Комментарии 19
И почему взломщик, беспрепятственно хозяйничавший в сети с администраторскими привилегиями 5 месяцев, не «подтер следы»?
А то, что не «подтер следы» — так он же еще на закончил и ушел.
SIEM — это здорово, но нужны люди, которые будут туда смотреть. А в России один ИБист на компанию практически везде (за исключением 100 или 1000 больших компаний).
Возникает идея о внешенем SOC (Security Op. Center), но там цены мама не горюй.
Сейчас существует реальная ниша по обеспечению практической безопасности, но за разумные деньги, когда услуги аутсорса ИБ будут дешевле чем ИБ внутри компании. Но это будет не скоро, а может и никогда. Поскольку деятельность лицензируемая и емкая на инвестиции.
У нас давно уже слили базы популярных провайдеров от lifecell и kyivstar. Я им даже по приколу писал про уязвимости через которые можно было слить бд и дефейснуть сайт и после получить доступ к их говно инфраструктури. В lifecell (бывший life) про уязвимости смог достукаться только через вк и то не с первого раза. И то это было ОЧЕНЬ тяжело. Они их неправильно пофиксили и после я им снова написал, а они мне в ответ что то вроде "Спасибо за информацию! Я ее перенаправлю на специалистов.". А киевстар в молчки исправил и ничего не отписал. Но уязвиостей в lifecell и kyivstar еще было полно) лол) Короче проблема из-за того что всем насрать на свои обязательства и на вас в том числе. Мне на момент отправки уязвимостей было 13 лет, а сейчас только 14. И я обычный школьник который просто любит кодить. А есть те которые сливают так инфу а потом что то с ней плохое делают) У меня даже некоторые скриншоты остались
Делайте выводы xD
А вы почитайте мои статьи, там про внутреннее состояние телекома многое сказано.
Они считают, что их хлеб — не ИТ, не ИБ, и не развитие радиосети. Их хлеб = маркетинг + административное удушение неудобных конкурентов (например, через механизмы лицензирования радиочастот, как было с Теле-2).
Но после того как я увидел что базы пользователей, доступ к смс и распечатке звонков можно свободно купить на таких форумов как лолзтеам и юхак и ему подобных, то я немного охренел)). Решил поискать такие дыры в киевстаре и lifecell так как у меня были к ним симки и значит фактически я был их клиентом. То что я нашел мне сразу не понравилось) И в киевстаре и в лайфе почти сразу нашел уязвимости через которые можно было получить доступ к бд. И самое главное их там было очень много, как серьезных, так и нет. Во всяком случаи поковырял их, можно было попасть в их инфраструктуру и после делать все что хочешь. Но к ним даже не достучатся) Я даже думал дефейснуть их сайты. У меня вроде остались скриншоты и видео от киевстара и лайфа. Нужно будет поискать и если будет нормально материала, то мб напишу про это статью. И за это же киевстар или lifecell может на меня нагнать, что то вроде «Школьник, как ты посмел искать уязвимости в наших сверх продуктах!!! Ты не имеешь на это права!!! Мы тебя в колонию отправим!!!!!!» Что то в этом духе могут написать. И реально будут стараться что то на меня повесить, особенно если этому не предать огласку в СМИ. Но самое главное, что правонарушения сделали они. Они написали говнокод через который третьи лица могут получать такую информацию. Может они специально так на говнокодили, а может и нет. Но эту проблему создали они. А то что их кто то «хакнул» это уже вторая проблема, которая бы не появилась, если бы они не говнокодили. И вообще такое понятия как «взлом», «хак» очень многогранное. Человек может использовать уязвимость думаю что это просто такой «интерфейс» который ему любезно предоставили тот же киевстар или lifecell.
#трушкольникихакаютв2к17
Нет такой лажи в области ИТ или ИБ, совершив которую оператор загнется.
Поэтому руководство операторов не на словах, а в реальности, вообще не озабочено качеством ИТ. Разве что когда возникает идея как за счет ухудшения качества и надёжности можно сэкономить копейку.
Когда очередная лажа всплывает, то это работа PR-службы погасить тему. А работа безопасников, как вы сами говорите, — запугать любознательных энтузиастов, чтобы не смели искать дыры.
Все довольны, все при деле.
Настоящие злоумышленники и всякие там ЦРУ тоже довольны.
Хлеб телеком-провайдера — купить трафик подешевле и перепродать в розницу подороже. А совсем не за безопасность бороться. У идеального провайдера в штате только гендир и бухгалтер, остально все на аутсорсе — это если совсем утрировать. В реальности все зависит от уровня подготовки админов и их желания заниматься безопасностью. А в большинстве случаев такой взлом не слишком опасен. Что можно поломать у телеком-провайдера? Биллинг? Cпасут бэкапы. Сеть разломать? Клиенты очень с пониманием относятся к фразе "у нас хакерская атака, поэтому сегодня будут проблемы с инетом". И эта история показывает, что такие взломы не слишком страшны. 5 месяцев все работало же. На всякие случай, в этом посте есть грустный сарказм, не много, но есть
Опять же базы данных с персональными данными, а это утечка довольно таки серьезная. данные пользователя паспорт\адрес и в даркнет.
Да не нужно это все уже давно никому. Те, кому это действительно важно, просто не светят ими нигде, а остальным наплевать, так как уже "давно все и так слито".
И Вы слишком высокого мнения о работе современных телеком-провайдерах :-), особенно, работающих с физ-лицами. Все там гораздо проще :-). Домашняя сеть у некоторых увлеченных школьников-студентов по крутизне, технологиям и безопасности может дать фору районному провайдеру. У них только размер побольше.
Вывод: используйте надежные пароли, наймите нормального специалиста по информационной безопасности.
В целом любопытно, какими этапами проходила атака, и да, отчасти на больную мозоль давит… Мониторьте логи, даже если там обычно ничего не происходит. (Ну или доверьте это нашему ПО")
В качестве следующей цели были выбраны терминальные серверы, предоставляющие пользователям ресурсы для решения различных задач. Из-за недостаточного уровня изоляции сессий пользователей компрометация одной учетной записи могла повлечь компрометацию учетных записей других пользователей терминального сервера.
Что в данном случае имелось ввиду под изоляцией сессий? Пользователями запускались файлы, которые все могли изменять? Некорректно настроенные доступы к профилям? Или что-то другое?
Вот вам и изоляция… ресурсы где есть у всех пользователей права на запись, и нет ограничений на запуск (exe, com, bat, cmd, pif) с этих ресурсов.
Отсюда и проблемы.
Как взламывают телеком-провайдеров: разбор реальной атаки