Comments 24
Генеральный директор крупной российской энергетической компании «заразился» на своём домашнем ноутбуке вредоносным кодом WannaCry. Это произошло в пятницу вечером, как раз когда WannaCry стал распространяться по миру. В субботу утром директор привез на работу зараженный ноутбук. Ну а куда его ещё привезти? Дома нет своих IT-специалистов, а на работе они есть.
Пока эти специалисты, срочно вызванные генеральным директором, ехали на работу, вредоносный код успела распространиться по корпоративной сети, потому что генеральный директор подключил этот ноутбук к корпоративной сети. Автоматом он подключился, после чего даже изолированные от внешнего мира корпоративная сеть, пострадала от WannaCry.
Все что нужно знать про безопасность изолированных, сертифицированных, регламентированных, и все из себя, корпоративных сетях.
К сожалению, от этого никуда не убежишь. Человеческий фактор…
в изолированных сетях значимость этого фактора серьёзно возрастает.
Да я бы не сказал, что есть особенная разница.
Даже если сеть не изолирована, а «обычная офисная», человеческий фактор всё равно обычно может нанести наиболее внезапный и ощутимый ущерб.
Например, вышеописанная история случилась почти один в один на одной из моих работ, только в открытой сети. Точно так же высокопоставленный пользователь принёс заражённое устройство, у него хватило ума подключить его в сеть. Заразить другие хосты не получилось, но зато пользователь авторизовался в локальной сети и зловред, выдержав театральную паузу до вечера, перешифровал все сетевые ресурсы, до которых дотянулся, причём делал это неспешно (видимо, чтобы не сработал поведенческий анализ, который тогда уже встречался в антивирусах).
Даже если сеть не изолирована, а «обычная офисная», человеческий фактор всё равно обычно может нанести наиболее внезапный и ощутимый ущерб.
Например, вышеописанная история случилась почти один в один на одной из моих работ, только в открытой сети. Точно так же высокопоставленный пользователь принёс заражённое устройство, у него хватило ума подключить его в сеть. Заразить другие хосты не получилось, но зато пользователь авторизовался в локальной сети и зловред, выдержав театральную паузу до вечера, перешифровал все сетевые ресурсы, до которых дотянулся, причём делал это неспешно (видимо, чтобы не сработал поведенческий анализ, который тогда уже встречался в антивирусах).
Если я правильно помню, WannaCry использовал уязвимость, которая была пропатчена за месяцы до его появления.
Видимо, регламенты в сети были не очень, если обновления накатывались с такой задержкой. Или наоборот, слишком — работал в подобной компании, где всё было «очень закрыто и сикретно» и, как следствие, обновлять ПО там не любили — во-первых, все изменения ПО согласовывались, во-вторых — «раз у нас даже доступ в Интернет отрезан и носители информации запрещены, обновляться часто ни к чему».
Как вы догадываетесь, подобные инциденты там случались. Редко, но метко :)
Видимо, регламенты в сети были не очень, если обновления накатывались с такой задержкой. Или наоборот, слишком — работал в подобной компании, где всё было «очень закрыто и сикретно» и, как следствие, обновлять ПО там не любили — во-первых, все изменения ПО согласовывались, во-вторых — «раз у нас даже доступ в Интернет отрезан и носители информации запрещены, обновляться часто ни к чему».
Как вы догадываетесь, подобные инциденты там случались. Редко, но метко :)
А в 2009 году ровно по той же схеме прошелся kido/conficker, ровно в тех же все из себя регламентированных сетях. Обновление есть, но ставить его нельзя. А если и можно ставить, то только с использованием супер-защищенной флешки и тд.
И если тогда этих сетей было мало, то к 2017 году куча организаций решила снова пройти по этим граблям. Зато они удовлетворяют всяким 152-ФЗ и персональным данным, ага, на бумаге.
На вопросы, что вы будете делать, когда придет kido v2.0, все отмахивались руками и ногами. И он пришел, снова, через ту же самую дверь, 445 порт.
И если тогда этих сетей было мало, то к 2017 году куча организаций решила снова пройти по этим граблям. Зато они удовлетворяют всяким 152-ФЗ и персональным данным, ага, на бумаге.
На вопросы, что вы будете делать, когда придет kido v2.0, все отмахивались руками и ногами. И он пришел, снова, через ту же самую дверь, 445 порт.
Не нашел самого очевидного метода — подкупа сотрудника
удавалось карась информацию
Е6н карась!)))Перед картинкой British Airways
протокол DNS использовался для того, чтобы в названии домена происходила утечка информации
Да это же старый добрый tcp over dns ;) habr.com/ru/post/129097
Ок, чтобы не беспокоить смотрящего, уменьшим пропускную способность туннеля. Ограничим длину доменного имени до 20 символов.
UFO just landed and posted this here
Меня всегда интересовало почему хакеры всегда оказываются умнее тех, кто учился на безопасность и всегда их опережают
Я бы не был так категоричен, на счёт ума. Хакеров гораздо больше (хакером может быть любопытный школьник) и математическая вероятность найти случайно уязвимость на их стороне.
Всегда есть способ что-либо сломать. Придумайте самый хитрый замок, дверь или средство защиты и обязательно найдётся кто-то, кто решит открыть замок под другим углом ключа, принесёт старый лом и оторвёт ушко у двери или, банально, перепрыгнет забор.
Невозможно придумать универсальное решение всех проблем, как бы оно не было прискорбно.
Возьмём даже протокол TLS 1.3, о котором говорится в статье. Была себе версия 1.2. Жила хорошо, все пользовались. Сделали апдейт до версии 1.3 и получили непредвиденный краш подключения. Почему? Ошибка ли расчёта или сбой системы? Всё банально и просто. Из-за того, что TLS особо не менялся, штуки вроде файрволов, NAT и балансировщиков нагрузки отказались работать с новой версией протокола. Назвали этот феномен «оссификация» (окостенение). Как дверь если долго не открывать, петли ржавеют и открывается она со скрипом.
Об этом узнать можно только наткнувшись на проблему. Предугадать такое развитие событий, практически, невозможно.
Возьмём алгоритм шифрования AES (оригинальный). Как мы знаем, взломать его невозможно (пока), но, во-первых, придуман метод угадывания результата на нейронках (в статье об этом говориться), а во-вторых, обязательно найдётся раздолбай, который в тупую угадает ключ. Вероятность этого крайне мала, но она есть. Своего рода парадокс Монти Холла, когда выбрал ту дверь, за которой кабриолет.
Всегда есть способ что-либо сломать. Придумайте самый хитрый замок, дверь или средство защиты и обязательно найдётся кто-то, кто решит открыть замок под другим углом ключа, принесёт старый лом и оторвёт ушко у двери или, банально, перепрыгнет забор.
Невозможно придумать универсальное решение всех проблем, как бы оно не было прискорбно.
Возьмём даже протокол TLS 1.3, о котором говорится в статье. Была себе версия 1.2. Жила хорошо, все пользовались. Сделали апдейт до версии 1.3 и получили непредвиденный краш подключения. Почему? Ошибка ли расчёта или сбой системы? Всё банально и просто. Из-за того, что TLS особо не менялся, штуки вроде файрволов, NAT и балансировщиков нагрузки отказались работать с новой версией протокола. Назвали этот феномен «оссификация» (окостенение). Как дверь если долго не открывать, петли ржавеют и открывается она со скрипом.
Об этом узнать можно только наткнувшись на проблему. Предугадать такое развитие событий, практически, невозможно.
Возьмём алгоритм шифрования AES (оригинальный). Как мы знаем, взломать его невозможно (пока), но, во-первых, придуман метод угадывания результата на нейронках (в статье об этом говориться), а во-вторых, обязательно найдётся раздолбай, который в тупую угадает ключ. Вероятность этого крайне мала, но она есть. Своего рода парадокс Монти Холла, когда выбрал ту дверь, за которой кабриолет.
Меня всегда интересовало почему хакеры всегда оказываются умнее тех, кто учился на безопасность и всегда их опережают
Это только кажется, что хакеры умнее.
Мы получаем данные из средств массовой информации, журналистов.
Журналисты пишут только плохие вещи, а хорошее происходит, но игнорируется…
Сравниваем, безопасники остановили хакеров, хорошая новость, игнорируется журналистами.
Вторая новость Хакеры взломали систему, плохая новость. Новость публикуется всеми журналистами на самых первых полосах сайтов, газет и в лучшее время телевидения.
Это просто плохой отбор новостей.
Об этом узнать можно только наткнувшись на проблему
Почему нельзя самим создавать эти проблемы и учиться их решать раньше хакеров?
Почему нельзя самим создавать эти проблемы и учиться их решать раньше хакеров?
Ещё раз. Хакеров гораздо больше (хакером может быть любопытный школьник) и математическая вероятность найти случайно уязвимость на их стороне.
Так этим постоянно занимаются.
Есть тестирование, есть аудит, есть пентест — и всё это во множестве вариаций.
Но есть несколько проблем:
— злоумышленников гораздо больше, часто их число вообще практически неограничено;
— сложность систем постоянно растёт, равно как и зависимость их друг от друга, соответственно, возможные сценарии постоянно множатся;
— человеческий фактор (это не обязательно «пользователь-идиот», это может быть неправильное внедрение, например);
— компромисс между удобством и безопасностью (20-ти значный пароль безопаснее шестизначного, но пользователи Одноглазников попросту не будут таким пользоваться).
Если бы этим вообще не занимались, то пользоваться информационными системами вы бы в принципе не могли — как можно пользоваться банком или даже электронной почтой, которая в любой момент может быть взломана? Но сейчас в общем случае это не так, большинство сервисов могут обеспечить свою безопасность на приемлемом уровне.
Есть тестирование, есть аудит, есть пентест — и всё это во множестве вариаций.
Но есть несколько проблем:
— злоумышленников гораздо больше, часто их число вообще практически неограничено;
— сложность систем постоянно растёт, равно как и зависимость их друг от друга, соответственно, возможные сценарии постоянно множатся;
— человеческий фактор (это не обязательно «пользователь-идиот», это может быть неправильное внедрение, например);
— компромисс между удобством и безопасностью (20-ти значный пароль безопаснее шестизначного, но пользователи Одноглазников попросту не будут таким пользоваться).
Если бы этим вообще не занимались, то пользоваться информационными системами вы бы в принципе не могли — как можно пользоваться банком или даже электронной почтой, которая в любой момент может быть взломана? Но сейчас в общем случае это не так, большинство сервисов могут обеспечить свою безопасность на приемлемом уровне.
Sign up to leave a comment.
17 способов проникновения во внутреннюю сеть компании