Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji
Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Praktyka bezpieczeństwa IT — śmiech na sali, która płonie

Jakiś czas temu, w ramach poczynań zawodowych zostało przydzielone mi zadanie przeprowadzenia audytu bezpieczeństwa IT. Klient to średniej wielkości firma zajmująca się pisaniem software i sterowników do określonych urządzeń. O audycie wiedzieliśmy tylko my i jedne z prezesów omawianej firmy.

W tym momencie mógłbym zacząć rozpisywać się jak określiliśmy strategię audytu i skąd poniższe działania, napiszę tylko tyle – to czym dysponowaliśmy na początku to : adres email prezesa , adres strony www i wiedza że firma posiada rozbudowany dział IT. Oczywiście została podpisana umowa zezwalająca nam na podjęcie kroków penetrujących organizację.

Dzień 1 - Więcej danych

Analiza strony WWW pozwoliła nam ustalić schemat adresów email np. imię.nazwisko@domena.pl

Analiza portfolio klientów i partnerów pozwoliła nam ustalić partnera wspomagającego audytowaną firmę w zakresie tworzenia stron WWW, jak również hostów odpowiedzialnych za utrzymanie kilku kluczowych portali klientów.

Analiza Facebooka i Goldenline pozwoliła nam namierzyć administratorów IT pracujących obecnie dla naszego „Celu”

Kilka telefonów do firmy i próśb o połączenie z konkretnymi działami pozwoliło nam ustalić dwa imiona i nazwiska Pań zatrudnionych w księgowości i Panią szefową marketingu.
Odpowiedź email na nasze zapytanie ofertowe pozwoliła nam na ustalenia że klient posiada serwer poczty MS Exchange wewnątrz swojej organizacji i jest to łącze firmy X , odwiedziny firmy https://mail.domena.pl/owa pozwoliło nam na ustalenie że firma korzysta z serwera poczty Exchange 2010 i jakąś wersję serwera OpenVPN

Dzień 2 - przygotowanie „placu zabaw”

Wykupiliśmy dwie domeny , pierwszą łudząco podobną do nazwy domeny audytowanej firmy , drugą łudzącą podobną do stron „ZUS” . np. oryginalna domena klienta www.mojedomena.pl , nasza www.mojadonema.pl .

Nasza „fakeowa” domena posłużyła nam do stworzenia konta które wykorzystaliśmy do kontaktu z firmą tworzącą strony WWW dla „Celu” i na prośbę „Naszego działu marketingu” firma ta na serwerze klienta umieściła stronę z „opisem produktu” i skryptem php pozwalającym umieścić nam własne pliki i zrobić zrzut configów :-) Na tak spreparowanej podstronie umieściliśmy mechanizm pozwalającą „zweryfikować” siłę używanego hasła.

Formularz pozwalał na sprawdzenie „siły hasła do komputera”, VPN i siłę hasła ERP( jeszcze wtedy nie wiedzieliśmy jakiego systemu nasz Cel używa).

Posiadając dane jednej z Pań księgowych, przesłaliśmy na jej adres email (z naszej wersji portalu ZUS) informację że ze względu na zmiany w programie Płatnik jeden z naszych pracowników w dniu jutrzejszym chciałby wspomóc Panią w aktualizacji . Odpowiedź przyszła w ciągu 1 godziny – Zapraszam serdecznie !

Dzień 3 – Pan od Płatnika

Mój kolega udał się na miejsce do Klienta i w szampańskiej atmosferze „chichocząc” z Paniami z działu księgowości zgrał sobie bazę płatnika, książkę adresową Outlook , wypił herbatę , dostał ciastko, ustalił login konta administratora domenowego, używany system ERP , hasło SA do serwera SQL, a także wszystkie hasła zapisane w przeglądarce firefox, IP po którym śmiga ruch internetowy użytkowników i….klucze VPN spoczywające sobie spokojnie w jednym z podkatalogów zasobu sieciowego IT. Wrócił z takim uśmiechem jakby oglądał mecz Lewandowski vs przedszkolaki.

Dzień 4 – Armagedon

Jako iż posiadaliśmy już książkę adresową organizacji, z „naszego” konta administratora z oryginalną super stopką rozesłaliśmy informację o audycie i konieczności weryfikacji haseł wraz z linkiem do wcześniej utworzonego formularza. W początkowej fazie email wyszedł tylko do 10 kont email.

Hasła pozyskane w pierwszej fazie wykorzystaliśmy do zalogowania się na konta poprzez OWA i przesłanie alarmowej wiadomości do faktycznych administratorów że „wirus szyfruje mi komputer!!!” – tak wiem, to nie było ładne zagranie i po czymś takim będąc adminem można dostać zawał serca ( sam osobiście dostaję go niemal codziennie rano gdy odbieram telefon że „nie widzę mojego pulpitu” ) ale musieliśmy czymś przykryć kolejne działania.

W kolejnej fazie email wyszedł do pozostałych 180 kont – w ciągu pierwszych 30 minut mieliśmy 120, haseł –Active Directory i ERP, 20 VPN ( dział handlowy???).
Była też osoba która wytknęła nam słabe zabezpieczenia bo formularz nie posiadał haszowania gwizdkami w czasie wpisywania hasła – mój błąd, oczywiście przeprosiłem i od razu poprawiłem formularz – wreszcie hasło mogło być bezpiecznie zweryfikowane :-)
Za pomocą dwóch z kont VPN i AD uzyskaliśmy dostęp do zasobów – celem potwierdzenia skopiowaliśmy kilka zbiorów danych .

W tym czasie mój kolega podając się za Administratora IT zadzwonił do usługodawcy łącza Internetowego i wybłagał Panią z infolinii że „jest w samochodzie i że firma jest pod ostrzałem hackerskim i prosi o zatrzymanie ruchu na puli adresów IP…. Pani co prawda nie mogła tego zrobić lecz zrestartowała terminal co skutkowało chwilową utratą Internetu w firmie i spotęgowało efekt „O K…A!””

Dzień 5 – podsumowanie

Mamy konta wraz z hasłami, dostęp do poczty użytkowników, VPN do sieci, dostęp do panelu administracyjnego dla 3 serwisów WWW, bazę płatnika, hasła do różnych portali wykorzystywanych w księgowości, wybrane dane między innymi finansowe…Dla działu IT, to był ciężki dzień….

Refleksja

Schemat który opisałem wyżej wykorzystywaliśmy przy okazji różnych audytów w różnych konfiguracjach, raz z lepszym raz z gorszym skutkiem, podstawowym czynnikiem niezmiennym niezależnym od wielkości organizacji jest człowiek. Ja wiem że administratorzy się starali, później już w wewnętrznych konsultacjach widziałem że mieli nienaganną politykę backupu , że zasady GPO , że firewall , że uprawnienia itp. Itd. Znam to dobrze od kuchni , wiem że się starają , ja się staram…. Ale pracujemy między ludźmi i bez świadomości i poczucia odpowiedzialności „Pani sekretarki” pieniądze wydane na UTM za 50 tyś zł nic nie dadzą.

Zauważam że u większości osób cały czas pokutuje przeświadczenie że „to nie jest naprawdę” że to co na ekranie to niby ważne ale nie tak na 100% że wszystko się da naprawić, "przepisać", "zrestartować" .

Kiedyś w jednym z moich skeczów standupowych mówiłem taki monolog że nigdy nie słyszałem od użytkownika słów „nie umiem” lub „zj…em” zawsze jest to „coś mi się tutaj zrobiło”. Gdy zapominamy wyłączyć gaz z piecyka lub mamy stłuczkę nie tłumaczymy się „coś mi się tutaj zrobiło” . Poniekąd jest to wina producentów oprogramowania którzy poprzez coraz to, jak to nazywają „małpo odporne” interfejsy tworzą środowisko które nie wymaga od operatora żadnej wiedzy o działaniu narzędziu które wykorzystują Kliknij->Dalej->Dalej->Akceptuj->Dalej.

Podczas jakiegoś szkolenie z bezpieczeństwa IT które prowadziłem po omówieniu załączników w poczcie pewna osoba biorąca udział w szkoleniu zupełnie nieskrępowanie powiedziała

A ja właśnie uruchomiłam taki załącznik i coś mi się tu kręci…

Nie mam pomysłu jak powinna być odpowiedź wielkich tego świata na nowe zagrożenia ale może w ogólnym rozrachunku wszystko jest tak jak ma być, bo gdyby tak zamknąć możliwość obrotu bitcointami dziś dla ransomware nie było by rynku…

Tęsknię za czasami „Dosa dla opornych”
 

bezpieczeństwo serwery inne

Komentarze

0 nowych
DjLeo MODERATOR BLOGA  18 #1 29.06.2017 09:03

A co to jest "emial"? :)

Frankfurterium   10 #2 29.06.2017 09:16

I śmieszne, i straszne :-| Ale każda poważna firma powinna przechodzić taki test przynajmniej raz na rok.

przybylas   7 #3 29.06.2017 09:31

Bardzo fajny wpis

Berion   15 #4 29.06.2017 09:48

To się nie zmieni, dopóki ludzie nie będą mieć podstawowej wiedzy i nie będą do tego podchodzić z powagą. Delegalizacja kryptowalut (pomijając już impakt gospodarczy i prawny) być może wyeliminowałaby ransomware (na pewno nie w 100%), ale w ich miejsce spokojnie można wstawić niszczarki danych. Nie wiem co gorsze. :)

PS: Wiele się nie namęczyliście, ale atak a la Mitnick to mnie trochę zaskoczył. :)

eimi REDAKCJA  17 #5 29.06.2017 09:50

Tak właśnie jest w naszym lesie.
Ale nie zgadzam się z wnioskami. To nie jest wina "pań sekretarek".
To wina architektury systemu, która nie uwzględnia tego, że pracować na nim będą panie sekretarki.

  #6 29.06.2017 09:55

@Berion: najsłabsze ogniwo ;)

szymon.nowak   6 #7 29.06.2017 10:20

@DjLeo: Dzięki , poprawiłem .

szymon.nowak   6 #8 29.06.2017 10:32

@eimi: Oczywiście że to nie ich wina jako "wina" , tak samo jak nie moja że dałem się oszukać w warsztacie samochodowym bo się nie znam. Ale tak jak kiedyś były kursy obsługi komputera gdzie kwestia wirusów również była omawiana tak dziś obsługę komputera każdy traktuje jako coś normalnego i że "każdy wie" - niestety ale wpis w CV Obsługa Windows pakietu Office to za mało, tak samo jakbym sobie wydrukował prawo jazdy bo wiem jak się kieruje samochodem .

Autor edytował komentarz w dniu: 29.06.2017 10:37
LonngerM   12 #9 29.06.2017 10:42

Super wpis, bardzo mi się spodobał ˘?
Niestety, ale świadomość zagrożeń że strony "Internetów" u ludzi poza IT jest żadna. Ludzie podchodzą do komputera jak do każdego innego cyfrowego narzędzia: "klikam i ma działać", a o zabezpieczeniach nie myśli, bo tak działa każdy inny sprzęt. Parenaście lat temu wartość cyfrowej informacji była znikoma, a ludzie korzystali z komputera jak z rozbudowanego kalkulatora. Czasy się zmieniły, wartość informacji cyfrowej wzrosła, ale sposób korzystania z komputerów nie za bardzo...

Rosward   10 #10 29.06.2017 10:45

@eimi: I to jest strzał w dziesiątkę! Bo jak dotąd to wszystkiemu winien był ZU - coś w stylu: jesteśmy tak znakomici, że ZU po prostu na nas nie zasługuje.

szymon.nowak   6 #11 29.06.2017 10:46

@eimi: Pytanie czy na pewno to wina architektury, przypomnij sobie jak wyszła Vista nawet na tym portalu jeden z pierwszych artykułów to było "jak wyłączyć UAC" i tak też do sprawy podeszli producenci systemów ERP itp. nawet w ich oficjalnych zaleceniach często pojawia się zalecenie by użytkownik miał prawa admina bo coś tam może nie działać - spotykam się z tym codziennie, wytyczne MS na temat pisania bezpiecznego kodu zostały totalnie zignorowane .

eimi REDAKCJA  17 #12 29.06.2017 10:57

No właśnie, kwestia architektury. Skoro Microsoft tak zbudował system, ze można pracować na uprawnieniach administratora...
Admin powinien mieć tylko tekstową konsolę, powershella i już. Skutecznie odstraszyłoby to ZU.

szymon.nowak   6 #13 29.06.2017 11:18

@eimi: Na Mac OS można pracować będąc adminem a mimo tego aplikacje do samego działania nie wymagają wysokich uprawnień, trudniej jest też coś zepsuć i przede wszystkim jest dużo mniej możliwości jakiejś integracji w system. Sam nie wiem co jest przyczyną tego że MS jeszcze nie ograniczył np. uruchamiania aplikacji tylko do tych podpisanych cyfrowo

januszek   21 #14 29.06.2017 11:22

Fajnie się to czyta. Taka w sumie wesoła historyjka z pouczającym morałem na koniec. Tyle, że pen-testy to jest absurd. Taka analogia przychodzi mi do głowy –> zatrudniamy kompanię GROM aby wykonała siłowe wejście do lokalu aby potem, na tej podstawie, zgłosić reklamację producentowi drzwi antywłamaniowych... :)

Nie okłamujmy się. Większość organizacji nie jest w stanie obronić się przed celowym, zaplanowanym i wymierzonym w tę konkretną organizację cyberatakiem (napisałem dyplomatycznie: większość ale myślę: żadna).

Co zrobić aby pen-testy miały sens? Przede wszystkim, zanim się je zacznie, trzeba o nich poinformować wszystkich pracowników. Trzeba też zapowiedzieć konsekwencje. Np takie, że jeśli w czasie testów zostaną „wykasowane” dane z ostatnich trzech miesięcy to panie księgowe będą je same ręcznie odtwarzały bo nic tak nie wpływa na świadomość informatyczną jak noszenie i przepisywanie dokumentów z setek segregatorów ;)

Autor edytował komentarz w dniu: 29.06.2017 11:24
rm7   7 #15 29.06.2017 11:35

" gdyby tak zamknąć możliwość obrotu bitcointami dziś dla ransomware nie było by rynku… "
Ponoć przed Bitcoinem, za takie rzeczy płaciło się PaySafeCard i innymi "anonimowymi" sposobami.

szymon.nowak   6 #16 29.06.2017 11:43

@januszek: Nikt na coś takiego się nie zgodzi, zwłaszcza na kasowanie danych. P.s. To była tylko część audytu druga typowo softwarowa na podatność na exploity itp trwała 2 tygodnie.

szymon.nowak   6 #17 29.06.2017 11:49

@januszek: ten test miał ukazać co by było gdyby nieuczciwa konkurencja chciała narobić problemów.

eskimosek   7 #18 29.06.2017 11:55

Windows to jest system magiczny i zwykly administrator raczej tego na 100% nie da rady zabezpieczyc.Tu potrzeba jakiegoś magika jak Harry Potter.Sytuacja sprzed kilku dni ,Windows 7 zaktualizowany i tam cos przesyłałem jakies pliki przez klient FTP.Przeslalem je i transfer zakończony ale nie wyłączyłem klienta tylko poszedłem po coś i nie było mnie z pol godziny.Wracam wlaczam monitor a tam widzę transfer w tym kliencie FTP :D i pobieranie plikow.Samo się uruchomiło?wygląda ze tak a wersja premium Internet Security pokazuje ze w systemie nie ma żadnych wirusów.

januszek   21 #19 29.06.2017 11:58

@szymon.nowak: Dlatego napisałem "wykasowane" :) Nie chodzi oczywiście o skasowanie danych tylko o konieczność wykonania fizycznej pracy odtworzenia tych danych, które na pewno w trakcie takiego ataku uległy by skasowaniu. Przecież jakoś trzeba oszacować ile czasu firma potrzebuje aby odtworzyć skasowane dane, prawda? ;)

Autor edytował komentarz w dniu: 29.06.2017 12:08
  #20 29.06.2017 12:42

eskimosek bajki opowiadasz. Nie wylogowałeś się lub nie zablokowałeś stacji i samo się zrobiło.

Berion   15 #21 29.06.2017 14:11

@januszek: Złodzieje też zapowiadają wizyty? ;) Niezapowiedziana jest dlatego, aby nikt nie zwracał szczególnej uwagi na bezpieczeństwo bo i nikt tego nie robi.

To co zaproponowałeś to niepotrzebne zwiększenie kosztów bo pracownice przepisujące dane z setek segregatorów zmarnują na to czas.

@eskimosek Skąd, dokąd, czego, ile, kto miał dostęp do komputera etc? Samo to się nic nie dzieje... A już na pewno żaden włamywacz nie pobierałby danych przez twój FTP na twój komputer.

Autor edytował komentarz w dniu: 29.06.2017 14:16
eskimosek   7 #22 29.06.2017 14:27

@Berion: Nigdzie nie napisałem o włamywaczu tylko ze jest magiczny :) Jakos mam obawy żeby taki windows sobie chodził przez 24h/doba bo nie wiadomo co się wyczaruje.Jakies nowe ransomware,jakieś nowe 0 day.Nigdy nie ma pewności i trzeba cały czas na windows zerkać czy coś dziwnego się na nim nie dzieje.

  #23 29.06.2017 14:28

A ja mam dział handlowy w Linuxach (Opór był przeogromny jak obrona Częstochowy)
Symfonię mam odłączoną od internetu, żadnych usb - system finansowy
Router Vyatte
Te które muszą być w Windowsach to są.
Od prawie 10 lat nie było żadnego włamania, malware itp

bystryy   11 #24 29.06.2017 14:45

Z tym "nie widzę pulpitu" też ktoś do mnie przybiegł i okazało się, że zabrał "ptaszka" z "Pokaż ikony pulpitu"...

A wpis bardzo dobry, jeden z najlepszych w tym miesiącu, mój głos to pewniak.

szymon.nowak   6 #25 29.06.2017 14:49

@bystryy: A bywa i gorzej - Zniknęły mi dane !!!! , a.... przepraszam to komputer córki...

Tobi74   5 #26 29.06.2017 15:00

@DjLeo: to zapewne miał być Emil, ale coś nie wyszło bo nie umiesz czytać :]

WODZU   17 #27 29.06.2017 16:23

Świetny wpis, czytało się to jak powieść kryminalną :D Zdecydowanie masz mój głos w konkursie blogowym :) Co do samego tematu - cóż, ludzie dostają w ręce narzędzia, których działania nie rozumieją. To jak z kierowcami, którzy śmigają beztroska do czasu, aż w coś przyłożą. Wtedy dopiero pojawia się refleksja (nie u wszystkich) nad prawami fizyki, działającym przeciążeniem i innym zagadnieniami, nad którymi w sytuacji ekstremalnej nie ma się kontroli. Niestety to, że potrafi się włączyć komputer/tablet/telefon i naciskać różne przyciski nie daje gwarancji bezpiecznego korzystania.

jaredj   10 #28 29.06.2017 16:35

@eimi: nie zgodzę się z tym wnioskiem: "Ale nie zgadzam się z wnioskami. To nie jest wina "pań sekretarek" - pielęgniarkę czy lekarza, który nie umie obsługiwać sprzętu albo kliknie coś nie tak i pacjent zamiast gastroskopii dostanie kolonoskopię albo przy prześwietleniu pacjent dostanie 100x większą niż dozwolona dawkę promieni X - najprawdopodobniej spotkają przykre konsekwencje, tymczasem za głupotę w biurze nikt nie chce wziąć odpowiedzialności. Ileż to już razy pisaliśmy tu, że aby odpalić jakiegoś ransomwara trzeba zazwyczaj się zgodzić na jego uruchomienie, ileż razy pisano o nie uruchamianiu załączników, MS nawet uniemożliwia to w outlooku, co można oczywiście pominąć ale NA WŁASNE życzenie.
Wina leży pośrodku - systemy są tak skomplikowane w tej chwili, że potrzeba wiedzy aby nie dać się złapać oszustom, ale nie na tyle inteligentne, żeby niejako pomagać niedoświadczonemu użytkownikowi w uniknięciu problemu. Z drugiej strony, rację ma autor artykułu - ciągle mamy podświadome przeświadczenie, że to nie przez nas się dzieją cuda na ekranie i ktoś żąda jakichś bitmonet.

Autor edytował komentarz w dniu: 29.06.2017 16:35
Berion   15 #29 29.06.2017 16:46

@eskimosek: Nawet ja uważam, że to już zalążki paranoi. Aczkolwiek to mryganie diody od HDD podczas pozostawienia samopas, a przy najmniejszym ruchu myszy, ustawanie - stresuje nawet buddystów.

;)

Autor edytował komentarz w dniu: 29.06.2017 16:48
  #30 29.06.2017 16:51

@szymon.nowak: "co jest przyczyną tego że MS jeszcze nie ograniczył np. uruchamiania aplikacji tylko do tych podpisanych cyfrowo"

Pewnie stwierdzili że nie będą nadmiernie wk...ć użytkowników, i bardzo dobrze postąpili.

Ja tam żadnym adminem nie jestem, ale świta mi w głowie hasło applocker oraz gpedit... ciekawe dlaczego?

eskimosek   7 #31 29.06.2017 16:59

A miałeś kiedyś włam do systemu ? tak się wydaje ze to jest paranoja dopóki samemu się nie padnie ofiara ataku.Zwlaszcza jak się ma trochę więcej do stracenia niż konto na steamie.

rspuka   2 #32 29.06.2017 18:04

Wpis dobry, ale zawiera kilka błędów. Po polsku piszemy "e-mail". Proszę też pamiętać o przecinkach. Poza tym mam nadzieję na więcej wpisów o tej tematyce.

  #33 29.06.2017 19:43

Fajna bujda

TESTOWYKOMPUTER   2 #34 29.06.2017 20:09

@eskimosek: Jak sobie wpuściłeś cholerstwo to co się dziwisz? Tak jakbyś sobie złodzieja do domu wpuścił.

eskimosek   7 #35 29.06.2017 20:27

No tak bo to jest prościzna utrzymywanie jakiejś tam infrastruktury,jak ma sie ataki trwające tygodniami po różnych wektorach to wystarczy jeden błąd i już.Jak by to było takie proste to nie było by tego typu problemow w skali globalnej bo każdy by umiał dobrze swój system zabezpieczyć..

szyp   6 #36 29.06.2017 20:45

@eimi: masz rację, a tu dodatkowo pani księgowa dopuściła obcego człowieka do kompa i sieci firmowej

szyp   6 #37 29.06.2017 20:46

@szymon.nowak: przeczytaj jeszcze raz powoli i znajdziesz więcej literówk

Shaki81 MODERATOR BLOGA  38 #38 29.06.2017 20:48

Przeczytałem, załamałem się, przeczytałem jeszcze raz i modlę się, aby u mnie w szpitalu ktoś takich testów nie przeprowadził.

tI3r   9 #39 29.06.2017 21:01

@eimi: jaką winą systemu jest to, że pracownik miele ozorem zamiast zweryfikować drugą stronę? Czy tak samo daje klucze do swojego mieszkania wraz z adresem? W korporacjach pracownicy muszą odbębnić co roku wiele szkoleń z różnych zakresów, m.in. z bezpieczeństwa przetwarzania informacji, choćby przed corocznym audytem iso 27001.

mlody95pl   2 #40 29.06.2017 21:43

@DjLeo: koci email

scribe   3 #41 29.06.2017 21:45

tak właśnie mija się teoria z praktyką! świetny tekst i na pewno prawdziwy

pamix   7 #42 29.06.2017 21:52

Większość ludzi siada do komputera, by posiedzieć na Fejsie. Użytkowanie komputera ograniczamy do przeglądania witryn WWW i operacji Kopiuj/Wklej (potrafimy to świetnie) . Większość nie potrafi wykonać prostych operacji np. wypalić danych na płycie czy poszukać programu do tego celu i go zainstalować. Nie wie też, jaką płytę wybrać, by wypalić 800 MB danych. Do prostej modyfikacji zdjęć duża część ludzi chciałaby użyć Photoshopa, którego obsłużenie dla nich graniczy z cudem. A w pracy wiemy, że trzeba kliknąć tu, tu i tu i będzie gotowe. Pojawienie się błędu powoduje problem, który przekłada się na "Coś mi wyskoczyło" i oskarżanie informatyka, że jest beznadziejny. Robimy pewne czynności, ale nie analizujemy dlaczego. Skutkuje to tym, że wykonanie samodzielnie podobnej czynności może sprawiać już problem. Zanika też u nas umiejętność czytania. Klikamy bezmyślnie Tak/Dalej tylko po to, by wyświetliło się to co nas interesuje. Jak coś nie działa, efekt jest podobny – informatyk do d*** .
Co do haseł też nie jest kolorowo. To samo hasło stosujemy wszędzie wpisując w nie datę urodzin, imię kogoś bliskiego bądź część loginu. Nie widzimy w tym problemu. Nie dziwię się zatem, że szkodliwe oprogramowanie tak łatwo się rozchodzi. Z tego powodu, że umiejętność obsługi komputera mimo wszystko stoi na niskim poziomie, przez telefon nie dyktuję jak uporać się z daną czynnością, bo nie ma to większego sensu (chyba że rozmawiam z drugim informatykiem). Tylko jednej osobie pomagałem z problemami z komputerem przez telefon. Była pracownikiem firmy X. Pierwszy raz jak dzwoniła w tej sprawie, nie chciałem tego zrobić, ale się uparła. Od tej pory jak w tej firmie był problem, a nie mogłem przyjechać, prosiłem Monikę (imię zostało zmienione) do telefonu. Myślę, że bez problemu w ten skonfigurowałbym drukarkę sieciową czy dostałbym się do plików serwera FTP nawet jeśli jechałbym autobusem.

eskimosek   7 #43 29.06.2017 22:11

Problemem jest tez male zróżnicowanie oprogramowania.Jak wszyscy jada na tym samym sofcie np. te MEdoc na Ukrainie albo Platnik no to bardzo ułatwia potencjalnym hakerom przejecie tych systemów przez podmiane wlasnie tych plikow na zainfekowane.Gdyby bylo wieksze zroznicowanie oprogramowania nawet w obrebie jednej firmy to trudniej by bylo wyrzadzic szkody.Bo tak jeden system jest taki,drugi taki trzeci jeszcze inny.I wtedy zeby położyć taka siec komputerowa trzeba by bylo zainfekowac różnorodne systemy z rozna polityka bezpieczeństwa,roznym systemem aktualizacji i rożnym sposobem dzialania.A jak wszystko leży na tym samym to wystarczy ze atakujący znajdzie jedna podatność i tym wyłoży cala siec.Wystarczy sobie wyobrazic taka firme w ktorej część komputerów jest na windowsie czesc na linuksie i czesc np. do backupow na solarisie.Linuksy tez moga byc rozne dystrybucje deb i rpm.No i jak trudno wtedy by bylo wyłożyć taka siec komputerow dla hakerow? musieli by przygotowac atak na te wszystkie systemy rownoczesnie co by bylo duzo trudniejsze niz podmienienie jakiegoś pliku MEdoc w serwerze aktualizacji i później wszystko leży.

Berion   15 #44 29.06.2017 22:11

@eskimosek: Przypominam sobie tylko jeden, a do tego bardzo tajemniczy incydent gdzie wszystkie anomalie ustały dopiero po zmianie fw wszystkich możliwych urządzeń. Zaraz potem poszła zmiana wszystkich haseł, które gdziekolwiek wpisywałem ze swoich maszyn od czasu na krótko przed diagnozą (na wszelki wypadek). O dane jestem bezpieczny bo nie trzymam w swoim komputerze nic ważnego, pomijając to nad czym aktualnie pracuję (leci potem do backupu, a raz na pół roku, czasem dłużej, na płytę). Także nawet jakby jakimś cudem zło szyfrujące mnie nawiedziło to wzruszyłbym tylko ramionami, prawdopodobnie jeszcze przerywając mu pracę po zgłoszeniu nienaturalnego obciążenia systemu.

Autor edytował komentarz w dniu: 29.06.2017 22:13
t0ken   9 #45 29.06.2017 23:34

Zwykła wizyta jako pacjent w bardzo dużej przychodni lekarskiej. Stoję w rejestracji i widzę na ścianie przyklejoną kartę A4 ze spisem co, login, hasło. Spokojnie można było zdjęcie zrobić komórką. Tyle dobrze, że po interwencji kartka znikła - pytanie na jak długo i gdzie teraz leży.

  #46 30.06.2017 00:40

Człowiek to najsłabsze ogniwo, wiedział już o tym Mitnick nie bawiąc się w exploity i inne tego typy sztuki na etapie przygotowania gruntu a wynajmował się jako sprzątacz biur (przeszukiwał min. kosze ze śmieciami, a hasła odczytywał z przylepionych karteczek :-)) )

bystryy   11 #47 30.06.2017 07:39

@pamix: "prosiłem Monikę (imię zostało zmienione) do telefonu"

Chroniąc jedną panią, wrobiłeś drugą ;)

bystryy   11 #48 30.06.2017 08:40

Dodam jeszcze, że zainteresowani tematyką wpisu Szymona powinni koniecznie sięgnąć po książkę Kevina Mitnicka "Sztuka infiltracji" - tam podobnych historii jest więcej. Mi się podobała ta, jak sobie więźniowie własną sieć komputerową zmajstrowali :)

  #49 30.06.2017 08:45

Ludziom się wydaje że hackowanie to łamanie zabezpieczeń informatycznych, nic bardziej mylnego, oczywiście to też ale hackowanie to także psychologia i działania on-site co właśnie udowodnił autor artykułu, zresztą takimi metodami posługiwali się wszyscy najsłynniejsi hackerzy świata. Telefon do klienta, podszycie się pod kogoś ,uzyskanie jakichś danych które służa do dalszej penetracji itp. Właściciele firm nie mają bladego pojęcia że większość ataków na infrastrukturę odbywa się w taki sposób.

sagraelski   8 #50 30.06.2017 09:17

interesujący wpis. swoją drogą, jak cenowo wyglądają tego typu pentesty?

KyRol   18 #51 30.06.2017 09:35

@eimi: Oczywiście, infrastruktura IT powinna być odpowiednio przygotowana. Skoro zatrudnia się np. sekretarkę do wypełniania kalendarzy, to nie należy oczekiwać od niej świadomości na temat działania poczty elektronicznej czy pakietu biurowego.

Zawsze może trafić się makro, które narobi bubu, tak samo jak zawsze można pociągnąć przez pocztę spreparowany plik, który zrobi nie mniejsze spustoszenie. Zawsze może to równie dobrze się to trafić sekretarce jak i osobie odpowiedzialnej za bezpieczeństwo.

Na dzisiaj jest tyle różnych rozwiązań takich jak na przykład maszyny wirtualne czy konteneryzacja, że potencjalnie nie ma problemu ze stworzeniem bezpiecznego środowiska, w którym poradził by sobie nawet największy laik.

Problemem jest, że firmy oczekują gotowych rozwiązań. Gotowe rozwiązania mają to do siebie, że ich layout czy architektura działania jest przewidywalna i jednolita dla wszystkich instancji. To powoduje, że rażąca część ataków jest skuteczna.

Odrębną kwestią jest sprawa zaufania, a w zasadzie nie zaufania a naiwności na poziomie przedszkolnym. Nie może być tak, że księgowa odbiera telefon i śpiewa wszystkie dane firmowe do byle dzięcioła-przebierańca, który podaje się za pracownika ZUSu.

Da się co prawda dodać do białej listy autoryzowane numery telefonów, a nieautoryzowane można przekierowywać do osoby utrzymującą listę numerów telefonów, tym niemniej doza nieufności, na nieznajomy głos w słuchawce jeszcze nikomu nie zaszkodziła.

Autor edytował komentarz w dniu: 30.06.2017 09:36
  #52 30.06.2017 11:14

A może zamiast wylewania krokodylich łez i kamienowania informatyków firma zajmie się stworzeniem porządnych polityk bezpieczeństwa i opracuje oraz formalnie zatwierdzi rzetelny i precyzyjny regulamin organizacyjny, gdzie jako ciężkie naruszenie obowiązków pracowniczych zostanie zapisane łamanie ww. polityk..?

Proste i łatwe jak konstrukcja cepa. Potem jeszcze prezesi i dyrektorzy będą zmuszeni do wykazania się kamiennymi sercami podczas zwolnień dyscyplinarnych delikwentów. Na ludzi nie ma innej rady, kochani, żaden system informatyczny - sam w sobie - wam tego nie zapewni. Albo bezpieczna firma, albo miękkie serca :)

bob999   2 #53 30.06.2017 12:03

Witam, jak dla mnie świetny artykuł. Pozdrawiam

jajecpl   10 #54 30.06.2017 13:02

@szymon.nowak: Nie ma siły na głupotę. Moja siostra pracuje w dużej firmie IT, mają "jarzącego" faceta od bezpieczeństwa. Co tydzień zmiana haseł (poczta, CRM itd) Ale siostra zajmuje się w firmie obsługą imprez, zamawianiem hoteli, lotów, i innymi duperelami. Siłą rzeczy ma na laptopie dane chyba wszystkich pracowników, tysiące maili, i nie wiadomo co jeszcze.
A co tydzień nowe hasło w w pliku .txt na pulpicie :)

Autor edytował komentarz w dniu: 30.06.2017 13:03
  #55 30.06.2017 13:09

Wpis natchniony Kevinem Mitnickiem?

  #56 30.06.2017 13:43

Co najlepsze- piszesz o dużej firmie. A w małych firmach jest jeszcze lepiej. Znam prawnika w nowym BMW serii 5, który w biurze ma komputery z Win2000, bez antywirusa. Nawet nie ma kuzyna z gimnazjum, który jest informatykiem. Po co marnować kasę- przecież jest kryzys. W opisanej firmie do działu IT, jak się domyślam, zatrudnia prezes, czyli jedyne kryterium, to "który kandydat chce najmniejszą wypłatę".
Dlaczego masowe ataki są skierowane na demoludy, pomimo że zachodnia europa może zapłacić więcej? Bo tam jest to trudniejsze do przeprowadzenia.

  #57 30.06.2017 13:47

@jajecpl: znam towarzystwo ubezpieczeniowe, gdzie zmiana hasła byłą wymuszana co 30dni, ale 14 wcześniej był o tym komunikat. Więc hasło zmieniali co 14dni. Niestety- głowa także u "Pana od bezpieczeństwa" powinna być w użytkowaniu, a nie tylko po to, żeby gołąb nie narobił do środka.

  #58 30.06.2017 13:51

@eimi: Przewidzenie 100% sytuacji w praktyce nie jest możliwe. Albo możliwe, ale nieskończenie kosztowne. To tak jakby mieć do samochodu pretensje, że wyleciał na ostrym zakręcie- a nie do użytkownika że nie dostosował prędkości. Ok, nie założyć pewnych scenariuszy to po prostu zaniedbanie, ale wielu sytuacji nie jest się w stanie przewidzieć. O ile kiedyś przy jakiejś pomyłce, była to kwestia że Kowalski poznał zarobki Nowaka, bo papier nie wypływa tak łatwo, to tutaj jedna pierdoła i wypływają gigabajty w ciągu kilku sekund. Po prostu większość ludzi nie ma pojęcia o tym, że pokazując 'jakiś numerek do wirtualnego czegoś', może przynieść kosmiczne straty.

  #59 30.06.2017 14:00

"Panią"... K..wa mać.

szymon.nowak   6 #60 30.06.2017 14:25

@jajecpl: Nie jestem zwolennikiem takiej zmiany haseł lepiej raz na rok wygenerować mocne lecz nikomu nie udostępniać.

kacpi2003zzz   3 #61 30.06.2017 15:53

Biorąc pod uwagę techniki wykrywania wirtualizacji przez złośliwe oprogramowanie, czy praca w maszynie wirtualnej, która nie kryje się czym jest (albo jeszcze lepiej: ma uruchomione programy do monitorowania procesów, sieci, itp.), byłaby dobrym pomysłem na unieszkodliwienie części zagrożeń ?

  #62 30.06.2017 17:30

@Frankfurterium: Po co? Do tej pory nie przechodzili i jest Ok. Wpadną w kłopoty, to właściciel straci trochę kasy. Znacznie mniej kasy, niż gdyby miał się bawić w bezpieczeństwo. Jakimś cudem nie wymieniasz ani opon, ani hamulców w samochodzie co pół roku czy co rok, a powinieneś, bo od tego zależy TWOJE ŻYCIE.

  #63 30.06.2017 17:37

@arek_arek (niezalogowany): I jak widzisz firma działa i to ON ma na BMW 5, a nie informatyk. Jak widać zbędny w jego przypadku.

A i Przy okazji WanaCray, to atak głównie na kraje zachodnie. Ile to szpitali w UK musiało zaprzestać pracy?
$300 na zachodzie to nie są duże pieniądze, dlatego atakuje się TAMTE kraje a nie demoludy, gdzie $300 to spory wydatek.
Kto zapłacił rekordowe okupy za odszyfrowanie danych? Ktoś z demoludów?
Proszę bardzo super zabezpieczona amerykańska elektrownia atomowa https://www.youtube.com/watch?v=pL9q2lOZ1Fw

  #64 30.06.2017 18:38

Świetny artykuł, szczególnie kiedy zna się branżę z obu stron (pracując jako informatyk). Dopóki nie przestaniemy uczyć w szkołach głupot, dopóty takie akcje (i inne, typu Amber Gold) będą się zdarzały.

_qaz7   6 #65 02.07.2017 11:11

@eimi: A jaką słabość architektury systemu (nie organizacji pracy) w opisywanym tu audycie wykorzystano? Bo nie znalazłem tu nic takiego wyszczególnionego w opisie.

  #66 02.07.2017 14:34

"Poniekąd jest to wina producentów oprogramowania którzy poprzez coraz to, jak to nazywają „małpo odporne” interfejsy tworzą środowisko które nie wymaga od operatora żadnej wiedzy o działaniu narzędziu które wykorzystują Kliknij->Dalej->Dalej->Akceptuj->Dalej."
a powiedz ile aplikacji schodzi z sklepow ktore nie sa „małpo odporne”?
jesli firma na stracic na tym ze zrobi toporny UX to nikt ci na to nei pojdzie. aiel tej automatyzacji masz wokol siebei z korej korzystasz? kluczyki do auta, klima, winda, w sumie po co to wszytko skoro mozan piechota dopracy. jakso programista jest moim zadanie wlasnie ulatwic osobie trzeciej uzytkowanie aplikacji na ktorej ma pracowac.

  #67 03.07.2017 00:14

Zawiniła biurokracja i socjalizm.

szymon.nowak   6 #68 03.07.2017 13:00

@Anonim (niezalogowany): średnio ale użycie czynnika ludzkiego zawsze daje dobre rezultaty :-)

  #69 03.07.2017 13:03

Szymon, bardzo dobry tekst! Czy można się z Tobą jakoś bezpośrednio skontaktować?

edmun   13 #70 03.07.2017 14:54

Jako wielki fan Kevina M. to dobrze wiem jak to wszystko działa i uważam ten wpis, za pewne podsumowanie jak to wygląda w firmach. A jak mi ktoś powie - że to firma informatyków - no cóż. Można było to jakoś inaczej rozegrać, ale co poradzisz jak sam w firmie IT mam "techników" bez szkoły, bez doświadczenia, którym musisz dać hasła administratorów, bo przerobić systemy u klientów aby rozpoznawały różne poziomy na jakich my się podłączamy do nich, to jest wręcz niemożliwe (ściana debili IT po drugiej stronie nie do przebrnięcia).
Prosty przykład - do pewnego klienta podłączamy się przez VPN za pomocą konta AD i co dziwne, to konto jest używane przez 6 różnych firm, razem przez jakieś 400 osób. Na moją uwagę, że tak nie powinno być żebym ja się łączył przez takie konto dostałem upomnienie, że ja nie jestem na takim stanowisku żeby się tego czepiać (jestem coś w rodzaju senior tech lead). I teraz w swojej firmie musisz to hasło udostępnić innym pracownikom, którzy nawet nie wiedzą co to jest thumbs.db i spędzają tydzień żeby ten plik otworzyć (nie żeby wiedzieli jak, po prostu jest plik, zostało zgłoszone że w danym katalogu na intranecie jest jakiś tam plik wordowski, a Ci za wszelką cenę próbują otworzyć thumbs.db... w stopce w mailu mają "IT Support Team"). Po czym taki pracownik przekazuje coś takiego komuś po drugiej stronie telefonu, bo zadzwonił i powiedział że jego konto nie działa. Zero weryfikacji a klient dzwonił z zastrzeżonego numeru telefonu.

I wszystko leży i kwiczy. Nawet nie wiesz kto zadzwonił i dostał hasło admina.

I tłumaczę takiemu, żeby tak więcej nie robił, bo tak się nie robi, to taki potrafi odpyskować, że nie jest moją robotą go upominać albo mu zwracać uwagę, bo on nic złego nie zrobił a tylko chciał pomóc klientowi, bo klient jest najważniejszy. Dzień później jestem u dyrektora, który z działem IT ma tyle wspólnego, co ja z papieżem, że klient jest najważniejszy i że nie mam o co robić tyle zamieszania... :D

coda.bartosz   1 #71 03.07.2017 15:01

Szymon, można się z Tobą jakoś skontaktować?

szymon.nowak   6 #72 04.07.2017 12:49

@coda.bartosz: szymonn841@"firma od androida".com

cabis   12 #73 04.07.2017 16:33

Dobry tekst i tak sobie myślę jak by to u mnie wyglądało gdzie nikt "nie zna się na komputerach" a używa się cały czas. Na każdym kompie pełno wrażliwych danych, skany dokumentów itd. Systemy od XP do 10.
Chyba wszystkie bez aktualnych łatek. W trayu milion powiadomień o aktualizacjach. Jestem na 99% pewien że wszystkie zainstalowane programy oprócz przeglądarki Firefox i programu sprzedażowego są nieaktualne. O totalnym bałaganie na dysku, pulpicie i udostępnionych katalogach nawet nie wspomnę. Stan sieci opłakany, skrętka sztukowana, miejscami skręcana zwykłą taśmą klejącą itp. itd. Długo można by pisać ale jak świadomość jest żadna to jak ma być dobrze jak o "informatyku" przypominają sobie jak komputer działa na tyle wolno że nic nie da się zrobić (albo w ogóle przestanie się uruchamiać) albo nie ma internetu. Ale tak to wygląda jak nie ma osoby która by o to dbała. Najlepsze jest to że dba się o dokumenty w formie papierowej - utylizacja, niszczenie "papierów" z wrażliwymi danymi przez wyspecjalizowane firmy itd. Ale o to samo w formie elektronicznej... no cóż.

bystryy   11 #74 05.07.2017 09:04

@edmun: "że klient jest najważniejszy i że nie mam o co robić tyle zamieszania... "

Z punktu biznesmena tak właśnie jest - klient płaci, więc przynosi zysk, a Tobie trzeba zapłacić, więc generujesz koszt ;)

piotrekw1   5 #75 16.07.2017 08:55

Pominąwszy drobne błędy gramatyczno-stylistyczne tekst nieźle oddający problemy bezpieczeństwa. Dobreprogramy potrzebują takich blogów, żeby wrócić do poziomu z początków działalności portalu.

  #76 17.07.2017 11:59

@eimi: Linux posiada coś takiego jak Selinux. Poczytaj tutoriale co w pierwszej kolejności robią admini.

SER$   5 #77 04.08.2017 17:37

@januszek: chrzanisz jak niemyty. jest backup i od niego zależy, co stracisz

januszek   21 #78 04.08.2017 19:31

@SER$: Prawa Murphiego wygrywają z backupem. Bez względu na użytą ilość mydła :)

grocalt   7 #79 17.08.2017 09:11

A dlaczego stawiasz spacje przed znakami interpunkcyjnymi tam, gdzie nie powinno się ich stawiać?

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.