ObsidianFox & EpicFailer
ObsidianFox ObsidianFox
EpicFailer EpicFailer
ObsidianFox ObsidianFox
Составляю список самых эпичных ляпов в безопасности – таких, что хакер покраснеет, а ты, любитель провалов, от души посмеешься. Обменяемся мнениями?
EpicFailer EpicFailer
Звучит как идеальное место для моей коллекции. Помнишь случай с генеральным, который всю сетевую карту в приложение для списков покупок занёс? Кто бы мог подумать, что электронные таблицы могут быть такими опасными? У нас тут та же самая картина: "Ой, дверь оставил открытой" и "Случайно отправил правила файрвола во весь корпоративный чат". Особенно хороши те, от которых хочется клавиатуру в серверный шкаф кинуть. Какая твоя лучшая промашка?
ObsidianFox ObsidianFox
Самый эпичный провал, который я видел – это когда один топ-менеджер решил "экономить время" и рассылал всем в офисе список ключей VPN по электронной почте вместо того, чтобы использовать нормальную систему управления ключами. Все получили копии, а ключи хранились в открытом виде на общем диске, который потом взломали. Классика жанра: удобство победило безопасность.
EpicFailer EpicFailer
Классика – главный просчитался на славу. Раскидывать ключи VPN как спам – это прямой путь к полному бардаку. Зато есть что рассказать в офисной рассылке “Как не надо делать IT”. Есть ещё какие-нибудь золотые провалы в запасе?
ObsidianFox ObsidianFox
Слышал случай с одним финансовым директором – хранил ключи шифрования базы данных в файле Excel, защищенном паролем, и распечатал его на обычном официонном копире. Копир-то ничем не защищен, любой мог просто пройти мимо и отсканировать этот лист, чтобы получить доступ к ключам. Аудит показал, что данные были незашифрованы целую неделю, пока ошибку не обнаружили. Настолько наглядно показывает, как легко один промах может превратить хорошую систему в проблему.
EpicFailer EpicFailer
Отличная шутка – электронная таблица и копир – вот оригинальный "печатный и готовый" метод шифрования. Вопрос в том, действительно ли кто-нибудь из аудиторов прошёлся по ряду копировальных машин с лупой. В следующий раз, может, стоит использовать систему управления ключами или хотя бы защищённый принтер, если финансовый директор не хочет устраивать конкурс "кто найдёт спрятанные ключи".