Koja nakupina kretena... 
Nedavno smo odvrtili mali "test" u našoj firmi (nakon onih problema sa ransomwareom)... Email od system@domena.hr, u subjectu "Antivirus update notification", u sadržaju link na testni interni web i nalijepljen logo od ESETa. Web se sastojao od formice za user/pwd i logotipa.
Zabrinjavajuća količina ljudi je kliknula na link u mailu a par genijalaca je upisalo domenski password i username (neki i više puta). Zaključak - hackeri uopće ne moraju tražiti nikakve rupe u sustavu. Ljudi su najveća rupa, kao i u ovom slučaju sa francuzima...
Nedavno smo odvrtili mali "test" u našoj firmi (nakon onih problema sa ransomwareom)... Email od system@domena.hr, u subjectu "Antivirus update notification", u sadržaju link na testni interni web i nalijepljen logo od ESETa. Web se sastojao od formice za user/pwd i logotipa.
Zabrinjavajuća količina ljudi je kliknula na link u mailu a par genijalaca je upisalo domenski password i username (neki i više puta). Zaključak - hackeri uopće ne moraju tražiti nikakve rupe u sustavu. Ljudi su najveća rupa, kao i u ovom slučaju sa francuzima...
Iskreno se nadam da je otišao postotak sa plaće tim osobama!
Dobili su upozorenje od managera odjela + upozorenje od managera za IT sigurnost. Idući takav prekršaj (koji krši IT sigurnost) će rezultirati ili minusom na plaći ili pedalom (ovisno o težini incidenta i nastaloj šteti). Nismo ih mogli odmah kazniti, jer nije bilo IT edukacije već jako, jako dugo...
Još uz to, bit će primjeri na edukaciji o IT sigurnosti, pa nek svih 150+ zaposlenika vidi tko radi gluposti...
[edit] - eto, ako se nekome da to izvesti u svojoj firmi, slobodno odradite/predložite. Rezultati će biti zapanjujući, u svakom slučaju. Može biti fake antivirus update, windows update, neki upgrade softvera koji koristi cijela firma... Budite kreativni).
Koja nakupina kretena...
Prije par godina neka profesorica s pulskog faksa je kliknula na mail iz Nigerije i nastalo je sranje. A kad probaš doktorima znanosti objasniti da se takve stvari doslovce prokuže nakon par redaka pažljivog čitanja, onda naravno te gledaju s visoke noge. I onda si postavim pitanje (po tko zna koji put) "Koji kurac uopće pokušavam nekome glupljem od sebe objasniti banalne stvari?".
Mogu li se ovi likovi uopće nazvati hakerima? Pa oni su samo pročitali lozinke, najveći trud je bio pročitat lozinke sa papirića? 
Sa daljinskim upravljačem!
Koja nakupina kretena...
- ja bi upotrijebio blaži izraz, juzer. (i naravno, daljinski.. 
)
@ Sum.. ako ti je potrebna sigurnost, tad se postit i jednostavne šifre ne dozvoljavaju (nigdje, vrlo jednostavno kroz AD-GPO s kriterijem složenosti), koristi keepass, tudum nakon demonstracije od 48sec. zna (i koristi, upravo onako kako sam im pokazao, link na web, paste passa... to im postane čak i zgodnije ...). Tad je jedina briga pass keepasa.
Nije stvar u dužini niti kompleksnosti šifre, problem je u tome što su (ab)useri to što jesu i klikaju na sve živo, sve "Yes" i "Confirm security exception" i upisat će password bilo gdje. Tu samo edukacija pomaže (+ kazne ako nešto uhebu).
uz ovakve idiote skeniranje šarenice ili papka ili gujce ili jetre ili čegaveć uopće ne izgleda kao loša zamisao. lozinke su ipak za više oblike života. 
beskorisno... Jer bi sve bilo na fb i twityju pogotovo ako bi se shupak-guz koristio. Paradox sifra je tad pouzdanija jer im je tesko tipkati...
C64/TurboModul-OpenSourceProject.org.cn.部分作品为网上收集整理,供开源爱好者学习使用
Da im sustav ima provjeru u dva koraka (2-step verification), čitanje zaporke ne bi hakeru otvorilo vrata.
Da bi otvorio vrata moraš imati:
- nešto što znaš (lozinka)
- nešto što imaš (npr. telefon ili token)
Ukucaš lozinku, ako je ispravna, na mobitel ti stiže jedna manja šifra koju također ukucaš i unutra si.
Sustav može zapamtiti IP adresu s koje si uspješno pristupio pa te više ne pita 2 lozinke nego jednu.
Napadač:
Vidi lozinku na postit-u (), ukuca, manja šifra stiže na mobitel zaposlenika. Ups. "Haker" ne zna koja je lozinka br 2,
a svaki novi pokušaj zatrpava djelatnika porukama i tako diže alarm čak i da pravi alarmi sustav ne postoji.
Da im sustav ima provjeru u dva koraka (2-step verification), čitanje zaporke ne bi hakeru otvorilo vrata.
Da bi otvorio vrata moraš imati:
- nešto što znaš (lozinka)
- nešto što imaš (npr. telefon ili token)
Ukucaš lozinku, ako je ispravna, na mobitel ti stiže jedna manja šifra koju također ukucaš i unutra si.
Sustav može zapamtiti IP adresu s koje si uspješno pristupio pa te više ne pita 2 lozinke nego jednu.
Napadač:
Vidi lozinku na postit-u (), ukuca, manja šifra stiže na mobitel zaposlenika. Ups. "Haker" ne zna koja je lozinka br 2,
a svaki novi pokušaj zatrpava djelatnika porukama i tako diže alarm čak i da pravi alarmi sustav ne postoji.
Djelatnik:
Zbunjeno gleda u sve to i zove IT-lika. Žali se kako je prije bilo sve bolje. Firma stoji na mjestu.
i biser (dragulj?), IP.
Ajd malo proučite materiju prije nego počnete pljuvati.
Korisnik neće reći "ne mogu raditi" jer je za njega sve isto kao i u single-step verifikaciji, osim jednom tjedno kad će unositi dodatnu šifru poslanu na mobitel. Utiipka 4 znamenke jednom svakih par dana ili tjedana i to je sve. Ako zbog toga ne može raditi, onda ni ne treba raditi.
IP adresa unutar firme koju DHCP dodijeli (obično je samo serverima fiksna) obično traje barem 1 dan (konfigurabilno je), pa toliko vremena neće morati ponovno ukucavati onu drugu loziku. Za to vrijeme proces izgleda identično kao i prije, ukucava samo jednu lozinku.
I mene živcira kad dodatna sigurnost oduzima vrijeme u radu i čini trošak radnog vremena i time financijsku štetu po firmu veću nego virus od kojeg štiti, ali ovdje to nije slučaj. Zbilja je efikasno, gotovo bez ikakvog dodatnog truda za korisnika odnosno on je minimalan. A sigurnost diže na posve novu razinu.
Svakom malware-u, pa tako i virusu, olakšan je prljavi "posao" ako se može ulogirati kao admin u neki sustav. Ako koristiš slabu šifru ili 1-step verifikaciju, daleko je lakše upasti.
U slučaju ovih "postit" nazovi hakera, bio bi također spriječen upad u sustav da su koristili 2-step verifikaciju.
Keso care kakav crni multifaktor authentication, pa vidiš da ekipa drži passworde na sticki papirićima i panou gdje svatko sa pola mozga moze pročitati i koristiti. Dalje, skužiš kakvi su passwordi korišteni i onda zaključiš ovo što je čovjek par postova iznad napisao; svizci vole da je sve baš tamo gdje su naučili, bilo kakva varijacija ili neko novo učenje je ravno treniranju divljih čimpanzi da uspješno odsviraju Moonlight Sonatu u koncertnoj dvorani. Vrati im pastele i bilježnice, nahrani majmune i nediraj ništa.
Tek sad diljem svijeta u vrlo malom broju poslovnih okruženja su malo počeli brinuti o sigurnosti i backupima kako treba, nakon što je Cryptolocker pokazao čari cyber kriminala i udario ih tamo gdje ih najviše boli, na pare i podatke.
Imas okruženja gdje možeš posložiti neke stvari, ali puno više ima onih gdje nakon jedno mjesec dana skužiš gdje radiš i koliki su kapaciteti svizaca i jazavaca da usvoje bilo kakve novitete.
Nije problem u vrijeđanju. Ako sam u zabludi, objasni mi, nauči me. Bit foruma je nešto naučiti, ne pljuvati bez argumenata. Sa "nemaš pojma" ne doprinosš ničemu, nema nikakvu vrijednost.
Objasni što sam krivo rekao, ispravi me i nauči.
A da znaš s kim pričaš, mislim da bi bio puno ponizniji ;)
..
IP adresa unutar firme koju DHCP dodijeli ..
- priznaj, nemaš blage veze o sigurnosti i mrežama. npr kako će (banka) kroz fw pročitati tvoj lokalni ip? istovremeno, ako je to omogućeno, tad to može i 'hacker'... umjesto tvrdnji, razmisli i nauči (to ne znači da sutra nećeš biti 'the majstor' i autoritet.. danas još nisi).
Svakom malware-u, pa tako i virusu, olakšan je prljavi "posao" ako se može ulogirati kao admin u neki sustav. Ako koristiš slabu šifru ili 1-step verifikaciju, daleko je lakše upasti.
U slučaju ovih "postit" nazovi hakera, bio bi također spriječen upad u sustav da su koristili 2-step verifikaciju.
- ne. Hacker (naovimo ga 'pravi hacker'), ako može proči jednu 'bravu', može i dvije... brava/sef/portir/beton.. tad služe samo 'usporavanju' dok policija ili netko drugi odgovori na upad, dal u banku ili mrežu, isti 'mehanizam'. Postit papiriči pak nemaju veze s hackiranjem nego s ljudskim navikama, gluposti itd. Kao što ti iza odgovara Colossus7, npr može 'Pero' sjesti na PC 'Štefice' i napraviti štetu, jer je pass na papiriću. Kad je potrebna sigurnost, to ne smije biti. (i točka). npr banalno, vidi kase u trgovinama kao DM, djelatnica dođe sa svojom, spoji se, odspoji... i nema problema tko je bio, tko je odgovoran.. ali to ne rade 'obične' male trgovine, nit imaju sredstva nit znanja.
Keso care kakav crni multifaktor authentication, pa vidiš da ekipa drži passworde na sticki papirićima i panou gdje svatko sa pola mozga moze pročitati i koristiti. Dalje, skužiš kakvi su passwordi korišteni i onda zaključiš ovo što je čovjek par postova iznad napisao; svizci vole da je sve baš tamo gdje su naučili, bilo kakva varijacija ili neko novo učenje je ravno treniranju divljih čimpanzi da uspješno odsviraju Moonlight Sonatu u koncertnoj dvorani. Vrati im pastele i bilježnice, nahrani majmune i nediraj ništa.
Tek sad diljem svijeta u vrlo malom broju poslovnih okruženja su malo počeli brinuti o sigurnosti i backupima kako treba, nakon što je Cryptolocker pokazao čari cyber kriminala i udario ih tamo gdje ih najviše boli, na pare i podatke.
Imas okruženja gdje možeš posložiti neke stvari, ali puno više ima onih gdje nakon jedno mjesec dana skužiš gdje radiš i koliki su kapaciteti svizaca i jazavaca da usvoje bilo kakve novitete.
+ čak ovi postitovi nebi bili problem ako je interno osigurana sigurnost, npr nema neovlađtenih osoba koje bi to zloupotrijebile, ali snimana reportaža je 'propust'.. idući put kad tako nešto snime 'cenzura' može pročešljati snimku prije nego je objave na 'aljazeera' i incidenta nema..
+ za cryptlocker sam čak i 'zahvalan', napokon domaći direktorćići počinju ozbiljnije shvaćati svrhu backupa.. i onog što im netko trkelja, upozorava itd. Svatko uči na svojim greškama, tek kad se opeče.. izgleda da drugačije ne ide.
-naučit će... (možda). Bar imamo sugovornika za tipkanje.
Nije problem u vrijeđanju. Ako sam u zabludi, objasni mi, nauči me. Bit foruma je nešto naučiti, ne pljuvati bez argumenata. Sa "nemaš pojma" ne doprinosš ničemu, nema nikakvu vrijednost.
Objasni što sam krivo rekao, ispravi me i nauči.
A da znaš s kim pričaš, mislim da bi bio puno ponizniji ;)
-vrijeđanje? (prijavi sve što je izvan granica) To nije smisao teme/foruma i našeg 'trkeljanja'.
- Krivo si rekao sve, imaš pogrešnu (TV-CSI/hacker/kućni juzer) predodžbu kako stvari funkcioniraju. Npr ovaj propust je TV kuće, zbog njihove snimke. Isti propust bi mogao biti npr banke, nuklearne centrale, CERN, policija itd. ali nije, jer oni ne snimaju kamerom reportaže... isto ponašanje tad nije isti rizik. Iluzorno je vjerovati da je u drugim institucijama sigurnost 'bolja'.. samo da je manje ovakvih 'curenja', kao i činjenice da je većina provala u neki sistem povezana s internom ekipom. Jedina razlika je što oni koji moraju imaju spreman odgovor na ovakvu/bilo koju situaciju, npr promjena passworda. To je banalna stvar, ali firma ne može raditi ako djelatnik nema pass, ako to admin promijeni u ovakvoj situaciji imaš problem. itd.
"Usporavanje" napadača mislim da je dobro. Jer svaka zaštita je probojna i zapravo je samo usporavanje. A čak i ona najgluplja zaštita oduzeti će nešto vremena napadaču.
To je kao u ratu kad imaš utvrdu oko nje rovovi, minsko polje, bodljičava žica, strojnice itd. Svaka od tih stvari može se probiti i s vremenom se probije. Ali kad napadač polomi zube na svakoj od prepreka, na kraju biva poražen jer mu ponestane ljudi, vremena, energije i on ne uspije ući.
Primjer najgluplje zaštite bio bi promjena username-a "Admin" u nešto totalno drugačije i promjena default porta. Glupo, ali ne bi vjerovao koliko napada takva sitnica uništi ili uspori tisuću puta.
2-phase autentikacija je općeniti koncept. Može se koristiti interno u mreži firme, ali i izvana. Kako to točno rade dropbox, google i drugi, možeš pročitati na njihovim stranicama. Neki koriste IP, neki nešto drugo (cookie). U svakom slučaju moraju imati mehanizam da zapamte računalo (klijent) i ne pitaju ga dva pwd svaki put, nego samo prvi puta (i nakon nekog perioda), da ga ne gnjave previše pri ulogiravanju.
Ono što sam htio reći je da ova firma ne bi popušila napad da je to koristila, čak i da objave sve passworde u novinama.
@ihush- stavili su na pano gdje svaki zaposlenik, čistatiča, domar ili povremeni posjetitelj moze pročitati passworde i iste koristiti ili zloupotrebljavati namjerno ili nenamjerno.
Kamera je već priča za sebe :D
Ali ako se priča o bilo kakvim osnovama sigurnosti krenemo li od fizičke pa nadalje, francuzi u ovoj reportazi ( a i debela većina firmi) definitivno nisu znali što je Least Privilege princip. Poslje ovakvog gafa da sam ja direktor prvo bi sebe šutnuo u bulju pa krenuo sa pucanjem otkaza samo tako. I to redom od Svizaca do IT osoblja.
Tijekom prošlog i ovog mjeseca vezano za Cryptolocker... priče i iskustva iz prve ruke sa borbenih pozicija kazu da ekipa koja nije imala dobre backupe, osigurane na sve načine, od redundancije, schedula, lokacije na drugom subnetu, offsite backupa, do dozvola tko smije pristupiti istome mogla je poslje cryptolockera samo platiti randsom ili napustiti sahranu.
@Keso-
Dobra ;) Zato mislim da "obični" korisnici u redovnom radu ne bi smjeli biti ulogirani sa accountom koji ima admin prava.
Dobra ;) Zato mislim da "obični" korisnici u redovnom radu ne bi smjeli biti ulogirani sa accountom koji ima admin prava.
-kakve veze s temom ima ovaj argument? Po čemu si iz konkretnog članka došao do te tvrdnje? btw, firme, mreža, 'prava mreža', naravno da juzer nije admin, naravno da nema admin prava, naravno da to nema baš nikakve veze s problemom, tj pass na papiriću.
-preformulirat ću, od kud ti info da su bili logirani kao admini i zašto taj argument? User ima pravo/owna podatke, ne admin. Admin može 'samo' preuzeti, ali user je 'šef' kad su u pitanju podaci, owna ih.
