Безопасность сети

kenzzzooo · 07-04-11 15:16:22

На курсе ITIL речь зашла о безопасности в сети.
Одна крутая западная компания решила нанять аудиторскую контору с целью выявления уязвимостей сети. Надо сказать, удовольствие недешёвое. Договорились о дате; админы подготовились и в день «Х» были во всеоружии. Ничего, казалось бы, не произошло, но сеть вскоре была заражена. «Как?» — спросили удивлённые админы и получили шикарное объяснение. Перед входом в офис заказчика аудиторы разбросали флешки. Что сделает пользователь, найдя на дороге ничейную флешку? Конечно же, воткнёт в компьютер. Остальное — дело техники.
Чуть позднее от этих же аудиторов пришел отчёт о соцопросе сотрудников компании. За ответ люди могли получить вознаграждение в виде бесполезного, но интересного сувенира. Вопрос звучал так: «Помните ли вы свой пароль на вход в компьютер и можете ли вы его написать?» Раскололись 80% юзеров.

прислали по Jabber'у lol

Maddoc · 07-04-11 15:29:32

Неужели сегодня?

Linups_Troolvalds · 07-04-11 21:20:59

kenzzzooo пишет:

Что сделает пользователь, найдя на дороге ничейную флешку?

А что сделает правильно настроенная корпоративная винда при виде исполняемых файлов на юзерской флешке?
Правильно, запишет в лог про невозможность выполнить файл вследствие ограничений.

kenzzzooo · 07-04-11 23:02:51

Maddoc пишет:

Неужели сегодня?

ну дык lol

Гареев Станислав · 08-04-11 00:34:54

Linups_Troolvalds пишет:

А что сделает правильно настроенная корпоративная винда при виде исполняемых файлов на юзерской флешке?
Правильно, запишет в лог про невозможность выполнить файл вследствие ограничений.

Надо будет изучить возможность работы фонбета из под ограниченной учётки.

IvanOFF · 08-04-11 01:24:01

kenzzzooo пишет:

Что сделает пользователь, найдя на дороге ничейную флешку?

Пусть что хочет, то и делает. В нормальных конторах использование флеш-накопителей запрещено групповой политикой. А кому сильно надо - через начальника отдела и под его ответственность.

Alex Ort · 08-04-11 01:52:20

kenzzzooo пишет:

Пусть что хочет, то и делает. В нормальных конторах использование флеш-накопителей запрещено групповой политикой. А кому сильно надо - через начальника отдела и под его ответственность.

Пусть несёт домой, и там суёт куда угодно.

Самый параноидальный вариант, какой я видел, был такой (суть такова, ага): передние USB-порты, если есть, неподключены, задние, где разьёмы и кабели принтеров и прочие планшеток, были прикручены саморезами(!) на манер старых COM/LPT, головки залиты припоем. Свободные порты отпаяны прям на материнке (хорошо, хоть эпоксидкой не залили). Корпуса опломбированны на сто рядов, да ещё и с замочками на петельках. Ещё из их паранойи: один сидюк/дивидюк на всю контору (у админа), в локалке какие-то совершенно чудовищные настройки (а сама локалка за каким-то хером на аппаратных шифраторах за многие тыщи).
Самая фишечка: сервер там то ли взрывался, то ли кислотой диски заливало, я толком не знаю, но были какие-то две красные кнопки, которые нужно нажать одновременно. Одна у начальника, вторая, скороее всего, у админа.

Контора продавала лес в Китай, а вовсе не наркотики в США, как можно было бы подумать.
Везде была Винда 2000.

▼Скрытый текст

Tiphon · 08-04-11 02:32:57

Alex Ort пишет:

Спокойно, это я всё наврал, чтобы вас потешить

А я уже... И что мне теперь, юсб отпаивать?

Alex Ort · 08-04-11 02:46:32

Tiphon пишет:

А я уже... И что мне теперь, юсб отпаивать?

В каждой шутке таковой лишь доля... smile
Не исключено, что и отпаять лишнее не помешает. Или залить порты какой-нить дрянью (но это уже навсегда).
Впрочем, когда персонал - блондинки (даже условно мужеского полу) достаточно отрубить это в БИОС, а на БИОС пароль навесить.

Tiphon · 08-04-11 02:48:41

Alex Ort пишет:

а на БИОС пароль навесить.

И залить кислотой для надежности...

Alex Ort · 08-04-11 03:41:04

Tiphon пишет:

И залить кислотой для надежности...

Чёт подобное делал главгерой в фильме "Гений". Кино, оно и есть кино. Но можно ведь и повторить.
Берём запаянные ампулы с серной кислотой (ампулы что-то около 100 мл.). Приматываем четыре китайские бомбочки по бокам (четыре - для надёжности). Фитильки прикрепляем к запалу. Запал делается из двух-трёх ламп накаливания с убранными колбами и целыми спиралями. Лампы хоть на 3,5 вольта, хоть на 220. Последние зажгут надёжнее.
Всю эту хрень располагаем над жёстким диском.

А вообще, давно пора переносить всё на серверы в Китае, Аргентине, Малайзии... Голова болеть не будет, и очко тоже.

Maddoc · 08-04-11 09:22:03

Alex Ort пишет:

Берём запаянные ампулы с серной кислотой (ампулы что-то около 100 мл.). Приматываем четыре китайские бомбочки по бокам (четыре - для надёжности). Фитильки прикрепляем к запалу.

Из любого хозяйственного магазина можно собрать рецепт проще и надёжнее. А главное - без китайских фейерверков (которые и все четыре могут только воздух испортить).

Гареев Станислав · 08-04-11 12:44:56

В линуксе надо было бы всего лишь исключить изверя из группы которой принадлежат съёмные накопители.

Rorschach · 08-04-11 13:12:17

Гареев Станислав пишет:

В линуксе надо было бы всего лишь исключить изверя из группы которой принадлежат съёмные накопители.

ВНЕЗАПНО в винде можно сделать то же самое.

nixadmin · 08-04-11 13:21:27

в винде - политика ограниченного использования программ
в линуксе - noexec и можно спать спокойно smile

что касается цничтожения винтов - всё уже придумано и продается - www.ixbt.com/storage/hddterminator.shtml

kenzzzooo · 08-04-11 13:26:14

Гареев Станислав пишет:

В линуксе надо было бы всего лишь исключить изверя из группы которой принадлежат съёмные накопители.

Станислав, вот иногда задумываюсь над тем, что Вам здесь говорят достаточно часто, а именно: лучше жевать, чем говорить. Так вот, в последнее время ловлю себя на мысли, что совет этот не совсем бессмысленный...

Гареев Станислав · 08-04-11 13:39:09

kenzzzooo пишет:

Станислав, вот иногда задумываюсь над тем, что Вам здесь говорят достаточно часто, а именно: лучше жевать, чем говорить. Так вот, в последнее время ловлю себя на мысли, что совет этот не совсем бессмысленный...

Не мешай полёту мысли.

Rorschach · 08-04-11 13:47:16

Гареев Станислав пишет:

Не мешай полёту мысли.

Стасег, пожалуйста пусть она у тебя будет лететь вне форума. А то мы тут все мыслители, такое намыслим, что у тебя мозг может в трубочку свернуться от такого полета.

Гареев Станислав · 08-04-11 16:45:00

Skynet2015 пишет:

что у тебя мозг может в трубочку свернуться от такого полета.

На этом форуме и не такое может случиться...

Linups_Troolvalds · 09-04-11 01:15:27

IvanOFF пишет:

В нормальных конторах использование флеш-накопителей запрещено групповой политикой.

Всем? Удачи. Использование съемных накопителей обязательно будет разрешено, будьте покойны, если только не случай с грифом «С» или выше. К тому же, защита информации не заключается только в блокировании доступа. Есть и организационные меры, и личная заинтересованность, и аудит. Безопасность же процесс...
А то ведь можно и мобильником с экрана интересные данные снять, если догола не раздевают при входе/выходе.
Гораздо полезнее, чтобы никаким образом с флешки не запустился вирус, ибо эта проказа виндузячья уже всех достала.

IvanOFF · 09-04-11 01:56:24

Linups_Troolvalds пишет:

Всем?

Откройте для себя деление пользователей на группы, а организации на OU.

Linups_Troolvalds пишет:

Использование съемных накопителей обязательно будет разрешено

Ни х*я вы не угадали, флешки разрешают использовать ограниченному числу сотрудников компании. И причина здесь не в вирусах, а в неконтролируемости этого канала передачи информации. Утечки через почту, корпоративный менеджер и т.п. легко контролируются и пресекаются, хотя бы административно, в тоже время то, что сотрудник копирует на флеш проконтролировать практически невозможно.

Linups_Troolvalds · 09-04-11 02:20:03

IvanOFF пишет:

Откройте для себя деление пользователей на группы, а организации на OU.

Вы вроде взрослый человек, а понты как у школяра... Группы, пользователи, LDAP, да-да-да, знаю, и много вы видели фирм, где все именно так, чтобы по-правильному? И чтобы они при этом работать могли и не ныли?

IvanOFF пишет:

Утечки через почту, корпоративный менеджер и т.п. легко контролируются и пресекаются, хотя бы административно, в тоже время то, что сотрудник копирует на флеш проконтролировать практически невозможно.

Что-то странное вы говорите. Проконтролировать можно все, что угодно. Но, повторюсь, сфотографировать на мобильный телефон сейчас тоже любой сумеет. Там, где мобильный телефон из задницы на входе вытащат, там и флешки, конечно, нельзя.

IvanOFF · 09-04-11 02:31:54

Linups_Troolvalds пишет:

Группы, пользователи, LDAP, да-да-да, знаю, и много вы видели фирм, где все именно так, чтобы по-правильному? И чтобы они при этом работать могли и не ныли?

Весьма много, большинство из которых именно мы приводили к такому положению вещей. Секрет здесь в правильном подходе к организации внедрения. Вы можете сделать все технически безупречно и провалить проект. Главная задача - это понимание руководством и собственниками бизнеса тех мер, которые вы собираетесь внедрять. Если понимание достигнуто все процессы очень быстро приходят в норму. Для "нытиков" обычно просим обоснование, не может работать без флешки - пусть обоснует что это ему действительно нужно для выполнения должностных обязанностей.

Linups_Troolvalds пишет:

Но, повторюсь, сфотографировать на мобильный телефон сейчас тоже любой сумеет.

И много вы нафотографируете? И как это потом использовать? Зато слить список контрагентов из корпоративной БД со всеми контактами на флешку - дело пяти минут. Как это фотографировать, если список не на одну сотню позиций, не привлекая нездорового внимания коллег - в душе не ебу.

hodok78 · 09-04-11 02:37:51

IvanOFF пишет:

Как это фотографировать, если список не на одну сотню позиций, не привлекая нездорового внимания коллег - в душе не ебу.

Я бы попробовал бы тупо распечатать. Довольно естественно и не привлечет особого внимания.

MOP3E · 09-04-11 09:09:14

hodok78 пишет:

Я бы попробовал бы тупо распечатать. Довольно естественно и не привлечет особого внимания.

Особенно если печать идёт на корпоративный принтер-сервер, который установлен в центре отдела и возле него постоянно тусуются два-три сотрудника, отбирая свежераспечатанные документы. smile

В принципе, даже самую бдительную службу безопасности можно обхитрить, но это уже будет многоходовая комбинация которая займёт не один день.

Отредактировано MOP3E (09-04-11 09:14:10)

Форум StopLinux

Объявление

#1 07-04-11 15:16:22

Безопасность сети

#2 07-04-11 15:29:32

Re: Безопасность сети

#3 07-04-11 21:20:59

Re: Безопасность сети

#4 07-04-11 23:02:51

Re: Безопасность сети

#5 08-04-11 00:34:54

Re: Безопасность сети

#6 08-04-11 01:24:01

Re: Безопасность сети

#7 08-04-11 01:52:20

Re: Безопасность сети

#8 08-04-11 02:32:57

Re: Безопасность сети

#9 08-04-11 02:46:32

Re: Безопасность сети

#10 08-04-11 02:48:41

Re: Безопасность сети

#11 08-04-11 03:41:04

Re: Безопасность сети

#12 08-04-11 09:22:03

Re: Безопасность сети

#13 08-04-11 12:44:56

Re: Безопасность сети

#14 08-04-11 13:12:17

Re: Безопасность сети

#15 08-04-11 13:21:27

Re: Безопасность сети

#16 08-04-11 13:26:14

Re: Безопасность сети

#17 08-04-11 13:39:09

Re: Безопасность сети

#18 08-04-11 13:47:16

Re: Безопасность сети

#19 08-04-11 16:45:00

Re: Безопасность сети

#20 09-04-11 01:15:27

Re: Безопасность сети

#21 09-04-11 01:56:24

Re: Безопасность сети

#22 09-04-11 02:20:03

Re: Безопасность сети

#23 09-04-11 02:31:54

Re: Безопасность сети

#24 09-04-11 02:37:51

Re: Безопасность сети

#25 09-04-11 09:09:14

Re: Безопасность сети

Подвал форума