таких - Around Cyber

реклама
Как взламывают сети
государственных учреждений
Дмитрий Евтеев, руководитель отдела анализа
защищенности, Positive Technologies
Positive Technologies – это:
MaxPatrol – уникальная система анализа защищенности
и соответствия стандартам
Xspider – инновационный сканер безопасности
Positive Research – один из крупнейших
исследовательских центров в Европе
Positive Hack Days – международный форум по
информационной безопасности
Мы делаем:
• Более 20-ти крупномасштабных тестирований на
проникновение в год
• Анализ защищенности веб-приложений на потоке
• Постоянные исследования, публикации...
Наш опыт работ показывает, что…
1-2 дня достаточно чтобы «пройти» периметр и стать
пользователем внутренней сети
4 часов достаточно для получения максимальных
привилегий доступа, находясь во внутренней сети….
В течение 10 минут найдем как минимум 1 критическую
уязвимость в 8-ми из 10-ти сайтов госучреждений
Обладая достаточными привилегиями можно оставаться
незамеченными в информационной системе сколь
угодно долго
Каждый 5-й пользователь использует «слабый» пароль
Аттестат соответствия по 1Г… ISO… в основном не
влияет на перечисленные наблюдения выше (!)
Мифы ИБ или о чем не стоит говорить пойдет речь
Миф 1. Мои информационные ресурсы не представляют
интереса для злоумышленника поэтому мне можно не
защищаться
Миф 2. Мой пароль – только мой секрет; системные
администраторы используют стойкие пароли к взлому
хакерами
Миф 3. Мой внешний периметр не преодолим;
существует огромная разница между «внешним» и
«внутренним» злоумышленником
Миф 4. Государственная тайна надежно защищена
Миф 5. Злоумышленник через сеть Интернет не может
нанести какой-либо ощутимый ущерб в мире реальном
Миф 1.
Мои информационные ресурсы не представляют
интереса для злоумышленника поэтому мне можно не
защищаться
Миф 1. Кому нужны мои ресурсы (1/6)
Мотивация злоумышленника (в общепринятом смысле):
• $$$
• Just for fun 
• …
Мотивация злоумышленника (в отношении госучреждений):
• Отыскать информацию об НЛО
• Найти приключений на 5-ю точку
• Прославиться в сообществе
• …
• Персональные данные
• Гостайна
• Политический протест/Хактивизм
• $$$$
Миф 1. Кому нужны мои ресурсы (2/6)
Январь 2012.
Хакеры взломали сайт
президента Франции Николя
Саркози.
Ноябрь 2011.
В Чувашии предпринята попытка
взлома почтового сервера и
портала Госкомсвязьинформа.
Июнь 2011.
Хакеры взломали сайт сената США
и ЦРУ.
Март 2011.
Хакеры взломали компьютер
премьер-министра Австралии.
Август 2011.
Хакеры украли коммунальные
платежи жителей Ульяновска.
Миф 1. Кому нужны мои ресурсы (3/6)
Миф 1. Кому нужны мои ресурсы (4/6)
Сценарий для фана
1. В СМИ проскочила
новость об открытии
портала
2. Парни договорились и
пошли ломать
3. Посканировали…
4. Поигрались с
параметрами ‘or’1’--++,
<“script…
5. И как следствие…
Миф 1. Кому нужны мои ресурсы (5/6)
По данным компании Positive Technologies
• более 80% сайтов содержат критические уязвимости
• вероятность автоматизированного заражения страниц
уязвимого веб-приложения вредоносным кодом
составляет сегодня приблизительно 15-20%
http://ptsecurity.ru/analytics.asp
Миф 1. Кому нужны мои ресурсы (6/6)
Типовой результат оказания услуг анализа
защищенности веб-приложений для госучреждения
• Множество уязвимостей из TOP10 OWASP
• Нестойкие пароли во всех компонентах тестируемой
системы
• Отсутствие эффективного управления обновлениями
безопасности
• Отсутствие понимания имеющихся конфигураций
•…
Демонстрация
Вы и сами можете попробовать
sqlmap, Safe3 SQL Injector, SQL Power Injector,
Absinthe, bsqlbf, Marathon Tool, Havij, pysqlin, BSQL
Hacker, WITOOL, Sqlninja, sqlus, DarkMySQLi16,
mySQLenum, PRIAMOS, SFX-SQLi, DarkMySQL, ProMSiD
Premium, yInjector, Bobcat SQL Injection Tool,
ExploitMyUnion, Laudanum, Hexjector, WebRaider,
Pangolin ...
http://devteev.blogspot.com/2010/01/sql-injection.html
Миф 2.
Мой пароль – только мой секрет; системные
администраторы используют стойкие пароли к взлому
хакерами
Миф 2. Пароли, как пароли (1/7)
Более половины пользователей в Российских
компаниях используют цифровые пароли
http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf
Чем больше сотрудников в компании, тем выше
вероятность успешной атаки
ПРИМЕР: 1 из 100 при 1.000 = 10, а при 10.000.000 = 100.000
За последние три года (!) в ходе проведения
тестирований на проникновение не было ни одного
случая, когда не удавалось получить список всех
идентификаторов Active Directory с использованием
слабостей парольной защиты
Миф 2. Пароли, как пароли (2/7)
Миф 2. Пароли, как пароли (3/7)
Используется рекомендованная политика по заданию паролей
Пароль администратора такой системы? (совпадает с логином)
Миф 2. Пароли, как пароли (4/7)
Как действует злоумышленник?
• Осуществляет удаленный перебор паролей к
интерфейсам приложений (проверяет дефолты, по
словарю, комбинированный, целевой)
• После компрометации системы получает пароли
открытым текстом (!)
• После компрометации системы «сливает» базу с
идентификаторами пользователей для последующего
локального перебора
А оно ему надо?
Миф 2. Пароли, как пароли (5/7)
Миф 2. Пароли, как пароли (6/7)
Атакующий идет по пути наименьшего сопротивления!
3. Список действующих (!) идентификаторов
1. Список идентификаторов
2. Перебор
3. Верификация доступа;
перебор действующих идентификаторов
Миф 2. Пароли, как пароли (7/7)
Вы сами сообщите свой пароль…
www.cikrf.ru ~ www.clkrf.ru = WWW.ClKRF.RU
Демонстрация
Проверь свою парольную политику
Покупайте наших слонов 
Remote: Ncrack, thc-hydra, thc-pptp-bruter, medusa,
noname bruter…
Local: SAMInside , PasswordsPro, john the ripper,
cain&abel, LostPassword Passware Kit, Elcomsoft
<XXX> Password Recovery, noname…
Show: fgdump, Multi Password Recovery, Network
Password Recovery, NhT PassView, pstoreview…
Миф 3.
Мой внешний периметр не преодолим; существует
огромная разница между «внешним» и
«внутренним» злоумышленником
Миф 3. За (?!) периметром сети (1/7)
В помощь злоумышленнику...
• Огромная страна – огромные сети
• «Зоопарк» информационных систем
• Устаревшее железо/ПО повсеместно
• Много ответственных - мало толку
• Низкий уровень компьютерной грамотности
Миф 3. За (?!) периметром сети (2/7)
Миф 3. За (?!) периметром сети (3/7)
Типовое заблуждение – «свой»/«чужой»
• Иван Васильевич устраивается работать в госучреждение
• Размещает точку беспроводного доступа
• Хакер работает удаленно (100м от здания)
• После взлома происходит слив данных
• Последствия:
Хищение данных/базы данных
Миф 3. За (?!) периметром сети (4/7)
Через какие «дыры» войти?
• Ошибки сетевого разграничения доступа
• Рабочие места сотрудников
• Веб-сайты госучреждений
• Слабые пароли
• Сотрудники
• .....
Миф 3. За (?!) периметром сети (5/7)
Вы считаете, что ваш компьютер защищен от атак со
стороны сети Интернет?
Миф 3. За (?!) периметром сети (6/7)
Adobe, Java, веббраузеры…
Бесконечный 0day (!)
Миф 3. За (?!) периметром сети (7/7)
Демонстрация
Каждому по ботнету
msf, immunity canvas (VulnDisco SA, …)… - browser autopwn
Ad’pacK, CRiMEPAC, Dark Dimension, Ei Fiesta, Eleonore,
FirePack, Fragus, Golod (Go-load), Hybrid Botnet system,
IcePack, Impassioned Framework, justexploit, Liberty, Limbo,
LuckySploit, Lupit, Mariposa, MPack, MyPolySploits, n404,
NEON, NeoSploit NeoSploit, Nukesploit P4ck, Phoenix, Siberia,
Sniper_SA, SpyEye, Strike, T-IFRAMER, Tornado, Unique Pack,
WebAttacker, YES Exploit system, ZeuS, Zombie Infection…
Миф 4.
Государственная тайна надежно защищена
Миф 4. Все тайное, рано или поздно становится явным (с)
В основном – это:
• Целевая атака
• Совместная работа группы
высококвалифицированных людей (из разных
областей)
• Комплексный сценарий развития атаки
• Использование (набора) уязвимостей нулевого дня
• Активное использование недостатков человеческой
природы (халатное отношение к инструкциям
приводит к предсказуемым последствиям)
Миф 5.
Злоумышленник через сеть Интернет не может
нанести какой-либо ощутимый ущерб в мире
реальном
Миф 5. Когда наступит страшно (1/2)
СЕТЕВОЕ
ОБОРУДОВА
НИЕ
СЕТЕВОЕ
ОБОРУДОВА
НИЕ
РАБОЧИЕ
СТАНЦИИ
Внутренний пентест/аудит по
результатам пентеста
ФИЛИАЛ
Внутренний пентест/аудит
по результатам пентеста
WEBСЕРВЕР
СЕРВЕРЫ
СЕРВЕРЫ
ПОДОБРАН
ПАРОЛЬ
РАБОЧИЕ
СТАНЦИИ
ПРОВЕДЕНИЕ
ПРОВЕРОК
ГОЛОВНОЙ
ОФИС
MP SERVER
ПРОВЕДЕНИЕ
ПРОВЕРОК
Рабочее
место
аудитора
Миф 5. Когда наступит страшно (2/2)
Что можно сделать с информационной системой
госучреждения когда на руках есть все «ключи»?
•…
• Есть доступ к АСУ ТП…
•…
• Массовая диверсия (!)
•…
Кто виноват и что делать
Не нужно искать виновных, нужно заниматься ИБ
Стоит адекватно оценивать имеющиеся угрозы
Непрерывно совершенствовать процессы
обеспечения ИБ
Заниматься практической безопасностью, а не
только на бумаге
Спасибо за внимание!
devteev@ptsecurity.ru
http://devteev.blogspot.com
https://twitter.com/devteev
Скачать