Перейти к содержимому


centrcentrcentr

centrcentrcentr

centrcentr

Фотография

Защищаем наш WIFI


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 2

#1 MasterCard

MasterCard

    Гарант-сервис


  • Гл.Модератор
  • 476 сообщений

Отправлено 24 Март 2016 - 00:44

Срочное расследование инцидента показало, что в среду утром (на более ранее число логов не сохранилось) к офису одной компании подключились по WiFi (шифрование WEP, так что я использовал слово «подключились» о том, что по WiFi, ясно из МАС - адреса), который говорил о некоем - новом устройстве 3Сот, а в компании нет ни одной ЗСот - карточки, что говорит о том, что нарушитель скорее внешний, так как внутри офиса заметили бы новый девайс или ноут).

 

Далее злоумышленник что-то делал, но что - не ясно, ибо логи были в очень ограниченном числе с определенных серверов, но буквально к вечеру с этого IP - адреса уже использовалась администраторская учетная запись домена (не сильный администраторский пароль ARP - SP00F HASH+CONST handshake » Ranibow » Table = profit!). За это время ребята смогли найти машины, работающие с банком, что было несложно, ибо netbios и доменные имена машин в локальной сети были вида: BAN К01. BANK02. Имея администраторскую учетную запись, нетрудно захватить контроль над компьютером, установить кейлогер (keylogger) и стырить ключи от банка, ведь ключи - то были на флэшке. Через день негодяи попытались осуществить перевод денег и купить 1с зарплата. Они нашли WiFi - точку, поднятую без шифрования в жилом доме, в квартире.

 

Злоумышленники вышли в Интернет, подключись к нескольким системам банк - клиент, ввели логины и пароли, которые добыли с кейлогера (keylogger) - вошли в систему. Далее они набили платежки (практически одновременно, что говорит о том, что злоумышленники действовали в числе 2 - 3 человек с одного WiFi - шлюза, видимо, из автомобиля) и подписали их ключами, которые прихватили с собой позавчера с флешки.

 

Только чудом удалось избежать потерь - один из банков что - то заподозрил и сообщил клиенту, клиент тут же проверил остальные банк клиенты. нашел левые платежки и успел их отменить. Но такое случается не всегда.

    Заключение и выводы

Безопасность внешнего периметра, парольная политика, сегментация сети, неиспользование прозрачных имен машин, вывод критичных машин из общего домена, неиспользование флешек и HDD для хранения ключевой информации. Про антивирусы, IDS и привязку IP адреса компании к счету я молчу, ибо это полезно, но не всегда действенно.


  • 2

#2 Monty67

Monty67

    Продвинутый пользователь


  • Полный доступ ♔
  • 161 сообщений
  • Сделок через гарант:3

Отправлено 29 Март 2016 - 17:05

Как минимум нужно поставить адекватный пароль а не 12344321


  • 0

#3 Ной

Ной

    Пользователь


  • Пользователь
  • PipPip
  • 20 сообщений

Отправлено 31 Март 2016 - 13:40

Как минимум нужно поставить адекватный пароль а не 12344321

Тут дело не в пароле а в шифровании трафика


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных