Вопрос. На кой хер главе права доменного админа? Какого болта от Братской ГЭС не было разделения прав для разных групп - DBA не должны иметь админских доступов никуда кроме своих конкретных серверов и баз на них, администраторы резервного копирования - соответственно могут иметь доступ только до своих сегментов, по остальным сервисам то же самое. Повышение прав - это вообще отдельная песня, каждый конкретный эпизод должен фиксироваться и иметь строго определенный период действия, строго определенный список операций, допустимых для повышаемой в правах УЗ. Про допуск к логину с ограниченного числа рабочих станций и подсетей речь вообще не ведется - это дефолтное поведение с примерно 1999 года. По-хорошему обязательно должен быть внедрен поведенческий анализ - ну то есть если в течение месяца до вчера Уасся пользовался каким-нибудь keepass, mstsc и, например, mobaxterm, а сегодня пересел на powershell и putty - что-то, наверное, не то и пора ИБшнику брать паяльник и спрашивать у Уасси (с уже заблоченной и кикнутой УЗ), что с ним такое произошло.
Ну, по крайней мере, я так делал, пока убер-админом и ИБшником в одном флаконе пахал.
Видимо это было давно. Хероваа туча уязвимостей в виндовом софте, позволяющем повышать привилегии учетки, производить запуск исполняемых файлов с нужными правами и прочее. Своевременно обычно не патчат админы, да и до выпуска патчей проходит порой много времени после того, как сведения об уязвимости появились. А могут и не появляться очень долго. В итоге, если на палиться и не выдавать своего присутствия в сети жертвы - в принципе за достаточное время можно все изучить, подготовить, и потом одномоментно положить.
Самые распиздяи в ИБ - это сисадмины, не делающие как положено, потому что им неудобно, да и кроме них все равно доступа нет ни у кого.... Ну и сами ИБшники, которые нихрена не понимают как работает сеть на физических и протокольных уровнях, как происходит взаимодействие компонентов сложных распределенных систем и т.п.
Да и современные RAT вирусы делаются под заказ и не одним антивирусником не задетектится, а среди тысячи сотрудников всегда найдутся те, кто все же откроет фишинговое вложение или перейдет по фишинговой ссылке на адрес, которого ни в одном файрволе в листах нет, потому что адрес под конкретную атаку заделан и ранее не палился нигде.
Сегментирование сети тоже через жопу делают, обычно комп админа имеет доступ и к пользовательским и к серверным vlan, потому что так удобнее. И даже если есть физически отдельный админский комп в серверном vlan, админ себе пробрасывает туда доступ со своего компа, потому что ножками ходить лень, или неохота переключаться туда-сюда.... Вот и дыра между сегментами.
Вообщем вариантов куча, если есть время, находясь внутри сети все изучить, то вполне возможна атака.
Скажите сколько людей из банков, операторов связи, того же Сбера и Ростелекома посадили за утечку данных ???
Вот то то.... Потому и распиздяйское отношение ко всему этому, до тех пор пока реально всю инфраструктуру не положат.
Я заставляю юзверей менять раз в пол-года, а начальство вообще хочет перейти на раз в квартал. Ну и 2FA везде, где только можно.
И мы нихуя не Аэрофлот по размерам даже близко.
Много предприятий работает на говно железе. Я молчу еще про военный сектор. Я вполне не удивляюсь, что жадность и пофигизм основаны тем , что нужно менять периферийные устройства в плане тех же древних принтеров и тд) Но чтобы глава АЭРОФЛОТА))) хех ну да ладно ... пускай веселятся)
Вопрос. На кой хер главе права доменного админа? Какого болта от Братской ГЭС не было разделения прав для разных групп - DBA не должны иметь админских доступов никуда кроме своих конкретных серверов и баз на них, администраторы резервного копирования - соответственно могут иметь доступ только до своих сегментов, по остальным сервисам то же самое. Повышение прав - это вообще отдельная песня, каждый конкретный эпизод должен фиксироваться и иметь строго определенный период действия, строго определенный список операций, допустимых для повышаемой в правах УЗ. Про допуск к логину с ограниченного числа рабочих станций и подсетей речь вообще не ведется - это дефолтное поведение с примерно 1999 года. По-хорошему обязательно должен быть внедрен поведенческий анализ - ну то есть если в течение месяца до вчера Уасся пользовался каким-нибудь keepass, mstsc и, например, mobaxterm, а сегодня пересел на powershell и putty - что-то, наверное, не то и пора ИБшнику брать паяльник и спрашивать у Уасси (с уже заблоченной и кикнутой УЗ), что с ним такое произошло.
Ну, по крайней мере, я так делал, пока убер-админом и ИБшником в одном флаконе пахал.
Видимо это было давно. Хероваа туча уязвимостей в виндовом софте, позволяющем повышать привилегии учетки, производить запуск исполняемых файлов с нужными правами и прочее. Своевременно обычно не патчат админы, да и до выпуска патчей проходит порой много времени после того, как сведения об уязвимости появились. А могут и не появляться очень долго. В итоге, если на палиться и не выдавать своего присутствия в сети жертвы - в принципе за достаточное время можно все изучить, подготовить, и потом одномоментно положить.
Самые распиздяи в ИБ - это сисадмины, не делающие как положено, потому что им неудобно, да и кроме них все равно доступа нет ни у кого.... Ну и сами ИБшники, которые нихрена не понимают как работает сеть на физических и протокольных уровнях, как происходит взаимодействие компонентов сложных распределенных систем и т.п.
Да и современные RAT вирусы делаются под заказ и не одним антивирусником не задетектится, а среди тысячи сотрудников всегда найдутся те, кто все же откроет фишинговое вложение или перейдет по фишинговой ссылке на адрес, которого ни в одном файрволе в листах нет, потому что адрес под конкретную атаку заделан и ранее не палился нигде.
Сегментирование сети тоже через жопу делают, обычно комп админа имеет доступ и к пользовательским и к серверным vlan, потому что так удобнее. И даже если есть физически отдельный админский комп в серверном vlan, админ себе пробрасывает туда доступ со своего компа, потому что ножками ходить лень, или неохота переключаться туда-сюда.... Вот и дыра между сегментами.
Вообщем вариантов куча, если есть время, находясь внутри сети все изучить, то вполне возможна атака.
Скажите сколько людей из банков, операторов связи, того же Сбера и Ростелекома посадили за утечку данных ???
Вот то то.... Потому и распиздяйское отношение ко всему этому, до тех пор пока реально всю инфраструктуру не положат.
Думаю и госуслуги такое же дырявое решето. Просто его ещё никто не ковырял по взрослому. А может и ковыряли умные дяди, но не пиздят об этом. Доверия к системам безопасности это не добавляет. Тёрки про цифровой рубль на фоне этих событий явно преждевременны.
Я заставляю юзверей менять раз в пол-года, а начальство вообще хочет перейти на раз в квартал. Ну и 2FA везде, где только можно.
И мы нихуя не Аэрофлот по размерам даже близко.
Ну если ты что-то все таки понимаешь в секурности, тогда ты должен знать - то 90% взломов идут через хьюман-инжинириг, и никакие политики смены паролей тут не помогут.
А цель какая у хакеров? Ну взломали, ну скачали? В чем выгода? Показать что могут? Мне вот пох. Показать что в аэрофлоте дыра в ит? Ну мне как обыаателю тоже пох. Ибо везде такой бардак куда не ткни. Вот если бы они автоваз взломали и он не мог выпускать корыта полгода год, вот это я понимаю. А тут…
В даркнете, на (ресурсах пробивщиков в т.ч.) такие массивы данных стоят очень приличных денег. Если там есть данные покупки билетов. БД вообще можно сказать "сладкие", потому что кроме все данных пассажира, там еще есть и данные его банковской карты.
Размещено через приложение ЯПлакалъ
Всё они починят и думаю достаточно быстро. Сталкивался с разными крупными коммерческими компаниями. Как правило полный бекап всех баз раз в квартал (связанных так или иначе с работой систем или пользователями), инкрементальный бекап раз две недели. Бекапы всегда хранятся офлайн, так что уничтожить их можно только физически. Откатятся на месяц по информации, утрутся, сделают выводы и продолжат работать.
В нашей стране за случайный слив данных их не накажут. Для западной компании такой слив бы грозил банкротством компании из-за десятков тысяч исков
P,S. Не может в принципе такого быть что нет бекапов! Какая бы мощная система безопасности ни была - всегда есть человеческий фактор. Какого-нить SQL админа бросит жена, у него слетит кукуха и он дропнит базы, или всех юзеров этой базы, или отформатирует сервера где они крутятся. Везде есть кто-то у кого прав на это хватит. Я уже не говорю про возможный проеб разрабов, когда DELETE скрипт выполнил не 10 строк а 100 милионов ))
Это сообщение отредактировал doommm - 29 июл. 2025 г. в 01:29
давно уже всем говорю, не ебите голову с придуманными паролями. Они почти все есть в общедоступном файлике для брута. Пароли надо генерить сейчас. Берёшь оффлайн кипер паролей и генеришь себе то, что брутом будешь перебирать семь вечностей. Ну и 2фа никто не отменял.
Да берёшь и ставишь любую русскую фразу символов на 15-20. 123КаКая#ХоРошаЯ@ПоГода321 Хоть забрутфорся
Размещено через приложение ЯПлакалъ
Слушайте. Можно сколько угодно рассказывать про мегакрутых кулхацкеров и прочее, но все все прекрасно понимают. Атаки на подобного рода инфраструктуры извне в принципе невозможны в таких масштабах, так как политика нулевого доверия и прочие вещи - это маст хэв, и если бы было по-другому, что все бы эти сайты (не только аэрофлот, а подобные) - лежали бы днями и ночами, изза атак, ддосов и прочего.
Это как взломать амазон, ибей и прочее - сливы там были и будут, но не изза атак извне, а в силу другой причины. И называется она - работа изнутри, все прекрасно понимают, что именно изнутри это было сделано, но никак не снаружи. Само собой, снуружи тоже помогли, но без инсайда - такое было бы не возможно в принципе.
Более чем уверен, что поиски крысы ведутся и ее найдут, само собой.
Говорят, что хакнули МСЭ Checkpoint, как раз полтора года назад уязвимость была и пошло-поехало.
пруф говно. сейчас каждый второй школьник в телеге будет говорить что это он хакер и именно он взломал. и выдумывать басни про пароли "123456"
п.с. в самом факте взлома не сомневаюсь.
Говно да Аэрофлот крайний а пиздюлей это вот сюда
В Российской Федерации контроль за соблюдением законодательства в области критической информационной инфраструктуры (КИИ) осуществляет ФСТЭК России (Федеральная служба по техническому и экспортному контролю). Именно ФСТЭК России является уполномоченным органом в этой сфере и отвечает за ведение реестра объектов КИИ, формирование требований по обеспечению их безопасности и контроль за выполнением этих требований. Также, ФСБ России участвует в регулировании и координации деятельности субъектов КИИ, особенно в части обнаружения и реагирования на компьютерные атаки.
Размещено через приложение ЯПлакалъ
давно уже всем говорю, не ебите голову с придуманными паролями. Они почти все есть в общедоступном файлике для брута. Пароли надо генерить сейчас. Берёшь оффлайн кипер паролей и генеришь себе то, что брутом будешь перебирать семь вечностей. Ну и 2фа никто не отменял.
Да берёшь и ставишь любую русскую фразу символов на 15-20. 123КаКая#ХоРошаЯ@ПоГода321 Хоть забрутфорся
Брутфорс уже давно не работает, если политики настроены правильно. Максимум чего можно добиться это блокировки учётки какого-то пользователя, логин которого ты знаешь. 3-5 попыток и учётка залочена, дальше разбор полетов с админами: кто, как, откуда, зачем! Если правильно настроена двухфакторная авторизация, то и блокировки не будет, просто ничего не сможешь сделать.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
Где то использовалось легитимное ПО. Ждали хешей пароля суперадмина домена.
yaplakal.com