Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Publiczny dysk sieciowy z danymi o terrorystach… znalazł Shodan
BBC donosi o dysku sieciowym (bez hasła) zawierającym około 700 stron poufnych informacji dotyczących dochodzeń Europolu w sprawach związanych z terroryzmem.
Dysk dostępny był w Internecie, a dostęp do niego zaindeksował Shodan. Tym razem nieintencjonalnie upublicznione dane zawierały choćby takie elementy:
Zembla reported that documents contained the names and telephone numbers of hundreds of people associated with terrorism.
(…) they mostly dated from 2006 to 2008 and included investigations into the Madrid train bombings, the Hofstad Network – a Netherlands-based Islamist terror network – and foiled attacks on several flights.
Dane nie są super świeże (jak widać mogą mieć nawet 10 lat), ale Europol rozpoczął dochodzenie w sprawie wycieku, jednocześnie wskazując że jego źródłem jest były pracownik, który skopiował dokumenty niezgodnie z zasadami przyjętymi w tej organizacji.
–ms
Europol który nie ma systemu Data Leak Prevention który by wykrył niezgodne z procedurą kopiowanie plików? Czy to normalne?
W służbach pracuje wielu wartościowych ludzi i ciągle jeszcze jakiś procent kretynów!
Te DLP, przynajmniej z mojego doświadczenia są dość słabe, tj ograniczają ryzyko, ale nie trzeba być jakiś ciemnym hackerem żeby obejść taki system :/
A z jakimi – 'słabymi’ DLP – miałeś do czynienia?
Możesz podać nazwę, jeśli to nie tajemnica?
Co rozumiesz pod pojęciem 'słabe’?
Bardzo to mnie interesuje.
Sekurak pokusiłby się o analizę takiego systemu z punktu widzenia skuteczności?
Nie wierzę że nie da się zapanować w systemie operacyjnym nad gniazdami, systemami plików i urządzeniami…
ps. Do zobaczenia we Wroclove w styczniu 2017
blokwanie gniazd i urzadzen w systemie operacyjnym to jedna sprawa. Co zrobic, jesli user musi korzystac z dyskow USB lub z internetu? jak wtedy zabezpieczyc dane, aby nie wyciekly? tutaj pomocne moze byc DLP – Data Leak Prevention. W politykach DLP opisujemy czego chcemy szukac, a DLP przeszukuje znane typy plikow i jak pattern zostaje znaleziony, to reaguje. Stosunkowo latwo opisac np. numery kont bankowych czy adresy email – jakies raporty duzo trudniej. Mozna dodawac znaczniki do plikow pdf, xlsx czy docx i starac sie to kontrolowac, ale znow jest masa mozliwosci – co jesli ktos spakuje plik do zip i ustawi haslo? Co jesli ktos zrobi screenshot z tami danymi i wysle jako jpg? Co jesli ktos zrobi zdjecie monitora z wyswielonymi danymi? Co jesli ktos zrobi screenshot z waznego dokumentu, wydrukuje go i zabierze wydruki do domu? DLP sluzy do kontroli przypadkowego wycieku danych, np. ktos zalacza do maila plik z jakimis waznymi danymi ktore sa latwe do opisania (np numery kont bankowych) – wtedy admin dostaje info a mail jest blokowany.
W przypadku robienia zdjęć monitora, jedynym rozsądnym rozwiązaniem jest monitoring pomieszczeń i świadomość użytkowników że są ciągle on-line obserwowani i nagrywani. To częściowo załatwia problem.
Plik spakowany na haslo dalej jest widoczny po wejsciu w archiwum. Haslo ogranicza tylko dostep do danych. Pliki .jpg jak i kazde inne mozna skanowac i jezeli np. rozszerzenie nie zgadza sie z oczekiwanym typem danych wewnatrz zapala sie pierwsze ostrzezenie. Gorzej ze steganografia, ale gdzies czytalem, ze dzis to tez nie jest juz wielki problem.