Как взламывают сети государственных учреждений Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies
Feb 23, 2016
Как взламывают сети государственных учреждений
Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies
Positive Technologies – это:
MaxPatrol – уникальная система анализа защищенности и соответствия стандартам
Xspider – инновационный сканер безопасности
Positive Research – один из крупнейших исследовательских центров в Европе
Positive Hack Days – международный форум по информационной безопасности
Мы делаем:• Более 20-ти крупномасштабных тестирований на
проникновение в год• Анализ защищенности веб-приложений на потоке• Постоянные исследования, публикации...
Наш опыт работ показывает, что…
1-2 дня достаточно чтобы «пройти» периметр и стать пользователем внутренней сети
4 часов достаточно для получения максимальных привилегий доступа, находясь во внутренней сети….
В течение 10 минут найдем как минимум 1 критическую уязвимость в 8-ми из 10-ти сайтов госучреждений
Обладая достаточными привилегиями можно оставаться незамеченными в информационной системе сколь угодно долго
Каждый 5-й пользователь использует «слабый» пароль
Аттестат соответствия по 1Г… ISO… в основном не влияет на перечисленные наблюдения выше (!)
Мифы ИБ или о чем не стоит говорить пойдет речь
Миф 1. Мои информационные ресурсы не представляют интереса для злоумышленника поэтому мне можно не защищаться
Миф 2. Мой пароль – только мой секрет; системные администраторы используют стойкие пароли к взлому хакерами
Миф 3. Мой внешний периметр не преодолим; существует огромная разница между «внешним» и «внутренним» злоумышленником
Миф 4. Государственная тайна надежно защищена
Миф 5. Злоумышленник через сеть Интернет не может нанести какой-либо ощутимый ущерб в мире реальном
Миф 1.
Мои информационные ресурсы не представляют интереса для злоумышленника поэтому мне можно не
защищаться
Миф 1. Кому нужны мои ресурсы (1/6)
Мотивация злоумышленника (в общепринятом смысле):• $$$• Just for fun • …
Мотивация злоумышленника (в отношении госучреждений):• Отыскать информацию об НЛО• Найти приключений на 5-ю точку• Прославиться в сообществе• …• Персональные данные• Гостайна• Политический протест/Хактивизм• $$$$
Миф 1. Кому нужны мои ресурсы (2/6)
Январь 2012.Хакеры взломали сайт президента Франции Николя Саркози.
Март 2011.Хакеры взломали компьютер премьер-министра Австралии.
Июнь 2011.Хакеры взломали сайт сената США и ЦРУ.
Ноябрь 2011.В Чувашии предпринята попытка взлома почтового сервера и портала Госкомсвязьинформа.
Август 2011.Хакеры украли коммунальные платежи жителей Ульяновска.
Миф 1. Кому нужны мои ресурсы (3/6)
Миф 1. Кому нужны мои ресурсы (4/6)
Сценарий для фана
1. В СМИ проскочила новость об открытии портала
2. Парни договорились и пошли ломать
3. Посканировали…
4. Поигрались с параметрами ‘or’1’--++, <“script…
5. И как следствие…
По данным компании Positive Technologies
• более 80% сайтов содержат критические уязвимости
• вероятность автоматизированного заражения страниц уязвимого веб-приложения вредоносным кодом составляет сегодня приблизительно 15-20%
http://ptsecurity.ru/analytics.asp
Миф 1. Кому нужны мои ресурсы (5/6)
Миф 1. Кому нужны мои ресурсы (6/6)
Типовой результат оказания услуг анализа защищенности веб-приложений для госучреждения
• Множество уязвимостей из TOP10 OWASP
• Нестойкие пароли во всех компонентах тестируемой системы
• Отсутствие эффективного управления обновлениями безопасности
• Отсутствие понимания имеющихся конфигураций
• …
Демонстрация
Вы и сами можете попробовать
sqlmap, Safe3 SQL Injector, SQL Power Injector,
Absinthe, bsqlbf, Marathon Tool, Havij, pysqlin, BSQL
Hacker, WITOOL, Sqlninja, sqlus, DarkMySQLi16,
mySQLenum, PRIAMOS, SFX-SQLi, DarkMySQL, ProMSiD
Premium, yInjector, Bobcat SQL Injection Tool,
ExploitMyUnion, Laudanum, Hexjector, WebRaider,
Pangolin ...
http://devteev.blogspot.com/2010/01/sql-injection.html
Миф 2.
Мой пароль – только мой секрет; системные администраторы используют стойкие пароли к взлому
хакерами
Более половины пользователей в Российских компаниях используют цифровые пароли
http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf
Чем больше сотрудников в компании, тем выше вероятность успешной атаки
ПРИМЕР: 1 из 100 при 1.000 = 10, а при 10.000.000 = 100.000
За последние три года (!) в ходе проведения тестирований на проникновение не было ни одного случая, когда не удавалось получить список всех идентификаторов Active Directory с использованием слабостей парольной защиты
Миф 2. Пароли, как пароли (1/7)
Миф 2. Пароли, как пароли (2/7)
Используется рекомендованная политика по заданию паролей
Пароль администратора такой системы?(совпадает с логином)
Миф 2. Пароли, как пароли (3/7)
Как действует злоумышленник?• Осуществляет удаленный перебор паролей к
интерфейсам приложений (проверяет дефолты, по словарю, комбинированный, целевой)
• После компрометации системы получает пароли открытым текстом (!)
• После компрометации системы «сливает» базу с идентификаторами пользователей для последующего локального перебора
А оно ему надо?
Миф 2. Пароли, как пароли (4/7)
Миф 2. Пароли, как пароли (5/7)
Атакующий идет по пути наименьшего сопротивления!
1. Список идентификаторов
2. Перебор
3. Список действующих (!) идентификаторов
3. Верификация доступа;перебор действующих идентификаторов
Миф 2. Пароли, как пароли (6/7)
Вы сами сообщите свой пароль…www.cikrf.ru ~ www.clkrf.ru = WWW.ClKRF.RU
Миф 2. Пароли, как пароли (7/7)
Демонстрация
Проверь свою парольную политику
Покупайте наших слонов
Remote: Ncrack, thc-hydra, thc-pptp-bruter, medusa,
noname bruter…
Local: SAMInside , PasswordsPro, john the ripper,
cain&abel, LostPassword Passware Kit, Elcomsoft
<XXX> Password Recovery, noname…
Show: fgdump, Multi Password Recovery, Network
Password Recovery, NhT PassView, pstoreview…
Миф 3.
Мой внешний периметр не преодолим; существует огромная разница между «внешним» и «внутренним»
злоумышленником
Миф 3. За (?!) периметром сети (1/7)
В помощь злоумышленнику...• Огромная страна – огромные сети
• «Зоопарк» информационных систем
• Устаревшее железо/ПО повсеместно
• Много ответственных - мало толку
• Низкий уровень компьютерной грамотности
Миф 3. За (?!) периметром сети (2/7)
Миф 3. За (?!) периметром сети (3/7)
Типовое заблуждение – «свой»/«чужой»
• Иван Васильевич устраивается работать в госучреждение
• Размещает точку беспроводного доступа
• Хакер работает удаленно (100м от здания)
• После взлома происходит слив данных
• Последствия:
Хищение данных/базы данных
Миф 3. За (?!) периметром сети (4/7)
Через какие «дыры» войти?• Ошибки сетевого разграничения доступа
• Рабочие места сотрудников
• Веб-сайты госучреждений
• Слабые пароли
• Сотрудники
• .....
Миф 3. За (?!) периметром сети (5/7)
Вы считаете, что ваш компьютер защищен от атак со стороны сети Интернет?
Миф 3. За (?!) периметром сети (6/7)
Adobe, Java, веб-браузеры…
Бесконечный 0day (!)
Миф 3. За (?!) периметром сети (7/7)
Демонстрация
Каждому по ботнету
msf, immunity canvas (VulnDisco SA, …)… - browser autopwn
Ad’pacK, CRiMEPAC, Dark Dimension, Ei Fiesta, Eleonore,
FirePack, Fragus, Golod (Go-load), Hybrid Botnet system,
IcePack, Impassioned Framework, justexploit, Liberty, Limbo,
LuckySploit, Lupit, Mariposa, MPack, MyPolySploits, n404,
NEON, NeoSploit NeoSploit, Nukesploit P4ck, Phoenix, Siberia,
Sniper_SA, SpyEye, Strike, T-IFRAMER, Tornado, Unique Pack,
WebAttacker, YES Exploit system, ZeuS, Zombie Infection…
Миф 4.
Государственная тайна надежно защищена
Миф 4. Все тайное, рано или поздно становится явным (с)
В основном – это:• Целевая атака
• Совместная работа группы высококвалифицированных людей (из разных областей)
• Комплексный сценарий развития атаки
• Использование (набора) уязвимостей нулевого дня
• Активное использование недостатков человеческой природы (халатное отношение к инструкциям приводит к предсказуемым последствиям)
Миф 5.
Злоумышленник через сеть Интернет не может нанести какой-либо ощутимый ущерб в мире
реальном
Миф 5. Когда наступит страшно (1/2)
СЕРВЕРЫ
СЕТЕВОЕ ОБОРУДОВА
НИЕ
РАБОЧИЕ СТАНЦИИ
ГОЛОВНОЙ ОФИС
ФИЛИАЛРАБОЧИЕ СТАНЦИИ
СЕРВЕРЫ
СЕТЕВОЕ ОБОРУДОВА
НИЕ
MP SERVER
Рабочее место
аудитора
WEB-СЕРВЕР
ПОДОБРАН ПАРОЛЬ
ПРОВЕДЕНИЕ ПРОВЕРОК
ПРОВЕДЕНИЕ ПРОВЕРОК
Внутренний пентест/аудит по результатам пентеста
Внутренний пентест/аудит по результатам пентеста
Миф 5. Когда наступит страшно (2/2)
Что можно сделать с информационной системой госучреждения когда на руках есть все «ключи»?• …• Есть доступ к АСУ ТП…• …• Массовая диверсия (!)• …
Кто виноват и что делать
Не нужно искать виновных, нужно заниматься ИБ
Стоит адекватно оценивать имеющиеся угрозы
Непрерывно совершенствовать процессы
обеспечения ИБ
Заниматься практической безопасностью, а не
только на бумаге
Спасибо за внимание!
[email protected]://devteev.blogspot.comhttps://twitter.com/devteev