24 Декабря, 2013

Кибернаводчики

Сергей Гордейчик
Интересные ситуации иногда возникают в нашей индустрии. Подразделение одной крупной государственной организации занимается безопасностью в банковской сфере. И выпускает это организация отчет , что более 10% банков выявляют инциденты в своих системах, в 46% процентах это фрод, в 27% - кража информации, необходимой для проведения переводов.
Список банков, понятен, вот он лежит .

Далее, цитирую "Как говорится, велкам! 

На жаргоне это наводка. Попробовали бы авторы на себя примерить. Автодилер, скажем, выложит номера прошедших ТО рядом с исследованием, что у 75% тросик открытия капота банально под правым локером спрятан. Или школа пусть напишет, что 40% учеников даже младших классов родители не забирают."


Есть еще более вопиющие случаи. Напримре тут , легко можно найти организации, у которых проблемы с выполнением 152 ФЗ, а стало быть и с защитой персональных данных! Хочешь немного персональных данных нарушить? Прям берешь список и идешь нарушать!

А если я например кибершпион китайский? Беру Verizon DBIR  и прямо у меня пошаговая инструкция, как ломать, да еще и с разбивкой по отраслям.

Более того, некотоые совсем распоясались. Прямо так и пишут "You're vulnerable". Это же всю идустрию put at risk!

Посмеялись? Я тоже.

Отвечу на некоторые комментарии (см. выше ссылку на facebook) по нашему исследованию .

Ilya Borisov  По мне отчет не очень похож на правду. Ну не верю я что так плохо все с периметром.

Илья, чистая правда. Действительно все так. Собственно для этого и отчет.


Ilya Medvedovsky  Прочел отчет. По периметру это справедливо только по очень специфичной выборке заказчиков (если веб и социалку выкидываем). Причем из отчета четко ясно по каким: госы и телекомы. Вторые огромны на периметре и могут дать такую статистику, которая по числу узлов забьет кого хочешь. А первые дырявы и раздолбайны. По остальным категориям - периметры вырождены и минимизированы - ломать в лоб почти нечего (я не про веб, повторюсь). Так, если по опыту. Хотя бывают исключения.

Илья, отчет включает веб и социалку, ибо они входят в нашу стандартную методику (также как и wifi, мобильные устройства и т.д.). Считаем что без них комплексный пентест не комплескный.
Что касается "минимизированных периметров", то не соглашусь. Например технологические компании: Yandex, Nokia имеют (имели) даже собственные bug bounty программы, чтобы периметр вычищать. Банки (если пентест не 5 узлов под PCI DSS) а серьезный пентест, вполне себе имеют разлапистый периметр. Ну и так далее.

PS. Ну и телекомов в России далеко не 3. Пруф .И это только в России, мы же работаем по всему миру. Сейчас подкопится статистика, надеюсь опубликуем сравнение, "как у них и как у нас".