forum.opennet.ru

Составление сообщения

Исходное сообщение

"Бывший сотрудник Ubiquiti арестован по обвинению во взломе"
Отправлено Аноним, 04-Дек-21 16:57

Я пдфку не читал, далее мои догадки.
1. Раз логи там смотрят, с безопасностью у них там не всё плохо. Раз кто-то может склонировать репку из дома, значит ограничения по IP в настройках не включены, значит так надо. Возможно что там практикуется WFH, и работникам разрешено клонировать домой репки. Если репки разрешено клонировать домой через инет, то фирма сотрудникам достаточно доверяет, и наверняка и флешки разрешены. Но проверяет - всё логируется и смотрится СБшниками и их скриптами.
А теперь смотрим. Прошлый и этот годы прошли под вывеской WFH. Если бы он действительно работал, у него дома уже была бы копия репозитория. И не надо было бы ничего выкачивать с гитхаба. А доступ к чужим, причём массовый - вызовет вопросы у СБшников. Я так предполагаю, что у них там простой скрипт, вытягивающий с GH логи, + база, каким сотрудникам с чем разрешено работать. Если сотрудник хочет вытянуть то, с чем он раньше не работал, то ему никто не мешает, но генерируется алерт, и просто к нему потом зайдут и он должен будет обосновать. Или даже не зайдут, а зайдут сначала к руководителю, и если руководитель скажет ОК, то рядовой сотрудник даже и не узнает, что его пасут. Это адекватный подход, не разрушающий рабочие процессы.
2. Вот это огромное палево, почище использования личного акка. Чел наверное хотел смешаться с остальными людьми с доступом к админскому акку. Если клонирование 1-2 репок рядовым сотрудником почти не вызвало бы подозрений и это можно было бы обосновать, то клонирование админом, который единственное что должен делать - это новых сотрудников прописывать, причём клонирование всего подряд - это реально инцидент.
3. Не имеет смысл юзать VPN когда ты и так аутентифицирован. Искать будут не среди тех, у кого есть vpn, а среди тех, у кого есть credentials для акка. Сразу ясно, что это либо инсайдер, либо кто-то взломавший инсайдеров.
4.1 атака корреляции трафика, классика.
4.2 если бы использовал wireguard, то соединение просто бы порвалось и восстановилось
5. привлечь к расследованию главных подозреваемых - очень умный ход.
В общем, всё выглядит очень глупо.

Исходное сообщение
"Бывший сотрудник Ubiquiti арестован по обвинению во взломе" Отправлено Аноним, 04-Дек-21 16:57
Я пдфку не читал, далее мои догадки. 1. Раз логи там смотрят, с безопасностью у них там не всё плохо. Раз кто-то может склонировать репку из дома, значит ограничения по IP в настройках не включены, значит так надо. Возможно что там практикуется WFH, и работникам разрешено клонировать домой репки. Если репки разрешено клонировать домой через инет, то фирма сотрудникам достаточно доверяет, и наверняка и флешки разрешены. Но проверяет - всё логируется и смотрится СБшниками и их скриптами. А теперь смотрим. Прошлый и этот годы прошли под вывеской WFH. Если бы он действительно работал, у него дома уже была бы копия репозитория. И не надо было бы ничего выкачивать с гитхаба. А доступ к чужим, причём массовый - вызовет вопросы у СБшников. Я так предполагаю, что у них там простой скрипт, вытягивающий с GH логи, + база, каким сотрудникам с чем разрешено работать. Если сотрудник хочет вытянуть то, с чем он раньше не работал, то ему никто не мешает, но генерируется алерт, и просто к нему потом зайдут и он должен будет обосновать. Или даже не зайдут, а зайдут сначала к руководителю, и если руководитель скажет ОК, то рядовой сотрудник даже и не узнает, что его пасут. Это адекватный подход, не разрушающий рабочие процессы. 2. Вот это огромное палево, почище использования личного акка. Чел наверное хотел смешаться с остальными людьми с доступом к админскому акку. Если клонирование 1-2 репок рядовым сотрудником почти не вызвало бы подозрений и это можно было бы обосновать, то клонирование админом, который единственное что должен делать - это новых сотрудников прописывать, причём клонирование всего подряд - это реально инцидент. 3. Не имеет смысл юзать VPN когда ты и так аутентифицирован. Искать будут не среди тех, у кого есть vpn, а среди тех, у кого есть credentials для акка. Сразу ясно, что это либо инсайдер, либо кто-то взломавший инсайдеров. 4.1 атака корреляции трафика, классика. 4.2 если бы использовал wireguard, то соединение просто бы порвалось и восстановилось 5. привлечь к расследованию главных подозреваемых - очень умный ход. В общем, всё выглядит очень глупо.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Я пдфку не читал, далее мои догадки.

> 1. Раз логи там смотрят, с безопасностью у них там не всё 
> плохо. Раз кто-то может склонировать репку из дома, значит ограничения по 
> IP в настройках не включены, значит так надо. Возможно что там 
> практикуется WFH, и работникам разрешено клонировать домой репки. Если репки разрешено 
> клонировать домой через инет, то фирма сотрудникам достаточно доверяет, и наверняка 
> и флешки разрешены. Но проверяет - всё логируется и смотрится СБшниками 
> и их скриптами.

> А теперь смотрим. Прошлый и этот годы прошли под вывеской WFH. Если 
> бы он действительно работал, у него дома уже была бы копия 
> репозитория. И не надо было бы ничего выкачивать с гитхаба. А 
> доступ к чужим, причём массовый - вызовет вопросы у СБшников. Я 
> так предполагаю, что у них там простой скрипт, вытягивающий с GH 
> логи, + база, каким сотрудникам с чем разрешено работать. Если сотрудник 
> хочет вытянуть то, с чем он раньше не работал, то ему 
> никто не мешает, но генерируется алерт, и просто к нему потом 
> зайдут и он должен будет обосновать. Или даже не зайдут, а 
> зайдут сначала к руководителю, и если руководитель скажет ОК, то рядовой 
> сотрудник даже и не узнает, что его пасут. Это адекватный подход, 
> не разрушающий рабочие процессы.

> 2. Вот это огромное палево, почище использования личного акка. Чел наверное хотел 
> смешаться с остальными людьми с доступом к админскому акку. Если клонирование 
> 1-2 репок рядовым сотрудником почти не вызвало бы подозрений и это 
> можно было бы обосновать, то клонирование админом, который единственное что должен 
> делать - это новых сотрудников прописывать, причём клонирование всего подряд - 
> это реально инцидент.

> 3. Не имеет смысл юзать VPN когда ты и так аутентифицирован. Искать 
> будут не среди тех, у кого есть vpn, а среди тех, 
> у кого есть credentials для акка. Сразу ясно, что это либо 
> инсайдер, либо кто-то взломавший инсайдеров.
> 4.1 атака корреляции трафика, классика.
> 4.2 если бы использовал wireguard, то соединение просто бы порвалось и восстановилось

> 5. привлечь к расследованию главных подозреваемых - очень умный ход.

> В общем, всё выглядит очень глупо.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру