История одного взлома или проверьте вашу систему на безопасность
От клиента клиенту, от одной системы к другой, мы вновь и вновь встречаем одни и те же проблемы и дыры в безопасности. На конференции Infostart Event 2021 Post-Apocalypse Виталий Онянов рассказал о базовых принципах безопасности информационных систем и представил чек-лист, с помощью которого вы сможете проверить свою систему на уязвимость.
Комментарии
В избранное
Подписаться на ответы
Сортировка:
Древо развёрнутое
Свернуть все
Спасибо! Очень интересно и познавательно, несмотря на то, что много из данной статьи мне лично было известно и ранее.
Открытые пароли(я уж не говорю про тексты модулей) это то, от чего надо избавляться в первую очередь, тем более что в БСП все для этого есть.
И да, вопрос безопасности небанален, как как может показаться на первый взгляд.
Когда-то, лет 15 назад, читал западную статью о безопасности, о методах, которые используют конкуренты в поисках важной информации, вплоть до того, что лезут в мусор в надежде найти там смятый лист с важными данными и т.д.
Так что, все это реально серьезно, особенно в наше время, когда для пытливого ума многие "преграды" являются лишь тренировкой.
И вывод, который давался в этой статье был простым - какой бы сильной ни была защита, и программная, и аппаратная, главное слабое звено это человеческий фактор. Это надо всем понимать и помнить об этом.
Помню, лет семь назад свою недовольную начальницу, которая говорила, что мол из-за твоих COM'ов(с помощью которого обслуживалось около 350 баз)каждый раз надо вбивать пароль администратора кластера, и пароль администратора сервера в консоли(пароль кластера требовал, как минимум, COM для подключения).
А я отвечал, принцип прост(это, кстати, из той статьи о безопасности) - если тебе трудно зайти в консоль, значит это усложняет жизнь кому-то другому.
В одной компании видел, что все пользователи работают через WEB-клиент в браузере, это безопасность и удобство обновления платформы только на сервере.
Усложняйте жизнь кому-то другому, чтобы по максимуму обезопасить свою жизнь.
Открытые пароли(я уж не говорю про тексты модулей) это то, от чего надо избавляться в первую очередь, тем более что в БСП все для этого есть.
И да, вопрос безопасности небанален, как как может показаться на первый взгляд.
Когда-то, лет 15 назад, читал западную статью о безопасности, о методах, которые используют конкуренты в поисках важной информации, вплоть до того, что лезут в мусор в надежде найти там смятый лист с важными данными и т.д.
Так что, все это реально серьезно, особенно в наше время, когда для пытливого ума многие "преграды" являются лишь тренировкой.
И вывод, который давался в этой статье был простым - какой бы сильной ни была защита, и программная, и аппаратная, главное слабое звено это человеческий фактор. Это надо всем понимать и помнить об этом.
Помню, лет семь назад свою недовольную начальницу, которая говорила, что мол из-за твоих COM'ов(с помощью которого обслуживалось около 350 баз)каждый раз надо вбивать пароль администратора кластера, и пароль администратора сервера в консоли(пароль кластера требовал, как минимум, COM для подключения).
А я отвечал, принцип прост(это, кстати, из той статьи о безопасности) - если тебе трудно зайти в консоль, значит это усложняет жизнь кому-то другому.
В одной компании видел, что все пользователи работают через WEB-клиент в браузере, это безопасность и удобство обновления платформы только на сервере.
Усложняйте жизнь кому-то другому, чтобы по максимуму обезопасить свою жизнь.
(1) Лет 20 назад к нам пришел асфальтовый завод из США. Руководство пищало от восторга, предвкушая, насколько продумана и защищена тамошняя компьютерная система. От нечего делать залез в файлы и сразу же нашел один с загадочным названием Passwords. В нем были имена пользователей и конечно же абракадабра вместо паролей, но мы тоже не дураки. Зная свой пароль, я понял, что символы в явном виде, просто биты у них сдвинуты на одну позицию. Надо ли говорить, что после получения таких сведений наша выработка резко пошла вверх. :-)
(12)Вот он российский менталитет). Мол, раз из США, то все лучше, чем у нас)). Здесь они играют по нашим правилам и то, что они из США совсем не говорит, что у нас хуже. И у нас такого полно. Я же сказал, самое слабое звено - человеческий фактор. Интереснее как они у себя на родине хранят информацию. Надо избавляться от совкого представления(до сих пор себя ловлю на этой мысли прививаемой годами советского воспитания), что, мол, там другие люди. Да, нам в советское время, особенно это помнится в детстве, все время внушали, что там живут черствые, бессердечные люди, равнодушные к чужим проблемам, то ли дело в СССР)) Помню, в институте на политинформации один отслуживший рассказывал про загнивающий Запад и вещал, что Сталлоун(обычно Сталлоне) настолько перекачан гормонами, что моментально устает и толком не может быстро и долго двигаться, поэтому его движения снимали маленькими кусочками, потом склеивали в одно целое)). Да все у них так же и у нас может быть лучше, а, собственно, почему нет?
(2)
аутентификация по ad, запеты внешних обработок, роль на кластер - это базовые вещи, такие же как в компьютере у пользователя не права администратора.
Кто такое делает на больших проектах проф непригоден уже, может частная компания, где нет серверов еще можно объяснить отсутствия всех ограничений.
делают ДО "прецендента"
аутентификация по ad, запеты внешних обработок, роль на кластер - это базовые вещи, такие же как в компьютере у пользователя не права администратора.
Кто такое делает на больших проектах проф непригоден уже, может частная компания, где нет серверов еще можно объяснить отсутствия всех ограничений.
Под номером 0 в списке я бы поставил правило:
"Обеспечить гарантированное обнаружение несанкционированного изменения данных"
Это не защитит от несанкционированного просмотра, но зато защитит от изменения. А последствия изменений обычно серьезней, чем последствия от просмотра
"Обеспечить гарантированное обнаружение несанкционированного изменения данных"
Это не защитит от несанкционированного просмотра, но зато защитит от изменения. А последствия изменений обычно серьезней, чем последствия от просмотра
(3)Web-клиент при правильной организации даст увидеть Вам только то, что Вам можно увидеть. Конечно есть вопросы безопасности выполнения кода на клиенте, используемого протокола и т.д.(, об этом здесь сказано.
Насчет утечки через браузер того, к чему у клиента есть доступ конечно также нужно помнить и предпринимать необходимые шаги.
Здесь посмотрите: (есть вещи, о которых здесь также сказано, просто по другому быть не может).
И какие расширения нужны для работы?
"Расширение для работы с 1С:Предприятием" и все. Никуда ходить вы больше не будете, что еще нужно?
Если и ходить, то только по работе, все остальное дома.
Работа с данными, в том числе через браузер, это вопрос регламента безопасности. Да так и должно быть.
В качестве браузера Edge с множеством настроек безопасности как "родной" от MS со всеми вытекающими(авторизация, проверка подлинности и т.д.).
Насчет утечки через браузер того, к чему у клиента есть доступ конечно также нужно помнить и предпринимать необходимые шаги.
Здесь посмотрите: (есть вещи, о которых здесь также сказано, просто по другому быть не может).
И какие расширения нужны для работы?
"Расширение для работы с 1С:Предприятием" и все. Никуда ходить вы больше не будете, что еще нужно?
Если и ходить, то только по работе, все остальное дома.
Работа с данными, в том числе через браузер, это вопрос регламента безопасности. Да так и должно быть.
В качестве браузера Edge с множеством настроек безопасности как "родной" от MS со всеми вытекающими(авторизация, проверка подлинности и т.д.).
Чё-то не смог повторить действия автора.
Часть консолей под простым юзером не загрузилось, требует полные права. Какие-то консоли открылись, но в "ПривилегированныйРежим" не переходят. При этом пишут "Успех", но реально роль не добавляется.
У автора какая-то особенная консоль? Кто-то смог повторить взлом?
Часть консолей под простым юзером не загрузилось, требует полные права. Какие-то консоли открылись, но в "ПривилегированныйРежим" не переходят. При этом пишут "Успех", но реально роль не добавляется.
У автора какая-то особенная консоль? Кто-то смог повторить взлом?
(13)И где Вы там увидели открытое хранение?)) Посмотрите внимательнее на структуру реквизитов. Все как рекомендовано для безопасного хранения паролей на ИТС. Кстати, посмотрите как по этой рекомендации сохраняется пароль, например, от почтовой учетной записи(реквизит, обработчики).
(34)Конечно есть, об этом и статья. Основной вопрос как ограничить просмотр конфиденциальной информации, доступной определенному кругу лиц и зачастую просто просмотра этой информации третьим лицам бывает достаточно(и почему нельзя ограничить просмотр? Доступ закрыли и все)). Шутка, конечно). Но также есть вероятность, что специалист с определенным набором инструментов и определенными знаниями получив доступ к просмотру данных найдет возможность и изменить их и не только их, т.е. получить полный доступ. Можно существенно усложнить ему жизнь, но нельзя быть спокойным на 100%, и это правильно, ни одна система не дает 100% гарантии. Про человеческий фактор я уже сказал выше.
(0)
Кому известен алгоритм? Что-то я не нашел на просторах интернета, ни алгоритма, ни ключа шифрования. Единственное, что понятно (с определенной долей вероятности) путем анализа файла, пароль в файле 1CV8Сlst - это base64 кодированные двоичные данные, зашифрованные 128 битным блочным алгоритмом.
Пароль в файле лежит в зашифрованном виде. Но алгоритм шифрования известен. Более того, есть программы по расшифровке данных паролей. Причем, важно отметить, это не подбор, как в случае SHA-1, а именно расшифровка. Расшифровать можно любой пароль любой сложности. На картинке ниже сложный пароль, который без проблем поддался дешифровке.
Кому известен алгоритм? Что-то я не нашел на просторах интернета, ни алгоритма, ни ключа шифрования. Единственное, что понятно (с определенной долей вероятности) путем анализа файла, пароль в файле 1CV8Сlst - это base64 кодированные двоичные данные, зашифрованные 128 битным блочным алгоритмом.
(30) Нет. Простые - легко подбираются. Сложные - забываются и вынуждают пользователей хранить их не в голове, что делает их легкодоступными. Плюс, зачастую используется один пароль ко всем ресурсам. Таким образом, получение одного пароля, дает доступ ко множеству ресурсов. С начала века ведется поиск обхода данных проблем. Как варианты решения:
1. Двухфакторная авторизация
2. Использование биометрических данных
3. Использование доверенного посредника.
1. Двухфакторная авторизация
2. Использование биометрических данных
3. Использование доверенного посредника.
(41) Посмотрел это видео.. Оно шедеврально:
"мы нашли какое то ПО для брутфорса.. оно было дорогое.. и поэтому... мы создали своё! Бинго блин
там конечно надо библиотеку зарегить, ну да справитесь..
О! а поскольку в России свои пароли, то мы.... сделали свои словари для брутфорса 1С!" Еще Бинго!!
так и хочется сказать какие же вы, бл**, молодцы то. спасибо вам
Но при этом просят, если у кого есть конечно, скинуть спецификацию по обмену программой по TCP протоколу..
кхм.. да я даже знаю зачем она им )))))
и очень надеюсь, что она к ним не попадет
"А еще мы сделали онлайн сайт для расшифровки паролей"... Да ну епрст..
по итогу эти ребята сделали для вредительства больше, чем для защиты...
"мы нашли какое то ПО для брутфорса.. оно было дорогое.. и поэтому... мы создали своё! Бинго блин
там конечно надо библиотеку зарегить, ну да справитесь..
О! а поскольку в России свои пароли, то мы.... сделали свои словари для брутфорса 1С!" Еще Бинго!!
так и хочется сказать какие же вы, бл**, молодцы то. спасибо вам
Но при этом просят, если у кого есть конечно, скинуть спецификацию по обмену программой по TCP протоколу..
кхм.. да я даже знаю зачем она им )))))
и очень надеюсь, что она к ним не попадет
"А еще мы сделали онлайн сайт для расшифровки паролей"... Да ну епрст..
по итогу эти ребята сделали для вредительства больше, чем для защиты...
впервые услышал и про расшифровку 1CV8Clst.lst и про "для 1С существуют и программы по перебору паролей". ощущение, что живу в информационном вакууме.
напишите хоть одно название брута и что за сайт / программа что расшифровывает 1CV8Clst.lst?
вроде гуглом пользоваться умею а ничего не нашел...
был ли мальчик?
напишите хоть одно название брута и что за сайт / программа что расшифровывает 1CV8Clst.lst?
вроде гуглом пользоваться умею а ничего не нашел...
был ли мальчик?
Готова пошаговая инструкция для проверки безопасности системы. Спасибо.
Но тут отмечу, что это оптимистично. ресурсов не хватит:
Ну а дальше через ODBC-драйвер мы подключаемся к SQL-серверу. Может и Management Studio где найдется. И одним простым скриптом:
Создаем новую базу на сервере
Разворачиваем в нее копию той самой секретной базы
Очищаем таблицу v8users
И удаляем определенную строку в таблице Params
Но тут отмечу, что это оптимистично. ресурсов не хватит:
Ну а дальше через ODBC-драйвер мы подключаемся к SQL-серверу. Может и Management Studio где найдется. И одним простым скриптом:
Создаем новую базу на сервере
Разворачиваем в нее копию той самой секретной базы
Очищаем таблицу v8users
И удаляем определенную строку в таблице Params
Вакансии
Программист 1С
Краснознаменск (Московская обл.)
зарплата от 150 000 руб. до 250 000 руб.
Полный день
Краснознаменск (Московская обл.)
зарплата от 150 000 руб. до 250 000 руб.
Полный день