Comments 11
П.сы. Огромное спасибо автору @labyrinth, за ссылку на тот самый, упомянутый инцедент.
Ну вот собственно...
https://www.interfax.ru/business/825532
У Яндекса, сотрудник, вынес данные клиентов.
Надесь, не все так просто, как я нарисовал. За админской панелью не новички.
Мне кажется, что это в любой области, просто сотрудники перегружены и многое не успевают.
Чем жёстче система, тем больше сил тратиться на обход... Видимо природа. Самый простой способ и самый проблематичный - придуманные баги. Пользователи начинают искать поводы и возможности не пользоваться системой вообще. Тот же Х5 - хороший пример. Нельзя делиться данными в системе - будем фоткать и слать в ватсаппе.
Хотя, конечно, тут обычная проблема энтерпрайза - те кто работают с системой не имеют влияния на разработку. Так для руководителя магазина (человека на месте) важные ему данные, кто то там на верху (человек в кресле) решил закрыть. Эти люди в кресле создают 20 замков на одну дверь, а по итогу мы часто видим, что на месте дверь оставляют открытой, потому что по другому работать невозможно.
Статья не о том. Натягивая стандарты мы зачастую, выражаясь образно, имеем замыленный глаз. Как в упомянутом выше опыте переносчика данных, чувак воспользовался стандартным функционалом. Создал письмо, зааттачил файл, сохранил черновик. Открыл на другом устройстве и благополучно все сохранил.
Аналогично с ТСД. Вроде софт не приконнектить. А шариш блютуз, и инсталируешь что хочешь.
Пс. В продолжение истории с x5... Сегодня, по работе был на другом магазине. Там пароль от рабочей станции прям на мониторе висит. И самое смешное он аналогичен нашему. Дальше без комментов.
Не удивлюсь если бы сядь за комп на пару минут, отжал бы с хрома пасс и этого Дира, и ещё один объект взломан. Ну как то так...
Так вопрос в чем? Нет функционала закрытого менеджера? Так это нужно просто задатся вопросом. А нафига, если не имеют за это. Будем шарить цап.
Смысл в том, что заказчики системы на другой планете живут. Безопасность обратнопропорциональна продуктивности. Вводя перегибы через софт и полики, получают уязвимости в виде "раздолбайства" и обходных путей.
Дело не в намыленом глазе, а в оторванности от реальности. Безопасность ради безопасности. Системы строят для работы, а не для пентестеров. Так что нужно смотреть, что и как происходит на "земле" и подстраивать безопасность под реали. Пытаться предотвратить распространение данных с экрана, в мире, где у каждого в кармане смартфон с фото и нетом - веселое занятие. Надо работать с людьми.
Пример под вашу статью - делали мы переносные терминалы для работников заправки. Как и с вашим ТСД - закрытый андройдный девайс. Заказчик притащил опытный образец с Китая. Сказал, что там под заказ всё сделали. Прям супер надежно и по стандартам (для заправок есть свои ГОСТы). Действительно - оказалось супер защищено. Способа поставить тот софт, который мы делали для этого заказчика, так и не нашли. Второй образец можно было подключить через спец. кабель. Поставили. Заказчик довольный улетел в свои гондурасы, прошил сотни девайсов, разослал их по станциям и...Он вдруг понял, что нужно будет сделать апдейт. И было два варианта:
собрать все девайсы, перепрошить и разослать обратно
выслать кабель и прошивать на месте
С циклом релиза софта каждые 2 месяца и работой АЗС 24/7, какой вариант он выбрал?
Так что дорогие кастомные кабели для защищенных устройств валялись пачками на каждой заправке. Вскоре умельцы стали брать удобные планшеты для дома и перепрошивать.
Фото 2Гб, а нужно 1Гб.
Очень много орфографических ошибок.
Статья хорошая, но нужно доработать
ИТ безопасность. Человеческий фактор