¿Cuáles son las peores infracciones de la política de TI que ha hecho o escuchado en su empresa?

Primero, alguna información sobre mí:
Trabajé para una empresa de servicios de TI en Chennai, India, a lo largo del corredor de TI [1].

Luego, un poco de historia sobre el corredor de TI:
Es un tramo de 20 KM, que alberga numerosas empresas, principalmente servicios de TI. Cuando dije numerosas, quise decir que el conteo debía estar en algún lugar alrededor de 100-150, grandes y medianas, eso explicaría el nombre del corredor.

¿En qué trabajan?
Desde la ejecución de trabajos en mainframes del Bank of America hasta el trabajo en el sitio remoto de I + D de Alcatel Lucent. Cada una de las 3 principales compañías a lo largo del corredor ejecuta al menos 2 proyectos de los cinco bancos más grandes de EE. UU. [2].

¿Cual es el problema?
Los empleados exponen involuntariamente sus tarjetas RFID en público.

El tramo está a 20 km de la ciudad, el principal medio de transporte es el autobús. El gobierno había lanzado muchos de

estos autobuses para complacer a los trabajadores de cuello blanco a lo largo de la ruta. Como dije antes, hay muchas compañías en el tramo, así que, en cualquier día de la semana, en cualquier momento entre las 17:30 y las 19:00, la multitud en estos autobuses será 10 veces [3] de lo que es en la imagen de arriba. La gente se sube al autobús lleno de gente, realmente cansada y les importa mucho menos quitar sus brillantes tarjetas de acceso RFID que están suspendidas en una etiqueta con el nombre de la compañía; El nombre de la persona, la designación y el número de empleado impreso en la superficie laminada de la tarjeta.

Las 3 organizaciones principales, que he mencionado anteriormente, emiten una u otras variantes de tarjetas de proximidad HID, que felizmente grita su identificador único a una frecuencia de 13.56Mhz.


Es solo un dispositivo tonto que transmite alrededor de algo que es exclusivo para usted, un atacante puede intentar descifrar lo que dice, si tiene un cifrado, lo cual no creo. O bien, capture la señal y simplemente vuelva a crearla como un ataque de repetición.

Una vez que la tarjeta está duplicada, pasar por encima de los guardias de seguridad es simplemente un juego de niños. Por lo general, entre 2000 y 3000 personas trabajan en una sola oficina enorme. Y un intruso puede entrar fácilmente.

Incluso después de las investigaciones [4] que demostraron que las tarjetas no son lo suficientemente seguras y la disponibilidad de kits baratos [5] para capturar la señal, dudo si las empresas han incluido la seguridad RFID en su política de TI.

Las personas que trabajan en proyectos financieros cuentan con llaveros RSA, pero, meh; no puede dejar entrar a un intruso, lo que al menos va en contra de la política de TI.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
[1] Rajiv Gandhi Salai
[2] Grandes bancos: ahora incluso demasiado grande para fracasar
[3]
[4] http://events.ccc.de/congress/20…
[5] Introducción a la etiqueta RFID ABIERTA

Related Content

¿Alguien fue hackeado como resultado del error Heartbleed?

¿Debo confiar en el cifrado Apple FileVault?

¿Qué es el virus Coingeek en Windows? ¿Como funciona?

¿Cómo se pueden usar los números primos en el cifrado?

¿Hay alguna forma de bloquear el acceso a nuestra red corporativa de una computadora portátil / notebook que tenga software o aplicaciones 'no autorizados'?

Hace algunos trabajos, la compañía para la que trabajé contrató a un contratista para mejorar el rendimiento y la eficiencia de la red. Esta era una especialidad suya, y saltó de contrato en contrato, de compañía en compañía.

Era contrario a nuestras políticas conectar recursos personales o de otro tipo (computadoras) a nuestra red. Varios empleados notaron que este contratista tenía cables de ethernet, teclado, mouse y monitor que conducían a un gabinete cerrado con llave.

Tenía una personalidad abrasiva y había molestado a casi todos los empleados que tuvieron la desgracia de trabajar con él. Esto, junto con la violación de la política, hizo que la decisión de apoderarse de lo que estaba ocultando fuera fácil.

Un día que no estaba trabajando, abrimos la cerradura y encontramos su computadora portátil personal. Quitamos el disco duro, hicimos una copia forense y comencé a investigar el contenido. En los primeros 30 minutos, estaba claro que estaba guardando todos los detalles de cada uno de sus trabajos de consultoría en esta computadora portátil. Estos detalles incluyen diagramas, direcciones y credenciales de inicio de sesión para todos los enrutadores, conmutadores, firewalls y otros equipos de red de una empresa. Las llaves del reino más o menos.

Nada de eso estaba encriptado. Su disco no estaba encriptado, y ninguna de las direcciones IP, nombres de usuario o contraseñas estaban encriptadas.

Aparte de nuestra empresa, había trabajado para algunas organizaciones muy sensibles de DOD / DOE. Esta unidad contenía todo lo que necesitarías para entrar en su red, suponiendo que no hubieran cambiado todas sus contraseñas después de que él se fuera (lo que deberían haber hecho, pero sé que por experiencia en consultoría, probablemente no) notifiqué inmediatamente al FBI, y les entregó el disco duro original. Estaba muy enojado porque no recuperó su disco duro, y no parecía entender lo que había hecho mal.

Jonathan Sheer Pullen

La peor que recuerdo fue una utilidad de servicio de asistencia que almacenaba contraseñas de texto sin cifrar y números de tarjetas de crédito en los directorios personales de las personas en un servidor utilizado para el correo electrónico. Todos los usuarios tenían el inicio de sesión deshabilitado, pero aún podía ingresar desde la cuenta de cualquier usuario y recorrer los directorios de inicio de otros usuarios. Entonces, pude encontrar rápidamente la contraseña y el número de tarjeta de crédito del CEO. Estaba trabajando como técnico de soporte telefónico hasta que encontré esto, casi inmediatamente después de que fui promovido a administrador de sistemas. 😉

He visto algunos muy malos a lo largo de los años, pero nada que comparar con eso. La misma utilidad de servicio de asistencia se escribió como un script de shell, y se puede romper fácilmente para obtener un mensaje de Unix. Hay partes de mí que desearían poder vivir en un mundo en el que ese tipo de cosas estuviera bien, porque no había personas tratando de forzar las cosas y utilizar la información de manera maliciosa.

Jonathan Sheer Pullen

More Interesting

¿Tu iPhone recibirá un virus si usas emu4ios en Weebly para obtener juegos gratis de gba?

¿Cuáles son las principales prácticas de prueba de seguridad para una aplicación web?

¿Puedo instalar varios antivirus en la misma máquina?

¿Cuál es el mejor antivirus? ¿Es realmente Avira la mejor?

¿Es cierto que Google está robando nuestros datos e información personal?

¿Cuál es el mejor software antivirus gratuito para Windows 7?

¿Cuál es el mejor truco para mantener la contraseña más segura?

¿Cuál es el mejor antivirus para Windows 8?

¿Cuáles son las posibilidades de que sus datos en una nube sean 'pirateados' y pierda todos sus datos?

¿Qué hizo que el ataque Dyn DDoS del 21 de octubre fuera único?

¿Con qué frecuencia deberíamos esperar que el código descompilado se vuelva a compilar con éxito?

¿Tiene Linux algún error o vulnerabilidad grave?

¿Por qué las principales compañías de Internet utilizan prácticas de seguridad de cuentas de usuario horribles para las necesidades de los usuarios avanzados?

¿Cómo se piratearía una red?

¿El programa antivirus gratuito AVG está ralentizando mi computadora portátil o podría ser otra cosa?