Wpis użytkownika Felonious_Gru w Hydepark
Felonious_GruLider
1piorunówNowa firma od IT obsługująca moją firmę jest mentalnie w 2006 roku xD
Zapytałem czy mogę mieć na pendrive wirtualkę do prywatnego użytku to się dowiedziałem, że planują wprowadzić blokadę dysków usb, bo to zagrożenie dla sieci firmowej :face_with_rolling_eyes:
Komentarze (47)
Akurat zakaz używania pendriva to dobry pomysł
@Felonious_Gru pracowałem w banku, który zabraniał dockera, bo nie przeszedł audytu security i w ogóle zagrożenie, ale większość pracowników na VDI. W tym roku
@Meverth no w banku to jak najbardziej rozumiem takie ograniczenia
Tak przypadkiem gubisz co jakiś czas pendrive z jakimś syfem pod biurowcem i prędzej czy później znajdzie się użytkownik co wsadzi sobie aby zobaczyć czy działa.
@SzwarcenegerKibordu no i dopóki to nie jest usb killer to mozna bezpiecznie sprawdzić zawartość jeśli it jest ogarnięte
Poczytaj o rubber ducky albo flipper. Chociaż obecnie już są lepsze zabawki do infiltracji na USB.
Tak, blokowanie portów USB to standard.
@AndrzejZupa a nie, jednak znałem rubber ducky. Nic niezwykłego. O tyle fajny, że ma multum gotowych skryptów do dokupienia, przez co nie trzeba wiedzieć co się robi. Nie ma większej funkcjonalności niż dowolne inne urządzenie tego typu. Blokada cmd/powershell/autostaru sprawia, że jest niemal bezużyteczny. Zablokowanie dodatkowo klasy klawiatury usb sprawia, że jest całkowicie bezużyteczny.
@AndrzejZupa a jeśli miałbym używać flipper zero do włamania się do komputera, to po stokroć wolałbym użyć przedłużacza USB, którego nikt nie będzie o nic podejrzewał.
Chciałbym zaznaczyć, że haunted usb cabke ma już 11 lat.
https://www.eeweb.com/creating-prank-device-using-the-haunted-usb-cable/
I wszystkie zabawki do infiltracji po usb wymagają dostępu do cmd/powershell lub autostartu i aktywnego vbs.
A jeszcze lepiej: zablokować KLAWIATURY USB, skoro się boisz takich zabawek. (Powodzenia z MacOS)
@AndrzejZupa flipper zero to totalne gówno o rozdmuchanej viralowej reklamie. Nie ma żadnych zalet oprócz ladnej obudowy. Rubber ducky nie znam.
@Felonious_Gru
https://sekurak.pl/rosyjski-malware-roznoszacy-sie-pendrajwami-a-uzywany-bojowo-glownie-na-ukrainie-zlokalizowany-rowniez-w-polsce/
Jak widać USB wciąż w modzie.
Tutaj przypadek bez autostartu.
Najsłabszym ogniwem jest zawsze człowiek, eliminacja USB jedynie może nie tyle podnosi bezpieczeństwo, co eliminuje potencjalny wektor.
Rosyjski malware, roznoszący się pendrajwami a używany bojowo głównie na Ukrainie, zlokalizowany również w PolsceCheckpoint donosi o nowych osiągnięciach ~rosyjskiej grupy APT – Gamaredon. Dokładniej chodzi o malware LitterDrifter o którym czytamy co następuje: Robak LitterDrifter jest napisany w języku VBS i ma dwie główne funkcje: automatyczne rozprzestrzenianie się na dyskach USB oraz komunikację z szerokim, elastycznym zestawem serwerów C&C. (…). LitterDrifter wydaje się...Sekurak@Marchew ten robak wymaga aktywnego autostartu i niezablokowanego vbs.
Pendrive może przenosić zagrożenie między prywatnymi i służbowymi urządzeniami, szczególnie niebezpieczny jest na starych kompach, których z różnych względów nie można zaktualizować.
Sieć łatwiej kontrolować, można dać dostęp do chomika czy google drive i jednocześnie deszyfrować i skanować ruch.
Antywirusy oczywiście powinny działać jako jedna z warstw zabezpieczeń.
W Twoim przypadku to klient przesyła Tobie czy Ty klientowi dane przez firmowy cloud storage, który dba o bezpieczeństwo i poufność. A kto tam musi to przenosi sobie pendrivem wyłącznie między tym urządzeniem i własnym kompem.
Nie wiem, czy pendrive może się blokować przy innych komputerach, szyfrowane może i mogą mieć zapisany id kompa. W pozostałych przypadkach trzeba liczyć na świadomego użytkownika.
@grv nie, oni akurat wgrali stormssl, czy jakoś tak. 2fa jest na wirtualnym tokenie Microsoftu. Oczywiście obslugiwanym ręcznie. Chociaż jedno dobrze zrobione.
Może wgrali Ci na kompa certa, który jest 2FA do tego pliku txt
@grv glupie security owszem.
Nawet 2FA da się tak zrobić, że user tego nie zauważy.
A w kwestii bezpieczeństwa, to dostałem od nowej firmy plik txt z danymi do logowania do vpn.
Security zawsze jest mniej przyjemne niż no security ;)
@grv genialne, dwa kompy nosić ( ͡ʘ ͜ʖ ͡ʘ)
I to szczęście w oczach geodety, który musi dać dane na pendrive, a potem wysłać drugi raz do chmury do archiwum. Zapewne po godzinach, siedząc w hotelu.
No dobra. W takim przypadku dałbym Ci dedykowany komputer do pracy na polu z zablokowanym softem biurowym i kartami sieciowymi xd
@grv
>klient przesyła Tobie czy Ty klientowi dane przez firmowy cloud storage, który dba o bezpieczeństwo i poufność
>
Jesteś na polu bez dostępu do gsm.
Nowa firma od IT obsługująca moją firmę jest niemozliwa , mowie do niej, bedziemy uzywac pendrivewów ? Bo robie wirtualke do prywatnego uzytku : ) oni ze nie. Dzwonia do mnie i mowia @Felonious_Gru planujemy wprowadzic blokade dyskow usb : ) Ja ze nie, a firma od IT na to, że to zagrozenie dla sieci firmowej ; ) poczym poszli do siebie wzieli w reke laptopa aluminiowego, dają wszystkim bana na dyski usb i mowia żeby nic nie wkładać w usb bo siii jest ; ) hehehe ( goń się, nic sobie nie zgrasz, mniam mniam ) ; )
@rakokuc :star-struck:
To akurat standard i raczej do pochwalenia. Można whitelistowac konkretne urządzenia jeśli stosują odpowiednie oprogramowanie.
ja to zalecam klientom :smiley:
@GordonLameman zaczynasz mądrze gadać.
Można też zrobić taką politykę, która zapewnia bezpieczeństwo bez utrudniania życia, na przykład sandbox kradnący porty usb (lub w zaawansowanym przypadku niektóre porty), żeby mozna było wewnątrz sandboxa obrobić pliki nieznanego pochodzenia. I nieważne, czy będą z pendraka czy z torrentów, bo z poziomu sandboxa nie ma dostępu do danych wrazliwych.
Druga, mega prosta opcja to dual boot z szyfrowanymi partycjami tak, żeby można było wybrać system biuro/teren.
No możliwości jest wiele, a nie blokowanie usb "bo tak" intwierdzenie, że to rozwiązanie dedykowane pod konkretną firmę.
@Felonious_Gru
o nie, to nie tak.
zawsze, w każdej polityce firmy może być wyłom. Musi być uzasadniony. I tyle.
@GordonLameman no proszę, przed chwilą pisałeś, że na miarę firmy rozwiązania, a teraz ignorowanie przez IT zasad wprowadzonych przez IT, bo ktoś nie jest
>przeciętnym uzyszkodnikiem
( ͡° ͜ʖ ͡°)
Zablokowanie autostartu na poziomie rejestru jest dostępne co najmniej od winXP, a pewnie jeszcze dawniej, blokada niepodpisanych exe i wszystkich com, scr,vbs,bat spoza białej listy też nie powinna stanowić problemu. Do tego ograniczenie zasięgu dostępu do danych, których dany pracownik nie potrzebuje, a przede wszystkim wywalenie dostępu SMB żeby szyfratory nie zrobiły pierdolnika z siecią.
Blokowanie usb nie naprawia zadnego z tych problemów
@Felonious_Gru
Albo po prostu twój port będzie odblokowany. Może nie jesteś przeciętnym uzyszkodnikiem :smiley:
@GordonLameman i co w tym tickecie napisać?
>No słuchajcie jutro mamy geodetę z firmy x i będzie chcial nam przekazać dane na polu, gdzie nie ma zasięgu gsm. Weźcie nam odblokujcie jego pendrive
@Felonious_Gru
no tak :smiley:
w czym problem? Tickecik i po sprawie.
proces da się zaplanować. Trzeba tylko myśleć.
@GordonLameman
>Na white liście :smiley:
I co, jako kierownik ekipy równiarek mam dzwonić do supportu żeby whitelistował dysk siódmego w tym kwartale geodety? Dysk, ktorego IT nie widziało na oczy?
Co da szyfrowanie tego dysku, po odblokowaniu szyfrowania złośliwy plik będzie tak samo szkodliwy jak przyniesiony na dyskietce albo mailem.
Siedzo te programisty w swoich norach, życia nie znajo ( ͡°( ͡° ͜ʖ( ͡° ͜ʖ ͡°)ʖ ͡°) ͡°)
@Felonious_Gru
No jest mnóstwo opcji. Dobry, szyfrowany dysk zewnętrzny będzie okej. Na white liście :smiley:
@GordonLameman To jak przekazać dane z niwelatora do laptopa, a potem do laptopa klienta, który je przygotuje na potrzeby równiarki terenu?
@Felonious_Gru
masz stary podatności day one i zdecydowanie lepiej ograniczać możliwości głupiego działania użytkowników niż wydawać setki tysięcy złotych na IT :smiley:
i tak, wszystkie zabezpieczenia dobieramy pod klienta :smiley:
>nie zadziałały
@GordonLameman i tyle w temacie. Zablokować autostart, wszystkie skrypty i aplikacje z nieznanego źródła i będzie 100x bezpieczniej niż po zablokowaniu usb, ale zostawieniu dostępu do chomika i wetransfer.
Zabezpieczenia trzeba dostosować do specyfiki pracy klienta,.
@Felonious_Gru Ja sie troche Zgadzam z @GordonLameman , tak nie jest banalnie latwo zinfiltrowac siec pendrivem ale jest latwo zablokowac wszystkie pendrivy, Pamietaj ze prawo murphiego dalej jest true i nawjwieksze niebezpieczenstwo zawsze bedzie zwiazane z tym ze ktos zrobi cos bardzo debilnego jak wpiecie darmowego pendriva do roboczego kompa w firmie zbrojeniowej np
@Felonious_Gru
nie zadziałały :smiley:
@GordonLameman i co, firewall ani antywirus nie zauważyły? Pewnie nawet autostart nie był wyłączony. A plikii z pendrive mógł równie dobrze dostać przez wetransfer
@Felonious_Gru
pendrive to najłatwiejszy sposób na wejście do firmy.
weszli tak do spółki zbrojeniowej w Polsce - pendrive był gratis do pizzy :smiley:
@GordonLameman pod względem wynoszenia danych spoko. Ale jak słyszę, że w ten sposób dostanie się wirus i ubije sieć to mnie krew zalewa. Dostęp do internetu mam nieograniczony
@Felonious_Gru teraz jest to standard. W prawie każdym korpo jest zakaz podłączania zewnętrznych nośników, które nie należą do firmy 😉
@Niepowtarzalny2 nie. Powiedział że dla ochrony sieci przed wiruusami.
Tu akurat chodzi o zablokowanie najprostszego sposobu na wyprowadzenie danych formy. W jakim stopniu też chroni przed wirusami bo nikt postronnych nie podepnie ci pendrive gdy zostawisz kompa włączonego. Do wymiany dysku już trzeba mieć więcej czasu.
W mojej firmie blokują porty USB, strony z hostingiem typu dysk google czy łączenie się w sieci lokalnej do komputerów spoza firmowej domeny.
@Niepowtarzalny2 btw, są znane ataki na firmware dysków twardych, więc bym tak nie szalał z przekładaniem ich, skoro boicie się pendraka (° ͜ʖ °)
https://www.google.com/url?sa=t&source=web&rct=j&opi=89978449&url=https://www.zdnet.com/article/five-years-after-the-equation-group-hdd-hacks-firmware-security-still-sucks/
@Niepowtarzalny2 w jaki sposób przełożenie calego dysku jest bezpieczniejsze niz włożenie pendrive? Albo skopiowa je go przez sieć?
@jimmy_gonzale no ja to wiem, nie mnie to tłumacz ( ͡° ͜ʖ ͡°)
@Felonious_Gru wystarczy, że podłączysz go raz do swojego zawirusowanego kompa. Faktura to nie firewall czy tam antywirus.
Nie jest to jedyny sposób. Można przenieść przez sieć, jak masz dostęp do maszyny to można przełożyć dysk itp
@evilonep @jimmy_gonzale szkoda tylko, że to jedyny sposób na przeniesienie danych między komputerem a naprawianą maszyną ( ͡° ͜ʖ ͡°)
Jak pen kupiony na fakturę to magicznie nie wejdą wirusy?
@evilonep dokładnie - to podstawa. Nawet w lojalkach są spore kary za tego typu zabawy.