Пентест и жо
Jan. 21st, 2019 01:52 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
Любой инфобезник знает, что простейший путь через социальную инженерию унутрь компании это женщина.
Сегодня утром прочитал результаты типового пентеста, произошедшего когда-то там с кокойты компанией.
Чуваки специально выбрали группу в дозен человек, почти все женщины. Все устояли, кроме двух -- эти прокликали all the way to launching an embedded macro. Для справки, сначала нужно было согласиться открыть документ из недоверенного источника (энторнет, типа). Потом ещё раз чтобы запустить макросы. Каждый диалог стращает страшными карами и предупреждает о катаклизъмах.
Не удивлюсь, если пентестерские фирмы специально, шерстя линкедин, выбирают женщин. И если они так не делают, то поступают неправильно.
Основываясь на личном опыте, женщина с большей вероятностью кликнет на подозрительный диалог и согласится с предложенным, нежели мужчина.
Другим слабым звеном оказался индус из доменных админов. У болвана был одинаковый пароль на обычный аккаунт и на PA аккаунт. Вот есть мозг вообще или нет. Как дал бы, блядь.
Сегодня утром прочитал результаты типового пентеста, произошедшего когда-то там с кокойты компанией.
Чуваки специально выбрали группу в дозен человек, почти все женщины. Все устояли, кроме двух -- эти прокликали all the way to launching an embedded macro. Для справки, сначала нужно было согласиться открыть документ из недоверенного источника (энторнет, типа). Потом ещё раз чтобы запустить макросы. Каждый диалог стращает страшными карами и предупреждает о катаклизъмах.
Не удивлюсь, если пентестерские фирмы специально, шерстя линкедин, выбирают женщин. И если они так не делают, то поступают неправильно.
Основываясь на личном опыте, женщина с большей вероятностью кликнет на подозрительный диалог и согласится с предложенным, нежели мужчина.
Другим слабым звеном оказался индус из доменных админов. У болвана был одинаковый пароль на обычный аккаунт и на PA аккаунт. Вот есть мозг вообще или нет. Как дал бы, блядь.
no subject
Date: 2019-01-22 06:26 am (UTC)Тож це була мені наука, що або система безпеки прийнятна у простоті залогінитись, або нею ніхто не користується. Теж саме стосується і захисту від нецільового використання.
no subject
Date: 2019-01-22 10:04 am (UTC)если бы хоть одна титонька оказалась саботажницей и подставила с увольнением и возмещением, внезапно всем бы стало потребно логиниться
если тёток до 10 и они лично знают адреса друг друга, чтобы придти и морду разбить за подставу -- самое то
no subject
Date: 2019-01-22 03:09 pm (UTC)Говорить что-то и просвещать бесполезно, цена словам 0.
Организация учится через совершение ошибок. Когда ошибка есть, это аргумент за проведение соотв. политики.
Т.е., взять, допустим, Маерск (см. подробную статью в зе виред). Уверен, что обо всём там говорили и предупреждали, но никто не слушал с возражением: "Ты што, хочешь мешать бизнесу своими секьюрити контролами?"
А как посадили весь энтерпрайз на 1-3 месяца с остановкой ВСЕХ операций и компания потеряла под миллиард денег -- сразу всем стало понятно зачем оно. Несмотря на то, что компания потеряла гигантские деньги сейчас их инфосек отдел проблем с финансированием не имеет.
Так всегда и бывает, а по-другому -- только в относительно небольших монархических компаниях с сильным и параноидальным лидером, который будет бояться будущего и к нему готовиться. Публичные компании, госконторы и непубличные крупные бизнесы обречены идти по граблям, иначе не бывает.
no subject
Date: 2019-01-22 07:38 am (UTC)у мене навпаки, ггг
колись давно, коли я підробляв сисадмінством, спочатку була держпідприємство, де було 100% жінок, потім була приватна контора, де було 80% чоловіків
я з теплим почуттям згадував 1шу контору, бо там ніхто не виябувався і всі слухали, що я казав; 2й контора була майже вщент наповнена дебілами, які звичайно завжди краще за мене знали як і шо--кожного разу зі сумними результами
no subject
Date: 2019-01-22 03:11 pm (UTC)Воооооот, подтверждаете что йа написал. Они ведь слухают не только Вас. Они, как подвернётся случай, будут слухать и кулхацкеров.
no subject
Date: 2019-01-22 04:50 pm (UTC)ггг
але ж можна спробувати порахувати щось не тільки з персонального досвіду!
є дампи паролів з імейлами, які видобувають найпростішими методами хфішингу: відправляють імейл "це я, ваш рідний адмін, гайда сюди до вашого банку (http://rialny-hakir-vasia.amerike-skoro-kaput.ru) та негайно введіть логіну та паролю, інакше вас звільнять з роботи"
осьо наприклад 2016 дамп: https://publicdbhost.dmca.gripe/exploit.in.zip (~832MB)
який має 3 типи юзернеймів:
1) явно жіночі 2) явно чоловічи 3) хуй просциш чиї
(3) ігнорувати, а (1) та (2) порахувати
звичайно то є непросто, тя там гуляш з купи імен від різних країн, але теоретично є можливим
no subject
Date: 2019-01-22 05:03 pm (UTC)