Грустная правда об информационной безопасности

12.06.15

Администрирование - Информационная безопасность

Несколько реальных историй, иллюстрирующих легкомысленное или неадекватное отношение пользователей к информационной безопасности.
P.S. Данная статья была написана в 2013 г. для блога сотрудников ГК "Компьютерный аудит", который в настоящее время прекратил свое существование.

Буквально на прошлой неделе в офисе с моим коллегой произошла забавная история, которая может занять достойное место среди лучших историй ITHappens.ru.

Удаленный доступ

Мой первый опыт социальной инженерииТипичная ситуация. Чтобы разобраться с проблемой в рабочей базе клиента, потребовалось удаленное подключение и, как обычно и бывает в таких случаях, специалист звонит клиенту, чтобы ему предоставили удаленный доступ при помощи Ammy Admin/Team Viewer - не суть важно. Звонит, представляется, сообщает, что ему для расследования проблемы требуется установить удаленное подключение.

На том конце провода без лишних вопросов называют ID удаленного компьютера и пароль. Подключение устанавливается, перед специалистом открывается удаленный рабочий стол с окном информационной базы "Управление торговлей" 10-й редакции. Странно, вроде по заявке была УТ 11, ну ладно, может ошиблись.

Смотрит документы - организация и контрагенты не соответствуют тем, что описано в заявке... Смотрит внимательнее - заявка от саратовского клиента, а в информационной базе - совершенно не те организации в справочнике, да еще и судя по адресам - из Пензы! Понимает, что организация вообще не та, в панике отключается, сверяет набранный номер телефона и понимает, что ошибся в коде города...

Халатное отношение к безопасности данных - исключение или правило?

Инфографика Лаборатории КасперскогоИнформационные технологии уже давно не являются чем-то удивительным. Бухгалтерский учет немыслим без систем учета, компьютер в офисах присутствует на каждом рабочем месте. Мы не мыслим свою жизнь без интернета. Но несмотря на то, что ИТ так плотно вошли в нашу жизнь, уровень грамотности в сфере ИТ и тем более в сфере ИТ-безопасности остается крайне низким.

Все мы знаем, сколько препятствий в организациях утраивают службы безопасности: к некоторым клиентам не пронести ноутбук и даже флешку с собой, но при этом попав в офис можно спокойно сесть за любое свободное рабочее место - и даже если экран будет заблокирован, найти нужный пароль среди стикеров, наклеенных на монитор, не составит труда.

Скажете, абсурд? Нет. Я лично реально наблюдал несколько раз в двух довольно крупных организациях, однажды в отделе продаж, другой - в бухгалтерии, как представителя поставщика/клиента приглашают присесть за свободное рабочее место, чтобы подождать, пока освободится нужный специалист. И гость, чтобы скоротать время, начинает серфить в интернете или играть в косынку.

Паразитирующие на параноиках

Не удивительно, что на уровне руководства в компаниях часто имеет место не всегда здоровая паранойя по поводу информационной безопасности: вдруг у нас кто-то украдет информационную базу и продаст конкурентам?! Вдруг к нам нагрянет ОБЭП и утащит нашу базу?! При этом нередко рядом озабоченными вопросами безопасности ТОПами находятся шарлатаны от ИТ-безопасности, предлагающие решить проблему раз и навсегда.

Я - невидимый!Одни продают дорогущий консалтинг, результатом которого является ворох бумаг, на деле оказывающихся распечатанным шаблонным документом по ИТ-безопасности, другие - различные устройства шифрации, снабженные красными кнопками, третьи помогают спрятать серверы туда, где их никто не будет искать.

Вот вам еще один пример из моей практики, настолько гипертрофированный и абсурдный, что кажется, что это не могло быть правдой.

История про "безопасный" доступ к данным

Около 7 лет назад я занимался разработкой электронной регистратуры для медицинского центра. В одном из отделений рабочее место главной медсестры находилось в том же помещении, где ожидали приема пациенты. Поскольку она часто отлучалась от своего рабочего места, перед руководством встала проблема: как сделать так, чтобы в ее отсутствие никто не смог бы получить доступ к данным на ее компьютере, даже если будет иметь доступ к самому компьютеру.

Для решения этой проблемы был приглашен "специалист по ИТ-безопасности", который спустя какое-то время презентовал (и затем внедрил!) решение, аналогов которого я, к счастью, больше никогда не встречал. Самозванный специалист продал медицинскому центру два жестких диска горячей замены. На одном была установлена система с информационной базой, другой - был с чистой системой.

Когда медсестре надо было работать с базой, она вставляла один диск (с ИБ), когда она уходила - заменяла его на второй диск. Чтобы как-то диски отличать на одном из них маркером написали "База" (!) на другом - "Интернет". Оба диска хранились - барабанная дробь! - на верхней полке шкафа, в который медсестры и врачи медцентра вешали свои халаты. И, чтобы завершить картину, скажу, что шкаф не запирался и был доступен любому, находящемуся в помещении, в том числе и пациентам медцентра.

Специалисты ИТ как еще одно слабое звено

Мы, специалисты в ИТ, смеемся над рядовыми пользователями, при этом сами зачастую не следуем элементарным правилам безопасности и своими действиями усугубляем и без того нелицеприятное состояние ИТ-инфраструктуры. При этом под угрозу ставится не только экономическая информация предприятия, но и персональные данные сотрудников организации.

Типичной ситуацией является халатное отношение к созданию резервных копий (aka "бэкапов") информационных баз и другой информации. Здесь я имею в виду не сам факт создания резервной копии (конечно же в автоматическом режиме и регулярно по расписанию), а создание копий "вручную", например, перед обновлением информационной базы или перед выполнением каких-либо групповых обработок с необратимым массированным изменением данных.

Everything is a copy of a copyКуда специалисты сохраняют эти копии? Чаще всего копия сохраняется на том же компьютере, на котором выполняется работа, иногда в каталоге информационной базы, иногда в корень диска D: в какой-нибудь папке с незамысловатым названием "Archieve" или "Архив" или вообще "1111". И проблема здесь не в том, что даже не столько в том, что такие копии часто бывает сложно идентифицировать, а в том, что они... повсюду! На каком рабочем месте выполнял магические действия специалист по 1С - там есть копия информационной базы.

Децентрализация - это здорово с точки зрения сохранности данных (наверняка у каждого найдется пример, когда клиент обращался с вопросом "У нас база упала, а не осталось ли у вас какой-нибудь копии нашей базы?"). Но давайте попробуем посмотреть на это с другой стороны: на сколько увеличивается вероятность попадания данных информационной базы к постороннему лицу, если ее архивные копии присутствуют на  большинстве рабочих мест в офисе? А если к ним прибавить еще личный ноутбук главбуха, которым кроме нее самой в не рабочее время пользуется ее дочь/сын для общения в Одноклассниках/ВКонтактике? Знакомая ситуация?

На моей практике вообще был случай, когда один клиент в порядке благотворительности подарил несколько стареньких компьютеров из офиса в местную школу. Причем передали их в том виде, в каком они и были - даже без элементарного удаления данных, не говоря уж о полной безопасной очистке. И куда смотрели ИТ-спепециалисты компании? Кажется, туда же, куда и безопасники...

Другая распространенная практика, увеличивающая вероятность попадания экономической информации посторонним людям - пересылка копий информационных баз по электронной почте или их передача через файлообменники/публичные ссылки Dropbox даже без элементарной защиты архива паролем, что говорить об обезличивании данных.

Итого

Я не буду в этой публикации давать какие-то конкретные советы по обеспечению ИТ-безопасности, тем более я не являюсь специалистом в этой области.

Но я хотел бы, во-первых, обратить ваше внимание на то, что зачастую элементарные правила, скорее из области "ИТ-гигиены", а не "ИТ-безопасности", могли бы значительно уменьшить риски потери данных. А во-вторых, попросить вас обратить внимание на это и пользователей - ваших клиентов.

Начните хотя бы с объяснения, почему не стоит пароль записывать на стикер и клеить на монитор.

Расскажите, что прежде чем предоставлять удаленный доступ к своему рабочему месту, надо убедиться, что специалист на том конце провода - специалист сопровождающей вас компании, а не кто-то посторонний.

Покажите, как можно установить пароль на архивную копию и куда ее сохранять (а не только то, что ее в принципе надо сохранять не важно куда). Объясните, почему надо блокировать компьютер, уходя с рабочего места даже ненадолго.

Будьте и сами внимательнее к данным ваших клиентов. Согласуйте с ИТ-специалистами заказчика месторасположения архивный копий и регламент их создания и следите за тем, чтобы этот регламент соблюдался.

Обезличивайте данные в копиях информационных баз, перед тем как их забрать у клиента - незачем брать на себя лишнюю ответственность.

информационная безопасность

См. также

AUTO VPN (portable)

Информационная безопасность Платные (руб)

Автоматизация подключения пользователей к удаленному рабочему месту или сети посредством создания автоматического VPN (L2TP или L2TP/IPSEC и т.д.) подключения без ввода настроек пользователем (с возможностью скрытия этих настроек от пользователя). Программа автоматически выполняет подключение к VPN серверу и после успешного коннекта , если необходимо, подключение к серверу удаленных рабочих столов (RDP).

1200 руб.

24.03.2020    14396    22    32    

33

Настройка аутентификации в 1С с использованием стандарта RFC 7519 (JWT)

Информационная безопасность Платформа 1С v8.3 Бесплатно (free)

Рассмотрим в статье более подробную и последовательную настройку аутентификации в 1С с использованием распространенной технологии JWT, которая пришла в программу в платформе версии 8.3.21.1302.

27.02.2024    2607    PROSTO-1C    9    

29

Device flow аутентификация, или туда и обратно

Информационная безопасность Платформа 1С v8.3 Абонемент ($m)

Интеграционные решения стали неотъемлемой частью нашей жизни. Правилом хорошего тона в современных приложениях является не давать интегратору доступ к чувствительным данным. Device flow позволяет аутентифицировать пользователя, не показывая приложению чувствительные данные (например: логин и пароль)<br> Рассмотрим Device flow аутентификацию, в приложении, на примере OpenID провайдера Yandex.

1 стартмани

27.10.2023    1617    platonov.e    1    

23

Анализатор безопасности базы сервера 1С

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Продукты на основе решений 1С уверенной поступью захватывают рынок учётных систем в стране. Широкое распространение программ всегда порождает большой интерес к ним со стороны злоумышленников, а пользователь 1С это одна из дверей в защищённый информационный контур предприятия. Обработка позволяет быстро и комплексно оценить настройки безопасности конкретной базы и возможности пользователя этой базы на сервере. Также можно оценить некоторые аспекты сетевой безопасности предприятия со стороны сервера 1С.

5 стартмани

24.04.2023    5438    14    soulner    7    

29

Двухфакторная аутентификация в 1С через Telegram и Email

Информационная безопасность Платформа 1С v8.3 1С:ERP Управление предприятием 2 Абонемент ($m)

1С, начиная с версии платформы 8.3.21, добавили в систему возможность двойной аутентификации. Как это работает: в пользователе информационной базы появилось свойство «Аутентификация токеном доступа» (АутентификацияТокеномДоступа во встроенном языке), если установить этот признак и осуществить ряд манипуляций на встроенном языке, то появляется возможность при аутентификации отправлять HTTP запросы, которые и реализуют этот самый второй фактор. Данное расширение позволяет организовать двухфакторную аутентификацию с помощью электронной почты или мессенджера Telegram.

2 стартмани

08.12.2022    5967    32    Silenser    12    

23

История одного взлома или проверьте вашу систему на безопасность

Информационная безопасность Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

От клиента клиенту, от одной системы к другой, мы вновь и вновь встречаем одни и те же проблемы и дыры в безопасности. На конференции Infostart Event 2021 Post-Apocalypse Виталий Онянов рассказал о базовых принципах безопасности информационных систем и представил чек-лист, с помощью которого вы сможете проверить свою систему на уязвимость.

26.10.2022    9244    Tavalik    46    

113
Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. amon_ra 54 12.06.15 11:33 Сейчас в теме
Отсутствие ИТ безопасности это плохо, но вот обильное ее присутствие доходящее до паранойи, тоже не так плохо. В моей компании слишком много ИТ безопасности.
Лично я еще не видел золотой середины в безопасности, ее либо нет, либо ее слишком много.
2. baracuda 2 12.06.15 13:11 Сейчас в теме
Какие компетенции должны быть у специалиста по безопасности в сфере 1с?

Настроить права доступа к БД, фаервол, резервирование. Дальше что?
7. amon_ra 54 12.06.15 16:04 Сейчас в теме
(2) baracuda, а какие компетенции должны быть у просто безопасника не в сфере 1С?
8. Armando 1399 13.06.15 01:49 Сейчас в теме
(2) baracuda, безопасность в 1С это не только права раздать.
http://its.1c.ru/db/morphmerged#search:dev:безопасность
kuntashov; +1 Ответить
3. CheBurator 3119 12.06.15 15:34 Сейчас в теме
итак имеем:
пароль на вход в винды
пароль на вход в 1С
пароль к почтовому ящику
пароль к какой-нить внутрикорпортаивной системе чегототам
.
вы реально думаете что это все У "ТУПОГО" пользователя будет в голове?
6. amon_ra 54 12.06.15 16:03 Сейчас в теме
(3) CheBurator,
на все это 1 пароль, если сеть доменная.
Но если сеть из рабочей группы, тогда пароль 1С помнить не надо на основе пользователя винды, почтовый клиен тоже может хранить пароли. То что вы написали, это излишняя паранойя и маразм, нужно знать только пароль пользователя винды.
oninfostart; kuntashov; +2 Ответить
14. Brawler 454 17.06.15 08:13 Сейчас в теме
(6) amon_ra, и одним паролем откроются все двери...
10. apatyukov 907 15.06.15 06:17 Сейчас в теме
(3) CheBurator, да хоть сто паролей к ста системам... Если есть система создания паролей под конкретный ресурс, то париться с паролями не приходится. Сел за комп, посмотрел на систему, в голове восстановил пароль по алгоритму. Алгоритм один, а паролей ...
21. teplova 69 19.06.15 04:26 Сейчас в теме
(3) CheBurator,
У нас абсолютно разные пользователи есть, тупые в том числе. Но все они помнят пароль на вход в винду и еще один пароль, другой, на 1С. И это как минимум. И никто не пишет эти пароли на стикерах и не оставляет на видном месте. Это не сложно, если есть несколько карточек с пин-кодами, телефоны с пин-кодами, почтовые ящики с паролями, интернет-магазины с паролями... Да много чего у нас в жизни теперь есть с паролями. Уже все привыкли и запоминают....запоминают.... Я считаю, что быть совсем параноиком на почве обеспечения инф.безопасности смысла нет, кто умеет - придет и возьмет в любом случае. Но вот от всяких шаловливых ручек и глазок, которым от скуки заняться нечем, этот минимум убережет.
kuntashov; +1 Ответить
23. CheBurator 3119 20.06.15 19:06 Сейчас в теме
(21) и какие они пароли запоминают?
zx;lkc832
543s,.dgjnlPRD45
- такие?
очень сомневаюсь...
4. CheBurator 3119 12.06.15 15:36 Сейчас в теме
а! не забыть про скайп еще...
5. CheBurator 3119 12.06.15 15:39 Сейчас в теме
Из моей практики (тогда, когда еще были высокими деревья, а телефоны были телевонами".
захожу я к товарищу хорошему (в общаге жили), сидит он, задумчиво курит, рядом С35 (?вроде такой) лежит. Курит так задумчиво, неторопливо.. ну я сел.. тоже неторопливо книжку полистал...
- Что такое?
- Пароль к телефону забыл?
- И что?
- 5 попыток есть...
- и...?
- у меня 6 любимых паролей...
- ну..?
- осталась одна попытка и два пароля...
Henistaromin; kvikster; JesteR; evgefremov; zumik3; KIT_company; Ali1976; +7 Ответить
9. DitriX 2091 13.06.15 12:16 Сейчас в теме
с выходом 8.2, тонкого клиента и мобильного - появились намного более критические таки, а именно - MITM. И вся их печаль заключается в том, что попасть под них можно даже не целенаправленно.
Основная проблема в том, что программисты, и даже специалисты ИТ, считают, что 1с защищает обмен данными, но это не так.
Например, если директор пользуется тонким клиентом, или работой через веб, или у него стоит приложение мобильное "монитор руководителя", то в 99% не составит труда взломать его логин и пароль, а также получить доступ к базе.
Тоже самое касается общедоступных wi-fi.

Самое смешное, что от этих атак можно достаточно просто защититься, но люди этого не делают, так как рассчитывают, что "мы никому не нужны". И они будут правы, однако, 1С изпользует стандартные протоколы, а значит очень легко получаются данными стандартными коллекторами паролей, и даже сотрудник низкого звена, например, некий оператор, может получить логин и пароль директора, или другого вышестоящего человека, и когда данные уплывут, никто не подумает на него, ибо "мы ему доступ на уровне ролей ограничили".

В новом модуле в курсах по мобильной, я так раз и поднял эти вещи, показал как легко взломать, чем чревато и как просто можно защититься. Есть методы и надежней, но даже элементарное использование https - уже защищает от "случайных атак", а если атака целенаправленна, и делает ее специалист, то тут уже - ничего не поможет, ибо защита от специалистов может стоить столько, что проще фирму закрыть :)
Redokov; bird21; smallbuk; kuntashov; Uncore; +5 Ответить
11. DrAku1a 1679 17.06.15 04:08 Сейчас в теме
Я не буду в этой публикации давать какие-то конкретные советы

Критикуя - предлагай!
12. ZOMI 444 17.06.15 04:43 Сейчас в теме
Если послушать темы которые обсуждают уборщицы из разных компаний и клининговых контор - то у них тоже серьёзные вопросы по воровству и легкодоступности туалетной бумаги и жидкого мыла. Всякий может и таскает (уверены многие уборщицы) эти ценные вещи, "а с нас потома спрашивають!".

Вообщем ценность и полезность инфы на серваках и др. компах наших торговских компаний, а их 75% - такая же квк у использованной туалетной бумаги.
В компаниях располагающих действительно ценной инфой, вопрос воровства туалетной бумаги информации так остро не стоит как переживает автор публикации. Там "ружья кирпичом не чищут" !
Артано; Азбука Морзе; +2 Ответить
13. kuntashov 449 17.06.15 07:56 Сейчас в теме
(12) ZOMI,

Вообщем ценность и полезность инфы на серваках и др. компах наших торговских компаний, а их 75% - такая же квк у использованной туалетной бумаги.


Даже для небольших торговых компаний это бывает критично, я, к сожалению, имел возможность наблюдать.

"Вы маленькие, поэтому кому вы нужны" - сейчас уже очень плохой аргумент не думать даже об элементарных правилах. Я специально подчеркнул, что речь не об информационной безопасности, а скорее о "гигиене", потому что в контексте этого термина сами "проблемы" действительно "мелочны" (т.к. их решения известны и они очевидны), их легко выполнять, намного легче, чем иметь дело с возможными последствиями, даже если их вероятность достаточно мала.

20. teller 18.06.15 05:56 Сейчас в теме
(12) ZOMI,
В компаниях располагающих действительно ценной инфой, вопрос воровства туалетной бумаги информации так остро не стоит как переживает автор публикации.

такие компании - миф,
работаю с банками , раз в в год какой-нибудь сталкивается с проникновением имеющим финансовые потери.
15. smurf2315 17.06.15 10:43 Сейчас в теме
Тут может быть больше угроза например не от самого воровства данных, а от шантажа таким воровством. Например по аналогии с шифраторами - с пострадавших запрашивается небольшая сумма которая легко отбивается часом нормальной работы организации (чем тратить больше времени на восстановление данных от последних бэкапов). Тут тоже самое - получив доступ к данным можно шантажировать их утечкой к конкурентам.
kuntashov; +1 Ответить
16. rus128 2 17.06.15 12:35 Сейчас в теме
"Все мы знаем, сколько препятствий в организациях утраивают службы безопасности"
УТРАИВАЮТ? :-)
17. TuneSoft 247 17.06.15 14:12 Сейчас в теме
Расскажу свой забавный случай про "безопасность", который произошёл на прошлой неделе.

У одного нового клиента админы настраивали удалённый доступ сперва через VPN, после через терминал Windows.
Подумал серьёзная контора раз так заботится о безопасности удалённого подключения.
Но тут с настройкой что-то не заладилось, после нескольких попыток не удалось подключиться и админы что-то медлили.
При этом одному сотруднику нужно было срочно что-то доделать в БД 1С.
Этот сотрудник недолго думая сделал выгрузку БД 1С в DT и отправил через открытый "левый" файлобменник без каких-либо паролей.
DT успешно загрузился и задача была выполнена без удалённого доступа в рабочей копии БД клиента.
kuntashov; +1 Ответить
18. ZOMI 444 17.06.15 15:08 Сейчас в теме
Я тоже поделюсь забавной историей. В одной компании-лидере рынка - на цены которой ориентируются все остальные игроки - была зафиксирована постоянная утечка новых цен. То есть сегодня компания принимает решение понизить цены на 5% - у конкурента точно на следующий день на эти же позиции - понижение на 6%. Цены не публиковались на сайтах. Долго искали канал утечки. С доступами-правами в сети/ в БД все было строго. Интернет закрыт. Флешки отключены. Почта под контролем. Только корп. моб связь. Камеры в опен спейсах. Сотрудники не с улицы. Долго копали канал утечки не там где нужно. Менеджер у которого даже доступа в 1С не было - просил разных коллег печатнуть новые прайс-листы как только меняли массово цены. Так как специфика работы включает там печать сотен документов у сотрудников - на то что кто-то много печатает не обращали внимания - просто любопытный безопасник - заглянул как-то в лоток принтера чужого отдела и ахнул...
kuntashov; Diego_Iv; +2 Ответить
19. CheBurator 3119 17.06.15 20:53 Сейчас в теме
Поделюсь и я.
Работл в компании. Пришли новые типа "топы". У меня они вызвали сразу сомнения. Но по роду деятельности им был положен доступ к куче разных отчетов. Которые они тупо распечатали и стянули как только забрежжила перспектива увольнения. Факт "несанкционированных" действий я усек - но было поздно.. ;-)
kuntashov; +1 Ответить
22. tramontana 72 19.06.15 10:07 Сейчас в теме
Жил да был в одной конторе штатный программист 1С и как-то взял, да и уволился. Понадобилось мне главбуху добавить пользователя с правами только на просмотр. Я без проблем зашла в конфигуратор, что было уже как-то странно. Рассчитывала скопировать набор ролей с уже существующих пользователей с аналогичными правами. Но тут оказалось, что таких ролей... НЕТ! Оказывается все эти пользователи, у которых права были КАКБЭ на просмотр, не вносили изменений просто потому что не вносили, а не потому что не могли. Я (как бы это прилично выразиться) очень удивилась. Когда прошел первый шок нашла в интернете механизм созданий данной роли. Оказалось, что это так просто, что даже я могу сделать. Я вот одного не могу понять: неужели этот чел в перерывах между просмотрами порносайтов не мог настроить эту роль. И как мне защититься от дурака, если я не могу заподозрить такого уровня идиотизма.
w22u; kuntashov; +2 Ответить
24. protexprotex 113 20.06.21 16:59 Сейчас в теме
У меня была похожая ситуация - звонит клиент, и говорит, что нужно разобраться с вопросом 1С (реализация не проводится, хотя остатки есть, ну и все такое в этом роде. В общем, как всегда - мы тут работаем, а 1С-ка нам мешает!). Но клиент говорит, что через 5 минут перезвонит оператор рабочего места, подключит тебя по ammy и - давай смотри. ок говорю. Жду. Не дождался. Звоню. Спрашиваю - ну так когда? - я жду. Он скидывает мне id ammy, Но пароля не будет, т.к. ammy версии 3.6 (или ниже - не помню) - там еще не было пароля. Приходит sms с id от ammy. Я его вбиваю. Открывается окно - и начинаю смотреть. 1С-ка открыта. Все вроде бы ничего, Но мне с той стороны все время мешают - перехватываю мышку. Так борюсь минут 5. Потом мне все это надоедает, сворачиваю 1С - и оказываюсь в клиент - банке. Он открыт. И тут до меня доходит - а клиент - то не тот. Я перепутал одну цифру и меня подключил кто - то и я в его клиент - банке.... Я потихоньку закрываю сессию и думаю - вот дела - а ведь кто - то мог просто в клиент банке наворотить дело! - а там остатки по счетам сотни миллионов - т.е. контора была не маленькая!
kuntashov; +1 Ответить
Оставьте свое сообщение