Pull to refresh

Comments 33

Чего уж говорить, везде поголовно стоит нелицензионный софт.
Большинство так и сидят на сборках «Zver», где аккаунт по умолчанию администратора с «логин»=>«Admin»/ «паролем» = "".Эти же сборки используются в корпорациях ленивыми сисадминами плохими сисадминами. Уже не говоря о том, как даётся доступ в ад, большинству дают роль локального администратора, или пароль 12345 и так далее, таких мелких поблажек грубых ошибок очень много, что в совокупности сводит любые способы борьбы с пользователямипопытку ввести безопасность сводит на нет… Продолжать не хочу, лень, все видели, все знают, Все понимают, все молчат.
В 99% случаев это связано с беспечностью необразованностью руководителей IT отделов, либо отдела кадров,
Как мне кажется, всё-таки компании, которые заказывают тестирование на проникновение, не совсем подходят под Ваше описание. Компаниям с ленивыми необразованными сисадминами и беспечными руководителями IT и кадров такие услуги вряд ли знакомы. Им не до того.
Возможно Вам и правда лишь так кажется, судя по вышеописанному материалу, независимо от Ваших слов, проблемы схожие во всех компаниях :)
Дело не в том. Беспечный руководитель не будет заказывать тест на проникновение. Ленивый сисадмин не захочет исправлять недостатки, выявленные по итогам этого теста. Поэтому мне и показалось, что под ваше описание компании «поголовно» не попадают.
Пентест не показатель. Взломать можно 99.9% систем. Наглядный результат пентеста — это эффектный способ выбить денег на ИБ у несговорчевого топ-менеджера.
Интересно ещё какой процент взломов замечают. Ибо одно дело — взломать и что-то украсть, а другое дело — ешё и сделать так, что про это никто ничего не узнает. Тут нужно не один раз провести тестирование, а много (а в идеале — делать это регулярно со случайными интервалами, чтобы так вот просто сотрудники не могли понять что к чему). Как много компаний это делают?
пентест является обязательным для соответствия PCI DSS, например. тут уже не важно насколько кто ленив и квалифицирован, он просто должен быть.
Насколько я помню, в виндовс XP и без всяких зверей есть предустановленный скрытый аккаунт «Administrator» или «Администратор» (в русской версии), с изначально пустым паролем. Но подключиться с этими данными по сети не получится, обязательно нужен не пустой пароль. Поправьте если я ошибаюсь.
аккаунт не является скрытым и если не изменяет память, то для него просят задать пароль при инициализации системы после установки.
UFO landed and left these words here
Наверное не везде так, у нас в конторе сис админ и инфосеки — чуть ли не главные люди в офисе. Как скажут, так и будет.
В офисе запрещены вайфаи, сетевые кабели разделены на защищенные и публичные по цвету, авторизация по rsa токену, девелоперские виртуалки объеденины в единую изолированную подсеть, есть список разрешенного для использования ПО, копи-паст и флешки из виртуалок не работают, инфосеки сканируют компьютеры и почту, бинарники по почте не передать, и т.д. и т.п.
Очень раздражает что мне нужно 3 пароля, один пин код и 1 rsa токен чтобы попасть в корпоративную почту, но при всем при этом, если очень захотеть, вытащить что-то из системы — раз плюнуть.
UFO landed and left these words here
«Вот Вы понаставили своих крутых систем безопасности, ДЛП и прочей бесполезной ботвы, а я возьму и на мобилу экран переснимаю» :)
UFO landed and left these words here
Как не крути, DLP системы совсем не панацея, они спасают, только от «простых» пользователей.
Любой человек который, хотя бы знает что такое dlp, чуть глубже чем на уровне аббревиатуры, может придумать, с десяток способов ее обхода.
При этом в каждом конкретной ситуации свои нюансы, где-то достаточно, шифрованного архива, где-то шифрованного архива с расширением .txt, где то просто надо отправить zip бомбу перед своим сообщением. В крайнем случае, гугл может рассказать еще интересней.

P.S.
Вы не единственный, кто пробовал устрицы.
UFO landed and left these words here
Абсолютно с вами согласен, что глупо обсуждать конкретные системы обеспечения ИБ, в отрыве от их среды.
Я лишь пытался, сказать, что существующие на рынке комплексные «коробочные» решения с «ярлыком» DLP, как правило рассчитаны, на защиту от «среднестатистического» пользователя, а не на тех, кто подписан на хаб «информационная безопасность» на хабре.
UFO landed and left these words here
>>Наверное не везде так, у нас в конторе сис админ и инфосеки — чуть ли не главные люди в офисе

Это все потому что, у вас
>>девелоперские виртуалки

а у них
>>манагер есть.

В софтверных конторах как-то получше и с админами, и самим админам получше.
чем крупнее контора, тем больше формальных правил и требований. и правила эти устанавливает не сисадмин, который является лишь исполнителем и не манагер, который является просто пользователем.
UFO landed and left these words here
на 90% твой коммент это лирика о том как не справедливо руководство относится к мнению сисадмина.
но на самом деле, сисадмин и не должен формулировать требования ИБ.

и если зрелость компании такова, что какой-то начальник может крутить вертеть безопасностью как ему хочется и бить кулаком по столу, то значит и ИБ риски у этой компании не так существенны, чтобы обращать на них внимание.
UFO landed and left these words here
понять какие механизмы можно и нужно применять можно и без мнения сисадмина.
Большинство ІТ-безопасности должно решатся на уровне политик компании. Но, как мы знаем, везде бывают сключения (большие боссы) :)
«Даже начинающий хакер»
Я взломаю банк и все девки будут мои, но мамка гонит делать уроки :((
В любой системе есть слабое звено. Спасибо за недвусмысленное указание, что чаще всего им является. Достойный материал!
Доводилось несколько раз наблюдать работу позитивщиков.
Самое неприятное когда, после нескольких попыток пробиться через сетевой периметр, начинаются письма счастья. И всегда найдется коллега, который несмотря на тренинги, попадется на удочку и откроет.
Причем и в случае например Снабженцев и ругаться вроде не за что, потому что, если человеку который постоянно принимает предложения от различных поставщиков с различных адресов, приходит «предложение на поставку». Он по должностной инструкции должен открыть и прочитать.
Вы считаете, что письма счастья — это нечестно?
А как же принцип, что внутренние угрозы гораздо более опасны, чем внешние, и защищаться от них тоже нужно?
По правильному, по уму понятно, что «враг» пойдет на любые извороты, что-бы достичь желаемого. Эти факторы обязательно должны учитываться.

Но по эстетике — обман и мошеннические схемы это уже не настоящее хакерство.в чистом виде. Одурачить можно любого, вот провести чистый взлом сложной системы, без участия человеческого фактора — это искусство.

ps. Кстати, а что если Позитивщикам, нанять пару амбалов, и вылавливать сидминов проверяемой компании по одному.
И под графой «Осведомленность сотрудников», завести графу «Моральная стойкость и крепкость духа».
Ну и частные примеры — «сдал все пароли при угрожающем слове — »Слышь", к работе с критическими данными не рекомендуется." :)
Only those users with full accounts are able to leave comments. Log in, please.