| 1.1, Аноним (-), 22:36, 07/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
Из "отчёта". Хочется плакать. :D
4.4
Current network infrastructure at DigiNotar
The successful hack implies that the current network setup and / or procedures at DigiNotar are not
sufficiently secure to prevent this kind of attack.
The most critical servers contain malicious software that can normally be detected by anti-virus software.
The separation of critical components was not functioning or was not in place. We have strong indications
that the CA-servers, although physically very securely placed in a tempest proof environment, were
accessible over the network from the management LAN.
The network has been severely breached. All CA servers were members of one Windows domain, which
made it possible to access them all using one obtained user/password combination. The password was
not very strong and could easily be brute-forced.
The software installed on the public web servers was outdated and not patched.
No antivirus protection was present on the investigated servers.
An intrusion prevention system is operational. It is not clear at the moment why it didn‟t block some of
the outside web server attacks. No secure central network logging is in place.
| | |
| |
| |
| 3.7, alikd (?), 11:48, 08/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 Точно! Безумие в отношении к безопасности сертификационным центром(-ами). Можно предположить, что у компаний, чей профиль деятельности менее тесно связан с безопасностью, всё ещё печальней (пруф: недавний epic fail Sony).
| | |
|
| 2.4, umbr (ok), 00:46, 08/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
 Зато "...physically very securely placed in a tempest proof environment..." :)
Гламурный СА.
| | |
| |
| 3.5, Аноним (-), 03:29, 08/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
В результате хаксор по сети влез в очень укрепленное окружение :)
Вообще, судя по посту хакера и описанию от экспертов:
[Манагеры]: мы тоже хотим пилить бабло на сертификатах! А ну, сделайте-ка нам зае...сь!
[Сэйлзы-1]: А вот виндоус! Самый безопасный! Покупай!
[Сэйлзы-2]: А вот супер-защита! Самая-самая! Покупай!
[Сэйлзы-3]: А вот фенечки и прибамбасы для упрочнения вашей сети! Самые-самые!
[haxor]: whoami -> SYSTEM -> "security, eh? I'll show you security!"
Если кто не знает, в винде, глубоко-глубоко в механизмах авторизации Active Directory AFAIK есть небольшая но забавная слабина. Если вы поломали машину на которую залогинен допустим администратор домена AD (получив там SYSTEM), вы в принципе можете представиться этим администратором. Проапгрейдив "локального админа" до "админа домена". В теории достаточно хакнуть машину с админом домена и после этого можно нагибать остальные машины в домене :D.
| | |
| |
| 4.6, тролль (?), 10:55, 08/09/2011 [^] [^^] [^^^] [ответить]
| –1 +/– | |
теперь замени в диалоге слово windows, на linux и отправь этот же диалог в ветку про взлом kernel.org.
правда там его быстро подчистит доблестный модератор, у него как и у тебя диагноз - "Linux головного мозга".
| | |
| |
| 5.9, Аноним (-), 13:32, 08/09/2011 [^] [^^] [^^^] [ответить]
| +4 +/– | |
Все просто, аноны. Как говорил кто-то из великих, "Безопасность не продукт, безопасность - процесс".
Я не пойму другого. Несколько лет назад корневые CA гнули пальцы, крича, какая у них охренительно сложная процедура получения авторизации на право быть CA и RA, какие нефигово укрепленные PKI нужно строить, как должны использоваться корневые CA для подписания и выдачи, бла-бла-бла. Это, собсссно, определяет документ, именуемый CPS.
Согласно их собственным стандартам (CAшников), инфра, используемая для манипуляций с приватным ключом CA, имеет воздушный промежуток к интернету - сиречь физически не подключена к оному, админы в обязательном порядке подчиняются separation of duty, задействование корневого CA производится как запуск баллистических ракет, двумя аццкими одминами чуть ли не с предьявлением сетчатки глаза и под видеоконтролем, записи которого хранятся, как и логи, три года.
А теперь скажите-ка мне, как получилось, что все эти благие порывы оказались тупо не выполненными?
| | |
| |
| 6.12, Аноним (-), 20:03, 08/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А теперь скажите-ка мне, как получилось, что все эти благие порывы оказались
> тупо не выполненными?
А тут как и в банковской индустрии. Много лапши на ущи. Много сертификаций, формальной волокиты, бюрократии и какой там еще фигни. Много формальных требований. И что самое смешное - весь этот онанизм имеет крайне косвенное отношение к безопасности компьютерных систем. То-есть вы можете выполнить все формальные требования допустим предъявляемые к банковской процессинговой системе, но при этом по факту являться полнейшим рещетом. Хотя галочки в списке вроде как расставлены, за все уплачено и так далее. Просто хакерам пофиг на эти галочки и то что уплочено, они тестируют то что по факту. Кстати, это хорошо: санитары леса - тоже нужная роль, хоть и не всегда почетная.
| | |
| |
| 7.16, Аноним (-), 13:37, 09/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
Я-то реально в курсе. Я пробовал создавать свой CA. И знаю, что формально а что реально. Просто удивляюсь, как PKI в очередной раз "мамой клянется", а в итоге доверять-то, собссно, нечему. Такие же, как и мы, в телогреечках сидят.
| | |
|
|
| 5.11, Аноним (-), 19:59, 08/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
> теперь замени в диалоге слово windows, на linux и отправь этот же
> диалог в ветку про взлом kernel.org.
В линуксах поимение 1 машины обычно не ведет к разносу всего домена. У кернелорга сломали только пару серверов. Но главное, ресурс касающийся вопросов доверия как то исходники линя - не пострадали в силу умной реализации системы контроля версий. Все-таки Торвальдс - это мозг, а не пиар-бредни галимых маркетологов о секурити.
> правда там его быстро подчистит доблестный модератор, у него как и у
> тебя диагноз - "Linux головного мозга".
Я почему-то думал что у главного админа диагнозом является бсд головного мозга. Хотя совсем дубовым виндузятникам простительно путать эти системы, конечно.
| | |
| 5.13, antitroll (?), 21:49, 08/09/2011 [^] [^^] [^^^] [ответить]
| –2 +/– |
и в правду, тролль головного мозга. читай про pass-the-hash. поснифал хэш (НЕ ПАРОЛЬ!) и стал админом домена!!! вот тебе и супер безопасная венда. когда патчи выпустят свистни, может через несколько лет?
| | |
| |
| 6.14, AdVv (ok), 02:12, 09/09/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Вау ! Ты прям только что написал что kerberos придумали законченные идиоты. Надо твой пост на нобелевку номинировать. В номинации "Трепло 2011".
| | |
| |
| 7.15, admin (??), 13:27, 09/09/2011 [^] [^^] [^^^] [ответить]
| –6 +/– |
вы почитайте сначала про pass-the-hash а потом извинитесь, ок?
| | |
| |
| |
| 9.23, admin (??), 19:51, 09/09/2011 [^] [^^] [^^^] [ответить] | +/– | эта всё таки прочитайте и попробуйте у себя в сети 2 AdVv прочитайте сначал... текст свёрнут, показать | | |
| |
| |
| 11.29, 1 (??), 12:13, 10/09/2011 [^] [^^] [^^^] [ответить] | +/– | статья УК РФ однако http oss coresecurity com pshtoolkit doc index html 1 з... текст свёрнут, показать | | |
| |
| 12.30, 2 (?), 12:45, 10/09/2011 [^] [^^] [^^^] [ответить] | +/– | Не работает Надо звать одмина что ли для установки трояна в систему Дык он ... текст свёрнут, показать | | |
| |
| 13.31, 1 (??), 13:10, 10/09/2011 [^] [^^] [^^^] [ответить] | –1 +/– | вышла новая версия http www ampliasecurity com research wcefaq html whatiswce ... текст свёрнут, показать | | |
| |
| |
| 15.33, 1 (??), 13:59, 10/09/2011 [^] [^^] [^^^] [ответить] | –1 +/– | если всё таки внимательно прочесть тред, то станет понятно, что речь идёт о взло... текст свёрнут, показать | | |
| |
| |
| 17.36, 1 (??), 22:02, 10/09/2011 [^] [^^] [^^^] [ответить] | –2 +/– | ну прям не знаю вы считаете что взломав одну машину из 1000 поиметь весь дом... текст свёрнут, показать | | |
| |
| 18.38, 3 (?), 05:06, 11/09/2011 [^] [^^] [^^^] [ответить] | +/– | Позвольте поинтересоваться уважаемый тролль вам слово OpenLDAP встречалось когда... текст свёрнут, показать | | |
| 18.40, AdVv (ok), 14:01, 12/09/2011 [^] [^^] [^^^] [ответить] | +/– | Я не бородатый, коротко подстрижен и соблюдаю все нормы СЭС Админю и винду и юн... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 10.26, AdVv (ok), 20:56, 09/09/2011 [^] [^^] [^^^] [ответить] | +/– | Господи какая чушь Открытие века, вход на затрояненную машину ведет к компро... текст свёрнут, показать | | |
| |
| 11.28, 1 (??), 12:02, 10/09/2011 [^] [^^] [^^^] [ответить] | –2 +/– | опа, так это же в любой сети сплошь и рядом куда ни плюнь антивирус скажет что ... текст свёрнут, показать | | |
| |
| 12.41, AdVv (ok), 14:59, 12/09/2011 [^] [^^] [^^^] [ответить] | +/– | Если должным образом подкручены гайки в плане безопасности - трудно Достаточно ... текст свёрнут, показать | | |
|
|
|
|
| 8.20, AdVv (ok), 15:32, 09/09/2011 [^] [^^] [^^^] [ответить] | +/– | Да не нужно мне читать, я знаю о чем идет речь, потому и стебаюсь Эта техника м... текст свёрнут, показать | | |
| |
| |
| 10.27, Гога (?), 10:53, 10/09/2011 [^] [^^] [^^^] [ответить] | +/– | Удалить бы как раз следовало твою бредятинку, а это нормальный ответ технически ... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 1.21, Fantomas (??), 17:03, 09/09/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.
нормальный творческий безпорядок.
у меня на работе тоже-самое.
главное, чтобы небыло инсайдеров.
| | |
| |
| 2.22, AdVv (ok), 18:24, 09/09/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.
> нормальный творческий безпорядок.
> у меня на работе тоже-самое.
> главное, чтобы небыло инсайдеров.
Бардак не просто способствует, он провоцирует к утечке.
| | |
|
|
