Форум: "Прочее";
Текущий архив: 2008.11.30;
Скачать: [xml.tar.bz2];
Вниз
Безопасность Найти похожие ветки
← →
Polevi © (2008-09-30 20:23) [0]Крупная западная компания
Недавно проходил аудит по безопасности
Приехали 4 молодых человека со своим ноутбуком, их посадили в отдельную комнату и дали сеть.
Через полтора часа они получили привилегии администратора домена
Вот я думаю - полтора часа это много или мало ?
← →
DVM © (2008-09-30 20:34) [1]
> Вот я думаю - полтора часа это много или мало ?
мы покупаем или продаем?
← →
Юрий Зотов © (2008-09-30 20:34) [2]Если за 50 баксов - то много.
Если за 50 штук баксов - то мало.
Но я бы такое даже и за миллион баксов не смог сделать. Просто не умею.
← →
blackman © (2008-09-30 20:46) [3]Могли бы и быстрее, но видимо сначала кофейку попили и сходили пообедать :)
Дело не во времени, а в том, что привелегии получили, а не должны были!
И видимо, действовали стандартными методами.
При не стандарте ушло бы гораздо больше времени.
← →
Anatoly Podgoretsky © (2008-09-30 21:10) [4]> Polevi (30.09.2008 20:23:00) [0]
Недавно проходил аудит, просто аудит
Приехали 4 молодых человека со своим ноутбуками, их посадили в отдельную комнату и дали сеть.
Через полтора часа компания была внесена в спамерские списки, за полтора час один компьютер успел разослать 2 миллиона писем.
Вот я думаю - полтора часа это много или мало ?
И еще я думаю это аудиторы или лохи (точнее лохотронщики)?
Я сумел полазить удалено по их компьютерам. Все были заражены много раз.
На прошлой неделе приезжали два других аутитора, так у них диски оказались зашифрованы на аппаратном уровне, и от сети они отказались, физически wifi адаптеры отключены от автоматического получения ИП адресов. Попросили только электросеть им дать.
Вот это совсем другой подход. Забота и о своих данных и данных их клиентов.
← →
Юрий Зотов © (2008-09-30 21:14) [5]> Anatoly Podgoretsky © (30.09.08 21:10) [4]
> Я сумел полазить удалено по их компьютерам.
Кто же кого проаудитировал?
:o)
← →
Anatoly Podgoretsky © (2008-09-30 21:29) [6]> Юрий Зотов (30.09.2008 21:14:05) [5]
Ну я как администратор сети проверил их на безопасность.
При том после того как они нас подставили.
Правда после этлго никто не может послать почту минуя наш сервер и не имеея на нем учетной записи.
← →
Anatoly Podgoretsky © (2008-09-30 21:29) [7]> Юрий Зотов (30.09.2008 21:14:05) [5]
Кстати это был единственный случай, когда я увидел зомби машину в действии и во всей красе.
← →
blackman © (2008-09-30 21:40) [8]Anatoly Podgoretsky © (30.09.08 21:10) [4]
Первые четыре спамеры были, а ты их за аудиторов принял.
Вторые два просто зашли чайку попить
:)
← →
Anatoly Podgoretsky © (2008-09-30 21:52) [9]> blackman (30.09.2008 21:40:08) [8]
Вторыми я доволен и что важно, они и бухгалтерам понравились, практически не делали никаких ксерокопий. А все остальные аудиторы больше ничем не занимались, как ксерокопии делали, видимо их работа оценивается в толщине ксерокопированой папки с документами, чем толще, тем лучше аудитор.
А эти были серьезные ребята - они действительно работали как аудиторы. Но это были личные аудиторы собственника, а все прочие заказные, но явно из одной обоймы, сынки.
Теперь по делу - зомби машина, это страшно!
← →
blackman © (2008-09-30 22:09) [10]Anatoly Podgoretsky © (30.09.08 21:52) [9]
Теперь по делу - зомби машина, это страшно!
Видел. И сразу несколько, но в локалке. Поэтому не так страшно, но переполох был приличный :)
← →
Anatoly Podgoretsky © (2008-09-30 22:14) [11]> blackman (30.09.2008 22:09:10) [10]
Так и у меня в локалке, занималась рассылкой спама. И это всего лишь одна машина, а столько дел натворила.
← →
blackman © (2008-09-30 22:21) [12]Так и у меня в локалке,
А как же
Через полтора часа компания была внесена в спамерские списки,
Кто же внес, если не вышло за пределы?
← →
DrPass © (2008-09-30 22:32) [13]
> Polevi © (30.09.08 20:23)
> Крупная западная компания
> Недавно проходил аудит по безопасности
> Приехали 4 молодых человека со своим ноутбуком, их посадили
> в отдельную комнату и дали сеть.
> Через полтора часа они получили привилегии администратора
> домена
> Вот я думаю - полтора часа это много или мало ?
Ключевое слово "со своим ноутбуком". Самый типичный способ действия в таком случае: имея админские права на машину, поднять на ней сниффер, затем зафлудить ближайший свич. Свич, когда он не справляется с нагрузкой, переходит в режим хаба. А дальше... дальше слушать сниффером, пока в сегменте кто-нибудь не попробует авторизоваться по нешифрованному протоколу (это таки да, недосмотр).
Попробовать надо то же самое, только без "своих ноутбуков", а дать им обычную рабочую станцию с ограниченными правами - как и работают обычные юзеры.
← →
Polevi © (2008-09-30 22:35) [14]>Anatoly Podgoretsky © (30.09.08 21:10) [4]
причем тут это, пустили заразу в интранет
или вы считаете что все аудиты безопасности есть лохотрон ? а по факту на контроллере домена был установлен старый софт с дырками а пароли на циску лежали в текстовом файле на рабочем столе администратора
и думаю вы зря так в себе уверены, наверняка при желании вас сломают изнутри за примерно тоже время
← →
Polevi © (2008-09-30 22:38) [15]>DrPass © (30.09.08 22:32) [13]
таким способом можно повысить свои привилегии.. но администратор домена.. такие права в принципе есть у 1-2 человек из 1000 пользователей
← →
DrPass © (2008-09-30 22:44) [16]
> Polevi © (30.09.08 22:38) [15]
В принципе, да. Я уже прочитал про дырки на контроллере домена. Сейчас эта проблема решается малой кровью, та же Майкрософтина предлагает готовое решение для автоматической установки апдейтов в корпоративной сетке. Надо только купить и настроить.
← →
Anatoly Podgoretsky © (2008-10-01 08:57) [17]
> Polevi © (30.09.08 22:35) [14]
Да ничего я не считаю, и случай привел не в связи с безопасностью, а в связи, что аудиторы разные бывают. Кроме того не пускать не могу, но я пускаю в изолированую сеть. У них выход только в Интернет, а локалку не видать. Мне просто интересен был факт, как великолепно работает зомби машина, со скакой скоростью она генерит письма и при этом пользователю не заметно. Ну и как бывают лохотронщики аудиторы, их большинство, у нас каждый месяц работает какая ни будь команда, были случаи, когда работали сразу три, при том две из одной фирмы, но из разных стран.
А если, что сломают то это не моя проблема, генеральный директор в курсе опасности, но она ничто по сравнению с теми документами, которые им дают для ксерокопирования, ничего и ломать не надо.
Единственно полезным было то, что на основание этого я смог отключить выход на внешние не контролируемы SMTP сервера.
← →
Anatoly Podgoretsky © (2008-10-01 09:01) [18]
> пока в сегменте кто-нибудь не попробует авторизоваться по
> нешифрованному протоколу (это таки да, недосмотр).
Обижаешь, аутентификация безопасная.
И никакой им снифер не поможет в их изолированой сети.
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2008.11.30;
Скачать: [xml.tar.bz2];
Память: 0.5 MB
Время: 0.007 c
