Как взламывают сети государственных учреждений

Как взламывают сети государственных учреждений

Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies

Positive Technologies – это:

MaxPatrol – уникальная система анализа защищенности и соответствия стандартам

Xspider – инновационный сканер безопасности

Positive Research – один из крупнейших исследовательских центров в Европе

Positive Hack Days – международный форум по информационной безопасности

Мы делаем:• Более 20-ти крупномасштабных тестирований на

проникновение в год• Анализ защищенности веб-приложений на потоке• Постоянные исследования, публикации...

Наш опыт работ показывает, что…

1-2 дня достаточно чтобы «пройти» периметр и стать пользователем внутренней сети

4 часов достаточно для получения максимальных привилегий доступа, находясь во внутренней сети….

В течение 10 минут найдем как минимум 1 критическую уязвимость в 8-ми из 10-ти сайтов госучреждений

Обладая достаточными привилегиями можно оставаться незамеченными в информационной системе сколь угодно долго

Каждый 5-й пользователь использует «слабый» пароль

Аттестат соответствия по 1Г… ISO… в основном не влияет на перечисленные наблюдения выше (!)

Мифы ИБ или о чем не стоит говорить пойдет речь

Миф 1. Мои информационные ресурсы не представляют интереса для злоумышленника поэтому мне можно не защищаться

Миф 2. Мой пароль – только мой секрет; системные администраторы используют стойкие пароли к взлому хакерами

Миф 3. Мой внешний периметр не преодолим; существует огромная разница между «внешним» и «внутренним» злоумышленником

Миф 4. Государственная тайна надежно защищена

Миф 5. Злоумышленник через сеть Интернет не может нанести какой-либо ощутимый ущерб в мире реальном

Миф 1.

Мои информационные ресурсы не представляют интереса для злоумышленника поэтому мне можно не

защищаться

Миф 1. Кому нужны мои ресурсы (1/6)

Мотивация злоумышленника (в общепринятом смысле):• $$$• Just for fun • …

Мотивация злоумышленника (в отношении госучреждений):• Отыскать информацию об НЛО• Найти приключений на 5-ю точку• Прославиться в сообществе• …• Персональные данные• Гостайна• Политический протест/Хактивизм• $$$$

Миф 1. Кому нужны мои ресурсы (2/6)

Январь 2012.Хакеры взломали сайт президента Франции Николя Саркози.

Март 2011.Хакеры взломали компьютер премьер-министра Австралии.

Июнь 2011.Хакеры взломали сайт сената США и ЦРУ.

Ноябрь 2011.В Чувашии предпринята попытка взлома почтового сервера и портала Госкомсвязьинформа.

Август 2011.Хакеры украли коммунальные платежи жителей Ульяновска.

Миф 1. Кому нужны мои ресурсы (3/6)

Миф 1. Кому нужны мои ресурсы (4/6)

Сценарий для фана

1. В СМИ проскочила новость об открытии портала

2. Парни договорились и пошли ломать

3. Посканировали…

4. Поигрались с параметрами ‘or’1’--++, <“script…

5. И как следствие…

По данным компании Positive Technologies

• более 80% сайтов содержат критические уязвимости

• вероятность автоматизированного заражения страниц уязвимого веб-приложения вредоносным кодом составляет сегодня приблизительно 15-20%

http://ptsecurity.ru/analytics.asp

Миф 1. Кому нужны мои ресурсы (5/6)

Миф 1. Кому нужны мои ресурсы (6/6)

Типовой результат оказания услуг анализа защищенности веб-приложений для госучреждения

• Множество уязвимостей из TOP10 OWASP

• Нестойкие пароли во всех компонентах тестируемой системы

• Отсутствие эффективного управления обновлениями безопасности

• Отсутствие понимания имеющихся конфигураций

• …

Демонстрация

Вы и сами можете попробовать

sqlmap, Safe3 SQL Injector, SQL Power Injector,

Absinthe, bsqlbf, Marathon Tool, Havij, pysqlin, BSQL

Hacker, WITOOL, Sqlninja, sqlus, DarkMySQLi16,

mySQLenum, PRIAMOS, SFX-SQLi, DarkMySQL, ProMSiD

Premium, yInjector, Bobcat SQL Injection Tool,

ExploitMyUnion, Laudanum, Hexjector, WebRaider,

Pangolin ...

http://devteev.blogspot.com/2010/01/sql-injection.html

Миф 2.

Мой пароль – только мой секрет; системные администраторы используют стойкие пароли к взлому

хакерами

Более половины пользователей в Российских компаниях используют цифровые пароли

http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf

Чем больше сотрудников в компании, тем выше вероятность успешной атаки

ПРИМЕР: 1 из 100 при 1.000 = 10, а при 10.000.000 = 100.000

За последние три года (!) в ходе проведения тестирований на проникновение не было ни одного случая, когда не удавалось получить список всех идентификаторов Active Directory с использованием слабостей парольной защиты

Миф 2. Пароли, как пароли (1/7)

Миф 2. Пароли, как пароли (2/7)

Используется рекомендованная политика по заданию паролей

Пароль администратора такой системы?(совпадает с логином)

Миф 2. Пароли, как пароли (3/7)

Как действует злоумышленник?• Осуществляет удаленный перебор паролей к

интерфейсам приложений (проверяет дефолты, по словарю, комбинированный, целевой)

• После компрометации системы получает пароли открытым текстом (!)

• После компрометации системы «сливает» базу с идентификаторами пользователей для последующего локального перебора

А оно ему надо?

Миф 2. Пароли, как пароли (4/7)

Миф 2. Пароли, как пароли (5/7)

Атакующий идет по пути наименьшего сопротивления!

1. Список идентификаторов

2. Перебор

3. Список действующих (!) идентификаторов

3. Верификация доступа;перебор действующих идентификаторов

Миф 2. Пароли, как пароли (6/7)

Вы сами сообщите свой пароль…www.cikrf.ru ~ www.clkrf.ru = WWW.ClKRF.RU

Миф 2. Пароли, как пароли (7/7)

Демонстрация

Проверь свою парольную политику

Покупайте наших слонов

Remote: Ncrack, thc-hydra, thc-pptp-bruter, medusa,

noname bruter…

Local: SAMInside , PasswordsPro, john the ripper,

cain&abel, LostPassword Passware Kit, Elcomsoft

<XXX> Password Recovery, noname…

Show: fgdump, Multi Password Recovery, Network

Password Recovery, NhT PassView, pstoreview…

Миф 3.

Мой внешний периметр не преодолим; существует огромная разница между «внешним» и «внутренним»

злоумышленником

Миф 3. За (?!) периметром сети (1/7)

В помощь злоумышленнику...• Огромная страна – огромные сети

• «Зоопарк» информационных систем

• Устаревшее железо/ПО повсеместно

• Много ответственных - мало толку

• Низкий уровень компьютерной грамотности

Миф 3. За (?!) периметром сети (2/7)

Миф 3. За (?!) периметром сети (3/7)

Типовое заблуждение – «свой»/«чужой»

• Иван Васильевич устраивается работать в госучреждение

• Размещает точку беспроводного доступа

• Хакер работает удаленно (100м от здания)

• После взлома происходит слив данных

• Последствия:

Хищение данных/базы данных

Миф 3. За (?!) периметром сети (4/7)

Через какие «дыры» войти?• Ошибки сетевого разграничения доступа

• Рабочие места сотрудников

• Веб-сайты госучреждений

• Слабые пароли

• Сотрудники

• .....

Миф 3. За (?!) периметром сети (5/7)

Вы считаете, что ваш компьютер защищен от атак со стороны сети Интернет?

Миф 3. За (?!) периметром сети (6/7)

Adobe, Java, веб-браузеры…

Бесконечный 0day (!)

Миф 3. За (?!) периметром сети (7/7)

Демонстрация

Каждому по ботнету

msf, immunity canvas (VulnDisco SA, …)… - browser autopwn

Ad’pacK, CRiMEPAC, Dark Dimension, Ei Fiesta, Eleonore,

FirePack, Fragus, Golod (Go-load), Hybrid Botnet system,

IcePack, Impassioned Framework, justexploit, Liberty, Limbo,

LuckySploit, Lupit, Mariposa, MPack, MyPolySploits, n404,

NEON, NeoSploit NeoSploit, Nukesploit P4ck, Phoenix, Siberia,

Sniper_SA, SpyEye, Strike, T-IFRAMER, Tornado, Unique Pack,

WebAttacker, YES Exploit system, ZeuS, Zombie Infection…

Миф 4.

Государственная тайна надежно защищена

Миф 4. Все тайное, рано или поздно становится явным (с)

В основном – это:• Целевая атака

• Совместная работа группы высококвалифицированных людей (из разных областей)

• Комплексный сценарий развития атаки

• Использование (набора) уязвимостей нулевого дня

• Активное использование недостатков человеческой природы (халатное отношение к инструкциям приводит к предсказуемым последствиям)

Миф 5.

Злоумышленник через сеть Интернет не может нанести какой-либо ощутимый ущерб в мире

реальном

Миф 5. Когда наступит страшно (1/2)

СЕРВЕРЫ

СЕТЕВОЕ ОБОРУДОВА

НИЕ

РАБОЧИЕ СТАНЦИИ

ГОЛОВНОЙ ОФИС

ФИЛИАЛРАБОЧИЕ СТАНЦИИ

СЕРВЕРЫ

СЕТЕВОЕ ОБОРУДОВА

НИЕ

MP SERVER

Рабочее место

аудитора

WEB-СЕРВЕР

ПОДОБРАН ПАРОЛЬ

ПРОВЕДЕНИЕ ПРОВЕРОК

ПРОВЕДЕНИЕ ПРОВЕРОК

Внутренний пентест/аудит по результатам пентеста

Внутренний пентест/аудит по результатам пентеста

Миф 5. Когда наступит страшно (2/2)

Что можно сделать с информационной системой госучреждения когда на руках есть все «ключи»?• …• Есть доступ к АСУ ТП…• …• Массовая диверсия (!)• …

Кто виноват и что делать

Не нужно искать виновных, нужно заниматься ИБ

Стоит адекватно оценивать имеющиеся угрозы

Непрерывно совершенствовать процессы

обеспечения ИБ

Заниматься практической безопасностью, а не

только на бумаге

Спасибо за внимание!

[email protected]://devteev.blogspot.comhttps://twitter.com/devteev