История одного взлома или проверьте вашу систему на безопасность

0. 2858 26.10.22 14:01 Сейчас в теме
От клиента клиенту, от одной системы к другой, мы вновь и вновь встречаем одни и те же проблемы и дыры в безопасности. На конференции Infostart Event 2021 Post-Apocalypse Виталий Онянов рассказал о базовых принципах безопасности информационных систем и представил чек-лист, с помощью которого вы сможете проверить свою систему на уязвимость.

Перейти к публикации

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. m_aster 102 26.10.22 19:04 Сейчас в теме
Спасибо! Очень интересно и познавательно, несмотря на то, что много из данной статьи мне лично было известно и ранее.
Открытые пароли(я уж не говорю про тексты модулей) это то, от чего надо избавляться в первую очередь, тем более что в БСП все для этого есть.
И да, вопрос безопасности небанален, как как может показаться на первый взгляд.
Когда-то, лет 15 назад, читал западную статью о безопасности, о методах, которые используют конкуренты в поисках важной информации, вплоть до того, что лезут в мусор в надежде найти там смятый лист с важными данными и т.д.
Так что, все это реально серьезно, особенно в наше время, когда для пытливого ума многие "преграды" являются лишь тренировкой.
И вывод, который давался в этой статье был простым - какой бы сильной ни была защита, и программная, и аппаратная, главное слабое звено это человеческий фактор. Это надо всем понимать и помнить об этом.
Помню, лет семь назад свою недовольную начальницу, которая говорила, что мол из-за твоих COM'ов(с помощью которого обслуживалось около 350 баз)каждый раз надо вбивать пароль администратора кластера, и пароль администратора сервера в консоли(пароль кластера требовал, как минимум, COM для подключения).
А я отвечал, принцип прост(это, кстати, из той статьи о безопасности) - если тебе трудно зайти в консоль, значит это усложняет жизнь кому-то другому.
В одной компании видел, что все пользователи работают через WEB-клиент в браузере, это безопасность и удобство обновления платформы только на сервере.
Усложняйте жизнь кому-то другому, чтобы по максимуму обезопасить свою жизнь.
Jimbo; mrChOP93; Tavalik; support; +4 Ответить
3. papami 53 26.10.22 20:59 Сейчас в теме
(1)У расширений браузеров может быть полный доступ к содержимому. Так что не совсем все однозначно про WEB-клиент
12. Vlan 36 27.10.22 12:21 Сейчас в теме
(1) Лет 20 назад к нам пришел асфальтовый завод из США. Руководство пищало от восторга, предвкушая, насколько продумана и защищена тамошняя компьютерная система. От нечего делать залез в файлы и сразу же нашел один с загадочным названием Passwords. В нем были имена пользователей и конечно же абракадабра вместо паролей, но мы тоже не дураки. Зная свой пароль, я понял, что символы в явном виде, просто биты у них сдвинуты на одну позицию. Надо ли говорить, что после получения таких сведений наша выработка резко пошла вверх. :-)
AnKonAlm; Tavalik; +2 Ответить
14. m_aster 102 27.10.22 20:25 Сейчас в теме
(12)Вот он российский менталитет). Мол, раз из США, то все лучше, чем у нас)). Здесь они играют по нашим правилам и то, что они из США совсем не говорит, что у нас хуже. И у нас такого полно. Я же сказал, самое слабое звено - человеческий фактор. Интереснее как они у себя на родине хранят информацию. Надо избавляться от совкого представления(до сих пор себя ловлю на этой мысли прививаемой годами советского воспитания), что, мол, там другие люди. Да, нам в советское время, особенно это помнится в детстве, все время внушали, что там живут черствые, бессердечные люди, равнодушные к чужим проблемам, то ли дело в СССР)) Помню, в институте на политинформации один отслуживший рассказывал про загнивающий Запад и вещал, что Сталлоун(обычно Сталлоне) настолько перекачан гормонами, что моментально устает и толком не может быстро и долго двигаться, поэтому его движения снимали маленькими кусочками, потом склеивали в одно целое)). Да все у них так же и у нас может быть лучше, а, собственно, почему нет?
ZOMI; KilloN; +2 Ответить
2. blazevic 26.10.22 20:01 Сейчас в теме
Спасибо, отлично все показано и рассказано
Мне вот интересно, сколько наберётся админов, которые всё это (или большую часть) делают ДО "прецендента", а не ПОСЛЕ ? :-D
NeLenin; Jimbo; Tavalik; +3 Ответить
7. MSK_Step 22 27.10.22 08:06 Сейчас в теме
(2)
делают ДО "прецендента"

аутентификация по ad, запеты внешних обработок, роль на кластер - это базовые вещи, такие же как в компьютере у пользователя не права администратора.
Кто такое делает на больших проектах проф непригоден уже, может частная компания, где нет серверов еще можно объяснить отсутствия всех ограничений.
4. mkalimulin 807 26.10.22 21:43 Сейчас в теме
Под номером 0 в списке я бы поставил правило:
"Обеспечить гарантированное обнаружение несанкционированного изменения данных"
Это не защитит от несанкционированного просмотра, но зато защитит от изменения. А последствия изменений обычно серьезней, чем последствия от просмотра
5. m_aster 102 27.10.22 02:21 Сейчас в теме
(3)Web-клиент при правильной организации даст увидеть Вам только то, что Вам можно увидеть. Конечно есть вопросы безопасности выполнения кода на клиенте, используемого протокола и т.д.(https://its.1c.ru/db/v8std/content/678/hdoc), об этом здесь сказано.
Насчет утечки через браузер того, к чему у клиента есть доступ конечно также нужно помнить и предпринимать необходимые шаги.
Здесь посмотрите: https://efsol.ru/articles/web-1s-secure.html (есть вещи, о которых здесь также сказано, просто по другому быть не может).
И какие расширения нужны для работы?
"Расширение для работы с 1С:Предприятием" и все. Никуда ходить вы больше не будете, что еще нужно?
Если и ходить, то только по работе, все остальное дома.
Работа с данными, в том числе через браузер, это вопрос регламента безопасности. Да так и должно быть.
В качестве браузера Edge с множеством настроек безопасности как "родной" от MS со всеми вытекающими(авторизация, проверка подлинности и т.д.).
10. papami 53 27.10.22 09:20 Сейчас в теме
(5) Я говорю про то, что в том же хроме расширение имеет полный доступ к содержимому браузера. Бух, сидя на удаленке, чтобы заходить в инсту поставит расширение для VPN или любое другое супер расширение. И там одному разработчику известно что внутри.
6. muskul 27.10.22 03:11 Сейчас в теме
Если у человека есть доступ к сети предприятия. я думаю 1с последнее чем будут пользоваться злодеи.
зы. тест гилева с именем gilev наверняка у многих так и лежит
8. Painted 48 27.10.22 08:39 Сейчас в теме
Чё-то не смог повторить действия автора.
Часть консолей под простым юзером не загрузилось, требует полные права. Какие-то консоли открылись, но в "ПривилегированныйРежим" не переходят. При этом пишут "Успех", но реально роль не добавляется.
У автора какая-то особенная консоль? Кто-то смог повторить взлом?
11. maksal 53 27.10.22 09:24 Сейчас в теме
9. tormozit 6762 27.10.22 08:42 Сейчас в теме
"в режиме обычных форм" - нет такого режима. Есть режим обычного приложения.
Дмитрий74Чел; sapervodichka; +2 Ответить
13. TyurinArt 70 27.10.22 14:50 Сейчас в теме
(0) Можете дать рекомендации по защите паролей от сервисов ИТС, почты которые хранятся в "РегистрСведений.БезопасноеХранилищеДанных" в открытом виде?
15. m_aster 102 27.10.22 21:03 Сейчас в теме
(13)И где Вы там увидели открытое хранение?)) Посмотрите внимательнее на структуру реквизитов. Все как рекомендовано для безопасного хранения паролей на ИТС. Кстати, посмотрите как по этой рекомендации сохраняется пароль, например, от почтовой учетной записи(реквизит, обработчики).
16. TyurinArt 70 27.10.22 22:34 Сейчас в теме
(15)В ресурсе "Данные" с типом "ХранилищеЗначения", используем метод "Получить()", обходим полученную коллекцию, выводим ключ/значение = логин/пароль.
17. m_aster 102 28.10.22 11:44 Сейчас в теме
(16) Прочитайте рекомендации здесь:
https://its.1c.ru/db/v8std/content/740/hdoc
Обратите внимание на гарантии безопасности и можно ли их дать на 100%.
Обычная практика перед предоставлением доступа подписание человеком соглашения о неразглашении со всеми вытекающими.
18. mkalimulin 807 28.10.22 13:10 Сейчас в теме
(17) От просмотра 100% гарантии нет. От изменения можно получить 100% гарантию
33. m_aster 102 28.10.22 18:10 Сейчас в теме
(18)Выше все уже сказано, просто решите для себя что такое конфиденциальность.
34. mkalimulin 807 28.10.22 18:22 Сейчас в теме
(33) Есть информационная безопасность. Ее условно можно разделить на две области: защита от просмотра и защита от изменения. Защитить базу 1С от просмотра на 100% в принципе невозможно. Защитить от изменения можно на 100% при определенных усилиях
36. m_aster 102 28.10.22 18:55 Сейчас в теме
(34)Конечно есть, об этом и статья. Основной вопрос как ограничить просмотр конфиденциальной информации, доступной определенному кругу лиц и зачастую просто просмотра этой информации третьим лицам бывает достаточно(и почему нельзя ограничить просмотр? Доступ закрыли и все)). Шутка, конечно). Но также есть вероятность, что специалист с определенным набором инструментов и определенными знаниями получив доступ к просмотру данных найдет возможность и изменить их и не только их, т.е. получить полный доступ. Можно существенно усложнить ему жизнь, но нельзя быть спокойным на 100%, и это правильно, ни одна система не дает 100% гарантии. Про человеческий фактор я уже сказал выше.
37. mkalimulin 807 28.10.22 19:40 Сейчас в теме
(36) Вы ошибаетесь. Можно получить 100% гарантию от изменения.
19. awk 737 28.10.22 14:51 Сейчас в теме
(0)
Пароль в файле лежит в зашифрованном виде. Но алгоритм шифрования известен. Более того, есть программы по расшифровке данных паролей. Причем, важно отметить, это не подбор, как в случае SHA-1, а именно расшифровка. Расшифровать можно любой пароль любой сложности. На картинке ниже сложный пароль, который без проблем поддался дешифровке.


Кому известен алгоритм? Что-то я не нашел на просторах интернета, ни алгоритма, ни ключа шифрования. Единственное, что понятно (с определенной долей вероятности) путем анализа файла, пароль в файле 1CV8Сlst - это base64 кодированные двоичные данные, зашифрованные 128 битным блочным алгоритмом.
20. mkalimulin 807 28.10.22 15:01 Сейчас в теме
(19) А почему сейчас уже никто (кроме 1С) не хранит пароли? Почему хранение паролей считается моветоном?
21. awk 737 28.10.22 15:04 Сейчас в теме
(20) Вы подумали перед тем как написать?
22. mkalimulin 807 28.10.22 15:06 Сейчас в теме
23. awk 737 28.10.22 15:08 Сейчас в теме
(22) Вы в настройки браузера давно заглядывали?

А хочу сказать, что вы поторопились с заявлением.
24. mkalimulin 807 28.10.22 15:14 Сейчас в теме
(23) Браузер - личное дело. Ни одна публичная система не хранит пароли.
25. awk 737 28.10.22 15:15 Сейчас в теме
(24) А операционная система - вещь общественная. Там то же хранятся пароли.
26. mkalimulin 807 28.10.22 15:29 Сейчас в теме
(25) Что вы пытаетесь доказать? Что хранение паролей - дело обычное? Ну, может быть. Только от этого оно не становится правильным. Пароли должны храниться в голове или на бумажке. Только тогда они будут иметь смысл
27. awk 737 28.10.22 15:33 Сейчас в теме
(26) А бумажку к монитору прикрепить.

Что вы пытаетесь доказать?


Ничего, просто даю вашему таланту раскрыться во всей красе.
28. mkalimulin 807 28.10.22 15:35 Сейчас в теме
(27) А бумажку носить в кармане и никому не показывать. Это если память слабая. А если с памятью все в порядке, тогда просто помнить
29. awk 737 28.10.22 15:43 Сейчас в теме
(28) А можно использовать одну бумажку, для всех паролей или для каждого пароля свою надо заводить? На память я не надеюсь. А то помнится еще в 2005 году (на конференции в СПб) Microsoft заявила, что пароли вещь не надежная.
30. mkalimulin 807 28.10.22 15:46 Сейчас в теме
(29) Пароли - вещь надежная. Если они правильные, конечно. И хранятся правильно
31. awk 737 28.10.22 15:50 Сейчас в теме
(30) Нет. Простые - легко подбираются. Сложные - забываются и вынуждают пользователей хранить их не в голове, что делает их легкодоступными. Плюс, зачастую используется один пароль ко всем ресурсам. Таким образом, получение одного пароля, дает доступ ко множеству ресурсов. С начала века ведется поиск обхода данных проблем. Как варианты решения:
1. Двухфакторная авторизация
2. Использование биометрических данных
3. Использование доверенного посредника.
41. Tavalik 2858 01.11.22 16:26 Сейчас в теме
(19)

В интернете информации почти нет, да. Но кому надо, тот знает.

Посмотрите, например, вот этот доклад: https://youtu.be/eZNHimUJxTk

(и да, сервис, про которые рассказывается в докладке по ссылке уже недоступен, но, уверяю вас, он работал)
42. user825349 03.11.22 19:26 Сейчас в теме
(41)
А кому надо и не знает, что делать?
44. Munsters 13 08.11.22 16:36 Сейчас в теме
(41) Посмотрел это видео.. Оно шедеврально:
"мы нашли какое то ПО для брутфорса.. оно было дорогое.. и поэтому... мы создали своё! Бинго блин
там конечно надо библиотеку зарегить, ну да справитесь..
О! а поскольку в России свои пароли, то мы.... сделали свои словари для брутфорса 1С!" Еще Бинго!!
так и хочется сказать какие же вы, бл**, молодцы то. спасибо вам
Но при этом просят, если у кого есть конечно, скинуть спецификацию по обмену программой по TCP протоколу..
кхм.. да я даже знаю зачем она им )))))
и очень надеюсь, что она к ним не попадет

"А еще мы сделали онлайн сайт для расшифровки паролей"... Да ну епрст..
по итогу эти ребята сделали для вредительства больше, чем для защиты...
45. mkalimulin 807 08.11.22 20:22 Сейчас в теме
(44) Как по вашему? Сайты для расшифровки паролей вредят или помогают?
43. Munsters 13 08.11.22 15:34 Сейчас в теме
впервые услышал и про расшифровку 1CV8Clst.lst и про "для 1С существуют и программы по перебору паролей". ощущение, что живу в информационном вакууме.
напишите хоть одно название брута и что за сайт / программа что расшифровывает 1CV8Clst.lst?
вроде гуглом пользоваться умею а ничего не нашел...
был ли мальчик?
32. kser87 2284 28.10.22 16:50 Сейчас в теме
Готова пошаговая инструкция для проверки безопасности системы. Спасибо.

Но тут отмечу, что это оптимистично. ресурсов не хватит:

Ну а дальше через ODBC-драйвер мы подключаемся к SQL-серверу. Может и Management Studio где найдется. И одним простым скриптом:

Создаем новую базу на сервере

Разворачиваем в нее копию той самой секретной базы

Очищаем таблицу v8users

И удаляем определенную строку в таблице Params
38. NeLenin 13 31.10.22 01:03 Сейчас в теме
Предположу, что хакеры этой статьей будут пользоваться чаще, чем админы.
39. mkalimulin 807 31.10.22 07:42 Сейчас в теме
(38) Такие статьи нужны для того, чтобы побольше людей осознавали проблемы и начинали уже их решать
40. NeLenin 13 31.10.22 13:03 Сейчас в теме
(39) Лично мне статья определенно "зашла". Автору спасибо!
Оставьте свое сообщение
Вакансии
Аналитик 1С
Москва
зарплата от 110 000 руб. до 130 000 руб.
Полный день

1С разработчик
Москва
зарплата от 150 000 руб. до 200 000 руб.
Полный день

Руководитель группы разработки
Краснознаменск (Московская обл.)
зарплата от 180 000 руб. до 300 000 руб.
Полный день

Инженер 1С
Ессентуки
зарплата от 120 000 руб. до 144 000 руб.
Полный день

Программист 1С
Краснознаменск (Московская обл.)
зарплата от 150 000 руб. до 250 000 руб.
Полный день