Jaka była najbardziej podstępna rzecz, z jaką miałeś do czynienia jako sysadmin?

16

Jaka jest najbardziej przebiegła rzecz, jaką użytkownik kiedykolwiek zrobił, z którą musiałeś sobie poradzić? Oczywiście wszyscy widzieliśmy dość złośliwości ze strony nieprzyjaznych użytkowników, ale co powiesz na tak zwanych przyjaznych użytkowników?

W moim przypadku myślę, że musiałby to być ping tunel : użycie wychodzących pakietów ICMP do przeniesienia tunelu SSH w celu obejścia zapory. [Pełne ujawnienie: Przyczyniłem się do portu Windows tego narzędzia;)]

(ponownie otwarte jako wiki społeczności)

Mikeage
źródło
1
To ankieta, a nie pytanie, na które można znaleźć odpowiedź. Wydaje mi się, że Joel jest mniej laissez-fair w tych sprawach niż na SO.
chaos

Odpowiedzi:

15

Kiedyś zajmowałem się ogólnosystemowym doradztwem „blackhat” dla jednej z tych dużych firm informatycznych. Zawsze stwierdziliśmy, że firmy klienckie były bardzo dobre w hartowaniu swoich routerów / zapór ogniowych / serwerów itp., Ale strasznie radziły sobie z uporządkowaniem ludzkich procesów.

W jednym z takich pokazów, które daliśmy klientowi, korzystałem z zestawu głośnomówiącego w sali konferencyjnej, aby zadzwonić do biura numerów, poprosić o główny numer recepcji klienta, zadzwonić, poprosić o numer wsparcia technicznego, odebrać połączenie ponownie zapytać o nazwisko dyrektora finansowego, a następnie zadzwonić ich wsparcie techniczne podające się za FD, musiało być trochę głośne i „podobne do szefa”, ale bardzo szybko zresetowali jego hasło i dali mi, zadzwoniłem (użyli MS RAS) do swojego systemu, zalogowałem się i wysłałem sam e-mail z informacją „Masz pracę!” - wszystkie przed odnośnym FD.

Zasadniczo ludzie są zawsze słabym punktem i nie musisz być tak przebiegły, aby ich ominąć. To powiedziawszy, wiem o zawodnikach, którzy przebrani za policję, aby uzyskać dostęp do naszych biur, na szczęście ktoś zadzwonił do „ich oddziału”, aby się na nich sprawdzić, i dosłownie uciekli po konfrontacji.

Chopper3
źródło
5
Wąż gumowy kryptoanaliza ftw.
chaos
Dobra robota!
spoulson
Znam dziewczynę, która pracuje jako konsultant telekomunikacyjny, i to jest dokładnie to, co robi - tylko w imieniu swojego klienta zamiast teleco - i zamiast haseł, szuka informacji o tym, ile jej klienci mogą zaoszczędzić w telekomunikacji opłaty. Jest bardzo dobra w tym, co robi.
Wayne Werner,
5

Najbardziej przebiegły ?

Ustawiam domyślne zdjęcie logowania dla wszystkich użytkowników na zdjęcie Pedobear.

Dla zdjęcia gościa ustawiłem Pedobear z kciukami do góry ze słowami Pedobear Seal of Approval

Nikt w firmie nie wie, kto jest Pedobear i po prostu założyli, że niedźwiedź jest uroczą postacią z kreskówek.

Minęły dwa miesiące, odkąd to zrobiłem. Wielu już zmieniło swoje zdjęcie użytkownika, ale zdjęcie gościa wciąż tam jest.

... i nie, nie jestem administratorem systemu, ale tak się dzieje, gdy muszę spędzić jeden weekend instalując Vistę na wszystkich laptopach i komputerach w firmie.

MrValdez
źródło
1
Pedobear to urocza postać z kreskówki
szkarłat
3

Bardziej przebiegły niż tunel pingowy może być tunel dns - ale jest prawie na tym samym boisku. Oba zwykle działają (choć częściej tunelują dns) dla publicznego dostępu do płatnego bezprzewodowego dostępu bez płacenia przy okazji - co może być miło wiedzieć, jeśli zarządzasz takimi usługami ^^

W odwrotnej skali podstępności, ale prawie tak samo źle, cały dział przechowywał hasła wszystkich zapisane na wewnętrznej stronie szafki kuchennej. Tylko po to, żeby mogli odblokować się nawzajem na dyskach recepcji, na wypadek, gdyby ktoś zapomniał się wylogować ... z kuchni często korzystali odwiedzający kontrahenci.

Innym typowym problemem jest użytkownik, który po prostu odmawia pracy z komputerami i potajemnie pozwala współpracownikowi zająć się jego potrzebami, takimi jak raporty czasu i sprawdzanie wiadomości e-mail. Odkrywanie tego zajęło trochę czasu, ponieważ było to odległe biuro, w którym wszyscy wiedzieli, ale nie dbali o to - po prostu pomogli swojemu przyjacielowi.

Oskar Duveborn
źródło
1
Tam, gdzie teraz pracuję, wychodzący DNS to bloki, ale ICMP nie. W rzeczywistości wszystko jest zablokowane dla wszystkich maszyn bez serwera proxy oprócz SSH. Internetowy serwer proxy będzie przekazywał HTTP na porcie 80 (tylko) i HTTPS na porcie 443. Myślę, że pozostawiają SSH otwarte przy założeniu, że jeśli wiesz wystarczająco dużo, aby korzystać z SSH, prawdopodobnie nic nie zepsujesz. Ja (osobiście) również używam sslh na moim serwerze internetowym, na wypadek, gdy muszę wysłać mój ruch SSH przez proxy na porcie 443.
Mikeage
ICMP włączony przez zapory ogniowe z normalnych sieci użytkownika jest interesujący ... cóż, zawsze jest coś otwartego ^^ Tak długo, jak https jest otwarty, myślę, że i tak nie ma wiele do zrobienia, chyba że ruch https jest odszyfrowany (być może za pomocą man- w środku ataku przez zaporę ogniową lub konfiguracje mostkowania SSL), a także sprawdzone ...
Oskar Duveborn
jak w przejrzysty sposób odszyfrujesz (lub przechwycisz) HTTPS? Jedno, co mogliby zrobić, to ograniczyć czas trwania połączenia HTTPS; nie ma powodu, aby trwać 35 minut ...
Mikeage
1
Cóż, możesz to zrobić tylko dla punktów końcowych HTTPS, które publikujesz, jak sądzę, takich jak skierowana na zewnątrz poczta internetowa lub witryna ekstranetowa - zapora sieciowa podszywa się i mostkuje tę witrynę / serwer podczas sprawdzania zawartości HTTP i nadal używa HTTPS do rzeczywistej sieci serwer w środku. Ale jeśli sfałszujesz punkt końcowy (na przykład fałszowanie DNS), możesz to zrobić z powodzeniem dla dowolnego połączenia HTTPS - dostępne narzędzia są w zasadzie przyjazne dla skryptu, mimo że wykonywanie ^ ^
Oskar Duveborn
wciąż nie ma sposobu, aby zapobiec tunelowaniu (krótkiemu) SSH przez HTTPS, jeśli chcesz zezwolić na dostęp do dowolnego serwera HTTPS w Internecie
Mikeage
2

Pracowałem jako administrator sys / app / net w szkole średniej (w wieku 11 -> 18 lat) i odkryłem, że laptop, który dostałem, był tym, którego używał mój poprzednik (był na zwolnieniu lekarskim), przed sformatowaniem komputera zrobiłem kopię zapasową HD, na wypadek gdyby coś było na tym nie powinno zostać usunięte.

Po pewnym czasie mój menedżer poprosił mnie o pliki, które mogą znajdować się na tym laptopie. Przeszukałem więc dysk z kopią zapasową, ale znalazłem tylko rekordy i zdjęcia dzieci w wieku od 11 do 14 lat oraz tylko kobiety i tylko o określonym kolorze włosów.

Zgłosiłem swoje odkrycia mojemu przełożonemu, ale zapewniam cię, że byłem bardzo przerażony.

Martin P. Hellwig
źródło
0

Użytkownik wiedział, że nie może obejść filtra zapory do przeglądania stron internetowych, ale znalazł sposób na obejście tego. Miał grupę 5 przyjaciół, którzy wysyłali do nich brudne zdjęcie w załączniku do wiadomości e-mail w pierścieniu między nimi wszystkimi.

Brian
źródło