Добрый день!
Тут зашел на днях в пиццерию.
Думаю затарить пиццы на весь кафедральный отдел информационной безопасности, дабы бороться со злыми вредоносами и прочей ересью, не отходя от освященных АРМ’ов наших ни на секунду.
Сделал заказ, взял кофейро и сижу жду. Вдруг вижу такую картину: менеджер пиццерии сидит за своим ноутом и отслеживает статус заказов по доставке их продукта (пицца оказалась не очень кстати), затем просто встает и уходит куда-то в служебное помещение, при этом в зале кроме меня никого не было.
Я приближаюсь к ноуту и понимаю, что я оказываюсь один на один с базой, в которой содержаться телефоны, имена, адреса и тд. в виде сотни заказов в удобной легкопереваримой форме, доступ к которой осуществляется по логину с паролем. Выглядело со стороны это примерно вот так:
Не поддаваясь искушению дьявола, я забрал заказ и ушел.
Теперь давайте посмотрим в виде одного примера как легко узнать пароль горе-менеджера.
Рассмотрим на примере доступа к системе сдачи бухгалтерской отчетности Контур-экстерн (они нам не платили за рекламу, жаль).
Предположим что пароль был сохранен автоматически и я при заходе на стартовую страницу вижу такую картину:
Далее узнаем пароль открывая звездочки, не воруя кукисы и не меняя пароль так как времени немного.
Нажимаем в поле пароль правой кнопкой мыши и выбираем «Просмотреть код» или сочетание клавиш «Crtl+Shift+I» и видим следующие:
Теперь находим значение value type=”password”:
И меняем значение ”password” на “text” и получаем:
Закрываем окно редактирования и видим вуаля:
Соответственно необходимо применять меры для избежания таких прямых угроз.
Для начала установить хотя бы автоматическую блокировку экрана в течении короткого времени застоя работы системы.
В идеале же, вариантов защиты много:
• Блокировать экран экран принудительно пользователем, на уровне организационных мер.
• Работать в режиме инкогнито.
Благо многие браузеры поддерживают данный режим.
В режиме инкогнито нет необходимости чистить кэш, историю и кукис файлы.
Так же важно то, что пароли тоже не сохраняются, как и другие данные вводимые в формы на сайтах.
• Двуфакторная аутентификация. [ вариантов несколько , об этом напишем далее ]
• Не разглашать пароль от учетки.
ИБ в каждом доме, ИБ есть везде!!!
Картинки не отображаются
Спасибо, поправим 🙂 !