Chránia sa veľké firmy proti HW červom?

[Manipulant]

Táto myšlienka sa mi motá v hlave už pár rokov. Pracujem v jednej nadnárodnej firme kde štandardne nemajú zamestnanci prístup zo siete von, výnimka je len pár vyvolených čo dostanú svoj účet na webové proxy a aj tam nieje povolené všetko (na termináloch dokonca bez javascriptu a len cez ie). Na prvý pohľad je to dobré zabezpečenie, ale na pár miestach sa dá nájsť wifi sieť s prístupom k plnohodnotnému internetu a bez hesiel, ľudia to využívajú na facebook a podobné drobnosti na mobiloch. Fascinujúce je čo všetko sa dá na tejto sieti nájsť úplne nezabezpečené, alebo len so štandardným heslom. Tlačiarne, ip kamery a záložné zdroje sú len začiatok zábavy. Cez telnet sa dá prihlásiť aj do prvkov výrobných liniek, roboty ochotne odovzdajú svoj názov, verziu firmwaru a dovolia reštart, veľa ethernet-serial prevodníkov a podobne. A to nehovorím, že ak niekde je heslo tak sa často roky nemení, ale úvaha je len o nezabezpečených zariadeniach.

A teraz si predstavte, že nejaký zamestnanec zoberie niektorý z bežne dostupných arm mini pc (napríklad plne postačí orangepi lite, wifi má integrovanú takže okrem 12€ za dosku potrebuje už len sd kartu, kľudne aj len 1GB). Nakonfiguruje ho na automatické pripájanie k tejto wifi sieti, hostname a mac adresu nastaví na nejakú podobnú tlačiarňam a zariadi si doň prístup napríklad cez nejaké anonymné ruské vps. Fyzicky ho schovať nieje problém, veľa starých liniek sa používa len občas a sú stále pod prúdom a našlo by sa aj priamo 5V.
Pre dokonalejšie krytie môže byť wifi vypnutá a napríklad len raz za 24 hodín sa na minútu zapnúť a skontrolovať príkaz na vonkajšom vps či má wifi ostať zapnutá, alebo znovu uspať.

No a teraz keď by tohto zamestnanca nejak naštvali a už by tam toho mal dosť mohol by aj po výpovedi ovládnuť sieť zvonku a ochromiť celú výrobu. Ja tam pracujem ako obyčajný manipulant a toto ma napadlo a to tam pracuje ďalších viac ako 1000 ľudí pričom takmer každý má možnosť niečo také spraviť. Keby som bol správca tak toto by ma dosť desilo ...



(inak po ethernetovej sieti sa dá nájsť aj zariadenia v iných pobočkách po celej eu)

[Reklama]

[ovcan]

husty cerv , tak proti takemuto cervu nie je obrany , to vystrasi kazdeho...
i ked na druhej strane asi by mal by naprogramovany aby "neliezol" na vyrobny pas , co kebyze nejaky natvrdlejsi robotnik by nan primontoval daco , napr taky litrovy trojvalcovy motor , to by este len budilo des...

[JardaP .]

Rekl bych, ze firma, kde se z verjene wifi dostanu do vyrobni linky, se nechrani proti nicemu.

[karel]

Pokud by jsi byl správce kterého by to děsilo, tak bys použil vlany.
To co popisuješ je buď naprostá neschopnost vašeho it, nebo a to je také časté naprosté ignorování it managmentem při prosbě koupit new hw protože bezpečnost.

[source]

Táto myšlienka sa mi motá v hlave už pár rokov.

Jestli je to pravda, jedná se o naprostou ignoraci ze strany IT (pokud tam vůbec nějaké existuje a nejsou to jen blackboxy koupené od externích správců).

[Reklama]

[hawran diskuse]

... Fascinujúce je čo všetko sa dá na tejto sieti nájsť úplne nezabezpečené, alebo len so štandardným heslom. Tlačiarne, ip kamery a záložné zdroje sú len začiatok zábavy. Cez telnet sa dá prihlásiť aj do prvkov výrobných liniek, roboty ochotne odovzdajú svoj názov, verziu firmwaru a dovolia reštart, veľa ethernet-serial prevodníkov a podobne. ...

OMG, to jako fakt?

[jeniceek]

Ta firma jednou spláče nad výdělkem. Nebo spíše obě. Nevím, jak moc je přístup k internetu ve vaší firmě důležitý, ale googlením se dá ušetřit dost času => peněz.
Ta firma co má na open wifi všechno blbě zabezpečené by taky potřebovala osobní zkušenost z útokem. Ale v oboru asi nebude tak velká konkurence, aby to někomu stálo za to.
Jinak vyhozený zaměstnanec může položit i hodně velkou firmu, všude, kde jsem zatím pracoval mi zůstaly přístupy někdy i měsíce po ukončení prac. poměru, je to tristní a asi by to chtělo osvětu.

[JardaP .]

@Manipulant: Nejlepsi bude, kdyz tam takoveho HW trojana nekam nainstalujete a date sem prihlasovaci udaje na ssh. Jsem si jisty, ze vetsina zde pritomnych si jeste s prumyslovymi roboty a jinymi zalezitostmi z vyrobnich linek nehrala. My vam pak treba zvysime produktivitu prace, kdyz zrychlime vyrobni pas. ;-)

[x]

Imbecilita a totalni neznalost security a vubec celeho IT je primo umerna velikosti firmy. Do mixeru prihod managery, kteri v zivote rukama nebo ani s konkretni technikou nedelali a vsechno maji z PR prezentaci. Zamichej, protrepej a vypadne ti typicka zapadni byrokraticka firma. K tomu pridej jejich nicotny boj o interni moc, pripadne i o venkovni (dle velikosti firmy) a nemuze ti vyjit nic jineho nez to, ze jedinym lekem pro tenhle bordel je poradne velky meteorit a restart