24.08.2017 | 23:42

Adam Haertle

Jak administrator może najlepiej skompromitować się przy kolegach

Słyszeliśmy już całkiem sporo historii o różnych przypadkowych wpadkach związanych z bezpieczeństwem, gdzie fachowcy robili wyjątkowo głupie rzeczy, ale ta urzekła nas swoją prostotą. Polecamy.

Co prawda jest to tylko wpis z Reddita, ale doświadczenie życiowe podpowiada nam, że jeśli nawet nie wydarzyło się to temu konkretnemu użytkownikowi, to stało się nie raz i w niejednej firmie. Może tylko nie tak spektakularnie…

Tylko idiota uruchamia załącznik

Historia zaczyna się od tego, ze administrator otrzymał zgłoszenie użytkownika. Zgłoszenie dość klasyczne – użytkownik dostał wiadomość poczty elektronicznej „z fakturą”, kliknął w link, pobrał załącznik i uruchomił jego zawartość.  Oczywiście być może i przypadkowo – czyli komputer na pewno do reinstalacji. Administrator głośno i negatywnie ocenił poziom inteligencji użytkownika, szybko ściągnął z jego skrzynki feralnego emaila i zawołał swoich kolegów by pokazać, jak bardzo nierozsądny musiał być użytkownik. Administrator, pod czujnym okiem zgromadzonych współpracowników, otworzył emaila, kliknął w link i po załadowaniu się fałszywej witryny pobrał znajdujący się na niej załącznik. Był nim plik ZIP, zawierający wykonywalny plik Javy. Administrator postanowił podejrzeć zawartość złośliwego pliku. Kliknął prawym przyciskiem, otwórz za pomocą, Notatnik… I tu myszka nie trafiła i plik został uruchomiony.

Podobno wszyscy zamarli, jedynie stażysta wykazał się przytomnością umysłu i zanurkował za biurko by wyrwać kabel sieciowy z komputera. W złośliwym pliku był standardowy koń trojański – o którym autor wpisu wspomina, że „nasz produkt miał na niego sygnaturę już w 2015”, co sugeruje, że wydarzenie miało miejsce w firmie antywirusowej lub zajmującej się bezpieczeństwem. Dodatkowego smaku nadaje natomiast tytuł wpisu wprost sugerujący, że do uruchomienia złośliwego kodu doszło z uprawnieniami administratora domeny. To już pozostawimy bez komentarza. Na Reddicie zasugerowano, by z funduszu na środki edukacyjne kupić taser.

Nie on jeden

Oczywiście nie jest to jedyny podobny przypadek, o jakim słyszeliśmy. Jest w Polsce bezpiecznik, który zainfekował swój komputer, a gdy dopadli go koledzy to tłumaczył się, że co prawda kliknął, ale zaraz zamknął… Autorowi tego artykułu też się kiedyś maszyny pomyliły i odpalił konia trojańskiego nie w tym środowisku w którym chciał, sprawiając, że analiza statyczna szybko przeszła w dynamiczną… Jeśli macie swoje (lub cudze!) historie tego rodzaju to zapraszamy – na pewno jest co opowiadać.

 

Powrót

Komentarze

  • 2017.08.25 00:31 Rafał

    Zasadniczy błąd to pomysł żeby jedno kliknięcie uruchamiało program, bez wymogu nadania mu uprawnień do wykonywania.

    Odpowiedz
    • 2017.08.25 01:49 Marek

      O witam żołnierza zakonu linuxa ;)

      Odpowiedz
      • 2017.08.25 08:14 Linus

        :D

        Odpowiedz
      • 2017.08.27 19:38 marianZ

        Moja przygoda z KDE. KDE 4, świeża instalacja na Debianie: Zaznaczyłem kliknięciem jeden z moich skryptów. Ten co automatycznie kasuje wszystko za pomocą dd z pendrive. Okienko konsoli wskakuje, ale na sam spód. Po 15 minutach nie mogę odmontować pendrive. Co go używa? PID? ps … Znaczy jakie dd?
        O KU….A!
        Wróciłem do „niebezpiecznej” trójki w wersji TDE – tam choćby nie wiem ile klikać, to się skryptu shellowego nie uruchomi, bo bug (zapomniałem sześciocyfrowego numerka). Tam trzeba wszystko z konsoli.

        Odpowiedz
    • 2017.08.25 07:57 Duży Pies

      Zasadniczy błąd to nieużywanie wirtualizacji na ważnych hostach w sieciach/systemach.
      Przy dzisiejszym mocnym i względnie tanim sprzęcie oraz przy dzisiejszych zagrożeniach płynących z Internetu, nie wyobrażam sobie odpalać poczty na niezwirtualizowanym systemie operacyjnym.
      Jeśli jesteś adminem/bezpiecznikiem i sprawdzasz pocztę z załącznikami na środowisku produkcyjnym, to jesteś zwykłym głupkiem i zamiast pracować w IT powinieneś paść krowy.

      Odpowiedz
    • 2017.08.26 22:26 shock

      Sami chcieliście takich udogodnień o wielcy użytkownicy windowsa….

      Odpowiedz
    • 2017.08.27 04:46 suseł

      zasadniczo to na roocie się nie klika tylko pracuje w cli aha to był windows ;)

      Odpowiedz
  • 2017.08.25 01:20 NitroFuN

    Mi się raz zdażyło uruchomić trojana przez walniętą myszkę ;p

    Odpowiedz
  • 2017.08.25 01:58 Z

    Mawiają, że saper myli się dwa razy — pierwszy i ostatni. Znajomy dowódca patrolu saperskiego potwierdza ;)

    Odpowiedz
    • 2017.08.25 08:15 Linus

      Pierwszy raz, gdy zostaje saperem i drugi, gdy być nim przedwcześnie przestaje.

      Odpowiedz
    • 2017.08.25 08:42 ff

      Żeby Cię nie kusiło spojrzeć w laser. Można to zrobić raz jednym okiem i raz drugim.

      Odpowiedz
      • 2017.08.25 12:49 Duży Pies

        Chyba w automatyce przemysłowej są używane lasery na światło niewidzialne dla oka ludzkiego. Popatrzysz w otwór wyjściowy lasera i w ciągu paru sekund stracisz wzrok!

        Odpowiedz
        • 2017.09.01 00:32 Piekny

          Taa… Laser używany jest w technice jednomodowej, na długościach 1310 i 1500, w technice MM używane są diody 850, je widać (czerwone światło).

          Odpowiedz
          • 2017.10.02 09:48 MMM

            Gratuluje skoro widzisz falę o długości 850. Ja niestety nie mam wzroku supermena i nie widzę gołym okiem MM. Natomiast faktycznie MM widać przez kamerę.

      • 2017.08.28 23:59 Mick

        A czy nie chodziło o Taser czyli taki palarizator ?

        Odpowiedz
      • 2017.09.04 08:25 romek555

        Z tym „zaglądaniem” do lasera, to pamiętam jeszcze ze studiów, że jeżeli spojrzysz raz jednym okiem, potem drugim, a potem już nic nie widzisz, to znaczy, że laser miał co najmniej pół wata mocy ;)

        Odpowiedz
    • 2017.08.25 23:58 John Sharkrat

      Saper myli się DWA razy. Pierwszy raz kiedy wybiera sobie zawód.

      Odpowiedz
    • 2017.08.26 08:50 Darek

      Na jakimś „spotkaniu z ciekawym człowiekiem” saper powiedział, że myli się trzy razy: pierwszy raz, gdy zostaje saperem, drugi raz, gdy się żeni, a dopiero ten trzeci to BUM!

      Odpowiedz
      • 2017.08.28 18:31 .hash

        Te Bum to jak żona urodzi…

        Odpowiedz
      • 2017.08.28 22:17 wk

        pomyłka przy ożenku nie jest zarezerwowana tylko dla saperów ;)

        Odpowiedz
  • 2017.08.25 09:30 gron

    W pliku .class/.jar nie byłoby wiele widać w Notatniku, a .java są niezbyt wykonywalne. Obstawiam, że chciał otworzyć ten .jar jako archiwum i zamiast „Otwórz wewnątrz” poszło „Otwórz na zewnątrz”.

    Odpowiedz
    • 2017.08.26 23:06 e

      Nie jedno da się wyczytać notatnikiem.

      Odpowiedz
      • 2017.08.27 23:05 SasQ

        Notatnikiem można się nawet połączyć z Internetem. Serio! :)

        Odpowiedz
      • 2017.08.30 03:59 bob

        Swego czasu notatnikiem przejrzałem i naprawiałem sterownik płyty głównej. Problem miałem taki, że obecnie wgrany był jakoś scorruptowany, ale nie dawał się nadpisać, bo „był nowszy od najnowszego wgrywanego”. Krzaki krzakami, ale kod wersji dało się wyszukać, odczytać i zmienić, po czym nadpis zaskoczył i hula do dziś.

        Odpowiedz
  • 2017.08.25 09:33 Karlos

    Po przeszkoleniu mojego kolegi z bezpieczeństwa i tłumaczeniu jak i co się dzieje w środowisku, kilka dni później dzwoni użytkownik, odbiera kolega (słyszę rozmowę)
    user – takie coś mi przyszło, co to?
    profesjonalen wsparcie – no nie wiem, może otwórz
    (?!)

    Odpowiedz
  • 2017.08.25 14:20 Porawa

    U mnie w szkole sor na lekcji chciał zaśmieszkować jak sprawdzał pocztę na rzutniku i się śmiał z głupoty jakiejś reklamy. Dla beki pobrał i włączył plik. Oczywiście wszystkie pliki na domenie i na wszystkich komputerach zaszyfrowane. Powiem tylko, że ten sor to mój nauczyciel od Administrowania Systemami Operacyjnymi (tworzenie domen i usług)

    Odpowiedz
    • 2017.08.25 19:52 SebaKomp

      Radzę zmienić nauczyciela :P

      Odpowiedz
      • 2017.08.28 18:48 IvanBarazniew

        Dlaczego zmienić, znakomicie pokazał co się może stać – myślę, że taką lekcę prędzej ludzie zapamiętają niż uporczywe powtarzanie nie otwieraj załączników, nie otwieraj załączników, nie otwiera…

        Dodatkowo po takim numerze mógłby zrobić warsztaty z disaster recovery :)

        Odpowiedz
        • 2017.09.04 23:25 suseł

          nikt przy normalnych zmysłach nie robi krashtestów s człowiekiem w środku albo swoim samochodem samemu go prowadząc, no chyba, że teściowa obok bez pasów siedzi :)

          Odpowiedz
  • 2017.08.25 18:49 Andrzej

    Dwa środowiska, dev i prod, na dwóch fizycznych serwerach. Dla ułatwienia życia programistom/testerom, filesystemy podlinkowane „na krzyż” do /tmp. Po kilku tygodniach w nocy brakło prądu, UPS dał sygnał i wszystko się ładnie zamknęło. Po powrocie napięcia serwery się uruchomiły, filesystemy podlinkowały, a potem czyszcząc /tmp, posuwały się nawzajem.

    Odpowiedz
    • 2017.08.25 22:49 wk

      ładne i pouczające

      Odpowiedz
    • 2017.08.26 06:02 Grzes

      O to, to fajne… ☺️

      Odpowiedz
    • 2017.08.26 21:35 alx

      :-D
      +1

      Odpowiedz
    • 2017.08.30 04:05 bob

      Widziałem kiedyś filmik w internecie, o posuwaniu się nawzajem czyszcząc coś w międzyczasie. Niestety filesystemy w nim nie występowały.

      Odpowiedz
    • 2017.09.02 08:48 pewny

      Niestety, nie za bardzo zrozumiałem, a zaciekawiła mnie ta sytuacja. Jak to się stało, że filesystemy sie wzajemnie pousuwały?

      Odpowiedz
      • 2017.09.05 18:54 asd

        /tmp czyści się po restarcie

        Odpowiedz
  • 2017.08.26 07:56 kryptoesbek

    Facet od bezpieczeństwa regularnie sprawdzał pracownikom podejrzane pendrive’y podłączając je do swojego komputera z Windowsem. Po kilku miesiącach wreszcie przeskanował sobie system antywirusem i znalazł kilkanaście trojanów. Nie przeszkodziło w dalszym nazywaniu się „ekspertem bezpieczeństwa” ;)

    Odpowiedz
    • 2017.08.27 13:00 slimak

      oj tam, ja sam w trakcie przygody na uczelni czyściłem sobie i znajomym peny z wirusów (na linuxie oczywiście) i zachowywałem je sobibe na pamiątke w jednym z katalgów na dysku.. jakiś czas później zrobiłem backup dysku.. a że niestety dysk zewnetrzny z backupem się lekko uszkodził i nie działał na łubuntu to postanowiłem odzyskać dane za pomocą laptopa członka rodziny który miał windę..

      Odpowiedz
      • 2017.08.27 16:12 ja

        Ale w Windowsie autoruna już wyłączyć nie potrafisz? Aha… Nie spotkałem się nigdy z jakimkolwiek przypadkiem malware, który zacząłby „wykonywać się sam” po podłączeniu dysku wymiennego, jeśli autorun jest nieaktywny. Jedyną sytuacją, jaka przychodzi mi na myśl jest możliwość przedstawienia się rzekomej pamięci flash jako zupełnie inne urządzenie niż dysk wymienny (np klawiatura, albo cokolwiek innego)

        Odpowiedz
        • 2017.08.30 20:29 Robert

          Mało tego, można autoruny „popsuć” Pandą i nawet warto to robić z każdym nawet nieswoim pendrajwem. Może to komuś uratować tyłek. A narzędzie stare jak świat.

          Odpowiedz
  • 2017.08.26 09:03 Gosc

    Zawsze może się zdarzyć zaćmienie umysłu. Ja jestem na tym punkcie paranoikiem a i tak zdarzyło mi się pare lat temu ściągać soft (niby open source) z ruskiej strony. Zgadnijcie z jakim skutkiem.

    Odpowiedz
  • 2017.08.27 17:42 Golang

    Możecie polecić jakiś nowy język programowania do nauki pod systemem Linux? Z racji tego że C/C++ nie należy już do nowych, a Java/C# jest nielubiana przez tą społeczność(Nawet sam Linus powiedział w wywiadzie że Java to paskudny język) to co byście polecili? Miałem tylko kiedyś jakiś tam wstęp do PHP i Pythona.
    Zastanawiam się nad Kotlin i Swift, są nowe mają wsparcie od Google i Apple.

    Odpowiedz
    • 2017.08.27 23:51 Dijx

      Diamenty też nie należą do nowych…
      Stawiałbym na C

      Odpowiedz
      • 2017.08.29 01:08 czytanieZe

        Chcę coś nowszego, także wybacz.

        Odpowiedz
        • 2017.08.29 09:24 rr

          https://www.totaljobs.com/jobs/c%2B%2B-developer/in-berlin

          C++ Developer – Mathematics and Algorithms Featured
          Berlin
          £75000.00 – £120000.00 per annum

          Ostatnio widzialem ofete za 150 000 Euro

          Jakbym nadal programował to bym sie powaznie zastanowił :)

          Odpowiedz
        • 2017.08.29 09:48 kez87

          To ucz się fortrana albo pascala.W porównaniu z C to są prawdziwe nowości…

          Odpowiedz
    • 2017.09.01 19:54 wk

      Nie wiem czy nowość powinna być tu kryterium… Nowości mają to do siebie że potrafią przeminąć bez śladu zanim na dobre się rozwiną… Nawet mimo wsparcia gigantów ;)

      Lepiej się zastanowić co chcesz programować, na czym to ma działać i wybrać pod tym kątem… Albo porządnie (lepiej niż wstęp do…) się nauczyć któregoś z klasyków, wtedy nauka kolejnych języków będzie łatwiejsza.

      Odpowiedz
  • 2017.08.28 08:16 bystryy

    Wprawdzie byłem wtedy zwykłym uzytkownikiem, za to pomysłowym ;)… Gdzieś koło 1997 r. podczas grania w grę wyskoczył mi komunikat „Kernel32.dll spowodował błąd w module…”. Wkurzony pomyślałem, nie będzie mi jakiś kernel wywalał mojej gry, plik ten odszukałem i skasowałem. Windows 95 już nie wstał. Usterkę musiałem naprawić samodzielnie i tak zainteresowałem się, jak działają komputery :)

    Odpowiedz
    • 2017.08.28 12:58 Michał

      Brzmi znajomo :)

      Odpowiedz
    • 2017.08.28 13:47 Łukasz

      To ja miałem trochę inaczej: pierwszy komputer, jeszcze z WIN95 i kuponem na WIN98 (optimus). I 2 godziny siedział człowiek ze sklepu podłączał urządzenia (skanera nie potrafił uruchomić) i tłumaczył co i jak. Jak tylko wyszedł to siadłem i zainstalowałem grę z dołączonych płyt, ale zamiast do normalnego folderu to na C:\. Jak zobaczyłem jaki bałagan narobiła to zamiast odinstalować to usuwałem pliki ręcznie, czyli wszystkie co były na C i nie były w folderach usunąłem. Oczywiście komputer po restarcie nie wstał. Ile strachu wtedy miałem to tylko ja wiem.

      Odpowiedz
      • 2017.08.29 12:15 dzidek23

        To musialo byc dosc popularne w tamtych czasach. Podczas wizyty u kolezanki przy okazji jakis innych komputerowych rozterek, zajrzalem na C: i palnalem ze ma straszny balagan. Nie wytlumaczylem o co mi chodzi a powodem balaganu byla wlasnie gra zainstalowana bezposrednio na dysku bez zadnych podfolderow.

        Dziewczyna sie przejela i posprzatala wszystkie jasno-niebieskie ikonki w ksztalcie okienek i pliki ze znaczkiem Windows (jeszcze wtedy jakby flaga). Nastepnego dnia musialem odzyskac dane z dzialalnosci jej rodzicow i postawic Win98. Nie wiem jakim cudem ale obeszlo sie bez reinstalki systemu do czasu archiwizacji waznych danych. Dopiero kilka lat pozniej wpadlem na cos co sie nazywa Knoppix… szkoda bo zaoszczedzilbym dobre kilka dni zabawy z windowsem.

        Odpowiedz
  • 2017.08.28 11:24 Jerry

    Użyszkodnik woła, że czeka na jakąś ofertę rzeczoznawcy, przyszła, ale nie może otworzyć. No to idę. Patrzę na maila – faktycznie mail wyglada sensownie. Pytam to od tego co podpisał, tak no. To klikam załacznik word się otwiera i pyszczy że nie ma pliku… Hmmmmm zaglądam w logi antywisrusa pusto …. No to zapisujemy załącznik idziemy do katalogu pusto… Antywirus ciągle ni huhu … Pytam jeszcze raz – a to na pewno ten co podpisał miał przysłać? Poczekaj….. a wiesz nie …. No żesz q…. antywirus chyba jednak tyłek uratował, tylko czemu nic nie mówił ….

    Odpowiedz
  • 2017.08.28 13:30 Musse

    „…Administrator głośno i negatywnie ocenił poziom inteligencji użytkownika…”.
    No i złośliwa pycha ukarana. Wszak biedny użytkownik w ferworze ciężkiej pracy również mógł tak samo nie trafić dobrze myszką.

    Odpowiedz
  • 2017.08.29 15:25 tirtob

    PoC sieciowego systemu antymalware’owego u klienta. Tydzień działał na domyślnych politykach. Po tygodniu przeglądamy alerty. Nazbierało się tego sposo, ale szczególnie rzuca się w oczy jeden host, który najwyraźniej jest tak zainfekowany, że już bardziej się nie da. Wydruki raportów z alertami pochłonęłyby na oko ryzę papieru. Zaglądamy do tego, co te alerty wygenerowało (maile, odwiedzane strony itp). Najwyraźniej użytkownik otwiera każdą „fakturę” i klika we wszystkie linki, których kliknięcie ma pomóc dzieciom chorym na raka, uratować jakieś schroniska dla zwierząt itp itd. Pada pod moim adresem pytanie, czy uda się z systemu wyciągnąć informację kto jest tym użytkownikiem bez sprawdzania w AD czy gdziekolwiek indziej. Oczywiście, że da się. Dwa kliknięcia i podaję im nazwę użytkownika. Chwila ciszy i słyszę:
    – To nasz ABI.

    Odpowiedz
    • 2017.08.31 15:10 Ja

      Udało mi się kiedyś (ok. 20 lat temu) zawirusować DOS-owym wirusem serwer SCO UNIX.
      Restartowałem serwer, w napędzie została dyskietka (ktoś wczytywał dane, interfejs plikowy).
      Wirus był co prawda przeznaczony do całkiem innych celów, ale nadpisał coś na dysku; nawet nie wiem, co.
      Wezwany serwis był tuż przed decyzją wymiany i reinstalacji; jednak w ostatniej chwili jakaś burza mózgów pozwoliła im wpaść na trop rozwiązania.

      Odpowiedz
  • 2017.09.06 21:31 Krzysiu

    Naprawiam komputery prywatnym klientom w ich domach. Często to samo, czyli ręczne usuwanie wirusów – zazwyczaj kilka minut usuwania i jest czysto. Tym razem męczyłem się ponad godzinę. Wirusy były już nieaktywne (nieuruchomione), kończyłem kasować pliki i został ostatni. Chciałem sprawdzić bodajże datę utworzenia pliku, a że był to laptop z touchpadem, to kliknęło się zamiast przesunąć kursor i bum. Wszystko od nowa. Od teraz takie rzeczy na laptopie robię przez klawiaturę.

    Odpowiedz
  • 2017.09.12 16:55 Pio

    Great! Cóż za „wspaniała” historia, szkoda, że raczej nie wydarzyła się naprawdę. Pomijam wariant tego typu działania na środowisku produkcyjnym. Już widzę admina, który używa notatnika do analizy kodu i jeszcze zwołuje kolegów z działu. Aż mi się przypomniał obrazek z pudełka od nintendo, gdzie cała rodzina siedzi przy stole przed ekranem. Byli czasy, aż się łezka w oku kręci ;)

    Odpowiedz

Zostaw odpowiedź do Andrzej

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak administrator może najlepiej skompromitować się przy kolegach

Komentarze