Система безопасности Лувра
05.11.2025 12:40
2002
Комментарии (47)
19 октября 2025 года в Лувре произошло ограбление в светлое время суток. (Димитар Милкоф/AFP)
В издании Libération (paywall) любопытная статья об аудите системы безопасности Лувра.
Сразу после ограбления, министр культуры Рашида Дати неоднократно повторяла, что, мол, "Системы безопасности музея не подвели", однако десять дней спустя на сенатских слушаньях она признала, что там были пробелы в безопасности, и что они намерены "пролить свет на сбои, упущения и ответственность".
Подразделение CheckNews издания Libération внимательно изучило конфиденциальные документы и документы, опубликованные в рамках тендеров, что позволило составить длинный список серьезных уязвимостей в кибербезопасности Лувра, о которых музей был предупрежден, но которые не все были устранены.
И выяснились там прям совсем интересные вещи.
Аудит 2014 года
По запросу музея Национальное агентство по безопасности информационных систем (Anssi) протестировало сеть безопасности.
Экспертам с легкостью удалось проникнуть в сеть безопасности с рабочих станций офисной сети. При этом они могли нанести ущерб системе видеонаблюдений, поменять виды доступов для различных сотрудников.
Сотрудники агентства были в некотором шоке от того, что паролем для доступа к серверу, управляющему видеонаблюдением музея было слово "LOUVRE", а пароль на доступ к одному из программных продуктов для видеонаблюдения, выпущенных фирмой Thalès, было слово... "THALES".
Также они отметили использование устаревшей системы Windows 2000.
Аудит 2017 года
То же агентство проводило аудит. И снова обнаружило серьезные недостатки, причем некоторые из них с 2014 года так и не были исправлены. Устаревшие операционные системы, редкое обновление паролей, неустойчивые пароли и так далее.
Также использовалось программное обеспечение - например, система Sathi и другие, - которое сам производитель давно перестал поддерживать. Многие приложения видеонаблюдений работали на компьютерах с Windows Server 2003, а эту операционную систему Microsoft не поддерживает с... 2015 года.
Ну и в документах отмечается, что руководство Лувра было полностью осведомлено о серьезных проблемах с безопасностью как систем видеонаблюдения, так и других систем, касающихся управления потоками посетителей, безопасности крыш во время проведения работ, но, похоже, это все игнорировало.
В издании пытались получить комментарии по этому поводу от руководства музея, но те отказались ответить на вопросы издания.
Пароль "Лувр" для доступа к серверу всего видеонаблюдения Лувра - это красиво. Это прям пять баллов. Человек ответственный выбрал в качестве пароля хотя бы "Лувр123".
Войдите, чтобы оставить комментарий.
Есть подозрение, что Эрмитаж так не грабят только потому, что там воровать уже нечего. На стенах одни копии. И в запасниках - тоже.
Системы безопасности Лувра не подвели грабителей Лувра!
Ойц, тоже мне ужасы. Я таких оповещений безопасности дохрена прочитал. Как только выходит новая версия софта, сразу начинаются требования по безопасности обновиться. Вот, бляха муха на прошлой неделе все было хорошо, а сейчас угроза обществу и мирной жизни.
Если пароль простой, но его можно ввести только в одном единственном месте, то сам пароль мало что значит. Вопрос в том, как организован контроль доступа.
Совершенно точно знаю, что в некоторых отделениях ощадбанка до сих пор работают коммутаторы 3com и Allied Telesyn. Кто-то вообще помнит, что такие динозавры существовали? Работает — не трожь.
Если пароль простой, но его можно ввести только в одном единственном месте, то сам пароль мало что значит. Вопрос в том, как организован контроль доступа.
Совершенно точно знаю, что в некоторых отделениях ощадбанка до сих пор работают коммутаторы 3com и Allied Telesyn. Кто-то вообще помнит, что такие динозавры существовали? Работает — не трожь.
Неужто они на Token Ring сеть построили?
Короче, заходи и бери. Разве что Джоконду будет сложно. Потому что там всегда не протолкнешься от туристов, особенно китайцев. Ну, разве что ночью.
А так... Удивительно только одно. Почему в Лувре и Версале очередь из грабителей не стоит.
- Кто крайний за Дюрером?
- Я за Рафаэлем. А кто пришел за королевскими сокровищами, просили не занимать.
А так... Удивительно только одно. Почему в Лувре и Версале очередь из грабителей не стоит.
- Кто крайний за Дюрером?
- Я за Рафаэлем. А кто пришел за королевскими сокровищами, просили не занимать.
Короче, заходи и бери. Разве что Джоконду будет сложно. Потому что там всегда не протолкнешься от туристов, особенно китайцев.
Реальность как всегда заткнула выдумку за пояс. Если бы это было в художественном фильме, это был бы пошлейший штамп
паролем для доступа к серверу, управляющему видеонаблюдением музея было слово "LOUVRE", а пароль на доступ к одному из программных продуктов для видеонаблюдения, выпущенных фирмой Thalès, было слово... "THALES".
Ну, это же классика, admin/admin
А вообще пора пересмотреть Red Notice.
(Там Галь Гадот, м-м-м-м, фемина!)
Ну, это же классика, admin/admin
А вообще пора пересмотреть Red Notice.
(Там Галь Гадот, м-м-м-м, фемина!)
Подразделение CheckNews издания Libération внимательно изучило конфиденциальные документы
Каким образом некое "подразделение" настолько красной, что не видно даже её желтизны, "liberal libertarian" газеты получило доступ к "конфеденциальным документам", насколько они конфеденциальные и документы ли они вообще?
И фактологическй.
доступ к одному из программных продуктов для видеонаблюдения, выпущенных фирмой Thalès
Нет, процессинг лишь одна из систем, с которыми мне приходится время от времени работать. Но какие документы там составляются и как регулируется я краем глаза слышал.Давайте спрошу по другому, в контексте обсуждаемого вопроса. В RoC фиксируются найденные во время аудита уязвимости, и вы раскрываете детали процессинга и найденные уязвимости частным клиентам (коих миллионы)?
Нет, процессинг лишь одна из систем, с которыми мне приходится время от времени работать. Но какие документы там составляются и как регулируется я краем глаза слышал.
Давайте спрошу по другому, в контексте обсуждаемого вопроса. В RoC фиксируются найденные во время аудита уязвимости, и вы раскрываете детали процессинга и найденные уязвимости частным клиентам (коих миллионы)?
Давайте спрошу по другому, в контексте обсуждаемого вопроса. В RoC фиксируются найденные во время аудита уязвимости, и вы раскрываете детали процессинга и найденные уязвимости частным клиентам (коих миллионы)?
Это не отчет о найденных уязвимостях (про которые пишет Пафнутий), а некие формальные документы "все соответствует стандарту".Типа как когда водосчетчики ставят, к ним сертификат прилагается.
Report of Compliance. Отчет соответсвия SOC 2 или PCI DSS. В общем формате "Требование-выполняется или нет, как было проверено".
Типа как когда водосчетчики ставят, к ним сертификат прилагается.
алгоритмы шифрования - всё в открытом доступе, да?
Нет. Особенно если это аудит систем безопасности.
В госсекторе думаю это вполне доступный документ должен быть.
Очень даже наоборот – в случае обнаружения проблем мы обязаны уведомить клиентов
Каким образом то, что я хорошо делаю свою работу означает
Очень даже наоборот – в случае обнаружения проблем мы обязаны уведомить клиентов с четким описанием где проблема и как мы ее компенсируем. Конечно нужно быть полным идиотом, что бы не исправить то что можно быстро исправить в ходе самого аудита, типа тех же паролей. Но бывают и серьезные залеты у организаций которые уже не исправляются типа пропущенных сканов, архитектурных проблем и т.п. Был у нас отчет от ну ооооооочень большой и известной компании с noncompliаnce по причине того, что значительное количество их инженеров пропустили тренинг по безопасности. 🤷♂️
Ну то есть возвращаемся к тому, что я сказал? Дыры на публику не отдаются?
Ничонинанятна
У нас нет "не соответствует"
Клиенты это клиенты. Мы продаем сервис.
Вы отдаёте их клиентам даже если там есть "не соответствует" и написано как именно можно пробить?
Кто клиенты - заказчики?
Вы подобное видели или нет?
Спасибо, никогда бы не подумал.Отчёты чего именно вы даёте клиентам если в вашей фразе "мы наши отчёты клиентам даём" у вас стоит аббревиатура стандарта?
Вы подобное видели или нет?
Отчеты соответствия стандартам – Report of Compliance.
Отчёты чего именно вы даёте клиентам если в вашей фразе "мы наши {x} отчёты клиентам даём" у вас стоит аббревиатура стандарта?
Отчёты о стандартах? Это как?
Почему?
Security by obscurity уже не работает.
По этому все схемы постов, разводов, имена и адреса охраны, алгоритмы шифрования - всё в открытом доступе, да?
Мы наши PCI DSS и SOC2 отчеты клиентам даем.
Отчёты аудита систем безопасности (а именно их детали) делать доступными - это явная заявка на победу.
В частном секторе отчеты аудита дают клиентам только под НДА. В госсекторе думаю это вполне доступный документ должен быть.
Системы видеонаблюдения в целом они вполне себе выпускают
У тебя первая ссылка на бэйслайны по защите таких сетей, а не на продукт, а вторая на выигранный ДВАДЦАТЬ ЛЕТ НАЗАД контракт на оборудование объектов такой системой. Для чего были привлечены контрагенты, которые всё и сделали. О чём прямо по ссылке и написано:
system was installed by Nolitha, a Cape Town-based electronic systems installer
Попробуй угадать, почему я это знаю и почему ты выглядишь смешным балбесом, доказывая мне что-то про талес.
насколько они конфеденциальные
А сам Талес знает что у него есть "программный продукт для видеонаблюдения"?
Системы видеонаблюдения в целом они вполне себе выпускают:
cpl.thalesgroup.com
www.securitysa.com
Фантомасу было бы стыдно грабить Лувр. Ведь проходить кампанию на детском уровне сложности это неспортивно. Потому Лувр ограбили гопники из предместья.
Даже удивляться давно перестал. Жареный потомок динозавров рулит давно и по всему миру. 🤷♂️
Жареный потомок динозавров
Ну ничего. Через несколько лет, когда всё оттуда утащат, а что не утащат, то сожгут как не соответствующее ценностям халифата, эта проблема перестанет быть актуальной, и о ней никто не вспомнит. Будут проблемы посерьёзнее: как очистить все оставшиеся музеи от всего, что оскорбляет чувства алжирцев, сирийцев, пакистанцев; и как побыстрее приобщить оставшееся белое население к ценностям арабского мира
Думаю, все очень быстро произойдет. Лет 5-10. Сами увидите.
А пока вот, почитайте
t.me
www.novostiniderlandov.com
ru.wikipedia.org
inosmi.ru
и таких ссылок я могу сотню набрать
(а, ну и еще вспомните кучу публикаций тут, у Экслера, про окупасов)
А пока вот, почитайте
t.me
www.novostiniderlandov.com
ru.wikipedia.org
inosmi.ru
и таких ссылок я могу сотню набрать
(а, ну и еще вспомните кучу публикаций тут, у Экслера, про окупасов)
Через несколько лет,
Мечеть Парижской Богоматери.
Это все, наверное, всё так, но люди, ограбившие Лувр, не воспользовались ужасными прорехами в системе безопасности, а просто подогнали подьемник и болгаркой распилили то, что нужно, у всех на глазах
болгаркой распилили то, что нужно, у всех на глазах
Я бы с большим интересом (и нескрываемым злорадством) лучше почитал про действия персонала во время ограбления, про время поступления сигнала в полицию и их действия (посекундные) после этого.
Это все, наверное, всё так, но люди, ограбившие Лувр, не воспользовались ужасными прорехами в системе безопасности
По тому тексту что мы видим никаких "ужасных прорех" нет даже близко. Аудиты, если они вообще были, восьми и одинадцатилетней давности, судя по тому что я читаю, были проведены на "от...сь" стандартным безопасником-выпускником: проверен софт на поддерживаемость и пароли прогнали через какую-то софтину дающую показатель "устойчивости". Я не вижу, например, рассказов о том что "в таком-то софте нашли неприкрытые дыры", а их находят всегда, если проверка хоть чуть более серьёзная, чем поверхностная.
Если это всё (а это скорее всего всё потому что для газеты такой... направленности и репутации единственный способ перетащить клиента через пэйвол - скандал), то это детский сад какой-то.
Я бы с большим интересом (и нескрываемым злорадством) лучше почитал про действия персонала во время ограбления, про время поступления сигнала в полицию и их действия (посекундные) после этого.
Но не дадут опубликовать же, мерд.
что у них был сообщник из охранников.
у них был сообщник
Читатель Сарданапал."
Вроде была информация, что у них был сообщник из охранников.
Человек ответственный выбрал в качестве пароля хотя бы "Лувр123"
А если бы кириллицей Лувр набрали, то хрен бы кто взломал!
Л¥вр_123!
Теги
Информация
Что ещё почитать
Мистер Блейк к вашим услугам
02.06.2025
34
Источник вечной молодости
05.06.2025
86
Обзор умных часов OnePlus Watch 3
12.08.2025
76
