiv de ce te ocupi. Poti sa ai mai mult mult de un singur „PKI token” pe CAC ca sa-ti dovedesti identitatea pentru diferite aplicatii.
Fratioare eu lucrez cu DISA…nici o directiva promulgata de DISA nu stipuleaza bazaconii de acest gen cu securizarea incintei, etc. pentru remote access. Astea sunt chestii pentru SCIF (secured compartmentalized information sacility). Daca eu folosesc cateodata un smartphone cu acces la SIPRNet chiar crezi ca eu il utilizez aflandu-ma in treaba dintr-un SCIF?
MS SharePoint este in ca o data un serviciu oferit de DISA pentru DoD si nu de Microsoft. Ce este asa de greu de inteles nu stiu. Pana la urma platesc si facturi pentru acest lucru la DISA si nu la Microsoft si inca o data MS contribuie cu licente de soft si cu nimic din infrastructura. DISA este o agentie de suport de lupta. In afara de faptul ca pun in loc niste standarde mai furnizeaza si o serie interega de servicii de telecomunicatii si de data center care de multe ori esti obligat sa le cumperi numai de la ei. Daca ar fi sa ma iau dupa logica ta atunci NIPRNet, SIPRNet ar trebuie sa fie cel putin partial servicii ale AT&T si Verizon si nici pe departe DISA. Acelasi lucru il poti spune si despre celelalte servicii de colaborare care sunt oferite la pachet de DISA cu SharePoint. Adica cum daca folosesti pentru stocarea datelor un mediu VMWare inseamna ca este un serviciu VMWare si nu DISA? Astea sunt aberatii. Folosesc un serviciu de virtualizare care este bazat pe tehnologie VioN dar este oferit de DISA. Vrei sa-mi spui ca pana la urma si asta este un serviciu oferit de ViON????
.
Toate organizatiile DoD folosesc HBSS pentru network intrusion detection; acest lucru este mandatat de DISA prin circular specfic. Ce are stocarea de date contra cost cu utilizarea HBSS pentru securizarea retelelor si a centrelor de date tot nu am inteles.
DACA ESTI ASA DESTEPT CITESTE DESPRE SCANDALURILE PROVOCATE DE AIURITI DE LA PENTAGON CARE AU PLECAT CU ACELE LAPTPURI PLINE DE DATELE MUNCII LOR.N-O MAI DA IN ATOTSTIUTORI SI PROTOCOALE VPN SAU WI-FI NECONECTABIL.FIRAR MAMA EI DE TEHNICA,E FACUTA DE OAMENI SI NU-I INFAILIBIL NIMIC.
Incidente de genul acesta nu s-au mai intimplat de prin 2002 daca imi aduc bine aminte. Prin 2008 a fost compromis un sistem de sanatate (AHLTA), dar nu din cauza DoD ci din cauza unui angajat al Department of Veterans Affairs care isi stoca date pe un thumb drive. AHLTA are access la anumite date confidentiale, dar nu clasificate, AHLTA fiind un sistem care rezida in NIPRNet. Poate ne arati si noua cazuri de acest gen la DoD acum. La UK MoD stiu ca s-a intimplat mai recent. Inca un lucru…nu te opreste nimeni sa pleci cu laptop-ul acasa…cred ca de asta se si numeste laptop pana la urma.
Si Ce-i cu asta ?! Spionajul tehnic militar este o cestie normala (mama ce bataioe e sa se puna mana pe ate un avion posobil inamic!! Ptr studiu nu ptr ca sa il copieze!!)
Asa ca treb sa vbelesti ochii.. Si [-;a buna daca ai avea date secrete .. se exlude utilizarea reteleleor cibernietice. Sau doa runa intr-o cladire si la o adica fonctioneru, ingineru are 2 calculatoare -pe masa – ala cu secrete si ala ptr e mail. Nt. mai bine ala cu emeaeil pe hol…
A da si rertaua secreeta nu are nici o cenxiune in fara cladirii !!!
Si nu-mi ziceti ca sunt paranoic. In cestii de genu asta intrebarea de baza este daca esti suficent de paranoic!!!!
,,ingineru are 2 calculatoare -pe masa – ala cu secrete si ala ptr e mail.”
inginerul american fiind foarte stresat, poate a incurcat calculatoarele ca in clipul de aici!
http://www.youtube.com/watch?v=PEYOXVqsbjo
Nu depinde de nimic pentru simplul fapt ca lucrurile nu stau asa aici. TNivelul de securitate este specificat the guvernul SUA prin directive DISA si/sau NSA. Daca proprietatea intelectuala este a guvernului SUA nu are cum sa rezide in sistemele corporatiste; ele intotdeauna rezida in sistemele guvernului. Ca exemplu F-35 la partea fabricatie, dezvoltare de sisteme si dezvoltare de software este un intranet care este furnizat prin infrastructura guvernului si care este adminstrat de guvern, la care accesul este determinat de numerosi factori si nu este bazat numai pe drepturi de access, dar si pe autentificare si non-repudiere. Ca sa faci acest lucru ai nevoie de un certifcat PKI care este autentificat pe cale biometrica citeodata in afara de lucruri simple cum ar fi parole, liste de acces sau anumite adrese IP sau MAC care identifica un anumit terminal. Asta cu copiatul nu mai merge de ani buni de zile, iar industria nu mai este de capul ei oricum. Acum sunt fortati de guvern sa-si mute retelele corporative pe ce se numeste DIBNet si sa formeze enclave specifice care sunt monitorizate de guvern si de contractorii care furnizeaza serviciul DIBNet.
@Alex ma omori
#1. CaC card e folosit ptr NIPR si e ala cu poza, specifica functia sau GS, Agentia si unoeri beneficii ex access la Commisary PX, Exchange si access in cladiri. Se foloseste ca ID cu poza ptr access in cladirile DOD
Ptr SIPR e alt PKI
http://www.af.mil/news/story.asp?id=123298593
Similarities between the CAC and SIPRNet tokens exist–both are hardware tokens, cryptographically bound to your identity, and the card format is an exact duplicate. The differences between the cards are very pronounced, but not obvious to the average user, other than the fact the SIPRNet token doesn’t have a picture, name, grade or service component listed.
Sper ca am lamurit.
#2. E o mare prostie sa zici ca MS SharePoint e un serviciu DISA. Microsoft e vendorul, se instaleaza un serviciu WIndows incepand cu VSS si SharePoint se instaleaza pe SIPR la fel ca pe orice server care cumpara licenta Microsoft. Dpdv Software MS SharePoint e un serviciu Microsoft.
MS SharePoint e un serviciu al companiei private Microsoft cumparat de DoD si apoi retelele si softul eunt securizate conform reglementarilor DISA.
Iti spun eu asta care sunt si Microsoft Expert incl ceritified si DoD si DISA.
Microsoft NU personalizeaza un serviciu special ptr DOD e serviciu Microsoft de fapt un pachet de servicii….2007 sau 2010
Orice companie incl DISA il downloadeaza cu licenta evident contrcost de la Microsoft si il instaleaza pe masinile lor. http://www.microsoft.com/en-us/download/details.aspx?id=14117
DISA doar emite un pachet de checklists pentru MS SharePoint ca sa securizeze serverele si produsul. http://web.nvd.nist.gov/view/ncp/repository/checklistDetail?id=411
The SharePoint Security Technical Implementation Guide (STIG) provides guidance for secure configuration and usage of Microsoft’s SharePoint implementation. The STIG provides security guidance for SharePoint deployments in a single server or server farm consisting of multiple servers. This overview document gives technology-specific background and information on conducting a security review for SharePoint 2010 Server. SharePoint Foundation and previous versions of SharePoint are not addressed, although there is significant overlap in the security impacts for these products
Deci NU scrie DISA SharePoint precum vezi ci Microsoft’s SharePoint deci produsul e serviciu Microsoft.
#1 ai un singur card cu „multiple tokens” nu iti da nimeni card-uri diferite, incerc sa-ti spun asta de ieri..
#2 ai aici o foarte rudimentara „architectural chart” (sub Enterprise Infrastucture – ESPS): http://www.disa.mil/News/Conferences-and-Events/Customer-and-Industry-Forum-2011/Briefing-Slides. Poate imi spui si mie ce are de a face MS cu acest serviciu in afara de a fi furnizorul „golden disk – licente.”
Corect spus ar fi – solutie Micro$oft implementata si personalizata de X sau Y.
Micro$oft nu are nici o treaba cu ce faci efectiv cu respectivul produs, doar iti ofera support pentru viitor – gen documentatii si reparatii de buguri, upgrade, etc daca esti partener de un anumit nivel primesti si serviciu dedicat sau chiar ingineri „on site” care sa te ajute la implementare si administrare. Pentru unii clienti este posibil sa modifice la comanda anumite caracteristici/limite/functionalitati ale diverselor produse.
Dar, pana sa ajungi la nivel de aplicatie, ai de trecut o gramada de filtre de autentificare pe retea. Practic ai nevoie de putere de procesare, specialisti si resurse extraordinare ca sa reusesti sa treci de toate sistemele alea.
Regulat sistemul este testat si atacat, ca sa zic asa, de catre departamentele de securitate/protectie. Uneori se angajeaza firme specializate in asa ceva. Daca vrei sa ‘spargi’ o asemenea retea trebuie sa fii de 2 ori mai destept ca oricare dintre astia. Asta excluzand factorul uman, adica vre-un Gigel dispus sa vanda secrete de acolo, sau pur si simplu idiot :).
am vazut atatia SyS admins care aplicau dubla masura in activitatile lor incat este destul de posibil sa poti penetra unele retele foarte bine protejate folosind partea umana ( social engineering )
zicea bine Alex, conexiunile in mediile astea protejate se fac prin diverse tehnologii care la prima vedere seamana cu un remote desktop ( thin client ) si ajungi de fapt prin tunelul creat pe statia / statiile la care ai access in reteaua protejata
exista anumite limite in care ai voie sa te misti prin acea conexiune iar daca ceva iese dintr-un chart brusc ti se taie automat conexiunea si tot raportul ajunge la alta persoana sa analizeze exact ce ai facut/tastat/ vizualizat in sesiunea respectiva
in momentul in care sunt foarte multe „porti de access” care izoleaza incintele multi admini devin iresponsabili si isi lasa porti ascunse de intrare pentru a nu scrie `nspe mii de parole complexe 🙂
la un nivel clar mai jos dar organizatie 7k pc-uri multi-domain, cu admini care acopera diverse zone nu de putine ori am produs crize de nervi la unii care pentru ca puteau – isi faceau viata mai relaxata si isi eliminau elemente de securitate ( obligativitate de schimbare parola la 30 de zile ), access limitat in retea ( isi adaugau alte zona de access chiar si web ) . e amuzant sa te sune cate cineva ca este blocat intr-un moment critic si nu stie de ce nu ii merge parola si a ramas pe afara 😀 iar apoi trebuie sa dea explicatii de ce nu a facut anumite elemente, astea sunt traite de mine si nu cred ca sus de tot nu se intampla chestii similare. daca ar fi sa-l credem pe eddy baiat de zapada el a gasit o gramada de chestii secrete in servere puse la pastrare si cu nivel de securitate scazut ( fiind in spatele unor retele sigure altii au considerat ca nu mai e nevoie de protectie suplimentara )
sa nu uit, mai multe banci din ro folosesc RSA_SecurID pentru conectarea la retele lor prin acelasi mecanism de thin client, iar jucaria respectiva a avut o perioada intunecata prin 2011 cand s-a ajuns prin retele crezute foarte sigure
concluzie: ai ajuns la om, ajungi la ce vrei tu, este un device care protejeaza – trebuie sa mergi la omul care a facut acel device – deci tot la om se rezuma tot