Test lab v.9: impossible or nothing

в 10:37, , рубрики: Penetration test lab, Блог компании DefconRU, Блог компании PentestIT, информационная безопасность

Test lab v.9: impossible or nothing - 1

Коллеги и друзья! Рады представить новую, 9 версию лабораторий тестирования на проникновение, которая представляет из себя виртуальную компанию «CyBear 32C», занимающуюся разработкой различных систем и приложений, в том числе систем обеспечения ИБ. Учитывая специфику деятельности, «CyBear 32C» хорошо защищена от хакерских атак, а ее компрометация потребует качественной подготовки в области практической ИБ.

Во всех наших лабораториях заложены реальные актуальные уязвимости, присущие современным компаниям той или иной сферы деятельности. Например, в предыдущей, 8-й лаборатории, нами была развернута виртуальная инфраструктура среднестатического банка, содержащая присущие банку системы и сервисы: веб-приложения, ORACLE, почтовый сервис, embedded устройства, а также защитные средства IPS/WAF.

Сценарии наших лабораторий не носят надуманный характер, мы учитываем современные тенденции компрометации сетей и систем, выбираем специализацию или отрасль деятельности и реализуем в виртуальной среде. Уязвимости, которые мы закладываем в эти системы, обнаружены во время «боевых» тестов на проникновение (мы их используем в обезличенном виде), либо были использованы злоумышленниками. Самые главные аспекты — реалистичность и актуальность.

Новая лаборатория будет представлять собой виртуальную компанию «CyBear 32C», занимающуюся разработкой различных систем и приложений, в том числе систем обеспечения ИБ. Учитывая специфику деятельности, «CyBear 32C» хорошо защищена от хакерских атак, а ее компрометация потребует качественной подготовки в области практической ИБ.

В наших лабораториях мы стараемся отражать актуальные угрозы и риски компрометации информационных систем. В последнее время участились случаи атак как профессиональных кибер-преступных групп, так и хакеров-одиночек на технологические компании, связанные с разработкой систем обеспечения информационной безопасности, средств защиты и разработки кибер-оружия.

Известная кибергруппа Hacking Team, которая специализируется на разработке и продаже специального шпионского ПО для правоохранительных органов и спецслужб различных государств стала объектом кибератаки, в результате которой для общественности стал доступен архив с 400ГБ различной конфиденциальной информации. В сеть утекла личная переписка Hacking Team с их клиентами, заключенные договора на продажу своих кибер-изделий различным государствам, а также большое количество другой информации, связанной с деятельностью компании.

Казалось бы, такие компании лучше других должны быть подготовлены к нападению и отражению хакерских атак, но на практике это далеко не так:

Сайт AvSoft Technologies, компании, занимающейся разработкой антивирусного ПО под брендом AVG, был атакован хакерами. Злоумышленники разместили на веб-сайте AvSoft код, который загружал на ПК жертв вредоносное ПО.

Даже высокотехнологичные компании, специализирующиеся в разработке средств противодействия хакерам могут быть успешно (хотя и частично) атакованы:

Атака на корпоративную сеть Kaspersky Lab была обнаружена весной 2015 года. Согласно предварительным результатам расследования, «Лаборатория Касперского» была не единственной мишенью атакующих, уже обнаружены и другие жертвы в западных, ближневосточных и азиатских странах (скорее всего, пострадавших гораздо больше). «Способ мышления и тактика группы Duqu 2.0 на целое поколение опережают любые кибератаки и вредоносные кампании, встречавшиеся ранее», —пишет «Лаборатория Касперского».

Злоумышленники успешно атакуют компании, специализирующиеся на отражении атак и защите данных:

Значительно более резонансным событием стала атака на антивирусную компанию BitDefender. При этом главной причиной шумихи в СМИ стал даже не сам факт взлома, а то, что пароли пользователей, которые удалось похитить злоумышленникам, хранились в открытом виде.

Несмотря на то, что информация о взломе BitDefender попала в СМИ 31 июля, сама атака была осуществлена раньше. Так 24 июля пользователь под ником DetoxRansome обратился к BitDefender с требованием выплатить ему $15 тыс… В противном случае, он грозился опубликовать базу «слитых» учетных записей.

Специализация компании в разработке систем отражения атак абсолютно не означает что сама эта компания хорошо защищена:

Компания Cyberoam (Sophos) подтвердила кибер-атаку, направленную на свои системы, в результате которой возникла утечка конфиденциальной информации, такая как личные данные клиентов и партнеров.

Компании, ответственные и специализирующиеся на хранении данных должны тщательно обеспечивать защиту своей инфраструктуры, однако, на практике, это далеко не так:

В официальном блоге LastPass появилось уведомление, указывающее на то, что сервера компании были скомпрометированы. Подозрительные действия в сети компании были замечены в минувшую пятницу.

Команда LastPass утверждает, что зашифрованные данные пользователей в безопасности, однако расследование показало, что злоумышленники получили доступ к email, напоминанию пароля, соли и хешам аутентификации пользователей.

Зачастую разрабатываемые и используемые решения сами представляют огромную угрозу безопасности:

Исследователи безопасности из группы Zero (созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей), раскрыли информацию о критической уязвимости (CVE-2016-2208) в антивирусном ПО Symantec. При проверке специально оформленных файлов в формате «PE» можно инициировать переполнение буфера и организовать выполнение кода в системе.

Поскольку ПО Symantec использует драйвер-фильтр для перехвата всех операций ввода-вывода в системе, атака может быть произведена путем направления в систему-жертву эксплоита практически любым путем — скажем, в виде почтового сообщения или ссылки на файл.

Эти и множество других случаев компрометации security-вендоров дали нам направление развития сюжета 9-й лаборатории, в которой мы предоставим всем желающим попытать свои силы во взломе технологической компании, сотрудники которой готовы к отражению хакерских атак и считают свою инфраструктуру неуязвимой.

Участнику, выступающему в роли внешнего нарушителя, необходимо произвести поиск и эксплуатацию уязвимостей, преодолевая различные системы защиты: антивирусы, WAF и Firewall, системы контроля доступа и т.д. Основное отличие лабораторий «Test lab» от CTF-соревнований заключается в реалистичном сюжете: компрометация одного узла может позволить развить атаку на остальные элементы сети.

Лаборатории созданы с целью легальной проверки и закрепления навыков тестирования на проникновение, каждая из них содержит уникальный сюжет. Принять участие в лаборатории может любой желающий абсолютно бесплатно.

Старт новой лаборатории состоится сегодня, 20 мая 2016 в 21:00 (GMT+3). Присоединяйтесь!

Автор: DefconRU

Источник

Поделиться новостью

* - обязательные к заполнению поля