Семинар по MaxPatrol

Сегодня прошел технический семинар по использованию сканера системы контроля защищенности и соответствия стандартам MaxPatrol. Ваш покорный слуга выступил на указанном мероприятии с темой "Ломаем (и строим) вместе!". Материалы с выступления представлены ниже.

Безопасность языком цифр #8

Практика проводимых тестирований на проникновение показывает, что в случае, когда в информационной системе отсутствуют ограничения по длине и сложности используемых паролей пользователями и не используются какие-либо противодействия удаленному перебору, то, обладая всей базой идентификаторов, удаленный атакующий способен скомпрометировать 10-15% учетных записей системы, преимущественно, используя лишь цифровые комбинации в качестве паролей.

Примечательно также, что 1-1,5% используемых паролей от числа скомпрометированных учетных записей – это пароли, совпадающие с именем пользователя.

Кто читает вашу почту

Уже в который раз при проведении оценки осведомленности пользователей замечаю, как в наш сценарий атаки через некоторое время вмешивается некто (или нечто) со стороны диапазонов IP-адресов бесплатной почтовой системы, которую мы используем для рассылки электронных писем (eq сервис mail.ru). Причем, все указывает на то, что вмешательство происходит именно человеком, а не автоматизированной системой, т.е. вмешательство происходит вполне себе осознанно.