zanswer 0 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 (изменено) @AlexandrAOE, нет, представить можно конечно, что угодно, тем более прецеденты уже были. Просто аудит очевидно не проводился или никто не увольнялся, а просто не соблюдались предписанные политикой безопасности стандарты, а офицеры безопасности не проводили аудита и пен-тестов. Читал где-то статью, сейчас уже не помню деталей, но в ней говорилось о низком качестве IT в подразделениях Sony, что бывшие и действующие сотрудники жаловались, что в отличие от головного подразделения, дочерние находятся в плачевных условиях. Изменено 3 марта 2016 пользователем zanswer Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
SAF0001 27 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 (изменено) @SAF0001, я думаю, что безопасность от инфраструктуры у них отделена, то есть, офицеры безопасности у них отдельно, системные, сетевые, баз дынных и прочие администраторы отдельно. Я о другом говорю, в теории все процессы должны быть прозрачны и подконтрольны, но в реальном мире это не всегда так, тем более в транс национальной корпорации. Где с одной стороны огромные бюджеты, а с другой сложная система их распределения между подразделениями. А ещё более там запутаны сферы ответственности, между подразделениями, поэтому зачастую процесс согласования может длится очень долго.>я думаю, что безопасность от инфраструктуры у них отделенаТо шутка была, пусть и с долей правды. У больших компаниях даже бывает целые отделы есть, за безопасностью следящие. >баз дынных и прочие администраторы отдельно.Просто кого надо взять на работу, чтобы на админских учетках были такие пароли(а я все-же считаю что учетки админские были). Одно дело шарага на 20 компов, а другое - здоровенная корпорация. >Где с одной стороны огромные бюджеты, а с другой сложная система их распределения между подразделениями.Да пусть так, ну у людей должно быть хоть минимальное представление того что они творят. Как пример я - меня никто и никогда не возьмет работать не в компанию Сони, не в тот-же МС, но при всем при этом у меня есть вполне четкое понимание по тому как должна быть устроена безопасность. А тех кого взяли, они либо вообще зашквар, либо голимый молодняк, который просто не должен сидеть на сколь нибудь ответственных местах. И опять таки, могли бы хоть иногда сами свою безопасность щупать, чай не Спасский кулинарный техникум. А еслиб щупали, уже на второй минуте максимум бы хоть один пароль 123456 да всплыл.@SAF0001, тут не указано к сожалению, но это не имеет особого значения, повышение привелегий это вопрос времени только, если доступ во внутренний периметр сети уже получен.@AlexandrAOE, при увольнение принято деактивировать учётные записи, в более благородных домах, так ещё и аудит проводить, за последний месяц, но, life so cruel.>повышение привелегий это вопрос времени только, если доступ во внутренний периметр сети уже получен.Скорее всего первым был взломан торчащий наружу никсовый сервер, а на таком и учеток пользователей не водится и из коробки у никсов сам пользователь не может себе поставить пароль 123456, будет послан системой за его простой пароль. И тут два варианта - первый, такой пароль может поставить только админ и второй - такой пароль был задан при установке самой оси. Опять-же, брутфорсят обычно только наиболее вероятные админские логины, потому-что иначе это можно делать вечно, до тех пор пока тебя не спалят. Изменено 3 марта 2016 пользователем SAF0001 Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
zanswer 0 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 (изменено) @SAF0001, отделы то есть, только в них люди работают, а они, как известно и совершают ошибки. Почему вы решили, что вас туда не возьмут? Там далеко не боги работают, да, нужна скорее всего узкая специализация и сертификаты, а так, не думаю, что там что-то особенное у них в требованиях. Сложно судить о том, как у них организовано IT в корпорации и каким образом оно распространяется между подразделениями, может быть это подразделение было на аутсорсе, либо и правда на этих серверах практиканты работали. Как известно защищённость любой инфраструктуры определяется её самым слабым местом, не факт же, что это были сразу сверх важные сервера, например AAA. Это мог быть какой-нибудь балансировщик нагрузки, у которого был интерфейс в управляющую сеть, которая для внешнего периметра не была отделена от управляющей сети для внутреннего периметра. Там мог быть и не Unix сервер, а какой-нибудь аппаратный балансировщик нагрузки, разницы то нет, главное получить доступ во внутренний периметр. Изменено 3 марта 2016 пользователем zanswer Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Zelestik 0 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 Какая связь с игровой индустрией? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
zanswer 0 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 @Zelestik, никакой, просто марафон новостей от @Jonten. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
AlexandrAOE 19 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 @AlexandrAOE, нет, представить можно конечно, что угодно, тем более прецеденты уже были. Просто аудит очевидно не проводился или никто не увольнялся, а просто не соблюдались предписанные политикой безопасности стандарты, а офицеры безопасности не проводили аудита и пен-тестов. Читал где-то статью, сейчас уже не помню деталей, но в ней говорилось о низком качестве IT в подразделениях Sony, что бывшие и действующие сотрудники жаловались, что в отличие от головного подразделения, дочерние находятся в плачевных условиях.Ибо не может быть все идеально) Решили сэкономить на IT, вот и получайте подобные казусы) Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
zanswer 0 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 @AlexandrAOE, так в большинстве случаев и происходит, за редким исключением, денег на всё обычно не хватает, нужно выбирать. :) Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
TruePerfectMan 0 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 LOL? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Dowbree 0 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
AlexandrAOE 19 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 @AlexandrAOE, так в большинстве случаев и происходит, за редким исключением, денег на всё обычно не хватает, нужно выбирать. :)И конечно же тень падает на IT ведь "они там сидят ничего не делают" Хотя не это только у нас так) У Япов там с работой вообще ад. Читал где-то, что у них не принято уходить раньше начальства и они сидят на работе по 12-16 часов.Если уйдешь раньше - тебя возненавидит коллектив. Если ты только не "гайдзин", тогда всем пох будет ибо иностранцев они не считают частью команды. Был случай, что чел какой-то приперся с температурой под 40 на работу ибо боялся коллективного гнева и сидел работал, пока не стало совсем плохо. Его отвезли в клинику, поставили капельницу и после этого хотели отправить домой, но этот черт поехал обратно на работу) А ну и работу они соответственно растягивают на эти 12-16 часов. Никто быстро там не работает) Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
zanswer 0 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 @AlexandrAOE, ну, я думаю, что IT у них съедает большую часть бюджета, вот её и подрезали. Примерно о таком же тоже читал, поэтому они последнее время нанимают гайдзинов, чтобы те несколько разбавляли этот традиционный колорит, иными словами, чтобы просто работали. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
n1GT 40 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 @AlexandrAOEЧитал где-то статью, сейчас уже не помню деталей, но в ней говорилось о низком качестве IT в подразделениях Sony, что бывшие и действующие сотрудники жаловались, что в отличие от головного подразделения, дочерние находятся в плачевных условиях.Так же как в нашей раше с Газпромом - голова в моске затекает жиром, а дочки и их филиалы по стране на грани. Про филиалы дочек вообще говорить стыдно, там условия как в советских ЖЭКах - ободраные стены, тараканы, компы начала века. Естественно, в таких условиях об ИБ никто не будет думать. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
BadMad 0 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 Ну а че... Тамошним сисьадминам за установку сложных паролей не доплачивают а бесплатно за бугром никто не работает...:) Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Torquemadaaa 0 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 Естественно, в таких условиях об ИБ никто не будет думать.СКИНЬ МУЗЫКА С ФЛЭШКА БУДУ РАБОТАТЬ И МУЗЫКА СЛУШАТЬ!! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Rаkot 0 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 Так то это был такой хитрый план. Самый сложный пароль = самый простой. Но чет не сработало.Помню друг рассказывал историю из жизни. На работе у всех компы запаролены, не то чтобы бешеная безопасность, скорей чтоб было (ничего сверхсекретного нет). Заболел один сотрудник, необходимо посмотреть данные на его машине. Взялись подбирать пароль. Всё перепробовали: и 123... и qwerty, и "пароль", и много чего ещё. В итоге так и не смогли подобрать. Стали ему звонить, оказывается вообще не было пароля - надо было всего-лишь "энтер" нажать! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
SAF0001 27 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 (изменено) @SAF0001, отделы то есть, только в них люди работают, а они, как известно и совершают ошибки. Почему вы решили, что вас туда не возьмут? Там далеко не боги работают, да, нужна скорее всего узкая специализация и сертификаты, а так, не думаю, что там что-то особенное у них в требованиях. Сложно судить о том, как у них организовано IT в корпорации и каким образом оно распространяется между подразделениями, может быть это подразделение было на аутсорсе, либо и правда на этих серверах практиканты работали. Как известно защищённость любой инфраструктуры определяется её самым слабым местом, не факт же, что это были сразу сверх важные сервера, например AAA. Это мог быть какой-нибудь балансировщик нагрузки, у которого был интерфейс в управляющую сеть, которая для внешнего периметра не была отделена от управляющей сети для внутреннего периметра. Там мог быть и не Unix сервер, а какой-нибудь аппаратный балансировщик нагрузки, разницы то нет, главное получить доступ во внутренний периметр.>Почему вы решили, что вас туда не возьмут? Там далеко не боги работают, да, нужна скорее всего узкая специализация и сертификаты, а так, не думаю, что там что-то особенное у них в требованиях. Не делаю упор на сертификаты и всякую показуху. И знакомых у мня там нет:)))) А те у кого они есть, уж должны слышать про сложные пароли. >а какой-нибудь аппаратный балансировщик нагрузкиПрактикант не настроит ентерпрайзную аппаратную железяку, а если и настроит - его к ней тупо не пустят:)))) Как пример те-же банки. Есть один-два адекватных айтишника на регион, а остальные ниче кроме pptp клиента на винде и раскатки винды с образа и не могут и не знают. А от серверной стороны и сами они не полезут и гнать их ссаными тряпками оттуда будут. Ну и если банк не очень нищий и у такого настройщика в руках вдруг оказывается Цыска - она уже настроена и он ее тока в разетку/сеть и включает. Так же как в нашей раше с Газпромом - голова в моске затекает жиром, а дочки и их филиалы по стране на грани. Про филиалы дочек вообще говорить стыдно, там условия как в советских ЖЭКах - ободраные стены, тараканы, компы начала века. Естественно, в таких условиях об ИБ никто не будет думать.Так они в головные офисы серьезного доступа и не имеют. Тем более всем известно что с кадрами на периферии чаще всего не очень. Изменено 3 марта 2016 пользователем SAF0001 Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
zanswer 0 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 @SAF0001, я не сказал бы, что сертификация, - показуха, скорее показатель уровня знаний в определённой области. Всё так, но, кто-то же установил пароль 12345 у них, значит что-то пошло не так. Поэтому практикант настраивающий аппаратный балансировщик или маршрутизатор Cisco, вполне мог иметь место быть. К тому же, опять же, нечего там в этих железках сверх сложного нет. Они зачастую, как раз просты в настройке, главное, чтобы в голове было понимание, что именно и зачем настраиваешь. Ну и практикант может быть уровня IT магистратуры, в Японии к слову не плохая магистратура по IT и вообще выпускник академии Cisco, всё относительно. @n1GT, вот-вот, может и у Sony так же, отсюда и результат. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
SAF0001 27 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 @SAF0001, я не сказал бы, что сертификация, - показуха, скорее показатель уровня знаний в определённой области. Всё так, но, кто-то же установил пароль 12345 у них, значит что-то пошло не так. Поэтому практикант настраивающий аппаратный балансировщик или маршрутизатор Cisco, вполне мог иметь место быть. К тому же, опять же, нечего там в этих железках сверх сложного нет. Они зачастую, как раз просты в настройке, главное, чтобы в голове было понимание, что именно и зачем настраиваешь. Ну и практикант может быть уровня IT магистратуры, в Японии к слову не плохая магистратура по IT и вообще выпускник академии Cisco, всё относительно. @n1GT, вот-вот, может и у Sony так же, отсюда и результат.>я не сказал бы, что сертификация, - показуха, скорее показатель уровня знаний в определённой области.Я бы выразился как "скорее показатель хоть какого-нибудь уровня теоретических знаний в определённой области". Это примерно как водительское удостоверение.... :D >Они зачастую, как раз просты в настройкеНу это смотря что понимать под словом "просты". Мастера настройки сети нет, веб морды бывает что нету тоже, соответственно для достижения результата должен работать мозг. >главное, чтобы в голове было понимание, что именно и зачем настраиваешь.Понимание того что такое пароль - нету, а понимание как работает сеть - есть. Чет я уже и забыл с чего мы начали диалог Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Perdolshik 155 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 Теперь понятно почему это смогли сделать именно северо-корейские хакеры... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
SAF0001 27 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 @zanswer, есть такая поговорка - "В споре двух логик истина не рождается - она либо умирает, либо утверждается." А информации утвердить истину не много. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
zanswer 0 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 @SAF0001, вы наверное не знаете, но не все сертификаты предполагают сдачу только теоретических знаний, но и практических. Не говоря уже о том, что практика, без теории ничто. В сертификация позволяет эту самую теорию подтянуть, при случае, если что-то уже подзабылось или вообще не зналось. А то бывает, как начинают практики от Бога настраивать, согласно лучших практик, а сами не понимают, зачем, почему, главное, что работает. Под словом просты я понимаю, командный интерфейс, позволяющий осуществить конфигурирование устройства без помощи веб панелей или сторонних утилит. То есть, ssh Cisco.corp.domain.ru, enable, conf t, int ge0/0, ip addr X.x.x.x, exit, ip ro x.x.x.x X.x.x.x x.x.x.x, exit, sh ip int, sh ip ro, wr, exit. Обладая базовыми знаниями о командах необходимых для работы с консолью устройства и теоретическими знаниями в нужной области, мы и можем настроить сложное устройство просто. Насчёт паролей, наверняка вы знаете, что централизированное AAA удобно и часто используется. Включая и аппаратные устройства, например через radius, с базой в active directory. Так вот есть одна дилемма, а именно, как быть, при недоступности AAA серверов? Правильно локальный пароль, стоит ли говорить, что забыть его изменить, после настройки AAA, не сложно. В идеальном мире, сетевой инженер не когда не сделает петлю маршрутизации или не применит policy к паре зон, одна из которых local, обрубив себе доступ в консоль, но в нашем не идеальном бывает всё. Поэтому всегда говорили, что за одного битого админа, двух не битых дают. Поговорка старая, существует ещё со времён телекома. Если мы с вами не будем обсуждать нечего, то тема утонет в очередной склоке двух лагерей или похоронах Xbox One. :) Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Rambler 930 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 Ну это прикол конечно Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
SAF0001 27 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 @SAF0001, вы наверное не знаете, но не все сертификаты предполагают сдачу только теоретических знаний, но и практических. Не говоря уже о том, что практика, без теории ничто. В сертификация позволяет эту самую теорию подтянуть, при случае, если что-то уже подзабылось или вообще не зналось. А то бывает, как начинают практики от Бога настраивать, согласно лучших практик, а сами не понимают, зачем, почему, главное, что работает. Под словом просты я понимаю, командный интерфейс, позволяющий осуществить конфигурирование устройства без помощи веб панелей или сторонних утилит. То есть, ssh Cisco.corp.domain.ru, enable, conf t, int ge0/0, ip addr X.x.x.x, exit, ip ro x.x.x.x X.x.x.x x.x.x.x, exit, sh ip int, sh ip ro, wr, exit. Обладая базовыми знаниями о командах необходимых для работы с консолью устройства и теоретическими знаниями в нужной области, мы и можем настроить сложное устройство просто. Насчёт паролей, наверняка вы знаете, что централизированное AAA удобно и часто используется. Включая и аппаратные устройства, например через radius, с базой в active directory. Так вот есть одна дилемма, а именно, как быть, при недоступности AAA серверов? Правильно локальный пароль, стоит ли говорить, что забыть его изменить, после настройки AAA, не сложно. В идеальном мире, сетевой инженер не когда не сделает петлю маршрутизации или не применит policy к паре зон, одна из которых local, обрубив себе доступ в консоль, но в нашем не идеальном бывает всё. Поэтому всегда говорили, что за одного битого админа, двух не битых дают. Поговорка старая, существует ещё со времён телекома. Если мы с вами не будем обсуждать нечего, то тема утонет в очередной склоке двух лагерей или похоронах Xbox One. :)>...Не говоря уже о том, что практика, без теории ничто.Да, как сдача на права. Я вообще по себе сужу. Как получать знания с нуля - курсы штука хорошая. Как шлифовать уже имеющиеся знания - можно больше времени потратить чем пользы получить. А идеальных курсов так вообще не существует, разве что только "интернет и книга". >Под словом просты я понимаю, командный интерфейс, позволяющий осуществить конфигурирование устройства без помощи веб панелей или сторонних утилит. Он прост когда ты там себя уютно чувствуешь. А иначе это как "впервые программироваться АТС Панасоник с помощью системного телефона и инструкции". >То есть, ssh Cisco.corp.domain.ru, enable, conf t, int ge0/0, ip addr X.x.x.x, exit, ip ro x.x.x.x X.x.x.x x.x.x.x, exit, sh ip int, sh ip ro, wr, exit. А вот и пример подтянулся - спроси у кого-нить из местных - что ты сейчас написал - не скажут. А ведь ещё надо эти команды знать и знать результат их выполнения, иначе вводим одни команды и ожидаем один результат - получаем совсем другое. А веб-морда проста и все видно что ты можешь, пусть многого и не сделаешь с ней. >стоит ли говорить, что забыть его изменить, после настройки AAA, не сложно. Винда из коробки не даст такой пароль на сервере поставить, даже админу, а Линукс конечно даст, если ты из под рута его ставишь или при установке = Собственно возвращаемся к моему предположению что это был никс торчащий наружу, с простым админскими паролем. А тот кто забыл - олень и его сжечь надо, т.к. опять-таки, новичку линуксовая консоль противопоказана, а тот кто в ней себя нормально ощущает - у него от одного факта набора такого пароля, должно в голове перещёлкивать. >В идеальном мире, сетевой инженер не когда не сделает петлю маршрутизации или не применит policy к паре зон, одна из которых local, обрубив себе доступ в консоль, На DFL-210 встречал защиту от каких пролетов. Система ждёт что ты после настройки в веб-морде пошаришь и если этого не происходит - откатывается. Не по всем работала моментам, но по многим:)) на линуксе тоже такое скриптами делал, т.к. на тот момент много удавленников было, за 100-ни км от меня:D @zanswer, Да пусть воюют, главное не забывать масла в огонь подливать, чтоб теплее было:D А так-то меня политика МС не радует нифига, но мне пофиг если честно. Я пока не готов по 4к за все интересующие игры платить, купил себе ещё раз х360, пишу болванки, а Хуан пока в стороне полежит. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Koreaz 0 Опубликовано: 3 марта 2016 Поделиться Опубликовано: 3 марта 2016 >Взломанные серверы Sony были защищены паролями "12345"@>2016 Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
zanswer 0 Опубликовано: 4 марта 2016 Поделиться Опубликовано: 4 марта 2016 @SAF0001, я просто писал команды с телефона, поэтому посокращал их, но вы всё равно тут не правы, я же сказал, что ещё должна быть теоритическая база. Сейчас я их напишу в полной нотации и можно будет спросить например @un1x0d понимает ли он их или нет? console# ssh cisco.corp.domain.rurouter$ enablerouter# configure terminalrouter# interface gigabitEthernet 0/0router# ip address 172.16.16.16 255.255.255.252router# exitrouter# ip route 192.168.1.0 255.255.255.0 172.16.16.254router# exitrouter# show ip interface gigabitEthernet 0/0router# show ip routerouter# writerouter# exit Можно так же спросить его, что проще ему будет сделать, разобраться в веб консоли очередного устройства, где в четырёх разных местах, если не в пяти нужно будет побывать, чтобы выполнить эти действия или имея теорию о работе сетей, настроить это с помощью команд? Насчёт примера с AAA, я имел ввиду аппаратные устройства, маршрутизаторы, веб балансировщики, SSL акселераторы и прочие шлюзы безопасности. Поскольку в статье не указано, что они понимают под словом сервер, тот же веб балансировщик в аппаратном исполнение, не сильно отличается от сервера внешне или по выполняемым функциям, он лишь ограничен в круге задач. Насчёт способов защиты от выстрела себе в ногу, хватает везде, можно поставить устройство на перезагрузку через n минут, можно на откат конфигурации, много их, я в целом говорил, что ошибки совершают все. Я не про курсы говорил в целом, а именно про сертификацию, как к ней готовится, выбор каждого, курсы на мой взгляд хороши, если работодатель их оплатит или есть перспектива потом эти деньги вернуть, а иначе только самостоятельная подготовка и последующая сдача экзамена. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас