© 1995-2022 Компания «Инфосистемы Джет»
Не будьте пассажирами «Титаника»
Информационная безопасность Информационная безопасность

Как вы считаете, что является самой большой дырой в системе защиты?

Главная>Информационная безопасность>Не будьте пассажирами «Титаника»
Информационная безопасность Тема номера

Не будьте пассажирами «Титаника»

16.09.2014

Посетителей: 28

Просмотров: 27

Время просмотра: 2.3

Авторы

Автор
Даниил Чернов В прошлом - руководитель отдела анализа защищенности ИТ-систем Центра информационной безопасности компании «Инфосистемы Джет»
Как вы считаете, что является самой большой дырой в системе защиты? Неподготовленность пользователей, о которой мы часто слышим? Да, принято думать, что до 80% атак происходят из-за неподготовленности или неосведомленности пользователей. Но это лишь следствие существования другой, более серьезной дыры. Мы считаем, что самая большая проблема – наличие домыслов у того, кто отвечает за систему защиты. 

 

 

Очень часто у безопасников возникает ощущение, что защита выстроена круто: внедрили средства, написали регламенты, запустили процессы. Вроде, все работает. Но нужно быть честными с самими собой. Реальную защищенность можно проверить только в бою – сэмулировать настоящую атаку. Или же можно убеждать себя, что все хорошо и проверять не стоит. Именно так думали создатели «Титаника», французы, которые возвели линию Мажино, и конструкторы, построившие линкор «Бисмарк», потопленный в 1941 году. Но, надо признать, этим людям было сложно сэмулировать реальные условия боя для своих творений. А у современного безопасника для этого есть все возможности.

Рассмотрим несколько примеров тестирований на проникновения, которые мы провели. Компании мы по понятным причинам не называем. Приводимые IP-адреса не являются реальными. Отметим, что примеры довольно простые, однако они не теряют своей актуальности.

 

Ритейлер

 

Для проведения тестирования на проникновение компания предоставила нам несколько IP-адресов: 193.Х.Х.27, 193.Х.Х.28, 193.X.X.29, 193.X.X.30. После сканирования на поиск открытых портов, сервисов и уязвимостей нам предстала картина, изображенная на рис. 1.

 

Рис. 1. Внешний периметр, найденные сервисы и уязвимость (193.X.X.29)

 

Все серверы, за исключением 193.Х.Х.29, оказались защищены. На сервере 193.Х.Х.29 был обнаружен бэкдор, внедренный в код программного обеспечения VSFTPD, позволяющий подключаться к серверу по 6200 TCP-порту с максимальными правами в системе. После получения полного контроля над сервером 193.Х.Х.29 был произведен дамп пароля Root-пользователя, затем его дешифрование, которое заняло около 6 часов.

 

Из-за некорректного разграничения доступа с уже взломанного сервера было произведено подключение во внутреннюю сеть на Linux файл-сервер (10.15.17.133) с использованием дешифрованного пароля Root-пользователя. На сервере хранилась различная информация пользователей, в том числе скрипт, который отправлял определённые данные для контрагентов на FTP-сервер 193.Х.Х.29. После непродолжительного изучения структуры компании были произведен поиск по файл-серверу, в папках системных и сетевых администраторов найдены текстовые файлы с паролями от различных серверов, сервисов и рабочих станций. Используя найденную информацию, мы получили максимальные права в сети компании.

 

Цели проведения тестирования на проникновение –выявление уязвимостей информационной безопасности корпоративной сети, а также анализ возможности их использования для осуществления несанкционированного доступа к конфиденциальной информации или нарушения работы обрабатывающих ее ИС

 

Для предотвращения такого развития событий специалистам ритейлера необходимо было, как минимум:

 

  • проверить цифровую подпись пакета vstpd-2.3.4 на сервере;
  • использовать стойкие пароли, разные на каждом сервере;
  • корректно настроить сетевое разграничение;
  • не хранить пароли в текстовых документах;
  • внедрить системы защиты.

 

Банк

 

Компания предоставила обычную учетную запись пользователя. В связи с высоким уровнем физической безопасности рассматривалась модель «серого ящика», т.е. инсайдера (нелояльного сотрудника), не обладающего знаниями о локальной сетевой инфраструктуре.

 

Пользователь, назовем его «PT_User», имел очень ограниченный доступ к серверам, находясь в пользовательском VLAN 5, вся конфиденциальная информация была в VLAN 2. Мы отобразили это на рис. 2.

 

Рис. 2. Внутренний периметр, пользовательский и серверный сегменты

 

Предположение о названиях VLAN было основано на IP-адресации, так или иначе на fileserv (192.168.2.6) находилась конфиденциальная информация, к которой необходимо было получить доступ. Мы провели достаточно известную атаку ARP-spoofing, отсутствие некоторых средств защиты и использование статических IP-адресов этому только способствовали. Суть атаки заключается в перехвате трафика между узлами, она основана на использовании недостатков протокола ARP. В результате мы перехватили различные хеши от паролей сотрудников (около 40).

 

В сети банка использовались устаревшие операционные системы: Windows 2003 (серверы), Windows XP (рабочие станции), а также LM-хеши, что максимально упростило процесс дешифровки перехваченных хешей пользователей. Дешифровка заняла менее 2 часов, мы также выяснили, что 3 хеша принадлежат системным администраторам с максимальными правами (доменный администратор) в сети.

 

Используя логины и дешифрованные пароли сотрудников (доменных администраторов), мы получили доступ ко всей конфиденциальной информации, находящейся на fileserv (192.168.2.6).

 

По итогу мы посоветовали ИБ-специалистам банка:

 

  • обеспечить как сетевую защиту, так и защиту на рабочих станциях от атаки типа arp-spoofing;
  • не использовать lm-хеши;
  • внедрить средства защиты, оповещающие о странных активностях рядовых пользователей.
Как объективно оценить свою защищенность
Как это ни банально звучит, проведите анализ рисков ИБ. Необязательно высчитывать сложные формулы для определения ущерба и вероятности. Все это по-научному красиво, но в большинстве случаев можно достичь требуемых результатов с помощью экспертного подхода. Определите для себя, кто ваш вероятный злоумышленник: интернет-пионер, профессиональный хакер, инсайдер или кто-то еще? Откажитесь от соблазна умозрительных заключений по поводу того, как вас будут ломать и как надо защищаться. Лучше периодически эмулируйте действия своего потенциального злоумышленника – не менее двух раз в год. Желательно, чтобы специалисты, которые вас ломают, тоже были разными, с незамыленным взглядом.

 

Инвестиционная компания

 

Компания хотела проверить возможность получения несанкционированного доступа к беспроводным сетям, в частности к Corporate-Wi-fi. Ее офис находился в одном из бизнес-центров. Для проведения тестирования на проникновения мы расположились в переговорной комнате. Использовав спецоборудование и ПО, мы обследовали точку доступа. Выяснилось, что используется WPA (Wi-Fi Protected Access), а также включен WPS (Wi-Fi Protected Setup) с PIN-кодом.

 

Мы выбрали атаку на точку доступа, использующую уязвимость WPS, – перебор PIN-кода. На момент проведения работ он состоял лишь из 8 цифр, в связи с особенностями протокола существовали всего 11000 вариантов.

 

Перебор занял около 3,5 часов, был найден WPAPSK (ключ) примерно такого вида – F6Fg32S-Z052;965u06JD.Использовав ключ, мы успешно подключились к точке доступа.

 

Во избежание подобных инцидентов ИБ-специалистам компании необходимо было отказаться от применения WPS, обновить прошивку оборудования, а также использовать для подключения к беспроводным сетям протокол EAP-TLS.

 

 

Во всех описанных кейсах найденные уязвимости были для компаний откровением, несмотря на кажущуюся простоту их обнаружения. Каждый считал, что его системы защищены и успешный взлом невозможен. Что это доказывает? Озвученный в самом начале статьи тезис о том, что в таких серьезных вещах, как безопасность, нельзя полагаться на внутренние ощущения. Необходимо постоянно тестировать защиту в «боевых» условиях. Другие варианты, к сожалению, ведут к инцидентам.

Уведомления об обновлении тем – в вашей почте

Скрытые угрозы становятся явными, или Полезный сервис пентест

С ростом числа информационных систем и увеличением объема кода повысилось и количество уязвимостей.

«Если ваш безопасник не умеет программировать, увольте его и наймите нормального»

Кирилл Ермаков, СТО компании QIWI, — личность известная. Кто-то знает Кирилла как жесткого спикера, способного озвучивать «неудобную» правду о рынке ИБ, кто-то — как создателя Vulners, яркого приверженца Bug Bounty и топового багхантера.

«Информационная безопасность — это страховка для бизнеса. Бизнес либо покупает эту страховку, либо нет»

Банковский сектор является одним из самых зрелых с точки зрения информационной безопасности (ИБ) в России. Финансовые институты стали своего рода полигоном для испытания новых мошеннических приемов и технологий.

Круглый стол: «Лаборатория Касперского», Positive Technologies, R-Vision, Group-IB, UserGate и «Гарда Технологии» об изменениях в ИБ-отрасли

Как изменилась роль ИБ-отрасли за последние месяцы? Какова кадровая ситуация в сфере информационной безопасности? Почему далеко не все отечественные ИБ-решения нуждаются в доработке? Как относиться к Open Source (спойлер — единого мнения нет)?

ИБ-ликбез в формате small talk. Под капотом — защита облаков, Deception, киберполигон

Пошаговый чек-лист для построения защиты облаков с нуля. Рекомендации, как выстроить Digital Risk Protection, и подборка Open Source утилит. Сравнение трех лидеров рынка автопентестов: PenTera, Cymulate, Cronus CyBot.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня