Зачем АНБ читает письма в GMail обычных сисадминов по всему миру
Новый слив из АНБ от Сноудена позволяет понять, как именно американские спецслужбы получают доступ к корпоративным и государственным сетям за пределами США. Всё просто до неприличия.
- Поисковый бот, написанный программистами АНБ, ползает по личным сообщениям в Facebook и GMail. Его интересуют определенные ключевые слова, характерные для речи системных администраторов. Главным образом, это профессиональные жаргонизмы. Найденные аккаунты переводятся в режим ручного мониторинга.
- Аналитик проверяет аккаунт, выясняет место работы сисадмина (зачастую его можно узнать не закрывая окна с Facebook) и оценивает потенциальную выгоду от проникновения в сеть этой структуры. Приоритет за крупными коммерческими компаниями и государственными органами, работающими с гостайной.
- Аккаунты сисадмина в GMail, Google Docs, Facebook, Dropbox, MS Office365 ставятся на фильтрацию. Специальный бот анализирует контент в поисках слов, похожих на пароли. Обычно пароль — это случайные комбинации букв и цифр, поэтому легко вылавливается из общего потока. Как правило, ждать долго не приходится.
Согласно рассекреченному документы, у АНБ есть отдельный список «наиболее перспективных» сисадминов по всему миру, за которыми установлена тотальная слежка.
Использование GMail российскими госслужащими предложено считать госизменой и карать 20 годами тюрьмы
Эксперты по информзащите напоминают старый и добрый совет: на предприятии должна использоваться только внутренняя корпоративная почта. Все внешние сервисы, поддерживающие коммуникации между сотрудниками предприятия (соцсети, мессенджеры и т.п.), должны быть надежно заблокированы файерволом. Любое общение не должно выходит за периметр корпоративной сети. Попытки такого общения должны оперативно выявляться, подавляться и наказываться.
Комментарии
jtad
30 июня, 2016 - 01:44
Надо сказать что работая в проектах мы получали пароли для аккаунтов корпоративной сети действительно открытым текстом на наши личные почтовые адреса. И некоторые с достаточно высокими правами. Но на большинстве фирм dmz с двумя файерами, туда еще пробиться надо
pomodor
30 июня, 2016 - 01:58
А некоторые особо одаренные сисадмины хранят рутовые пароли в табличке в Google Docs. Лично знаком с такими. Справедливости надо сказать, что в солидную контору такие никогда на работу не попадут.
Неопубликованная уязвимость в популярном софте + реверсивный прокси легко решают эту проблему. :)
jtad
30 июня, 2016 - 03:48
а что за риверсивный прокси? Я даже описание не понял на википедии
pomodor
30 июня, 2016 - 04:14
С атакуемого компа за файерволом открывается исходящее соединение на порт 80 на каком-нибудь левом сайте, но вместо HTTP-трафика с удаленного сайта начинают поступать команды. И всё. Админ в логах ничего не увидит — всё будет похоже на обычный web-серфинг. И файервол не задержит, так как исходящие на 80 заблокировать трудно, ведь тогда работнички вообще ни на какой сайт зайти не смогут. Для каккера комп за файерволом, через который запросы идут дальше в локальную сеть, является реверсивным прокси. Реверсивный потому, что обычно ты подключаешься к прокси, а тут прокси подключается к тебе.
Почему-то я не удивлен
Чингачгук
30 июня, 2016 - 11:26
А веб-фильтр на проксе не помогает? Вроде во всех нормальных проксях сейчас есть даже https-фильтрация
п.с. а при выключенной фильтрации https можно тупо openvpn настроить через 443 порт
п.п.с. для извращенцев и самописцев — по идее, можно вообще в ICMP пакеты добавлять информационную нагрузку, никакого http не надо
Чингачгук
13 июля, 2016 - 09:02
покури эпическую опупею — "Stealing The Network — How To Own A Shadow 2007" — там есть эпизод про предполагаемуюб передачу чего угодно в пакетах чего угодно, хоть в пакетах DNS запросов. Для чтения свободное владение вражеской мовой обязательно :-)
Чингачгук
30 июня, 2016 - 11:00
чо АНБ? зато у нас Яровая есть! и чебурашка на подходе, и великий
китайскийроссийский фаерлволЧингачгук
2 июля, 2016 - 03:46
А что Яровая ? Терроризмом не мешает заниматься ? Отсюда и страдания )))
Комментировать