Comments 26
Как показывает практика работы небольших и средних компаний, степень раздолбайства в них такая, что никакие внешние внедренцы и не нужны.
Некомпетентные администраторы покупают мощные модульные систему, а в итоге всё сливается через sql иньекцию на сайте, часть которого когда-то разработал знакомый из пту.
Тут вообще в статье какое-то тотальное растечение мыслью по древу: то «анализируем» угрозы в целом, то почему-то считаем, что USB — это главный «канал утечек» (почему? с чего это взяли? чем именно именно оно опасно?) и начинает иллюстрировать какой-то весьма «круто» выглядящий технологически, но абсолютно без каких-либо пояснений, зачем все это нужно, способ модифицирования флешек, с безаппеляционным выводом «Нет сомнений, что эта система работает» в конце. Что значит «работает»? А другие что — «не работают»? Да в общем, да, я согласен — через сеть и зачастую вообще без всяких инсайдеров (что крайне дорого и замороченно) все прекрасно сливается через первую же дырку на сайте, на который урезали бюджеты в свое время и наняли студентов…
… Вдруг перекидываемся на несчастные «программно-апаратные решения», долго демонстрируем некий «Аккорд» и, дав практически нулевую информацию о том, что это такое и почему это покупают, рассказываем, что это какая-то бяка, которая, по мнению автора, легко обходится… Ну, обходится, и что дальше? Как это относится к вышеупомянутому способу «крутой прокачки» флешек?..
Боюсь, что окончание со ссылками на «великий и ужасный» xakep.ru расставило всё по местам — довольно характерный поток сознанения :( — но всё-таки для хабра статью в том виде, как есть, еще дорабатывать и дорабатывать, по-моему…
… Вдруг перекидываемся на несчастные «программно-апаратные решения», долго демонстрируем некий «Аккорд» и, дав практически нулевую информацию о том, что это такое и почему это покупают, рассказываем, что это какая-то бяка, которая, по мнению автора, легко обходится… Ну, обходится, и что дальше? Как это относится к вышеупомянутому способу «крутой прокачки» флешек?..
Боюсь, что окончание со ссылками на «великий и ужасный» xakep.ru расставило всё по местам — довольно характерный поток сознанения :( — но всё-таки для хабра статью в том виде, как есть, еще дорабатывать и дорабатывать, по-моему…
Согласен. За инфу спасибо (я к примеру, был не в курсе), но для статьи материала слишком мало и он слишком разрознен
Благодарю за содержательный и полезный комментарий.
Согласен, материал представляет собой некую компиляцию мыслей и тем самым становится очень размытым, однако, взаимосвязь между «прокачкой флешки» и «Аккордом» есть, пусть и малозаметная.
Псевдоанализ угроз в начале статьи знакомит с проблемой инсайдинга в общих чертах и устанавливает контекст дальнейших мыслей. USB мы не считаем «главным каналом утечки», но демонстрируем варианты его эксплуатирования и пытаемся показать, что в подавляющем большинстве случаев инициализации этого вектора вполне достаточно для осуществления кражи информации. В завершении материала, упоминается существование специализированных программно-аппаратных комплексов, предназначенных закрыть каналы утечки подобного типа. На примере «Аккорда» рассматривается вариант «обхода» программно-аппаратного комплекса и сохранение вектора атаки в виде USB.
Спасибо.
Согласен, материал представляет собой некую компиляцию мыслей и тем самым становится очень размытым, однако, взаимосвязь между «прокачкой флешки» и «Аккордом» есть, пусть и малозаметная.
Псевдоанализ угроз в начале статьи знакомит с проблемой инсайдинга в общих чертах и устанавливает контекст дальнейших мыслей. USB мы не считаем «главным каналом утечки», но демонстрируем варианты его эксплуатирования и пытаемся показать, что в подавляющем большинстве случаев инициализации этого вектора вполне достаточно для осуществления кражи информации. В завершении материала, упоминается существование специализированных программно-аппаратных комплексов, предназначенных закрыть каналы утечки подобного типа. На примере «Аккорда» рассматривается вариант «обхода» программно-аппаратного комплекса и сохранение вектора атаки в виде USB.
Спасибо.
Спасибо за ответ :)
Вероятно, вы планируете некий цикл статей — соответственно, хотелось бы понять и по возможности помочь тому, чтобы он стал более читаемым и полезным.
У меня по материалу есть на самом деле простой вопрос. Поясните, пожалуйста, как из того, что из того, что на USB mass storage device можно отбить раздел памяти, который будет эмулировать USB CDROM device, следует то, что это тотальная угроза безопасности, конфиденциальности и т.д. и т.п.?
Вероятно, вы планируете некий цикл статей — соответственно, хотелось бы понять и по возможности помочь тому, чтобы он стал более читаемым и полезным.
У меня по материалу есть на самом деле простой вопрос. Поясните, пожалуйста, как из того, что из того, что на USB mass storage device можно отбить раздел памяти, который будет эмулировать USB CDROM device, следует то, что это тотальная угроза безопасности, конфиденциальности и т.д. и т.п.?
«Тотальность» угрозы слегка преувеличена, но недооценивать ее тоже вредно, и в этом, кстати, смысл статьи. Часто, отключая автозагрузку с внешних носителей типа CD-ROM, без внимания оставляют разрешенными на подключения устройства, использующие периферийные порты. В данном случае, на примере USB рассматривается процедура создания средства, которое в автоматизированном режиме осуществляет кражу информации (по сути, автозагрузка граббера), тем самым демонстрируются возможности злоумышленника в случае политики, разрешающей подключение периферийных устройств.
Спасибо за внимание к материалу.
Спасибо за внимание к материалу.
Все равно не очень понимаю.
1. Речь о загрузке PC и выборе/запрете на выбор откуда загружаться в BIOS/EFI или речь о каких-то механизмах автозагрузки в каких-то определенных операционных системах? (Windows? Mac? Linux?)
2. В чем принципиальная разница между «прийти со своим CD-R и воткнуть его существующий в привод», «прийти со своим USB CD-ROM и CD-R в нем» и «прийти с флешкой, которая будет представляться системе как USB CD-ROM» — особенно между последними двумя?
1. Речь о загрузке PC и выборе/запрете на выбор откуда загружаться в BIOS/EFI или речь о каких-то механизмах автозагрузки в каких-то определенных операционных системах? (Windows? Mac? Linux?)
2. В чем принципиальная разница между «прийти со своим CD-R и воткнуть его существующий в привод», «прийти со своим USB CD-ROM и CD-R в нем» и «прийти с флешкой, которая будет представляться системе как USB CD-ROM» — особенно между последними двумя?
Позвольте не согласится. Автор достаточно правильно отметил, что через USB происходит главная утечка данных.
Несмотря, на общее раздолбайство большинство администраторов в разделяют инфоструктуру на несколько частей, и взлом сайта вовсе не обеспечивает доступ ко всем необходимым ресурсам.
С USB ситуация несколько другая. Достаточно чтобы в компании работал свой человек (порой достаточно уборщицы). Он сможет незаметно слить всю информацию.
В остальном Я с вами согласен — тут много преувеличений. Ведь в конце концов USB можно отключить.
Несмотря, на общее раздолбайство большинство администраторов в разделяют инфоструктуру на несколько частей, и взлом сайта вовсе не обеспечивает доступ ко всем необходимым ресурсам.
С USB ситуация несколько другая. Достаточно чтобы в компании работал свой человек (порой достаточно уборщицы). Он сможет незаметно слить всю информацию.
В остальном Я с вами согласен — тут много преувеличений. Ведь в конце концов USB можно отключить.
Есть n-ное количество достаточно серьезных подходов к решению задачи обеспечения безопасности, и _все_ известные мне подходы начинаются отнюдь не с «а давайте сделаем X, от этого станет дико безопасно и круто», а с анализа, во-первых, того, _что_ мы пытаемся защищать, и уже во-вторых, _от чего_. Без решения этих вопросов называть USB — главным каналом утечки данных, как мне кажется, мягко говоря преждевременно.
В 99% случаев не требуется вообще каких-то нестандартных технических мер — они будут де факто бесполезны (например, совершенно смешными выглядят любые попытки бороться с флешками при наличии какого-либо подключения к интернет, хоть какой-то возможности физически повлиять на оборудование, подключиться к сети организации, или просто посмотреть глазами и унести в голове нужную информацию). В оставшемся 1% случаев речь идет о всевозможных сверхзащищенных местах, где обыск на входе, на выходе, постоянный визуальный контроль надсмотрщиков в процессе работы и т.д. и т.п. — и тем самым обычно задачи в постановке «защиты от флешек» тоже обычно не стоят.
В 99% случаев не требуется вообще каких-то нестандартных технических мер — они будут де факто бесполезны (например, совершенно смешными выглядят любые попытки бороться с флешками при наличии какого-либо подключения к интернет, хоть какой-то возможности физически повлиять на оборудование, подключиться к сети организации, или просто посмотреть глазами и унести в голове нужную информацию). В оставшемся 1% случаев речь идет о всевозможных сверхзащищенных местах, где обыск на входе, на выходе, постоянный визуальный контроль надсмотрщиков в процессе работы и т.д. и т.п. — и тем самым обычно задачи в постановке «защиты от флешек» тоже обычно не стоят.
и в больших также местами такие косяки делают, что страшно становится.
В самую точку.
Как бывший работник очень крупной компании подтверждаю правильность написанных слов. Степень раздолбайства невероятно высокая.
Как бывший работник очень крупной компании подтверждаю правильность написанных слов. Степень раздолбайства невероятно высокая.
Про некоторые гос. органы вообще молчим…
UFO just landed and posted this here
Я бы про Аккорд почитал более подробно и именно от тех, кто их реально внедрял, а не весь тот маркетинговый хлам.
редкостное говно. К тому же, драйвер этого девайса определялся эвристиком антивируса как троян и успешно выгружался из памяти. Такая вот защита.
А чем там драйвер занимается? Аккорд не видел, но его ближайший конкурент (соболь) занимается тем, что перехватывает управления и пересчитывает контрольные суммы указанных файлов. (ну и спрашивает пароль\таблетку естественно)
А в win программка, в которой нужно указать файлы целостность которых нужно проверить. На что влияет выгрузка драйвера?
А в win программка, в которой нужно указать файлы целостность которых нужно проверить. На что влияет выгрузка драйвера?
UFO just landed and posted this here
Учащийся на «Защите информации» detected!
Хм, что только не придумают. Ещё бы 3g модемы так заюзали: оставить на видном месте, кто-то найдёт, втыкнёт, информация найдётся и отправится через канал модема :) автономнее некуда
в реальной жизни широко практикуется шантаж/подкуп лица или круга лиц, имеющих доступ к определенной информации. Большинство из «лиц» уровня замов любят, к примеру, перепихнуться с секретаршей, но боятся сказать об этом жене и детям. Именно такие замы и сливают конкурентам потом все, о чем их попросят.
Как говорил мой преподователь: решить проблему можно любую и многими способами, вопрос всегда в другом — окупиться ли такое решение?
У нас когда крупный завод закрывали, то решили «крутое» оборудование пустить хоть куда, хоть на производство лопат! Но посчитавь себе стоимость, вышло что лопата стоила бы 500 рублей (грубо говоря).
Вот именно поэтому, на мелких предприятиях полный крах в плане безопасности. А зачем она? Что там красть? 1с бухгалтерию и все? Если нужно, бухгалтеру дали на лапу, он тебе распечатал и принес что нужно. И никакие там «платы» и защиты не помогут. Платите людям хорошую зарплату и все будет хорошо.
У нас когда крупный завод закрывали, то решили «крутое» оборудование пустить хоть куда, хоть на производство лопат! Но посчитавь себе стоимость, вышло что лопата стоила бы 500 рублей (грубо говоря).
Вот именно поэтому, на мелких предприятиях полный крах в плане безопасности. А зачем она? Что там красть? 1с бухгалтерию и все? Если нужно, бухгалтеру дали на лапу, он тебе распечатал и принес что нужно. И никакие там «платы» и защиты не помогут. Платите людям хорошую зарплату и все будет хорошо.
Я не понял, зачем городили огород с U3. Информация с read-only раздела всё равно запустится, даже если администратор запретил подключение USB-устройств?
>> Однако устройства подобного класса зачастую теряют всякий смысл, когда злоумышленник имеет физический доступ к целевому ПК
Если злоумышленник имеет физический доступ к ПК, то это уже выходит за рамки информационной безопасности. Много чего становится беззащитным при физическом доступе.
Автозапуск, конечно, нужно отключать, но полностью запрещают работу usb устройств только те, кто не смог найти нормальное решение. Самое главное, чему меня научили (что я запомнил лучше всего) на специальности компьютерная безопасность, это что «политика безопасности должна быть адекватной». В этом состоит самое тонкое искусство безопасности, чтобы оставив по возможности максимум функционала в распоряжении пользователей сделать систему безопасной. А не так, что проблему безопасности решают путем урезания на компьютере 90% функций, что только калькулятор и 1С можно запускать.
Если злоумышленник имеет физический доступ к ПК, то это уже выходит за рамки информационной безопасности. Много чего становится беззащитным при физическом доступе.
Автозапуск, конечно, нужно отключать, но полностью запрещают работу usb устройств только те, кто не смог найти нормальное решение. Самое главное, чему меня научили (что я запомнил лучше всего) на специальности компьютерная безопасность, это что «политика безопасности должна быть адекватной». В этом состоит самое тонкое искусство безопасности, чтобы оставив по возможности максимум функционала в распоряжении пользователей сделать систему безопасной. А не так, что проблему безопасности решают путем урезания на компьютере 90% функций, что только калькулятор и 1С можно запускать.
Как все сложно то, инсайдеры, техсредства… Не знаю, как в вашей моркве, а в замкадье админы мотивированы волшебным пендалем, заплатите им пару-тройку штук баксов и они все вам сами сольют.
Sign up to leave a comment.
Угрозы Inside: инициализируем каналы утечки корпоративной информации