Страницы

Кража базы 1С любым пользователем.















Сегодня я бы хотел поделиться с вами моим недавним открытием к которому я пришел при настройке сервера терминалов от инсайдерских угроз, которое меня мягко говоря огорчило.
Сегодня пойдет речь о краже любой базы 1С (файловой) версии 7.7 любым пользователем, с любыми правами (даже самыми ограниченными) который имеет рабочий аккаунт в программе 1С предприятие и использует терминальный доступ, то ли это посредством RDP (удаленный рабочий стол) то ли посредством CITRIX.

Все действия начинаются после того когда пользователь уже зашел в программу 1С предприятие. Далее все просто, "ловкость рук и никакого мошенничества"

1) Идем по пути Файл > Открыть и видим вот такую форму проводника (показываю на примере Windows 7 так как не имею Windows XP но разницы никакой)















Далее в строке Имя файла: пишем локальный путь где лежит база С:\ D:\ E:\ нажимаем ENTER и попадаем на локальный раздел диска терминального сервера. После открытия раздела локального диска терминального сервера, левой клавишей мыши кликаем по папке с базой 1С предприятие и нажимаем копировать, тем самым копируем папку с базой 1С.

2) Далее в той же в строке Имя файла: пишем сетевой или локальный путь к файлопомойке в сети например \\192.168.0.20\SHARA или С:\SHARA ( файлопомойка это-общий сетевой ресурс в сети) такие общие сетевые ресурсы есть в подавляющем большинстве на многих предприятиях и фирмах, и предназначены для общего обмена информацией. Далее нажимаем клавишу ENTER и в проводнике уже отображается не локальный раздел диска терминального сервера, а папка общего сетевого ресурса, далее кликаем левой клавишей мыши и в контекстном мнею нажимаем вставить, и вуаля кража базы произведена.

После этого базу можно архивировать и отправлять по E-mail (если заблокировано использование USB-FLASH) или записать на компакт диск, или отправить по WEB почте, или сбросить файлом по ICQ. Как видите вариантов сбросить базу после кражи множество.
Данная уязвимость (а иначе не назовешь) присутствует в редакциях Wndows начиная с WIN 95.
В сети под управлением ACTIVE DIRECTORY данную неприятность можно завинтить с помощью GPO ну, а в простой рабочей группе по всей видимости к сожалению никак.

© Нестеров Игорь Владимирович 2011 год.

1 комментарий:

AmorphiS комментирует...

Поэтому умные люди придумали такую вещь как Published Application в Citrix. А RDP в топку)))