11.09.2015 | 15:44

Adam Haertle

Wyznania administratora czyli bezpieczeństwo kancelarii prawnych od środka

Na fali ostatnich informacji o skutecznych atakach na polskie kancelarie prawnicze dostajemy sporo komentarzy i opowieści o tym, jak wygląda poziom zabezpieczeń w niektórych firmach. Oto opowieść administratora w jednej z kancelarii.

Ostatnio modne się stały ataki gangu z malucha. Kiedyś baliśmy się czarnej wołgi, dzisiaj poczciwy maluszek stał się postrachem szeroko rozumianych „administratorów”.

Współpracuję na stałe z jedną z większych warszawskich kancelarii, z wiadomych powodów nie podam jednak nazwy. Miałem do czynienia przez kilka dobrych lat pracy z wieloma prawnikami i pomagałem niejednej kancelarii. Moje doświadczenie nauczyło mnie, że niedawny wyciek nie jest niczym spektakularnym. To co dla nas, osób zaznajomionych z bezpieczeństwem lub posiadających chociaż podstawową wiedzę, jest oczywiste, dla prawnika już nie jest. Są to ludzie żyjący i pracujący w zupełnie innej rzeczywistości. Ich czas jest dla nich najważniejszy i optymalizacja tego czasu to podstawa działań „pana Informatyka”.

Kancelaria jest zabezpieczona na najwyższym poziomie i zainwestowaliśmy w to prawie pół miliona złotych. Bez wchodzenia w szczegóły atak z zewnątrz jest praktycznie niemożliwy, a na pewno bardzo trudny. Nie bez powodu napisałem z zewnątrz, bo tak naprawdę nawet osoba bez wiedzy informatycznej jest w stanie wykraść wszystkie dane.

Systemy w założeniu umożliwiają pracę bez zapisywania danych na komputerze, prawnik ma dostęp do danych jedynie ze swojego komputera, jedynie na LANie kancelarii (lub po połączeniu VPNem zdalnie) i nie może pobrać żadnych danych na swój dysk. To jednak teoria, bo:

  • hasła BIOSu są ustawione na „12345678”
  • Windows i oprogramowanie podobnie
  • LAN? nowe zbajerowany komputery nie mają wejścia, więc i tak WiFi zostaje
  • VPN? opcja zapamiętaj hasło zaznaczona ;)
  • „a to że na dysk pobiorę, to musi być, bo czasami jest mi łatwiej, ale potem zawsze usuwam”
  • itd, itd…

Pojawia się wpis na Waszej stronie o wycieku. Artykuł szybko obiega pracowników, szef zarządza zebranie kryzysowe, wszystkie oczy na… mnie: „To co Pan może poprawić?”

Zaczynam gadkę, od sprawdzania adresów email, czy są poprawne, potem o ograniczonym zaufaniu i raportowaniu podejrzanych maili, o nieotwieraniu podejrzanych załączników, o wzmocnieniu haseł, o ostrożności na innych sieciach WiFi itd.

Skutek?

  • „ja dostaje tyle maili dziennie, że nie mam czasu sprawdzić wszystkich nadawców” – tyle czyli koło 20-30 :| Ja mam tyle ticketów w dwie godziny od nich, a na większość odpowiedzią jest słynne przywitanie z IT Crowd
  • „nie mam czasu wszystkich maili przesyłać”
  • „ale jak to? a jak to będzie nowy klient?” – to będzie nowy artykuł na z3s ;)
  • „ale ja mam wszędzie jedno hasło, żeby zapamiętać!” – a ja używam jednej, tej samej prezerwatywy od roku…
  • „ale jak ja mam pracować? za każdym razem ten VPN? ale on się rozłącza czasami!”

Wnioski? Panie Informatyku, pytaliśmy, co Pan może poprawić, a nie co my mamy robić, bo my i tak czasu nie mamy! W takich momentach, to już chyba tylko odłączyć internet mogę ;)

Jak więc włamać się do Kancelarii?

  1. Wziąć studenta, który jako praktykant w tydzień/miesiąc wyciągnie na pendrivie wszystkie dane. Praktykant w kancy jeśli zarabia (a to rzadkie!), to i tak zarabia śrubki, coś w okolicach 400-800 zł za etat, więc każdy pieniądz się przyda. Powiecie, ale jak to USB jest niezablokowane? Było, ale tutaj kolejna cecha prawnika, „można ten mały wyłom zostawić, bo ja czasami potrzebuje pendrive’a”.
  2. Podrzucić zainfekowanego pendrive’a, a najlepiej to rozdać za darmoszkę na konferencji prawników (zobaczycie jak się rzucą!). potem już z górki.
  3. MitM… nawet nie wiecie ile naprawdę poufnych danych jest przesyłanych na sieciach wystawianych jako DMZ dla klientów, lub na prywatne skrzynki ;) polecam kiedyś stanąć pod wieżowcem na mordorze i nasłuchiwać <3
  4. Albo lepiej, pójść jako klient na spotkanie, poprosić o hasło do WiFi, a tam każdy komputer udostępnia pełen dysk! Mecenas zarzekał się przed spotkaniem, że dbają o bezpieczeństwo do „tego stopnia”, że wszystkie pliki trzymają na swoich dyskach, żeby się im nikt nie włamał na serwer. AUTENTYK! A z kompem podróżują pociągami, taksówkami, komunikacją zbiorową. No i oczywiście fejsbuczek też wleci, a i czasami roksą i pokrewnymi nie pogardzi Pan Mecenas!
  5. Wziąć pozostawiony bez opieki komputer (standard!), wpisać „12345678” ;)

To tylko te mniej finezyjne, które jest w stanie przeprowadzić licealista. Na bardziej wyrafinowane bym się nie silił, bo to zwyczajna strata czasu! ;) Gratuluję ekipie z fiata polotu i finezji! Jestem to w stanie docenić i oddać szacunek. Uważam jednak, że dało się to zrobić dużo szybciej, łatwiej i taniej, bo ofiara jest bardzo dobrze wybrana! No ale wtedy nie byłoby fejmu i całej narracji, dzięki którym w tych atakach jest coś tak romantycznego i fascynującego, coś co zmienia kradzież w dzieło sztuki.

Chciałbym na koniec, aby ten tekst obiegł środowisko prawnicze, chciałbym żeby w końcu zrozumieli oni, że najsłabszym ogniwem wszystkich systemów jest prawie zawsze człowiek. Nikt za nich nie zadba o ich bezpieczeństwo, nikt nie zagwarantuje systemu, który będzie za nich myślał, a niestety wszelkie próby, jakiegokolwiek zwiększenia bezpieczeństwa (np. blokada USB), kończy się sprzeciwem, bo „ja nie mogę tak pracować”. Jesteście świetnymi specjalistami w swojej dziedzinie i ufam Wam w tym co robicie. Proszę Was jednak zaufajcie czasem również i mnie, bo to nie na Was spadnie odpowiedzialność za kolejny wyciek!

Poplątania kabli!
Admin ;)

PS. A hitem jednej z konferencji był mecenas, który stwierdził, że on nie jest podatny na żadne ataki, bo ma Macbooka. Przychodzi czas jego prelekcji, oczywiście z delikatnym opóźnieniem, bo przelotki do rzutnika szukał, odpala się rzutnik, a na Macu Paralles z windą i folderki z nazwami klientów i ich dokumentami na pulpicie! GRATS!

PS2. Zakazane słowo to „chmura”. „W chmurze żadnych danych trzymać nie będę, bo tam nagie fotki kradną i nie wiem kto moje dane ogląda”, ale już przez iClouda to z przyjemnością sobie połączę prywatny telefon ze służbowym komputerem.

Powrót

Komentarze

  • 2015.09.11 16:04 s

    Jaki prawdziwy jest ten tekst.
    Moim zdaniem w szkołach średnich i na każdych studiach powinien być obowiązkowo przedmiot dotyczący zagadnień bezpieczeństwa informatycznego. Ale nie nudna teoria, tylko ciekawe przykłady i dobre praktyki. Może to by coś zmieniło.

    A jak ktoś chce pamiętać jedno hasło do każdego serwisu to niech używa managera haseł – ale tylko takiego, który bazę trzyma lokalnie.

    Odpowiedz
    • 2015.09.11 16:41 baltin

      Możesz zarekomendować konkretny program?

      Odpowiedz
      • 2015.09.11 17:26 esio

        Np. Keepass. :)

        Odpowiedz
      • 2015.09.11 17:40 InteRadek

        Chociażby open source’owy KeePass.

        Odpowiedz
    • 2015.09.11 16:57 NieJan

      I tak to nic nie da… Zauważ ile ludzi wyciąga ze zwykłych lekcji, a co dopiero „nudnego bezpieczeństwa”… Chyba, że byłby pokazywane takie rzeczy jak zdobyć hasło do FB czyjegoś.

      Odpowiedz
      • 2015.09.11 21:12 s

        @NieJan – Wiem i dlatego napisałem, że nie nudna teoria tylko ciekawe zajęcia. Inaczej efekt będzie odwrotny od zamierzonego. Bezpieczeństwo to taki temat przy którym praktycznie nie ma limitu jeśli chodzi o kreatywność w obrazowaniu przykładów, a jak jeszcze zrobi się to z polotem i poczuciem humoru to nie dość, że ludzie będą chętnie przychodzić na zajęcia to jeszcze dużo z nich wyniosą.

        I nie chodzi o tłumaczenie technicznych szczegółów tylko o przybliżenie „zwykłym” ludziom tych tematów – m.in. jakie są problemy i zagrożenia związane z komputerami i sieciami, jakie są podstawowe błędy użytkowników, jak ważna jest prywatność. Uświadomienie, że problem dotyczy każdego, nawet „szaraka” który twierdzi, że przecież nie ma nic ważnego na swoim koncie. Dalej – jak ważna jest zasada ograniczonego zaufania, dlaczego każdy powinien robić backupy, jakie zagrożenia wiążą się z korzystaniem z „chmur”, co to jest polityka bezpieczeństwa i dlaczego prezes nie może być traktowany ulgowo, dlaczego administratora należy traktować jak partnera a nie zło konieczne oraz oczywiście tematy psychologii i socjotechniki. Dużo by jeszcze można wymienić.

        Można też wplatać jakieś praktyczne pokazy. Ilu studentów podłączyłoby się na wykładzie do darmowego (ale podstawionego :)) hotspota?

        Przy czym nie chodzi mi o to, by każdy został specjalistą od bezpieczeństwa tylko o to, by zaczął je w ogóle mieć na uwadze. By wyrobił sobie dobre nawyki, miał świadomość potencjalnych zagrożeń i by w potencjalnie niebezpiecznych sytuacjach zapalała się lampka ostrzegawcza.

        Odpowiedz
    • 2015.09.11 20:38 Paweł Nyczaj

      Po co osobny przedmiot w szkołach, skoro itsec powinno być po prostu integralnym elementem informatyki w szkole, bo w zwykłej szkole o dodatkowym przedmiocie obejmującym tylko bezpieczeństwo IT raczej bym nie marzył poza klasami profilowanymi w tym kierunku.

      Odpowiedz
    • 2015.09.12 11:25 Wtrmeln

      Można też korzystać z LastPassa, wystarczy włączyć dwustopniową autoryzację. Ponoć mają na tyle dobrze zrobioną segmentację sieci, że nawet pomimo niedawnych ataków, przestępcom w zasadzie nic nie udało się wykraść. To niezle rozwiązanie przy wielu urządzeniach, a i tworzenie losowych haseł ma wtedy sens.

      Odpowiedz
      • 2015.09.12 15:25 s

        Cóż, bezpieczeństwo nigdy nie idzie w parze i zawsze trzeba wybrać jakiś kompromis. Jak ktoś lubi adrenalinę to niech korzysta z managera haseł który trzyma dane w chmurze, wg mnie lepiej jednak trzymać te dane lokalnie, a w przypadku wielu urządzeń skonfigurować sobie synchronizację.

        Odpowiedz
        • 2015.09.12 15:26 s

          Wcięło mi w pierwszym zdaniu parę słów – powinno być: bezpieczeństwo nigdy nie idzie w parze z wygodą.

          Odpowiedz
  • 2015.09.11 16:36 :)

    zawodów zaufania publicznego jest więcej, więc wszystko co ciekawe jest jeszcze przed nami :) Pozdrowienia dla Adnimów oraz pozostałych poszukiwaczy informacji … Ludzie zyjący w blasku władzy mają inne poczucie rzeczywistości …

    Odpowiedz
  • 2015.09.11 16:41 Big Dog

    Na pewno pomógłby specjalistyczny soft (w architekturze klient-serwer) śledzący proces kopiowania/przenoszenia plików:
    – lokalnie na hoście,
    – pomiędzy hostem a urządzeniami sieciowymi,
    – pomiędzy hostem a chmurą,
    – pomiędzy hostami,
    – pomiędzy hostem a urządzeniami peryferyjnymi (peny,
    telefony, smartfony, mp3, mp4, aparaty cyfrowe, itp.).
    .
    Na każdym hoście musiałby działać agent. Oprócz nasłuchiwania, musiałby mieć możliwość blokowania kopiowania + alert na serwer, w zależności od zdefiniowanej reguły.
    .
    Papugi są wygodne, nieświadome zagrożeń i trochę głupie.
    Nie zrezygnują z wygody na rzecz bezpieczeństwa.
    Jeśli chcesz żeby było bezpiecznie, musisz myśleć z wyprzedzeniem. Tylko tak!

    Odpowiedz
    • 2015.09.11 16:54 m

      Dlp

      Odpowiedz
      • 2015.09.11 20:11 Big Dog

        Oczywiście, systemy Data Leak Protection: https://pl.wikipedia.org/wiki/Ochrona_przed_wyciekami_informacji
        .
        Skoro papugi są takie kasiaste, czemu admin nie wdrożył jakiegoś komercyjnego systemu DLP?
        .
        Admin powinien poćwiczyć asertywność i przemyśleć sobie czy chce być szanowanym specjalistą, czy żałosnym wyrobnikiem.
        .
        Należy zakomunikować papugom że albo wdrażamy politykę bezpieczeństwa i podeprzeć to odpowiednim przepisem (papugi będą miały orgazm jak zobaczą paragraf). Albo twardo powiedzieć „ponieważ nie stosujecie się do moich zaleceń, nie jestem w stanie profesjonalnie zabezpieczyć danych i rezygnuję z dalszej współpracy” i koniec dyskusji! To takie trudne?
        A może admin nie jest do końca szczery? Bo kasa od papug nie śmierdzi…
        .
        Adminie, musisz wybrać, albo chałturzysz i znosisz idiotyzmy półinteligentów-prawników, albo pokazujesz że masz jaja i twardo wymagasz od papug żeby cię słuchały! Nie ma innej rady! Musisz się wziąć za siebie! Nie rób z siebie łajzy! Pokaż że jesteś prawdziwym facetem!
        .
        Jak już wyjdziesz na prostą, powinieneś nam tu na forum podziękować za tyle dobrych, życzliwych rad:) Masz je wszystkie za free, tylko zacznij je stosować!

        Odpowiedz
        • 2015.09.16 22:31 BloodMan

          Co Ty? I dokąd pójdzie? Przecież wszędzie jest tak samo. Oprócz kilku wyjątków potwierdzających regułę.

          Niektórych ludzi się po prostu nie przeskoczy. Jak dzisiaj im zablokujesz, przyjdą jutro żebyś odblokował. Bo tak. Bo oni są szefami. USB? Ma być USB bo pan jeden i druga pani przynoszą fotki albo chcą zgrać sobie na USB kupiony co dopiero e-bilet.pdf … albo córcia przyniosła CV do mamy – aby ta jej wydrukowała 2 razy. To realne przypadki i realne sytuacje i w tych momentach nie powiesz „NIE” szefowi lub wysoko siedzącemu.

          Natomiast są na to sposoby – wystarczy postawić odbezpieczony komputer do pierdół, internetu i drukowania tego co ktokolwiek przyniesie.

          Odpowiedz
  • 2015.09.11 16:48 ciastkowy

    No nie wierzę? naprawdę? admin takie cuda pisze? pracowałem w firmie prywatnej i rządowej, to są typowe teksty oraz zachowania które się powielają wszędzie, zachowań ludzi nie zmienisz – oni nie mają czasu! czas panie, czas! trzeba zegarmistrzów zatrudniać, a nie administratorów, bo każde narzucenie „czegokolwiek” to utrudnienie życia, szkoda, że nasz rząd tego nie rozumie i generuje kolejne nakazy i zakazy…

    Odpowiedz
  • 2015.09.11 17:11 Michał El

    Ja się dziwię dlaczego nikt nie uczy kreatywnego tworzenia haseł, przecież hasło to nie musi być fz3Wv78H#qK :)
    Osobiście polecam stary dobry leet speak, np:
    Moja Kancelaria – M0j4_K4nc3l4r14
    Hasło Do Wifi – #4$l0D0W1f1
    Bezpieczna Poczta – B3zp13czn4P0cz74
    itp.
    Szybko da się nauczyć, bardzo łatwo w ten sposób zapamiętywać wiele haseł i jednocześnie zwykle spełnia wymagania haseł co do dużych liter i znaków specjalnych. Dodatkowo prosta ochrona przed atakiem słownikowym.
    Godzinny kurs i nawet prawnik się nauczy :)

    Odpowiedz
    • 2015.09.11 17:52 kamil Odpowiedz
    • 2015.09.11 17:53 NieJan

      Można w chwile takie coś wygenerować do słownika. :>

      Odpowiedz
    • 2015.09.11 19:10 draft

      Pomnóż to przez 5 (laptop, bank, konto prywatne, pracowe, FB), a potem przez 12 (zmiana hasła raz w miesiącu).
      I kreuj dalej :)

      Odpowiedz
    • 2015.09.13 13:43 Marek

      @Michał El – Ty chyba jesteś członkiem fiat126p teamu i chcesz przekonać ludzi do używania słabych haseł. :) Leet speak nie podnosi w znaczący sposób poziomu bezpieczeństwa, jedynie pozwala spełnić wymogi co do „złożoności” hasła.

      Odpowiedz
  • 2015.09.11 17:12 Juzek

    Pół miliona na zabezpieczenie kancelarii? No gratuluję. Widzę, że ktoś ma tu prowizje od dostawców sprzętu i bladego pojęcia o security.

    Pamiętać hasło do VPN? Bzdura. Czyli jest tak łatwe i krótkie, że user powinien go pamiętać? A nie może być takie? LUyl9xQapKfVrkOjmNGJxjJy96RkQEdjhSlrv8NpmhKzI ?
    LAN bez 802.1x? WIFI bez WPA Enterprise? Dziękuję takiemu adminowi. Zmarnował pół bańki. Do wywalenia w trybie pilnym.

    Doskonale rozumiem dlaczego nie podaje nazwy kancelarii. Posyłam znajomym prawnikom, może trafi tam gdzie powinno.

    Odpowiedz
    • 2015.09.11 21:14 Paweł Nyczaj

      Nie jestem w stanie zweryfikować, czy kwota pół miliona została wydana na security, ale trzeba wziąć pod uwagę wymóg utworzenia kancelarii tajnej. Wchodzą więc w grę poważne zabezpieczenia fizyczne m.in. wzmocnione drzwi, monitoring, szkolenie personelu, który zapewne musi przejść odpowiednie certyfikacje itp. Oczywiście te najtajniejsze dokumenty nie powinny oglądać netu i nie powinny być jedynie w wersji cyfrowej a do pomieszczenia z nimi mało który pracownik kancelarii powinien mieć wstęp (praktykantom na pewno wstęp wzbroniony, bo oni musza zapracować na zaufanie i zapewne zdobyć wymagane certyfikaty dostępu do informacji niejawnych). Nawiasem mówiąc kiedyś czytałem o wymogach, jakie należy spełnić chcąc mieć dostęp do tajemnic NATO. Dokumenty, jakie należy przedstawić oznaczają niemal całkowitą penetrację kandydata i jego rodziny, no ale waga informacji wymaga szczególnego zweryfikowania uprawnionych do ich pozyskania i przetwarzania.

      Co do WiFi to sprawa nie jest tragiczna w przypadku kompów stacjonarnych (także AIO), natomiast w przypadku laptopów pozostają przejściówki USB-LAN, ewentualnie Thunderbolt-LAN (choć w przypadku Thunderbolt jest problem z malware atakującym sprzęt Apple właśnie poprzez Thunderbolt). W ostateczności może zostać mocno zaszyfrowany Wifi. Nie każdy wie, że istnieją farby blokujące sygnał Wifi, więc Wifi w firmie nie musi wydostać się na zewnątrz. Trzeba oczywiście zweryfikować ile taka farba kosztuje i jak jest skuteczna, ale słyszałem o różnych metodach zagłuszenia sygnału Wifi poza określony teren (są też zagłuszarki sprzętowe, specjalne bariery za które sygnał Wifi nie wydostanie się).

      Jeśli dane w firmie są superważne to w tej części firmy, gdzie one są trzeba zamontować sprzęt wykrywający obecność wszelkich urządzeń radiowych, nawet wyłączonych (można zaprogramować wykluczenie radiotelefonów personelu ochrony itp.). Atakujący (niejednokrotnie pracownik chcący się dodatkowo wzbogacić, sfrustrowany praktykami pracodawcy itp.) może przecież wnieść swój smartfon lub ruter mobilny i łączyć się przez nie z siecią z pominięciem restrykcyjnej polityki bezpieczeństwa, a wspomniane urządzenia mają też funkcjonalność pendriwa (ograniczeniem jest maksymalna pojemność obsługiwanej karty MicroSD). Personel musi wtedy zrozumieć, że do pewnych stref nie da się wnieść smartfona i jakiegokolwiek obcego sprzętu, ani niczego wynieść bez uzasadnienia konieczności wyniesienia i otrzymania na nie zgody. Wdrożenie takich rozwiązań może sporo kosztować i stąd kancelaria tajna z prawdziwego zdarzenia mogła kosztować kilkaset tys zł. Niech wypowie się w tej kwestii ktoś obeznany z tematem tego typu wdrożeń, bo sam jestem ciekaw.

      Odpowiedz
    • 2015.09.11 22:43 39024842390

      Bez względu na to jak dobrze jest napisany artykuł zawsze znajdzie się arogant, który potrafi się dowartościować tylko przez pojechanie autorowi jaki to kiepsko zna się na rzeczy.

      Byłbyś szczerze zadowolony gdyby przez Ciebie – niesłusznie – zwolnini człowieka? A wynagrodzenia w tego typu bucowatych firmach to osobna kwestia.

      Odpowiedz
  • 2015.09.11 17:14 marcinek

    Podrzucić zainfekowanego pendrive’a, cd który po odpaleniu wyświetla „Właśnie zostałeś zawirusowany, kasuje Twoje dane” – miny były bezcenne (u mnie).

    Odpowiedz
  • 2015.09.11 17:16 grekus

    W agencjach interaktywnych/reklamowych to samo, albo i nawet gorzej, bo budzet na security najczesciej wynosi 0zl :(

    Odpowiedz
  • 2015.09.11 17:51 Wojtek

    Szczerze mówiąc, tekst pisany przez sfrustrowanego „admina ad hoc”, który nie potrafi wypracować sobie autorytetu.
    To nieprawda, że prawnicy są jakoś szczególnie pozbawieni wyobraźni – tacy są _wszyscy_ pracownicy wysokiego szczebla w dosłownie każdej firmie. Jeśli „administrator” (pobłażliwy cudzysłów twórcy tekstu świetnie też pasuje do niego!) nie ma autorytetu – niech szuka innej pracy! Prawdopodobnie szerokie twarde kompetencje (wierzę) nie idą w parze z kompetencjami miękkimi. Z komputerem łatwiej, niż z człowiekiem?
    Jest dopiero w połowie drogi – wie, co zrobić, ale nie wie jak!
    Dobry administrator (bez cudzysłowu, który to jednoznacznie charakteryzuje twórcę tekstu) jest równie biegły w technikaliach, jak i w umiejętnościach współpracy z użytkownikiem!
    To dlatego ten „administrator” (i twórca tekstu) zaledwie „współpracuje” z kancelarią – skoro on swojej pracy nie traktuje poważnie, kancelaria słusznie traktuje go z należytym szacunkiem.
    Dodałbym, czy przypadkiem nie jest oszustwem taka współpraca? Oni płacą i wierzą, że „administrator” ich chroni – on bierze pieniądze i narzeka na zewnątrz – to też dowód na brak miękkich kompetencji.

    Odpowiedz
    • 2015.09.11 18:43 Pioter

      @Wojtek …345 % racji :-)

      Odpowiedz
    • 2015.09.11 22:36 3902482390

      Gdybyś miał minimum kompetencji miękkich to byś wiedział, że są ludzie tępi jak kamienie, co się przez nich nie przebijesz.

      Idź ze swoim autorytetem między jaskiniowców i praw im prelekecje. Zobaczymy czy zaczną obsługiwać komputer czy zaczniesz machać swoją maczugą razem z nimi.

      Odpowiedz
      • 2015.09.11 23:23 Wojtek

        Tych „tępych” (używając Twojego określenia) użytkowników jest statystycznie tyle samo, co tępych „adminów”. Akurat lata praktyki
        i całe pokłady wstydu za niektórych kolegów po fachu nie pozostawia żadnych wątpliwości. Nie mam żadnych – większym zagrożeniem dla bezpieczeństwa informatycznego jest „autystyczny” admin, niż nawet rzesza „głupich” użytkowników. Miękkie kompetencje umożliwiają właśnie kanalizowanie tej głupoty użytkowników. Ale sądząc po agresji wypowiedzi – kompetencji, o których mówię, dopiero się dopracujesz. Jeśli nie – nikt Twojej głupoty kanalizować nie będzie. Zostaniesz kolejnym „adminem” – szkodnikiem.

        Odpowiedz
  • 2015.09.11 18:43 klecho

    nom, z tym się akurat zgodzę, wszyscy żyjemy w innych rzeczywistościach. Jakie to trzeba skończyć studia w polszy żeby stwierdzić „Bez wchodzenia w szczegóły atak z zewnątrz jest praktycznie niemożliwy” ?
    Expert absolutny wystarczy go zatrudnić pozwolić żeby zainwestował a potem można się pozbyć bezpieki ;]

    Odpowiedz
  • 2015.09.11 20:35 Daxx

    Troce admiowałem w szpitalu, bardzo podobnie, chociaż tam udało mi sie przeforsować hasła z prostych, na domyśle. Ale ogólnie większość otworem stoi :)

    Odpowiedz
    • 2015.09.13 13:37 \nicki

      Nie ściemniaj. Co tu forcować?! Po piewsze na kontrolerze domeny ustawiasz, że hasło zawierać minimun 8 znaków i zawierać wielką, małą literę i cyfrę. Do tego włączasz liczbę zapamiętanych haseł na conajmniej 24 oraz że kolejna zmiana hasła może nastąpić po minimum jednym dniu a okresowa zmiana hasła co 30 dni. A wszystko to bo użytkownicy mają dostęp do danych wrażliwych. Za niespełnienie wymogów związanych z ochroną danych osobych jest odpowiedzialność karna, która przez twoje zaniedbania spadnie na ciebie. Bo wszystko co wyżej napisałem to są wymogi, jakie system powinien spełniać.

      Odpowiedz
      • 2015.09.15 12:05 krzysiek

        hehe, kolego – własnie spowodowałes że użytkownicy zapisują sobie to hasło na karteczce przybitej do monitora. Ja mam około 3000k userów i z doświadczenia wiem ze wymuszanie zmiany hasła co miesiąc kończy sie karteczkami. Są inne o wiele lepsze roziązania ale ostatnim z nich jest „polityka zmiany haseł”

        Odpowiedz
  • 2015.09.11 22:20 hoek

    Każdy informatyk w każdej firmie, która nie jest związana z IT może opowiedzieć dokładnie tą sama historię z podobnymi „smaczkami”.

    Odpowiedz
    • 2015.09.11 22:44 Adam

      Ale czemu wykluczasz firmy związane z IT? :)

      Odpowiedz
      • 2015.09.13 09:58 Wojtek

        Adam, zwróć uwagę:
        „może opowiedzieć”
        O bezpieczeństwie w firmach IT jest jak z mówieniem o masonerii – nie wiesz nic, a kiedy się dowiesz musisz milczeć :)

        Odpowiedz
      • 2015.09.15 12:40 hoek

        Adamie, oczywiście w IT też się to zdarza i niejeden artykuł na Z3S to potwierdza, jednak niewątpliwie świadomość pracowników o profilu informatycznym czy zbliżonym jest większa niż np. prawników, urzędników, ministrów, ślusarzy… itd.

        W IT jak już jest wtopa to huczą o tym wszystkie „Internety” :)

        Odpowiedz
  • 2015.09.11 22:43 Marcin

    A to artykuł pisany przez Adama bo styl jakiś inny ?

    Odpowiedz
    • 2015.09.11 22:47 Adam

      Spróbuj przeczytać pierwszy akapit :)

      Odpowiedz
      • 2015.09.13 19:30 brthn

        Skoro ludzie się mylą, to mała sugestia – może zaznaczaj jakoś tekst „gości”?

        Odpowiedz
  • 2015.09.11 23:02 Xawer

    Przeczytałem tekst i uważam, że tego administratora powinno się jak najszybciej wymienić na kogoś kompetentnego.

    To jest problem admina i tu będzie widać jego wiedzę i umiejętności w wykonaniu, jak zabezpieczyć wszystkie możliwe operacje na danych, których potrzebują pracownicy kancelarii.

    Np. jeżeli jest potrzeba kopiować dane na pendriva, to admin powinien rozwiązać sposób autoryzacji i rejestracji takiej operacji, a nie zabraniać.

    Mam wrażenie, że ten admin to naczytał się poradników z linuksa.

    Pozdr.

    Odpowiedz
    • 2015.09.12 12:14 s

      @Xawer – bzdura. Idąc Twoim tokiem rozumowania to administrator powinien umożliwić stosowanie czterocyfrowego kodu PIN zamiast hasła i w takim przypadku to po stronie administratora spoczywa obowiązek pilnowania czy nikt tego kodu PIN nie złamał.

      Dlaczego traktujesz *dobrego* administratora jak wyrobnika, który ma umożliwić Tobie wszystkie Twoje zachcianki, a nie jak partnera, który jest specjalistą i który nie wprowadza ograniczeń bo ma takie widzimisię, tylko dlatego, że dba o bezpieczeństwo w firmie? Opisany przypadek to firma która musi być zabezpieczona na wysokim poziomie, a w takim przypadku nie można pozwolić na korzystanie z pendrive’ów – dokładnie z tego samego powodu z którego nie można tych komputerów podpinać bezpośrednio do Internetu. Taka polityka bezpieczeństwa, której zasady dotyczą każdego pracownika w takim samym stopniu.

      Odpowiedz
  • 2015.09.12 09:22 Radek

    A dlaczego ten wyklinany, niekompetentny admin ma świat naprawiać? Dlaczego ma z ludźmi walczyć, zwalniać się, może jeszcze rytualne samobójstwo popełnić?
    Widać, że koleś ma pojęcie o robocie.
    I jeżeli ciągle w firmie gada o konieczności podniesienia bezpieczeństwa/zmiany zachować/itp., a wszyscy mają go w dupie to ma jedyne wyjście: WSZYSTKO pisać w mailach do szefostwa.

    Jak się zrobi awantura to będzie widać, że ostrzegał od miesięcy. Jak nie będzie maili to wszyscy się wyprą i zrobią z niego kozła ofiarnego.

    Dlaczego to jemu ma zależeć bardziej niż właścicielom firmy?
    Powinien sobie dupokrytki szykować na każdym kroku i tyle.

    Odpowiedz
    • 2015.09.12 11:02 Big Dog

      Tu się zgodzę że dupokrytka to podstawa przetrwania w trudnych warunkach. Ja też wszystko co mogę załatwiam u siebie meilowo + rozmowa. Nawet od jakiegoś czasu noszę ze sobą mały dyskretny dyktafon i nagrywam rozmowy w których biorę udział.

      Odpowiedz
  • 2015.09.12 11:37 prawnik

    Panu Adminowi przyda sie chyba kilka lekcji z j. polskiego ;-)

    Odpowiedz
  • 2015.09.12 14:02 Arv

    A może po prostu dane, o których mowa, nie są warte wykradania?
    Parę danych osobowych, dostępnych pewnie w KRS i może jakieś analizy prawne mniej lub bardziej jawne?
    Napisz jeszcze adminie ile warte są te pliki.

    Odpowiedz
  • 2015.09.12 17:46 K3

    Autor pewnie napisał półprawdę i trochę przekolorował, żeby nikt z „współpracowników” nie skojarzył, że o niego chodzi. Także niektóre wywody czy też unoszenie się, to strata energii :)

    Odpowiedz
  • 2015.09.12 18:36 Xawer

    @s – Nie zrozumiałeś tego co napisałem. Zauważ, że administrator jest odpowiedzialny za bezpieczeństwo w każdym przypadku. A to oznacza, że gdy:
    – pracownik miał widzimisie i namówił administratora, żeby „włączył mu dostęp do pendrajów” i dane wyciekły – jest winny administrator.
    – jeżeli ustalono, że ma być „dostęp do pendrajwów” i dane wyciekły, to jest odpowiedzialny za to, że nie zabezpieczył poprawnie takiej operacji.

    Pozdr.

    PS
    Nie rozumiem tego przykładu z PIN.

    Odpowiedz
    • 2015.09.13 12:00 s

      @Xawer – ależ absolutnie nie masz racji. Administrator jest *współ*odpowiedzialny za bezpieczeństwo, ale nigdy nie jest jedyną odpowiedzialną osobą.
      Gdy wbrew zasadom da się namówić i udostepni użytkownikowi to czy owo wbrew zasadom – w tym przypadku oczywiście jest to jego wina.
      W przypadku gdy ustalono, że ma być dostęp do pendrive’ów – to ja mam pytanie kto to ustalił? Żaden sensowny administrator nie pozwoli na coś takiego w środowisku które ma być bardzo hermetyczne i bezpieczne. A w takim przypadku odpowiedzialni są ci, którzy to ustalili, a nie administrator.
      Zresztą o czym my tu mówimy – w jaki sposób administrator ma zabezpieczyć dostęp do pendrive, a w szczególności monitorować co się dzieje z pendrive gdy nie jest on podpięty do firmowego komputera?
      Ostatnia sprawa – pokaż mi administratora, który zagwarantuje Ci stuprocentowe bezpieczeństwo. Każdy znający się na rzeczy administrator wie, że nie istnieje 100% bezpieczeństwo i choćby wprowadzić maksymalny poziom monitoringu, zabezpieczeń itp. to i tak jest szansa, że komuś uda się to w jakiś sposób obejść. Szansa dużo mniejsza niż trafienie szóstki w lotto, ale jednak.

      Odpowiedz
  • 2015.09.12 19:14 zenek

    Z bezpieczeństwem danych jest jak z bezpieczeństwem ludzi czy obietków. Adekwatnie do tego co lub kogo chronimy bierzemy pod uwagę koszta i zasadność użycia określonych środków do ochrony. Po co tracić czas na zbędne gadanie o tym co można lub nie było zrobić ? Podstawową sprawą jest POWAGA z jaką podchodzi otoczenie do ochrony. Jeśli wokoło masz ludzi, którzy nie chcą być fachowo chronieni to nigdy nie ochronisz człowieka ani informacji. Zobaczcie jak się chroni ludzi z rządu skoro prawie 100 ważnych z punktu strategicznego dla państwa ludzi ginie w jednym samolocie ? Czym jest klikanie w jednego maila z „nadzianym” załącznikiem skoro na poziomie proceduralnym w takim kraju jak nasz nie przestrzega się niczego. Nie oczekujcie wysokiego poziomu zabeczpieczeń skoro mentalność ludzi jest jaka jest. MENTALNOŚĆ to słowo klucz. I co roku w błoto firmy wywalaja miliony na zabezpieczenia skoro i tak uposledzony mentalnie pracownik zrobi jakąś głupotę co rozwali całą firme. Można oczywiście w firmach wprowadzić reżim wojskowy..nie ma sprawy..tylko jaka będzie wydajność tej firmy ? A co do rezimu wojskowego to co ?…ano g..no…Snowden..Bradley….Możemy sobie płakać i narzekać..życie jest życiem i jedyne co możemy to OGRANICZAĆ STRATY :-)
    Pozdrawiam

    Odpowiedz
  • 2015.09.13 14:22 Bambino

    Wszystko co zostało tu opisane jest prawie w każdej firmie.
    Podstawa nauki o bezpieczeństwie informacji/informatycznym – Najsłabszym ogniwem w bezpieczeństwie są ludzie.

    Odpowiedz
  • 2015.09.13 14:28 Bambino

    do autora artykułu.
    1. Zawsze należy przeprowadzać szkolenia pracowników, w których należy im wyjaśnić dlaczego dane zabezpieczenia są potrzebne.
    Jeśli ludzie nie rozumieją procedur utrudniających im pracę i życie, to je omijają.

    Zobrazuj im co będzie jak wyciekną akta i dowody sprawy np. mafii i druga strona pozna te dane. Albo co będzie dla Kancelarii, jak ktoś wykradnie akta wszystkich spraw i je udostępni w necie – Być, albo nie być dla firmy. Na drugi dzień Pan Prezes pójdzie na parkową ławkę.

    2. Zrób debilom przeglądarkę i pocztę w piaskownicy i mogą sobie dowolnie klikać w linki.

    Odpowiedz
  • 2015.09.13 15:24 Tomek

    „Wziąć studenta, który jako praktykant w tydzień/miesiąc wyciągnie na pendrivie wszystkie dane.”

    Przecież przenoszenie plików jest monitorowane.

    Odpowiedz
  • 2015.09.13 22:02 kkarol

    W sieci, można znaleźć listę najczęstszych haseł używanych przez (adminów) (kolejne liczby ,kolejne litery startując od{q},nie mniej popularne (root,rot,admin,good) Nie chcąc nikogo tu obrażać, uważam że żałosny jest ten admin który używa jednakowych haseł do każdej stacji roboczej,hasła związane z datami, nie zakłada hasła na bios, i pozostawia zaznaczone w opcjach ustawienie zapisu hasełka. Ponad to, gigantycznym błędem jest nie wyłączenie usb w stacjach .Ponad to, pracownicy przykładowej kancelarii ,mają dostęp do zasobów firmy,bez ewidencjonowania osób które zaglądają do akt. Pawdziwy administrator sieci nie ważne jakiej, dzień zaczyna od kawy przy komputerze , sprawdzając co sie działo na serverach, a nie od kawy i bajery z młodą praktykantką ,która dopiero co zaczęła prace, i trzeba zebrać info o niej, jej zdjęciach i czy ma czy nie ma innego . Ale powiedzmy sobie szczerze ,tak z drugiej strony. Informatycy nie mają adekwatnej wypłaty do tego co robia, a i tak obrywają za całokształt . (jest takie przysłowie {jaka płaca,taka praca}) Pozdrawiam serdecznie .

    Odpowiedz
  • 2015.09.14 09:58 vanitas

    1) Ten admin zapewne ZASTAŁ klienta w takim stanie. A wtedy naprawdę niewiele da się zrobić. To znaczy – da się – przez rok, dwa – ale potem człowiek się wypala. Bo każda zmiana – to 3 tygodnie kopania się z koniem -co, jak, po co, przecież działa…

    2) Dziwne – że ani słowa o kierownictwie. A dyskusja z nimi – to zwykle „groch o ścianę”.

    3) Wszelkim „specjalistą od bespieczeństwa” – krótka piłka – jak zabezpieczycie dostęp do pendrive? Bo sama architektura sprawia, że JEST TO NIEMOŻLIWE. No, może poza zaspawaniem portów. Owszem, są rozwiązania CZĘŚCIOWE – ale wetknięcie czegokolwiek do USB daje temu czemuś pełen dostęp do pamięci komputera.

    4) Bez wsparcia czynników „na górze” to sobie możecie na fujarce zagrać, a nie polityki bezpieczeństwa wdrażać. Niestety…

    Odpowiedz
    • 2015.09.14 11:08 Big Dog

      Ad 3)
      Można pokombinować coś z UUID (https://en.wikipedia.org/wiki/Universally_unique_identifier)
      .
      Albo tak: na pendrive tworzysz plik-kontener podpisany cyfrowo. Tylko tak spreparowany i uwierzytelniony pendrive, może zostać obsłużony. Reszta nie jest montowana, a próba podmontowania nieuwierzytelnionego dysku kończy się blokadą stacji + alertem.
      .
      Systemy DLP powinny mieć taką funkcjonalność w standardzie…

      Odpowiedz
      • 2015.09.14 15:16 vanitas

        @Big Dog
        Sorry
        Piszesz o możliwości ograniczenia dostępu do USB na poziomie systemu operacyjnego (co oferują nawet niektóre antywirusy od nastu lat… ). Tyle że już samo wetknięcie urządzenia (w sumie dowolnego, nie tylko spreparowanego pendrive) w gniazdo USB może skutkować wyciekiem danych/infekcją.
        Czyli- nie na tym poziomie. (fakt, że kancelarii też na tym poziomie raczej nikt nie zaatakuje – przynajmniej na razie).

        Odpowiedz
  • 2015.09.15 20:22 Xawer

    @s – napisałeś:
    „Zresztą o czym my tu mówimy – w jaki sposób administrator ma zabezpieczyć dostęp do pendrive, a w szczególności monitorować co się dzieje z pendrive gdy nie jest on podpięty do firmowego komputera?”

    z w/w wynika, że nie wiesz jak to zrobić, i to miałem na myśli gdy oceniłem kompetencje admina opisane w artykule jako niewystarczające.
    On nie potrafi pewnych rzeczy, ale wg mnie jest jeszcze gorzej, on nie ma pojęcia o pewnych rzeczach.

    Odpowiedz

Zostaw odpowiedź do baltin

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wyznania administratora czyli bezpieczeństwo kancelarii prawnych od środka

Komentarze