Comments 98
Красиво. Но смущают, как минимум, два момента. Первый: что сложного найти контроллер домена? В AD они перечислены в DNS, а тот, через который прошла аутентификация, видно через локальный вызов утилиты set. Второе: перехват. Даже в своей подсети бродкаст должен быть ограничен свитчами. Максимум, который вы можете увидеть это запросы вида «Whois IP». Если вы атакуете свитч для переключения его в хаб и это удается, то не подойдет под описание ситуации с проглядевшими такое злыми админами. Или я что-то не так понял?
Свичи могут быть в VLAN, тогда бродкасту пофиг что там вокруг, он пойдет по логической подсети, а не физической.
мне кажется, вы немного ошибаетесь. почитайте, что такое свитч и как он работает.
Я поддерживаю предыдущего оратора. Я всетаки хотел бы услышать от вас аргументы. По моему мнению бродкаст пакеты должны быть видны в пределах всей логической сети (VLAN), т.е. вполне вероятно за пределами одного физического коммутатора. Подскажите, почему это не так.
Потому что LSA общается по юникасту, а коммутаторы (в отличии от хабов) шлют его только в порт назначения.
Никогда бы не подумал, что на Хабре придется рассказывать чем коллизион домен отличается от бродкаст домена и чем юникаст отличается от бродкаста. В общем, если совсем кратко, то задача свитча заключается в том, чтобы запрос, который пришел от устройства А, подключенного к порту 1 для устройства Б, подключенного к порту 2, ушел на порт 2 и больше никуда. Соответствие «устройство-порт» свитч держит в своей памяти. Когда свитч обучается, он заполняет таблицу. В этот момент запросы могут пробегать по любым портам. Но момент этот очень короткий. После обучения свитч в силу своего предназначения не пропустит трафик на чужой порт. Только бродкаст запросы «Whois IP» в процессе обновления таблицы в памяти. Поэтому, например, если вы сидите на порту 3 и пытаетесь его снифить, то единственное что вы там должны увидеть при правильной настройке это сообщение «IP такой-то, какой у тебя MAC, ответь IP такому-то с MAC такой-то». Как только адресат найден, его трафик остальным становится невидим.
Может быть случай, когда у свитча заканчивается память. Например, в сети много устройств и все их МАС адреса в память свитча не влезли. Тогда он переключается в режим хаба. Это аварийный режим. В нем свитч превращается в электрически прозрачный хаб, т.е. из устройства управления трафиком становится тройником для подключения витой пары. Поэтому ряд атак на свитч как раз построены на принципе переполнения таблицы адресов свитча. Но в свитчах от этого есть защита.
Если кратко, это все.
Может быть случай, когда у свитча заканчивается память. Например, в сети много устройств и все их МАС адреса в память свитча не влезли. Тогда он переключается в режим хаба. Это аварийный режим. В нем свитч превращается в электрически прозрачный хаб, т.е. из устройства управления трафиком становится тройником для подключения витой пары. Поэтому ряд атак на свитч как раз построены на принципе переполнения таблицы адресов свитча. Но в свитчах от этого есть защита.
Если кратко, это все.
UFO just landed and posted this here
Обучалка Responder
А теперь копаем дальше, если послать запрос по IP сегмента сети и который не будет в таблице маршрутизации, то да здраствует бродкаст или мультикаст скорее.
Responder позволяет подставлять себя вместо служб Windows и в итоге траффик будет идти к нему.
А теперь копаем дальше, если послать запрос по IP сегмента сети и который не будет в таблице маршрутизации, то да здраствует бродкаст или мультикаст скорее.
Responder позволяет подставлять себя вместо служб Windows и в итоге траффик будет идти к нему.
Я не возражаю, что способов взлома вагон и маленькая тележка, но описанное не сработает там, где тебя отлавливают по активности PS. Ты не подключишь левое оборудование, на выданное оборудование ты не поставишь левый софт, все подключения мониторятся на права и здоровье. Появление всего левого будет тут же давать алерт. А уж затеряться в сети. Ну-ну.
Хмм, powershell используется многими инсталлерами, так что в крупной организации этот alert потеряется.
Более того: если есть четкое понимание того, что PS и CMD заблокированы, то можно попытаться забросить просто свою программу на комп (ну там скопировать файл с docx, который является архивом, потом распаковать его, скопировать неприметный jpg файл и потом сменить расширение на exe).
Более того: если есть четкое понимание того, что PS и CMD заблокированы, то можно попытаться забросить просто свою программу на комп (ну там скопировать файл с docx, который является архивом, потом распаковать его, скопировать неприметный jpg файл и потом сменить расширение на exe).
не получится. вы пишите политику доверенного ПО и запускается только то, что можно.
А, да, тут вы полностью правы. Если множество файлов с правами на запись не пересекается с множеством файлов с правами на запуск, то проблема по сути решена. Однако зачастую это просто невероятно сложно.
Однако код можно вызвать из кучи мест:
- Командная строка (даже сценаристы фильмов про это знают)
- VBA скрипты Excel'а и других офисных программ. При желании можно дать права на общение с Win API (такие права дает сам пользователь).
- vbs скрипты и прочая некрофилия.
Дело в том, UncleBance, что как бы вы не запрещали утечки данных, вы придете к одному из трех (в большинстве случаев):
- На компах невозможно эффективно работать: там старый (зато проверенный) софт, всё запрещено и обрезано, интернета нет, клавиатуры запрещены (иначе можно помигать светодиодом и передать информацию), удаленного доступа нет.
- На компах можно таки работать, однако есть известные способы утечки данных. О них знают админы, знает бизнес, потому работники слегка запугиваются УК и т.д. (в стиле: продашь нашу базу — сядешь). Кстати, это самый приемлемый способ, с моей точки зрения.
- Самый частый (с моей точки зрения): админы и бизнес гордо заявляют, что украсть ничего нельзя, всё закрыто политиками и крутостью ПО. Однако работнику нельзя пожаловаться на уязвимость (ведь по бумагам всё закрыто, т.е. уязвимости быть не может), а потому на деле это предыдущий пункт, просто про каналы утечек данных не знают даже админы.
Прочитайте текст внимательно.
Их NAC не охватывал всю сеть: любое подключение из рабочей кабинки было доверенным.
UFO just landed and posted this here
оно там и не присутствует и не отсутствует. VLAN — это виртуальное воплощение физического сегмента. У вас в витой паре такое понятие, как широковещательный IP адрес есть?
Снаружи (с т.з. глаз) — «хаб», «простой свич» и «VLAN-свич» выглядят одинаково: коробка с разъёмами для подключения портов. А вот работают они по-разному.
Хаб тупо ретранслирует любой сигнал во все порты, кроме того, откуда сигнал пришёл. Передача сигнала начинается сразу же по приходу — т.е. задержки околонулевые.
Простой свич принимает пакет целиков (ну или хотя бы заголовок) и по своим таблицам пытается определить — куда его надо отправить. Т.е. если адрес назначения в пакете недавно был в другом пакете адресом отправителя — то этот адрес будет в таблице; и свежий пакет отправится туда.
Если же в таблице нет такого адреса — то пакет рассылается по всем портам.
Очевидно, что броадкастовые адреса в таблицу не попадаются — и броадкастовые пакеты всегда рассылается по всем портам.
VLAN-свич в простейшем случае — это как бы несколько отдельных (не соединённых между собой) простых свичей. А т.к. эти виртуальные простые свичи ничем не соединены — то ни уникаст, ни броадкаст, ни ведьма в ступе не могут перейти из одной VLAN в другую (вот ответ на Ваш вопрос: «отсутствует», «не будет разлетаться»).
В более сложном случае — часть линков работает в транк-режиме («линк» == «два порта на концах линка»). При правильной настройке — вся группа VLAN-свичей выступает как единый VLAN-свич; соответственно, к ней (группе) относится то, что написано выше.
Что же касается при неправильной настройки — то тут возможно многое.
PS: Не надо ругаться. Лучше почитайте хотя бы Википедию.
Хаб тупо ретранслирует любой сигнал во все порты, кроме того, откуда сигнал пришёл. Передача сигнала начинается сразу же по приходу — т.е. задержки околонулевые.
Простой свич принимает пакет целиков (ну или хотя бы заголовок) и по своим таблицам пытается определить — куда его надо отправить. Т.е. если адрес назначения в пакете недавно был в другом пакете адресом отправителя — то этот адрес будет в таблице; и свежий пакет отправится туда.
Если же в таблице нет такого адреса — то пакет рассылается по всем портам.
Очевидно, что броадкастовые адреса в таблицу не попадаются — и броадкастовые пакеты всегда рассылается по всем портам.
VLAN-свич в простейшем случае — это как бы несколько отдельных (не соединённых между собой) простых свичей. А т.к. эти виртуальные простые свичи ничем не соединены — то ни уникаст, ни броадкаст, ни ведьма в ступе не могут перейти из одной VLAN в другую (вот ответ на Ваш вопрос: «отсутствует», «не будет разлетаться»).
В более сложном случае — часть линков работает в транк-режиме («линк» == «два порта на концах линка»). При правильной настройке — вся группа VLAN-свичей выступает как единый VLAN-свич; соответственно, к ней (группе) относится то, что написано выше.
Что же касается при неправильной настройки — то тут возможно многое.
PS: Не надо ругаться. Лучше почитайте хотя бы Википедию.
UFO just landed and posted this here
Ой, токи не надо так упрощать…
Есть хабы, есть неуправляемые свитчи, есть упраляемые уровней L2 и L3… а есть продукция компании Hewlett Packard Enterprise. А конкретнее — HPE 1910-48 — скопированный со старого свитча 3COM Baseline Switch 2952-SFP Plus. А так же другие изделия HPE и ZyXEL серии 1910.
Так вот… эти чудо-приборы соединить между собой можно только одним транковым кабелем. Хоть напрямую, хоть через цепочку других свитчей. Ибо режим разделения портов на изолированные нетегированные VLAN (Port Based VLAN) реализован в них криво и косячно. Делишь порты на 2-3 отдельных VLAN, соединяешь каждый своим шнурком — связь рвется. Иногда между каким-то одним VLAN, иногда между обоими — еще звависит от того, задействованы или нет гигабитные порты.
4 месяца я писал в техподдержку HPE. В конце концов они сказали, что такое невозможно и используйте транковые каналы… Ты бач!!! У нас куча разных TrendNET, ZyXEL (1900 и 1920), D-Link и даже HPE 1620 — все поддерживат. А эти — нет. Да там поддерживать ничего не надо, на самом деле. Изоляция нетегированных VLAN между собой — это самая примитивная основа…
Короче, посоны, не покупайте это дерьмо серии HPE 1910 и ZyXEL GS1910. Как я почитал в Инете — это у них не единственный косяк в VLAN.
Есть хабы, есть неуправляемые свитчи, есть упраляемые уровней L2 и L3… а есть продукция компании Hewlett Packard Enterprise. А конкретнее — HPE 1910-48 — скопированный со старого свитча 3COM Baseline Switch 2952-SFP Plus. А так же другие изделия HPE и ZyXEL серии 1910.
Так вот… эти чудо-приборы соединить между собой можно только одним транковым кабелем. Хоть напрямую, хоть через цепочку других свитчей. Ибо режим разделения портов на изолированные нетегированные VLAN (Port Based VLAN) реализован в них криво и косячно. Делишь порты на 2-3 отдельных VLAN, соединяешь каждый своим шнурком — связь рвется. Иногда между каким-то одним VLAN, иногда между обоими — еще звависит от того, задействованы или нет гигабитные порты.
4 месяца я писал в техподдержку HPE. В конце концов они сказали, что такое невозможно и используйте транковые каналы… Ты бач!!! У нас куча разных TrendNET, ZyXEL (1900 и 1920), D-Link и даже HPE 1620 — все поддерживат. А эти — нет. Да там поддерживать ничего не надо, на самом деле. Изоляция нетегированных VLAN между собой — это самая примитивная основа…
Короче, посоны, не покупайте это дерьмо серии HPE 1910 и ZyXEL GS1910. Как я почитал в Инете — это у них не единственный косяк в VLAN.
UFO just landed and posted this here
UFO just landed and posted this here
Спасибо!
Модель 1910 — единственная в нашем зверинце, на которой протокол STP (в вариантах расширений STP/RSTP/MSTP) не только реализован, но и включен по умолчанию. Т.к. только расширение PVSTP строит отдельное дерево для каждого VLAN, а остальные — одно общее дерево, то топология с разделением на изолированные Port Based VLAN ошибочно принимается ими за избыточные связи и отдельные ветви отсекаются.
После отключения STP на HPE 1910-48 стенд заработал.
С ZyXEL GS1910-24 сложнее. Там в настройках по WEB-интерфейсу не нашел отключения STP. Но это не критично. Их у нас только 2 и они только 24-портовые. Можно найти, куда их приткнуть.
А ТП HPE — sucks!!! 4 месяца мозги выносили и так и не сказали мне в чем там дело и как это побороть!
А вот грамотный человек намекнул и за несколько часов проблема была решена!
Модель 1910 — единственная в нашем зверинце, на которой протокол STP (в вариантах расширений STP/RSTP/MSTP) не только реализован, но и включен по умолчанию. Т.к. только расширение PVSTP строит отдельное дерево для каждого VLAN, а остальные — одно общее дерево, то топология с разделением на изолированные Port Based VLAN ошибочно принимается ими за избыточные связи и отдельные ветви отсекаются.
После отключения STP на HPE 1910-48 стенд заработал.
С ZyXEL GS1910-24 сложнее. Там в настройках по WEB-интерфейсу не нашел отключения STP. Но это не критично. Их у нас только 2 и они только 24-портовые. Можно найти, куда их приткнуть.
А ТП HPE — sucks!!! 4 месяца мозги выносили и так и не сказали мне в чем там дело и как это побороть!
А вот грамотный человек намекнул и за несколько часов проблема была решена!
Контроллер домена он искал, видимо, тоже со своего линуксового ноута, чтобы не вводить лишних команд на рабочем компе (см. предыдущий абзац про парольную политику).
Может быть, MITM через ARP-спуфинг с подменой адреса шлюза?
От него свич без дополнительных настроек не защитит.
с одной стороны, да. Но там, где поводом для обнаружения послужил запуск PS скрипта там, где его быть не должно, свитч без дополнительных настроек как пароль админа домена на липкой бумажке на мониторе, т.е. невозможен.
UFO just landed and posted this here
Практически я с этим не сталкивался, но на xgu.ru есть неплохая статья на этот счёт.
Вкратце: либо современный коммутатор с ACL, настроенным на фильтрацию ARP-запросов, либотанцы с бубном всякая экзотика типа построения сети на VLAN только с двумя узлами, статических ARP-таблиц на всех хостах, мониторинга атаки различными сенсорами и последующее расследование вручную — в общем, что-то очень замысловатое.
Вкратце: либо современный коммутатор с ACL, настроенным на фильтрацию ARP-запросов, либо
современное железо уже не получается обмануть обычным ARP-reply если оно не отправляло запросА вот это вопрос интересный. За коммутаторы не скажу, но ПК и серверы вроде бы до сих пор обманываются без проблем.
Кто знает. В принципе, могли и действительно не учесть)
тоже об этом подумал. иногда параноидальные построения прокалываются на смешных мелочах. но тут их как-то слишком много. Я помню, мы строили системы защиты на БСК, когда вы можете залогиниться в АРМ только при условии, что до этого приложили свою БСК к двери кабинета, где этот АРМ стоит. Иначе АРМ вас не пустит. И это еще не самое параноидальное.
Статья в твиттере? зачем? почему?
Какая-то фантастическая история, с одной стороны вроде и терминология профильная, и отдельные техники по делу описаны — но все вместе выглядит так, будто автор текста все придумал. Совершенно нереальная последовательность событий. Ну и многие решения крайне сомнительно выглядят. Больше всего резануло, как пентестер читал почты/скайпы/мессенджеры сотрудников при этом не имея даже прав на локальный вход на их машины. То есть OWA и вебаппликации при всех прочих мерах безопасности — открыты для всех безлимитно? Ерунда рассказ, внутренние пентесты так не делаются.
А где это он читал чужие почты?
Вот тут: "Ладно, идите к чёрту. Обойдусь без доступа к компьютерам. Залезу в их переписку! Так я и поступил. Я искал пароли в почте, Skype-чатах, проверил заметки и черновики в Outlook. Мне попалась куча личных паролей от чего угодно… Но ни одного от служебной учётки. Зато я нашёл письмо от отдела информационной безопасности, где говорилось, что они в течение недели планируют внедрить двухфакторную аутентификацию для почты. Похоже, мне ещё повезло."
чтобы читать скайп чат, надо подсовывать сертификат, которому будет доверять система. а тут это как-то «захотели, почитали»
Скайп-чаты сохраняются в том же Аутлуке, не знаю, можно ли это отключить
Тогда это S4B, а не просто скайп. Но, опять же, парадокс. Навесить на Exchange какую-либо DLP, которая будет отлавливать всякое ненужное к передаче (в том числе и пароли) не составляет особых проблем. А тут прям открытый день открытых ворот, когда как передача паролей через почту — грубейшее нарушение политики безопасности.
Если не считать черновиков, то всё остальное могло касаться публичной (внутри компании) переписки.
… а потом я проснулся и решил сочинить кулстори.
У чувака была неделя. В первый день он приволок и врубил в сеть на своем рабочем месте «левый» ноут. Ночью первого дня шарился по зданию, перетаскивая кипу ноутов. На второй — запаниковал.
Думаю, минимальная подготовка для такого пентеста все же нужна. Как и для написания статей. www.slideshare.net/dafthack/how-to-build-your-own-physical-pentesting-gobag
Думаю, минимальная подготовка для такого пентеста все же нужна. Как и для написания статей. www.slideshare.net/dafthack/how-to-build-your-own-physical-pentesting-gobag
Господи, это лучший шпионский рассказ, что я слышала запоследние пару лет!
И всё-таки всегда интересовало. Сколько нужно потратить лет времени, чтобы взломать по хэшу пароль длиной символов 20, не содержащий словарный паттернов и содержащий процентов 30 спецсимволов? П.С. пароли от доменных/локальных админов предпочитаю делать именно такими.
Любой пентест в первую очередь это история человеческих ошибок и беспечности. В сферической идеально организованной с позиции ИБ инфраструктуре в вакууме возможностей для эскалации привилегий нет: все обновления установлены, ПО настроено оптимальным образом, работает мониторинг, шаблоны доступа тонко настроены. Такие организации даже встречаются и с честью проходят все тестирования получая минимум высосанных из пальца рекомендаций
И всё-таки внедрять хакера в структуру, при этом не говоря проверяемым о таких планах выглядит не совсем привлекательно, хотя «секретность»делает эффект максимально приближено к реальности, соглашусь. А что если тот ИТ-амбал нос сломал бы засланцу, или шею? Угадайте, кого бы посадили в первую очередь «в этой стране»? Это мне напомнило, некогда проведенные анти-террористические учения в моем городе, когда в один из банков средь бела дня вломились грабители в масках с оружием (по факту это были переодетые силовики) и положили всех клиентов на пол, с криками и угрозами забрали липовую наличку, прихватив с собой пару заложников (возможно также переодетых силовиков), пальнув пару раз холостыми в потолок. Говорят, выглядело весьма правдоподобно — у некоторых клиентов прихватило сердечко и с пола их приходилось буквально «соскабливать». К сожалению, тогда никого так и не посадили.
Обычная практика, только вот никто не возится с фейковым оформлением на работу, а просто заводят специалиста под предлогом разовой работы (юридические услуги/консалтинг/обмен опытом и т.д.) или же вообще никак не вводят в систему, просто проводя в кабинет с доступной сетевой розеткой. Тестирование по «черному ящику» — без предварительного информирования тестирующего об объекте тестирования часто так же имеет своей целью проверку собственных служб на способность выявлять и реагировать на инциденты. Весь тест курируется службой безопасности предприятия и она же решает какие-то острые вопросы. Вариант, что некий «ИТ-амбал» кому-то сломает нос или свернет шею — исключен. Такое тестирование наиболее время и трудозатратно, но с другой стороны наиболее полезно для предприятия, так как помогает отладить собственные ресурсы для защиты от подобных угроз. В итоге все, конечно же, знакомятся и тестер подробно рассказывает на что нужно обратить внимание, что сделано хорошо, а что нужно немедленно закрывать.
И всё-таки раз «сдал» не причастный к проверке человек, т.е. уборщица, заоравшая на весь офис, значит этот «острый момент» не предусмотрела СБ. Какие еще моменты она не могла предусмотреть?
Я склонен считать художественным вымыслом всю историю от начала и до конца. Я не знаю, что там за эксперт в писателях ИБ-рассказов, но мой опыт пентестов противоречит описанной модели. Большая часть времени уходит на разведку, а тут автор с шашкой наголо сразу побежал всё ломать, едва только выяснив местоположение контроллера домена, да ещё и на пафосе «да я обычно за 1-2 дня всё уже взломал и курю». Если уж человек бегал по офису и физически взаимодействовал с компьютерами админов/пользователей, то чего не поставил аппаратный кейлоггер на клавиатуру, не задействовал badusb? Тем более, что ему там запросто разрешили чуть ли не ночами торчать.
этот «острый момент» не предусмотрела СБ
Наоборот – это значит, что СБ так построила свою работу, что ей помогают все сотрудники.
Согласен, но по факту уборщица и отработала инцидент, что в общем только плюс локальной СБ. Но в рамках данной проверки именно работник ИБ (амбал в свитере) должен был найти/сдать злоумышленника (локализовать и изолировать его вектор атаки), чего судя по рассказу не было достигнуто. Думаю это учтут при составлении отчета. А уборщице таки премию.
UFO just landed and posted this here
За какую бдительность? По сценарию этого блокбастера ИТ-отдел прибежал по тревоге системы мониторинга на сработавший powershell и начал опрос сотрудников, один из сотрудников вспомнил (неудивительно вспомнить постороннего человека, который совсем недавно тут крутился и с тобою разговаривал) человека, похожего на Кевина Митника.
Ой ну ошибся. Уборщица, старушка, электрик, армянин, женщина — не важно. Это было третье лицо, случайно втянутое в эксперимент.
без предварительного информирования тестирующего об объекте тестирования
Я бы тут дополнил, что предварительное информирование может задать направление вектору атаки, поэтому и ломиться тестирующий будет по этому направлению. А когда тестирующему ничего не дано, то он может выкопать что-то и там, где этого никогда не ожидали.
А ИТ-амбал не знает, что даже шпиону ломать нос или шею — не комильфо с точки зрения правоохранителей? А уж если тот чел правильно упомянул их главного безопасника и зачем он тут — с ним будут обходиться достаточно вежливо до прояснения ситуации.
ИТ-амбалы в целом спокойные ребята, однако я довольно долгое время работал с фруктом, который даже своих коллег по цеху мог унизить, в том числе физически, за какую-нибудь оплошность, несмотря на то что «наказываение» не входило в его компетенцию (был что-то вроде старшего эникея-недоадмина), на что он регулярно «выкладывал». В общем — на кого нарвешься (и смотря с каким уровнем тестостерона).
> Я немного добавил драматизма в конце.
Никто ничего никому не ломал:
Никто ничего никому не ломал:
В этой статье товарищ говорит о 2e9 SHA256 в секунду на Radeon 7990. Если у вас 26 * 2 + 10 = 62 возможных символов, то пространство перебора 62^20 ~= 7e35 вариантов. При указанной скорости перебора получаем 3,5e26 секунд. С этого момента можно уже не пересчитывать в годы, но на всякий случай — это около 11e18 лет. Можете добавить ещё десять тысяч видеокарт в свой супекомпьютер и слегка понизить показатель степени, но это не имеет никакого практического значения. Только не понимаю, зачем мучать себя спецсимволами, когда проще увеличить количество символов в пароле (какая разница, 20 или 30 символов в нём?). Каждый дополнительный символ добавляет единицу к показателю степени количества вариантов, в то время как каждый дополнительный символ алфавита увеличивает только основание этой степени.
"… Никто в финотделе никогда не запускает Powershell..."
Улыбнуло. Это какая-то отсылка? Тонкий юмор?
Никакого юмора, никаких отсылок. Просто заметили нетипичное для пользователя поведение.
Ага, у них настроен мониторинг запуска powershell на рабочих станциях, ограничены права локального администратора (!!!), но при этом они не зафиксировали спуфинг, перебои в работе сервисов и попытки удаленного логина. Набор несуразностей.
Допускаю, что история может являться вымыслом. Я просто ответил, что в принципе такие методы могут использоваться, и никакого юмора здесь нет
а NTLM не смутил? и ни одной смарткарты.
12 знаков — это хороший NTLM, но я бы хотел взглянуть на их пользователей, которые умудряются его помнить и не использовать примитивные шаблоны вроде «первая буква имени + дата рождения и! на конце». Тут впору еженедельные рейды проводить по проверке мониторов и клавиатур на предмет подклеенных бумажек с паролями.
Так вот как в реальности выглядит «Я тебя по IP вычислю!» =)
Странная какая-то компания, что разрешает новому сотруднику маркетинга притаскивать «личный ноутбук с линуксом и кучей хакерских инструментов»
Вероятно, «сверху» внутреннему СБ (не путать с ИБ) было приказано «мальчика не трогать», не смотря на палево по камерам и кучу левой активности по офису. Ведь по факту проверяли только ИБ, а не физическую безопасность в целом. Но таки предупредить уборщицу забыли, а она в итоге сдала подсадного именно ИТ-шнику. Если бы уборщица пошла бы к местному СБ — там скорее всего, сказали, что разберутся и «продолжили бы вести наблюдение ®».
UFO just landed and posted this here
В случае с Виндой, установленной на рабочих станциях, запуск чего-то не разрешённого на любом компьютере… Хм… Тем более на компьютере в финотделе…
Мне на ум приходит только одно — компьютер, на котором он что-то запустил, специально таким оставлен был, чтобы ловить всяких тёмных личностей.
А так, рассказ захватывающий, почти Мистер Робот. :)
Мне на ум приходит только одно — компьютер, на котором он что-то запустил, специально таким оставлен был, чтобы ловить всяких тёмных личностей.
А так, рассказ захватывающий, почти Мистер Робот. :)
Оно требовало двухфакторной аутентификации. Следующее тоже. И следующее. Да что ж за Алькатрас-то такой?! Ночной кошмар хакера!
Он физически находится в здании. Не говоря о SS7, поставить MITM БС можно!!!
Интереснее было бы если хакеров было несколько в разных отделах.
В парралели перебирать можно целую кучу вариантов, а разный опыт позволил бы найти больше дырок.
В парралели перебирать можно целую кучу вариантов, а разный опыт позволил бы найти больше дырок.
Зачем все эти сложности. Если у хакера есть физический доступ к системе достаточно воспользоваться кейлоггером физически установленным между клавиатурами айтишников и рабочими станциями.
Заметили повершел запущенный на каком-то левом компе через N минут, что не успел ничего сделать, но не заметили пропажи кучи ноутбуков, которые непонятный чувак тащил по коридорам в свою нору, под камерами (а они наверняка есть, раз уж они да же нанимают спецов на тест безопасности)? Надо было сразу сервер брать в охапку.
UFO just landed and posted this here
Такое видел, тут АХО косячит, например, с несвоевременной заменой доводчика.
UFO just landed and posted this here
Если IT-безопасность делали админы, а физическую — безопасники, то вполне. Да и то, что админы много сделали правильно, не означает, что они супер-параноики. Просто если есть оплачиваемое работодателем более-менее свободное время, то делаешь всё, что тебе интересно делать. За достаточное время можно много всего навнедрять, просто потому, что показалось интересным.
Sign up to leave a comment.
Враг внутри: как я попался на инсайдерском редтиминге