:) Niektórych zasobów nie da się zabezpieczyć
Adam Haertle dodał 30 października 2014 o 12:45 w kategorii FunSec
z tagami: FunSec
Czasem jest tak, że gdy zabezpieczymy już wszystko, zapominamy, że może przyjść ktoś, kto jednym sprytnym manewrem ominie nasze szyny, miny, karabiny.
W pewnym banku (nazwy nie będę wymieniał) pewien pracownik (znajomy) miał problem i zgłosił się z nim do mnie: zainstalowali mu nową wersję MS Office (w tym Outlook), skasowali poprzednią i zostawili plik lokalny z pocztą, która była prawie niezbędna do pracy znajmego. Niby wszystko ok, ale kilka lat wcześniej jak instalowali poprzednią wersję MS Office ustawili hasło do tego z pliku pocztą, które zapisali na kartce, którą wzięli ze sobą i która zaginęła… Znajomy dzwonił do działu technicznego, pisał maile, itd. ale nikt nie umiał mu pomóc, więc postanowił poszukać pomocy u mnie. Gdy się ze mną skontaktował, to powiedziałem, że będę potrzebował ten plik i że postaram się hasło złamać. Kilka dni później przyszedł do mnie z CAŁYM KOMPUTEREM. Gdy zapytałem się dlaczego nie skopiował pliku to powiedział, że zainstalowane system kontroli, ograniczone uprawnienia itd. mu na to nie pozwoliły. Włączyliśmy u mnie maszynę, zalogował się (jako że kiedyś były problemy z siecią w tym banku, wszyscy pracownicy mieli dostęp do systemu mimo braku sieci. W takiej sytuacji nie działały też żadne zabezpieczenia), [co nie było nawet konieczne bo dysk nie był szyfrowany i można było uzyskać dostęp do danych], zainstalowaliśmy na szybko jakiś darmowy program w stylu 'MS Outlook password recover’y i w ciągu kilku minut poznaliśmy hasło, które pozwoliło odzyskać dostęp do pliku. Mając już sprzęt w rękach sprawdziłem jak zabezpieczyli system i nie grzebiąc zbyt głęboko, znalazłem następujące luki:
-Możliwość logowania do systemu, nawet wtedy kiedy nie można się połączyć z domeną
-Wyłączone programy (nazw nie pamiętam, ale część z nich była pisana na potrzeby tego banku, tak samo jak oprogramowanie z którego korzystali pracownicy) monitorujące aktywność użytkownika i kontrolujące uprawnienia kiedy komputer nie był podpięty do sieci.
-Brak szyfrowania dysku twardego
-Brak kontroli otwarcia obudowy
-Brak kontroli, gdzie i kiedy sprzęt był uruchamiany, nikt nigdy nie przyszedł tego pracownika spytać dlaczego zaobserwowaną taką a nie inną aktywność i czas uruchomienia (poza godzinami pracy)
-Najważniejsze: pracownik wyszedł z całym komputerem głównymi drzwiami, razem z innymi pracownikami, którzy o 16:00 kończyli pracę.
Podsumowując: można zabezpieczyć cały sprzęt i całą komunikację sieciową. Zabronić wysyłać maile, filtrować je jakie dane zawierają, wymagać szyfrowania, ale trzeba by tak samo sieć i dane kontrolować pracowników…
Bo bezpieczeństwo to styl bycia… Szkolenia to za mało. No, chyba, że kończyły by się przykładowo opróżnieniem kont przy kontroli czy użyszkodnicy zrozumieli :D