Привет!
Правила игры простые: я рассказываю историю про аудит безопасности, а вы оцениваете, правда это или нет. Под спойлером — ответ.
1. «Суперпроводимость»
Проводим экспертный аудит в крупном производственном комплексе. Последнее время заказчики часто выбирают дистанционный формат сбора информации. Но в данном случае заказ был очный, то есть мы с аудиторской командой приезжаем на проходную, дальше планируется, что мы будем ходить по территории и искать всякие радости для внутреннего злоумышленника. И вот мы стоим и готовимся получить пропуск, а в это время по всему производству отключается электричество. Заодно останавливается вся производственная линия, что по масштабам проблемы примерно равняется дню П. Ни о каком аудите речи, конечно, уже нет. Мы около часа сидим на проходной, пытаемся дописаться до наших пентестеров (вдруг они «постарались»), а потом узнаём, что причиной инцидента стала полевая мышь: она залезла в щитовую и закоротила собой электрику.
Правда. Такое случается суперредко, но тут звёзды сошлись. Завод старый, его построили примерно в 40-х. С тех пор не особо думали про отказоустойчивость и второй контур питания, а редкие сбои «лечились» силой воли электрика. Из-за особенностей пищевого производства грызунов довольно много, и они перебирают все места, куда не надо залезать. Этой мыши не повезло особенно. Ответ
2. «Новогодняя ёлка»
Тест на проникновение. Задача — получить доступ из корпоративного сегмента в технологический, по возможности — к серверам АСУ ТП. Неделю мы его колупали, а потом прошли. Оформили доказательства, отправили заказчику. Но скриншоты в отчёте с чёрным фоном из терминала Kali с перечислениями уязвимостей и подробным описанием оказались для заказчика не очень убедительными: в систему защиты были вложены деньги, всего этого просто не может быть! В очередной раз получив комментарий «Это к ничему страшному не приведет», наш пентестер психанул и нарисовал лампочками на пульте управления SCADA-системой (в тестовом сегменте) ёлочку. Вопросов у заводчан сразу не осталось.
Ответ
Не совсем правда. Это была не ёлочка, а довольно короткое русское слово. Лампочек хватило. Заводчане оценили, вопросов больше не было.
3. «С 1 апреля, Олег!»
Идёт аудит промышленного предприятия. На BI-сервере в планировщике задач находим «логическую бомбу». Судя по датам скриптов, коллеги решили оставить подарок одному из админов на 1 апреля. Работало это следующим образом: при заходе на сервер под определённой учётной записью он просто уходил в ребут. 1 апреля давно прошло, а задача так и осталась активной и работала на время аудита уже два года. Её просто забыли удалить. Удаляли вместе с админами с неохотой: всё-таки шутка хорошая.
Ответ
Правда. Это одна из площадок промышленной компании. Когда комплекс большой, серверов много, можно годами не заходить на них, типа «работает — не трогай».
4. «Гарантированное уничтожение»
В проекте по социальной инженерии нашей задачей было получить конфиденциальные сведения о клиентах банка через различные векторы: попытки проникновения на территорию, звонки работникам, отправку писем и многое другое. Во время изучения территории компании выяснилось, что работники банка просто выкидывают в мусорный бак анкеты на получение кредитов, заявки и прочие документы с персональными данными. Эти данные очень пригодились бы нам в отчёте. Подумав, что делать, мы дали 100 рублей парням, которые искали стеклотару и металл в мусорных баках, чтобы они достали нам нужные бумаги.
Правда. Хотя и существует огромное количество способов безопасного уничтожения — от бумажных коробов «покорми бобра» до шредеров и контрактов на уничтожение документов, — всё равно встречаются компании, которые хотят на этом сэкономить. А некоторые даже проявляют фантазию. Я знаю одного оператора связи, который с крематорием договаривался. Ответ
5. «Ветер перемен»
Задача проекта — развернуть удостоверяющий центр для заказчика, а заодно и получить все нужные лицензии. Проектная команда хорошо выполнила требования регуляторов и подготовила заказчика к проверке. Сотрудник регулятора на аудите просто не знал, где найти нарушение. В итоге, чтобы не уйти совсем ни с чем, проверяющий записал в протоколе, чтобы мы… поставили на окна кабинета москитные сетки, потому что ветер может унести конфиденциальные документы. Сетки поставили, документы пообещали убирать в шкафы, проект успешно закрыли.
Ответ
Правда. Есть виды деятельности, которые лицензируются. Приезжает проверяющий, задача которого — найти нарушение. Наша задача — сдать без нарушений. Если он ничего не найдёт, то будет ощущение, что он съездил зря и работу выполнил плохо, поэтому находит всегда. Отдельный уровень атаки на проверяющего — иногда оставлять очень маленькое заметное нарушение, чтобы он от безысходности не копал дальше или закончил быстрее.
6. «Plants vs. Zombies»
Аудит крупного агропромышленного комплекса. Мы проверяем базовые настройки безопасности в технологическом сегменте. Определяем выборку SCADA-систем, авторизуемся на выбранном сервере… и на рабочем столе нас встречает ярлычок игры «Plants vs. Zombies». На вопрос: «Зачем это здесь?» — специалисты только пожали плечами: «Скучно иногда...» Запустили игру, а там неплохой рейтинг. Удаляли местные админы с указания руководства под грустные взгляды техперсонала: теперь заново придётся всё проходить.
Ответ
Правда. Таких случаев — куча. В технологическом сегменте нет Интернета, поэтому версия даже не браузерная. Пользователь часто (!) сидит под админом, поэтому может поставить чёрт знает что. Были прецеденты и с пиратским софтом с торрентов с вредоносом на борту.
7. «Автозамена»
Задача проекта — разработать комплект организационно-распорядительной документации для клиента. Для части документов уже были хорошие наработки, и наш аудитор из проектной команды решил их переиспользовать, так как сфера деятельности компаний была одинаковой. Разница была в том, что у компании, наработки которой были использованы, во главе был «Президент», а у той, в которую переносились данные, — «Генеральный директор». Воспользовавшись автозаменой, аудитор заменил всех «Президентов» на «Генеральных директоров» и, довольный, отправил документы клиенту. Работа сделана! Через некоторое время получил ответ, один из комментариев звучал: «%username%, спасибо! Но в Российской Федерации всё еще Президент, а не Генеральный директор, поправьте, пожалуйста!»
Да, правда. Он просто не знал историю про энциклонгов.Ответ
8. «Амнистия»
Мясоубойное производство. Во время внутреннего тестирования на проникновение удалось получить доступ к системам, отвечающим за производственную линию. Вот только пока мы сдавали результаты, у заказчика каким-то образом пошёл слух, что в результате нашего успешного пентеста хакер может спасать животных и выпускать их на волю. Представьте: открываются двери, и счастливые животные убегают в закат, а не попадают в колбасу.
Слух дошёл до самых верхов, всё руководство ждало хайпа и пруфа, как мы это сделали. Была собрана отдельная встреча для демонстрации этой возможности с технологом предприятия и ключевыми руководителями... В течение часа мы прошлись по всей производственной цепочке и возможностям скомпрометированной системы.
Ответ
Неправда. Полученные права позволяли навредить производственному процессу, но вот двери «в закат» открывались другой системой. Животным наши пентестеры не помогли, а вот стать клиенту защищённее — точно да. Кстати, доступ мы получили, потому что подрядчик оставил кое-какие файлы в общем доступе и забыл их удалить после приёмки системы в эксплуатацию. Дальше мы сами не помним, как пошёл слух. Потом объясняли технологу, как это работает. Точнее, как это не работает.
9. «Международная кибератака»
Внешнее тестирование на проникновение крупного производственного комплекса. Мы в рамках пентеста атакуем внешние веб-ресурсы. Заказчик решил сделать «слепое» тестирование, то есть специалисты по реагированию на инциденты с его стороны не знали про наш контракт. Руководство хотело на практике посмотреть, как среагируют специалисты. В ходе проекта нам помогал в том числе коллега из Белоруссии. Специалисты группы реагирования зафиксировали мощные атаки на инфраструктуру и решили действовать по всем правилам: помимо попыток блокировки, сообщили об инциденте во все необходимые органы, и уже спустя сутки к нашему коллеге приехала опергруппа задерживать «международного хакера». Пришлось долго объяснять, что всё по закону.
Ответ
Правда. Во-первых, мы не скрываем своих IP, потому что заказчику во время такого теста всё же нужно знать, где наша работа, а где может быть параллельная реальная атака. Поэтому при подписании документов мы всегда даём перечень своих IP-адресов, с которых будет проводиться пентест.
Во-вторых, да, при подписании контракта заказчик может не оповещать свой отдел ИБ — такая классическая проверка для поддержания отдела в форме.
В-третьих, отдел ИБ заказчика отработал правильно:
подал запрос провайдеру, затем — в правоохранительные органы. Те, увидев атаки с айпишников не в РФ, уже готовы были рапортовать о предотвращении
международной кибератаки.
10. «Чтиво перед сном»
Руководитель службы ИБ заказчика, которому мы оказывали сервисные услуги, обнаружил в одном из коридоров утерянную флешку. После стандартной проверки на вирусы всеми доступными способами на автономном ноутбуке (а вдруг «социальная инженерия») на носителе обнаружился довольно большой архив. Закралось подозрение: возможно, кто-то решил вынести базу клиентов или иные важные данные, но не донёс и просто потерял носитель. Архив оказался запаролен, после чего подозрение на инцидент ещё больше усилилось. Файл передали нам, мы поставили перебирать пароли. Через день мы стали счастливыми обладателями примерно сотни детских книжек, которые сотрудник, видимо, скачал и нёс к себе домой. Некоторые книги мы потом читали сами.
Ответ
Правда. Вот только на таких флешках, как правило, находятся более интересные вещи: инфицированный зарплатный реестр или самораспаковывающийся архив с фото с корпоратива. Мы сами часто разбрасываем такие на проектах по пентестам.
11. «Без вахтёра»
Экспертный аудит промышленной компании. Задача — получить доступ на территорию производства. Заметили, что гардероб, где сотрудники оставляют вещи, находится в общей зоне до СКУД и никак не контролируется. Работники сами вешают свои вещи и сами забирают, а потом проходят через турникеты. В обеденное время они часто оставляли свои пропуска на внутреннем подоконнике, когда снимали вещи с вешалки, после чего забирали их обратно. Я притворился работником компании и провёл некоторое время в гардеробе во время обеда. С помощью дубликатора RFID-карт получилось быстро скопировать пропуск и пройти на территорию предприятия. Компании после аудита пришлось заменять тип пропусков и добавлять в СКУД функцию «фейсконтроль».
Ответ
Неправда в этот раз. Некоторые современные RFID-карты защищены от replay-атак, поэтому скопировать их, а потом сэмулировать и попробовать пройти не получится. Так случилось в этот раз, хотя обычно мы имеем дело с простыми картами, работающими на низкочастотных протоколах, которые слабо защищены.
12. «Посмотри там сам»
Производство, работы по пентесту. Есть перечень целевых сегментов с чёткими ограничениями на работы. Однако это всё осложняется тем, что инженер-сетевик — в отпуске. Никто не знает, куда подключать ноутбук специалиста. В итоге открыли коммутационный шкаф, дали схему сети и оставили нас самих разбираться. Через три дня подключились куда нужно, выполнили работы, сами согласовали отчёт и сами всё поправили. В итоге и заказчику помогли, и в понимании сетей потренировались.
Ответ
Правда. Такое случается нечасто, и в данном случае скорее была организационная проблема. Работы шли на заводе с разными юрлицами. Работы по одной АСУ ТП прошли штатно. У второго заказчика — схожая инфраструктура на той же площадке, но ответственный специалист — в отпуске. Вызвонили, он подключился по удалёнке в АСУ ТП, открыл нашему специалисту схему сети и пошёл обратно в отпуск. Из пяти заложенных рабочих дней три было потрачено на то, чтобы понять, куда воткнуться и с чем работать, потому что другие специалисты на местах подсказать не могли.
13. «Яблоки»
Проект по «социалке». В далёком северном городе был согласован с заказчиком вектор атаки «Road Apple», когда «разбрасываются» флешки с вредоносным ПО. Лучше всего подходили принтеры с usb-разъёмом: в них мы и оставили носители. После первого дня атаки все флешки пропали. Мы обрадовались и разложили новые. Они тоже пропали. На третий день — аналогично. За всё это время подключений до нашего сервера не было. Стали смотреть со службой ИБ по камерам — оказалось, что все флешки забирала себе уборщица: она стала ещё одним рубежом защиты от «социалки».
Ответ
Правда. С этих флешек печатают документы и часто забывают их в принтерах. Как выяснилось, их там годами тырила уборщица. Что она с ними делала, я не знаю.
14. «Among Us»
В проектах по тестированию на проникновение мы стараемся придерживаться реалистичных моделей нарушителя. Выезды на объекты к заказчику — не исключение. Был проект у крупного ритейлера по анализу внутренней сети. Мы купили фирменную футболку этой самой сети. Надев её и использовав пару нехитрых приёмов социальной инженерии, удалось проникнуть… в служебные помещения магазина и поставить там устройство для удалённого взаимодействия с корпоративной сетью заказчика.
Ответ
Неправда, всё оказалось проще. В данном случае проникновение в корпоративную сеть заказчика было через служебную Wi-Fi-сеть, для которой удалось подобрать пароль. Все работы мы сделали с детской площадки под «грибком» прямо рядом с магазином.
15. «Мордой в пол!!!»
Некоторые заказчики уделяют много внимания физической безопасности, что иногда вызывает казусы при проведении работ. Один раз нам нужно было проверить безопасность системы на полевом уровне. Речь идёт о ряде устройств, размещённых вне основного физического контура заказчика. Сотрудник заказчика сопроводил, открыл помещение и уехал для решения своих вопросов. Наш специалист остался работать. Через некоторое время подъезжает машина, начинается суматоха, и вот на нашего специалиста уже направлен автомат. Спустя несколько нервных и крайне напряжённых минут удалось дозвониться до представителя заказчика и разрядить обстановку.
Ответ
Неправда, но это распространённая байка в среде пентестеров. Но когда ты работаешь в серверной под присмотром автоматчиков на очень важных аудитах — вот тогда действительно неуютно.
16. «Аццкий пароль»
Проект по защите персональных данных, станция переливания крови. Вместе с главным врачом в ночи доустанавливаем платы доверенной загрузки на компьютеры пользователей. Остался один отдельно стоящий локальный АРМ. Пользователь работает под админом, пароля никто не знает.
Звоним в ночи работнику — просим сообщить пароль. Мужчина долго мнётся, говорит, что сам сейчас приедет, всё введёт и прочее. Уверяем, что в этом необходимости нет, сами всё быстро сделаем. На той стороне трубки — глубокий вздох… Пароль «Розовая кошечка 777» в английской раскладке. Стараемся не смеяться, говорим «спасибо», завершаем работы.
Ответ
Правда. На самом деле в рамках работ по социальной инженерии каких только паролей мы не видели. Этот еще нормальный. Те вообще цензура бы не пропустила.
Уверен, что у каждого, кто работает в области кибербезопасности, есть не одна история, которой хочется поделиться. Главное в нашем деле — назвать ее байкой, и рассказать как анекдот.
Александр Морковчин
Руководитель группы департамента консалтинга центра информационной безопасности компании «Инфосистемы Джет»
Спасибо Владимиру Ротанову, руководителю группы практического анализа защищенности «Инфосистемы Джет», за помощь в написании поста.
Автор:
JetHabr
