Список форумов Шадринский форум -> Отдел игрушек (мягких и твёрдых) -> Операционные системы и сети -> О корпоративной секьюрности.
О корпоративной секьюрности.
Автор
Сообщение
| цитато:
Вспомнил одну идиотскую работу, которую мне как то пришлось выполнить. Клиент просил потестировать систему безопасности и работу егойных админов. Моя задача, с правами рядового сотрудника, вынести за пределы офиса информацию содержащуюся в текстовом файле. Да, по работе у "сотрудника" доступ к этому файлу есть. Админы тамошние "безопасность" типа настроили. USB заблокированы, сидиромов - нет, трафик просматривается на предмет наличия таких документов и т.п. Попытка 1 Файл сохраняется на корпоративный веб сервак, который стоит внутри конторы и торчит наружу. Ну чё, закрыли они такую фишку. Попытка 2 Мощный снифер ловит все пакеты и просматривает в них наличие документов doc, rtf и ещё пары сотен. Причем не только по имени, но и по структуре. Файлик сохраненный в картинку, зазипованый и переименованый в bin (а ещё я первые два байта отрезал =) ) - не поймал. Попытка 3 Инет вырублен нах. Открываю корпус, сбрасываю биос, USB включается. Списываю на флешку - ухожу. Попытка 4 На корпусе - замочек, USB залиты пластиком. Здоровой отвёрткой тупо выламываю замок (задачи скрыть следы небыло), снимаю винт - ухожу. Попытка 5 Тонкий клиент (бездисковая терминальная станция). Коннектится на сервак и оттуда типа работаем. Открываю файл, фотографирую на телефон (3Мп вполне хватает). OCR. Готово. Собственно к чему это я? Да к тому, что только техническими средствами хер вы добьётесь нормальной безопасности, особенно изнутри. Сначала должны быть приняты административные меры, и только потом - технические. _________________ Скажи мне чей Крым, и я скажу кто ты. |
прямо задание ФСТЭКа...  ну правильно написал что на первом месте административные мера,а потом технические...какой бы защищенной не была система, найдутся зловреды из числа работников которые имея своеобразные права доступа к информации попытаются ее реализовать "нуждающимся"-потом списав на несовершенство техзащиты!_________________ stay pazitive... |
| Правильно разграничивать права доступа. Если в корпорации всё хранится в маленьких текстовых файлах - это плохо. База данных - это хорошо. В конечном счёте если человек имеет доступ к только нужной конкретно ему информации - он только её и знает. Да, с маленьким текстовиком такое прокатит. Но с крупной базой данных - вряд ли. |
| почему? отчет сделал с нужной инфой - вот тебе и текстовый файл _________________ Ин дер гросен фамилие нихт клювен клац-клац  |
| вы ничего не поняли ( _________________ Скажи мне чей Крым, и я скажу кто ты. |
| Leon
почему не поняли? _________________ Ин дер гросен фамилие нихт клювен клац-клац |
| andy ice
Нормально реализованная веб-морда будет позволять делать с базой что хочешь кому вздумается? Нужно увести 10 записей инфы? Ну да - тогда способ. Нормальная реализация - именно тонкий клиент. Т.е. последний вариант. Фото экрана - это конечно круто. А если например...не позволить человеку работать одновременно более чем с одной записью...ну и тд. для каждого конкретного случая. Ограничить можно. В конечном счёте тогда появляется шанс выяснить, откуда утечка и кто фотографировал. |
Leon писал(а): Сначала должны быть приняты административные мерыДобавлено спустя 37 секунд: zed писал(а): В конечном счёте тогда появляется шанс выяснить, откуда утечка и кто фотографировал.смысл? _________________ Скажи мне чей Крым, и я скажу кто ты. |
| Leon
Уволить. За раз камерой много не вынесешь - фотосессию экрану устраивать никто не станет. |
| zed
хм. может проще на реальных примерах? Добавлено спустя 33 секунды: Leon писал(а): Сначала должны быть приняты административные меры, и только потом - технические._________________ Скажи мне чей Крым, и я скажу кто ты. |
| zed
ты бредишь _________________ Ин дер гросен фамилие нихт клювен клац-клац |
| andy ice
он мне кого то напоминает Добавлено спустя 38 секунд: zed писал(а): Уволить. За раз камерой много не вынесешьприз! _________________ Скажи мне чей Крым, и я скажу кто ты. |
| andy ice
Вычисли меня по IP. Доступ к БД клиентов в некотором смысле есть. Удачи. |
| zed
ёмко кратко и понятно Добавлено спустя 24 секунды: и в тему. Забыл добавить ( _________________ Скажи мне чей Крым, и я скажу кто ты. |
zed писал(а): Вычисли меняЭдуард Забоев, 21.01.91 т.е. 20 лет - не понимаешь о чем говоришь в принципе. _________________ Ин дер гросен фамилие нихт клювен клац-клац |
| andy ice
эх ты ( _________________ Скажи мне чей Крым, и я скажу кто ты. |
| Leon
нук а чо _________________ Ин дер гросен фамилие нихт клювен клац-клац |
| z Забоев ed Эдуард
Добавлено спустя 2 минуты 4 секунды: andy ice вот тебе ещё один враг ( _________________ Скажи мне чей Крым, и я скажу кто ты. |
| все проще без
zed писал(а): andy ice
Доступ к БД клиентов в некотором смысле есть. Удачи. zed писал(а):
Обращаться в личку или аську: 393019106. zBoy писал(а): Ищу работу.
Знание ПК на уровне опытный пользователь\начинающий программист. Набор текста. Нелплохо разбираюсь в мобильных телефонах, настройки, Sony Ericsson знаю почти досконально... Работать могу до 4-5 часов в день. Студент. В принципе согласен на любую работу при соответствующей зарплате...хоть листовки впаривать...честно. Учусь в ШГПИ. 1 курс. 18 лет. Телефон: 89225748163 ася:393019106 Мейл: zi2210@ya.ru Зы...работу мальчиком на побегушках на условно-речевом договоре не предлагать... Спасибо. |
| Leon
у меня кстати нет доступа к каким-то базам и ип-шник он почему-то не сообщил. но тем не менее результат вот такой вот _________________ Ин дер гросен фамилие нихт клювен клац-клац |
| можно ещё веселее, но зачем?
Добавлено спустя 53 секунды: ща будет ответка ) _________________ Скажи мне чей Крым, и я скажу кто ты. |
| Leon
затем что смешно  _________________ Ин дер гросен фамилие нихт клювен клац-клац |
можно группу крови и прочее  Это не вопрос - это предложение
Добавлено спустя 1 минуту 8 секунд: адркес. телефоны. всякие учебы. места где был - за последние пару лет. Добавлено спустя 23 секунды: и это ВСЁ в свободном доступе Добавлено спустя 50 секунд: а ещё есть несвободный. Там видео  _________________ Скажи мне чей Крым, и я скажу кто ты. |
| Логично. Доступ у вас к базе в некотором смысле есть: вы же можете зайти в свой личный кабинет. А насчёт поиска по форуму - я не сомневался, что вы им умеете пользоваться. В яндексе по моим аське и мейлу можно тоже найти много интересного, если захотеть. Только вот проблема - информация не актуальна. Ищите мой адрес. |
| прежде чем рассуждать о том, что не понимаешь, прочти условия задачи:
Leon писал(а): Да, по работе у "сотрудника" доступ к этому файлу есть._________________ Ин дер гросен фамилие нихт клювен клац-клац |
| andy ice
Ты тролль. Прочитай ещё раз, что я выше писал. Если ты этого понять не способен - ты понимаешь меньше, чем я. |
| zed
Ты несешь чушь, а я троль? Пойми ты, речь идет о уводе данных, которые ДОСТУПНЫ юзеру. Ты говоришь про БД и прочее - а какая разница-то? Например ты привел пример про "найди по ип-у меня", допустим я работник К+ и такие у меня данные есть - никакой проблемы нет данные твои увидеть, ведь они Цитата по работе у "сотрудника" доступ к этому файлу есть.или у буха попросили спереть данные о поступлении денег например - у него доступ есть, по работе, и он их унесет, хоть в файле они, хоть " в базе данных", хоть как. _________________ Ин дер гросен фамилие нихт клювен клац-клац |
| Лояльность надо воспитывать в сотрудниках. Ибо прут информацию именно те, кому доверяли её. Собственно, об этом и начальный пост. А дальше - какая-то невнятная демагогия с козырным щеголянием крутых аббревиатур. |
Страница 1 из 1
Список форумов Шадринский форум -> Отдел игрушек (мягких и твёрдых) -> Операционные системы и сети -> О корпоративной секьюрности.
| |
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы можете скачивать файлы |