Vlákno názorů k článku Příchod hackerů: operace Olympijské hry od jano - hmmm ... nejako mi tam chyba poznamka o...
-
Odvozuji z toho, ze ta cilova platforma byla asi widle.
Jednak byly a jsou derave ja cednik, jednak najiti bezpecnostni diry a jeji opraveni si vetsinou u komercnich produktu vyzada IMHO dlouho dobu a jednak spousta uzivatelu se necha ukolebat kecama, ze staci naistalovat nejaky antivir, firewall, atpd.. (jeste k tomu nejake to "anti", co je zrovna strsne cool) a dal se o to nezjimaji. Navic ten virus byl evidentne vytvoren hlavne pro prumyslovou spionaz, kde prozatim kraluji widle (a ono je to jedno, protoze zabezpeceni pocitacu je v prumyslu proste katastrofa. Ve vetsine firem kde jsem delal, by my stacila chvila s USBckem a nemluve ani o tom, ze se z operacnich stanic v nekolika firmach dalo vesele brouzdat po cele firemni siti, popr. i po internetu.) A vesele se na to kasle - dokud neni nejaky problem.
Faktem zase je, ze takova situace panuje ve firmach na ceskem uzemi. Jak je to v cizine uz nevim, ale obavam se ze zas tak o moc zarivejsi to zas nebude.
-
Petr M (neregistrovaný)
Nějakou dobu jsem dělal pro jednu zahraniční firmu (jiná než nynější) a síť s widlema NT zabezpečenou měli, na net se člověk nedostal bez příslušnýho oprávnění z IT oddělení, blokovaný mechaniky a USB... Blokování webu docílili tak, že zakázali spouštění M$IE a jiný prohlížeč tam nebyl. Otevřít složku s aplikacema nešlo, takže ajťáci měli splněno.
Jenomže ajťáci nevěděli, že jeden operátor na lince přišel na to, že když si otevře 2x správce souborů a přetáhne tam libovolnou složku, ke které nemá přístup, tak sse mu otevře a může se v ní normálně pohybovat, i když nic nespustí. O nějakou dobu pozděj zase někdo přišel na to, že když z takhle prohlíženýho adresáře přetáhne exáč do wordu, tak se exáč spustí. A to včetně M$IE. Každopádně jistý jsou čtyři věci:
- Programátoři widlí tehdy nepřemýšleli nad tím, že se věci dají dělat i jinak, než klikat na ikony na ploše nebo v menu
- Trochu poklesla produkce odpolední a noční směny
- Několik paní před důchodem se obstojně naučilo orientovat na webu
- A já jsem se dost dobře bavil, když mě jednou asi pětačtyřicetiletá matka spolužáka, která dělala na lince, ukazovala postup anonymního přihlášení k mailu na seznamu z uživatelskýho účtu "prod-line12" :DBy the way: user data byly komplet na serveru a na jednom uživatelským účtu bylo přihlášeno cca 20PC. Když tam jednou někdo něco nebezpečnýho stáhl, ajťáci nedohledali ani který den a z kterýho PC... Tak to před nadřízenýma ututlali, aby nebyli za blbce.
-
Filip JirsákStříbrný podporovatelTo nebyla chyba programátorů Windows, ale toho, kdo to takhle „zabezpečil“. Pokud chcete řídit spouštění programů, musíte řídit spouštění programů, a ne zobrazování nějakých složek – a to ve Windows šlo (i když hodně složitě).
-
Lael Ophir (neregistrovaný)
To co popisujete jsou restrikce pomocí Group Policy. Ty samozřejmě fungují. Ale když uživateli řekněme zakážete prohlížení sítě ve Windows Exploreru, je to jen nastavení dané aplikace. Pokud uživatel spustí jinou aplikaci (třeba Total Commander nebo cmd.exe), tak se dále dostane všude, kde má permissions. Jestli tohle není vaším ajťákům jasné, zasloužili by vyměnit.
Ad ajťáci nedohledali ani který den a z kterýho PC - pokud jede víc uživatelů pod jedním účtem, zjišťuje se to špatně. Navíc většinou nebývá zapnuté auditování na soubory, protože to zabírá vcelku zbytečně spoustu místa.
-
Karel (neregistrovaný)
To je o tom, jak si to nastavíte. Pokud v Group Policy zakážete nějaký program, tak jste prostě zakázal program.
Příklad pro znalé spíše Linuxu: dám vám právo zápisu do všech souborů v /etc, ale odinstaluji "vim". Kontrolní otázka - dá se očekávat, že jsem vám úspěšně zabránil měnit soubory v /etc ? Protože přesně tohle je to, co si řada "taky administrátorů" windows myslí. Že když zablokuji program, který umí XY, tak tím zabrání uživateli udělat XY. Místo aby nastavovali přístupová práva k adresářům, tak zakáží průzkumníka windows. A pak jsou konfrontováni s tím, že většina programů umí "Otevřít soubor", kde se objeví navigátor a dá se tím vlézt do libovolného adresáře. A že i takový notepad umí zobrazit kde co, nejen .txt soubory.
