Крупная западная компания
Недавно проходил аудит по безопасности
Приехали 4 молодых человека со своим ноутбуком, их посадили в отдельную комнату и дали сеть.
Через полтора часа они получили привилегии администратора домена
Вот я думаю - полтора часа это много или мало ?

> Вот я думаю - полтора часа это много или мало ?

мы покупаем или продаем?

Если за 50 баксов - то много.
Если за 50 штук баксов - то мало.

Но я бы такое даже и за миллион баксов не смог сделать. Просто не умею.

Могли бы и быстрее, но видимо сначала кофейку попили и сходили пообедать :)
Дело не во времени, а в том, что привелегии получили, а не должны были!
И видимо, действовали стандартными методами.
При не стандарте ушло бы гораздо больше времени.

> Polevi  (30.09.2008 20:23:00)  [0]

Недавно проходил аудит, просто аудит

Приехали 4 молодых человека со своим ноутбуками, их посадили в отдельную комнату и дали сеть.

Через полтора часа компания была внесена в спамерские списки, за полтора час один компьютер успел разослать 2 миллиона писем.

Вот я думаю - полтора часа это много или мало ?

И еще я думаю это аудиторы или лохи (точнее лохотронщики)?
Я сумел полазить удалено по их компьютерам. Все были заражены много раз.

На прошлой неделе приезжали два других аутитора, так у них диски оказались зашифрованы на аппаратном уровне, и от сети они отказались, физически wifi адаптеры отключены от автоматического получения ИП адресов. Попросили только электросеть им дать.
Вот это совсем другой подход. Забота и о своих данных и данных их клиентов.

> Anatoly Podgoretsky ©   (30.09.08 21:10) [4]

> Я сумел полазить удалено по их компьютерам.

Кто же кого проаудитировал?
:o)

> Юрий Зотов  (30.09.2008 21:14:05)  [5]

Ну я как администратор сети проверил их на безопасность.
При том после того как они нас подставили.
Правда после этлго никто не может послать почту минуя наш сервер и не имеея на нем учетной записи.

> Юрий Зотов  (30.09.2008 21:14:05)  [5]

Кстати это был единственный случай, когда я увидел зомби машину в действии и во всей красе.

Anatoly Podgoretsky ©   (30.09.08 21:10) [4]
Первые четыре спамеры были, а ты их за аудиторов принял.
Вторые два просто зашли чайку попить
:)

> blackman  (30.09.2008 21:40:08)  [8]

Вторыми я доволен и что важно, они и бухгалтерам понравились, практически не делали никаких ксерокопий. А все остальные аудиторы больше ничем не занимались, как ксерокопии делали, видимо их работа оценивается в толщине ксерокопированой папки с документами, чем толще, тем лучше аудитор.
А эти были серьезные ребята - они действительно работали как аудиторы. Но это были личные аудиторы собственника, а все прочие заказные, но явно из одной обоймы, сынки.

Теперь по делу - зомби машина, это страшно!

Anatoly Podgoretsky ©   (30.09.08 21:52) [9]
Теперь по делу - зомби машина, это страшно!
Видел. И сразу несколько, но в локалке. Поэтому не так страшно, но переполох был приличный :)

> blackman  (30.09.2008 22:09:10)  [10]

Так и у меня в локалке, занималась рассылкой спама. И это всего лишь одна машина, а столько дел натворила.

Так и у меня в локалке,
А как же
Через полтора часа компания была внесена в спамерские списки,
Кто же внес, если не вышло за пределы?

> Polevi ©   (30.09.08 20:23)  
> Крупная западная компания
> Недавно проходил аудит по безопасности
> Приехали 4 молодых человека со своим ноутбуком, их посадили
> в отдельную комнату и дали сеть.
> Через полтора часа они получили привилегии администратора
> домена
> Вот я думаю - полтора часа это много или мало ?

Ключевое слово "со своим ноутбуком". Самый типичный способ действия в таком случае: имея админские права на машину, поднять на ней сниффер, затем зафлудить ближайший свич. Свич, когда он не справляется с нагрузкой, переходит в режим хаба. А дальше... дальше слушать сниффером, пока в сегменте кто-нибудь не попробует авторизоваться по нешифрованному протоколу (это таки да, недосмотр).
Попробовать надо то же самое, только без "своих ноутбуков", а дать им обычную рабочую станцию с ограниченными правами - как и работают обычные юзеры.

>Anatoly Podgoretsky ©   (30.09.08 21:10) [4]
причем тут это, пустили заразу в интранет
или вы считаете что все аудиты безопасности есть лохотрон ? а по факту на контроллере домена был установлен старый софт с дырками а пароли на циску лежали в текстовом файле на рабочем столе администратора
и думаю вы зря так в себе уверены, наверняка при желании вас сломают изнутри за примерно тоже время

>DrPass ©   (30.09.08 22:32) [13]
таким способом можно повысить свои привилегии.. но администратор домена.. такие права в принципе есть у 1-2 человек из 1000 пользователей

> Polevi ©   (30.09.08 22:38) [15]

В принципе, да. Я уже прочитал про дырки на контроллере домена. Сейчас эта проблема решается малой кровью, та же Майкрософтина предлагает готовое решение для автоматической установки апдейтов в корпоративной сетке. Надо только купить и настроить.

> Polevi ©   (30.09.08 22:35) [14]

Да ничего я не считаю, и случай привел не в связи с безопасностью, а в связи, что аудиторы разные бывают. Кроме того не пускать не могу, но я пускаю в изолированую сеть. У них выход только в Интернет, а локалку не видать. Мне просто интересен был факт, как великолепно работает зомби машина, со скакой скоростью она генерит письма и при этом пользователю не заметно. Ну и как бывают лохотронщики аудиторы, их большинство, у нас каждый месяц работает какая ни будь команда, были случаи, когда работали сразу три, при том две из одной фирмы, но из разных стран.

А если, что сломают то это не моя проблема, генеральный директор в курсе опасности, но она ничто по сравнению с теми документами, которые им дают для ксерокопирования, ничего и ломать не надо.

Единственно полезным было то, что на основание этого я смог отключить выход на внешние не контролируемы SMTP сервера.

> пока в сегменте кто-нибудь не попробует авторизоваться по
> нешифрованному протоколу (это таки да, недосмотр).

Обижаешь, аутентификация безопасная.
И никакой им снифер не поможет в их изолированой сети.