Как стать автором
Обновить

Комментарии 23

Вычисление хеш-функции производится по алгоритму SHA-1 – алгоритм хороший, надежный, известный.

Нет, это не так. В 2022 году sha1 считается небезопасным алгоритмом шифрования (https://cwe.mitre.org/data/definitions/327.html) и следует использовать более надежные алгоритмы, например SHA256.

НЛО прилетело и опубликовало эту надпись здесь

И что изменилось бы? Пароли Windows шифруются алгоритмом md4 и также подбираются по базам хешей.

Причем здесь пароли Windows?

НЛО прилетело и опубликовало эту надпись здесь

Должна быть одна случайная соль при установке плюс случайная соль для каждого хешируемого пароля.

Спасибо, весьма познавательно про безопасность 1С.

Модель построения продакшина и девеоа устарела лет на десять - давно все в виртуалках, одна виртуалка - одна задача. Бекапы машин, снапшоты и тд, я еще выливаю все в основное в вандрайв.

Все потому, что я изначально закладываюсь, на то что сервер взломали, а базы просто дропнули в любой произвольный момент. Да неприятно потерять пол дня работы, но это лучше чем посроить неломаемую систему и потом потерять все. Пример убитых полностью сетей я наблюдал, хотя там ни один байтик мимо админа не проскакивал

Согласен с вами. Но далеко не у каждой организации есть средства / возможности / понимание на развертывание описанной вами модели. Исходя из моей практики, на "среднестатистическом российском предприятии" на момент этого комментария, как правило, используется описанная в статье схема организации работы.

проксмокс стоит 0 денег, без проблем работает на самом обычном железе, даже не обязательно линукс знать, я пользуюсь с 4-ой версии

Спасибо, интересно

Нужно всегда определять администраторов кластеров 1С.

Не только кластеров, но и серверов, причём администраторы серверов между серверами разработки и боевыми не должны пересекаться. Иначе, например, сервер разработки может "попросить" боевой сервер добавить рабочий процесс, выполняемый вне основного кластера на этом боевом сервере.
В общем, статья добротная, но приведённый пример, показывает, что кроличья нора гораааздо глубже.

Унылая шлянь. Все начиналось с нечистоплотности стороннего разработчика и вышеописанный пак трюкачества будет иметь смысл для написателей отчетов уровня "пучок за рубль". Для серьезной сторонней разработки все равно нужно будет давать полные доступы и разграничивать ответственность не техническими средствами, а юридическими. Отличная статья, в плане теории, не имеющая отношения к практике.

Подскажите пожалуйста я же правильно понимаю что в вашем примере тестовый контур не изолирован от основного?

На мой взгляд это основная проблема в безопасности. Если развести по разным контурам то проблему полных прав внешних подрядчиков этот решит.

Внутренние пользователи не должны иметь доступа к внешним обработкам и полного доступа, а так же админских прав.

Выглядит не очень сложно.

Если подрядчику требуется работать в общем контуре то только в рамках обычных прав и под запись видео его сеанса.

А если нет права на возможность открытия внешних обработок, то как? Есть еще другие варианты, что бы проверить свою систему?

Как я написал, все же еще остаются средства по перебору паролей в 1С и простые числовые пароли могут быть подобраны таким образом.

Ну а если попадется злоумышленник с полными правами (например внешний специалист, которому по роду деятельности полные права нужны) то далее все что в статье остается актуальным.

НЛО прилетело и опубликовало эту надпись здесь

Согласен с вами. Пример во-многом надуманный, однако, на справедливость принципов безопасности изложенных в данной статье это не влияет.

Добрый вечер. а что за сайт / программа что расшифровывает 1CV8Clst.lst?
"для 1С существуют и программы по перебору паролей" - впервые слышу. ощущение, что живу в информационном вакууме. напишите хоть одно название

Тоже не понял этот момент. Как я понимаю, пароль пользователя СУБД зашифрован AES128, и расшифровать его на данный момент нельзя. Возможно, автор лукавит. Буду рад ошибаться, если кто-то укажет, как он расшифровал данный пароль.

Как удалось Привилегированный режим установить во внешней обработке?

пароли не расшифровывают.

берется таблица стандартных паролей.
шифруется всеми известными способами.

получают хеши для каждого способа шифрований.
строится таблица соответствий.

при предоставлении хеша (и способа шифрования) из таблицы соответствий выдается оригинальный пароль. (скорость - пара секунд)

ВНИМАНИЕ:
поэтому проблема стойкости не в сложности алгоритма шифрования/дешифрования,
а в том чтобы ваших паролей небыло в таблице известных паролей.

т.е. пароль должен быть СЛОЖНЫМ и ДЛИННЫМ.
эта простая истина из каждого утюга доносится.

  1. есть онлайн таблицы https://crackstation.net/ ипр...

  2. есть офлайн программы John the Ripper, Hashcat, ипр..

  3. ВНЕЗАПНО пароль по хешу можно найти тупо вбив хеш в поисковик

статья отличная!
лекция отличная!
и видео и текст можно показывать всем от джуниора, до архитекторов/руководства.
всё доступно, понятно.

Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории