Объявление

**Peter** · 18.12.2016, 11:00

Если не дают официально доступ и не положено, то лучше не заниматься самодеятельностью. Может плохо закончится.

В Мск в свое время когда замечали что юзер начинает проверять дыры в системе мы охрану вызывали к рабочему месту такого юзера и его эскортировали в помещение охраны до прихода менеджера. Потом желание проверять у него надолго отпадало.

**Safelight** · 18.12.2016, 11:50

Сообщение от Peter Посмотреть сообщение

В Мск в свое время когда замечали что юзер начинает проверять дыры в системе мы охрану вызывали к рабочему месту такого юзера и его эскортировали в помещение охраны до прихода менеджера. Потом желание проверять у него надолго отпадало.

Дали бы карт-бланш такому сотруднику, чтоб отчет написал в финале, что обычный пользователь наломать может, а не по рукам бить. Далее - сисадмин все дыры по безопасности должен позатыкать. Не должно быть у простого пользователя возможности хакнуть систему, любыми действиями (намеренными или случайными).

Я не пользовался открытием, убедился, что есть - и все. Кстати, биос тоже не заперт оказался - любой линуховый бут позволяет снять переписку всех пользователей, кто логонился на комп (поскольку миграционная политика пользователей автоматичная, с восстановлением базы аутлука).
Это при том, что битлокер поддерживается.

**Peter** · 18.12.2016, 14:00

Сообщение от Safelight Посмотреть сообщение

Дали бы карт-бланш такому сотруднику, чтоб отчет написал в финале, что обычный пользователь наломать может, а не по рукам бить. Далее - сисадмин все дыры по безопасности должен позатыкать. Не должно быть у простого пользователя возможности хакнуть систему, любыми действиями (намеренными или случайными).

Я не пользовался открытием, убедился, что есть - и все. Кстати, биос тоже не заперт оказался - любой линуховый бут позволяет снять переписку всех пользователей, кто логонился на комп (поскольку миграционная политика пользователей автоматичная, с восстановлением базы аутлука).
Это при том, что битлокер поддерживается.

Понимаешь, у ИТ отдела задачи не в обучении и поощрении пытающихся получить несанкционированный доступ, а в пресечении такового. "Закрыть все" - это проще отобрать компы у тех кто пытается наломать дров. А всякое "тестирование" такого рода корпоративной сети силами юзеров это нарушение условий контракта по их найму, со всеми вытекающими.
Если дверь в серверную металлическая, это не означает что всякий мимо проходящий может взять кувалду и попытаться ее взломать.

**Петрович** · 18.12.2016, 15:19

Сообщение от Safelight Посмотреть сообщение

Кто б мог подумать, что в 3 мегабита (bluetooth personal area network (PAN) стандартный remote desktop отлично пролезает.

Теперь амбула: имеем конторский комп без админского доступа. Хочется получить удаленный доступ (хотя бы для конторской почты), но его не дают. Юзерский недохак: в комп втыкаем блютусный донгл, драйвера ставятся автоматом (сюрприз - не то что автоматом, а то, что ставятся), кладем рядом свой ноутбук, паирим его по блютусу с компом, поднимаем PAN, проверяем - заходим на комп с ноута ремотным десктопом по IP PAN компа. Пароли-явки - доменные.
Остается поставить на ноут Teamviewer и вуаля. Заход через WiFi или 3G/4G встроенноего в ноут модема. Ноут остается работать и лежать рядом. Можно для этой цели поднять какой-нить интел-нюк и закинуть в корзину под столом, чтоб не светился.
Постоянно держать PAN активным не надо (вторая сеть светится, ессно), IP компа c ноута узнается по arp -a, да и ведет он себя как static (подозреваю, что DHCP lease time замешан, но разбираться не стал).

Меня искренне удивило, что админ не заметил эту дыру. Проксей-файрволов-антивирусов как собак, цитрикс и вагон подписей - а тут так вот сбоку вход.

Вообще то это глубокий секьюрити брич и за такое надо гнать сцаными тряпками. Ты локал админ на своем конторском компе? Зачем для почты нужен доступ к компу?
Свой ноутбук каким хреном получил валидный айпишник в сети? У вас нет dot1x?

**aнжeлa** · 18.12.2016, 16:38

Сообщение от Peter Посмотреть сообщение

Если не дают официально доступ и не положено, то лучше не заниматься самодеятельностью. Может плохо закончится.

В Мск в свое время когда замечали что юзер начинает проверять дыры в системе мы охрану вызывали к рабочему месту такого юзера и его эскортировали в помещение охраны до прихода менеджера. Потом желание проверять у него надолго отпадало.

Так вон, петя, откуда твои познания о рашке

**Safelight** · 18.12.2016, 18:41

Сообщение от Петрович Посмотреть сообщение

Вообще то это глубокий секьюрити брич и за такое надо гнать сцаными тряпками.

Это секьюрити фло, и сцаными тряпками гнать надо секьюрити админа, который проектировал политики.
Ты ж первый меня обосрал, когда я сказал, что хакнул свой самсунг. Так вот в данном случае даже бутстрап подменять не пришлось. Воткнул блютусину, поднял PAN со сторонним девайсом - всё, уже брич. Ты админ? - проверь на юзерских компах отсутствие такой возможности. Мыши, уши и клавиатуры - и чтоб больше ничего через блютус не работало.

Ты локал админ на своем конторском компе?

Нет.

Зачем для почты нужен доступ к компу?

Для почты - нет, есть web-доступ.

Я в исходном сообщении расписал сценарий с ссылкой на предлог "зачем", это не означает, что я рвался получить удаленный доступ в обиженном виде, пользовать его и радоваться, какой я хитрый.

Свой ноутбук каким хреном получил валидный айпишник в сети? У вас нет dot1x?

Есть. Но при чем тут это? Как будто это единственный способ получить выход в инет. Как только я смог (вполне локально, в радиусе 10 метров) с ноута залогониться на комп через второй сетевой интерфейс - все, уже дыра.

**Safelight** · 18.12.2016, 19:02

Сообщение от Peter Посмотреть сообщение

Понимаешь, у ИТ отдела задачи не в обучении и поощрении пытающихся получить несанкционированный доступ, а в пресечении такового.

Peter, я в IT всю сознательную жизнь (но не админ). Несанкционированный доступ пресекается системными политиками и соответствующими настройками. Потому что юзер может непреднамеренно устроить тот самый брич, даже не осознавая.

В приличной конторе даже стороннюю программу запустить нельзя было, программы ставились только через локальный "магазин" удаленно, т.е. все проходит через аппрувал-механизм, каждый шаг фиксируется, и существует пакет программ, которые не требуют аппрувала, а есть те, которые прокатываются через манагера. Конторский ноутбук с зажатыми правами пользователя, если сечет, что выход в интернет левый (3G, WiFi) - просто поднимает VPN в конторскую сеть, после чего всё как на рабочем месте, включая прокси-файрволы. Ноутбук можно брать домой, официально.

Ответственность за неразглашение информации как коммерческой, так и личной (клиентской) - под подпись. В России, кста, точно так же было.

**Петрович** · 18.12.2016, 19:11

Сообщение от Safelight Посмотреть сообщение

Это секьюрити фло, и сцаными тряпками гнать надо секьюрити админа, который проектировал политики.
Ты ж первый меня обосрал, когда я сказал, что хакнул свой самсунг. Так вот в данном случае даже бутстрап подменять не пришлось. Воткнул блютусину, поднял PAN со сторонним девайсом - всё, уже брич. Ты админ? - проверь на юзерских компах отсутствие такой возможности. Мыши, уши и клавиатуры - и чтоб больше ничего через блютус не работало.

У нас даже мыши и уши и клавы не работают.
Но даже не в этом дело. Ибо (далее)

Сообщение от Safelight Посмотреть сообщение

Нет.

Если нет, то каким хером ты получил RDP к нему? Как ты поставил устройство? У вас чо UAC на ноль выведено?

Сообщение от Safelight Посмотреть сообщение

Для почты - нет, есть web-доступ.

Я в исходном сообщении расписал сценарий с ссылкой на предлог "зачем", это не означает, что я рвался получить удаленный доступ в обиженном виде, пользовать его и радоваться, какой я хитрый.

Есть. Но при чем тут это? Как будто это единственный способ получить выход в инет. Как только я смог (вполне локально, в радиусе 10 метров) с ноута залогониться на комп через второй сетевой интерфейс - все, уже дыра.

А. То есть ты принес лаптоп со своим энторнетом.
Но это кагбе не отвечает на вопросы выше.

**Петрович** · 18.12.2016, 19:23

Следущий вопрос.
Ты хочешь сказать, что ты воткнул донгл в комп не логинясь на этом компе?
Опять же, явки пароли доменные. Без них как?
А раз они есть, то code of conduct ты без базару подписывал. А раз подписывал, то пользуя сторонние устройства в корпоративной среде имеешь пожизненный эцих с гвоздями.

**Safelight** · 18.12.2016, 19:24

Сообщение от Петрович Посмотреть сообщение

Если нет, то каким хером ты получил RDP к нему? Как ты поставил устройство?

Со своего ноута зашел моим RDP по PAN IP конторского компа. В каком месте устройство? Вход на рабочий комп через RDP есть по умолчанию, я могу из конторской сети с любого другого компа зайти на свой, и это используется как минимум для конференций (никто ничего не таскает с собой - в залах для митингов есть комп для подобных делов).

А. То есть ты принес лаптоп со своим энторнетом.

Как вариант - да. Конторский WiFi дает BYO девайсам интернет (WPA-Enterprise), но это не суть. Teamviewer тоже официально используется для текущих дел, поэтому BYO девайсы не перекрыты от него, также нет контент-фильтрации.

Я повторюсь - у меня не было криминальных намерений, проверил и отрубил. Иначе я не стал бы тут все расписывать.

**Петрович** · 18.12.2016, 19:27

Сообщение от Safelight Посмотреть сообщение

Со своего ноута зашел моим RDP по PAN IP конторского компа. В каком месте устройство? Вход на рабочий комп через RDP есть по умолчанию, я могу из конторской сети с любого другого компа зайти на свой, и это используется как минимум для конференций (никто ничего не таскает с собой - в залах для митингов есть комп для подобных делов).

То есть твой обычный, не админский аккаунт в группе RDP на твоем локальном компе?

Сообщение от Safelight Посмотреть сообщение

Как вариант - да. Конторский WiFi дает BYO девайсам интернет (WPA-Enterprise), но это не суть. Teamviewer тоже официально используется для текущих дел, поэтому BYO девайсы не перекрыты от него, также нет контент-фильтрации.

Я повторюсь - у меня не было криминальных намерений, проверил и отрубил. Иначе я не стал бы тут все расписывать.

Ну кто ж вам дохтур тогда

**Петрович** · 18.12.2016, 19:31

Сколько человек работает в конторе?

**Safelight** · 18.12.2016, 19:32

Сообщение от Петрович Посмотреть сообщение

То есть твой обычный, не админский аккаунт в группе RDP на твоем локальном компе?

Да. У всех есть. Я могу залогониться на любой комп в сети удаленно - создастся мой аккаунт.

Ну кто ж вам дохтур тогда

Э. Я ж могу свой тырнет поднять. У меня модем с симкой в ноут вкручен.
Дыра не тут.
С конторского компа Teamviewer не работает, тут какбэ все честно.

**Петрович** · 18.12.2016, 19:36

Сообщение от Safelight Посмотреть сообщение

Да. У всех есть. Я могу залогониться на любой комп в сети удаленно - создастся мой аккаунт.

Зачем?

Сообщение от Safelight Посмотреть сообщение

Э. Я ж могу свой тырнет поднять. У меня модем с симкой в ноут вкручен.
Дыра не тут.
С конторского компа Teamviewer не работает, тут какбэ все честно.

Мочь то ты можешь, но VPN ты не подымешь.
Итак, вопрос. Ты не имеешь доменного аккаунта. Каков в этом случае результат процидурки в донглом?

Объявление

Сила блютуса

Сила блютуса

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment