Quelle est la chose la plus sournoise que vous ayez jamais eu à gérer en tant qu'administrateur système?

16

Quelle est la chose la plus sournoise à laquelle un utilisateur ait jamais dû faire face? De toute évidence, nous avons tous vu beaucoup de méchanceté de la part d'utilisateurs peu sympathiques, mais qu'en est-il des utilisateurs soi-disant amicaux?

Dans mon cas, je pense que cela devrait être un tunnel ping : utiliser des paquets ICMP sortants pour transporter un tunnel SSH pour contourner le pare-feu. [Divulgation complète: j'ai contribué au portage Windows de cet outil;)]

(rouvert en tant que wiki communautaire)

Mikeage
la source
1
C'est une enquête, pas une question qui a une réponse. Je suppose que Joel fait moins de laisser-faire à ce sujet que sur SO.
chaos

Réponses:

15

J'avais l'habitude de faire du conseil «blackhat» à l'échelle du système pour l'une de ces grandes sociétés informatiques. Nous avons toujours trouvé que les entreprises clientes étaient très douées pour durcir leurs routeurs / pare-feu / serveurs, etc. mais horribles pour trier leurs processus humains.

Une de ces démonstrations que nous avons faites à un client m'a fait utiliser son haut-parleur de salle de conférence pour appeler les demandes de répertoire, demander le numéro de réception principal du client, appeler cela, demander son numéro de support technique, appeler à nouveau la réception pour demander le nom de son directeur financier, puis appeler leur support technique prétendant être le FD, devait être un peu bruyant et "semblable à un boss" mais ils ont très rapidement réinitialisé son mot de passe et me l'ont donné, j'ai composé (ils ont utilisé MS RAS) dans leur système, connecté et envoyé moi-même un e-mail disant "Vous avez le travail!" - tous devant les FD concernés.

Fondamentalement, les gens sont toujours le point faible et vous n'avez pas besoin d'être aussi sournois pour les contourner. Cela dit, je connais des concurrents qui se déguisaient en policiers pour accéder à nos bureaux, heureusement, quelqu'un a appelé «leur succursale» pour les vérifier et ils se sont enfuis littéralement une fois confrontés.

Chopper3
la source
5
Tuyau en caoutchouc de cryptanalyse ftw.
chaos
Travail amusant!
spoulson
Je connais une fille qui travaille en tant que consultante en télécommunications, et c'est essentiellement exactement ce qu'elle fait - juste au nom de son client au lieu de la téléco - et plutôt que des mots de passe, elle va chercher des informations sur combien ses clients pourraient économiser dans les télécommunications honoraires. Elle est très bonne dans ce qu'elle fait.
Wayne Werner
5

Le plus sournois ?

J'ai défini l'image de connexion par défaut pour tous les utilisateurs sur une image de Pedobear.

Pour la photo de l'invité, j'ai mis en place Pedobear avec un pouce levé avec les mots Pedobear Seal of Approval

Personne dans l'entreprise ne sait qui est Pedobear et ils ont juste supposé que l'ours était un joli personnage de dessin animé.

Cela fait deux mois que je l'ai fait. Beaucoup ont déjà changé leur image d'utilisateur mais l'image d'invité est toujours là.

... et non, je ne suis pas administrateur système, mais c'est ce qui arrive quand je dois passer un week-end à installer Vista sur tous les ordinateurs portables et ordinateurs de l'entreprise.

MrValdez
la source
1
Pedobear est un personnage de dessin animé mignon
sclarson
3

Un tunnel dns peut être plus sournois qu'un tunnel ping - mais il est à peu près dans le même stade. Les deux fonctionnent généralement (bien que le tunnel DNS soit plus souvent) pour un accès sans fil public payant sans payer d'ailleurs - ce qui pourrait être bien de savoir si vous gérez de tels services ^^

Sur l'échelle opposée de la sournoiserie, mais presque aussi mauvaise, un département entier a gardé les mots de passe de tout le monde écrits à l'intérieur d'un placard de cuisine. Juste pour pouvoir se déverrouiller les ordinateurs sur les disques de réception au cas où quelqu'un oublierait de se déconnecter ... la cuisine était fréquemment utilisée par les entrepreneurs en visite.

Un autre problème typique est un utilisateur qui refuse simplement de travailler avec des ordinateurs et laisse secrètement un collègue gérer ses besoins comme les rapports de temps et vérifier le courrier électronique. Cela a pris un certain temps à découvrir car c'était un bureau éloigné où tout le monde le savait mais s'en fichait - ils ont juste aidé leur ami.

Oskar Duveborn
la source
1
Là où je travaille maintenant, le DNS sortant est bloqué, mais pas ICMP. En fait, tout est bloqué pour toutes les machines non proxy à l'exception de SSH. Le proxy Web transmettra HTTP sur le port 80 (uniquement) et HTTPS sur le port 443. Je suppose qu'ils laissent SSH ouvert en supposant que si vous en savez assez pour utiliser SSH, vous ne casserez probablement rien. J'utilise (personnellement) également sslh sur mon serveur Web, juste au cas où j'aurais besoin d'envoyer mon trafic SSH via le proxy sur le port 443.
Mikeage
ICMP activé via les pare-feu des réseaux d'utilisateurs normaux est intéressant ... eh bien, il y a toujours quelque chose d'ouvert ^^ Tant que https est ouvert, je suppose qu'il n'y a pas grand-chose à faire de toute façon, à moins que le trafic https ne soit décrypté (éventuellement avec un gestionnaire) au milieu par une attaque par le pare-feu ou des configurations de pontage SSL) et inspectés également ...
Oskar Duveborn
comment décrypteriez-vous (ou intercepteriez-vous) de manière transparente HTTPS? Une chose qu'ils pourraient faire est de limiter la durée d'une connexion HTTPS; aucune raison pour qu'une dure 35 minutes ...
Mikeage
1
Eh bien, vous ne pouvez le faire que pour les points de terminaison HTTPS que vous publiez, je suppose, comme votre messagerie Web ou votre site extranet orienté vers l'extérieur - le pare-feu emprunte l'identité et relie ce site / serveur tout en inspectant le contenu HTTP et en utilisant toujours HTTPS sur le Web réel serveur à l'intérieur. Mais si vous usurpez le point de terminaison (usurpation DNS par exemple), vous pouvez le faire avec succès sur n'importe quelle connexion HTTPS - les outils là-bas sont fondamentalement conviviaux pour les script kiddie, même si ce n'est pas élémentaire à exécuter ^^
Oskar Duveborn
il n'y a toujours aucun moyen d'empêcher tunnel (court) SSH via HTTPS si vous souhaitez autoriser l' accès à un serveur HTTPS arbitraire sur Internet
Mikeage
2

J'ai travaillé en tant qu'administrateur sys / app / net dans un lycée (11 -> 18 ans) et j'ai découvert que l'ordinateur portable que j'avais était celui que mon prédécesseur avait utilisé (il était en arrêt maladie), avant de formater la machine, j'ai fait une sauvegarde de la HD au cas où il y aurait quelque chose qui ne devrait pas être supprimé.

Après un certain temps, mon manager m'a demandé les fichiers qui pourraient se trouver sur cet ordinateur portable. J'ai donc fouillé le disque de sauvegarde, mais je n'ai trouvé que les enregistrements et les photos d'enfants âgés de 11 à 14 ans et uniquement les femmes et seulement d'une couleur de cheveux particulière.

J'ai rapporté mes conclusions à mon manager, mais je peux vous assurer que j'étais assez effrayé.

Martin P. Hellwig
la source
0

Un utilisateur savait qu'il ne pouvait pas contourner le filtre pare-feu pour la navigation Web, mais il a trouvé un moyen de le contourner. Il avait un groupe de 5 amis, et ils enverraient une photo sale dans une pièce jointe dans un anneau entre eux.

Brian
la source