Как стать автором
Обновить

Комментарии 99

Красиво. Но смущают, как минимум, два момента. Первый: что сложного найти контроллер домена? В AD они перечислены в DNS, а тот, через который прошла аутентификация, видно через локальный вызов утилиты set. Второе: перехват. Даже в своей подсети бродкаст должен быть ограничен свитчами. Максимум, который вы можете увидеть это запросы вида «Whois IP». Если вы атакуете свитч для переключения его в хаб и это удается, то не подойдет под описание ситуации с проглядевшими такое злыми админами. Или я что-то не так понял?
Свичи могут быть в VLAN, тогда бродкасту пофиг что там вокруг, он пойдет по логической подсети, а не физической.
мне кажется, вы немного ошибаетесь. почитайте, что такое свитч и как он работает.
Я поддерживаю предыдущего оратора. Я всетаки хотел бы услышать от вас аргументы. По моему мнению бродкаст пакеты должны быть видны в пределах всей логической сети (VLAN), т.е. вполне вероятно за пределами одного физического коммутатора. Подскажите, почему это не так.
Потому что LSA общается по юникасту, а коммутаторы (в отличии от хабов) шлют его только в порт назначения.
Никогда бы не подумал, что на Хабре придется рассказывать чем коллизион домен отличается от бродкаст домена и чем юникаст отличается от бродкаста. В общем, если совсем кратко, то задача свитча заключается в том, чтобы запрос, который пришел от устройства А, подключенного к порту 1 для устройства Б, подключенного к порту 2, ушел на порт 2 и больше никуда. Соответствие «устройство-порт» свитч держит в своей памяти. Когда свитч обучается, он заполняет таблицу. В этот момент запросы могут пробегать по любым портам. Но момент этот очень короткий. После обучения свитч в силу своего предназначения не пропустит трафик на чужой порт. Только бродкаст запросы «Whois IP» в процессе обновления таблицы в памяти. Поэтому, например, если вы сидите на порту 3 и пытаетесь его снифить, то единственное что вы там должны увидеть при правильной настройке это сообщение «IP такой-то, какой у тебя MAC, ответь IP такому-то с MAC такой-то». Как только адресат найден, его трафик остальным становится невидим.

Может быть случай, когда у свитча заканчивается память. Например, в сети много устройств и все их МАС адреса в память свитча не влезли. Тогда он переключается в режим хаба. Это аварийный режим. В нем свитч превращается в электрически прозрачный хаб, т.е. из устройства управления трафиком становится тройником для подключения витой пары. Поэтому ряд атак на свитч как раз построены на принципе переполнения таблицы адресов свитча. Но в свитчах от этого есть защита.

Если кратко, это все.
НЛО прилетело и опубликовало эту надпись здесь
поясните свое возражение. что для взлома вы увидите в бродкасте?
НЛО прилетело и опубликовало эту надпись здесь
так, осталось только уточнить, для чего нужен бродкаст. В основу изернет сетей положен бродкаст. Но свитч превращает передачу в юникаст. В сети с хабами это не получится и там вы будете видеть весь трафик.
Обучалка Responder
А теперь копаем дальше, если послать запрос по IP сегмента сети и который не будет в таблице маршрутизации, то да здраствует бродкаст или мультикаст скорее.
Responder позволяет подставлять себя вместо служб Windows и в итоге траффик будет идти к нему.
Я не возражаю, что способов взлома вагон и маленькая тележка, но описанное не сработает там, где тебя отлавливают по активности PS. Ты не подключишь левое оборудование, на выданное оборудование ты не поставишь левый софт, все подключения мониторятся на права и здоровье. Появление всего левого будет тут же давать алерт. А уж затеряться в сети. Ну-ну.
Хмм, powershell используется многими инсталлерами, так что в крупной организации этот alert потеряется.

Более того: если есть четкое понимание того, что PS и CMD заблокированы, то можно попытаться забросить просто свою программу на комп (ну там скопировать файл с docx, который является архивом, потом распаковать его, скопировать неприметный jpg файл и потом сменить расширение на exe).
не получится. вы пишите политику доверенного ПО и запускается только то, что можно.

А, да, тут вы полностью правы. Если множество файлов с правами на запись не пересекается с множеством файлов с правами на запуск, то проблема по сути решена. Однако зачастую это просто невероятно сложно.


Однако код можно вызвать из кучи мест:


  • Командная строка (даже сценаристы фильмов про это знают)
  • VBA скрипты Excel'а и других офисных программ. При желании можно дать права на общение с Win API (такие права дает сам пользователь).
  • vbs скрипты и прочая некрофилия.

Дело в том, UncleBance, что как бы вы не запрещали утечки данных, вы придете к одному из трех (в большинстве случаев):


  • На компах невозможно эффективно работать: там старый (зато проверенный) софт, всё запрещено и обрезано, интернета нет, клавиатуры запрещены (иначе можно помигать светодиодом и передать информацию), удаленного доступа нет.
  • На компах можно таки работать, однако есть известные способы утечки данных. О них знают админы, знает бизнес, потому работники слегка запугиваются УК и т.д. (в стиле: продашь нашу базу — сядешь). Кстати, это самый приемлемый способ, с моей точки зрения.
  • Самый частый (с моей точки зрения): админы и бизнес гордо заявляют, что украсть ничего нельзя, всё закрыто политиками и крутостью ПО. Однако работнику нельзя пожаловаться на уязвимость (ведь по бумагам всё закрыто, т.е. уязвимости быть не может), а потому на деле это предыдущий пункт, просто про каналы утечек данных не знают даже админы.
Я скажу даже больше. Любые технические средства лишь повод для административного разбирательства. Т.е. вы фиксируете нарушение техническими методами и передаете в административный ресурс для принятия мер. Ведь даже взломанная сеть вас уволить не сможет (смайлик).
Прочитайте текст внимательно.
Их NAC не охватывал всю сеть: любое подключение из рабочей кабинки было доверенным.
НЛО прилетело и опубликовало эту надпись здесь
оно там и не присутствует и не отсутствует. VLAN — это виртуальное воплощение физического сегмента. У вас в витой паре такое понятие, как широковещательный IP адрес есть?
Снаружи (с т.з. глаз) — «хаб», «простой свич» и «VLAN-свич» выглядят одинаково: коробка с разъёмами для подключения портов. А вот работают они по-разному.

Хаб тупо ретранслирует любой сигнал во все порты, кроме того, откуда сигнал пришёл. Передача сигнала начинается сразу же по приходу — т.е. задержки околонулевые.

Простой свич принимает пакет целиков (ну или хотя бы заголовок) и по своим таблицам пытается определить — куда его надо отправить. Т.е. если адрес назначения в пакете недавно был в другом пакете адресом отправителя — то этот адрес будет в таблице; и свежий пакет отправится туда.
Если же в таблице нет такого адреса — то пакет рассылается по всем портам.
Очевидно, что броадкастовые адреса в таблицу не попадаются — и броадкастовые пакеты всегда рассылается по всем портам.

VLAN-свич в простейшем случае — это как бы несколько отдельных (не соединённых между собой) простых свичей. А т.к. эти виртуальные простые свичи ничем не соединены — то ни уникаст, ни броадкаст, ни ведьма в ступе не могут перейти из одной VLAN в другую (вот ответ на Ваш вопрос: «отсутствует», «не будет разлетаться»).
В более сложном случае — часть линков работает в транк-режиме («линк» == «два порта на концах линка»). При правильной настройке — вся группа VLAN-свичей выступает как единый VLAN-свич; соответственно, к ней (группе) относится то, что написано выше.
Что же касается при неправильной настройки — то тут возможно многое.

PS: Не надо ругаться. Лучше почитайте хотя бы Википедию.
НЛО прилетело и опубликовало эту надпись здесь
Ой, токи не надо так упрощать…

Есть хабы, есть неуправляемые свитчи, есть упраляемые уровней L2 и L3… а есть продукция компании Hewlett Packard Enterprise. А конкретнее — HPE 1910-48 — скопированный со старого свитча 3COM Baseline Switch 2952-SFP Plus. А так же другие изделия HPE и ZyXEL серии 1910.

Так вот… эти чудо-приборы соединить между собой можно только одним транковым кабелем. Хоть напрямую, хоть через цепочку других свитчей. Ибо режим разделения портов на изолированные нетегированные VLAN (Port Based VLAN) реализован в них криво и косячно. Делишь порты на 2-3 отдельных VLAN, соединяешь каждый своим шнурком — связь рвется. Иногда между каким-то одним VLAN, иногда между обоими — еще звависит от того, задействованы или нет гигабитные порты.

4 месяца я писал в техподдержку HPE. В конце концов они сказали, что такое невозможно и используйте транковые каналы… Ты бач!!! У нас куча разных TrendNET, ZyXEL (1900 и 1920), D-Link и даже HPE 1620 — все поддерживат. А эти — нет. Да там поддерживать ничего не надо, на самом деле. Изоляция нетегированных VLAN между собой — это самая примитивная основа…

Короче, посоны, не покупайте это дерьмо серии HPE 1910 и ZyXEL GS1910. Как я почитал в Инете — это у них не единственный косяк в VLAN.

Я вот только сегодня столкнулся с такой же проблемой у другого производителя на вполне себе high-end свиче. И оказалось, что проблема в STP, который по умолчанию работает в режиме MSTP и строит одно дерево для всех VLAN'ов, о которых он вообще знать ничего не хочет. Поэтому канал между одним VLAN'ом работал, а между другим — отмечен как loop, переведен в режим discarding и оставлен в качестве альтернативы. Причем поскольку каналы были разные (10G и транк 4х40G), то альтернативным всегда оказывался более медленный канал.
И формально он был прав, там действительно в сети была петля, только она на логическом уровне (разные VLAN'ы) была заблокирована. Выключаешь на заблокированном порту STP и сразу все работает — но это только для проверки, иначе может потом аукнуться. У вас симптомы звучат практически один в один.


Решений собственно два:
а) один транк который форвардит все VLAN'ы
б) настроить STP с разными MST регионами для разных VLAN'ов, чтобы деревья отдельно строились


HPE 1910 тоже по умолчанию в MSTP режиме с одним регионом, но разные MST вроде умеетю. Я завтра посмотрю на нашем 1910-24PoE и попробую его через два отдельных транка подключить в разные VLAN'ы.

НЛО прилетело и опубликовало эту надпись здесь

Вроде такого не наблюдается пока, может прошивку пофиксили. Вообще звучит как повод сдать по гарантии, по крайней мере я бы точно сдал.

Спасибо!

Модель 1910 — единственная в нашем зверинце, на которой протокол STP (в вариантах расширений STP/RSTP/MSTP) не только реализован, но и включен по умолчанию. Т.к. только расширение PVSTP строит отдельное дерево для каждого VLAN, а остальные — одно общее дерево, то топология с разделением на изолированные Port Based VLAN ошибочно принимается ими за избыточные связи и отдельные ветви отсекаются.

После отключения STP на HPE 1910-48 стенд заработал.
С ZyXEL GS1910-24 сложнее. Там в настройках по WEB-интерфейсу не нашел отключения STP. Но это не критично. Их у нас только 2 и они только 24-портовые. Можно найти, куда их приткнуть.

А ТП HPE — sucks!!! 4 месяца мозги выносили и так и не сказали мне в чем там дело и как это побороть!

А вот грамотный человек намекнул и за несколько часов проблема была решена!
Контроллер домена он искал, видимо, тоже со своего линуксового ноута, чтобы не вводить лишних команд на рабочем компе (см. предыдущий абзац про парольную политику).
nslookup по типу SRV не поможет?
Вообще должно… Надо сходить на работу проверить)
контроллеры находятся по srv записям.
политики читаются в netlogon, т.к. доступны для все пользователей.

Может быть, MITM через ARP-спуфинг с подменой адреса шлюза?
От него свич без дополнительных настроек не защитит.

с одной стороны, да. Но там, где поводом для обнаружения послужил запуск PS скрипта там, где его быть не должно, свитч без дополнительных настроек как пароль админа домена на липкой бумажке на мониторе, т.е. невозможен.

А не поделитесь рекомендациями по защите от ARP Spoofing на свичах или ссылкой на статью?
Насколько я знаю, современное железо уже не получается обмануть обычным ARP-reply если оно не отправляло запрос, но пытаться отвечать на запросы быстрее gateway все еще можно. Что вообще можно сделать, кроме фиксации ARP записей?

Практически я с этим не сталкивался, но на xgu.ru есть неплохая статья на этот счёт.
Вкратце: либо современный коммутатор с ACL, настроенным на фильтрацию ARP-запросов, либо танцы с бубном всякая экзотика типа построения сети на VLAN только с двумя узлами, статических ARP-таблиц на всех хостах, мониторинга атаки различными сенсорами и последующее расследование вручную — в общем, что-то очень замысловатое.
современное железо уже не получается обмануть обычным ARP-reply если оно не отправляло запрос
А вот это вопрос интересный. За коммутаторы не скажу, но ПК и серверы вроде бы до сих пор обманываются без проблем.
Кто знает. В принципе, могли и действительно не учесть)
тоже об этом подумал. иногда параноидальные построения прокалываются на смешных мелочах. но тут их как-то слишком много. Я помню, мы строили системы защиты на БСК, когда вы можете залогиниться в АРМ только при условии, что до этого приложили свою БСК к двери кабинета, где этот АРМ стоит. Иначе АРМ вас не пустит. И это еще не самое параноидальное.
Сурово. Это какое-то серийное решение обеспечивало или самописные скрипты?
Самописное. Главная уязвимость любой ИТ — админы. Кто будет следить за ними?
Статья в твиттере? зачем? почему?
Твиттер тоже уже не торт, видимо

Какая-то фантастическая история, с одной стороны вроде и терминология профильная, и отдельные техники по делу описаны — но все вместе выглядит так, будто автор текста все придумал. Совершенно нереальная последовательность событий. Ну и многие решения крайне сомнительно выглядят. Больше всего резануло, как пентестер читал почты/скайпы/мессенджеры сотрудников при этом не имея даже прав на локальный вход на их машины. То есть OWA и вебаппликации при всех прочих мерах безопасности — открыты для всех безлимитно? Ерунда рассказ, внутренние пентесты так не делаются.

А где это он читал чужие почты?

Вот тут: "Ладно, идите к чёрту. Обойдусь без доступа к компьютерам. Залезу в их переписку! Так я и поступил. Я искал пароли в почте, Skype-чатах, проверил заметки и черновики в Outlook. Мне попалась куча личных паролей от чего угодно… Но ни одного от служебной учётки. Зато я нашёл письмо от отдела информационной безопасности, где говорилось, что они в течение недели планируют внедрить двухфакторную аутентификацию для почты. Похоже, мне ещё повезло."

чтобы читать скайп чат, надо подсовывать сертификат, которому будет доверять система. а тут это как-то «захотели, почитали»
Скайп-чаты сохраняются в том же Аутлуке, не знаю, можно ли это отключить
Тогда это S4B, а не просто скайп. Но, опять же, парадокс. Навесить на Exchange какую-либо DLP, которая будет отлавливать всякое ненужное к передаче (в том числе и пароли) не составляет особых проблем. А тут прям открытый день открытых ворот, когда как передача паролей через почту — грубейшее нарушение политики безопасности.
Передача паролей от личных (не корпоративных) аккаунтов — нарушение политики безопасности? Политике разве не плевать на безопасность личных аккаунтов, не относящихся к служебным?
Если не считать черновиков, то всё остальное могло касаться публичной (внутри компании) переписки.
У чувака была неделя. В первый день он приволок и врубил в сеть на своем рабочем месте «левый» ноут. Ночью первого дня шарился по зданию, перетаскивая кипу ноутов. На второй — запаниковал.
Думаю, минимальная подготовка для такого пентеста все же нужна. Как и для написания статей. www.slideshare.net/dafthack/how-to-build-your-own-physical-pentesting-gobag
Господи, это лучший шпионский рассказ, что я слышала запоследние пару лет!

добавить немного "воды", экшона, любовную линию с симпатичной уборщицей и любимую кошку ГГ, взятую в заложники — получится отличный шпионско-хакерский блокбастер

Кстати, да
В сюжете не хватает симпотной девки из бехгалтерского отдела с бронелифчиком, которая типа поможет главному герою, а потом окажется дочкой начальника службы информационной безопасности.
И всё-таки всегда интересовало. Сколько нужно потратить лет времени, чтобы взломать по хэшу пароль длиной символов 20, не содержащий словарный паттернов и содержащий процентов 30 спецсимволов? П.С. пароли от доменных/локальных админов предпочитаю делать именно такими.

Любой пентест в первую очередь это история человеческих ошибок и беспечности. В сферической идеально организованной с позиции ИБ инфраструктуре в вакууме возможностей для эскалации привилегий нет: все обновления установлены, ПО настроено оптимальным образом, работает мониторинг, шаблоны доступа тонко настроены. Такие организации даже встречаются и с честью проходят все тестирования получая минимум высосанных из пальца рекомендаций

И всё-таки внедрять хакера в структуру, при этом не говоря проверяемым о таких планах выглядит не совсем привлекательно, хотя «секретность»делает эффект максимально приближено к реальности, соглашусь. А что если тот ИТ-амбал нос сломал бы засланцу, или шею? Угадайте, кого бы посадили в первую очередь «в этой стране»? Это мне напомнило, некогда проведенные анти-террористические учения в моем городе, когда в один из банков средь бела дня вломились грабители в масках с оружием (по факту это были переодетые силовики) и положили всех клиентов на пол, с криками и угрозами забрали липовую наличку, прихватив с собой пару заложников (возможно также переодетых силовиков), пальнув пару раз холостыми в потолок. Говорят, выглядело весьма правдоподобно — у некоторых клиентов прихватило сердечко и с пола их приходилось буквально «соскабливать». К сожалению, тогда никого так и не посадили.
Обычная практика, только вот никто не возится с фейковым оформлением на работу, а просто заводят специалиста под предлогом разовой работы (юридические услуги/консалтинг/обмен опытом и т.д.) или же вообще никак не вводят в систему, просто проводя в кабинет с доступной сетевой розеткой. Тестирование по «черному ящику» — без предварительного информирования тестирующего об объекте тестирования часто так же имеет своей целью проверку собственных служб на способность выявлять и реагировать на инциденты. Весь тест курируется службой безопасности предприятия и она же решает какие-то острые вопросы. Вариант, что некий «ИТ-амбал» кому-то сломает нос или свернет шею — исключен. Такое тестирование наиболее время и трудозатратно, но с другой стороны наиболее полезно для предприятия, так как помогает отладить собственные ресурсы для защиты от подобных угроз. В итоге все, конечно же, знакомятся и тестер подробно рассказывает на что нужно обратить внимание, что сделано хорошо, а что нужно немедленно закрывать.
И всё-таки раз «сдал» не причастный к проверке человек, т.е. уборщица, заоравшая на весь офис, значит этот «острый момент» не предусмотрела СБ. Какие еще моменты она не могла предусмотреть?
Я склонен считать художественным вымыслом всю историю от начала и до конца. Я не знаю, что там за эксперт в писателях ИБ-рассказов, но мой опыт пентестов противоречит описанной модели. Большая часть времени уходит на разведку, а тут автор с шашкой наголо сразу побежал всё ломать, едва только выяснив местоположение контроллера домена, да ещё и на пафосе «да я обычно за 1-2 дня всё уже взломал и курю». Если уж человек бегал по офису и физически взаимодействовал с компьютерами админов/пользователей, то чего не поставил аппаратный кейлоггер на клавиатуру, не задействовал badusb? Тем более, что ему там запросто разрешили чуть ли не ночами торчать.
этот «острый момент» не предусмотрела СБ

Наоборот – это значит, что СБ так построила свою работу, что ей помогают все сотрудники.
Согласен, но по факту уборщица и отработала инцидент, что в общем только плюс локальной СБ. Но в рамках данной проверки именно работник ИБ (амбал в свитере) должен был найти/сдать злоумышленника (локализовать и изолировать его вектор атаки), чего судя по рассказу не было достигнуто. Думаю это учтут при составлении отчета. А уборщице таки премию.
но по факту уборщица и отработала инцидент


Хосспидя, ну откуда тут взялась уборщица?
«Я прошёлся по офису и нашёл кабинет, где никого не было. Финансисты. Хорошо, взломаем финансы. Я ответил что-то милой маленькой старушке, вернувшейся за своим кошельком.»
Кстати, а премию за бдительность этой милой маленькой старушке из финотдела не забыли выписать, я надеюсь?
За какую бдительность? По сценарию этого блокбастера ИТ-отдел прибежал по тревоге системы мониторинга на сработавший powershell и начал опрос сотрудников, один из сотрудников вспомнил (неудивительно вспомнить постороннего человека, который совсем недавно тут крутился и с тобою разговаривал) человека, похожего на Кевина Митника.
Ой ну ошибся. Уборщица, старушка, электрик, армянин, женщина — не важно. Это было третье лицо, случайно втянутое в эксперимент.
без предварительного информирования тестирующего об объекте тестирования

Я бы тут дополнил, что предварительное информирование может задать направление вектору атаки, поэтому и ломиться тестирующий будет по этому направлению. А когда тестирующему ничего не дано, то он может выкопать что-то и там, где этого никогда не ожидали.
А ИТ-амбал не знает, что даже шпиону ломать нос или шею — не комильфо с точки зрения правоохранителей? А уж если тот чел правильно упомянул их главного безопасника и зачем он тут — с ним будут обходиться достаточно вежливо до прояснения ситуации.
ИТ-амбалы в целом спокойные ребята, однако я довольно долгое время работал с фруктом, который даже своих коллег по цеху мог унизить, в том числе физически, за какую-нибудь оплошность, несмотря на то что «наказываение» не входило в его компетенцию (был что-то вроде старшего эникея-недоадмина), на что он регулярно «выкладывал». В общем — на кого нарвешься (и смотря с каким уровнем тестостерона).
> Я немного добавил драматизма в конце.
Никто ничего никому не ломал:
В этой статье товарищ говорит о 2e9 SHA256 в секунду на Radeon 7990. Если у вас 26 * 2 + 10 = 62 возможных символов, то пространство перебора 62^20 ~= 7e35 вариантов. При указанной скорости перебора получаем 3,5e26 секунд. С этого момента можно уже не пересчитывать в годы, но на всякий случай — это около 11e18 лет. Можете добавить ещё десять тысяч видеокарт в свой супекомпьютер и слегка понизить показатель степени, но это не имеет никакого практического значения. Только не понимаю, зачем мучать себя спецсимволами, когда проще увеличить количество символов в пароле (какая разница, 20 или 30 символов в нём?). Каждый дополнительный символ добавляет единицу к показателю степени количества вариантов, в то время как каждый дополнительный символ алфавита увеличивает только основание этой степени.

"… Никто в финотделе никогда не запускает Powershell..."


Улыбнуло. Это какая-то отсылка? Тонкий юмор?

Никакого юмора, никаких отсылок. Просто заметили нетипичное для пользователя поведение.

Ага, у них настроен мониторинг запуска powershell на рабочих станциях, ограничены права локального администратора (!!!), но при этом они не зафиксировали спуфинг, перебои в работе сервисов и попытки удаленного логина. Набор несуразностей.
Допускаю, что история может являться вымыслом. Я просто ответил, что в принципе такие методы могут использоваться, и никакого юмора здесь нет
а NTLM не смутил? и ни одной смарткарты.
12 знаков — это хороший NTLM, но я бы хотел взглянуть на их пользователей, которые умудряются его помнить и не использовать примитивные шаблоны вроде «первая буква имени + дата рождения и! на конце». Тут впору еженедельные рейды проводить по проверке мониторов и клавиатур на предмет подклеенных бумажек с паролями.
в NTLM проблема хэшей паролей. В керберос их нет.
Так вот как в реальности выглядит «Я тебя по IP вычислю!» =)
К мухе смерть приходит в тапках и свернутой газетой. К хакеру — в свитере, размера XXL.
Странная какая-то компания, что разрешает новому сотруднику маркетинга притаскивать «личный ноутбук с линуксом и кучей хакерских инструментов»
Вероятно, «сверху» внутреннему СБ (не путать с ИБ) было приказано «мальчика не трогать», не смотря на палево по камерам и кучу левой активности по офису. Ведь по факту проверяли только ИБ, а не физическую безопасность в целом. Но таки предупредить уборщицу забыли, а она в итоге сдала подсадного именно ИТ-шнику. Если бы уборщица пошла бы к местному СБ — там скорее всего, сказали, что разберутся и «продолжили бы вести наблюдение ®».
Вы зайчто старушку-бухгалтера до уборщицы понизили?
Ой ну ошибся. Уборщица, старушка, электрик, армянин, женщина — не важно. Это было третье лицо, случайно втянутое в эксперимент.
Думаю для СБ главное чтобы не выносили, а то что вносят или то что внутри кто-то что-то переносит их не касается и на камерах это для них белый шум.
НЛО прилетело и опубликовало эту надпись здесь
Вероятно, потому, что даже имея админские учетки нельзя было влезть напрямую, скажем, на сервак контроллера домена. Возможно, серваки могли быть защищены цифровыми сертификатами для доступа по vpn.
НЛО прилетело и опубликовало эту надпись здесь
В случае с Виндой, установленной на рабочих станциях, запуск чего-то не разрешённого на любом компьютере… Хм… Тем более на компьютере в финотделе…
Мне на ум приходит только одно — компьютер, на котором он что-то запустил, специально таким оставлен был, чтобы ловить всяких тёмных личностей.
А так, рассказ захватывающий, почти Мистер Робот. :)
Согласен, рассказ интересный. Впервые дочитал статью от начала и до конца.
Оно требовало двухфакторной аутентификации. Следующее тоже. И следующее. Да что ж за Алькатрас-то такой?! Ночной кошмар хакера!

Он физически находится в здании. Не говоря о SS7, поставить MITM БС можно!!!
Не говоря о SS7

Как ему физическое нахождение в здании помогло бы попасть в сеть SS7?
Интереснее было бы если хакеров было несколько в разных отделах.
В парралели перебирать можно целую кучу вариантов, а разный опыт позволил бы найти больше дырок.
Зачем все эти сложности. Если у хакера есть физический доступ к системе достаточно воспользоваться кейлоггером физически установленным между клавиатурами айтишников и рабочими станциями.
Заметили повершел запущенный на каком-то левом компе через N минут, что не успел ничего сделать, но не заметили пропажи кучи ноутбуков, которые непонятный чувак тащил по коридорам в свою нору, под камерами (а они наверняка есть, раз уж они да же нанимают спецов на тест безопасности)? Надо было сразу сервер брать в охапку.
а они наверняка есть, раз уж они да же нанимают спецов на тест безопасности
Для того и нанимают, чтобы узнать, что же они забыли.
НЛО прилетело и опубликовало эту надпись здесь
Такое видел, тут АХО косячит, например, с несвоевременной заменой доводчика.
НЛО прилетело и опубликовало эту надпись здесь
Если IT-безопасность делали админы, а физическую — безопасники, то вполне. Да и то, что админы много сделали правильно, не означает, что они супер-параноики. Просто если есть оплачиваемое работодателем более-менее свободное время, то делаешь всё, что тебе интересно делать. За достаточное время можно много всего навнедрять, просто потому, что показалось интересным.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.