Какая самая подлая вещь, с которой вам приходилось иметь дело как системный администратор?

16

Какая самая коварная вещь, которую пользователь когда-либо делал, с которой вам приходилось иметь дело? Очевидно, мы все видели довольно много злобы от недружественных пользователей, но как насчет так называемых дружелюбных пользователей?

В моем случае, я думаю, это должен быть туннель ping : использование исходящих ICMP-пакетов для переноса SSH-туннеля для обхода межсетевого экрана. [Полное раскрытие: я внес вклад в порт Windows этого инструмента;)]

(вновь открыт как вики сообщества)

security Mikeage
источник
1
Это опрос, а не вопрос, на который есть ответ. Я предполагаю, что Джоэл менее ласков в отношении тех, чем на SO.
хаос

Ответы:

15

Раньше я проводил общесистемные консультации по «черной шляпе» для одной из этих крупных ИТ-компаний. Мы всегда находили, что компании-клиенты очень хорошо защищали свои маршрутизаторы / брандмауэры / серверы и т. Д., Но ужасно разбирались в своих человеческих процессах.

В одной из таких демонстраций, которые мы дали клиенту, я использовал их громкую связь в конференц-зале, чтобы позвонить в справочную службу, попросить главный номер приема клиента, позвонить по нему, попросить его номер технической поддержки, снова позвонить на прием, попросить имя его финансового директора, а затем позвонить. их техподдержка, претендующая на звание FD, должна была быть немного громкой и «похожей на босса», но они очень быстро сбросили его пароль и дали мне, я набрал (они использовали MS RAS) в их систему, авторизовался и отправил Я написал письмо, в котором говорилось: «Ты получил работу!» - все перед заинтересованным FD.

В основном люди всегда являются слабым местом, и вам не нужно быть таким хитрым, чтобы обойти их. Тем не менее, я знаю конкурентов, которые оделись в полицию, чтобы получить доступ к нашим офисам, к счастью, кто-то позвонил в «их филиал», чтобы проверить их, и они буквально убежали, когда столкнулись.

чоппер3
источник
5
Резиновый шланг криптоанализа ftw.
хаос
Веселая работа!
Спулсон
Я знаю девушку, которая работает консультантом по телекоммуникациям, и это в основном именно то, что она делает - просто от имени своего клиента вместо телекома - и вместо паролей, она ищет информацию о том, сколько ее клиенты могут сэкономить в телекоммуникациях сборы. Она очень хороша в том, что она делает.
Уэйн Вернер
5

Самый коварный ?

Я установил изображение входа по умолчанию для всех пользователей в изображение Pedobear.

Для гостевой картинки я настроил Pedobear большими пальцами со словами Pedobear Seal of Approval

Никто в компании не знает, кто такой Педобир, и они просто предположили, что медведь - милый мультипликационный персонаж.

Прошло два месяца с тех пор, как я это сделал. Многие уже изменили свою пользовательскую фотографию, но гостевая фотография все еще там.

... и нет, я не системный администратор, но это то, что происходит, когда мне приходится проводить выходные, устанавливая Vista на все ноутбуки и компьютеры в компании.

MrValdez
источник
1
Педобир - милый мультипликационный персонаж
Sclarson
3

Более хитрым, чем ping-туннель, может быть dns-туннель, но он в значительной степени находится на том же уровне. Оба обычно работают (хотя dns туннелируют чаще) для платного общего беспроводного доступа, не платя, между прочим - что было бы неплохо знать, если вы управляете такими услугами ^^

В противоположном масштабе подлости, но почти так же плохо, целый отдел хранил пароли каждого, написанные внутри кухонного шкафа. Просто для того, чтобы они могли разблокировать компьютеры друг друга на приемных дисках на случай, если кто-то забудет выйти из системы ... на кухне часто бывало подрядчиков.

Другой типичной проблемой является пользователь, который просто отказывается работать с компьютерами и тайно позволяет коллеге обрабатывать его или ее потребности, такие как отчеты о времени и проверка электронной почты. Потребовалось некоторое время, чтобы обнаружить, что это был удаленный офис, где все знали, но не заботились об этом - они просто помогали своему другу.

Оскар Дювеборн
источник
1
Там, где я сейчас работаю, исходящий DNS - это блоки, а ICMP - нет. На самом деле, все заблокировано для всех непрокси-машин, кроме SSH. Веб-прокси будет перенаправлять HTTP на порт 80 (только) и HTTPS на порт 443. Я предполагаю, что они оставляют SSH открытым, если предположить, что если вы знаете достаточно для использования SSH, вы, вероятно, ничего не сломаете. Я (лично) также использую sslh на своем веб-сервере, на всякий случай, если мне нужно отправить свой SSH-трафик через прокси через порт 443.
Mikeage
ICMP, включенный через брандмауэры из сетей обычных пользователей, интересен ... ну, всегда есть что-то открытое ^^ Пока открыт https, я думаю, что в любом случае делать особо нечего, если только трафик https не расшифровывается (возможно, с помощью атака в середине межсетевым экраном или конфигурациями мостового соединения SSL), а также проверка ...
Оскар Дюверборн
как бы вы прозрачно расшифровали (или перехватили) HTTPS? Одна вещь, которую они могли бы сделать, это ограничить продолжительность HTTPS-соединения; нет никаких оснований для того, чтобы длиться 35 минут ...
Mikeage
1
Ну, вы можете сделать это только для конечных точек HTTPS, которые вы публикуете, я полагаю, например, для вашей внешней веб-почты или сайта экстрасети - с помощью брандмауэра, имитирующего и связывающего этот сайт / сервер при проверке содержимого HTTP и все еще использующего HTTPS и далее к реальной сети сервер внутри. Но если вы подделываете конечную точку (например, спуфинг DNS), вы можете успешно сделать это с любым HTTPS-соединением - инструменты, которые в настоящее время в основном доступны для сценариев, даже не являются элементарными для выполнения ^^
Оскар Дюверборн
до сих пор нет способа предотвратить туннелирование (короткое) SSH через HTTPS, если вы хотите разрешить доступ к произвольному серверу HTTPS в Интернете
Mikeage
2

Я работал администратором sys / app / net в средней школе (в возрасте 11 -> 18 лет) и обнаружил, что ноутбук, который я получил, использовался моим предшественником (он был в отпуске по болезни), прежде чем форматировать машину, я сделал резервную копию из HD на случай, если что-то на этом не должно быть удалено.

Через некоторое время мой менеджер спросил меня о файлах, которые могут быть на этом ноутбуке. Поэтому я искал резервную копию диска, но нашел только записи и фотографии детей в возрасте от 11 до 14 лет и только женщин и только определенного цвета волос.

Я сообщил о своих выводах своему менеджеру, но я могу заверить вас, что я был довольно напуган.

Мартин П. Хельвиг
источник
0

Пользователь знал, что не может обойти фильтр брандмауэра для просмотра веб-страниц, но нашел способ обойти это. У него была группа из 5 друзей, и они писали грязную фотографию в приложении к электронному письму в кольце между ними.

Брайан
источник