Может не было никаких хакеров?

Это было понятно уже со слова «СМИ»

А те 50% надеюсь уволили?

Может не было никаких хакеров?

Хакеров давно пишут китайсы на баше и они стучатся в 22 порт и не только. Я даже тыкал одного такого, но интервью он не дал, пришлось удалить.

Мне вот интересно зачем еще нужны хакеры, если начальник СБ зная о огромной дыре

Ты предлагаешь уволить 30% сотрудников банка или что?

По ссылке товарищ Лебедь говорит, что 80% сотрудников зеленого банка открыли фишинговое письмо якобы от Грефа. И что мол они предприняли меры. Создали flash игру после которой таких сотрудников осталось 30%.

знаешь, результат вполне неплохой кстати. по крайней мере они учатся

Начальник СБ не виноват в том, что люди в массе своей беспечны.

Тоесть СБ не должно тестировать при приеме на работу и проводить постоянный мониторинг? Ну ну...

знаешь, результат вполне неплохой кстати. по крайней мере они учатся

Опять же это его слова. Кстати исследования вроде показывали, что навыки через некоторое время ослабевают.

Меня поражает, что он во всеуслышанье говорит - у нас тут вот такая дыра. Ну сказал бы, что вот были факты (без цифр).

Неужто в сбере всё менее огорожено, чем в более простых заведениях. Есть же белые списки для исполняемых процессов. Есть аудит доступа.

Есть же белые списки для исполняемых процессов. Есть аудит доступа.

На улице стоит знак КИРПИЧ. Вопрос под него не проедет машина?

Тестировать на что?

поднатужно

80% сотрудников зеленого банка открыли

ну и какие выводы? открыл и скрыл. в чем проблема? там же пхишинг

если б было написано что «80% перешли на пхишинговый сайт по ссылке из письма ...», а потом вдобавок "... и вбили туда ценные данные и оправили смс на номер из письма", то другое дело.

На знания компьютерной безопасности. Кстати тестируют, но просят назвать нормативку и прочее.....

А, ну оок. Я вообще думал, что подобная инфа не должна светиться....

Не думаю, что разбираться, действительно ли письмо пришло от Грефа или же от хакера Джона на другом конце планеты - задача рядового сотрудника.

ЩИТО ? Надо иметь задатки хакера, чтобы обойти запуск приложения не из белого списка.
Вообще вся это истерия в духе «кругом враги».

Меня поражает, что он во всеуслышанье говорит - у нас тут вот такая дыра. Ну сказал бы, что вот были факты

хз. у меня был такой случай на работе когда девочка криптер с почты открыла и в итоге вся доступная ей шара полетела. к счастью криптер был тупым сдвигом по статической таблице, за два дня сами написали декриптер.

но вот то что они провели учения - это ОЧЕНЬ хорошо. потому что когда я предложил провести что-то подобное, начальство на меня посмотрело крайне косо. послали короче.

у нас тут кстати недавно стартап отпочковался у одного из инвесторов, именно такого толка что мол тренинг-игры по безопасности. они приводят весьма похожие цифры, типа 85% до против 15% после. Так что все правильно делают мужики имхо. Признать наличие дыры - это уже яйца нужны, а значит будут работать

Надо иметь задатки хакера, чтобы обойти запуск приложения не из белого списка.

Я работал в компании, где очень сильно вот за этой безопасностью следили (хотя никакого трактора небыло и в помине). Представь мое удивление когда я воткнул плеер в «залоченный чтоб никаких флешек» usb-порт чтоб подзардить и шинда мне его по mtp подключила и открыла в проводнике. Так что чтоб какую-то лажу из письма запустить достаточно просто небольшого везения (ну или недостаточного уровня паранойи у ИБ).

Это кстати пример того почему политики домена ущербны.

Я в бытности своей сисадмином сначала делал на общем диске каталоги /buh /managers /sklad и так далее расписывая им права. А потом я поумнел и стал просто монтировать нужные каталоги в хомяк. Так всегда при очередной работе слетят права, а ты и не узнаешь. Нужно чтоб просто небыло таких возможностей. И потому лучше чтоб рабочая станция была тупо терминалом.

У ребят в зеленом банке в должностной инструкции открывать письма, вопрос как такое письмо попало и почему его нельзя безопасно открыть.

у меня был такой случай на работе когда девочка криптер с почты открыла и в итоге вся доступная ей шара полетела. к счастью криптер был тупым сдвигом по статической таблице, за два дня сами написали декриптер.

неужели настроить систему на запуск лишь доверенных 3-5 приложений (врядли девочка больше надо) так катастрофически сложно?

Я думаю, что уволили 30% не прошедших во второй раз

Нет такого в инструкции. Вообще к тебе должны попадать только письма тех с кем ты работаешь.

Я тебе больше скажу. В первый день работы в Диалог-Оптим мне поступил звонок с требованием выполнить некую операцию. Я сказал, что я не могу такое сделать по телефону. Из трубки раздался мат. Потом мне заявили, что это Иван Иванович и что я вообще понимаю кто он и если я не сделаю то, что он просит - меня уволят. Я сказал, что не имею права и положил трубку. Далее я пошел к начальству и доложил о ситуации. Кто это был я не знаю до сих пор.

Вообще по хорошему почтовый клиент на запись должен иметь доступ только в каталог с базами и в еще один каталог. В обоих этих каталогах должно быть запрещено выполнение. В Linux я делал такое кажется через apparmor. Можно такое в Windows я не знаю. Правда такое от скриптов не поможет, но скрипты должны выниматься из писем почтовым сервером.

А как нет, вот я секретарша, работаю с почтой, что делать то? Знать все адреса из белого списка наизусть или не открывать? Просто про девочку-дуру которая открыла чего-то там и полмира заразила слышал по телеку от какого-то крутого борца с хакерами. Почему девочка-дура, а не безопасник дебил непонятно. В банках любят тренировки, пачка денег может лежать на подоконнике, кукла, берешь срабатывает сигнализация. Тогда надо действительно присылать на почту гадость и вырабатывать рефлекс.

Это СПЕРМБАНК детка!

Они да же цифровую подпись внутри домена поднять не могут, что бы «писем Грефа» не было.

Вообще внешние письма СЕКРЕТАРЬ читать не имеет права. Ну так просто... Сначала это все проверяют, а потом уже адреса передают. У секретаря максимум 100 абонентов.

Ты не понимаешь.

Мне вот интересно зачем еще нужны хакеры, если начальник СБ зная о огромной дыре:
1) Не уволился.
2) Не молчит в тряпочку.
Наоборот он сообщил об этом всему миру. Может не было никаких хакеров?

Сначала он понял что за всё это отвечает. Потом он осознал что ничего не может изменить.

1) Он не уволился, потому что это ничего не изменит.
2) Ему нет смысла молчать, так как о том что они используют «самую дырявую технологию века», знает не только он один, но и большая часть технического персонала.

Он ничего не может изменить, несёт ответственность и не видит смысла увольняться. Значит нужно «умыть руки», то есть продемонстрировать знание проблемы. А так же это может быть единственным способом связаться с высшим руководством дабы донести до него проблему.

Этому подвержены не только государственные компании. Если хочешь лучше понимать управленческие парадоксы, то советую прочитать серию статей по этой теме:
Как новые руководители разрушают доверенные им компании https://habrahabr.ru/post/297678/
Особенности распределения фонда оплаты труда в больших предприятиях РФ https://habrahabr.ru/post/301106/
Свойства вертикали корпоративной власти https://habrahabr.ru/post/295314/
Биологические предпосылки деградации компаний https://habrahabr.ru/post/315924/
Советы западных консалтинговых компаний. Часть 1, теоретическая https://habrahabr.ru/post/312702/
Что делать в крупной компании при некомпетентном менеджменте https://habrahabr.ru/post/302862/

Тогда нанимать некого будет :)

Не думаю, что разбираться, действительно ли письмо пришло от Грефа или же от хакера Джона на другом конце планеты - задача рядового сотрудника.

Я думаю что даже рядовой сотрудник должен смотреть на обратный адрес. А так же отличать адрес от поисковой строки. И знать чем серый https сертификат отличается от зелёного.

Да про чтиво я в курсе. Читал некоторые из этих статей. На самом деле я знаю этих ребят. Они просто не понимают ничего из того что говорят. К нам забегал замдиректора. Мы ему вручали папку с документами. Кратко докладывали что в папке. Отвечали на вопросы и он убегал на доклад. Собственно похоже это было как боксера готовят. Мы обычные люди, а он в костюме и весь такой аж чуть руками не сучит.

не читал, но...

неужели так тяжело сделать белый список? или хотябы забанить exe атачменты?

Ну вообще, то я не видел там такого. Но это не решение. Есть еще уязвимости. Например выполнение произвольного кода при просмотре изображений.

они каждый вечер как минимум ДСП по виберу пересылают, а ты про цифровую подпись кукарекаешь

По Ватсапу. В Крыму было собрание руководства и там официально обучали директоров использовать вотсап.

Есть же белые списки для исполняемых процессов. Есть аудит доступа.
На улице стоит знак КИРПИЧ. Вопрос под него не проедет машина?

ты точно айтишник? я не уверен, что ты понимаешь, как работает политика безопасности

Нет конечно. Какой я нафиг айтишник. Так, просто с 98 года работаю то программистом, то сисадмином. Обслуживал сервера провайдера. И конечно не знаю, что политики это такая запись в «реестре» где написано, что например пользователь не имеет права запускать regedit. А в самом regedit есть строчка которая проверяет эту запись и я конечно с помощью софтайса nop туда не пихал.

мдя

они каждый вечер как минимум ДСП по виберу пересылают

По ВотсАпу :) МВД то точно по нему нулёвки кидает.

значит наврал с сортом, извиняюсь. я, если честно, их не отличаю

Пофиг и то и то гавно. А уж банковским сотрудникам передавать инфу.....

Я вот поражаюсь сколько Дуров наверное с телеграмма подымает. Там и биржевые сводки и секретная инфа и документы....

в $POP_IM_NAME все шифрованное, секьюрное и все такое! его делают серьезные специалисты за серьезные деньги. это тебе не сраный жабер от красноглазых задротов

Приходит дед, 70 лет, к врачу:
- Доктор, я со старухой могу только раз в месяц и то не всегда.
- Ну и что, для Вашего возраста это нормально.
- Дык, сосед у меня, ему 82, рассказывает, что он может хоть каждую ночь...
- Дедушка, ну а кто Вам-то мешает рассказывать...

Ты веришь, что Дуров тратит 1 млн $ в год и ничего с этого не имеет?

да. он честный человек!

Конечно конечно. Кристально чистый. И очень большой человеколюб. Помнится деньги раскидывал с балкона.

да нет никаких страшных какеров. есть тупые админы, бывшие студенты, набранные на зарплату в 15 тыров из подворотни. во всех госконторах ужасный отстой в плане уровня грамотности и обычно устаревшая техника и такой же древний и дырявый софт. любой мамкин какер, которому не лень, может «взломать» такие заповедники махрового ламерства.

Не подсказывай народу.

Ндааа.. Меры уровня какого-нибудь «ПромАгроТехИнвестСнабКредитБанка» на 400+ позиции рейтинга в РФ.

Я помню давным-давно умилялся, когда каждый вторник приходил в один такой помочь «по текущим вопросом», и один раз заметил, что они или где-то надыбали, или сами соорудили скринсейвер с яркими иллюстрациями и подписями на тему ИБ, и как правильно себя вести за компьютером в рабочее время.

Нормальные пцоны: (1) вкрутили такие гайки, что ни одна софтина пукнуть не сможет без соответствующих овер100500 бурократических проволочек по её разрешению конкретному юзеру, (2) регулярно коммуницируют сотрудникам (читай - капают на мозг, не дают забыть инфу) о возможных угрозах и методах фишинга и социальной инженерии, (3) нещадно показательно 36ут провинившихся, чтоб другим неповадно было. Отдельным подпунктом можно было бы выделить тот факт, что система многослойная, и собственный ДИБ функционирует вместе с внешними организациями соответствующего профиля. Ну и короче вот. Флеш игра выглядит как минимум избыточно, если не сказать глупо. Достаточно было бы заставить по обязаловке пройти обучение на темы ИБ и переаттестацию сотрудников под угрозой тягот и лишений. Все бы вникали и запоминали. Я-то знаю, как хорошо впечатывается инфа, когда очко жим-жим))

Кстати в небольших конторах все с этим часто хорошо. Только контора должна быть в некотором диапазоне. Когда уже есть спецы, но еще недостаточно бабла чтоб туда пришли хапуги.