Открыто, войдите! Или аудит безопасности непадецки

в 10:32, , рубрики: nat, smb, Киберпанк, проброс айпи, уязвимость

Начало марта. Лично для меня — не очень приятное время года. В воздухе стоит неприятный запах сырости, а ботинки наполняются влагой очень быстро, стоит только пройти по рыхлому мокрому снегу. Через снег проступают разноцветные отходы деятельности домашних животных, желто-оранжевые фильтры окурков, целлофановые пакеты и прочий мусор. В 9 часов утра это не так заметно, и внутренне я был рад, что обеденное время проведу в офисе. Полусонный я шел на работу и думал над задачей по оптимизации работы скрипта.

Сегодня я пришел на работу пораньше своих коллег. До их прихода оставалось около 20 минут и хотелось развлечься перед трудовым днем. Покапавший в подписках YouTube, ничего интересного не нашел и поэтому решил найти каталог в сети, где мы обычно обмениваемся файлами. Открыв Проводник, я навел указатель мыши в адресную строку и кликнул. Курсор приветливо заморгал и пригласил к вводу адреса каталога. Задумавшись и взглянув на стену я ввел случайные цифры и нажал клавишу Enter. Спустя 3 секунды из колонок щелкнул стандартный звук открытия папки Windows.

Переведя взгляд на монитор я увидел не привычную помойку файлов, а несколько папок с непривычными мне названиями — «1CBase», «Налоговая», «Образцы документов», «Ключи СОНО». Ну да, верно — IP 192.0.2.10. Это точно не локальная помойка 192.168.1.101.

Окинув взглядом офис, я зло улыбнулся. Мгновенно возникали и исчезали мысли:
— чувак, на этом можно заработать бабла;
— вот она слава — приходит неожиданно;
— нахрен я сюда залез.

Задумавшись, я понял, что не знаю, какую можно извлечь выгоду из бухгалтерских данных и баз 1C. Перебивая внутренний неизвестный страх, который то подбегал к глотке, то резко ударял в пятки, я принялся изучать файлы. Действительно, то был реальный компьютер бухгалтера компании «ИТ-Вольфрам Голд Казахстан», находящийся в городе Алматы. Зарплатные сметы в xls файлах, заявления от работников в rtf, сканы документов jpeg, ключи доступа к личным кабинетам налогоплательщика — это только вершина айсберга. Немного подумав, я скачал файл places.sqlite (история посещений Mozilla Firefox), изучил. Посмотрел сохраненные пароли и перечитал логи интернет-меседжеров. Круто, я чувствовал себя детективом. Создавалось впечатление, что я могу управлять финансовой стороной это фирмы или выражаясь по черному — слить бабла.

Но во мне жил добропорядочный гражданин Республики Казахстан. Среди документов в файле «Мое резюме.docx» я нашел мобильный телефон бухгалтера. Это была женщина 52-го года рождения. Амбициозная, коммуникабельная и жаждущая новых знаний, с огромным опытом работы в различных организациях. Зайдя на сайт оператора я отправил СМС:
u menja kljuchi nalogovoj i bazy prodam ili udalju skype profixakep

Мне опять показались оттенки детектива.

Через пару минут в skype написал некий Талгат. Я так и понял, что это по моему делу. Зашел коллега, я поприветствовал его и сделал вид, что уже очень занят работой. Я написал:
— Добрый день. Слушаю.

Была пауза минуты две. Мне ответили:

— По поводу смс… Доказательства есть?
— Да, ключи от СОНО, базы, документы. Я не злоумышленник, я просто покажу уязвимость.

Мне явно не хотели отвечать. Надавив тем, что я слил всю инфу на жесткий диск и получил доступ к интернет-банкингу, получил ответ:

— Компьютер старый, базы старые, инфа не актуальна.

Вдруг захотелось все это забыть и заняться работой. Я заблокировал Талгата и удалил его из контакт-листа. Skype я использовал с своими реальными данными, на жесткий диск ничего не загружал, боятся было нечего и я переключился на работу.

Придя домой и зайдя почитать ленту «ВКонтакте» я обнаружил личное сообщение от Талгата:

— Я вот смотрю, ты неплохой парень вроде, робототехникой увлекаешься и сайт у тебя полезный. Зачем бабушек пугаешь? Наш бухгалтер запаниковала, позвонила шефу. Шеф сказал писать заявление в органы. Я его уговорил не делать этого и объяснил, что ты просто кулхацкер — да еще и без анонимности(!) и просто не понимаешь, с чем связываешься. Тебе еще повезло, что я разобрался, в чем дело. Другие бы и разбираться не стали. Сразу в полицию. Больше так не делай! Занимайся полезными вещами.

Меня это сообщение задело. Вроде ошибку показал, признался, что нашел, а тут на тебе — полиция.

Началось общение:

Я: Дык я ж говорил, что не злоумышленник. Если раздел диска расшарен и виден любому.

Талгат: Не любому, а пользователям локальной сети.

Я: Это вы шефу рассказывайте. Я даже сканер не использовал, а случайно ввел в адресную строку ip адрес из диапазона казактелекомовских. Жалко в 7-ке нет telnet клиента, а putty лень было качать.

Талгат: Объясню проще. Никто в общий доступ файлы не выкладывал. Пользоваться уязвимостью — это все равно что взломать плохой замок. Это не дает тебе законных оснований взламывать дверь и красть чужое. Так?

Я: Как не выкладывал. Именно у файлов и был публичный доступ по протоколу SMB. Никакой авторизации. Практически любой участник сети интернет мог получить доступ. Другой бы слил инфу (а уж поверьте, есть куда) и ваша компания понесла бы убытки. И это не уязвимость. Это кривые руки сисадмина.

Талгат: Я говорил с шефом. Ничего тайного в базах у нас нет. Банкинг без карты не работает. Убытки не за что нести. А насчет кривых рук, кажется: я начинаю понимать, в чем дело…

Я: Но мы то знаем, в чем дело. Лучше один раз правильно сконфигурировать локалку и доступ к устройствам и разделам.

Талгат: Айпишники, белая сеть… Не думал, что все так запущено.

Я: Так что пусть ваш босс мне премию выписывает за аудит безопасности.

Талгат: Наш сисадм — это в общем-то, монтажник сетей. А я по проекту работаю как тупо юзер.

Я: Надо статью написать, а то все не могу инвайт на Хабр получить.

Талгат: Я поговорю с шефом на счет аудита, придется мне это разгребать теперь самому. Спасибо еще раз!


Я проснулся от того, что кто-то толкает меня за плечо. Приподняв голову, я увидел своего директора и понял, что опять уснул на рабочем месте, оставаясь вчера допоздна. Пора завязывать с оптимизацией и заняться следующими задачами.

Автор: IvanSCM

Источник

Поделиться

* - обязательные к заполнению поля