Piotr 'Sofcik' Smerda <piotrs00@niespamowac.pl> wrote:
> On Tue, 2 Nov 2004 15:10:19 +0000 (UTC), Przemysław Rachwał wrote:
>> Piotr 'Sofcik' Smerda <piotrs00@niespamowac.pl> wrote:
>>> On Tue, 2 Nov 2004 14:21:57 +0000 (UTC), Przemysław Rachwał wrote:
>>>> Piotr 'Sofcik' Smerda <piotrs00@niespamowac.pl> wrote:
>>>>>> Próżne starania.
>>>>>> Ochrona przed wyniesieniem, to nietrywialne zadanie.
>>>>>> Najlepiej zrealizować ją już na etapie weryfikacji zatrudnionych
>>>>>> osób.
>>>>>> PT
>>>>> Nie widzę problemu z zabezpieczeniem - zabierasz dostęp do
>>>>> nośników wymiennych/nagrywarek/dostęp na zewnątrz/ustawiasz
>>>>> routing w sieci i po sprawie - nie wyniesiesz choćbyś chciał :)
>>>>> No chyba że przepiszesz na kartkę i będziesz rekord po rekordzie
>>>>> wynosił.
>>>> oki, a jak user jakimś cudem będzie miał prawa Admina np. exploit?
>>>> to co?
>>>> widzę że pracujesz z lamami, bo nie myślisz jak haker
>>> A Ty nie myślisz jak admin - polityka dawania wszystkiego i
>>> ograniczania potem tego co niezbędne jest niebezpieczna. Lepiej od
>>> razu wprowadzić żelazne zasady i wiedzieć co się uruchamia.
>> aha, upilnujesz wszystkich?? nie da się!
>> myślę jak haker, szukam słabych punktów i to wykorzystuję, ty
>> myślisz że userzy to idioci i na tym polega twoja polityka
>> bezpieczeństwa
> Oczywiście że nie traktuję userów jak idiotów - po prostu wiem jak
> "ograniczyć" ich wyskoki. Słabych punktów ma szukać dział
> bezpieczeństwa i to jest m.in. ich zadaniem. Ze swojej strony staram
> się też szukać słabych punktów i zabezpieczam je.
>>> Użytkownikom można dać pewne prawa ale trzeba *wiedzieć* co się
>>> daje. A nie kombinować z exploitami. Poza tym ciekaw jestem w jaki
>>> sposób user uruchomi exploita na systemi w którym nie ma dostępu do
>>> nośników wymiennych, sieci, maila itp.
>> hmm każdy w firmie ma równe prawa? zapominasz że są sieci
>> korporacyjne, a w nich meile korporacyjne, są też ludzie mający
>> większe prawa np. dostęp do internetu to oni moga być nieświadomymi
>> przenosicielami treści niebezpiecznych - wystarczy tylko dobry kit
> Nie każdy - i na tym polega m.in. polityka bezpieczeństwa. Daje się
> dostęp do pewnych usług niektórym użytkownikom. Jeśli potrzebuje ten
> ktoś np tylko Oracle Forms czy Profile'a to TYLKO to dostaje. Nic
> więcej.
hmm, jak wdrożysz to w firmie z mieszanką systemów operacyjnych? np.
NT/2000/XP - mogą być problemy
> A co do dostępu do internetu to jest przecież coś takiego jak
> filtrowanie treści niebezpiecznych, załączników itp. W każdym
> przypadku można wymysleć remedium.
bla, bla, bla a ludzie ukrywają w obrazkach JPG pliki mp3, musisz odciąć
wszystkich i wszytko :)
>>> Wklepie binarkę w notepad? Śmiesz żartować.
>> a po co odrazu binarkę? mało to jest dziurawych usług? np. IEXPLORE
>> albo cokolwiek - to można shakować z poziomu skryptu i kartki
>> papieru!
>> a tak przy okazji jak by mi naprawdę zależało napisał bym skrypt w
>> VBScript albo czymkolwiek co mogę uruchomić :) np Word do
>> konwertowania danych z base64 do binarki
> No no .. to niezły jesteś jak uruchomisz coś czego nie będziesz miał
> prawa uruchomić, do czego dostęp zabronią Ci polisy i ACLe... i to
> tylko z kartką papieru :)
iexplore c:\katalog\plik.htm
^^^^^^^^^^^^^^^^^^^
jakie muszę mieć uprawnienia by wykonać skrypt w tym katalogu i w
kontekście jakiego programu jest on wykonywany? cmd.exe?? oj chyba nie
gdzieś user musi mieć prawo zapisu plików - np. temp do pracy z pakietem
biurowym
co zabronisz polisą?
> Gdyby Ci naprawdę zależało a nie miałbyś dostępu do niczego co
> pozwala Ci na zapis skryptu do jakiegokolwiek urządzenia (pomijam
> dostęp do edytorów bo to zablokowane masz by default)
jak jest dostęp do cmd.exe to jest nieśmiertelne:
copy con plik.vbs
test
test
ctrl+z
>)
wiem to można zablokować
a co według ciebie jest edytorem?? program pocztowy?? albo notatnik?
albo cokolwiek co może to robić? np. strona w HTML + edytor wyswig?
> to mógłbyś
> sobie co najwyżej (jak to mawia mój kolega) "z torby strzelić". W
> pamięci komputera możesz mieć co chcesz - jeśli masz dostęp do
> interpretera skryptów a nie powinieneś mieć to jest to ewidentne
> przeoczenie i musi być naprawione jak najszybciej.
jak zabronisz userowi wykonywać skrypty w dowolnej aplikacji??
>> nadal twierdzisz że notatnik nie jest programem dla hakera?
> Tak - twierdzę że jeśli haker nie może uruchomić żadnego edytora/CMD
> to nie napisze skryptu.
aha i czym ma pracować? a teraz zejdźmy na ziemię oki
wystarczy że ma Office\Iexplore albo cokolwiek co pozwala uruchomić kod
z poziomu skrypru.
odważył byś się zabrać pracownikom biurowym dostęp do Office?? - jest
tam wiele gadżetów umożliwiających pisanie złośliwego kodu, to samo
dotyczy Iexplore do wykonania skrypty *nie* *muszę* miec prawa execute.
a teraz mała symulacja - zabezpieczyłeś komputer w opisywany przez
ciebie sposób i dajesz go szefowi - jak szybko ten facet się wkurza i
wywala cie z tym kompem? (załóżmy z że szef nie jest specem od
bezpieczeństwa, nie jest wogóle specem od komputerów), to samo zasymuluj
do każdego kto jest wyżej w hierarchi od ciebie w firmie i nałóż na to
subtelne związki towarzyskie - co pozostaje z twojej polityki
bezpieczeństwa?? realia - tylko realia, zbytnia perwność siebie zabija
-- Przemysław Rachwał Unregistered Windows user: #02 GG #3579641Received on Wed Nov 3 02:00:22 2004
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 03 Nov 2004 - 02:42:01 MET