Nowa firma od IT obsługująca moją firmę jest mentalnie w 2006 roku xD
Zapytałem czy mogę mieć na pendrive wirtualkę do prywatnego użytku to się dowiedziałem, że planują wprowadzić blokadę dysków usb, bo to zagrożenie dla sieci firmowej
#it #informatyka
evilonep

@Felonious_Gru teraz jest to standard. W prawie każdym korpo jest zakaz podłączania zewnętrznych nośników, które nie należą do firmy

jimmy_gonzale

@evilonep dokładnie - to podstawa. Nawet w lojalkach są spore kary za tego typu zabawy.

Felonious_Gru

@evilonep @jimmy_gonzale szkoda tylko, że to jedyny sposób na przeniesienie danych między komputerem a naprawianą maszyną ( ͡° ͜ʖ ͡°)


Jak pen kupiony na fakturę to magicznie nie wejdą wirusy?

Niepowtarzalny2

Nie jest to jedyny sposób. Można przenieść przez sieć, jak masz dostęp do maszyny to można przełożyć dysk itp

jimmy_gonzale

@Felonious_Gru wystarczy, że podłączysz go raz do swojego zawirusowanego kompa. Faktura to nie firewall czy tam antywirus.

Felonious_Gru

@Niepowtarzalny2 w jaki sposób przełożenie calego dysku jest bezpieczniejsze niz włożenie pendrive? Albo skopiowa je go przez sieć?

@jimmy_gonzale no ja to wiem, nie mnie to tłumacz ( ͡° ͜ʖ ͡°)

Felonious_Gru

@Niepowtarzalny2 btw, są znane ataki na firmware dysków twardych, więc bym tak nie szalał z przekładaniem ich, skoro boicie się pendraka (° ͜ʖ °)

https://www.google.com/url?sa=t&source=web&rct=j&opi=89978449&url=https://www.zdnet.com/article/five-years-after-the-equation-group-hdd-hacks-firmware-security-still-sucks/

Niepowtarzalny2

Tu akurat chodzi o zablokowanie najprostszego sposobu na wyprowadzenie danych formy. W jakim stopniu też chroni przed wirusami bo nikt postronnych nie podepnie ci pendrive gdy zostawisz kompa włączonego. Do wymiany dysku już trzeba mieć więcej czasu.

W mojej firmie blokują porty USB, strony z hostingiem typu dysk google czy łączenie się w sieci lokalnej do komputerów spoza firmowej domeny.

Felonious_Gru

@Niepowtarzalny2 nie. Powiedział że dla ochrony sieci przed wiruusami.

GordonLameman

To akurat standard i raczej do pochwalenia. Można whitelistowac konkretne urządzenia jeśli stosują odpowiednie oprogramowanie.

ja to zalecam klientom

Felonious_Gru

@GordonLameman pod względem wynoszenia danych spoko. Ale jak słyszę, że w ten sposób dostanie się wirus i ubije sieć to mnie krew zalewa. Dostęp do internetu mam nieograniczony

GordonLameman

@Felonious_Gru 

pendrive to najłatwiejszy sposób na wejście do firmy.


weszli tak do spółki zbrojeniowej w Polsce - pendrive był gratis do pizzy

Felonious_Gru

@GordonLameman i co, firewall ani antywirus nie zauważyły? Pewnie nawet autostart nie był wyłączony. A plikii z pendrive mógł równie dobrze dostać przez wetransfer

GordonLameman

@Felonious_Gru 

nie zadziałały

ErwinoRommelo

@Felonious_Gru Ja sie troche Zgadzam z @GordonLameman , tak nie jest banalnie latwo zinfiltrowac siec pendrivem ale jest latwo zablokowac wszystkie pendrivy, Pamietaj ze prawo murphiego dalej jest true i nawjwieksze niebezpieczenstwo zawsze bedzie zwiazane z tym ze ktos zrobi cos bardzo debilnego jak wpiecie darmowego pendriva do roboczego kompa w firmie zbrojeniowej np

Felonious_Gru

nie zadziałały


@GordonLameman i tyle w temacie. Zablokować autostart, wszystkie skrypty i aplikacje z nieznanego źródła i będzie 100x bezpieczniej niż po zablokowaniu usb, ale zostawieniu dostępu do chomika i wetransfer.


Zabezpieczenia trzeba dostosować do specyfiki pracy klienta,.

GordonLameman

@Felonious_Gru 

masz stary podatności day one i zdecydowanie lepiej ograniczać możliwości głupiego działania użytkowników niż wydawać setki tysięcy złotych na IT


i tak, wszystkie zabezpieczenia dobieramy pod klienta

Felonious_Gru

@GordonLameman To jak przekazać dane z niwelatora do laptopa, a potem do laptopa klienta, który je przygotuje na potrzeby równiarki terenu?

GordonLameman

@Felonious_Gru 

No jest mnóstwo opcji. Dobry, szyfrowany dysk zewnętrzny będzie okej. Na white liście

Felonious_Gru

@GordonLameman 

Na white liście

I co, jako kierownik ekipy równiarek mam dzwonić do supportu żeby whitelistował dysk siódmego w tym kwartale geodety? Dysk, ktorego IT nie widziało na oczy?


Co da szyfrowanie tego dysku, po odblokowaniu szyfrowania złośliwy plik będzie tak samo szkodliwy jak przyniesiony na dyskietce albo mailem.


Siedzo te programisty w swoich norach, życia nie znajo ( ͡°( ͡° ͜ʖ( ͡° ͜ʖ ͡°)ʖ ͡°) ͡°)

GordonLameman

@Felonious_Gru 

no tak

w czym problem? Tickecik i po sprawie.

proces da się zaplanować. Trzeba tylko myśleć.

Felonious_Gru

@GordonLameman i co w tym tickecie napisać?


No słuchajcie jutro mamy geodetę z firmy x i będzie chcial nam przekazać dane na polu, gdzie nie ma zasięgu gsm. Weźcie nam odblokujcie jego pendrive

GordonLameman

@Felonious_Gru 

Albo po prostu twój port będzie odblokowany. Może nie jesteś przeciętnym uzyszkodnikiem

Felonious_Gru

@GordonLameman no proszę, przed chwilą pisałeś, że na miarę firmy rozwiązania, a teraz ignorowanie przez IT zasad wprowadzonych przez IT, bo ktoś nie jest

przeciętnym uzyszkodnikiem

( ͡° ͜ʖ ͡°)

Zablokowanie autostartu na poziomie rejestru jest dostępne co najmniej od winXP, a pewnie jeszcze dawniej, blokada niepodpisanych exe i wszystkich com, scr,vbs,bat spoza białej listy też nie powinna stanowić problemu. Do tego ograniczenie zasięgu dostępu do danych, których dany pracownik nie potrzebuje, a przede wszystkim wywalenie dostępu SMB żeby szyfratory nie zrobiły pierdolnika z siecią.


Blokowanie usb nie naprawia zadnego z tych problemów

GordonLameman

@Felonious_Gru 

o nie, to nie tak.


zawsze, w każdej polityce firmy może być wyłom. Musi być uzasadniony. I tyle.

Felonious_Gru

@GordonLameman zaczynasz mądrze gadać.

Można też zrobić taką politykę, która zapewnia bezpieczeństwo bez utrudniania życia, na przykład sandbox kradnący porty usb (lub w zaawansowanym przypadku niektóre porty), żeby mozna było wewnątrz sandboxa obrobić pliki nieznanego pochodzenia. I nieważne, czy będą z pendraka czy z torrentów, bo z poziomu sandboxa nie ma dostępu do danych wrazliwych.

Druga, mega prosta opcja to dual boot z szyfrowanymi partycjami tak, żeby można było wybrać system biuro/teren.

No możliwości jest wiele, a nie blokowanie usb "bo tak" intwierdzenie, że to rozwiązanie dedykowane pod konkretną firmę.

rakokuc

Nowa firma od IT obsługująca moją firmę jest niemozliwa , mowie do niej, bedziemy uzywac pendrivewów ? Bo robie wirtualke do prywatnego uzytku : ) oni ze nie. Dzwonia do mnie i mowia @Felonious_Gru planujemy wprowadzic blokade dyskow usb : ) Ja ze nie, a firma od IT na to, że to zagrozenie dla sieci firmowej ; ) poczym poszli do siebie wzieli w reke laptopa aluminiowego, dają wszystkim bana na dyski usb i mowia żeby nic nie wkładać w usb bo siii jest ; ) hehehe ( goń się, nic sobie nie zgrasz, mniam mniam ) ; )


#pdk

grv

Pendrive może przenosić zagrożenie między prywatnymi i służbowymi urządzeniami, szczególnie niebezpieczny jest na starych kompach, których z różnych względów nie można zaktualizować.


Sieć łatwiej kontrolować, można dać dostęp do chomika czy google drive i jednocześnie deszyfrować i skanować ruch.


Antywirusy oczywiście powinny działać jako jedna z warstw zabezpieczeń.


W Twoim przypadku to klient przesyła Tobie czy Ty klientowi dane przez firmowy cloud storage, który dba o bezpieczeństwo i poufność. A kto tam musi to przenosi sobie pendrivem wyłącznie między tym urządzeniem i własnym kompem.


Nie wiem, czy pendrive może się blokować przy innych komputerach, szyfrowane może i mogą mieć zapisany id kompa. W pozostałych przypadkach trzeba liczyć na świadomego użytkownika.

Felonious_Gru

@grv 

klient przesyła Tobie czy Ty klientowi dane przez firmowy cloud storage, który dba o bezpieczeństwo i poufność


Jesteś na polu bez dostępu do gsm.

grv

No dobra. W takim przypadku dałbym Ci dedykowany komputer do pracy na polu z zablokowanym softem biurowym i kartami sieciowymi xd

Felonious_Gru

@grv genialne, dwa kompy nosić ( ͡ʘ ͜ʖ ͡ʘ)

I to szczęście w oczach geodety, który musi dać dane na pendrive, a potem wysłać drugi raz do chmury do archiwum. Zapewne po godzinach, siedząc w hotelu.

grv

Security zawsze jest mniej przyjemne niż no security ;)

Felonious_Gru

@grv glupie security owszem.

Nawet 2FA da się tak zrobić, że user tego nie zauważy.

A w kwestii bezpieczeństwa, to dostałem od nowej firmy plik txt z danymi do logowania do vpn.

grv

Może wgrali Ci na kompa certa, który jest 2FA do tego pliku txt

Felonious_Gru

@grv nie, oni akurat wgrali stormssl, czy jakoś tak. 2fa jest na wirtualnym tokenie Microsoftu. Oczywiście obslugiwanym ręcznie. Chociaż jedno dobrze zrobione.

Felonious_Gru

@Marchew ten robak wymaga aktywnego autostartu i niezablokowanego vbs.

AndrzejZupa

Poczytaj o rubber ducky albo flipper. Chociaż obecnie już są lepsze zabawki do infiltracji na USB.

Tak, blokowanie portów USB to standard.

Felonious_Gru

@AndrzejZupa flipper zero to totalne gówno o rozdmuchanej viralowej reklamie. Nie ma żadnych zalet oprócz ladnej obudowy. Rubber ducky nie znam.

Felonious_Gru

@AndrzejZupa a jeśli miałbym używać flipper zero do włamania się do komputera, to po stokroć wolałbym użyć przedłużacza USB, którego nikt nie będzie o nic podejrzewał.

Chciałbym zaznaczyć, że haunted usb cabke ma już 11 lat.

https://www.eeweb.com/creating-prank-device-using-the-haunted-usb-cable/


I wszystkie zabawki do infiltracji po usb wymagają dostępu do cmd/powershell lub autostartu i aktywnego vbs.


A jeszcze lepiej: zablokować KLAWIATURY USB, skoro się boisz takich zabawek. (Powodzenia z MacOS)

Felonious_Gru

@AndrzejZupa a nie, jednak znałem rubber ducky. Nic niezwykłego. O tyle fajny, że ma multum gotowych skryptów do dokupienia, przez co nie trzeba wiedzieć co się robi. Nie ma większej funkcjonalności niż dowolne inne urządzenie tego typu. Blokada cmd/powershell/autostaru sprawia, że jest niemal bezużyteczny. Zablokowanie dodatkowo klasy klawiatury usb sprawia, że jest całkowicie bezużyteczny.

SzwarcenegerKibordu

Tak przypadkiem gubisz co jakiś czas pendrive z jakimś syfem pod biurowcem i prędzej czy później znajdzie się użytkownik co wsadzi sobie aby zobaczyć czy działa.

Felonious_Gru

@SzwarcenegerKibordu no i dopóki to nie jest usb killer to mozna bezpiecznie sprawdzić zawartość jeśli it jest ogarnięte

Meverth

@Felonious_Gru pracowałem w banku, który zabraniał dockera, bo nie przeszedł audytu security i w ogóle zagrożenie, ale większość pracowników na VDI. W tym roku

Felonious_Gru

@Meverth no w banku to jak najbardziej rozumiem takie ograniczenia

rayros

Akurat zakaz używania pendriva to dobry pomysł

Zaloguj się aby komentować