Jak sobie żartowałem największy dostęp w firmie ma sprzątaczka i informatyk. Informatyk ma dodatkowo hasła wszystkich. Cieszę się że jest takie łatwe i dobrze zintegrowane rozwiązanie które może to ograniczyć. Fajny materiał
@@7667neko jak ze wszystkim, jest to w ich interesie ale jako pracownik nie-administrstor nie masz wpływu ani podglądu. Poza tym wydaje się to łatwiejsze niż wiele obecnych rozwiązań
Jest szansa odzyskać, w zależności od tego czy od tego czasu dużo przemieliłeś w urządzeniu. Jeśli ci zależy, zacznij od tego, że go nie włączaj. Jeśli to komputer, czy lapek i ma niezaszyfrowany dysk, najbezpieczniej się do tego dobrać z drugiego urządzenia. To szeroka dziedzina, uważaj żeby nie trafić na pseudospeckalistę do odzyskiwania danych
@@odszczepciesie5128 Dziękuje mam tego świadomość. Jednak niestety nie udało mi się tego przywrócić. Naszczeście jednak mam kopie tych plików na innych urządzeniach. Pamiętajcie backupy to podstawa. Dodatkowo cześć udało mi się przywrócić z chmury. Jak to mówi stare ludowe przysłowie: ludzie dzielą się na tych, którzy robią backupy i tych, którzy jeszcze nie stracili plików.
@@weczisTV Zwrot "jeśli nie nadpisałeś innymi danymi" może niespecjalistom sugerować jakąś świadomą czynność, tymczasem Windows może sam z siebie nadpisać, w zależności od tego, jakie fikołki wykona system operacyjny, na przykład automagiczne czyszczenie przestrzeni ze względu na zamulenie dysku śmieciami z powodu byle jak napisanych programów. Oczywiście nawet zwykłe nadpisanie da się odzyskać w specjalistycznych laboratoriach (w Polsce firma Ontrack), ale to już kosztuje więcej niż może sobie pozwolić przeciętny użyszkodnik. O ile w prostym przypadku wystarczy odpiąć dysk, czy nawet na żywca odzyskiwać dane na tym samym komputerze, używając jakiegoś linuksa zbuforowanego w pamięci, czy nawet jeśli dane były nie na partycji systemowej, to i na żywca z tego samego sysopa się da, o tyle w przypadku gdy dane zostały już nadpisane, trzeba będzie w pomieszczeniu bez jakichkolwiek pyłków, (clean room, serwisant w skafandrze kosmicznym, oddycha w obiegu zamkniętym) i rozkręcanie dysku, żeby go zobaczyć pod mikroskopem i na podstawie wcześniejszych śladów zapisu, które się nie zatarły, odzyskiwanie danych. Tylko że wtedy to już kosztuje, przez duże K
@@weczisTV nadpisałem. Programem do przywracania (facepalm). Wynikało to z tego ze szybko pobrałem i nie pomyślałem o zapisie gdzie indziej. Jednak większość plików gdzieś mam. Muszę tylko przejrzeć kilka urządzeń i chmurę. Pamiętajcie, zawsze róbcie backupy.
Ja bym się tak nie czepiał, gdyż to jest film sponsorowany. Nikt normalny nie zapłaciłby za swoją kompromitację swoimi pieniędzmi. Mimo wszystko zrobiono w sposób, który da się oglądać i dowiedzieć o niektórych rozwiązaniach.
@@mamaminiepozwoliaukrzyska6774 no jak ja to słucham to jest ciekawe ale się odechciewa bo to jakbym słuchał 10min reklamę, nie po to instalowałem adblocka
Mysle, ze to tak wyglada przez brak doswiadczenia w nagrywaniu takich wywiado-filmow. Ustawienia kamery i takie 'nie wiem gdzie mam patrzec' duzo robi. No ale feedback poszedl i mozemy liczyc, ze kolejne filmy tego typu beda lepsze 😀
skarbiec (baza haseł) jest już "fabrycznie" szyfrowana. To są maszyny utwardzone, nawet Administrator systemu nie ma dostępu do roota. Dodatkowo, na VM-kach zawsze robimy chociaż snapshoty, żeby w razie czego mieć do czego wrócić
Jak dla mnie wyszło to sztucznie. Ogólnie dalej uważam, że sam mechanizm nie ma racji bytu i niewiele zabezpiecza, jeżeli już coś robi to stanowi centralny punkt który można zaatakować aby w łatwy sposób uzyskać dostęp do wielu systemów jednocześnie - trochę jak atak na kontroler domeny. Z perspektywy admina kolejny system który trzeba utrzymywać i nim zarządzać. Dla osób szukających sensacji i próbujących pozbyć się kogoś z firmy idealny, w firmach gdzie wciąż popularny jest schemat "szukanie winnego" zamiast "wspólne zażegnanie kryzysu". Na definicję grup i konfigurację trzeba mieć czas - a z doświadczenia wiem, że zwykle tak jak zostało to pierwotnie wdrożone przez firmę zostaje do końca chyba, że ktoś faktycznie się tematem zainteresuje i coś tam dłubie.
Zgadzam się, że tutaj wyszło sztucznie, co do reszty się nie zgadzam ;) akurat PAMy to systemy o wyjątkowo wysokim stosunku korzyści do czasu angażowania administratora, raz ustawiasz polityki, integrujesz z grupami AD i masz z głowy. Mówisz, że to łatwy sposób by uzyskać dostęp do wielu systemów? Powodzenia w atakowaniu utwardzonego, szyfrowanego systemu bez dostępu do roota, zabezpieczonego U2F (tak powinno być), w którym tylko 2-3 osoby mają dostęp do wrażliwych serwerów, reszta ma ograniczone dostępy do swoich zadań, do których dodatkowo nawet nie musi znać haseł - system sam podstawi cyklicznie zmieniane hasło. To jest Twoim zdaniem "niewielkie zabezpieczanie"? Lepiej żeby było kilkaset punktów dostępowych i kilkadziesiąt administratorów znających poświadczenia zamiast jednego punktu i kilku administratorów? Dodatkowo, można zablokować wykonywanie wrażliwych poleceń na wybranych serwerach. A najlepsze na koniec, sam system może się zwrócić w chwilę, jeśli firma zatrudnia kontraktorów zewnętrznych, którzy bez kontroli wiadomo że pracują dłużej, niż powinni i będąc pracownikami zewnętrznymi znają poświadczenia, których z punktu widzenia bezpieczeństwa nie powinni znać.
@@BxOxSxS No i do tego istnieją kopie bezpieczeństwa (przynajmniej powinny). Dlatego też włam, który nie ujawnia się od razu, a po miesiącach, ma już je nadpisane. A przynajmniej ma taką możliwość.
@@odszczepciesie5128 to jest możliwe ale kilka miesięcy to krótko biorąc pod uwagę niezmienność w takich środowiskach. Można dodatkowo archiwizować starsze backupy na tańsze nośniki jak taśmy magnetyczne
pam w linuxie to implementacja a nie że został tam wymyślony. I jak zresztą widać takie coś nie służy tylko do dostępu wewnątrz systemu linuxowego ale też inne urządzenia (windows, routery) czy dowolny system działający przez przeglądarkę
@@BxOxSxS akurat nagrywarki sesji są choćby w postaci modułu do PAM (ale nie tylko bo można też to robić na poziomie urządzeń pty w kernelu), ale generalnie cały podsystem Pluggable Authentications Modules służy właśnie do tego żeby sobie zrobić scentralizowane AAA i zapobiegać problemom z dostępami i audytowalnoscią. duże firmy robią to od dziesięcioleci i nie trzeba do tego stacji przesiadkowych, których używanie zazwyczaj jest tak wygodne jak wchodzenie do domu przez okno (moja ulubiona implementacja to rodzime FUDO, gdzie nawet nie chciało się chłopakom zaimplementować działającego schowka).
@@asquelt No spoko to możesz korzystać ale dalej wiele funkcji jest niemożliwa w linuxowym pam więc nie udawaj że nie masz wyobraźni aby to było użyteczne
W filmie była mowa o wymuszaniu okresowej zmiany hasła jak to się ma do faktu iż sam autor okresowego zmieniania hasła przyznał że jest to błędna polityka i powoduje używanie coraz słabszych haseł. Tak samo generowane hasła zostały uznane za złą praktykę. Wydaje się, że ten film promuje złe praktyki dotyczące haseł.
Chodzi o zgodności z rzeczami typu RODO, które to wymuszają tu i ówdzie. Robienie haseł generatorem, nie spowoduje że będą coraz słabsze. Jak się nie ufa algorytmowi generatora, można trochę go nadpisać, ale hasła powinny być zmieniane. To jest zabezpieczenie przed wyciekiem, o którym się nie wie, a który miał miejsce.
Chodziło mi tylko o wymuszanie okresowej zmiany hasła. Oczywiście wynoszenie zmiany po ataku jak najbardziej ok. Generowane hasła nigdy nie będą lepsze od wymyślonych dlatego że człowiek musi je gdzieś zapisać aby z nich korzystać. Z tąd biorą się pliki tekstowe na pulpicie zawierające wygenerowane super silne hasła przez super bezpieczny system i wszystko skompromitowane bo nie ma super użytkowników którzy zapamiętają wygenerowane hasło. To samo z karteczkami na monitorze. Dobrym rozwiązaniem jest za to hasło wymyślone przez użytkownika które jest długie i nie zawiera dużych małych liter i znaków specjalnych, za to jest długie i łatwe do zapamiętania jak ulubiony wiesz z dzieciństwa. Taka hasło łatwo zapamiętać użytkownikowi i łatwo się z niego korzysta, a roboty mają problem z łamaniem takich haseł
@@odszczepciesie5128 Ja mam brainfucka bo Mateusz we wcześniejszym filmie krytykował polityki haseł o których mowa w tym filmie. ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-bAJin9H1ZoA.html
Kliknąłem w filmik oczekując jakiegoś przykładu rozwiązania a nie reklamy konkretnego produktu. A tak swoją drogą zapisywanie wszystkich czynności administracyjnych - fajna sprawa, ale tym też ktoś administruje jest ktoś kto może uzyskać dostęp wszędzie. Może się mylę, ale co z tym złośliwym informatykiem? Rozumiem że tego PAM-u nie da się "zaorać" a dane w nim są zbierane w nieskończoność:P no i hasło admina to tego nie istnieje? (tak się trochę droczę).
Co do tego "złośliwego informatyka", to można skonfigurować politykę udzielania dostępu do zasobów po potwierdzeniu przez np. managera (manager dostaje maila i jednym klikiem/dotykiem na smartfonie robi akcept lub nie).
@@odszczepciesie5128 ciekawe to wszystko. cieszę się że jestem wystarczająco inteligentny by móc zachwycać się niesamowitością życia. koledze również tego życzę, choć jak sądzę pewnie i u kolegi nie ma problemu by dostrzec piękno struktur budujących wszechświat.
i tu wchodzi polityka zabezpieczeń serwera która na to może automatycznie zabronić. Pam może pomóc np że tylko garsta osób może coś takiego zmienić gdy jest potrzeba
Strasznie nienaturalny wywiad. Gość mówi w bardzo "reklamowy" sposób (patrzenie się do kamery a nie na rozmówcę dodatkowo potęguje to wrażenie), a pytania sprawiają wrażenie przygotowanych przez sponsora. Na mój odbiór prawdopodobnie wpływa niewielkie zainteresowanie tym tematem, ale nie dałem rady dotrwać do końca (a na tym kanale zwykle nie mam z tym żadnego problemu). Bardzo proszę o mniej wywiadów w takim stylu
