Я считаю, что если за адекватные сроки и бюджет нельзя проект сделать с достаточным качеством — то он невозможен.
Адекватность сроков и бюджета по мнению заказчика и исполнителей может не совпадать. Я честно говоря в подробностях не в курсе, каким образом продажники договариваются с клиентом на этот счёт, но мы со своей стороны даём оценку сроков, на основе которой считается бюджет и если клиенту кажется, что слишком дорого — то можно попробовать поменять условия, либо просто отказаться. Если это считать невозможностью выполнить проект — то да, такое случается, но чаще с небольшими компаниями.
Вот этого контакта у Вас и не будет, потому что никто и никогда не скажет IT-подразделениям «бросайте все ваши дела и отвечайте этим чувакам на все вопросы, которые они зададут»
Так и есть. Очень редки ситуации, когда удаётся наладить оперативную коммуникацию. Повезёт если вообще получится создать чатик или раздобыть email людей, которых можно беспокоить вопросами, в противном случае все вопросы будут проходить через цепочку менеджеров. Но даже в случае с чатиком вопросы могут днями оставаться без ответа. Это не хорошо, но не критично.
Я говорю о том, как обнаружить все (или хотя бы большинство) подобных векторов — тут пентестерская тактика не очень годится, ИМХО.
Не вижу проблемы в том, чтобы при аудите периметра (без внутренних сетей) воспользоваться найденной уязвимостью и со внутренних ресурсов получить информацию о инфраструктуре. Мне в принципе кажется странным вводить какие-либо искусственные ограничения во время аудита, которые будут не актуальны для реального злоумышленника.
Склонен не согласится. Вы откуда знаете, какие у заказчика сети? Не будете же Вы весь Интернет сканировать.
Поиск сетей принадлежащих заказчику как раз и входит в этап разведки. Кроме банального просмотра whois и dns (а так же в историю их изменения), можно и в shodan заглянуть, а если там не окажется нужного порта, то и просканировать весь интернет (скан одного порта по ipv4 занимает всего пару часов с моего рабочего пк).
Извините что не вижу в этом rocket science — для меня это рутина. И именно как вы и описали — так и происходит. Всеми забытый сервер, на котором лежит ключ админа, который забыли снесли с продовых серверов после увольнения того админа.
Бывают сложные проекты. Невозможных пока не встречал.
Отсутствие информации — не проблема. Проблема — когда намерено мешают процессу аудита, вмешиваясь в него, блокируя сканирования, ограничивая время работы определёнными часами по будням дням, отключая сервера, которые «давно уже хотели отключить, но никак не решались» или ограничивая скоуп лендингом или отключая полученный доступ к внутренним сервисам со словами «а вам сюда нельзя смотреть». И это здорово, когда на время аудита из компании выделяется хотя бы один технических грамотный человек, который способен отвечать на появляющиеся вопросы и предоставлять необходимую информацию — но это редкость. Чаще это либо менеджер, либо отношение клиента в духе «вы же хакеры, вот и ломайте, ничего вам не скажем».
Обеспечить полное покрытие при аудите инфраструктуры неизвестной конфигурации и объёма — сложная задача и нормально это получается сделать только при тесном контакте с клиентом, когда после каждой итерации разведки и сканирования найденное согласовывается с клиентом и в ответ прилетают уточнения в духе «а мы ещё вот про это вспомнили». В случае с крупными корпоративными сетями, там где нет своей команды адекватных (не бумажных) безопасников, вся безопасность строится на изоляции внутренней сети от периметра, после пробива которого начинает всё сыпаться. И зачастую более полную информацию о конфигурации сети, изолированных сегментах, которые сходу не обнаружились удаётся получить уже после пробива, самостоятельно читая документацию в wiki, таск-трекере или AD.
Сложно пройти мимо открытого прокси, который не блокирует исходящие пакеты к приватным сетям. А уж когда наружу выставляют NVR/NAS, у которых аппаратные возможности повеселее, чем у камеры — то там и зиродей грех не поискать.
Ну насчёт пол года я не уверен, звучит как овердофига для 20000+ хостов, если речь про анализ инфраструктуры и поверхностных анализ приложений. Если требуется углублённый анализ приложений, и особенно если с анализом исходников — то в таком случае оценка пляшет от объёма функционала конкретных приложений/объёма кода. И срок может меняться в зависимости от стоимости аудита (сколько человек на проект выделяется). Ничего нереального в таком объёме для аудита не вижу, и покрупнее системы проверяли, с нормальным отчётом на выходе.
Если есть какой-то конкретный проект, то достаточно просто отправки заявки на оценку в pt/dsec/onsec/etc и по ответам будет понятно, какие сроки и за какие деньги можно такое исполнить. Ну а если вопрос был относительно попильных схем с бумажными интеграторами, то кажется логичным, что при наличии очень большого скоупа и большой стоимости контракта есть возможно разбить его на более мелкие подзадачи и делегировать их различным компаниям, которые занимаются аудитами, а не перепродажей аудитов.
Ну а когда денег прям совсем некуда девать и своя команда безопасников и нанятые аудиторы ничего не нашли и сдают пустые отчёты — значит пора выходит на bugbounty платформы.
На аудит информационной безопасности подобных структур выделяются космические деньги, но в лучших традициях тендер выигрывает компания, которая вообще никоим боком не относится к ИБ, но зато имеет полный набор необходимых для победы в тендере бумажек. Ну а дальше отправляется искать единственного суб-подрядчика, заплатив ему процентов 20 от изначальной стоимости контракта, но он тоже не делает работу сам, а ищет суб-подрядчика. И когда на десятой итерации сумма контракта уже такая, что за работу возьмутся только студенты, которые ещё вчера работали за еду — происходит аудит, который заключается в том, что автоматическими сканерами прогоняется главный сайт компании и отчёт улетает по цепочке вверх, где каждый дописывает к нему то, что было написано в ТЗ, чтобы он не выглядел убого. В итоге получается отчёт на несколько тысяч страниц, где написано что всё проверили и всё хорошо.
И через мобильное приложение он не сможет общаться со внешним миром? В целом это звучит как более адекватная мера, надо будет попробовать, спасибо! Да и ничего варварского в изоленте не вижу — отклеить можно в любой момент.
У многих устройств, подключенных к сети, вся безопасность обеспечивается за счёт того, что они не торчат голой жопой в Интернет, а находятся во внутренней сети, за натом/фаерволом. Но если так случается, что какое-то устройство пробрасывают наружу, а во внутренней сети изоляции между клиентами нет, то вся защита разом рушится.
Производитель заявляет, что у него есть аж два гироскопа, но насколько я понял прицип его работы — своё положение в пространстве он узнает примерно как компьютерная мышка, т.е. снизу у него есть камера с подсветкой, которая делает фотографии пола и по мере движения рисует карту. А чтобы не сильно ударяться в препятствия, спереди есть четыре ИК датчика, которые определяют расстояние, и если рядом что-то появляется, то пылесос замедляет скорость, и аккуратно врезается в стену. При этом бампер имеет две кнопки, по нажатию которых пылесос определяет, что препятствие не движимое (не штора, например), и пытается его объехать. В общем без камеры сверху и лидара он спокойно обходит всю квартиру, и даже строит карту.
С МКС связь можно провести на обычный баофенг, без направленной антенны. Кроме того на МКС иногда работает ретранслятор, через которой можно провести связи с корреспондентами, находящимися на значительном удалении.
Не столько красивый, но такой же по функционалу и дешевле по цене предлагают у нас в Челябинске — chelbreathe.ru Но даже при такой цене проект не получил какого-либо бурного роста, даже не смотря на унылую экологическую обстановку в нашем регионе.
А переворачивать разъём не пробовали? У меня нонейм магнитный кабель в одном положении только заряжает, а если перевернуть (ту часть соединения, которая магнитится) — то и data появляется.
Там слабенький моторчик, который в соло поедет не очень весело, поэтому он не имеет ручки газа, а начинает работать когда чувствует давление на цепи. Но для того, чтобы правильно дозировать прилагаемую мощность, он измеряет давление, которое создаётся на цепь именно педалями, а не самим собой. Но это просто пример того, что такое решение тоже существует. И если делать без мотора, просто один ролик с тензометром на цепи перед передней звездой — то как по мне, то это самый дешёвый и простой в повторении датчик момента получится. Но с установкой переднего переключателя при этом уже возникнут сложности.
Перед ведущей звездой ставится паразитный ролик/звезда, которая сидит на датчике давления. Сходу ссылку найти не смог, но и так тоже делают. \
UPD: например
Потому что современный смартфон лучше вас знает, как сделать фотографию красивой? И без лишних телодвижений позволяет выложить готовое фото в любимую социалочку.
Ну вот на видео, представленном в статье, показан сайт vasjoysredir.ru — он зарегистрирован на некую организацию «PJSC „MegaFon“», и хостится на том же сервере, что и podpiski.megafon.ru. При этом выглядит он так, будто делали его мошенники — мелкий шрифт со стоимостью, огромная кнопка с текстом, вводящим в заблуждение, и на всё это пользователь попадает просто при входе на сайт с рецептом окрошки (хоть и по Ad ссылке).
Видимо каким-то таким же образом у меня появилась платная подписка. Позвонил, попросил отключить и вернуть деньги, а так же сделать так, чтобы таких внезапностей больше не было. Без проблем отключили, деньги вернули, подключили опцию «МегаФон Защита». В личном кабинете написано, что абонентская плата 0руб, но вот подробные условия я зашёл только после прочтения статьи…
При этом никаких SMS о подключении услуги после звонка не приходило, и никто не говорил, что через месяц после подключения она начнёт сосать деньги вместо платной подписки.
Да не просто слишком категорична, а даже вводит в заблуждение. Товарищ Morigh выдаёт рекомендации за требования и только собирается подавать заявку, но зато КДПВ изобразил так, будто бы ему уже отказали, да заголовок «Личный опыт: как я подавал заявку» тоже подсказывает, что заявка подавалась. Возможно это только мне так показалось, но до конца статьи и у меня складывалось именно такое чувство.
Адекватность сроков и бюджета по мнению заказчика и исполнителей может не совпадать. Я честно говоря в подробностях не в курсе, каким образом продажники договариваются с клиентом на этот счёт, но мы со своей стороны даём оценку сроков, на основе которой считается бюджет и если клиенту кажется, что слишком дорого — то можно попробовать поменять условия, либо просто отказаться. Если это считать невозможностью выполнить проект — то да, такое случается, но чаще с небольшими компаниями.
Так и есть. Очень редки ситуации, когда удаётся наладить оперативную коммуникацию. Повезёт если вообще получится создать чатик или раздобыть email людей, которых можно беспокоить вопросами, в противном случае все вопросы будут проходить через цепочку менеджеров. Но даже в случае с чатиком вопросы могут днями оставаться без ответа. Это не хорошо, но не критично.
Не вижу проблемы в том, чтобы при аудите периметра (без внутренних сетей) воспользоваться найденной уязвимостью и со внутренних ресурсов получить информацию о инфраструктуре. Мне в принципе кажется странным вводить какие-либо искусственные ограничения во время аудита, которые будут не актуальны для реального злоумышленника.
Поиск сетей принадлежащих заказчику как раз и входит в этап разведки. Кроме банального просмотра whois и dns (а так же в историю их изменения), можно и в shodan заглянуть, а если там не окажется нужного порта, то и просканировать весь интернет (скан одного порта по ipv4 занимает всего пару часов с моего рабочего пк).
Извините что не вижу в этом rocket science — для меня это рутина. И именно как вы и описали — так и происходит. Всеми забытый сервер, на котором лежит ключ админа, который забыли снесли с продовых серверов после увольнения того админа.
Отсутствие информации — не проблема. Проблема — когда намерено мешают процессу аудита, вмешиваясь в него, блокируя сканирования, ограничивая время работы определёнными часами по будням дням, отключая сервера, которые «давно уже хотели отключить, но никак не решались» или ограничивая скоуп лендингом или отключая полученный доступ к внутренним сервисам со словами «а вам сюда нельзя смотреть». И это здорово, когда на время аудита из компании выделяется хотя бы один технических грамотный человек, который способен отвечать на появляющиеся вопросы и предоставлять необходимую информацию — но это редкость. Чаще это либо менеджер, либо отношение клиента в духе «вы же хакеры, вот и ломайте, ничего вам не скажем».
Обеспечить полное покрытие при аудите инфраструктуры неизвестной конфигурации и объёма — сложная задача и нормально это получается сделать только при тесном контакте с клиентом, когда после каждой итерации разведки и сканирования найденное согласовывается с клиентом и в ответ прилетают уточнения в духе «а мы ещё вот про это вспомнили». В случае с крупными корпоративными сетями, там где нет своей команды адекватных (не бумажных) безопасников, вся безопасность строится на изоляции внутренней сети от периметра, после пробива которого начинает всё сыпаться. И зачастую более полную информацию о конфигурации сети, изолированных сегментах, которые сходу не обнаружились удаётся получить уже после пробива, самостоятельно читая документацию в wiki, таск-трекере или AD.
Сложно пройти мимо открытого прокси, который не блокирует исходящие пакеты к приватным сетям. А уж когда наружу выставляют NVR/NAS, у которых аппаратные возможности повеселее, чем у камеры — то там и зиродей грех не поискать.
Если есть какой-то конкретный проект, то достаточно просто отправки заявки на оценку в pt/dsec/onsec/etc и по ответам будет понятно, какие сроки и за какие деньги можно такое исполнить. Ну а если вопрос был относительно попильных схем с бумажными интеграторами, то кажется логичным, что при наличии очень большого скоупа и большой стоимости контракта есть возможно разбить его на более мелкие подзадачи и делегировать их различным компаниям, которые занимаются аудитами, а не перепродажей аудитов.
Ну а когда денег прям совсем некуда девать и своя команда безопасников и нанятые аудиторы ничего не нашли и сдают пустые отчёты — значит пора выходит на bugbounty платформы.
А после изучения прошивки и протокола общения с облаком можно будет и отклеить изоленту.
UPD: например
При этом никаких SMS о подключении услуги после звонка не приходило, и никто не говорил, что через месяц после подключения она начнёт сосать деньги вместо платной подписки.