Comments 33
И после такого отчета — Positive Technologies?
По теме — ужас :(
По теме — ужас :(
Чего уж говорить, везде поголовно стоит нелицензионный софт.
Большинство так и сидят на сборках «Zver», где аккаунт по умолчанию администратора с «логин»=>«Admin»/ «паролем» = "".Эти же сборки используются в корпорациях ленивыми сисадминамиплохими сисадминами. Уже не говоря о том, как даётся доступ в ад, большинству дают роль локального администратора, или пароль 12345 и так далее, таких мелких поблажек грубых ошибок очень много, что в совокупности сводит любые способы борьбы с пользователямипопытку ввести безопасность сводит на нет… Продолжать не хочу, лень, все видели, все знают, Все понимают, все молчат.
В 99% случаев это связано с беспечностьюнеобразованностью руководителей IT отделов, либо отдела кадров,
Большинство так и сидят на сборках «Zver», где аккаунт по умолчанию администратора с «логин»=>«Admin»/ «паролем» = "".Эти же сборки используются в корпорациях ленивыми сисадминами
В 99% случаев это связано с беспечностью
Как мне кажется, всё-таки компании, которые заказывают тестирование на проникновение, не совсем подходят под Ваше описание. Компаниям с ленивыми необразованными сисадминами и беспечными руководителями IT и кадров такие услуги вряд ли знакомы. Им не до того.
Возможно Вам и правда лишь так кажется, судя по вышеописанному материалу, независимо от Ваших слов, проблемы схожие во всех компаниях :)
Дело не в том. Беспечный руководитель не будет заказывать тест на проникновение. Ленивый сисадмин не захочет исправлять недостатки, выявленные по итогам этого теста. Поэтому мне и показалось, что под ваше описание компании «поголовно» не попадают.
Пентест не показатель. Взломать можно 99.9% систем. Наглядный результат пентеста — это эффектный способ выбить денег на ИБ у несговорчевого топ-менеджера.
Интересно ещё какой процент взломов замечают. Ибо одно дело — взломать и что-то украсть, а другое дело — ешё и сделать так, что про это никто ничего не узнает. Тут нужно не один раз провести тестирование, а много (а в идеале — делать это регулярно со случайными интервалами, чтобы так вот просто сотрудники не могли понять что к чему). Как много компаний это делают?
UFO just landed and posted this here
Насколько я помню, в виндовс XP и без всяких зверей есть предустановленный скрытый аккаунт «Administrator» или «Администратор» (в русской версии), с изначально пустым паролем. Но подключиться с этими данными по сети не получится, обязательно нужен не пустой пароль. Поправьте если я ошибаюсь.
Не удивлен :)
UFO just landed and posted this here
Наверное не везде так, у нас в конторе сис админ и инфосеки — чуть ли не главные люди в офисе. Как скажут, так и будет.
В офисе запрещены вайфаи, сетевые кабели разделены на защищенные и публичные по цвету, авторизация по rsa токену, девелоперские виртуалки объеденины в единую изолированную подсеть, есть список разрешенного для использования ПО, копи-паст и флешки из виртуалок не работают, инфосеки сканируют компьютеры и почту, бинарники по почте не передать, и т.д. и т.п.
Очень раздражает что мне нужно 3 пароля, один пин код и 1 rsa токен чтобы попасть в корпоративную почту, но при всем при этом, если очень захотеть, вытащить что-то из системы — раз плюнуть.
В офисе запрещены вайфаи, сетевые кабели разделены на защищенные и публичные по цвету, авторизация по rsa токену, девелоперские виртуалки объеденины в единую изолированную подсеть, есть список разрешенного для использования ПО, копи-паст и флешки из виртуалок не работают, инфосеки сканируют компьютеры и почту, бинарники по почте не передать, и т.д. и т.п.
Очень раздражает что мне нужно 3 пароля, один пин код и 1 rsa токен чтобы попасть в корпоративную почту, но при всем при этом, если очень захотеть, вытащить что-то из системы — раз плюнуть.
UFO just landed and posted this here
«Вот Вы понаставили своих крутых систем безопасности, ДЛП и прочей бесполезной ботвы, а я возьму и на мобилу экран переснимаю» :)
UFO just landed and posted this here
Как не крути, DLP системы совсем не панацея, они спасают, только от «простых» пользователей.
Любой человек который, хотя бы знает что такое dlp, чуть глубже чем на уровне аббревиатуры, может придумать, с десяток способов ее обхода.
При этом в каждом конкретной ситуации свои нюансы, где-то достаточно, шифрованного архива, где-то шифрованного архива с расширением .txt, где то просто надо отправить zip бомбу перед своим сообщением. В крайнем случае, гугл может рассказать еще интересней.
P.S.
Вы не единственный, кто пробовал устрицы.
Любой человек который, хотя бы знает что такое dlp, чуть глубже чем на уровне аббревиатуры, может придумать, с десяток способов ее обхода.
При этом в каждом конкретной ситуации свои нюансы, где-то достаточно, шифрованного архива, где-то шифрованного архива с расширением .txt, где то просто надо отправить zip бомбу перед своим сообщением. В крайнем случае, гугл может рассказать еще интересней.
P.S.
Вы не единственный, кто пробовал устрицы.
UFO just landed and posted this here
Абсолютно с вами согласен, что глупо обсуждать конкретные системы обеспечения ИБ, в отрыве от их среды.
Я лишь пытался, сказать, что существующие на рынке комплексные «коробочные» решения с «ярлыком» DLP, как правило рассчитаны, на защиту от «среднестатистического» пользователя, а не на тех, кто подписан на хаб «информационная безопасность» на хабре.
Я лишь пытался, сказать, что существующие на рынке комплексные «коробочные» решения с «ярлыком» DLP, как правило рассчитаны, на защиту от «среднестатистического» пользователя, а не на тех, кто подписан на хаб «информационная безопасность» на хабре.
>>Наверное не везде так, у нас в конторе сис админ и инфосеки — чуть ли не главные люди в офисе
Это все потому что, у вас
>>девелоперские виртуалки
а у них
>>манагер есть.
В софтверных конторах как-то получше и с админами, и самим админам получше.
Это все потому что, у вас
>>девелоперские виртуалки
а у них
>>манагер есть.
В софтверных конторах как-то получше и с админами, и самим админам получше.
UFO just landed and posted this here
Большинство ІТ-безопасности должно решатся на уровне политик компании. Но, как мы знаем, везде бывают сключения (большие боссы) :)
Графика красивая, молодцы!
«Даже начинающий хакер»
Я взломаю банк и все девки будут мои, но мамка гонит делать уроки :((
Я взломаю банк и все девки будут мои, но мамка гонит делать уроки :((
В любой системе есть слабое звено. Спасибо за недвусмысленное указание, что чаще всего им является. Достойный материал!
Доводилось несколько раз наблюдать работу позитивщиков.
Самое неприятное когда, после нескольких попыток пробиться через сетевой периметр, начинаются письма счастья. И всегда найдется коллега, который несмотря на тренинги, попадется на удочку и откроет.
Причем и в случае например Снабженцев и ругаться вроде не за что, потому что, если человеку который постоянно принимает предложения от различных поставщиков с различных адресов, приходит «предложение на поставку». Он по должностной инструкции должен открыть и прочитать.
Самое неприятное когда, после нескольких попыток пробиться через сетевой периметр, начинаются письма счастья. И всегда найдется коллега, который несмотря на тренинги, попадется на удочку и откроет.
Причем и в случае например Снабженцев и ругаться вроде не за что, потому что, если человеку который постоянно принимает предложения от различных поставщиков с различных адресов, приходит «предложение на поставку». Он по должностной инструкции должен открыть и прочитать.
Вы считаете, что письма счастья — это нечестно?
А как же принцип, что внутренние угрозы гораздо более опасны, чем внешние, и защищаться от них тоже нужно?
А как же принцип, что внутренние угрозы гораздо более опасны, чем внешние, и защищаться от них тоже нужно?
По правильному, по уму понятно, что «враг» пойдет на любые извороты, что-бы достичь желаемого. Эти факторы обязательно должны учитываться.
Но по эстетике — обман и мошеннические схемы это уже не настоящее хакерство.в чистом виде. Одурачить можно любого, вот провести чистый взлом сложной системы, без участия человеческого фактора — это искусство.
ps. Кстати, а что если Позитивщикам, нанять пару амбалов, и вылавливать сидминов проверяемой компании по одному.
И под графой «Осведомленность сотрудников», завести графу «Моральная стойкость и крепкость духа».
Ну и частные примеры — «сдал все пароли при угрожающем слове — »Слышь", к работе с критическими данными не рекомендуется." :)
Но по эстетике — обман и мошеннические схемы это уже не настоящее хакерство.в чистом виде. Одурачить можно любого, вот провести чистый взлом сложной системы, без участия человеческого фактора — это искусство.
ps. Кстати, а что если Позитивщикам, нанять пару амбалов, и вылавливать сидминов проверяемой компании по одному.
И под графой «Осведомленность сотрудников», завести графу «Моральная стойкость и крепкость духа».
Ну и частные примеры — «сдал все пароли при угрожающем слове — »Слышь", к работе с критическими данными не рекомендуется." :)
Sign up to leave a comment.
IT-системы крупных компаний может взломать даже начинающий хакер