Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Doktoranci celowo wprowadzali złośliwe zmiany w nowej wersji Linuksa

ghost666 22 Apr 2021 22:15 1887 26
  • Doktoranci celowo wprowadzali złośliwe zmiany w nowej wersji Linuksa
    Właśnie opublikowano w dzienniku zmian Linuksa wersję 5.12.. Powstała ona ze szczególnym uwzględnieniem architektur ARM, MIPS i RISC-V. Informacja opublikowana przedwczoraj, we wtorek. Już wtedy opóźnienie wyniosło około tygodnia po wypuszczeniu Linuksa 5.12-rc8 w niedzielę 18 kwietnia.

    Ale Linux 5.12 może zostać jeszcze bardziej opóźniony z powodu oszustw dwóch doktorantów. Studenci prowadzący projekt badawczy dotyczący luk w zabezpieczeniach systemów open source na University of Minnesota. Zostało to ogłoszone przez Grega Kroah-Hartmana na liście mailingowej jądra Linuksa. Stwierdzono, że commity z adresów @umn.edu zostały przesłane w „złej wierze”, aby spróbować przetestować zdolność społeczności budującej jądro systemu do wykrywania „znanych złośliwych” zmian. Wynik tych zgłoszeń można znaleźć w artykule opublikowanym na 42. sympozjum IEEE dotyczącym bezpieczeństwa i prywatności zatytułowanym „Open Source Insecurity: Stealthily Introduction Vulnerabilities via Hypocrite Commits”.

    Jak dotąd ich praca została cofnięta wraz z 190 innymi cofnięciami. Oznacza to również, że przyszłe commity z University of Minnesota będą domyślnie odrzucane z jądra Linuksa.

    Luki w projektach open source

    Artykuł badawczy hostowany jest na Githubie (tutaj. Artykuł ten wspomina, że ​​celem tego rodzaju commitów mogą być duże projekty, które akceptują kod od stron trzecich, w tym jądra Linuksa, Androida, FreeBSD czy aplikacje takie jak Firefox, Chromium, OpenSSL i inne. Wygląda jednak na to, że ich eksperyment dotyczył tylko jądra Linuksa wykorzystującego luki w zabezpieczeniach UAF (użyj po zwolnieniu), ponieważ zidentyfikowali oni pewne „niedojrzałe luki w zabezpieczeniach UAF w jądrze Linuksa, które potencjalnie można przekształcić w prawdziwe luki”, jak opisuje to dokument.

    Artykuł sugeruje również, że zrobili to etycznie i poinformowali opiekunów, gdy tylko jeden z ich zestawów poprawek został potwierdzony. Naszym celem nie było wprowadzanie luk, które mogłyby zaszkodzić systemowi operacyjnemu. Dlatego bezpiecznie przeprowadziliśmy eksperyment, aby upewnić się, że wprowadzone luki w UAF
    nie zostaną scalone z rzeczywistym kodem Linuksa

    "Gdy opiekun potwierdził nasze poprawki wysyłając E-mail, że wszystko wygląda dobrze, natychmiast powiadomiliśmy opiekunów o wprowadzonym złośliwym kodzie i poprosiliśmy, aby nie wprowadzali tej poprawki do głównego drzewa" mówią autorzy.

    Wszystkie łatki wprowadzające UAF pozostawały tylko w wymianie e-maili, nie stając się nawet commitem Gita w branchach Linuksa. Dlatego autorzy zapewnili, że żaden z wprowadzonych przez nas błędów UAF nie został nigdy scalony z żadną gałęzią jądra Linuksa i żaden z użytkowników Linuksa nie zostanie dotknięty podatnościami. Autorzy napisali również, że wskazują błąd opiekunom i dostarczają poprawne łatki. Po przeczytaniu informacji od Grega Kroah-Hartmana odnieść można jednakże wrażenie, że nie podziela on uczuć autorów złośliwego oprogramowania.

    Ocena bezpieczeństwa projektów open source jest inicjatywą godną pochwały, ale testowanie jest z pewnością problemem, ponieważ nie można tego zrobić, informując opiekunów z wyprzedzeniem, że zamierza się wprowadzić intencjonalnie niebezpieczne poprawki.

    A co wy sądzicie o tego rodzaju eksperymentach?

    Źródło: https://www.cnx-software.com/2021/04/22/phd-students-willfully-committed-known-malicious-changes-to-mainline-linux/

    Cool! Ranking DIY
    About Author
    ghost666
    Translator, editor
    Offline 
    Fizyk z wykształcenia. Po zrobieniu doktoratu i dwóch latach pracy na uczelni, przeszedł do sektora prywatnego, gdzie zajmuje się projektowaniem urządzeń elektronicznych i programowaniem. Od 2003 roku na forum Elektroda.pl, od 2008 roku członek zespołu redakcyjnego.
    ghost666 wrote 10349 posts with rating 8633, helped 157 times. Live in city Warszawa. Been with us since 2003 year.
  • CSICSI
  • #2
    linuxtorpeda
    Level 23  
    Nie wiem, czy można na postępowanie doktorantów patrzeć inaczej niż negatywnie. Dokładali całemu community roboty, ich poprawki po zmerge'owaniu byłyby zwyczajnie szkodliwe. Trochę nie wierzę w to, że żadna nie weszła do mainline'a, skoro w pracy podawali, że np. skuteczność wykrywania vulnów wykorzystujących wielowątkowość wynosiła jedynie ok. 20% - co wtedy robili z commitami, które przeszły weryfikację pozytywnie?

    Eksperyment w zasadzie bez sensu, gdyż wniosków nie przełoży się bezpośrednio na inne projekty open source. Z mojego punktu widzenia autorzy to socjopaci czerpiący radość z niszczenia cudzej pracy, swoją drogą istnienie "naturalnych" sabotażystów w branży IT to coraz większy problem.

    Decyzja Grega oczywiście jak najbardziej słuszna, uniwersytet po takiej akcji ma zerową wiarygodność.
  • #3
    khoam
    Level 39  
    Oficjalne stanowisko Uniwersytetu:

    Quote:
    Leadership in the University of Minnesota Department of Computer Science & Engineering learned today about the details of research being conducted by one of its faculty members and graduate students into the security of the Linux Kernel. The research method used raised serious concerns in the Linux Kernel community and, as of today, this has resulted in the University being banned from contributing to the Linux Kernel.
    We take this situation extremely seriously. We have immediately suspended this line of research. We will investigate the research method and the process by which this research method was approved, determine appropriate remedial action, and safeguard against future issues, if needed. We will report our findings back to the community as soon as practical.


    Cała sytuacja wygląda mniej, więcej tak. Najpierw grupie zaufanych osób powierzono klucz do jednej z szafek - zaufanych, ponieważ ich wiarygodność również potwierdziła uczelnia. Następnie "geniusze" wpadli na pomysł, że mogą użyć ten klucz w celach innych niż te, do których się oficjalnie zobligowali. Co do wprowadzonych przez nich luk, to były to już znane i usunięte z poprzednich wersji kernela, i to właśnie najbardziej zirytowało Kroah-Hartmana:

    Quote:
    You, and your group, have publicly admitted to sending known-buggy patches to see how the kernel community would react to them and published a paper based on that work. Now you submit a new series of obviously incorrect patches again, so what am I supposed to think of such a thing?


    Goście chcieli być sprytni i inteligentni, chcieli "zabłysnąć", a wyszło jak zwykle.
  • #4
    linuxtorpeda
    Level 23  
    khoam wrote:
    Najpierw grupie zaufanych osób powierzono klucz do jednej z szafek - zaufanych, ponieważ ich wiarygodność również potwierdziła uczelnia. Następnie "geniusze" wpadli na pomysł, że mogą użyć ten klucz w celach innych niż te, do których się oficjalnie zobligowali.

    Jeśli ci geniusze nie zostaną pociągnięci do odpowiedzialności, tj. wydaleni z uniwersytetu, to w moim odczuciu wiarygodność placówki tolerującej takie wybryki stoi pod dużym znakiem zapytania.
  • CSICSI
  • #5
    khoam
    Level 39  
    linuxtorpeda wrote:
    Jeśli ci geniusze nie zostaną pociągnięci do odpowiedzialności, tj. wydaleni z uniwersytetu, to w moim odczuciu wiarygodność placówki tolerującej takie wybryki stoi pod dużym znakiem zapytania.

    Wątpię, w to. Sprawa raczej zostanie załatwiona "polubownie".
  • #6
    linuxtorpeda
    Level 23  
    Też w to wątpię. To niestety pokazuje poziom degrengolady w tamtejszym środowisku akademickim.
  • #7
    krzysiek_krm
    Level 39  
    linuxtorpeda wrote:
    Też w to wątpię. To niestety pokazuje poziom degrengolady w tamtejszym środowisku akademickim.

    To od razu trzeba ich poćwiartować ?
  • #8
    khoam
    Level 39  
    krzysiek_krm wrote:
    linuxtorpeda wrote:
    Też w to wątpię. To niestety pokazuje poziom degrengolady w tamtejszym środowisku akademickim.

    To od razu trzeba ich poćwiartować ?

    Po namyśle przeprosili i otrzymali odpowiedź: Link
  • #9
    krzysiek_krm
    Level 39  
    Zbyt łagodna ta odpowiedź to raczej nie jest.
    Jak na razie to nikt tych ludzi po główkach nie głaszcze.
  • #10
    linuxtorpeda
    Level 23  
    @krzysiek_krm
    Jeśli skończy się na słowach, to jest to równoznaczne z brakiem konsekwencji. Nie trzeba nikogo ćwiartować, doktorantów wystarczy zawiesić w prawach studenta na dłuższy czas, a promotora (czy kogokolwiek odpowiedzialnego za akceptację prac nad tym tematem) wyrzucić ze stanowiska, skoro ma problem z odróżnianiem dobra od zła.

    Wiem, że pisałem wcześniej o wyrzuceniu doktorantów z uczelni, ale po namyśle stwierdziłem, że to nie oni pełnili rolę decyzyjną w procesie tworzenia pracy.

    Swoją drogą, o jakim zadośćuczynieniu wspomina Greg w linkowanym wyżej mailu? Nie śledzę tematu na bieżąco.
  • #11
    lukaszd82
    Level 29  
    A jaką mamy pewność że w innych grupach pracujących nad oprogramowaniem open sorce nie ma podstawionych przez "odpowiednie służby sabotażystów"?
    To pokazuje, że nie ma niestety żadnej weryfikacji. Dla mnie aby oprogramowanie było wiarygodne, to powinno przejść weryfikację, a tutaj tego zabrakło.
    Zrobili to z rozmysłem, ale jako że to studenci, a odpowiedzialny jest Uniwerek to ktoś nad nimi powinien czuwać i sprawdzać ich pracę....
    A jak się okazuje tak nie było... Czyli ktoś nie wykonał pracy, za którą płaci mu ten uniwerek. I ta osoba powinna ponieść najsurowsze konsekwencje.
  • #12
    khoam
    Level 39  
    lukaszd82 wrote:
    To pokazuje, że nie ma niestety żadnej weryfikacji. Dla mnie aby oprogramowanie było wiarygodne, to powinno przejść weryfikację, a tutaj tego zabrakło.

    Weryfikacja jak najbardziej była i dlatego te złośliwe poprawki nie trafiły do najnowszej wersji kernela 5.12, a jedynie go nieco opóźniły. Taka weryfikacja jest kilkustopniowa, "doktoranci" mogli wprowadzić "poprawki" do tzw. wersji "master" (mieli do tego uprawnienia), ale to nie znaczy, że z automatu trafiłyby one do wersji release.

    lukaszd82 wrote:
    A jaką mamy pewność że w innych grupach pracujących nad oprogramowaniem open sorce nie ma podstawionych przez "odpowiednie służby sabotażystów"?

    Takiej pewności nigdy nie ma. Ale ponieważ jest to Open Source, więc przeglądać kod na bieżąco mogą wszyscy, a w wypadku linuksowego kernela jest to kilkadziesiąt tysięcy aktywnych użytkowników. Każdy więc może się wykazać i zdekonspirować "agenta" ;)

    lukaszd82 wrote:
    Czyli ktoś nie wykonał pracy, za którą płaci mu ten uniwerek.

    W zasadzie płatnikami są w tym wypadku sponsorzy dewelopmentu kernela, a to znaczące korporacje.

    Dodano po 4 [minuty]:

    Nie to żebym coś sugerował, ale obaj "doktoranci", Kangjie Lu oraz Qiushi Wu to obywatele Chin :)
  • #13
    lukaszd82
    Level 29  
    No nie do końca, wynika z tego że opiekun puściłby kod....
    ghost666 wrote:


    "Gdy opiekun potwierdził nasze poprawki wysyłając E-mail, że wszystko wygląda dobrze, natychmiast powiadomiliśmy opiekunów o wprowadzonym złośliwym kodzie i poprosiliśmy, aby nie wprowadzali tej poprawki do głównego drzewa" mówią autorzy.

    Wszystkie łatki wprowadzające UAF pozostawały tylko w wymianie e-maili, nie stając się nawet commitem Gita w branchach Linuksa. Dlatego autorzy zapewnili, że żaden z wprowadzonych przez nas błędów UAF nie został nigdy scalony z żadną gałęzią jądra Linuksa i żaden z użytkowników Linuksa nie zostanie dotknięty podatnościami. Autorzy napisali również, że wskazują błąd opiekunom i dostarczają poprawne łatki. Po przeczytaniu informacji od Grega Kroah-Hartmana odnieść można jednakże wrażenie, że nie podziela on uczuć autorów złośliwego oprogramowania.

    Ocena bezpieczeństwa projektów open source jest inicjatywą godną pochwały, ale testowanie jest z pewnością problemem, ponieważ nie można tego zrobić, informując opiekunów z wyprzedzeniem, że zamierza się wprowadzić intencjonalnie niebezpieczne poprawki.



    Czyli jednak oni poinformowali opiekuna, że nie wywiązał się ze swojego zadania...
    Więc gdzie ta weryfikacja?
  • #14
    khoam
    Level 39  
    @lukaszd82 Cytujesz artykuł dziennikarza-celebryty z CNX. Rozumiem, ale proponuję zasięgnąć informacji u źródeł, czyli na liście kernel.org.
  • #15
    krzysiek_krm
    Level 39  
    khoam wrote:
    Nie to żebym coś sugerował, ale obaj "doktoranci"

    Myślisz, że to nie są po prostu doktoranci ale "doktoranci" ?
  • #16
    lukaszd82
    Level 29  
    khoam wrote:
    @lukaszd82 Cytujesz artykuł dziennikarza-celebryty z CNX. Rozumiem, ale proponuję zasięgnąć informacji u źródeł, czyli na liście kernel.org.


    Oparłem się na tym, co tu przeczytałem. I traktuję to jako źródło. Jeśli masz wiedzę, że informacje są nieprawidłowe to je sprostuj.
    Z ciekawości zajrzałem na kernel.org ale nie znalazłem tam wprost żadnych informacji na ten temat. Na CNX przytoczone przeze mnie fragmenty są wyróżnione, jakby zacytowane z innego źródła, wskazanego jako "Linux kernel mailing list". Więc każesz mi znaleźć źródło, które tam zostało zacytowane?

    Nie mam czasu wertować wszystkich linków na wspomnianej stronie, mam na głowie pracę, dom, rodzinę.

    Artykuł traktuję jako ciekawostkę, która niestety znajduje coraz szersze odbicie w przemyśle. Od jakiegoś czasu zajmuję się sprawami cyberbezpieczeństwa, co prawda układów OT a nie IT, ale nawet olbrzymie korporacje mają obecnie problem z weryfikacją kodów źródłowych aplikacji, a często całych bardzo ważnych systemów przemysłowych. Jest to już codzienność... Po prostu brakuje specjalistów w tej dziedzinie. Współpracujemy z jedną firmą, będącą w czołówce w tej tematyce w PL ale to już są dane, których udostępnić nie mogę.

    Poza tym, każdy doktorant ma również opiekuna który odpowiada za jego poczynania. Nie tłumacz kogoś, kto nie wypełnił swoich obowiązków, bo to jest śmieszne. Żadna szanująca się uczelnia nie wypuszcza w świat nie zweryfikowanych prac swoich "podopiecznych na dorobku" - aby się nie ośmieszyć i nie ucierpiał prestiż uczelni. I niestety, ale tutaj upatruję głównego problemu.

    Z naszego podwórka, spora część naszej kadry akademickiej nie jest w stanie zweryfikować pracy części "swoich podopiecznych", z prostego powodu... Ci podopieczni (oczywiście jednostki) przerastają ich wiedzą i umiejętnościami. Jednak, podejmując się prowadzenia takiego człowieka, bierzemy na siebie odpowiedzialność. Proponuję sprawdzić, jakie obowiązki ma "Opiekun naukowy".

    Pozdrawiam

    Każda dyskusja nas czegoś uczy, a forum służy do wymiany opinii na nurtujące nas tematy :)
  • #17
    linuxtorpeda
    Level 23  
    lukaszd82 wrote:
    Po prostu brakuje specjalistów w tej dziedzinie.

    Jakby pracodawcy więcej płacili, to by się znaleźli.

    lukaszd82 wrote:
    Z ciekawości zajrzałem na kernel.org ale nie znalazłem tam wprost żadnych informacji na ten temat.

    Koledze chodziło o listę dyskusyjną, nie o stronę internetową.
  • #18
    lukaszd82
    Level 29  
    Quote:

    Jakby pracodawcy więcej płacili, to by się znaleźli.

    Mylisz się. Na rynku brak takich pracowników, bo ci co mają odpowiednią wiedzę i doświadczenie już pracują.
    Teraz samemu trzeba sobie wyszkolić odpowiednich pracowników, co jest procesem długotrwałym, ale to jedyna sensowna droga.
  • #19
    linuxtorpeda
    Level 23  
    lukaszd82 wrote:
    Teraz samemu trzeba sobie wyszkolić odpowiednich pracowników

    Po co ktokolwiek miałby się dodatkowo uczyć (poza własną satysfakcją) po otrzymaniu zatrudnienia? Okresem najbardziej intensywnej nauki jest szkoła i studia, pracodawcy powinni nauczyć się wykorzystywać potencjał już dostępny na rynku. Poza tym skoro potrzebujesz specjalisty, to prawdopodobnie sam nim nie jesteś - jak nauczysz kogoś czegoś, czego sam nie umiesz?

    lukaszd82 wrote:
    Na rynku brak takich pracowników, bo ci co mają odpowiednią wiedzę i doświadczenie już pracują.

    Gdyby to naprawdę było takie dochodowe, to ci pracownicy zakładaliby firmy i świadczyli usługi dla wielu klientów. Rzeczywistość jednak pokazuje, że nikomu na security nie zależy dopóki się coś nie stanie. Na chwilę obecną tylko największe firmy pozwalają sobie na luksus posiadania ekspertów od cyberbezpieczeństwa.
  • #20
    lukaszd82
    Level 29  
    linuxtorpeda wrote:
    lukaszd82 wrote:
    Teraz samemu trzeba sobie wyszkolić odpowiednich pracowników

    Po co ktokolwiek miałby się dodatkowo uczyć (poza własną satysfakcją) po otrzymaniu zatrudnienia? Okresem najbardziej intensywnej nauki jest szkoła i studia, pracodawcy powinni nauczyć się wykorzystywać potencjał już dostępny na rynku. Poza tym skoro potrzebujesz specjalisty, to prawdopodobnie sam nim nie jesteś - jak nauczysz kogoś czegoś, czego sam nie umiesz?

    lukaszd82 wrote:
    Na rynku brak takich pracowników, bo ci co mają odpowiednią wiedzę i doświadczenie już pracują.

    Gdyby to naprawdę było takie dochodowe, to ci pracownicy zakładaliby firmy i świadczyli usługi dla wielu klientów. Rzeczywistość jednak pokazuje, że nikomu na security nie zależy dopóki się coś nie stanie. Na chwilę obecną tylko największe firmy pozwalają sobie na luksus posiadania ekspertów od cyberbezpieczeństwa.


    Zastanów się co piszesz, na studiach wszystkiego ma się ktoś nauczyć.... Widzę, że dalej w bajki wierzysz.
    A jeśli chodzi o moje umiejętności to nie tobie je oceniać.
    Ja cały czas się rozwijam, sam na własny koszt jak i korzystam ze szkoleń u pracodawcy. Bez ciągłego podnoszenia kompetencji pracownik w tej branży jest nic nie warty.

    Wypowiadasz się bez podstawowej znajomości tematu.

    Bez ciągłej nauki świat cyfrowy ucieknie takiemu pracownikowi w 2-3lata zupełnie, ciągłe śledzenie podatności i sposobów uodparniania na nie systemów pod swoją pieczą to jedno z podstawowych zadań każdego administratora. Nie można tego rzetelnie zrobić bez ciągłego rozwoju. To nie dla satysfakcji ale z konieczności.
    A na studiach to dostaniesz podstawy, za małe aby zacząć samodzielnie pracować...

    Żaden student, nie zostanie bez opieki dopuszczony do systemów, którymi się zajmuję. To infrastruktura o zbyt dużym znaczeniu w skali krajowej.

    Kiedyś IT i OT to były odległe bajki, teraz oba te światy bardzo szybko za sobą, a właściwie już razem podążają...
  • #21
    linuxtorpeda
    Level 23  
    lukaszd82 wrote:
    Zastanów się co piszesz, na studiach wszystkiego ma się ktoś nauczyć....

    Nie napisałem, że wszystkiego, nie napisałem też, że na studiach, tylko w czasie, jaki przypada na szkołę i studia. Człowiek ma wtedy po prostu najwięcej czasu.

    lukaszd82 wrote:
    A jeśli chodzi o moje umiejętności to nie tobie je oceniać.

    Gdzie ja ciebie w jakimkolwiek miejscu oceniałem? Prędzej ty mnie. Chodziło mi o to, że pracodawca nie przekaże wiedzy, której sam nie posiada.

    lukaszd82 wrote:
    Ja cały czas się rozwijam, sam na własny koszt jak i korzystam ze szkoleń u pracodawcy. Bez ciągłego podnoszenia kompetencji pracownik w tej branży jest nic nie warty.

    I po co? Nie dostaniesz podwyżki z tego tytułu. Zresztą awans w jakiejkolwiek organizacji wiąże się z tym, że zajmujesz się coraz mniej technikaliami, a coraz więcej rzeczami związanymi z organizacją pracy bądź podejmowaniem decyzji na wyższym poziomie abstrakcji niż klepanie kodu.

    lukaszd82 wrote:
    Bez ciągłej nauki świat cyfrowy ucieknie takiemu pracownikowi w 2-3lata zupełnie

    Większość narzędzi w IT to rzeczy powstałe w latach 70. i 80., dziś oczywiście są nadal rozwijane, ale zasada działania się nie zmieniła. Nie sądzę, że administracja jest jakimś szczególnym wycinkiem IT, w mojej branży może i narzędzia się z rzadka zmieniają, ale robią +/- to samo co ich starsze pierwowzory.

    lukaszd82 wrote:
    To nie dla satysfakcji ale z konieczności.

    Jak nie przeczytasz kolejnej książki o Linuxie, to raczej nic złego się nie stanie, w szczególności pracy nie stracisz. Znam sporo osób, dla których praca w IT to tylko obowiązek, po 17 wracają do domu i zajmują się innymi sprawami niż komputery.

    lukaszd82 wrote:
    A na studiach to dostaniesz podstawy, za małe aby zacząć samodzielnie pracować...

    Przykro mi to słyszeć, sporo osób pracuje poniżej swoich kwalifikacji w branży, R&D nie jest domeną naszego kraju. W filiach zagranicznych firm raczej dokonuje się konserwacji ich starych projektów. Jeśli chodzi o adminów, to stereotyp, jaki mi przychodzi do głowy, to granie w pracy w CSa i odbijanie piłeczki od interesantów.
  • #22
    lukaszd82
    Level 29  
    Miło poznać czyjeś poglądy, ale się z nimi w zupełności nie zgadzam.

    Książka o linuxie? To bardzo przestarzałe podejście.

    Hm, a znajomość nowych dopiero wykrytych podatności aby zabezpieczenie sieci przed atakami z ich wykorzystaniem? (czyli rekonfiguracja sieci, upgrade firmware routerów/przełączników, aktualizacja systemów operacyjnych i oprogramowania aby zminimalizować możliwość skutecznego ataku?) Taki atak może pozbawić ten kraj np dostaw gazu, wody a w skrajnych przypadkach prądu (a bez tego nic nie masz, bo wodę i gaz trzeba pompować - niestety ale paliwa też nie ma bo wszelkie pompy załadunkowe i w dystrybutorach też są na prąd...)

    Nie wspomną o całodobowym monitoringu sieci i wszelkich urządzeń, które się w niej znajdują, z wykorzystaniem minimum oprogramowania klasy IDS/IPS/SIEM.

    Proponuję poczytać:
    https://seqred.pl/infrastruktura-krytyczna/
    https://archiwum-cdissz.wp.mil.pl/plik/file/P...acje/cyberataki-na-infrastruktur-krytyczn.pdf
    https://tekniska.pl/know-how/cyberbezpieczenstwo/

    To jedne z pierwszych wyników z sieci, ale jest tego bez liku...
    W google wystarczy wpisać "cyberbezpieczeństwo ataki na infrastrukturę krytyczną"

    Nie da się w branży IT/OT obecnie nie dokształcać na bieżąco. Z roku na rok mamy nowe zagrożenia i sposoby reagowania na nie. Szkoda, że większość społeczeństwa nie zdaje sobie sprawy, że zwykłe kliknięcie w niewłaściwy link w wiadomości e-mail może ich pozbawić dorobku życia, jeśli zrobią to na komputerze, z którego logują się do banku i nie zadbają o min bezpieczeństwa (antywirus, regularna aktualizacja). Oczywiście, takie ataki wymierzone w jednostki jest na razie rzadkie, ale trend wskazuje na dynamiczny rozwój tego typu przestępczości.

    I proszę byś oddzielił grubą kreską informatyka w szkole/urzędzie miasta/gminy od tego w potężnych zakładach infrastruktury krytycznej. Do tego dochodzi bardzo mała grupa specjalistów w zakresie bezpieczeństwa, skupionych w zaledwie kilku miejscach w PL...
  • #23
    linuxtorpeda
    Level 23  
    lukaszd82 wrote:
    znajomość nowych dopiero wykrytych podatności aby zabezpieczenie sieci przed atakami z ich wykorzystaniem? (czyli rekonfiguracja sieci, upgrade firmware routerów/przełączników, aktualizacja systemów operacyjnych i oprogramowania aby zminimalizować możliwość skutecznego ataku?) Taki atak może pozbawić ten kraj np dostaw gazu, wody a w skrajnych przypadkach prądu

    Ponowię pytanie - co motywuje przeciętnego pracownika do zajmowania się tym tematem? Na pewno nie widmo utraty pracy ani perspektywa wyższych zarobków.

    lukaszd82 wrote:
    proszę byś oddzielił grubą kreską informatyka w szkole/urzędzie miasta/gminy od tego w potężnych zakładach infrastruktury krytycznej. Do tego dochodzi bardzo mała grupa specjalistów w zakresie bezpieczeństwa, skupionych w zaledwie kilku miejscach w PL...

    Czyli sam stwierdzasz, że bycie na czasie z najnowszymi technologiami to domena garstki specjalistów. Swoją drogą, nie mówiłem o informatykach pracujących w miastach powiatowych, a o pracownikach korpo.
  • #24
    lukaszd82
    Level 29  
    Quote:
    Ponowię pytanie - co motywuje przeciętnego pracownika do zajmowania się tym tematem? Na pewno nie widmo utraty pracy ani perspektywa wyższych zarobków.


    Zakres obowiązków i odpowiedzialność. Każdy odpowiada za swoje poczynania i powierzone obowiązki. Perspektywa wyższych zarobków jak najbardziej, podwyżki nie dostanie ten, kto nie wykazuje inicjatywy i nie wywiązuje się sumiennie z powierzonych zadań. Coroczny wewnętrzny audit systemów i skany podatności jasno pokazują co zostało zrobione a co nie. Do tego obligatoryjne audity zewnętrzne zgodne z ustawą UKSC i audity służb, w tym ABW.

    I tu Cię zadziwię, ale "widmo utraty pracy" jest u nas jak najbardziej realne.
  • #25
    linuxtorpeda
    Level 23  
    lukaszd82 wrote:
    Zakres obowiązków i odpowiedzialność.

    Nie sądzę, by rozwijanie kwalifikacji po godzinach było częścią omawianego zakresu obowiązków.

    lukaszd82 wrote:
    Każdy odpowiada za swoje poczynania i powierzone obowiązki.

    Nie mieszajmy obowiązków w pracy i nieprzymuszonego rozwijania kompetencji w czasie wolnym.

    lukaszd82 wrote:
    Coroczny wewnętrzny audit systemów i skany podatności jasno pokazują co zostało zrobione a co nie.

    To są rutynowe testy. Nadal nie widzę związku między douczaniem się po godzinach a realizacją zwyczajowych zadań na opisywanym stanowisku.

    lukaszd82 wrote:
    podwyżki nie dostanie ten, kto nie wykazuje inicjatywy

    Moim zdaniem to myślenie życzeniowe, ale nie pracowałem w każdej firmie na świecie, więc mogę się mylić.

    lukaszd82 wrote:
    I tu Cię zadziwię, ale "widmo utraty pracy" jest u nas jak najbardziej realne.

    A zarobki jak wszędzie. Może dlatego brakuje specjalistów?

    W przeciętnym zakładzie pracy administrator ma zapewnić stałe funkcjonowanie infrastruktury informatycznej i pracuje wg wyznaczonych norm (np. dokonywanie regularnych aktualizacji). Reaguje najczęściej dopiero, jak się coś stanie. Jak przychodzą z góry nowe wytyczne do zaimplementowania, to je wdraża. Jeśli pracodawca uzależnia poziom wynagrodzeń od liczby przebytych szkoleń, to na te szkolenia chodzi. Nikt nie wymusi na nim znajomości omawianej tam tematyki na 100%. Reszta czasu to CS albo czytanie artykułów na wykopie. Życie to nie film akcji, a firma nie przeżywa codziennie ataku złych hakerów.

    Pracodawców interesuje jedynie to, co robiłeś u poprzednich pracodawców. Pytania o projekty realizowane w czasie wolnym, zainteresowania czy przeczytane książki to domena rozmów kwalifikacyjnych na stanowiska juniorskie. Szanujmy swój czas i nie mieszajmy pracy i hobby. Z definicji hobby to coś, co robimy, nawet jeśli nam za to nie płacą. Jeśli pracodawca oczekuje, że mam pogłębiać wiedzę domenową, to niech zorganizuje na to czas w trakcie pracy.
  • #26
    lukaszd82
    Level 29  
    linuxtorpeda wrote:

    Nie sądzę, by rozwijanie kwalifikacji po godzinach było częścią omawianego zakresu obowiązków.

    Skoro twierdzisz, że znasz ludzi o odpowiednich kompetencjach to proszę o ich CV (jeśli to fachowcy od cyberbezpieczeństwa to znajdą zatrudnienie u nas lub w jednostkach z nami współpracujących).
    Dokształcanie się w czasie wolnym jest dobrowolne, ale w godzinach pracy to obowiązek. Mój pracodawca płaci za kursy, mamy plan szkoleń i rozwoju.
    Dokształcanie się w czasie prywatnym nie jest wymagane, ale jeśli ktoś się wykaże umiejętnościami wykraczającymi poza przyjęte "ramy", oczywiście takimi, które są dla nas użyteczne to może liczyć na gratyfikację finansową.

    Testy o których mówisz w żadnym wypadku nie są rutynowe.
    Wykorzystuje się narzędzia do skanowania podatności aktywne i pasywne ( w zależności od testowanych systemów), wskazywane są luki zabezpieczeń wraz z pokazaniem technik ich wykorzystania (a więc i włamania do sieci są częścią takich testów). A więc wykorzystanie narzędzi hakerskich to normalność w takich warunkach.

    linuxtorpeda wrote:

    W przeciętnym zakładzie pracy administrator ma zapewnić stałe funkcjonowanie infrastruktury informatycznej i pracuje wg wyznaczonych norm (np. dokonywanie regularnych aktualizacji).

    Sorry, ale większych bzdur dawno nie czytałem.
    To administrator odpowiada za wdrażanie poprawek odpowiedzialnych za bezpieczeństwo. Jeśli zostanie wykryta nowa podatność to należy niezwłocznie podjąć kroki do mitygacji zagrożenia. Żaden plan nie ma tu żadnego zastosowania. Zapewnienie bezpieczeństwa administrowanego systemu jest obowiązkiem administratora. Nawet brak wiedzy w danym temacie nie zwalnia z odpowiedzialności, można wesprzeć się wsparciem z zewnątrz jeśli mamy do czynienia z poważnym problemem - nikt nie jest wszechwiedzący.
    Weź też pod uwagę, że włamanie i kradzież danych może być bardzo kosztowne, choćby w kontekście RODO, na tajemnicach danego przedsiębiorstwa kończąc.
    Tak więc administrator/zespół administratorów ma na bieżąco monitorować nowo wykryte podatności i jest na to kilka metod, ale już nie będę się rozwodził na ten temat.
    linuxtorpeda wrote:

    Reaguje najczęściej dopiero, jak się coś stanie. Jak przychodzą z góry nowe wytyczne do zaimplementowania, to je wdraża.
    ............
    Życie to nie film akcji, a firma nie przeżywa codziennie ataku złych hakerów.

    Jakbyś dokładnie czytał to ja piszę o infrastrukturze krytycznej kraju. Reagowanie jak się coś wydarzy? Czyli jak nastąpi blackout na pół kraju???
    Ataki hakerskie nie są codziennością, ale zakłady jak mój muszą być z definicji na nie odporne.
    Słyszałeś o wyciekach danych i milionowych karach? O utracie wiarygodności takiego podmiotu nawet nie wspomnę ale to też jest bardzo kosztowna sprawa.
    linuxtorpeda wrote:

    Jeśli pracodawca uzależnia poziom wynagrodzeń od liczby przebytych szkoleń, to na te szkolenia chodzi. Nikt nie wymusi na nim znajomości omawianej tam tematyki na 100%. Reszta czasu to CS albo czytanie artykułów na wykopie.

    Gratuluje podejścia, u nas długo byś nie popracował.
    Po to pracodawca wysyła kogoś na szkolenie, by wiedza tam zdobyta została wykorzystana w odpowiedni sposób. Po to się dobiera ścieżki rozwoju i budowy kompetencji dla zespołów. Nikt nie płaci od ilości przebytych szkoleń.
    Każdy pracownik podlega rocznej ocenie, gdzie uwzględnia się między innymi postawione przed nim cele oraz stopień i jakość ich realizacji.
    linuxtorpeda wrote:

    Pracodawców interesuje jedynie to, co robiłeś u poprzednich pracodawców. Pytania o projekty realizowane w czasie wolnym, zainteresowania czy przeczytane książki to domena rozmów kwalifikacyjnych na stanowiska juniorskie. Szanujmy swój czas i nie mieszajmy pracy i hobby. Z definicji hobby to coś, co robimy, nawet jeśli nam za to nie płacą. Jeśli pracodawca oczekuje, że mam pogłębiać wiedzę domenową, to niech zorganizuje na to czas w trakcie pracy.

    U nas przed rozmową kwalifikacyjną jest test kompetencyjny, a następnie rozmowa z uwzględnieniem tematów z testu. CV to papierek, ale odpowiednią wiedzę sprawdza się również w praktyce na trzecim etapie rekrutacji. Po to też jest okres próbny aby zweryfikować wiedzę i podejście do pracy nowych pracowników.
    Warunki rekrutacji jakie wymieniasz to tylko w przypadku kształcenia pracownika od zera. Wtedy kryteria oceny są inne.
  • #27
    linuxtorpeda
    Level 23  
    Trochę odbiegliśmy od głównego tematu. Odpowiem więc tylko na wybrane fragmenty, by nie przedłużać offtopicu.

    lukaszd82 wrote:
    To administrator odpowiada za wdrażanie poprawek odpowiedzialnych za bezpieczeństwo. Jeśli zostanie wykryta nowa podatność to należy niezwłocznie podjąć kroki do mitygacji zagrożenia. Żaden plan nie ma tu żadnego zastosowania.

    Planem jest wdrożenie łatek. Administrator nie robi niczego innowacyjnego, nie szuka dziur w używanym oprogramowaniu. Jak tylko dostanie informację o nowej podatności, instaluje aktualizację, którą dostaje od vendora softu, i tyle.

    lukaszd82 wrote:
    Mój pracodawca płaci za kursy, mamy plan szkoleń i rozwoju.

    lukaszd82 wrote:
    Po to pracodawca wysyła kogoś na szkolenie, by wiedza tam zdobyta została wykorzystana w odpowiedni sposób. Po to się dobiera ścieżki rozwoju i budowy kompetencji dla zespołów.

    Jeśli pracownik sam decyduje, czy na szkolenie pójdzie, to jest to fajny bonus od pracodawcy. W przeciwnym wypadku skuteczność nabywania wiedzy przez pracownika w tej formie jest bliska zeru. Nie bez powodu w tradycji akademickiej wykłady były nieobowiązkowe. Jedyna rzecz, jaka powinna być rozliczana w pracy, to efekt, a nie pozory, takie jak podejście do pracy czy udział w szkoleniach.

    Nie będę się odnosić do wycieczek osobistych, bo szkoda mi czasu na pyskówki. Powyższy opis pracy raczej by mnie nie zachęcił do aplikacji.