На пути к созданию безопасного (веб)ресурса. Часть 3 — офис, сотрудники

Типичная работа сотрудника глазами самого сотрудника и глазами отдела безопасности

Первые две части данной темы были посвящены преимущественно веб-ресурсам. Эта часть более общая и не имеет как таковой привязки к профилю проекта (все же за исключением пары пунктов). Она освещает возможные, популярные векторы атак на сотрудников и на техническое обеспечение офиса компании (p.s. изначально хотел написать про security-тестирование, но решил «перепрыгнуть» эту тему в силу разных причин).

Автор не несет никакой ответственности за незаконное использование описанных методик и/или инструментов.

Ниже я вернусь к своему более привычному стилю изложения материала (рассмотрение ситуации со стороны атаки, а не защиты). И перечислю возможные (взятые из реальной жизни) векторы атак, которые могут привести к компрометации внутренних данных (предложенные решения — не совсем решения, а скорее способы, как можно уменьшить риски)

1 вектор. Уязвимости в плагинах.

Один из самых популярных (и успешных?) векторов атаки. Цитата новости на securitylab.ru от 25 февраля 2013 года:

В Microsoft сообщили, что компания стала жертвой хакерской атаки, похожей на те, с которыми столкнулись Facebook и Apple.

«В ходе нашего расследования мы обнаружили, что небольшое количество компьютеров, включая задействованные в подразделении Mac, были заражены вредоносными программами, о которых сообщали другие организации», — говорится в сообщении Microsoft.
…
Microsoft уже не первая компания, которая за последние несколько недель становится жертвой неизвестных хакеров. В частности ранее о кибернападениях заявляли Apple, Facebook, Twitter, а также крупные издания The New York Times и The Wall Street Journal.

Атаки на Facebook и Apple осуществлялись через эксплуатацию уязвимостей в платформе Java от компании Oracle. В Microsoft заявили, что нападение на их системы осуществлялось таким же образом.

Не стоит думать, что похожие атаки обязательно требуют высококвалифицированных спецов. В настоящее время очень много эксплойтов под браузеры и плагины к ним доступно в metasploit, а так же существует простейший модуль — Browser Autopwn, который запускает веб-сервер на нужном нам порту и поочередно пытается проэкспулатировать всевозможные уязвимости в браузере клиента. Типичный запуск:

use server/browser_autopwn 
set LHOST <ip address>
set URIPATH /
run

Browser Autopwn в действии

Решение: отключить наиболее часто уязвимые плагины у сотрудников (хотя бы java).

2 вектор. Уязвимости на сайте проекта

«Вектор капитана». Довольно очевидно, но факт, как только атакующий получил RCE — ресурс и его данные скомпрометированы. Но я бы хотел рассмотреть случай, когда, например, удалось увести только аккаунт админа/модератора/тех. поддержки через (например) XSS и есть доступ в админку. Здесь же (в админке) не должно быть никакого функционала для произвольной заливки файлов. Можно нагуглить тучу тем (drupal|wordpress|phpbb залить шелл), когда атакующий получил админский аккаунт, а шелл залить не имеет возможности.

Решение: security-тестирование, review-кода, регулярные пентесты и ограниченный функционал даже для «самых главных» админов.

3 вектор. Атаки на сотрудников через уязвимости на сторонних ресурсах

Собираются логины сотрудников (с форума, переписка тех. поддержки и т.п.) и выясняются все сервисы, где они зарегистрированы (например через поиск с кавычками по логину). Выбираются наиболее подверженные взлому ресурсы, взламываются, сливаются пароли и в случае успеха получаем пароль нужных нам сотрудников (сотрудника). Пробуем этот пароль к его почте/рабочему аккаунту и т.п.

Решение: как такого решения нет, но можно реализовать фичу на проекте, которая запрещает использовать сотрудникам пароль, например, из этой базы (2.2 млн паролей, 19,2 мб). Или попробовать использовать этот wordlist (176,6 мб, основан на утечках паролей из LinkedIN, Gamigo, Adobe, Blizzard, eHarmony, Geissens, NVidia, Stratfor, Project Whitefox, и разных утечек опубликованных на Pastebin).

Хотя, может все проще?

4 вектор. Приложения в письмах

Ставим цель — заразить компьютер сотрудника. Один из вариантов — смотрим, кто ищет работу (уже другую работу) или вообще тем или способом ожидает получить письмо. Составляем нужный текст, говорим — в аттаче тестовое задание. Но нет, не подумайте, там не будет банального исполняемого файла, там будет .doc документ, при открытии которого скачается и выполнится нужный бинарник (если повезет, конечно). А сгенерить такой .doc файл можно, например, эксплойтом доступным в паблике — www.exploit-db.com/exploits/24526/ (или подобным).

5 вектор. WiFi

Выбираем сотрудника, составляем список кафе/заведений, куда он ходит со своим ноутбуком/планшетом и т.п. устройством и использует WiFi. Приходим вместе с ним попить кофе (и садимся случайно поближе) или ждем, пока он выйдет из заведения и сядет в автобус/метро. Подсаживаемся не с пустыми руками, с точкой доступа, сигнал у которой будет выше, чем у той, что работает в заведении. И задаем тот же самый SSID, к которому сейчас подключен сотрудник. Отключить сотрудника от WiFi-сети — не такая уж и проблема, для того чтобы он переподключился уже к нам (так как наш сигнал будет выше). Ну и весь его трафик в руках атакующего. Или пробуем MitM прямо внутри WiFi сети, если это возможно (а чаще всего возможно). Или сканируем его девайс и пытаемся найти уязвимости в сетевых сервисах. Для этих целей отлично подойдет хакерский планшет на базе Nexus 7.

Pwn pad

6 вектор. WiFi. Again

Взлом WiFi сети — дело довольно популярное и чаще всего не требует специфичных навыков от атакующего. Если это WEP — то все просто. Если это WPA/WPA2 с WPS — то алгоритм действий по этой статье. Ну если это WPA/WPA2 без WPS — то «снимаем» handshake и или сами разворачиваем инфраструктуру для перебора, или можно заюзать готовые сервисы (300 млн паролей за 20 минут и за $17). Так что подразумеваем ситуацию, что в офисе есть WiFi (редко встретишь офисы, где его нет) и он уже взломан.

6.1 Первое — «общий» MitM: пароли, почта, переписка и т.д. От arp-спуфинга можно защититься галкой в настройках роутера:

6.2 Если для раздачи WiFi используется роутер, можно попробовать заюзать в нем уязвимости (http://routerpwn.com) и поменять DNS'ы на свои, что позволит пропускать трафик через «свои» сервера.
6.3 Целевая атака на одного из сотрудников, чтобы не наделать много шума. Сделать редирект и сфишить одну из страниц (вконтакте/почта) и заполучить нужные данные.

7 вектор. Злобные SMS

Многие подумали — я не юзаю WiFi, кроме как дома! Только мобильный интернет. Но не составит труда скрафтить смс с конфигурацией интернета и выслать её на телефон сотрудника. Многие просто автоматом нажимают «сохранить». А там уже чужие шлюзы, чужие DNS'ы.

8 вектор. Атакуем извне

Попытаться проникнуть в сеть офиса извне — вполне возможно (хороший пример взлом Valve). Здесь нет определенного алгоритма, все зависит от знаний атакующего. Но за какой-никакой шаблон можно взять мою статью почти 2х летней давности — Аудит. «Черный ящик».

9 вектор. Устройства для взлома

Если есть возможность непосредственно повзаимодействовать с каким-либо устройством сотрудника, то можно использовать вполне доступный "Teensy". Программируемый девайс, который при подключении выполнит то, что нам нужно. Так как он опознается как HID, то не возникнет никаких проблем с опознаванием устройства системой.

Тулкит Kautilya, который поможет сгенерить нужный payload для Teensy

10 вектор. USB накопителями с вирусами

Вспомним историю со Stuxnet, который успешно добрался до ядерных Иранских проектов через «флэшки». Подбрасывают в офисе, транспорте или как-нибудь еще, это уже дело социальной инженерии.

Выше я привел то, что смог вспомнить при написании этой статьи. Естественно, это не все варианты, многие варианты выше могут комбинироваться, изменяться, адаптироваться под текущие условия. Но, надеюсь, вы смогли оценить самые различные аспекты безопасности в сфере рассматриваемой темы, а так же понять, что в целом многие технически сложные атаки не требуют высокой квалификации.

И на последок небольшое видео, которое демонстрирует:

• MitM (ARP-спуфинг) в пределах WiFi сети и перехват аккаунта Вконтакте (пренебрежение использования https);
• Взлом роутера D-Link DIR-320 с последней прошивкой через Fing и routerpwn.com;

Обе демонстрации записаны с бюджетного андроида за ~5 тысяч. Акцент на том, что рассматриваемые атаки не требует никаких знаний в области ИБ и всё доступно из коробки).

Серии:

• На пути к созданию безопасного веб-ресурса. Часть 1 — серверное ПО
• На пути к созданию безопасного веб-ресурса. Часть 2 — разработка
• На пути к созданию безопасного (веб)ресурса. Часть 3 — офис, сотрудники

Автор: BeLove

Источник