tag:blogger.com,1999:blog-7340782444852839278.post3935176711686692945..comments2023-10-09T11:52:56.599+03:00Comments on ИБ2.0: История одного пентеста или как не надо делать аудитArtem Ageevhttp://www.blogger.com/profile/11188931211885446895noreply@blogger.comBlogger18125tag:blogger.com,1999:blog-7340782444852839278.post-80475351945800439662013-07-16T00:38:38.890+04:002013-07-16T00:38:38.890+04:001. Взлом сайта в нормальной сети даёт только возмо...1. Взлом сайта в нормальной сети даёт только возможность для социнженерии, ибо сайт должен быть в DMZ. Возможности доступа из DMZ к процессингу показано не было, т.е. риск в таком случае может быть вообще нулевым (для данных платёжных карт).<br />2. Действия Олега нарушали законодательство РФ.<br />3. О таком вообще лучше молчать, а не постить в твиттер.<br />4. Из дома можно администрировать сеть вполне безопасно, используя, например, port-knocking.<br /><br />P.S. К банку этому отношения не имею, просто решил загуглить выдачу по запросу "пентест" и наткнулся на эту заметку о старой заметке %)<br /><br />P.P.S. 1 и 4 пункт относятся к сферической баге на сайта банка в вакууме. У данного конкретного банка дела могут быть более чем плохо, но выяснять это должны аудиторы и сертифицирующие организации.Bechedhttp://ahack.ru/noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-23832309783071498122012-05-17T13:35:45.928+04:002012-05-17T13:35:45.928+04:00через 2 недели открывается вакансия начальника, пр...через 2 недели открывается вакансия начальника, приходи, будем работать, будешь давать задания, под твоим чутким руководством все наладим и переделаемAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-8896120849419560482012-05-17T13:19:51.246+04:002012-05-17T13:19:51.246+04:00они это прекрасно и давно знают (даже знали до мое...они это прекрасно и давно знают (даже знали до моего прихода туда) =)<br />проблема усугубляется тем, что изначально была выбрана неправильная архитектура (в т.ч. безопасности), а теперь всё на ней завязано и хрен ты так наскоком перейдёшь - только с нуля. Этого собсно и боится делать IT-отдел. Хотя даже не столько боится, сколько "впадлу" за ту ЗП, что там платят.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-73419760886138074432012-05-17T13:05:43.364+04:002012-05-17T13:05:43.364+04:00Эндрю, я точно знаю что это ты, список надо продол...Эндрю, я точно знаю что это ты, список надо продолжать не трубя об этом в нэте, а отписавшись на ящик ITAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-33543211710213732352012-05-16T21:11:36.952+04:002012-05-16T21:11:36.952+04:00Ради такой статьи могу и инвайт дать. Я там в скай...Ради такой статьи могу и инвайт дать. Я там в скайп вопросы свои написал.090hhttps://www.blogger.com/profile/16028627092523546746noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-20158265745655352042012-05-16T21:03:59.548+04:002012-05-16T21:03:59.548+04:00ну для этого нужен аккаунт на хабре )...
да и Вы...ну для этого нужен аккаунт на хабре )... <br /><br />да и Вы все правильно сделали кроме одного - нужно было или обезличить банк (тогда, конечно, статья потеряла бы наглядность и остроту), или добиться разрешения на публикацию. В последнем случае все может быть непросто, но возможно. <br /><br />В КубУниБанке вполне адекватные люди работают, которые готовы тратить деньги на безопасность (знаю, о чем говорю!). Просто не думаю что банковские службы безопасности (где часто работают военные отставники, занимающиеся ловлей должников банка) психологически готовы к такой подаче материала ИБ - на главной странице одного из самых популярных сайтов рунета. <br /><br />К тому же наутро после празднования Дня Победы.... =)Artem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-90074486296847547472012-05-16T20:47:41.380+04:002012-05-16T20:47:41.380+04:00Хочу прочесть на хабре статью вашего авторства. П...Хочу прочесть на хабре статью вашего авторства. Под хаголовком: "Я нашел уязвимость, что делать?"<br />Ибо проблема насущная. Уязвимостей найдено много, хочу публиковать правильно.090hhttps://www.blogger.com/profile/16028627092523546746noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-30512351942229111502012-05-16T20:40:05.336+04:002012-05-16T20:40:05.336+04:00с гуглом - мощно :)
про ИТ отдел - верю. Когда-то...с гуглом - мощно :)<br /><br />про ИТ отдел - верю. Когда-то я работал в крупной дочке газпрома, в которой не было денег ни на антивирус, ни на компьютер для службы безопасности (я приносил свой домашний ноутбук). Зато ЗП у начальника была 300 т.р. и на работе он практически не появлялся (Жил в Новороссийске. Работал в Краснодаре). У руководителя дочки газпрома пароль был 123456 и админский доступ на ВСЕ системы дочки (он же руководитель! как ему без админских прав!). <br /><br />Не удивлюсь если там и до сих пор ничего не поменялось...<br /><br />Т.ч. ваши условия представить вполне могу :)Artem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-39876852939196100522012-05-16T20:34:31.507+04:002012-05-16T20:34:31.507+04:00Админ больше ваш, чем наш :)
Мы ничем не проверяли...Админ больше ваш, чем наш :)<br />Мы ничем не проверяли. Договора на аудит с этим банком у нас не было.<br /><br />Лично меня сейчас больше интересует вопрос было ли (и есть ли) окно в локалку у бывшего админа...Artem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-17427520299820268562012-05-16T20:32:49.315+04:002012-05-16T20:32:49.315+04:00"kubunibank phorum" в гугле наберите =) ..."kubunibank phorum" в гугле наберите =) sqstat/sarg корпоративной прокси на вебсайте для всего честного мира =) dial-up с прямым доступом в сеть =) кросс-доменные учётки на почту =) дальше продолжать список?)<br /><br />>> Это значит, что админ банка на 99% управлял веб-сервером из дома. Т.е. у админа был шелл на веб-сервер, находящийся в локальной сети банка, с административными привилегиями. Вот так вот. Если я прав, то такому админу не то что безопасность, но и хелпдэск я бы не доверил.<br />вы таки не поверите, но админ-доступ был у всего IT-отдела в любое время дня и ночи, и не только у IT-отдела - у любой учётки в домене =) вы даже не знаете, что там творится =)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-62094786554712701402012-05-16T20:24:48.972+04:002012-05-16T20:24:48.972+04:00Админ ваш молодец. Дыру прикрыл оперативно. Я сейч...Админ ваш молодец. Дыру прикрыл оперативно. Я сейчас вот уже неделю жду прикрытия критической ошибки от более серьезного банка.<br />Возникает вопрос к СБ банка. Вы вообще этот сайт хоть чем нибудь проверяли?<br />Ведь по сути такой сайт с ошибкой из 90х - это окно в локалку.090hhttps://www.blogger.com/profile/16028627092523546746noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-30764288626603927452012-05-16T20:10:46.548+04:002012-05-16T20:10:46.548+04:00по-моему это яркий пример того как качественно отр...по-моему это яркий пример того как качественно отработала инцидент служба безопасности банка. Фактически, с момента обнаружения уязвимости (совпадает с моментом публикации её на хабре) до "разбора полётов" службой безопасности прошло всего несколько часов. <br /><br />Мало кто из компаний может таким похвастаться.<br /><br />Вопрос в том сколько банков ещё не обжигались на таком...Artem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-82494147136763079912012-05-16T18:35:00.812+04:002012-05-16T18:35:00.812+04:00По-моему это яркий пример как публичный web-сайт м...По-моему это яркий пример как публичный web-сайт может послужить причиной потери репутации банком.<br /><br />А ведь может ещё ЦБ посчитать это за инцидент и понизить комплексный показатель банка.<br /><br />Надо делать выводы.Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-32452095482399826272012-05-16T18:31:16.216+04:002012-05-16T18:31:16.216+04:00А если тестировали из другой страны?
Одними операм...А если тестировали из другой страны?<br />Одними операми не отделаешься.Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-78186520454603742192012-05-16T17:58:10.513+04:002012-05-16T17:58:10.513+04:00если я банк и прикрываю, то только для баланса с х...если я банк и прикрываю, то только для баланса с хабровской статьей, которая неправильно осветила работу СБ (мол злая СБ решила уволить админа вместо закрытия дыр).<br /><br />оперативное реагирование на такие процедуры может быть только одно - с помощью оперов.Artem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-12563357793590424322012-05-16T17:50:04.023+04:002012-05-16T17:50:04.023+04:00Всё-таки ты банк прикрываешь.
Это был не аудит и ...Всё-таки ты банк прикрываешь.<br /><br />Это был не аудит и не аудиторская организация, а независимый тестер.<br /><br />От независимого специалиста можно ожидать чего угодно.<br />Так что лучше Руководству банка не испытывать шок, а разработать процедуры оперативного реагирования на такие ситуации.Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-91415113598584537802012-05-16T17:09:20.369+04:002012-05-16T17:09:20.369+04:00Админ уволился! Руководство испытало шок не из-за ...Админ уволился! Руководство испытало шок не из-за дыр, а из-за публикации новости о дырах! <br /><br />т.ч. о хэппиенде всё-таки говорить не приходится.Artem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-83478610586794172552012-05-16T17:00:38.949+04:002012-05-16T17:00:38.949+04:00Да, тоже понравилась эта статья.
Вот что называетс...Да, тоже понравилась эта статья.<br />Вот что называется привлечь внимание Руководства к проблеме ИБ.<br />Надо отметить что Администратор добился своих целей.<br />Хотя и рисковал своей работой.Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.com