Про нападение на Sony Pictures

24 ноября группа хакеров под названием #GOP (Guardians of Peace) парализовала работу киностудии Sony Pictures, после чего начала планомерно «сливать» в сеть секретные документы, копии фильмов и личные данные её сотрудников. Спустя полторы недели СМИ не без оснований стали называть сложившуюся ситуацию «крупнейшим корпоративным взломом в истории».

TJ подвёл промежуточные итоги атаки, от которой одна из крупнейших кинокомпаний планеты не сможет оправиться ещё очень долго.

Пренеприятнейшее известие

Утром 24 ноября сотрудники киностудии Sony Pictures, одного из крупнейших в мире производителей и дистрибьюторов фильмов и телепрограмм, вместо привычных заставок и приветствий обнаружили на экранах своих компьютеров пугающую «открытку» с изображением красного скелета и надписью «хакнуто #GOP».

После того, как стало понятно, что речь идёт не о безобидном вирусе, а о полноценном взломе внутренней сети, работников попросили отключить свои компьютеры, а затем отправиться домой и продолжить заниматься текущими делами на личных устройствах.

В заглушке, которую хакеры использовали, явным образом говорилось о шантаже. Злоумышленники обещали начать публиковать данные Sony, если компания не выполнит некие условия. Их суть остаётся неизвестной даже спустя полторы недели после взлома: то ли Sony сама не понимает о чём речь, то ли требования касаются её коммерческих тайн.

По дальнейшим событиям можно судить только лишь о том, что Sony отказалась выполнять условия взломщиков: с 24 ноября в сети ежедневно начали появляться различные данные с компьютеров работников студии. Хакеры не остановились ни перед чем — даже самыми интимными подробностями.
Добыча хакеров

Взломщики, неоднократно выходившие на контакт с прессой после инцидента, заявили, что к ним в руки попало порядка 100 терабайт данных: на момент написания заметки в сети опубликовано около 40 гигабайт из них, однако и тех уже вполне достаточно, чтобы нанести компании и её персоналу непоправимый вред.

В «утечке» оказалось около 3500 номеров социального страхования и информация об окладе 6700 сотрудников Sony, включая директоров, а также домашние адреса, телефоны, почтовые ящики, причины пропуска работы, пароли от аккаунтов в социальных сетях, внутренние пароли, данные об инфраструктуре серверов, копии вышедших и не вышедших в прокат фильмов, сценарии, маркетинговые стратегии, личные документы — иными словами, все личные и рабочие данные, так или иначе попадавшие на компьютеры киностудии.

Кроме того, по информации ФБР, хакеры не ограничились кражей данных, но и использовали ПО для их полного уничтожения, однако о таких потерях Sony официально не заявляла.
Интересные находки

Как и в случае с утечками интимных фотографий знаменитостей, часть пользователей сети начала осуждать копошение в личных и корпоративных данных Sony, а другая часть сразу же самозабвенно углубилась в это занятие: всё-таки подноготная компании такого уровня открывается миру не каждый день.

Из утёкших документов выяснилось, что успешные архивные сериалы приносят студии огромные деньги даже спустя десятилетия после своего завершения. Например, «Сайнфилд», который наряду с «Друзьями» считается одним из лучших ситкомов всех времён, только на продаже прав на трансляцию местным каналам принесёт Sony в 2014 году более 18 миллионов долларов. А ведь шоу было закрыто больше шестнадцати лет назад.

В сети также оказалась и смета комедии «Интервью». По мнению многих СМИ, именно она может являться причиной атаки на Sony. Картина о двух журналистах, которых ЦРУ завербовало для убийства Ким Чен Ына, обошлась студии в 44 миллиона долларов. Исполнитель главной роли Сет Роген получил за роль 8,4 миллиона, а его друг Джеймс Франко — 6,5 миллиона (Mashable, впрочем, утверждает, что оба актёра получили равные гонорары по 6,5 миллиона). Особое внимание некоторых изданий привлёк включённый в расходы на картину счёт на 250 долларов с описанием про «столик с травой, колой, таблетками и трусиками».

Поскольку в базе данных Sony хранилась информация о работе студии с различными кадрами за последние несколько десятилетий, в интернет попали номера социального страхования Сильвестра Сталлоне, режиссёра и продюсера Джадда Апатоу, а также комедийной актрисы Ребел Уилсон.

Среди «утёкших» документов оказались и крайне пикантные, включая график кормления ребёнка грудью одной из сотрудниц. Также стало известно, что исполнительный вице-президент компании в 2012 году завела роман со своим подчинённым и под разными предлогами ездила с ним в командировки, отдыхая за деньги Sony. За это она получила лишь предупреждение об увольнении.

Помимо копий нескольких ещё не вышедших фильмов студии в сети оказался и сценарий пилота сериала Battle Creek. Внимание к проекту обусловлено именами его авторов: над текстом совместно работали шоураннер «Во все тяжкие» Винс Гиллиган и создатель «Доктора Хауса» Дэвид Шор. Драма уже получила заказ на 13 эпизодов и в следующем году выйдет на телеканале CBS.

Немалое количество вопросов вызвали и слайды для внутреннего пользовании компании: судя по ним, многие пользователи сети решили, что Sony относится к зрителям своих фильмов как к идиотам.
Подозреваемые

Практически сразу после инцидента СМИ предположили, что атаку на Sony организовали власти Северной Кореи. Эта версия сложилась из трёх составляющих: в коде одной из вредоносных программ, использованных хакерами, обнаружились следы корейского языка, ранее представители страны осуждали киностудию за фильм «Интервью», а, значит, у них был мотив, и, наконец, масштабные кибератаки для Северной Кореи — обычное дело.

То, что загвоздка здесь именно в «Интервью» подтверждает и тот факт, что информация о картине, включая бюджет и гонорары актёров, была специально вложена в одну из системных папок, попавших в «слив». Таким образом, хакеры сами косвенно подтвердили, что ведут информационную войну против комедии о покушении на корейского лидера.

С другой стороны, официальные представители Северной Кореи обвинений не признали, а поведение хакеров, напавших на Sony не соответствует повадкам корейской киберармии. Как отмечает Wired, специальные силы страны Ким Чен Ына не стали бы выставлять напоказ «пижонские» картинки с красными скелетами и называть себя «Стражами мира» (Guardians of Piece). Тем не менее сохранение интриги в интересах страны: не ударив пальца о палец, она может выглядеть агрессором, способным буквально выпотрошить целую киностудию за фильм-шутку про своего лидера.

Сами члены #GOP связались с прессой и заявили, что работали над атакой вместе с сотрудниками Sony, потребовали некоего «равенства» для них, а также заявили, что киностудия таким образом расплачивается за свои «криминальные» бизнес-практики. Более того, злоумышленники специально отправили часть украденных документов в издание Fusion, чей редактор на их основе написал статью о том, что из 17 сотрудников компании с зарплатой больше миллиона долларов есть только одна женщина. Отсюда появилась вторая версия: взлом могли устроить бывшие сотрудники студии, обиженные некими решениями руководства.
Sony напросилась

После грандиозного взлома сети PlayStation Network, принёсшего компании в 2011 году немалые убытки, выяснилось, что различные подразделения Sony безалаберно относятся к безопасности: до атаки хакеров данные её игроков хранились на серверах в незашифрованном виде.

Однако взлом Sony Pictures показал ещё большую халатность: сотрудники студии держали списки паролей в таблицах Excel, PDF и текстовых файлах. Речь идёт не только о ключах к аккаунтам соцсетей различных проектов Sony, но и о доступе к аналитическим сервисам, подписка на которые стоит десятки тысяч долларов в месяц. Стоит ли говорить, что корпоративная сеть Sony Pictures стала лёгкой добычей для взломщиков.
Промежуточные итоги

Как и в случае с утечкой интимных фотографий знаменитостей в начале сентября, хакеры не напали на Sony в одночасье, а проникали во внутреннюю сеть, скачивали личную и секретную информацию, заражали всё новые компьютеры в течение как минимум года.

Новости о взломе уже заставили многие голливудские студии, да и крупные компании других профилей, ввести усиленные меры безопасности и даже полностью пересмотреть их.

Делом Sony активно занимается ФБР, и виновных ещё предстоит установить. Во время написания этой заметки сотрудники студии получили новые угрозы на свои электронные адреса: на этот раз куда более страшные.

Я глава GOP, заставившей вас забеспокоиться. Стереть Sony Pictures с лица Земли — небольшая работа для нашей группы, являющейся международной организацией. То, что мы уже сделали, является лишь малой частью нашего плана. Вы ошибаетесь, если думаете, что кризис скоро закончится. Надежды оставят вас, и Sony Pictures ждёт крах. Ситуация зависит только от Sony Pictures. Sony Pictures продолжает цепляться за то, что не приносило никому добра с самого начала. Глупо ожидать, что Sony Pictures победит нас. Sony Pictures делает только бесполезные попытки. Сидящий рядом с вами может быть с нами заодно. Многие вещи за гранью вашего воображения произойдут в разных точках мира. Наши агенты будут действовать там, где это необходимо. Пожалуйста, отправьте своё имя на указанный ниже почтовый адрес, чтобы выразить протест против лжи компании. Если вы этого не сделаете, то не только вы, но и ваша семья окажется в опасности. Никто не сможет помешать нам, вы должны следовать нашим требованиям. Если вы хотите остановить нас, ваша компания должна вести себя мудро.

Хорошее название у группы хакеров. Сразу вспомнилось

Полюбопытствовать дозвольте
С каких краёв вы в нашу даль
И дерзновенны вы столь явно
Сх@#ль

Свои же и слили.

Новые приключения неуловимых.

Кому: Цитата, #1

> с изображением красного скелета и надписью «хакнуто #GOP».

Русские что ли. Надеюсь на скелете была кепка, а в руках пивасик и семки, а то не по картина выглядит незаконченной!!!

Не слабо. Это прямо какой-то терроризм.

Кому: Korsar, #5

> Русские что ли. Надеюсь на скелете была кепка, а в руках пивасик и семки, а то не по картина выглядит незаконченной!!!

член группы элитных хакеров GOP:
http://s.pikabu.ru/images/big_size_comm/2013-08_5/13772400205700.jpg

Вот это "гоп-стоп"!!!

Гоп-стоп, Соня.

Прямо-таки "Бойцовский клуб", судя по последним угрозам.

Кому: Ujify, #7

> член группы элитных хакеров GOP:

Компьютерная система "Gopnet" начала захват мира. Скоро увидим Арнольда в кепке, с красным глазом, отнимающего мобилы!!!

Подсчет негров и женщин в топ-менеджерах - "это какой-то... позор".

Угадали админский пароль и прошлись по всем компам. Интересно, как была организована защита информации - неужто isa сервер .

Да какие они борцы за мир?! Причина всему - деньги. За этим взломом стоят конкуренты, а не толпа хакеров-романтиков.

Скажите, а какую выгоду злоумышленнику даёт знание номеров социального страхования известных личностей? Почему об этом стоит беспокоиться?

Кому: Dmitro25, #15

> Скажите, а какую выгоду злоумышленнику даёт знание номеров социального страхования известных личностей? Почему об этом стоит беспокоиться?

камрады проживающие на западе говорят, что таким образом можно украсть у тебя просто всё

Пароли держать в текстовых файлах это сильно

Это всё MARVEL, они хотят себе Человека паука и всю его шушеру!! "20 век Фокс", с их Людьми Икс, следующие!!!

Кому: Rolland, #17

> Пароли держать в текстовых файлах это сильно

В данном случае безопаснее было бы записать пароли на бумажке и положить под клавиатуру.

Кому: Dmitro25, #19

> В данном случае безопаснее было бы записать пароли на бумажке и положить под клавиатуру.

Веб-камеры не дремлют)

Ну вот, не меня одну тупые машины редактируют. "Guardians of piece"-это звучит гордо!

Полагаю, имеем дела со случаем когда закладки оказываются в руках не того, кому надо. Думается, после недавно выложенных сноуденом весьма любопытных материалах, в ч0рных кругах ч0рной малварной сцены пошли изучения на тему а чего-йто они еще там накрутили. и как результат,например, в 100% безопасном опенсорсном Linux внезапно нашли фатальные уязвимости Shellshock и Heartbleed, которые в этом самом ПО существуют чуть ли не с момента создания. А сколько еще интересного накопали и не говорят, но уже активно по этой теме пишут трояны, бэкдоры черви и прочее - остается только гадать. Вообще со всей этой историей с АНБ не завидую безопасникам, хакеры учатся использовать заботливо оставленные государственными структурами США закладки, коих, надо полагать, более чем дохрена.

Кому: Rolland, #17

> Пароли держать в текстовых файлах это сильно

в некоторых случаях это немного надёжнее, чем в офисных доках

"Сказочные долбоёбы!". (с)
Года три назад читал статью про компьютерную безопасность. Так специалисты советовали программу банк-клиент держать на отдельном компьютере, на который не устанавливать никаких баз данных (бухгалтерия, кадровики и т.п.).

Кому: Dmitro25, #15

Номер social security - это вроде как ИНН или номер паспорта.

Кому: nonamezero, #22

> Полагаю, имеем дела со случаем когда закладки оказываются в руках не того, кому надо.
...
> и как результат,например, в 100% безопасном опенсорсном Linux внезапно нашли фатальные уязвимости Shellshock и Heartbleed, которые в этом самом ПО существуют чуть ли не с момента создания.

Shellshock - фича, пришедшая из времен, когда о безопасности ещё не думали. В современном мире эта фича стала уязвимостью.
Heartbleed - очень типичная ошибка в коде. Жила, кстати, всего пару лет, а не "чуть ли не с момента создания".
Эппловский goto fail и то больше похож на сознательную диверсию, чем Shellshock и Heartbleed.

Считаю, фольгу можно пока сэкономить и не пускать на шапочки.

Кому: Votan, #24

> "Сказочные долбоёбы!". (с)

насколько реально предотвратить взлом изнутри?
насколько реально предотвратить взлом изнутри в большой компании?

Кому: утюг, #27

> насколько реально предотвратить взлом изнутри?
> насколько реально предотвратить взлом изнутри в большой компании?

А вот за постоянное решение этих проблем работникам служб безопасности деньги и платят. Например, когда я работал в одной нашей крупной компании у нас были не ПЭВМ, а терминалы и вся информация размещалась на сервере. Плюс отсутствовала возможность воткнуть флэшку или сидюк и скачать данные.

Кому: утюг, #27

> насколько реально предотвратить взлом изнутри?
> насколько реально предотвратить взлом изнутри в большой компании?

Хотя бы не так халатно относиться к важным файлам. Безопасность должна стоять на первом плане.

Четко гопники Соню отпрессовали ничего не скажешь. В то время как мы хохотали над тонированными зубилами и семками, они в тайне готовили элитный киберотряд.
Сейчас если происхождение слова проверят, то опять накладут санкции на Россию вообще и на гостиницу Октябрьскую, что на Лиговском, в частности (бывшее Городское Общежитие Пролетариата)

Кому: Dmitro25, #19

Я именно так и делаю. Вебка под клаву не видит :)

Блять, даже у даркхорсовских комиксов сюжет интереснее. Кстати, сценарий 4 терминатора спизжен из комиксов, которые были созданы еще до выхода 2 части. Но этот высер уже за гранью добра и зла.

Кому: Rolland, #17

>Пароли держать в текстовых файлах это сильно

Правильные посаны пищут карандашом на монитоое!


Кому: Dmitro25, #19

>В данном случае безопаснее было бы записать пароли на бумажке и положить под клавиатуру.

С бумажки не скопипастешь!


Кому: xor2times, #26

>Считаю, фольгу можно пока сэкономить и не пускать на шапочки.

ИМХО а был ли вообще мальчик? Ну в смысле сам вирус.

ПроЕ@ть загрузку 100 Тб по сети как-то сложно. А вот банда сотрудников с терабайтниками, орудующие по ночам куда вероятнее.


P.S. У Соньки бабла немерено. Как бы с этими горе-хакерами как с Лос-Зетас и Анонимусами не вышло.

Кому: Bublik718, #25

> Номер social security - это вроде как ИНН или номер паспорта.

А чем опасна сама по себе "утечка" ИНН или номера паспорта?
Без подъёбок, просто интересно.

Кому: Bublik718, #25

> Номер social security - это вроде как ИНН или номер паспорта.

Однако у нас ни то, ни другое не дает возможности сделать что-бы-то-ни-было.
Почему в шататах номер соцстраха такая тайна?

Наверно стволом перед админом всё-таки помахали, когда он домой шёл с дошираком.

Кому: Forgotten, #33

> ПроЕ@ть загрузку 100 Тб по сети как-то сложно.

Этим - легко. Соневцам консультанты говорили, что надо вложить денег в безопасность, они посмотрели на сумму и решили, что убытки, если вдруг что, будут меньше. Такие таланты любую утечку пропустят.

Кому: jimmilee, #35

Это как копия паспортных данных. Зная ФИО, адрес, год рождения и SSN можно открывать кредитные счета сидя дома в кресле. После чего закупаться на полную на левый адрес на том же амазоне иди ebay.

Кому: Dmitro25, #15

> Скажите, а какую выгоду злоумышленнику даёт знание номеров социального страхования известных личностей? Почему об этом стоит беспокоиться?

На эту тему есть отличный фильм: - "Враг государства", рекомендую к просмотру.

Ну что сказать, лихо бахнули. На самом деле во многих компаниях, даже очень крупных, к ИТ-безопасности в серьез не относятся, уж очень затратная это область, и по ресурсам и по сотрудникам, ну наймут теперь хороших спецов.

Кому: Rolland, #17

> Пароли держать в текстовых файлах это сильно

На бумажке под клавой - такой опыт был: бумажка тупо потерялась (случайно выкинули при генуборке помещения), и тю-тю все пароли.

Так где надо держать пароли?

Кому: xDrive, #40

> Ну что сказать, лихо бахнули. На самом деле во многих компаниях, даже очень крупных, к ИТ-безопасности в серьез не относятся, уж очень затратная это область, и по ресурсам и по сотрудникам, ну наймут теперь хороших спецов.

Основная проблема - в рядовом персонале компании. Все эти системы/службы безопасности прежде всего создают дичайший гимор обычному персоналу. Взлом когда еще будет, и будет ли вообще, а гемор для работы постоянный, с теми же паролями к примеру. Попробуй запомнить десяток хаотично буквенноцифровых паролей длинной от 10 символов (а лучше 16 и выше), которые еще и вводить периодически куда-то надо - нервы начинают сдавать не только у планктона, а у всех в организации.

Кому: Anthrax, #41

> Так где надо держать пароли?

Кому: Anthrax, #42

> Попробуй запомнить десяток хаотично буквенноцифровых паролей длинной от 10 символов (а лучше 16 и выше), которые еще и вводить периодически куда-то надо - нервы начинают сдавать не только у планктона, а у всех в организации.


как вариант, хотя бы, шифрованный архив. лучше том тру крипта. или есть тот же кипасс. достаточно помнить один надёжный пароль, а все остальные подставятся автоматом.

а хранить пароли просто текстом... ну я хер его знает. его сослуживцы уведут, если не хакеры.

Кому: Forgotten, #33

> ПроЕ@ть загрузку 100 Тб по сети как-то сложно.

Раздели на год и в траффике офиса это будет пук мышки.

Кому: ev1l, #43

> как вариант, хотя бы, шифрованный архив. лучше том тру крипта. или есть тот же кипасс. достаточно помнить один надёжный пароль, а все остальные подставятся автоматом.
>
> а хранить пароли просто текстом... ну я хер его знает. его сослуживцы уведут, если не хакеры.

Я шифрованным архивам и спецпрограмам для хранения паролей, коих ща развелось навалом для любых платформ, в т.ч. и мобильных, не доверяю больше, чем текстовому файлу. Ибо кто разработчик таких прог и не созданы ли они именно для сбора паролей и их засылки куда надо?

Как вариант - все пароли на отдельной флэшке (можно на флэшке с криптозащитой). Такую при генуборках не выкинут, места много не занимает, и постоянно она в сети не висит и подключается только для вспоминания нужного пароля. Хотя конечно нормальный хакер/троян такие вещи должен просекать. Но хоть какой-то компромисс между тотальной защитой и удобством пользования.

Кому: Anthrax, #45

> Я шифрованным архивам и спецпрограмам для хранения паролей, коих ща развелось навалом для любых платформ, в т.ч. и мобильных, не доверяю больше, чем текстовому файлу. Ибо кто разработчик таких прог и не созданы ли они именно для сбора паролей и их засылки куда надо?

тот же тру крипт и киипасс они опенсурсные. проверить их можно. другое дело, что не все обладают нужными знаниями, особенно в криптографии. но с другой стороны, база пользователей у них большая и какие-то очевидные бэкдоры нашли бы достаточно быстро.

> Как вариант - все пароли на отдельной флэшке (можно на флэшке с криптозащитой).

ага, а криптозащиту обеспечивает программа, в которой может быть бэкдор.

Кому: ItDoesntMatter, #38

>Это как копия паспортных данных. Зная ФИО, адрес, год рождения и SSN можно открывать кредитные счета сидя дома в кресле. После чего закупаться на полную на левый адрес на том же амазоне иди ebay.

Именно для этого при оформлении кредита ксерят паспорт и фоткают заемщика. Дабы он потом не говорил, что кто-то нехороший воспользовался его персональными данными, а он никакого кредита вообще не брал.


Кому: sumerki, #44

>Раздели на год и в траффике офиса это будет пук мышки.

100 Тб в год - это один Тб за 3,65 дня, грубо говоря за 3 с половиной.
И того порядка 300 Гб в сутки.

300 гигабайт левого исходящего трафика в сутки, и так в течении года. И никто ничего не заметил, "пук мышки" ага.

Как версия - скачали вручную (на физ. носители) и при пособничестве (активном участии) персонала. А потом запустили вирусяку со злобой картинкой, мол злые куль хацкеры все "взломали".

Кому: ev1l, #46

> тот же тру крипт и киипасс они опенсурсные. проверить их можно. другое дело, что не все обладают нужными знаниями, особенно в криптографии. но с другой стороны, база пользователей у них большая и какие-то очевидные бэкдоры нашли бы достаточно быстро.

Мутная история с закрытием проекта трукрипт только вышла какая-то.

Особенно цинично смотрится реклама продукции Сони в шапке сайта, когда читаешь открытую новость о взломе серверов корпорации!

Сисадмины и безопасники у них , поди, вольнонаемные. Им небось и предложили приличную сумму за это вот все. Поделом жадным соникам!!!

Кому: Forgotten, #33

> С бумажки не скопипастешь!

В каждом телефоне, планшете, ноуте по камере. Про ксероксы можно даже не вспоминать.

Кому: Forgotten, #47

> 300 гигабайт левого исходящего трафика в сутки, и так в течении года.

Мы не знаем типичный уровень трафика, а безлимитные подключения не способствуют слежению за объёмами.

Кому: Forgotten, #47

> 300 гигабайт левого исходящего трафика в сутки, и так в течении года. И никто ничего не заметил, "пук мышки" ага.
>
> Как версия - скачали вручную (на физ. носители) и при пособничестве (активном участии) персонала. А потом запустили вирусяку со злобой картинкой, мол злые куль хацкеры все "взломали".

Мы ж не в курсе какой там нормальный объём ежесуточный. Может они там терабайтами и гоняют всякое. Материалы кин своих и в таком духе.
Ну кто их знает. Может стырили или получили пароль от БД системы мониторинга, например, и подделывали данные по трафику. Или за этим никто не следил. Хотя то, что не мониторили трафик, хотя бы по объёмам, в такой крупной сети.. Дико выглядит.

Кому: ev1l, #43

>как вариант, хотя бы, шифрованный архив. лучше том тру крипта. или есть тот же кипасс. достаточно помнить один надёжный пароль, а все остальные подставятся автоматом.

ИМХО запертый в сейф рукописный текст на бумажном носителе рулит и педалит. Проникнуть в охраняемый кабинет и взломать сейф сейчас куда труднее чем взломать комп на другом конце Земного шарика не выходя из комнаты.


Кому: browny, #51

>В каждом телефоне, планшете, ноуте по камере. Про ксероксы можно даже не вспоминать.

Конкретно в этом посте я имел ввиду что многие индивидуумы хранят логины и пароли в текстовике на рабочем столе чтобы не набирать а копипастить их - типа удобно так.

Ну а чтобы считать пароль с бумажки через камеру в телефоне надо знать когда и чей конкретно телефон надо взламывать, а не просто попасть в локальную сеть организации.

Кому: Goblin, #16

> камрады проживающие на западе говорят, что таким образом можно украсть у тебя просто всё

ДЮ, че-то херовато у них тогда это "всё" охраняется, если можно украсть зная заветные 9 цифр (из которых, лишь последние 4 уникальные, а первые 5 генерятся по известному алгоритму)

В целом, это все напоминает давешнее нагнетание истерии вокруг проблемы с кражей личных данных граждан США.

Кому: Anthrax, #42

>Основная проблема - в рядовом персонале компании. Все эти системы/службы безопасности прежде всего создают дичайший гимор обычному персоналу. Взлом когда еще будет, и будет ли вообще, а гемор для работы постоянный, с теми же паролями к примеру. Попробуй запомнить десяток хаотично буквенноцифровых паролей длинной от 10 символов (а лучше 16 и выше), которые еще и вводить периодически куда-то надо - нервы начинают сдавать не только у планктона, а у всех в организации.

Так точно. Уникальные и креативные личности считают меры безопасности тупизной и паранойей руководства. Они то знают, что на самом деле "никто не хочет нам зла".


Кому: Anthrax, #45

>Как вариант - все пароли на отдельной флэшке (можно на флэшке с криптозащитой).

Ага, чтоб ее потерять в кабаке по пьяне! В данной ситуации дебилы среди сотрудников организации непобедимы.


Кому: ev1l, #43

>а хранить пароли просто текстом... ну я хер его знает. его сослуживцы уведут, если не хакеры.

Против предателей и просто долб-ов среди сотрудников никакие пароли с криптозащитами не помогут.

Кому: Forgotten, #55

> Так точно. Уникальные и креативные личности считают меры безопасности тупизной и паранойей руководства. Они то знают, что на самом деле "никто не хочет нам зла".

Лень и раздолбайство побеждает любой здравый смысл. :)

Я к тому, что, по большому счету, при проектировании системы безопасности нужно учитывать человеческую природу/психологию (те самые лень и раздолбайство). Например, часто служба безопасности пытается перенести работу над безопасностью на самих пользователей офиса (запоминать дикие пароли, и т.п. всякие процедуры по безопасности). Вроде и логично, что спасение утопающих - дело самих утопающих, да только путь этот неправильный, у пользователей кроме раздражения и саботирования не вызывает ничего. В конце концов, у них своя работа (бухгалтерия, документооборот, и прочее), за которую они и получают деньги. Безопасность вообще-то не в их введении, для этого и есть служба безопасности, получающая зарплату за безопасность. А иначе зачем эта служба нужна, проще официально всю безопасность свалить на пользователей и навешать им за это еще всякой ответственности и карать баблом за любой пароль на рабочем столе. Путь этот - в никуда. Нет у нас сверхлюдей для этого, чтобы хотя бы один офис укомплектовать таковыми, а потому все пользователи - это изначально ленивые криворукие лузеры, и такими они и остануться и ничто их не переделает.

Служба безопасности должна обеспечивать безопасность без привлечения обычных сотрудников компании и не в ущерб их основным обязанностям. Если украденные пароли хранятся в текстовом файле на рабочем столе, то главный вопрос это не "и какой же этот юзер идиот?", а "каким образом хакеры попали на рабочий стол сотрудника и все оттуда слямзили". Это вина службы безопасности.

Кому: Forgotten, #53

> ИМХО запертый в сейф рукописный текст на бумажном носителе рулит и педалит.

Так точно, но персональные сейфы не у всех в наличии.

Кому: Anthrax, #56

> Служба безопасности должна обеспечивать безопасность без привлечения обычных сотрудников компании и не в ущерб их основным обязанностям.

Так не бывает. Любые меры безопасности подразумевают какое-либо ограничение, что, в свою очередь, сказывается на удобстве пользователя. Пока сотрудники этого не понимают, будет как в в заметке. Безопасность не сможет уследить за всеми пользователями.

Кому: W!nd, #58

> Так не бывает. Любые меры безопасности подразумевают какое-либо ограничение, что, в свою очередь, сказывается на удобстве пользователя. Пока сотрудники этого не понимают, будет как в в заметке. Безопасность не сможет уследить за всеми пользователями.
>

Конечно 100% так не бывает, но я много раз видел, что СБ часто пытается переложить явно свою работу на простых юзверей. Плюс, служба безопасности, по большому счету, должна еще и пропаганду вести, чтобы совсем уж вопиющих случаев не было.

Кому: Anthrax, #59

> Конечно 100% так не бывает, но я много раз видел, что СБ часто пытается переложить явно свою работу на простых юзверей.

Тут не факт, что ты чётко понимаешь где перекладывание ответственности, а где лень пользователя, которую он пытается оправдать.

> Плюс, служба безопасности, по большому счету, должна еще и пропаганду вести, чтобы совсем уж вопиющих случаев не было.

Пользователей надо инструктировать и обучать, это да.

Кому: Forgotten, #47

>Именно для этого при оформлении кредита ксерят паспорт и фоткают заемщика.

Мы про SSN в USA говорим? Если да, то ты очень далек от реальности.

Кому: jimmilee, #35

Потому что для идентификации тебя вполне достаточно имени-фамилии и этого номера, очень много где.
Все американские компании, с которыми работал, SSN шифруют и даже в админках отображают со звёздочками, как номера кредиток.

Самое смешное в этой истории - это то, что другое подразделение Sony - то, которое отвечало за PlayStation Network уже пролетало пару лет назад с паролями в текстовом виде и сливом тонн персональных данных.

Кому: Goblin, #16

> камрады проживающие на западе говорят, что таким образом можно украсть у тебя просто всё
>

Теоретически SSN не должен использоваться для идентификации личности, но на практике получается несколько иначе.

Этот номер нужно подавать в банк, при устройстве на работу, при получении прав/удостоверения в DMV. После этого всякие онлайн сервисы, тот же интернет-банкинг, при изменении данных в профиле спрашивают последние 4 цифры, например. Также SSN нужен чтобы актвировать онлайн кабинет в DMV, а там можно и регистрацию на машину обновить, и права новые заказать. Если кредит взять надо, тоже используется.

В целом - одна из вещей необходимая при осуществлении "кражи личности" (identity theft).

При утере этого номера/карточки, ее можно восстановить или сменить, но этот процесс - еще та заноза в заднице.

Кому: Dmitro25, #15

> Скажите, а какую выгоду злоумышленнику даёт знание номеров социального страхования известных личностей? Почему об этом стоит беспокоиться?

Identity Theft. В Google много про.

Простой пример из недавнего прошлого, http://www.computerworld.com/article/2502247/cybercrime-hacking/microsoft-co-founder-paul-allen-vict... Вкратце: солдатик успешно прикинулся Полом Аленом, сделал копию дебитки и чуть-чуть красиво пожил за чужой счёт. В наличие SSN жертвы такой фокус проделать особенно легко.

Кому: утюг, #27

> насколько реально предотвратить взлом изнутри?

Сложно. Один из недавних примеров - негодяя рассыпали на автостоянке недалеко от военной базы США USB-флэшки. На свистки был записан троян. Понятно, кто-то из военнослужащих притащил флэшку в часть и первым делом вставил в разъём позырить, что внутри. Это история одного из самых успешных взломов, первая ссылка в Google - http://www.computerworld.com/article/2514879/security0/infected-usb-drive-blamed-for--08-military-cy...

Кому: Anthrax, #41

> Так где надо держать пароли?

http://www.amazon.com/Personal-Internet-Address-Password-Book/dp/1441303251 :)

Кому: Anthrax, #45

> все пароли

Достаточно всегда иметь два пароля - очень важный и не очень важный. И оба адаптивные - разные для разных сайтов/аккуантов/и т.д.

Например,

немного лет тому назад
там где сливаяся шумят
обнявшись будто две сестры
струи Арагви и Куры
был монастырь из-за горы
поныне видит пешеход
и башни и церковный свод
… и далее по тексту, любая поэма, какую помнишь

Каждая строчка - "рыба" для пароля. Переводишь в English, добавляешь немного спецсимволов и разных регистров:

Ytvy0ujKtnN0vuYfpfl
NfvUltSkbdfzcz6evzn
0,yzdibcm<eln0LdtCtcnhs
7nhebFhfgviBRehs
и т.д.

Каждая строчка - пароль на один месяц. Длинной поэмы хватит надолго.

Теперь добавляешь инфу о том, где этот пароль. Например:

H0,yzdibcm<eln0LdtCtcnhsL0vty - это рабочий пароль, домен Windows NT
G0,yzdibcm<eln0LdtCtcnhsUeuk - это почтовый пароль, GMail
и т.д.

Забыл поменять где-то пароль? Не беда, начинаешь строчки снизу-вверх перебирать.

Для менее секьюрных паролей используешь другую поэму и другой способ модификации паролей.

P.S. У меня другая система. Это всего лишь одна из возможных.

Говорили им, надо Касперского ставить!!!

Кому: pell, #68

> P.S. У меня другая система. Это всего лишь одна из возможных.

Павел Андреевич, вы шпион???

> злоумышленники специально отправили часть украденных документов в издание Fusion, чей редактор на их основе написал статью о том, что из 17 сотрудников компании с зарплатой больше миллиона долларов есть только одна женщина.

Скажу даже больше, в США 50 миллионов негров, и ЛИШЬ 1 ИЗ НИХ - президент! Где cправедливость?

Кому: Ujify, #7

> http://s.pikabu.ru/images/big_size_comm/2013-08_5/13772400205700.jpg

Колонки как у меня. Им уже скоро 15 лет, а до сих пор исправно работают.

Кому: Thunderbringer, #63

Жадность жертвы - лучшее орудие взлома!

По сабжу, в больших компаниях, где процветают "творцы" (в том числе и руководитель) в принципе не реальна какая-то ИБ. Тут нужны железные решения и мониторинг, а это деньги и не малые при чем на постоянной основе.

Запомнить пароль? Пользователь? 10-ти значный буквенноцифровой? Как начальник скажет так и будет, при чем половина пароля будет префикс. А люди учатся, сдают экзамены, пишут дипломы...

Кому: W!nd, #60

Твоя правда, но в поправкой на руководство, если оно не поддерживает, то можно долго и упорно этим заниматься, но все равно получиться порно, плохое настроение и подсаженная печень.

Кому: Anthrax, #41

> На бумажке под клавой - такой опыт был: бумажка тупо потерялась (случайно выкинули при генуборке помещения), и тю-тю все пароли.
>
> Так где надо держать пароли?

У меня в голове помещаются. Плюс могу посоветовать программку LockeNote. Хотя бы паролится текстовый файл.

Кому: Rolland, #17

> Пароли держать в текстовых файлах это сильно

Рисовать в paint как вариант :) такая себе капча.

Кому: Forgotten, #33

> ПроЕ@ть загрузку 100 Тб по сети как-то сложно.

А ты знаешь их трафик?
Возможно у них 100 ТБ проходят за несколько часов.
Растянуть на пару суток — и будет незаметно.


Кому: Bublik718, #25

> Номер social security - это вроде как ИНН или номер паспорта.

Не совсем. КМК это скорее как номер банковской карты.

Кому: Flamer, #75

> Рисовать в paint как вариант :) такая себе капча.

Ну с таким успехом можно и видео снимать)

Кому: Forgotten, #53

> Конкретно в этом посте я имел ввиду что многие индивидуумы хранят логины и пароли в текстовике на рабочем столе чтобы не набирать а копипастить их - типа удобно так.

Удобно, потому так и хранят. 60
Я про другую сторону писал: такие списки легко стащить хоть с бумаги, хоть с экрана.

Кому: pell, #68

> Каждая строчка - "рыба" для пароля.

Не годится для сгенерированных паролей, которые сам сменить не можешь.

Я не против представления интернета как "зоны свободы" , а вот чтоб он был зоной анархии как-то не очень... И к таким "революционерам - хакерам" отношение крайне негативное , ибо хочу иметь хотя бы видимость приватности... Эххх .

Кому: Денис 74, #79

> Я не против представления интернета как "зоны свободы" , а вот чтоб он был зоной анархии как-то не очень...

Свободы без контроля не бывает, без контроля это анархия и есть. А там где контроль, по мнению знатоков из интернета нет свободы.

> И к таким "революционерам - хакерам" отношение крайне негативное , ибо хочу иметь хотя бы видимость приватности...

Имей, кто тебе мешает.

Удивительно, такая новость, а новостные ленты молчат.
А ну как захочется поучаствовать в дербане слитой информации?

Кому: Anthrax, #41

> Так где надо держать пароли?

В специальной тетрадке, а тетрадку в сейфе!

Вставлю свои две копейки:
1. По поводу трафика. У моего, личного, ftp сервера исходящий трафик колеблется от 800 мб до 2 Тб в месяц. Для такой конторы как Sony Pictures 100 за год не вообще ничего.
2. По поводу паролей. Аутсорсил одну контору: смена паролей каждое первое число месяца, повторить можно только после десятой смены, минимум 15 символов. Приводы отсутсвуют как класс. Флешки залочены. И это только для пользовательского доступа. И это на доступ к документам и 1С базам. Для админского 36 символов и не всем админам головной офис даёт право пользоваться внешними девайсами.
Вывод: либо "очень сильное колдунство" (с), либо кого-то из основных админов очень обидели. Или, как вариант, безопасностью у них никто и не занимался. ИМХО.

Кому: Alexey_asu, #83

Пользователей хорошо сажать на терминальный сервер, с модифицированным шеллом, из которого для пользователя возможен только вывод на принтер. Никакие данные туда ни передать ни получить с него он не может.
Правда, какие там нюансы работы соней - не ведаю, может они на локальных РС что то там делают и хранят. Пароли от терминально, например !!
Ну и DLP система, если ты большой и с кучей ценного. Но денег надо платить, конечно, будь здоров.

Кому: W!nd, #80

> Имей, кто тебе мешает.


А вот такие " Робин Гуды" и мешают "мэйл ру" ящик ломали 3 раза - удалил ,"одноклассников" ломали 3 раза и там акк закрыл . И чего - мне умиляться ими за "геройство" ?

Кому: Ujify, #84

Там надо было иметь возможность сохраняться на локальный диск. Чтобы была возможность работать с определённым пакетом документов, если пропадал инет. Но, в их ситуации, эти документы, даже будучи слиты конкурентам, никакого "барыша" не принесли бы. Ибо всё это можно на сайте посмотреть.

Кому: Денис 74, #85

"Я дико извиняюсь" (с) А что за интерес ломать майловский ящик и, тем более, одноклассников?

Кому: Alexey_asu, #86

> Чтобы была возможность работать с определённым пакетом документов, если пропадал инет.

Это редкая в современном мире ситуация. Эксплуатирую терминальные сервера, стоящие в разных точках страны и мира. Инет пропадает настолько редко, что я не помню, когда это было в последний раз. Зато риски про@бать данные сильно уменьшаются. И не нужно ни о чём заботиться на концевых хостах. Это просто машины для подключению к серваку. Но это моя кухня, у сонек, понятно своя.
Другое дело, что распи@дяйство и криво поставленный алгоритм работы могут иметь место - вот в это верю охотно.

Ну и это.. То, что подключено к сети не может считаться полностью безопасным в современном мире.

Кому: Alexey_asu, #87

Как вариант: тренировка подрастающей смены.

Кому: Ujify, #88

Согласен. Но когда "убилась" энергоподстанция на денёк, их это спасло. Не там где сервера, а локально.

Кому: Votan, #89

Ломать 12345 и "йцукен" и тому подобное много ума не надо. А вот история с "баша", дословно не помню, но что-то типа:
" -B@t7OT#@GLdar: вот не надо мне ничего утверждать!
-Sergey: Вот это кто-то с паролем спалился!)))
-B@t7OT#@GLdar: это ник. пароль я только по mms передать смогу." (почти цы)

Кому: Alexey_asu, #87

> "Я дико извиняюсь" (с) А что за интерес ломать майловский ящик и, тем более, одноклассников?
>

На "Одноклассниках" похоже именно оттачивает навыки молодь или просто из желания поднасрать "потомучто могу" , а на мэйлру ящике моём целый инет магазин примостился , какую-то херенею продавали , шуровали вовсю и заказы принимали и сами чет рассылали . А я сижу с заблокированным админами мэйлру доступом и смотрю на весь этот пипец.

Кому: browny, #51

> Мы не знаем типичный уровень трафика, а безлимитные подключения не способствуют слежению за объёмами.

Плюс что-то мне подсказывает, что там не 28.8 Kb/s модем на выходе стоит :)

Кому: W!nd, #58

> Так не бывает. Любые меры безопасности подразумевают какое-либо ограничение, что, в свою очередь, сказывается на удобстве пользователя. Пока сотрудники этого не понимают, будет как в в заметке. Безопасность не сможет уследить за всеми пользователями.

Пользователям плевать на безопасность своего предприятия, не их масштаб и не их заботы. Запомнить безумные пароли невозможно. Хранение всех паролей в одном месте (пусть зашифрованном) ничего не дает, т.к. пароль от этой системы будет также записан в текстовом файле или на бумажке по той же причине. Более того, будет ясно где конкретно воровать пароли, и они там еще и систематизированы.

Правильная система безопасности строится на иных принципах. Там как на войне делается прогноз поведения атакующего и атакуемого, и техническая составляющая такой системы не самое главное. Но такие системы дорогие, очень дорогие, сопоставимы с ценой того, что защищают.

Кому: BSM, #72

> Колонки как у меня. Им уже скоро 15 лет, а до сих пор исправно работают.

"Свен'ы кажись" ? У меня деревянным лет 10-12 уже. Тоже в строю.

Кому: browny, #51

> Мы не знаем типичный уровень трафика, а безлимитные подключения не способствуют слежению за объёмами.

Это только пока в сети мало машин. За трафиком нормальный админ следит всегда. Подозрительный рост объёмов или исходящих/входящих скоростей, относительно усреднённых показателей за аналогичный период прошлых недель, месяцев или лет - это всегда полезно отслеживать. Косвенно указывает на возможность взлома.
Тем более, что современные системы мониторинга чуть ли не из коробки такое умеют. Даже Open Source.

Кому: Goblin, #16

> камрады проживающие на западе говорят, что таким образом можно украсть у тебя просто всё

И, главное, этих пидорасов же ломали ужо.

Кому: Денис 74, #85

> А вот такие " Робин Гуды" и мешают "мэйл ру" ящик ломали 3 раза - удалил ,"одноклассников" ломали 3 раза и там акк закрыл .

Это не такие. Ломали тебе дети.

> И чего - мне умиляться ими за "геройство" ?

Да никто не заставляет.

Кому: alexey38, #94

> Пользователям плевать на безопасность своего предприятия, не их масштаб и не их заботы.

Это и плохо.

> Запомнить безумные пароли невозможно.

Безумные, это 7 символов и соответствующая сложность?

> Хранение всех паролей в одном месте (пусть зашифрованном) ничего не дает, т.к. пароль от этой системы будет также записан в текстовом файле или на бумажке по той же причине. Более того, будет ясно где конкретно воровать пароли, и они там еще и систематизированы.

А ещё можно пытки применить, расколятся все.

> Правильная система безопасности строится на иных принципах.

На каких?

> Там как на войне делается прогноз поведения атакующего и атакуемого, и техническая составляющая такой системы не самое главное. Но такие системы дорогие, очень дорогие, сопоставимы с ценой того, что защищают.

Это очень упрощённое представление. А в части технической составляющей так и вовсе неверное. Система - это всегда комплекс мер, технических и организационных, причем орг. мерами решается то, что нельзя решить техническими. Человеческий фактор - это всегда слабое место.

Кому: W!nd, #99

> Это и плохо.

У подавляющего большинства предприятий коллективная среда четко оформлена в виде противодействия работодатель/работник. Капитализм во всей красе, плюс довольно опосредованное отношение к продукту производства.

> Это очень упрощённое представление.

Это представление компьютерщиков, камрад, встречаю такое чуть не у каждого первого. Грустно все это, ощущение, что системно мыслить люди вообще разучились, либо изначально не умели.