519

О печальной защите информации в 2017 году

В данном посте я хочу поговорить не про гигантов типа Google, Яндекс или ВК, а про обычные компании с которыми мы работаем или которые не так известны.


Несмотря на кучу законов типа ФЗ-152 уровень защищенности персональных (и не только) данных к сожалению переживает по моим наблюдениям не лучшие свои времена.


К сожалению утечки встречаются почти на каждом шагу, большинство по работе. Я хочу рассказать о найденных мной уязвимостях в 2017 году.


1.

В начале этого года попросили проверить одну Windows программу с целью узнать, что она вообще делает. Программа позиционировала себя как обратная связь клиента с фирмой, своеобразный такой чат.


Вооружившись VirtualBox с установленным внутри WireShark и другими средствами мониторинга начал следить за программой, исследовал формочки приложения. В WireShark промелькнул HTTP-запрос, отправляющий сообщение на сервер. Так же обнаружил и HTTP-запрос, получающий сообщения с сервера. Немного поразбежавшись, обнаруживаем, что никакой авторизации на стороне сервера нет. Получаем сразу 2 уязвимости. Мы можем читать сообщения любого пользователя, включая, что пишут админу, а так же от имени пользователя отправлять сообщения другому пользователю.


2.

На следующую уязвимость в конце зимы или весной в 2017 году я наткнулся совершенно случайно с помощью рекламы в Яндекс-Директе.

Попалась на глаза мне контекстная реклама одной фирмы, которая говорила, что есть филиалы во многих городах РФ. Что-то тогда меня заинтересовало и я открыл их сайт.

Там открыл форму обратной связи.

С удивлением замечаю попадаю на сайт без домена, а только IP-адрес сервера.

Стало любопытно, а что работает на этой машинке? Проверяю порт FTP и… захожу под гостем. Куча всяких файлов, рабочая WEB-папка со страницами сайта. Есть немножко бэкапов. С виду сервер использовался как или помойка или как тестовый сервер.

Открываем файл конфигурации из Web-папки … Видим логин и пароль от FTP-другого сервера.

Проверяем… И попадаем уже во второй сервер…

Там тоже поднят WEB-сервер и вообще файлов намного больше… на 200 гигабайт с лишним. В основном это конечно бэкапы баз, но и очень много рабочих и свежих документов.

Внутри конфига WEB-сервера уже засвечивается и SQL-сервер с логином и паролем, который крутится на этом сервере. И да. На него тоже можно попасть.

Итог: получаем утечку в из крупной фирмы с возможностью исказить/уничтожить информацию и бэкапы баз данных.


3.

Также в этом году для работы потребовалось создать парсер сайта довольно большой бюджетной организации для формирования БД (около миллиона строк в 3 таблицах), что бы уменьшить ручной труд и постоянные запросы к сайту. Сам сайт тоже тот еще тормоз, поэтому создание парсера было логичным решением, что бы получить сразу готовые таблицы и всегда иметь их под рукой.

В голове вместе с алгоритмом парсера и количество срок кода росла также лень всё это делать. Тогда я решил проверить теорию с предыдущим сервером. И.. Вы не поверите! Ситуация практически повторилась! Мы опять попали на FTP сервер, но на этот раз там лежал файл VPNRouter_64.vmdk. Виртуальная машинка.

Немного колдуем над файлом и получаем доступ к разделу виртуального диска внутри машинки.

Самое интересное, это папка OpenVPN с настроенной конфигурацией и сертификатами.

Копируем на свой комп, подключаемся, и… Бинго! Мы внутри защищенной сети.

Смотрим какой нам присвоил сервер виртуальный IP.

Открываем терминал, запускаем nmap сканируем всю подсеть на 80,21,1433 порты.

Есть несколько компьютеров с такими открытыми портами!

И опять нас радостно встречает FTP без пароля на одном из серверов!

А дальше классика. Открываем Web.config, получаем строку подключения к серверу и с помощью dBeaver мы получаем доступ к базе данных внутри сети. Что еще интереснее, данная комбинация подошла и на другие SQL-сервера внутри этой сети. Один пароль на все сервера (всего их было 3-5 серверов, уже не помню). И это довольно крупная бюджетная организация для нашего региона!

Опять же возможность положить сайты, совершить утечку персональных данных (я там себя нашёл), исказить/удалить.


Сами персональные данные мне уже не интересны. Я с ними работаю каждый день, допуск к базе своего региона (ну или большей её части) у меня есть и так.


4.

Еще один случай опять же на работе, опять же в этом году.

Другая бюджетная организация дала VPN (L2TP) доступ и программку которая работает с их сервером, обмен с базой данных.

В таком режиме мы уже работаем давно, но программист написавший программу уже уволился, а неудобства с программой проявляются все сильнее и мысли написать свою программу типа плагина или хотя бы нужные скрипты. И тогда я решил провести один эксперимент, а именно попробовать подключиться не через их прогу, а через редактор БД. Выдергиваю, по какому адресу их программа стучится, вбиваю в редактор БД, и… сервер нас впустил! Ему хватило подключения по VPN и доверительное соединение! Мы опять получаем доступ к серверу ко всем базам, которые там находятся со всеми вытекающими, куда по идее мы не должны были попасть.


5.

Похожая ситуация и в самой корпоративной сети, опять же в этом году.

Дали программу, файл реестра, внутри которого… Логин sa, пароль 111111As…. Доступ из внешки… Ну хоть не на стандартном порту. А на нем так же крутиться персональная информация! Любой админ из корпоративной сети сути может увидеть инфу другого филиала через SQL-редактор, к которой он не должен иметь доступа, а так же изменить/удалить всю БД! А то что изначально дали доступ без защищенного канала еще хуже! Благо щас перевели программу на Vipnet, но пару месяцев назад доступ по внешнему IP еще был, может и до сих пор есть.


6.

Недавно проводил исследование одного Android-приложения (мой предыдущий пост), там такая же плачевная ситуация. Любой школьник может получить доступ к информации без авторизации, слить бюджет на СМС, зафлудить СМС чей нибудь телефон, исказить рейтинг, слить базу данных. Так же существует возможность получить права баристы простым брутом пароля!


Это всё печально дамы и господа. Давайте, мы будем относиться к защите наших серверов/ПК/телефонов более серьезно. Для проникновения внутрь не понадобились никакие эксплоиты, хакерские навыки. Только штатные программы и любознательность.


А сколько подобных серверов с открытым доступом в интернете? А сколько еще таких дырявых приложений в Маркете? Наверно тысячи, десятки тысяч.

Вполне возможно, Вы так же сталкивались с похожими ситуациями, надеюсь без злых намерений.


Многие этим профессионально занимаются, пишут ботов которые ползают по интернету, пробивают стандартные порты, брутят по словарю, ломают роутеры, IP-камеры, увеличивая армию ботов. С такими ботами встречался и я, точнее мой Firewall и было занятно наблюдать как пытались подобрать пароль от моей базы по примерно по 5-10 запросов в секунду.

Так же попадались боты которые пытались ломануть мой FTP и VNC сервер из разных стран.

Обнаружив эти попытки в логах, я убрал компы за NAT  и с тех пор я держу все порты закрытыми, оставив только порт для VPN-соединения, а при, необходимости временно доступа другим людям, открываю временно их на нестандартных портах. Для постоянно доступа использую OpenVPN и генерирую сертификаты на каждое устройство.


Итак. Для минимальной безопасности:

1. Не держите FTP сервер с возможностью подключаться анонимусом. Не держите на FTP какую либо инфу, позволяющая скомпрометировать другие сервера. Конечно, если это Web-сервер и через FTP обновляется его содержимое, то дайте ему минимальные права, если его вдруг вскроют.


2. Не используйте простые пароли, которые можно легко сбрутить. Поверьте, боты не спят и рано или поздно могут приняться за ваш сервер, если он виден извне.


3. Используйте защищенное соединение. Если это не предоставляется возможным, вешайте службы на нестандартные порты. Такие порты найти сложнее и сканировать один комп относительно долго. Если есть настроенный Firewall, то вполне может сработать тревога сканирования портов и при их прозвоне ботом, фаервол начнет посылать все попытки подключения бота в лес, а порты ботом так и не будут найдены.


4. Если возможно, старайтесь в Андроид-приложениях шифровать все HTTP-запросы. Например http://127.0.0.1/web?query=vcXGregfds4r5f3r456sdr32vdf-6t и ответ получать примерно такой же. Через снифер уже не будет видна какая-либо зависимость от запросов и большинство любителей это уже может остановить. В идеале еще прикрутить защищенное соединение, но многих останавливает, что SSL-сертификаты платные. Можно еще использовать сокеты.


5. Не оставляйте в приложениях права админа, например в веб-приложениях, десктопных. Старайтесь давать минимальные права приложениям. Фукнции авторизации желательно вешать на сервер, а дальше посылать только ID-сессии, а не UserID. При обмене данными всегда проверять авторизована ли машина или нет. Особенно это касается Web- и Android-приложении.


6. Периодически проверяйте логи приложений, а так же лог фаервола.


7. Сервера желательно прятать за NAT, а в некоторых случаях (например, если это сервер с персональными данными или где проводятся финансовые операции) за двойной NAT.


8. Ну про своевременную установку патчей и обновлений, я думаю не стоит объяснять.


9. Ну и конечно следите за новостями о вирусных угрозах, эпидемиях, новых шифровальщиках


Желаю всем в следующем году стабильных линков, отсутствие зловредов и хороших клиентов. Сделаем наши сервера, базы данных и приложения более защищенными.

Дубликаты не найдены

+33
Мало что понял, но однозначно, вы крут)
раскрыть ветку 8
+8
Я всего лишь любитель. Про крутых пишут в СМИ.)
раскрыть ветку 7
+34

Как раз про крутых в СМИ не пишут... :)

+1

А где ты учился?)

раскрыть ветку 5
+11

1) Да потому, что все пытаются сэкономить. ИБ специалист, это отдельный специалист, которому нужно платить. Обновление серверов, это тоже плата за поддержку. А так как и без этого всё работает (какое-то время), то зачем кому-то платить.
2) Многие люди вот прям вооообще безграмотные в этом смысле. И я не говорю про спрятать холодильник за NAT, а про банально, что стоит обновлять антивирус (к примеру за 2 месяца до wannacry майки выпыстили патч безопасности), что не стоит на почту ставить тот-же пароль что и на безымянный сайт (каюсь, сам грешу). И пока такие люди будут, в том числе на руководящих должностях (вы думаете директор, который год не обновлял винду наймёт специалиста по ИБ, да он вообще не знает, что такое ИБ и что по нем есть специалисты), пароли и данные будут убегать.

раскрыть ветку 6
+10
Я вам более скажу. За месяц до wanacry я подал отчёт в котором рассказывал у каких серверов открыт 445 и почему это нельзя делать. Мне сказали что я ничего не понимаю. Догадаетесь кто лег первый
+2

Вся проблема в обучении специалистов по ИБ. В вузах тебе не дадут минимальных знаний. Если и есть хорошие вузы, то их очень мало.

раскрыть ветку 3
0
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку 1
-1
Ну, базу то дадут... Проблема в том ещё, что в ИБ много разных отраслей, защита ГТ принципиально отличается от защиты ПДн, КТ. А работая у лицензиатов вообще главное акты подписать, а не защитить
0

У нас на почте приёмной стоял пароль что-то вроде "1234". Я не знаю, как они туда его поставили, но вот так было. А на той почте куча персональных данных и тому подобного)

+4

Местами годно, местами котолампово. Но коли ТС - джедай-самоучка, зачет.

Про nmap возражу, беглое сканирование 1-65535 - быстро.


По поводу всего остального есть проверенный рецепт для небольших контор.

Работает, если весь веб, который хостит контора ловит дай боже 1-2к хитов/сек в пиках. Дальше либо масштабироваться вширь, либо (что лучше) - уходить в хостинг.

Логическая точка входа трафика в инфраструктуру должна быть одна (про физическое резервирование не забываем). Хорошо, если это что-то типа ASA - тогда в ней будет и нативный циско впн, и фаервол. Если бюджеты паршивые - сойдет хорошая железка с BSD внутри. Если есть ASA или аналоги - весь веб с нее уходит в туже самую BSD, либо линух, по вкусу.

Идея в том, чтобы в одном месте принять весь входящий HTTP(S) и дальше уже проксировать его внутрь инфры (nginx). Так проще мониторить, проще наблюдать.

Дальше полет фантазии в зависимости от, но я выработал несколько постулатов, которые должны быть всегда.

1. Никаких виндовых тачек самостоятельно в интернет торчать права не имеют. Никогда. Если они веб - только за nginx на линухах. Рано или поздно при вводе очередной винды, торчащей жопой в интернеты, кто-то забудет ее настроить.

2. Бэкапов много не бывает. Я люблю, когда все железки - только бсд/линуха. Эти бэкапятся всякими банальностями типа fsarchiver или dump/restore для олдфагов. Винды только в виртуалках, потому что виртуалки бэкапить проще.

3. Никаких ftp. Если совсем прижало и прям невмоготу - sftp. Для деплоя кода куда бы то ни было - поднять git внутри и пушить в него по ssh, из него деплоить (руками, CI/CD, не важно). Никогда никакими средами (разработки) не ходить никуда никак, кроме как через git.

4. Паролей на ssh быть не должно. Только именные ключи, только хардкор. git/sftp - все в ключи. Кстати Google Authenticator отлично скрещивается с SSH.

5. Бэкапы баз нужно шифровать. Просто потому что. Особенно если это базы 1с. Решений много, самое банальное - pgp.

6. Ну и да, никаких апдейтов ОС продуктовых сред без тестирования на стендах. Нафиг-нафиг.

раскрыть ветку 1
+1
Я вроде запускал полный перебор портов, он довольно долго делал, не менее получаса точно на десяток обнаруженных компов. Если доступ еще остался, проверю.
+6

Что нам говорит законодательство?

Требования ИБ должны закладываться заказчиком на этапе формирования требований к системе.

Вы много знаете таких заказчиков, которые в ИБ умеют, где ИБшники сидят не под ИТшниками или коммерческими отделами, а напрямую под генеральным (или, лучше, вообще не подчиняются генеральному, а только совету директоров) и где без визы ИБшника ни один проект в эксплуатацию не примут?

Я вот - очень немного.


На одной из прошлых работ я услышал, что мобильные программисты собирались писать мобильного банк-клиента и немного обсуждали, что и как они делать собираются.

Услышав, что именно они планируют, я спросил их, знают ли они про PCI DSS хотя бы - они не знали, но это их совершенно не озаботило.


А не заботит это никого, поскольку Роскомнадзор по нарушениям 152-ФЗ не кошмарит бизнес. Ну и бизнес сравнивает затраты - шансы попасть на санкции от Роскомнадзора - минимальные, содержать свое ИБ дорого - зачем?

Если бы за такую утечку санкции были бы чаще и страшнее - ИБшники бы таки получили бы рычаги давления и бюджеты.

раскрыть ветку 11
+3
Да даже в гугл была история, как кто-то из планктона сделал селфи и в сеть утек пароль от его компа.
+2

Я знаю банк где ИБ-ники не под ИТ-шниками. И это ничего не значит. Это выливается в то что ИБ-шник нихера не понимает кроме регламентов.

Типичное решение технической проблемы с консультантом:

Ни ИТшника ни тем более консультанта к консоли не подпускают. За клавиатурой безопасник одним пальцем набирает команды согласованные заранее. Так как смотрит на клавиши а не на экран ошибается. Ему кричат об ошибке, но он тупо идет по инструкции.


152-ФЗ к мобильным клиент-банкам не имеет отношения. Более того до недавнего времени он и к банкам мало как относился так как у банков было разъяснение ЦБ кто там чей вассал кто кого должен кошмарить.

раскрыть ветку 1
0

Так правильная оргштатная структура - это необходимое, но далеко не достаточное условие.

0
Ща будет КИИ с уголовкой, вот тогда поймут что ИБ надо ! (Нет)
раскрыть ветку 7
0

Так 217.1 УК РФ уже есть.

И че?


А ниче. Пренебречь, вальсируем в основном.

раскрыть ветку 6
+2

1. Контора пишет приложеньки под смартфоны, админы весь день страдают фигней и ничего не умеют, например, не осилили поднять https, про Let's Encrypt не знали, потратили несколько дней с нулевым выхлопом, в итоге программист поднял и настроил nginx с Let's Encrypt. Поскольку админов по факту нет, программист поднимает сервер как умеет, делает всё достаточно неплохо, но почему-то ставит БД "голой жопой в интернет". Через несколько дней БД пуста, в строковых полях текст: "Вышлите вот на этот кошелёк 10BTC и получите обратно БД". Спасли суточные бэкапы (которые буквально перед этим пришлось заставлять настраивать), потерялись данные за сутки


2. Некий обладатель персональных данных имеет API по http и по признаку "получили правильную константу в определённом поле GET запроса" активно их раздаёт. Шифрование на уровне https не осиливают, позже выяснилось, что у них под Win2003 установлен Apache 1.3.32 (а это релиз 2004 года, Карл!), в котором по умолчанию нет модуля https, и поставить модуль они не могут. Сейчас подключение с ними в подвешенном состоянии, ибо ну его нафиг.


3. Преподаватель ВУЗа просит высылать сделанные задания на почту в виде исходного текста и откомпилированного EXE (зачем не понятно, так как язык программирования строго регламентирован). В случае замечаний обратно высылает свою резолюцию, и, зачем-то, в теории не изменённые, исходник+EXE. Всё было бы не плохо в этой модели проверки заданий студентов, если бы в мире не существовали вирусы. По факту в EXE поселялся вирус и письмо с результатом проверки работы просто отсеивалась почтовым сервером, в итоге студент думает, что преподаватель ещё ничего не проверил и не ответил


навскидку ничего зашкваристого больше не могу вспомнить

+3

нихера не понятно, но жутко интересно!

+1

Эксперты по кибербезопасности тоже жалуются на нехватку сотрудников ИБ и слабую защиту информационных систем: https://www.securitylab.ru/news/490533.php


Кстати новость запилили в тот же день что и я пост на Пикабу :-D
Одинаково думаем.

+1
В 2014 работал в одном зажопинске в 40 тысяч человек в мелком госоргане. Так у нас уже тогда абсолютно везде випнет стоял.
раскрыть ветку 1
0

В Госорганах по идее должен везде стоять Vipnet или любой СКЗИ имеющий сертификацию ФСБ. Так же его вынуждены приобретать организации, работающие с такими органами для обмена информацией.

+1

Починил недостаток картинок в комментах.

Иллюстрация к комментарию
+1

Настоящая ИБ -это физическое отделение критически важной информации от интернета и ограничение круга допущенных лиц. Плюс тупой безопасник, который не думает, а жестко имеет всех за любое отклонение от инструкции (типа личных флешек и т.п.) Все, больше ничего не поможет. Ни какие пароли и фаерволы. В любой защите со временем найдется дырка.

раскрыть ветку 2
0
А если по роду деятельности критическая информация должна крутиться в интернете?) Плюнуть и ничего не делать?
раскрыть ветку 1
0

В интернете может быть только общедоступная информация, которую не жалко или которая для интернета и предназначена. Если вам надо связать два офиса и передавать что-то конфиденциальное, то арендуются выделенные каналы в которых поднимается свой vpn. Если аренда каналов для вашего бизнеса слишком дорога, то есть коммутируемые каналы (типа старого доброго диалапа). Других вариантов не бывает. Интернет, он для котиков. Все технологии поверх интернета работают только если ваша информация никому не нужна.

+1

Самая лучшая защита, это то что никому это не надо.

0

Печальна не столько защита информации, сколько сам бизнес и этапы разработки.


По найденным недоработкам - я совсем не удивлён.

Касательно рекомендаций :

п. 1-5: само собой разумеющееся

п. 7: security through obscurity - тоже не панацея, но часто помогает.

п. 6,8,9: ага, там же где розовые пони... Логи смотрят уже после, когда что-то случилось. Патчи и апдейты - класс, но часть из них может поломать немного написанного, а о некоторых никто никогда и не узнает. Тоже касается и новых вирусных угроз и 0day'ев.


В идеальном мире и в идеальной ситуации: любое ПО/сайт, desktop/mobile должно разрабатываться командой профессионалов находящимися в штате и отслеживающими всю дальнейшую работу продукта.

Но чаще это делают подрядчики или вообще фрилансеры.


P.S. В комментариях уже правильно писали - ИБ и технический саппорт (не юзер кейсы) вообще не закладывают в общий бюджет. Большая часть проектов исчерпывает свой бюджет ещё до запуска в продакшен, на моментах "финальных" правок.

И при всём моём желании делать "конфетки" - я не могу ни на одном первоначальном этапе заложить +30-50% сверху бюджета на формулировку ИБ/мониторинг.

0

Ради прикола арендую VPS. Сразу отключил ssh для root-a. Через пару дней смотрю логи - а какие то пидоры пытаются зайти через ssh через быдло юзерей(oracle, root, хуют и т.д.). Поменял порт ssh. И тишина. Потом вообще заблокировал все порты кроме 80 и ссх-порта. Остались только пидоры которые пытаются отправить POST в /in.php, а я по идеологическим причинам пхп не установил :)

0

99,99% всех программ и систем имеют уязвимости, позволяющим получить доступ к данным, и если кому сильно понадобится, то взломают вашу систему или программу и получат доступ к большинству данных.

Только тем людям, кто это сможет сделать, ваши данные нахрен не нужны, будь там хоть пароли, хоть кредитки, хоть интимные фотографии, хоть вообще что угодно, даже не представляю, что такого может быть, чтобы было желание это получить. А если и не получится получить, то можно сфабриковать.

Вон как медведева раскрутили из-за одной взломанной почты левой конторы.

Что же делать? Быть честными.

0

Ухх, сколько всего написал! Прям на чистосердечное тянет, установи кто твою личность :)

раскрыть ветку 3
0
Деструктивного я ничего не делал. Наверняка и до меня там уже ползали.

Личность особо не скрываю, в инете легко пробивается.
раскрыть ветку 2
0
Ну ты поаккуратней. Если хозяин этих серверов/сетей не давал тебе разрешения, то сам факт входа уже уголовка. Но это при наличии заявления от владельца..
раскрыть ветку 1
0

Рукалицо.


> 1. Не держите FTP сервер с возможностью подключаться анонимусом. Не держите на FTP какую либо инфу, позволяющая скомпрометировать другие сервера. Конечно, если это Web-сервер и через FTP обновляется его содержимое, то дайте ему минимальные права, если его вдруг вскроют.

Стоит сократить до "не ставьте вообще FTP-сервер". Есть прекрасный SFTP.


> В идеале еще прикрутить защищенное соединение, но многих останавливает, что SSL-сертификаты платные.

Года два как нет. Гугл -> letsencrypt


> Сервера желательно прятать за NAT,

NAT не спасает от взлома и не заменяет собой файрволла. Почти в любой ситуации внутрь серой сети можно попасть снаружи.



А с защитой информации всё обстоит намного хуже. В разы хуже, чем вы можете представить себе в самых кошмарных фантазиях.

раскрыть ветку 2
0
Я вас понял. Про защиту информации от утечки изнутри это можно писать отдельный пост. Здесь я в основном про вторжение снаружи с возможностью совершить утечку описывал.
раскрыть ветку 1
0

Да я тоже про это как раз.

Для затравочки - примерно половина интернет-банков из топ100 была уязвима к перехвату и подмене https-трафика на начало этого года.

Часть из них была уязвима к чтению произвольных страниц памяти на сервере, куда https-трафик приземляется.

0
Дилетантские советы, примеры и пр. тонкости, но суть раскрыта. Да есть такое - человеческий фактор, лень, нехватка времени и не желание некоторых сделать как надо и изучать новое и тд и тп. Так было всегда. И будет.
0
На самом деле проблема в компьютерной безграмотности населения. Не помню кто говорил, вроде Медведев, что навыки работы с ПК нужно приравнять к грамотности. Умеешь читать и писать, умей и базовые знания в ПК применять. По сути кто знает, тот максимально защищён и так, большинству же советы не помогут, они просто не поймут о чем речь, а за всех настраивать самому просто невозможно.
0

Ипать, чувак, ты прозрел! Велком в реальную жизнь. Давно уже существует 2 разных понятия, реальная безопасность, это как раз то, что вы описали. и бумажная безопасность - 152 фз 17/21 приказы, 149 Фз. с помощью которых может и хотели как лучше, но сделали как всегда... С другой стороны, после этих законов, защищенность действительно выросла, ибо был то совсем адовый пиздец...

С другой стороны, если вы разрабы, то разрабам дают если не полный (а как иначе то?), то почти полный доступ, а остальное прописывают в договоре...

раскрыть ветку 7
0
А комплексно не подойти, сочетая и орг меры и инженерно технические?
раскрыть ветку 4
0
По идее так и надо, но бумаги слигком бумажные, хотя, надо отдать должное, пока готовишь начинаешь разбираться во всех нюансах. Но вот порядка 5 видов журналов.... Нафига...
раскрыть ветку 3
0

Я не совсем разраб. По должности я администратор БД на одной работе. ) Но приходится постоянно совмещать и сисадмина и прогера.

В случае при работе со сторонними организациями всё равно должны делать или API или изолированный чисто для нас сервер, а не общий с другими организациями.

Даже в корпоративных сетях должна быть защита от самих же админов, например из дочерних филиалах. Ну нафига выдавать sa пароль? А если ему покажется что его с ЗП обидели и он перед уходем сделает Job убивающий скажем не всю базу, а только TOP 1000 строк ежедневно и это не сразу замечают? В итоге потом окажется что во всех бэкапах чего то не хватает, да и каким макаром потом восстанавливать целостность базы?

раскрыть ветку 1
0

Согласен, но иногда:

а) не хватает квалификации заказчика

б) на этапе внедрения все равно будет необходим доступ, хотя можно дать дамп той же базы, и работать уже в новой системы, но внедрение может затянуться, а работать нужно уже сейчас..

в) Учитывать риски обиженных, что прописывается в договоре. Да, для коммерческой организации взыскание убытков (допустим в суде)при инциденте безопасности уже проигрыш и увольнение безопасника (потому что допустил), но для госучреждений это нормальное течение жизни, так скажем.

г) опять же возвращаемся к оценке рисков, вероятность утечки от разраба -5%, стоимость контракта Х, стоимость обеспечения защиты от утечки от разраба - Х/2а, то и 2*Х. А еще надо оценивать последствия утечки, если это БД с клиентами или бухгалтерия - это одно, а если это БД сайта, например, госуслуги.ру, то совершенно другое.... (никакое яб сказал, последствий практически нет) Вывод очевиден. Понятно, что базовую защиту, как вы указали - пароли, быкапы и прочее, т.е. то, что не очень затратно по трудочасам и финансам надо делать обязательно. И если это не делается - это банальное раздолбайство или, увы, нехватка времени и перегрузка профильных спецов, который и швец и жнец...

0

Вопрос не в тему, но любопытства ради - з/п > или < 100т.р?:)

раскрыть ветку 5
0

у безопасника? во ФСТЭК (погуглите) это около 35 тыс руб... Вопросы еще есть?

раскрыть ветку 3
0
Для не МСК это ещё нормально
раскрыть ветку 2
0

1 и 2 случай чисто любопытство. Профит только от удовольствия, что я чего то достиг, а во втором случае, что мог подержать палец рядом с "красной кнопкой".

3-ий случай должен был избавить меня от написания парсера, а найти базу где хранится эта инфа и просто скопипастить эту таблицу на свой сервер. К сожалению среди сотен таблиц и кучи баз так и не удалось найти эти таблицы, возможно этот сервер были вне виртуальной сети, правда анализ запросов показал что 2 из 3 таблиц уже есть у нас итак. Но опять же был опыт поиска уязвимостей, вскрытие VMDK файлов, адреналин получив доступ к защищенной сети практически из ничего (для меня это кое что значило, поднятие ЧСВ).

4,5,6 случаи - это просто рабочие моменты, что бы тоже облегчить получение рабочей инфы минуя ограничения в программах, которые нам давали, никого не спрашивая и никому не мешая.

0

да какие такие дыры? кому это надо когда у нас просто выкидывают на помойку сами все что угодно

https://pikabu.ru/story/sberbank_vyibrosil_anketyi_s_lichnyi...

0

Из уменьшения порога вхождения во все сферы IT, уровень админов и прогеров падает и в рзультате мы получем то, что вы описали в посте. Думаю хорошо было бы начать преподавать основы информационной безопасности уже в школе. Другая проблема, я так думаю - это банальная лень. Признаюсь, сам грешил тем, что оставлял базу на текущем порте с логином "sa", опять же из за уверенности в том, что никто туда не полезет т.к база не видна извне. А еще иногда бюджет и сроки заказчика настолько сжатые, что ни о каких сертификатах и шифровании и речи не может идти. Вобщем проблема комплексная и решать ее надо с себя (технарей), а потом уже ругать юзеров за легкие пароли и беспечность.

раскрыть ветку 1
0

те админы, которые попали через "низкий порог вхождения" он же "начитались туториалов на Digital Ocean" знать не знают, что такое FTP.

0
Почитал с интересом, спасибо.
По выводам:
1. Не используйте FTP вообще, только SFTP. Единственное, для чего можно использовать FTP - для публичного сервера с одной общей папкой.
2. Никаких паролей в SSH, только ключи.
0. Никакого HTTP, про Let's Encrypt уже писали.
раскрыть ветку 15
+1

нельзя использовать FTP , совсем, никак. "Лучшие практики" уже просто запрещают. Публичный FTP сервер в вашей сети? - тогда вас уже взломали...

раскрыть ветку 7
0

Я вообще не понимаю, нахрена нужен FTP в 2017? Загрузить статичный сайт на сервер? Есть более удобные способы, не говоря уже о безопасности.

раскрыть ветку 6
0
1. Не sftp, а ftps.
раскрыть ветку 6
+1

Существует оба варианта:

SFTP = SSH + FTP

FTPS = FTP + SSL

раскрыть ветку 5
0
А вот кто бы донёс эту информацию для неискушенного, обычного пользователя. Попробуйте бате объяснить про nat и иже с ним.
раскрыть ветку 1
+5

NAT - устройство находится за другим устройством.

Например Компьютер за роутером.

Двойной NAT - это когда между компьютером и интернетом уже 2 устройства. Например аппаратный фаервол (например Vipnet Coordinator), затем роутер.


Компьютер может выйти в интернет, а вот что бы из интернета достучаться до компьютера нужно, или прямое соединение с ним, причем инициатором должен быть он, либо что бы они находились в одной виртуальной сети (общий сервер, куда они подключились, например VPN-сервер), либо должен быть проброс портов на роутерах, или настроена DMZ зона на этот компьютер, то есть все обращения к роутеру перекидываются на нацеленный комп.

Более подробно: https://ru.wikipedia.org/wiki/NAT

0

Хы. По поводу ботов - недавно заметил небольшие пролаги на домашней машине, пошёл искать причину, а мне в RDP радостно долбится десяток разных адресов.

0

Ничего не понял,но вроде как всё круто и тактично

0
Letsencrypt выдает бесплатные SSL сертификаты
раскрыть ветку 11
0
И Apple Store их одобряет. Примерно пол года назад они запретили публикацию приложений с http трафиком. @ELForcer, это в тему того, как принудительно повысить безопасность приложений. Помогает это не сильно, но хоть что-то
0

Вот думал написать про это, а уже за меня это сделали)

-1

привет ФСБ... почему не гостовое шифрование на государственном ресурсе? А то, что его прикрутить можно только к IE, который уже мертв....  да есть ь куча глючных костылей... ;) Нет, конечно, это лучше чем ничего...

раскрыть ветку 8
-1
Прикручивается к nginx на раз-два, работает во всех модерновых браузерах.
Гостовое шифрование обеспечивается использованием определенных алгоритмов, разве нет? Есть какие-то проблемы указать серверу какие алгоритмы использовать?
раскрыть ветку 7
0
Let's Encrypt автоматически выдаёт бесплатные сертификаты, так что HTTPS можно уже везде.
0
Пасиб, в тему. Подписка
раскрыть ветку 2
0

На группу или на пользователя))))))))))

раскрыть ветку 1
0
Пользователя
0
Это и 20 лет назад было так же, и след 20 лет будет также
0

Печально что от этого поста ситуация в отношении ИБ не изменится даже в крупных организациях...

раскрыть ветку 34
0
Недавно случилось:
Где-то десять лет назад регился в говноклассниках и с тех пор ни разу не заходил. И вот внезапно начало оттуда срать спамом об изменениях в профиле и стопиццот приглашений в друзья
Изрядно задолбавшись это вычищать лезу удалить профиль - а там какая-то тёлка левая на аватаре и к номеру российскому привязали
Подумал писать в саппорт, но решил попробовать сменить номер - и он поменялся, и смс с кодом на изменение пароля пришло, залогинился и захотелось понаотправлять хуи всем этим приглашальщикам, но сдержался и тупо удалил акк
раскрыть ветку 1
0
У меня так с твиттером было через пару лет его появления. Зарегался, кого-то читал, потом бросил. А через годик выясняется, что я спамер, у меня несколько тысяч постов и сотни подписчиков. Ну и учетка залочена, разлочить не смог
0
Вот это я и хочу спросить. Как это можно исправить? Чего не хватает ИБшникам? ЗП или мозгов?
раскрыть ветку 31
+7
Экономия на ЗП кадрам, в большинстве мест в лучшем случае работают студенты, которые про безопасность когда-то слышали, но "это же их не касается". А есть места, где вообще админов нет, один раз настроили абы как и никто не трогал с тех пор.
Много чего могу рассказать, только я не исследую "дыры", я с ними сталкиваюсь про другим причинам и иногда должен их затыкать
+3

Никак.


Всем срать на чужие персональные данные. Твои данные - твоя забота.


Если бы террористы самолеты не роняли и не взрывали, а просто угоняли в другие страны, то и рамок и проверок багажа толком не было-бы до сих пор. Вернули самолет и слава богам, а сколько там гоминидов пострадали - похер.


ТВОЙ уровень вложений в безопасность зависит от величины и вероятности урона, который ТЫ можешь понести (если банку предъявят претензий на лям из-за слитых данных, а он заработал на этих данных писят лямов - он просто спишет это за счет резервов на форсмажор. И не будет тратить ежемесячно по полляма на защиту данных - не выгодно).


И это закон жизни. Всем похуй на чужое. Да и на свое, пока не ёбнет.

Брось ты это со своими проповедями. Просто зарабатывай бабки на своих умениях. Всегда так было, есть и будет: проще заработать 10 шекелей с одного битого, чем убедить десять небитых потратить по 1 шекелю.

;)

раскрыть ветку 3
+2

Для этого должен измениться подход к проектированию ИС. Как выше правильно заметили - ТЗ на создание системы должно учитывать требования безопасности. То есть еще до того, как начали проектировать систему, уже должен быть определен перечень мер защиты, которые присутствуют в системе. А обычно ровно наоборот - эй, чуваки, мы тут купили мегакрутую шнягу, мои знакомые посоны ее развернули нам на вебсервер, а теперь вы должны сделать так, чтобы все было по требованиям ФСТЭК.

+1

Скажу, возможно, крамольную вещь, но в большинстве своём это никому нафиг не нужно.


Реальный ущерб от утечек данных пока ещё слишком мал, чтобы это имело какой-то серьёзный эффект. В основном, единственный ущерб, который сейчас возможен - это ущерб репутации, но и тут, если дело не касается какого-то "социально значимого" пиздеца (расизм, сексизм, наебалово крупного масштаба), всем похуй...


Другими словами, 99% компаний даже не рассматривают какие-то угрозы информационной безопасности как реальные угрозы, способные всерьёз повлиять на работоспособность структуры. А, если нет реальной угрозы, зачем платить больше? ;-)

раскрыть ветку 1
+1

Это несколько разные вещи (на практике). Информационная безопасность в текущем состоянии - это куча оформленных бумаг, как правило не имеющих отношения к тому что работает на практике. И это печально. Как правило, ИБ-шников не интересует как действительно защищена та или иная информация. Их интересует как оформлены бумаги о защите этой информации. ИБ-шник - он ниразу не IT-шник. Он скорее юрист.
И да, я - с этим не согласен. Так быть не должно. Но... так есть (во многих местах, может не везде)

0
Поддержки со стороны бизнеса вследствие неумения перевести с языка безопасности на язык денег. Например, твой текст вообще не содержит информации об оценке рисков и влияния найденных уязвимостей на бизнес. Такой отчёт гендир даже читать не станет, а просто покивает, мол, молодец, работай дальше.
раскрыть ветку 4
0

Сейчас в вопросах обеспеченности информационных систем мерами защиты рулит невидимая рука рынка. И пока она не сменится на кирзовый сапог государства - счастья не будет почти нигде.


Если сделать нормальную систему защиты будет дешевле, чем огребать последствия от государства за ее отсутствие - будет спрос на спецов, будут бюджеты на ИБ, директора почуют нагрев седалищного нерва и начнут хоть какое-то движение к ИБ по всей стране. Если каждый спамер а-ля Пеньков банк, за отсутствие уведомления о начале обработки персональных данных начнет платить денег за каждый эпизод - насчет персданных станет все гораздо лучше.


А пока проверки идут очень мало и выборочно и накладываемые штрафы меньше месячной зарплаты ИБшника - да кому оно надо - деньги тратить?

Но развертывание полномасштабного надзора в сфере ИБ - это и развертывание соответствующих ФОИВов. А значит - помещения, оснащение, набор людей...

А пока команда сверху - держаться и хорошего настроения, а не реально кошмарить нарушителей.

раскрыть ветку 16
-1
Хах. Институт МЭИ в Москве, ввел в этом году карточную систему прохода в корпуса. Прикладываешь карту, турникет показывает зеленую стрелку, можешь идти. Карты эти выдавал сбербанк, причем, карту меняли на заполненную анкету.
-3
Ты. Только что научил людей плохому.
раскрыть ветку 10
+3

Посыл был наоборот, защищаться от плохого. Обратить внимание на свои сервера, ПК, приложения.

раскрыть ветку 8
0

Я аж пошел и обновления на всех сайтах нашей конторы накатил, а то две недели ленился.

раскрыть ветку 7
0
И чему же лично ты научился из этого поста?
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: