Comments 34
Интересный стиль статьи. Интересно узнать больше конкретики в «трудовых буднях» и рассказов о проблемах, с которыми часто сталкиваетесь.
Какие документы требуют проведение пентеста? PCI DSS…
UFO just landed and posted this here
И как вы эту инфу отразите в отчёте?
Один из «безопасников» рассказывал, что все это фигня покуда у людей владеющих доступом к важной информации относительно небольшие ЗП. На практике, практически любой бухгалтер/инженер сольет важную инфу за условные 50-100к$
Не все так просто, как вам кажется. Реальная история из жизни, с уст директора предприятия, участвовашего в событиях:
Живит и конкурируют 2 предприятия, являются ведущими (и богатейшими) по некой категории товаров в одном региональном центре.
Казалось бы, конкуренты будут рады заполучить БД соперника? Там же ценнейшая информация — покупатели, поставщики, цены, задолженности, обороты, прибыль и пр. и пр.
Админ одного из этих конкурентов тоже так думал. И вот, уволившись, админ решил подработать — обратился к директору предприятия-конкурента с предложением купить чужую БД.
На встречу приехали:
1) Админ, желающий слить БД.
2) Директор предприятия, которому предложили купить чужую БД.
3) Директор предприятия, чью БД бывший его админ пожелал продать. Да-да-да, ему позвонил его конкурент из п.2) и САМ предупредил.
4) Служба охраны предприятия из п. 3).
Затем директор из пункта 2) уехал. Больше он этого админа не видел.
Собственно этот директор из п.2) мне эту историю и рассказал. История была на границе 1999-2000, так что могла даже и закончиться для админа более чем грустно.
На мой вопрос «почему» он отказался от покупки БД конкурента и сдал вышеупомянутого админа-продавца конфиденциальной информации — тот директор ответил мне: что есть определенные пределы, которые в конуренции друг с другом никто из них не зайдет. И поступив так, он уверен, что его противник-конкурент тоже сдаст сотрудника-перебежчика, пожелавшего неправедно нажиться.
P.S.:
Я и сам с этим сталкивался:
Работая админом-аутсорсером, таскал на флешке (или еще тогда на CD, пожалуй) разные файлы, в том числе и однажды оказалась там кроме всевозможных тулзов и БД одного предприятия. Наверное, выполнял какие-то работы и сделал бэкап к себе и не обратил внимания на дальнейшую судьбу данных. Был молодой и зеленый.
И вот выполняю некие работы на компьютере конкурента. Директор там большой любитель компьютерной техники сидит рядом, смотрит, беседует.
И вот он обращает внимание на эти файл, назанные говорящим именем типа «database_concurrentFirmName_datetime.zip»
И говорит мне следующее:
«Ты знаешь какую большую пользу я могу извлечь, купив у тебя эти файлы? Там ведь цены поставщиков, поставщики, узнаю где мой конкурент и почем покупает, какие делает обороты и смогу перебить его предложения. Будь впредь аккуратнее с моими файлами, не дай бог они у моих конкурентов засветяться, а они окажутся не столь щепетильными как я и воспользуются ими».
практически любой бухгалтер/инженер сольет важную инфу за условные 50-100к$
Мечтать не вредно. И кино смотреть можно. Но нужно отличать кино и реальность.
В реальности, если это не какая-нибудь новая технология фирмы уровня Самсунга с подробной технической документацией — конкуренты готовы выделить только смешные копейки на подкуп рядового сотрудника, от инфы которого пользы мало.
Там где речь идет о действительно приличных суммах — речь и идет и об информации, к которой имеет доступ далеко не каждый.
Все прочие же продаются за копейки. Так что это не вопрос размеров сумм. А вопрос моральных качеств и организации контроля и разграничения доступа к информации.
UFO just landed and posted this here
Типичная «Ошибка выжившего»
habr.com/ru/post/423947
habr.com/ru/news/t/453560
Хе-ха. Ну и где же там упомянутые вами
«практически любой бухгалтер/инженер сольет важную инфу за условные 50-100к$»:
Вторая ваша ссылка, как показали недавние события, всего лишь способ давления США на Китай. Как только Трамп с Си Цзиньпином договорились — об промышленном «шпионаже» сразу же забыли.
Банальные нарушения патентов делаются сплошь и рядом гораздо более другими методами — своим разработчикам за копирование чужого заплатить выгоднее. Пусть даже ту же самую сумму.
Первая ссылка — так же мимо.
Там суммы фигурируют, что даже ящик пива не всегда хватит купить.
Тут дело просто в плохой организации контроля и в излишнем доступе к информации даже в тех случаях, когда сотруднику она по работе и не нужна в полном объеме и виде доступном для скачивания.
Стиль изложения у мамкиных пентестеров хуже, чем в ксакепе.
Основные мотиваторы для обеспечения ИБ – это «бабки», или точнее:
требования регуляторов (иначе большие штрафы);
Красиво звучит.
UFO just landed and posted this here
На самом деле зависит от того чем занимается компания. Если это банк и там при проникновении есть шанс лишиться реальных денег, то не жалеют деньги на PCI-DSS и соответствующих квалифицированных людей, которые могут построить защищенный периметр. А например компания торгующая программистами, что с них взять, никакой ценной инфы никаких счетов, доступ к деньгам только у бухгалтерии через SAP, достаточно защитить только его. И в такой компании ИБ отдел набирают соответствующий, чтобы мог написать формальный «ОК» в согласовании каких то инфраструктурных работ, не особо вдаваясь в подробности и вообще не понимая что делается в компании. Если это нужно руководству, внутренние сайты спокойно торчат в интернет, все согласны и поставили «ОК». Но и зарплата у таких «специалистов» соответствующая, бизнес прекрасно понимает за что платит, за формальное наличие, а не фактическую безопасность.
P.S Чисто Российские компании где и деньги крутятся и руководство не шарит в айти не берем в рассчет, в таких давно перестал работать и никому не советую.
P.S Чисто Российские компании где и деньги крутятся и руководство не шарит в айти не берем в рассчет, в таких давно перестал работать и никому не советую.
Недавно где-то мелькала статистика вакансий (вроде бы с hh.ru), и там зарплаты специалистов по безопасности были значительно ниже чем у разработчиков. Возможно поэтому качество спецов хромает? Вы уверены что у вас они больше разработчиков зарабатывают?
тестирование на проникновение с использованием методов социотехнической инженерии;
Давайте остановимся на этот моменте подробнее. Главный сисадмин банка получает на почту доступ к биткойн кошельку с 1000 биткойнами и сообщением, что если он сбросит инфу — то получит еще 1000.
Сисадмин сбрасывает вам инфу и уезжает в закат (другую страну).
Как вы указываете в отчетах, что основной риск любого предприятия — это неудовлетворенность в оплате сотрудников, имеющих доступ к таким данным?
UFO just landed and posted this here
Это типичная ошибка выжившего — вы знаете о тех случаях, когда не удалось. Но ничего не знаете, о тех, когда удалось.
Это типичная ошибка выжившего — вы знаете о тех случаях, когда не удалось. Но ничего не знаете, о тех, когда удалось.
То же самое можно сказать и о вас? Да?
Просто подумайте своей головой — если за информацию платят, значит, с нее полагается получить пользу еще на большую сумму, чем произведены затраты.
2000 BTC (нынешний курс 642 737,73 рублей за 1 BTC), это 1,2 миллиарда рублей затрат.
Какая сумма пользы тут? 10 миллиардов? Ведь, с учетом рисков, польза должна быть существенно больше.
Когда речь идет о таких суммах — запросто просекаются все въезды-выезды-влеты-вылета на границах…
Ваши 2000 BTC — это детсадовские мечты, не более.
Таких сумм не предлагают.
Ну иначе как с предположением никогда их не платить, а просто убить в качестве второй части суммы.
UFO just landed and posted this here
Ваши 2000 BTC — это детсадовские мечты, не более.
Таких сумм не предлагают.
Вам не предлагают )
Если совсем честно, мне тоже не предлагают. Но если смотреть на доступность баз которые можно купить, то возникают вопросы, неужели все продающие мертвы? )
«Логично» рассуждаете:
1) Ибо почему они должны быть мертвы, если информация не коммерчески чувствительная? Ведь совершенно ничего плохого в смысле потери денег не будет владельцу информации в его бизнесе, ежели та или иная упомянутая вами вот тут в соседнем комментарии информация всплывает.
2) Вы приводите примеры, где информация продается за копейки, а делаете далеко идущие выводы о суммах уровня 1,2 миллиарда рублей (2000 BTC по нынешнему курсу), которая вся пойдет одному-единственному сотруднику фирмы, что участвовал в сливе.
Жую:
Информация из разных источников, следовательно, сумма разделена между множеством нехорошо поступающих сотрудников. От чего становится в десятки раз меньше (если не сотни).
Если вы потратили 1,2 миллиарда на покупку информации, то продать её должны существенно дороже. А с учетом нелегальности бизнеса, и как следствие, возникающих рисков — еще дороже. То есть стоимость продажи должна исчисляться хотя бы десятком миллиардов рублей.
В этой цепочке от изначального сотрудника фирмы до конечного покупателя полно посредников (в том числе и непосредственные участники, которые знают, что продают и платежные системы, которым пофиг на что через них проходят платежи и те кто занимаются рекламой этого которым пофиг что они рекламируют) и каждый желает отщипнуть себе долю. В результате до конечного сотрудника-сливальщика доходит еще меньшая сумма.
Ну а по вашим ссылкам видно, что даже суммы при продаже единицы информации в розницу — незначительные. Даже в итоге это ни в какие миллиарды не собирается.
Вывод: суммы, что доходят до сотрудников, сливающих информацию сотрудникам — копейки.
UFO just landed and posted this here
Я думаю, в основном, мы говорим о одном и том же, что подкупить сотрудника можно, и что это проблема. А сумма разумеется в каждом случаи будет своя. И разделение доступа к информации может эту сумму поднять на порядки, вплоть до невыгодности подкупа.
Подкупить сотрудника можно — и это, напротив, сущие копейки.
Проблема отнюдь не в суммах — а в организации ограничении доступа и организации контроля.
И эта проблема не решается только тогда когда незачем её решать.
Ситуация, когда защищали-охраняли, но все равно украли, потому что получили большие деньги — это ситуация крайне редкая.
Так как при организации всего этого первым делом четко очерчивается круг имеющих доступ, а, значит, и искать-то никого и не надо в случае утечки.
Количество подозреваемых крайне невелико — и, примеру, остается посмотреть кто из-них купит что-то такое, что ему не очень-то по карману. Или резко подорвется из страны.
Там где речь идет о действительно больших суммах — служба безопасности предприятий состоит не из одних только вахтеров на проходной сидящих.
Вот именно поэтому в банках и нет одного «главного сисадмина»: человека могут перекупить конкуренты (лично, с меньшими рисками и без заморочек с биткоинами), он может тяжело заболеть, он может возомнить о себе невесь что и начать шантажировать банк…
Вместо этого есть очень неэффективные процессы работы. То, что в другой организации команда разработчиков смогла бы сделать за неделю максимум — в банке может растянуться на пару лет. Причем, это не будет работа «спустя рукава», нет. Это будет реально напряженный труд со звонками, конференциями и кучей разрешений на каждый шаг. Если повезет, то может даже получиться добавить пару строчек кода или перекинуть пару палей в БД при этом.
Зато при такой работе остается очень мало возможностей как-то навредить организации, работая в одиночку. Будь ты хоть из команды сисадминов, хоть из команды безопасников, хоть из команды разработчиков кода в «ядре» бизнеса — не будет у тебя никакой информации, ценной для конкурентов. Да, даже «девочка с приёмной» (особенно девочка с приемной — ей терять нечего) может вбить данные нужного клиента и щелкнуть экран фотиком, но это очень быстро вычислят и девочке очень сильно прилетит.
Вместо этого есть очень неэффективные процессы работы. То, что в другой организации команда разработчиков смогла бы сделать за неделю максимум — в банке может растянуться на пару лет. Причем, это не будет работа «спустя рукава», нет. Это будет реально напряженный труд со звонками, конференциями и кучей разрешений на каждый шаг. Если повезет, то может даже получиться добавить пару строчек кода или перекинуть пару палей в БД при этом.
Зато при такой работе остается очень мало возможностей как-то навредить организации, работая в одиночку. Будь ты хоть из команды сисадминов, хоть из команды безопасников, хоть из команды разработчиков кода в «ядре» бизнеса — не будет у тебя никакой информации, ценной для конкурентов. Да, даже «девочка с приёмной» (особенно девочка с приемной — ей терять нечего) может вбить данные нужного клиента и щелкнуть экран фотиком, но это очень быстро вычислят и девочке очень сильно прилетит.
У любого сервера есть рутовый доступ, а у кого-то найдется к нему пароль/ключ. Все остальное — красивые слова, но не более.
"-Ведущий админ банка, вот тебе 10М долларов, если сольешь нам данные с сервера Х про проект У — получишь ещё столько же!
-Эм, спасибо, конечно, ребят, только тут такое дело… Я — админ по серверам А и Б, а сервисом Х заведуют команда в которой админы — А.М. и Д.М.… Только Д.М., кажется, сейчас работает на другой должности — они с В.П. всё-время по очереди чередуются, а А.М. вообще на пенсию готовится — старая уже совсем, трясет всю, беднягу… Давайте я завтра попробую найти кого-то из их команды и спрошу кто там что админит, а то там 10 разных под-команд и у всех разные зоны ответственности! Не будете же вы им всем по 10М дарить, верно?
Кстати, я заодно ещё напишу докладную о том, что вы со мной связывались и интересуетесь данными с того сервиса, а то мало ли — у нас регулярно подобные учения проводятся, вдруг вы просто проверить меня решили?"
И это я ещё молчу о том, что типичный айтишник может сколько угодно глядеть на секретные документы (хотя непонятно как — особо секретные шифруются под конкретных пользователей и посторонние тут уже ничего не сделают), и даже не поймет, что один длинный и скучный документ с кучей ссылок, отсылок, цифр и юридических терминов чем-то важнее чем другой длинный и скучный документ с кучей ссылок, отсылок, цифр и юридических терминов. Образование не то, и это не те вещи, которые можно понять просто погуглив пару терминов в гугле.
-Эм, спасибо, конечно, ребят, только тут такое дело… Я — админ по серверам А и Б, а сервисом Х заведуют команда в которой админы — А.М. и Д.М.… Только Д.М., кажется, сейчас работает на другой должности — они с В.П. всё-время по очереди чередуются, а А.М. вообще на пенсию готовится — старая уже совсем, трясет всю, беднягу… Давайте я завтра попробую найти кого-то из их команды и спрошу кто там что админит, а то там 10 разных под-команд и у всех разные зоны ответственности! Не будете же вы им всем по 10М дарить, верно?
Кстати, я заодно ещё напишу докладную о том, что вы со мной связывались и интересуетесь данными с того сервиса, а то мало ли — у нас регулярно подобные учения проводятся, вдруг вы просто проверить меня решили?"
И это я ещё молчу о том, что типичный айтишник может сколько угодно глядеть на секретные документы (хотя непонятно как — особо секретные шифруются под конкретных пользователей и посторонние тут уже ничего не сделают), и даже не поймет, что один длинный и скучный документ с кучей ссылок, отсылок, цифр и юридических терминов чем-то важнее чем другой длинный и скучный документ с кучей ссылок, отсылок, цифр и юридических терминов. Образование не то, и это не те вещи, которые можно понять просто погуглив пару терминов в гугле.
У любого сервера есть рутовый доступ, а у кого-то найдется к нему пароль/ключ. Все остальное — красивые слова, но не более.
Человечество давно уже все придумало тут тебе и «разделяй и властвуй» и проверять одного человека другим человеком и противопоставление интересов (не задумывались, а почему кассир отдельно, если есть мало-мальская возможность это сделать в большом магазине? а если нет кассира, то почему «если вам не выдали чек, то покупка за счет продавца»; ведь это не только потому что закон требует, а допополнительная проверка продавца, чтобы не уворовал, что в интересах бизнеса, а не только из от страха штрафов со стороны налоговой)
То, что вы пишете — это мелкая организация (где и секреты копейки стоят).
Ну или как вариант — организация не уделяющая внимание данной проблеме из лени/глупости/нехватки времени/бешенной прибыли, когда на эти копеечные утечки наплевать.
Проблема вполне себе решаемая.
Мегакорпорации, растянутые на всю планету, существовали еще в 17 веке и при тамошних медленных средствах связи.
Было бы желание организовать — а методы уже существуют и обкатаны. Сейчас только проще (автоматизация, быстрая реакция на события).
Весь бизнес построена на 3 китах:
Решать проблему как продать
Решать проблему как сделать то что продать
И — решать проблему как контролировать процессы — о которой мы и говорим.
Бизнес сколько нибудь крупный обязательно озадачен всеми тремя.
P.S.:
Все развитие компьютерной техники, в результате которой она упала в цене и пошла на массовый рынок — именно оттуда.
Контроль — это одна из важнейших целей за ради чего компьютерную технику покупал бизнес в огромных количествах, благодаря чему компьютерная техника теперь доступна вам или мне.
Святая простота, а вот в банке уже! Такой же бардак в банках, как и везде — у кого-то больше, у кого-то меньше. У любого клауд провайдера ИБ в среднем на порядок лучше, в первую очередь, потому что в среднем на порядок компетентнее.
Распедалил по-взрослому. Респект, Сергей!
Вы должны пройти школу жизни, примеры:
Побыть Кевином Митником, повзламывать системы/людей, посидеть в тюрьме, потом организовать компанию по инфобезопасности.
Ну или хотя бы прочитать его книгу.
Побыть Кевином Митником, повзламывать системы/людей, посидеть в тюрьме, потом организовать компанию по инфобезопасности.
Ну или хотя бы прочитать его книгу.
Тут уважаемые комментаторы про подкуп разговор завели. Вставлю свои 5 копеек. Год примерно 2012-2013. Фирма имеет кучу филиалов по стране, директор — весьма молод но уже вполне обеспечен. Не знаю деталей его «косяков», но им заинтересовались. Я занимался администрированием и когда приходили люди в погонах (а приходили часто) они ни разу ничего не нашли. А нашли когда пообщались с уволенными в разное время сотрудниками. Среди прочего «нашли» документы со стола директора сфотографированные на телефон.
И еще один вариант уже без людей в погонах:
— Вась, привет. Ты меня не знаешь, но я слыхал, что ты чего-то там админишь в банке таком-то. Короче слушай: мне надо инфу X с сервера Y. Денег я тебе не дам, но обещаю удалить вот эту фотку с твоими детьми\родителями из своего телефона. Все понял?
— Угу. Разрешите подорваться выполнять?!
И еще один вариант уже без людей в погонах:
— Вась, привет. Ты меня не знаешь, но я слыхал, что ты чего-то там админишь в банке таком-то. Короче слушай: мне надо инфу X с сервера Y. Денег я тебе не дам, но обещаю удалить вот эту фотку с твоими детьми\родителями из своего телефона. Все понял?
— Угу. Разрешите подорваться выполнять?!
Sign up to leave a comment.
«Мамкины хакеры» на официальной работе: чем занимаются пентестеры