Pull to refresh

Comments 26

СПБ, площадь Восстания, бизнес-центр, 2-й этаж, на пожарном щите лежит ключ от серверной.

По-моему, в такой ситуации, без социальной инженерии можно и обойтись.

Хотя, охранника на входе в здание пройти придётся... Но фраза "я в 202-ю" срабатывает всегда.

СПБ, площадь Восстания, бизнес-центр, 2-й этаж, на пожарном щите лежит ключ от серверной.

Вот сейчас Вы кому-то security through obscurity просто вдребезги разнесли. Как злоумышленники из условной Москвы могли узнать, что в каком-то доме в каком-то городе на какой-то полке лежит какой-то ключ от хрен знает чего, а охраннику на входе надо сказать ключевую фразу? Но тут приходит добрая и щедрая душа, и всё заверте...

Название площади изменено. Остальное - полная правда.

Как всегда в случае массовой проблемы, первый вопрос - какое количество тех, кто должен быть в состоянии выполнять эти правила, действительно в состоянии это делать.

в состоянии это делать.


Тут народ присылает сотрудникам файлы с личной ЭЦП (секретный ключ) и по телефону диктует пароль :)

Именно об этом и речь.

Потому все эти правила в реальном контексте могут не иметь вообще никакого смысла, являясь частью административного подхода. В случае, если нужно обеспечить безопасность в контексте сотрудников-олигофренов, работают только инженерные методы.

Инженеры, сисадмины тоже люди - в итоге один стандартный пароль админа на всю компанию... и при этом как ни странно годами все работает, просто потому что ты "Неуловимый Джо". Это как замок в квартире, там много всяких зубчиков на ключе, выглядит сложно, но откроют его за секунду, если надо...

в итоге один стандартный пароль админа на всю компанию.


Стандартная ситуация — в помещении висит бумажка, на которой огромными буквами напечатан пароль от вай-фая (огромными — так как многие и найти этот листок не могут :)
Причем и сам пароль всегда прост до безобразия.

Если гости - в отдельном VLAN, то ничего криминального в такой практике не вижу.

Если гости — в отдельном VLAN


Нет, конечно.

Это тема отдельной статьи — разрыв в мышлении специалистов по инфобезу и массовым сознанием неспециалистов в этой области.

Это как две разных планеты.
(тема была поднята и раскрыта еще в «Хакере в столовой», с тех пор она стала еще более актуальной в связи с массовостью явления и нуждается в серьезной проработке :)

Это как раз тот самый человеческий фактор - был нормальный админ, был отдельная сетка с инетом без доступа внутрь, как положено. Уволили по оптимизации - все местного админа нет, всем побарабану - сеть конторы открыта... Максимум, пришлют письмо типа этой статьи, типа "мы работали"...

Не должен админ заниматься инфобезом:
1) это две разные роли,
2) которые должны соревноваться ("перетягивать канат" бюджета и внимания руководства).

Совмещение их в одной человеческой голове - прямиком к шизе множественной личности. Но чаще произвольный выбор стороны и игнорирование обязанностей стороны противоположной.

Учитывая сказанное выше, отчаянно мешают любой конторе существующие т.н. "безопасники" с силовым, а не техническим бэкграундом - если начальство не различает эти вещи, т.е. в большинстве случаев.

Игнорирование обязанностей стороны противоположной - вот именно это и происходит если админам пофиг. Им не всегда пофиг, сколько видел хороших админов, хотя бы на элементарном уровне они поддерживают безопасность. А нанимать отельных полицейских, чтоб стояли у всех за спиной - такое себе могут позволить банки и подобные учреждения. Им эта статья и не нужна...

Мой пойнт прямо противоположный: нормальная ситуация именно та, когда админ и айти-безопасник - люди разные и оба для конторы свои.

А не та, когда второго подменяют мутными полицаями-аутсорсерами, которые (например) внезапно сканируют сеть и насилуют админов обновить антивирус касперского везде (включая изолированные от интернета сегменты и собственные админские воркстанции).

Потом, к счастью, надолго пропадают переваривать "заработанное".

Я - за то, чтобы эти средства перенаправить на собственный инфобез.

Мне кажется, вы не знаете, в чём разница между административным и инженерным методом. Это не имеет отношения к тому, кто (инженер или менеджер) является источником той или иной меры.

Это имеет отношение к тому, что при инженерном решении невозможно или практически невозможно совершить действия иначе чем желательным способом. А при административном - их просто запрещено (на словах) совершать нежелательным способом.

Проблема в том, что инженерный метод осуществляют живые люди. Как пример, где-то в оборонке закрытый цех, вход чуть ли ни голышом, по наряду. Железобетонно - флешку не пронести. Только вот все провода наружу в не секретную часть выведены) И никто никогда безопасникам об этом не скажет, просто иначе они парализуют всю работу...

сотрудников-олигофренов,


Дело в том. что людям никто не рассказал о том, что такое ЭЦП и как ей правильно пользоваться.
Просто было дано распоряжение — получить и использовать.
В обязательном порядке и срочно.
И не…
Мы указали только популярные форматы.


PDF пропустили, а сейчас файлов в таком формате большинство (все распоряжения сверху и проч)

(и да, огромное количество людей убеждено в том, что в файлы в формате pdf нельзя внести изменения :)
Подобранные (на территории предприятия или в домашнем подъезде, неважно) носители информации (флеш-карты памяти, диски и т.д.)


Много раз слышал подобные предупреждения, но не разу разбросанных флешек и проч. не видел. И, с учетом тенденций (флешками практически никто не пользуется уже) — наверное уже не увижу.
(разве что разбросанные пентестерами :)

А вот забытые пользователями флешки мы складывали в специальную коробочку и ждали возвращения растеряхи. Но увы, примерно в 50% никто за ними не приходил (так как народ забывал где он их забыл).

Вставлять же эти флешки в комп — считалось сродни воровству (так как на флешке могли быть личные данные, типа интимных фото и прочего).

Разбрасывание таких флешек, говорят, очень быстро отучает граждан от пихания всякой найденной на улице фигни куда не следует.

Я совершенно не понимаю, зачем разбрасывать, если можно попросить воткнуть почти что угодно почти куда угодно какого-нибудь уборщика.

Первое правило: ВСЕ, что написано ДО знака «@» – неважно!

На самом деле - все, что написано в поле От (From) - можно смело игнорировать, так как это поле может быть заполнено чем угодно. Адрес отправителя можно увидеть только в служебных заголовках. О которых рядовой пользователь не имеет н и малейшего понятия

Адрес отправителя можно увидеть только в служебных заголовках.

Да и в служебные заголовки запихнуть что угодно. (S — принимающий, C — отправляющий)

  S: 220 foo.com Simple Mail Transfer Service Ready
  C: EHLO bar.com
  S: 250-foo.com greets bar.com
  S: 250-8BITMIME
  S: 250-SIZE
  S: 250-DSN
  S: 250 HELP
  C: MAIL FROM:<Smith@bar.com>
  S: 250 OK
  C: RCPT TO:<Jones@foo.com>
  S: 250 OK
  C: DATA
  S: 354 Start mail input; end with <CRLF>.<CRLF>
  C: Привет, хабр!
  C: Вот и всё письмо.
  C: .
  S: 250 OK
  C: QUIT
  S: 221 foo.com Service closing transmission channel

На строчке MAIL FROM: я могу любую лабуду в качестве адреса послать — хоть biden@whitehouse.gov — и сервер никак это проверить не может, приходиться верить на слово.

P.S. Если вы думаете, что можете отличить валидный email-адрес от невалидного, то, скорее всего, ошибаетесь.

Контора конторе рознь.
Во многих конторах просто нет ничего мало мальски секретного. Пытался как-то повлять на одну знакомую - директора/владелицу хэдхантерской конторы - она сказала, что вся инфа моментально устаревает, поэтому нет никакой необходимости её защищать.
Очень много бизнесов держатся в первую очередь на связях - от инфы чужому человеку толка нет.
Но есть конечно другая сторона - скажем шифровальщики/потеря инфы могут доставить немало проблем.

Во многих конторах просто нет ничего мало мальски секретного.


Компромат всегда можно найти и везде.

... или использовать добытую "не секретную" информацию для более глубокой целенаправленной атаки.

Sign up to leave a comment.

Articles