The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"GlobalSign временно приостановил выдачу SSL-сертификатов из-..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от opennews (??) on 07-Сен-11, 22:36 
Удостоверяющий центр GlobalSign сообщил (http://www.globalsign.com/company/press/090611-security-resp...) об инициировании внутренней проверки безопасности в связи с появлением в сети анонимного заявления (http://pastebin.com/1AxH30em), в котором от имени инициаторов атаки утверждается, что кроме взлома DigiNotar (http://www.opennet.ru/opennews/art.shtml?num=31635), удалось получить доступ еще к 4 удостоверяющим центрам, среди которых StartCom  и GlobalSign. Также утверждается, что несмотря на широкий резонанс после взлома удостоверяющего центра Comodo (http://www.opennet.ru/opennews/art.shtml?num=30013), у атаковавших еще остался доступ к системам некоторых реселлеров Comodo.


Информация голословна и ничем не подтверждена, но GlobalSign в качестве меры предосторожности временно приостановил выдачу сертификатов до завершения полного аудита, к проведению которого привлечены эксперты, участвовавшие в разборе инцидента DigiNotar.


Кроме того можно отметить, публикацию (http:/...

URL: http://www.globalsign.com/company/press/090611-security-resp...
Новость: http://www.opennet.ru/opennews/art.shtml?num=31698

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +2 +/
Сообщение от Аноним (??) on 07-Сен-11, 22:36 
Из "отчёта". Хочется плакать. :D

4.4
Current network infrastructure at DigiNotar
The successful hack implies that the current network setup and / or procedures at DigiNotar are not
sufficiently secure to prevent this kind of attack.
The most critical servers contain malicious software that can normally be detected by anti-virus software.
The separation of critical components was not functioning or was not in place. We have strong indications
that the CA-servers, although physically very securely placed in a tempest proof environment, were
accessible over the network from the management LAN.
The network has been severely breached. All CA servers were members of one Windows domain, which
made it possible to access them all using one obtained user/password combination. The password was
not very strong and could easily be brute-forced.
The software installed on the public web servers was outdated and not patched.
No antivirus protection was present on the investigated servers.
An intrusion prevention system is operational. It is not clear at the moment why it didn‟t block some of
the outside web server attacks. No secure central network logging is in place.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от anonymous (??) on 07-Сен-11, 23:36 
Винда, OK.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от alikd email on 08-Сен-11, 11:48 
Точно! Безумие в отношении к безопасности сертификационным центром(-ами). Можно предположить, что у компаний, чей профиль деятельности менее тесно связан с безопасностью, всё ещё печальней (пруф: недавний epic fail Sony).


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от alikd email on 08-Сен-11, 11:49 
сори. отвечал на пост ниже:
> this is madness
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

3. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +2 +/
Сообщение от rain87 on 08-Сен-11, 00:12 
this is madness
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от umbr (ok) on 08-Сен-11, 00:46 
Зато "...physically very securely placed in a tempest proof environment..." :)
Гламурный СА.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +1 +/
Сообщение от Аноним (??) on 08-Сен-11, 03:29 
В результате хаксор по сети влез в очень укрепленное окружение :)

Вообще, судя по посту хакера и описанию от экспертов:
[Манагеры]: мы тоже хотим пилить бабло на сертификатах! А ну, сделайте-ка нам зае...сь!
[Сэйлзы-1]: А вот виндоус! Самый безопасный! Покупай!
[Сэйлзы-2]: А вот супер-защита! Самая-самая! Покупай!
[Сэйлзы-3]: А вот фенечки и прибамбасы для упрочнения вашей сети! Самые-самые!
[haxor]:  whoami -> SYSTEM -> "security, eh? I'll show you security!"

Если кто не знает, в винде, глубоко-глубоко в механизмах авторизации Active Directory AFAIK есть небольшая но забавная слабина. Если вы поломали машину на которую залогинен допустим администратор домена AD (получив там SYSTEM), вы в принципе можете представиться этим администратором. Проапгрейдив "локального админа" до "админа домена". В теории достаточно хакнуть машину с админом домена и после этого можно нагибать остальные машины в домене :D.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  –1 +/
Сообщение от тролль on 08-Сен-11, 10:55 
теперь замени в диалоге слово windows, на linux и отправь этот же диалог в ветку про взлом kernel.org.

правда там его быстро подчистит доблестный модератор, у него как и у тебя диагноз - "Linux головного мозга".

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +4 +/
Сообщение от Аноним (??) on 08-Сен-11, 13:32 
Все просто, аноны. Как говорил кто-то из великих, "Безопасность не продукт, безопасность - процесс".

Я не пойму другого. Несколько лет назад корневые CA гнули пальцы, крича, какая у них охренительно сложная процедура получения авторизации на право быть CA и RA, какие нефигово укрепленные PKI нужно строить, как должны использоваться корневые CA для подписания и выдачи, бла-бла-бла. Это, собсссно, определяет документ, именуемый CPS.

Согласно их собственным стандартам (CAшников), инфра, используемая для манипуляций с приватным ключом CA, имеет воздушный промежуток к интернету - сиречь физически не подключена к оному, админы в обязательном порядке подчиняются separation of duty, задействование корневого CA производится как запуск баллистических ракет, двумя аццкими одминами чуть ли не с предьявлением сетчатки глаза и под видеоконтролем, записи которого хранятся, как и логи, три года.


А теперь скажите-ка мне, как получилось, что все эти благие порывы оказались тупо не выполненными?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от Аноним (??) on 08-Сен-11, 20:03 
> А теперь скажите-ка мне, как получилось, что все эти благие порывы оказались
> тупо не выполненными?

А тут как и в банковской индустрии. Много лапши на ущи. Много сертификаций, формальной волокиты, бюрократии и какой там еще фигни. Много формальных требований. И что самое смешное - весь этот онанизм имеет крайне косвенное отношение к безопасности компьютерных систем. То-есть вы можете выполнить все формальные требования допустим предъявляемые к банковской процессинговой системе, но при этом по факту являться полнейшим рещетом. Хотя галочки в списке вроде как расставлены, за все уплачено и так далее. Просто хакерам пофиг на эти галочки и то что уплочено, они тестируют то что по факту. Кстати, это хорошо: санитары леса - тоже нужная роль, хоть и не всегда почетная.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от Аноним (??) on 09-Сен-11, 13:37 
Я-то реально в курсе. Я пробовал создавать свой CA. И знаю, что формально а что реально. Просто удивляюсь, как PKI в очередной раз "мамой клянется", а в итоге доверять-то, собссно, нечему. Такие же, как и мы, в телогреечках сидят.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от Аноним (??) on 09-Сен-11, 15:21 
> А теперь скажите-ка мне, как получилось, что все эти благие порывы оказались
> тупо не выполненными?

Как обычно. http://serverfault.com/questions/293217/our-security-auditor...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от Аноним (??) on 08-Сен-11, 19:59 
> теперь замени в диалоге слово windows, на linux и отправь этот же
> диалог в ветку про взлом kernel.org.

В линуксах поимение 1 машины обычно не ведет к разносу всего домена. У кернелорга сломали только пару серверов. Но главное, ресурс касающийся вопросов доверия как то исходники линя - не пострадали в силу умной реализации системы контроля версий. Все-таки Торвальдс - это мозг, а не пиар-бредни галимых маркетологов о секурити.

> правда там его быстро подчистит доблестный модератор, у него как и у
> тебя диагноз - "Linux головного мозга".

Я почему-то думал что у главного админа диагнозом является бсд головного мозга. Хотя совсем дубовым виндузятникам простительно путать эти системы, конечно.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  –2 +/
Сообщение от antitroll on 08-Сен-11, 21:49 
и в правду, тролль головного мозга. читай про pass-the-hash. поснифал хэш (НЕ ПАРОЛЬ!) и стал админом домена!!! вот тебе и супер безопасная венда. когда патчи выпустят свистни, может через несколько лет?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +1 +/
Сообщение от AdVv email(ok) on 09-Сен-11, 02:12 
Вау ! Ты прям только что написал что kerberos придумали законченные идиоты. Надо твой пост на нобелевку номинировать. В номинации "Трепло 2011".
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  –6 +/
Сообщение от admin (??) on 09-Сен-11, 13:27 
вы почитайте сначала про pass-the-hash а потом извинитесь, ок?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от Лютый хаксор on 09-Сен-11, 14:21 
Еще один юный читаль журнала }{akep. Тут где-то в соседних ветках видел тебе подобного, мечтает взломать Microsoft. Вы уже сойдитесь что-ли два мечтателя, вооружитесь журнальчиками и идите "ломать". Как сломаете приходите снова, перед вами извинятся и наставят плюсиков. :D
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от admin (??) on 09-Сен-11, 19:51 
> Еще один юный читаль журнала }{akep. Тут где-то в соседних ветках видел
> тебе подобного, мечтает взломать Microsoft. Вы уже сойдитесь что-ли два мечтателя,
> вооружитесь журнальчиками и идите "ломать". Как сломаете приходите снова, перед вами
> извинятся и наставят плюсиков. :D

эта... всё таки прочитайте. и попробуйте у себя в сети.

2 AdVv
> Эта техника может быть использована против устаревшего протокола NTLM, который еще в 2000 > году заменили на kerberos. Да, в целях совместимости он еще используется в некоторых > > случаях, но такую ситуацию нужно еще суметь спровоцировать. А при повышенных требованиях безопасности его использование можно (и нужно) вообще полностью запретить, о чем довольно >недвусмысленно написано в документации.

прочитайте сначала всё таки. ntlm/kerberos - нет разницы. Даже смарт карты не спасают ;)

>Далее по поводу "снифить". Снифить у тебя получится на гламурном свиче DLink за 500 руб штука, и то не всегда

а ведь говорили что читали.... объясняю для всех очень занятых.
админ логинится под своей учёткой на протрояненный сервер или раб. станцию пользователя(RDP?), это ситуация ежедневна для многих из нас :) на ней снифается хэш пароля. в данном случае "снифается" надо понимать условно, не по сети, а из памяти процесса lsass. всё! используя этот хэш (не зная пароля!!) вы имеете админа домена. прога готовая в инете(собственно одноименная pass-the-hash).
я когда узнал честно говоря прифигел. и ни смарткарты вас не спасут, ни отключение ntlm ver.X.
т.о. единственная взломанная машина в AD равняется всему взлому всей AD. ч.т.д.
ну шо, есть безопасность в AD? и тут у поклонников МС аргументы заканчиваются.


Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от Желающий быть учеником гуру on 09-Сен-11, 20:00 
Вопрос в лоб, лично ты таким способом сколько раз поимел админа в сетях с AD? :)
И где надо кОчать твоих троянов, чтобы запустить на своих серверах. Мне не терпится это сделать. :)
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от 1 (??) on 10-Сен-11, 12:13 
> Вопрос в лоб, лично ты таким способом сколько раз поимел админа в
> сетях с AD? :)

статья УК РФ однако.
http://oss.coresecurity.com/pshtoolkit/doc/index.html
1. запускаете WHOSTHERE.EXE, ждёте админа(месяц или год или провоцируете логин сразу)
2. iam.exe administrator mydomain 0102030405060708090A0B0C0D0E0F10 0102030405060708090A0B0C0D0E0F10
> И где надо кОчать твоих троянов, чтобы запустить на своих серверах. Мне
> не терпится это сделать. :)

ой что-то конфикер вас не спросил качать его или нет.
на скольких машинах из вашей корпоративной сети есть троян? вы не сможете сказать точно.
тем более сделать это не так сложно, я написал другому форумо-писателю.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от 2 on 10-Сен-11, 12:45 
Не работает. :( Надо звать одмина что ли для установки трояна в систему? Дык он не захочет ведь. :(
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  –1 +/
Сообщение от 1 (??) on 10-Сен-11, 13:10 
вышла новая версия
http://www.ampliasecurity.com/research/wcefaq.html#whatiswce

напоминает форум античата, где ребята клянчают ответы на все возможные вопросы. а как cmd запустить и всё такое.

ждём с нетерпением результатов.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от Бородатый одмин on 10-Сен-11, 13:37 
Я так понимаю сам мистер Трепло-2011 даже не смотрел что он нашел. :D

Цитата из README к новой версии:
"This tool requires administrator privileges to dump and add/delete/change NTLM credentials."

Шел бы ту уже уроки делать "спЫциалист". И перестань читать "Хакер".

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  –1 +/
Сообщение от 1 (??) on 10-Сен-11, 13:59 
> Шел бы ту уже уроки делать "спЫциалист". И перестань читать "Хакер".

если всё таки внимательно прочесть тред, то станет понятно, что речь идёт о взломе всей
сети, взломав всего лишь одну машину домена. да, на ней нужно получить админа.
сломал одну тачку,  дождался логина админа, стал хозяином AD.
ЭТОГО УЖЕ МАЛО???! кажись это метание бисера. либо вы просто пришли потроллить.

извинения за "трепло" принимаются. да и в общем такой стиль общения выдёт больше ваш возраст ^)

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

35. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от Бородатый одмин on 10-Сен-11, 14:13 
"что речь идёт о взломе всей сети, взломав всего лишь ***одну машину домена***"

Этой своей писаниной ты только доказал, что ты AD в глаза то никогда не видел, смысла с тобой спорить действительно нету.

Прочти внимательно еще раз цитату:
"This tool requires ***administrator privileges*** to dump and add/delete/change NTLM credentials."

Если ты по факту получил админа на всего лишь одной машине в AD, то ты уже админ. Не надо больше ничего ломать уважаемый специалист по безопасности.


Удачи в псевдовзломах Виндовсов.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

36. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  –2 +/
Сообщение от 1 (??) on 10-Сен-11, 22:02 
ну прям не знаю.. вы считаете что взломав одну машину из 1000 = поиметь весь домен, это нормально?
есть ли смысл так защищать честь майкрософт(которой нет), если у них серьёзный промах в обходе аутентификации, то надо это признавать.
P.S. бородатый, я тоже бородатый, уже 8 лет админ AD, если что ;)
куда без AD то?
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

38. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от 3 on 11-Сен-11, 05:06 
Позвольте поинтересоваться уважаемый тролль вам слово OpenLDAP встречалось когда-нибудь на вашей Бубунте?
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

39. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от Бородатый админ on 11-Сен-11, 06:46 
Ближе к вечеру прочитает об этом в гугле и напишет что админит такую Linux инфраструктуру уже как 8 лет, и конечно же там получение рута на одной машине не привидет к взлому всей сети. Обычно Торвальдс в таких случаях через astarllib сам лично отыскивает взломщиков и жестко их карает. А в Red Hat Directory Server прямо со спутника лазером расстрел на месте. ;)
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от AdVv (ok) on 12-Сен-11, 14:01 
> ну прям не знаю.. вы считаете что взломав одну машину из 1000
> = поиметь весь домен, это нормально?
> есть ли смысл так защищать честь майкрософт(которой нет), если у них серьёзный
> промах в обходе аутентификации, то надо это признавать.
> P.S. бородатый, я тоже бородатый, уже 8 лет админ AD, если что
> ;)
> куда без AD то?

Я не бородатый, коротко подстрижен и соблюдаю все нормы СЭС. Админю и винду и юниксы.
Еще раз пропишу для заторможенных, взломав одну машину в домене злоумышленник поимеет только эту машину. Если (1) он внедрит на нее троян, если (2) потом за нее сядет сисадмин, и если (3) введет логин и пароль пользователя с полномочиями Администратора домена, злоумышленник поимеет весь домен.  Но это и так очевидно, он может хоть с затрояненного Linux, хоть с iPhone зайти, результат будет аналогичен. Причем тут Винда - совершенно неясно. Это то же самое что через плечо пароль подглядеть, но отчего-то подается с таким пафосом, как былинный провал.
Надо заметить, что админить рабочие станции не обязательно от имени администратора домена, можно это и под локальным администратором делать. Вот только придется на каждой машине сделать ему уникальный пароль, иначе затея теряет смысл. Зто очень неудобно, а сисадмины народ ленивый.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

42. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от MrClon on 16-Сен-11, 12:51 
На сколько я понял тут речь идёт не о локальном логине, а о сетевом (RDP и SMB там всякие) и проблема заключается в том что переданный в процессе логина хэш пароля можно повторно использовать для входа на другие машины в AD. Т.е. хэш передаваемый клиентом при подключении к удалённому компу берётся просто от пароля, а не от пароля и ещё чего-то уникального для данной сессии.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

34. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от 1 (??) on 10-Сен-11, 14:08 
> даже не смотрел что он нашел.

смотрел. года 2 назад. у нас весь IT отдел прифигел.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

26. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от AdVv (ok) on 09-Сен-11, 20:56 
> т.о. единственная взломанная машина в AD равняется всему взлому всей AD. ч.т.д.
> ну шо, есть безопасность в AD? и тут у поклонников МС аргументы
> заканчиваются.

Господи какая чушь ... Открытие века, вход на затрояненную машину ведет к компрометации пароля ?! Нахер, простите, заморочки с хешем, его можно взять из формы логина или просто тупо считать ввод с клавиатуры. А что, под Линукс руткиты пароли красть не умеют ?! Видимо те , кто их пишут Торвальдса боятся ?
Дай-ка срезюмирую: Если внедрить троян на машину админа, можно украть пароль, поэтому windows-домены в частности и Майкрософт в целом - дырявое барахло. Осталась собственно мелочь - внедрить троян и заставить админа домена ввести пароль - задача для третьикласника. Занавес, сполз под стол.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  –2 +/
Сообщение от 1 (??) on 10-Сен-11, 12:02 
> Осталась собственно мелочь - внедрить троян

опа, так это же в любой сети сплошь и рядом. куда ни плюнь антивирус скажет что у вас троян.а да, чаще не скажет ;)
или вы скажите что затроянить одну из 1000 машин типовой компании трудно?
1. уязвимости, к-ые майкрософт не закрывает месяц и не стесняется этого.
2. соц. инженерия
3. инсайдеры
> и заставить админа домена ввести пароль

вы машину в домен добавляя, разве не аутентифицируетесь?
вы вообще админите? понаблюдайте сколько раз в день вы куда то логинитесь.
и если вы логинитесь то всё таки чтобы что-то исправить и вам всё равно будут нужны права админа.
думаю уже не так смешно? проблема очень большая.
это признают любые эксперты по безопасности, но вы не такой ж)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

41. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от AdVv (ok) on 12-Сен-11, 14:59 
>> Осталась собственно мелочь - внедрить троян
> опа, так это же в любой сети сплошь и рядом. куда ни
> плюнь антивирус скажет что у вас троян.а да, чаще не скажет
> ;)
> или вы скажите что затроянить одну из 1000 машин типовой компании трудно?

Если должным образом подкручены гайки в плане безопасности - трудно. Достаточно не пускать рядовых пользователей под административной учеткой, настроить автоматическое обновление системы и антивирусного ПО. Совершенно аналогично с Linux.

> 1. уязвимости, к-ые майкрософт не закрывает месяц и не стесняется этого.
> 2. соц. инженерия
> 3. инсайдеры
>> и заставить админа домена ввести пароль
> вы машину в домен добавляя, разве не аутентифицируетесь?
> вы вообще админите? понаблюдайте сколько раз в день вы куда то логинитесь.

Когда я ввожу машину в домен на ней нет троянов, она развернута с эталонного образа. Для администрирования существует отдельный доменный пользователь, который входит в локальную группу "Администраторы" на рабочих станциях, но не входит в группу "Администраторы домена". Украв его пароль вы не получите доступа к серверам.

> и если вы логинитесь то всё таки чтобы что-то исправить и вам
> всё равно будут нужны права админа.
> думаю уже не так смешно? проблема очень большая.
> это признают любые эксперты по безопасности, но вы не такой ж)

Я что, неясно излагаю свои мысли ? Винда тут каким боком ? Это не проблема домена, это вопрос компромиса между удобством и безопасностью. Либо централизованная аутентификация, либо толмут со списком пользователей/паролей на каждую машину индивидуально и гемморой с организацией общего доступа к разделяемым ресурсам, других вариантов нет. Что хуже в плане безопасности - это еще вопрос. Под Linux вообще нет инструмента хоты-бы частично приближенного по возможностям к Active Directory. Аналогов нет, одни костыли, даже сравнить не с чем. С ростом количества рабочих станций сложность администрирования растет линейно.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

20. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от AdVv (ok) on 09-Сен-11, 15:32 
> вы почитайте сначала про pass-the-hash а потом извинитесь, ок?

Да не нужно мне читать, я знаю о чем идет речь, потому и стебаюсь.
Эта техника может быть использована против устаревшего протокола NTLM, который еще в 2000 году заменили на kerberos. Да, в целях совместимости он еще используется в некоторых случаях, но такую ситуацию нужно еще суметь спровоцировать. А при повышенных требованиях к безопасности его использование можно (и нужно) вообще полностью запретить, о чем довольно недвусмысленно написано в документации.
Далее по поводу "снифить". Снифить у тебя получится на гламурном свиче DLink за 500 руб штука, и то не всегда. С нормальным управляемым свичем ничего, кроме собственного трафика ты не получишь.
Далее, заснифить тебе нужно не абы чей, а пароль администратора домена, который в сети вообще светиться не должен.
Это все элементарные азы компьютерной безопасности, которые должны соблюдаться на любом серьезном предприятии, что уж говорить о центре сертификации.
А данный же случае проблема не в Windows, а в сказочном долбоебизме и раздолбайском отношении к вопросам безопасности руководства и сотрудников центра, что и привело к очевидным последствиям.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

24. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от admin (??) on 09-Сен-11, 19:56 
я вам выше ответил, ваш коммент с матом всё равно удалят.


Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

27. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от Гога on 10-Сен-11, 10:53 
Удалить бы как раз следовало твою бредятинку, а это нормальный ответ технически подкованного человека, пусть он в нем матюгнулся невзначай, но его ответ для читающих конференцию всяко полезней твоих необснованных диалогов о том что винда супердырявая система. Супердырявой она была 98-ом году, с тех пор много воды утекло.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

21. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от Fantomas (??) on 09-Сен-11, 17:03 
> занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.

нормальный творческий безпорядок.
у меня на работе тоже-самое.
главное, чтобы небыло инсайдеров.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "GlobalSign временно приостановил выдачу SSL-сертификатов из-..."  +/
Сообщение от AdVv (ok) on 09-Сен-11, 18:24 
>> занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.
> нормальный творческий безпорядок.
> у меня на работе тоже-самое.
> главное, чтобы небыло инсайдеров.

Бардак не просто способствует, он провоцирует к утечке.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру