Comments 26
СПБ, площадь Восстания, бизнес-центр, 2-й этаж, на пожарном щите лежит ключ от серверной.
По-моему, в такой ситуации, без социальной инженерии можно и обойтись.
Хотя, охранника на входе в здание пройти придётся... Но фраза "я в 202-ю" срабатывает всегда.
СПБ, площадь Восстания, бизнес-центр, 2-й этаж, на пожарном щите лежит ключ от серверной.
Вот сейчас Вы кому-то security through obscurity просто вдребезги разнесли. Как злоумышленники из условной Москвы могли узнать, что в каком-то доме в каком-то городе на какой-то полке лежит какой-то ключ от хрен знает чего, а охраннику на входе надо сказать ключевую фразу? Но тут приходит добрая и щедрая душа, и всё заверте...
Как всегда в случае массовой проблемы, первый вопрос - какое количество тех, кто должен быть в состоянии выполнять эти правила, действительно в состоянии это делать.
в состоянии это делать.
Тут народ присылает сотрудникам файлы с личной ЭЦП (секретный ключ) и по телефону диктует пароль :)
Именно об этом и речь.
Потому все эти правила в реальном контексте могут не иметь вообще никакого смысла, являясь частью административного подхода. В случае, если нужно обеспечить безопасность в контексте сотрудников-олигофренов, работают только инженерные методы.
Инженеры, сисадмины тоже люди - в итоге один стандартный пароль админа на всю компанию... и при этом как ни странно годами все работает, просто потому что ты "Неуловимый Джо". Это как замок в квартире, там много всяких зубчиков на ключе, выглядит сложно, но откроют его за секунду, если надо...
в итоге один стандартный пароль админа на всю компанию.
Стандартная ситуация — в помещении висит бумажка, на которой огромными буквами напечатан пароль от вай-фая (огромными — так как многие и найти этот листок не могут :)
Причем и сам пароль всегда прост до безобразия.
Если гости - в отдельном VLAN, то ничего криминального в такой практике не вижу.
Если гости — в отдельном VLAN
Нет, конечно.
Это тема отдельной статьи — разрыв в мышлении специалистов по инфобезу и массовым сознанием неспециалистов в этой области.
Это как две разных планеты.
(тема была поднята и раскрыта еще в «Хакере в столовой», с тех пор она стала еще более актуальной в связи с массовостью явления и нуждается в серьезной проработке :)
Это как раз тот самый человеческий фактор - был нормальный админ, был отдельная сетка с инетом без доступа внутрь, как положено. Уволили по оптимизации - все местного админа нет, всем побарабану - сеть конторы открыта... Максимум, пришлют письмо типа этой статьи, типа "мы работали"...
Не должен админ заниматься инфобезом:
1) это две разные роли,
2) которые должны соревноваться ("перетягивать канат" бюджета и внимания руководства).
Совмещение их в одной человеческой голове - прямиком к шизе множественной личности. Но чаще произвольный выбор стороны и игнорирование обязанностей стороны противоположной.
Учитывая сказанное выше, отчаянно мешают любой конторе существующие т.н. "безопасники" с силовым, а не техническим бэкграундом - если начальство не различает эти вещи, т.е. в большинстве случаев.
Игнорирование обязанностей стороны противоположной - вот именно это и происходит если админам пофиг. Им не всегда пофиг, сколько видел хороших админов, хотя бы на элементарном уровне они поддерживают безопасность. А нанимать отельных полицейских, чтоб стояли у всех за спиной - такое себе могут позволить банки и подобные учреждения. Им эта статья и не нужна...
Мой пойнт прямо противоположный: нормальная ситуация именно та, когда админ и айти-безопасник - люди разные и оба для конторы свои.
А не та, когда второго подменяют мутными полицаями-аутсорсерами, которые (например) внезапно сканируют сеть и насилуют админов обновить антивирус касперского везде (включая изолированные от интернета сегменты и собственные админские воркстанции).
Потом, к счастью, надолго пропадают переваривать "заработанное".
Я - за то, чтобы эти средства перенаправить на собственный инфобез.
Мне кажется, вы не знаете, в чём разница между административным и инженерным методом. Это не имеет отношения к тому, кто (инженер или менеджер) является источником той или иной меры.
Это имеет отношение к тому, что при инженерном решении невозможно или практически невозможно совершить действия иначе чем желательным способом. А при административном - их просто запрещено (на словах) совершать нежелательным способом.
Проблема в том, что инженерный метод осуществляют живые люди. Как пример, где-то в оборонке закрытый цех, вход чуть ли ни голышом, по наряду. Железобетонно - флешку не пронести. Только вот все провода наружу в не секретную часть выведены) И никто никогда безопасникам об этом не скажет, просто иначе они парализуют всю работу...
сотрудников-олигофренов,
Дело в том. что людям никто не рассказал о том, что такое ЭЦП и как ей правильно пользоваться.
Просто было дано распоряжение — получить и использовать.
В обязательном порядке и срочно.
И не…
Мы указали только популярные форматы.
PDF пропустили, а сейчас файлов в таком формате большинство (все распоряжения сверху и проч)
(и да, огромное количество людей убеждено в том, что в файлы в формате pdf нельзя внести изменения :)
Подобранные (на территории предприятия или в домашнем подъезде, неважно) носители информации (флеш-карты памяти, диски и т.д.)
Много раз слышал подобные предупреждения, но не разу разбросанных флешек и проч. не видел. И, с учетом тенденций (флешками практически никто не пользуется уже) — наверное уже не увижу.
(разве что разбросанные пентестерами :)
А вот забытые пользователями флешки мы складывали в специальную коробочку и ждали возвращения растеряхи. Но увы, примерно в 50% никто за ними не приходил (так как народ забывал где он их забыл).
Вставлять же эти флешки в комп — считалось сродни воровству (так как на флешке могли быть личные данные, типа интимных фото и прочего).
Разбрасывание таких флешек, говорят, очень быстро отучает граждан от пихания всякой найденной на улице фигни куда не следует.
Я совершенно не понимаю, зачем разбрасывать, если можно попросить воткнуть почти что угодно почти куда угодно какого-нибудь уборщика.
Первое правило: ВСЕ, что написано ДО знака «@» – неважно!
На самом деле - все, что написано в поле От (From) - можно смело игнорировать, так как это поле может быть заполнено чем угодно. Адрес отправителя можно увидеть только в служебных заголовках. О которых рядовой пользователь не имеет н и малейшего понятия
Адрес отправителя можно увидеть только в служебных заголовках.
Да и в служебные заголовки запихнуть что угодно. (S — принимающий, C — отправляющий)
S: 220 foo.com Simple Mail Transfer Service Ready
C: EHLO bar.com
S: 250-foo.com greets bar.com
S: 250-8BITMIME
S: 250-SIZE
S: 250-DSN
S: 250 HELP
C: MAIL FROM:<Smith@bar.com>
S: 250 OK
C: RCPT TO:<Jones@foo.com>
S: 250 OK
C: DATA
S: 354 Start mail input; end with <CRLF>.<CRLF>
C: Привет, хабр!
C: Вот и всё письмо.
C: .
S: 250 OK
C: QUIT
S: 221 foo.com Service closing transmission channelНа строчке MAIL FROM: я могу любую лабуду в качестве адреса послать — хоть biden@whitehouse.gov — и сервер никак это проверить не может, приходиться верить на слово.
Контора конторе рознь.
Во многих конторах просто нет ничего мало мальски секретного. Пытался как-то повлять на одну знакомую - директора/владелицу хэдхантерской конторы - она сказала, что вся инфа моментально устаревает, поэтому нет никакой необходимости её защищать.
Очень много бизнесов держатся в первую очередь на связях - от инфы чужому человеку толка нет.
Но есть конечно другая сторона - скажем шифровальщики/потеря инфы могут доставить немало проблем.
Во многих конторах просто нет ничего мало мальски секретного.
Компромат всегда можно найти и везде.
Социальная инженерия глазами жертвы