1 / 40

Как взламывают сети государственных учреждений

Как взламывают сети государственных учреждений. Дмитрий Евтеев , руководитель отдела анализа защищенности, Positive Technologies. Positive Technologies – это:. MaxPatrol – уникальная система анализа защищенности и соответствия стандартам Xspider – инновационный сканер безопасности

pooky
Download Presentation

Как взламывают сети государственных учреждений

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Как взламывают сети государственных учреждений Дмитрий Евтеев, руководитель отдела анализа защищенности, PositiveTechnologies

  2. Positive Technologies – это: • MaxPatrol – уникальная система анализа защищенности и соответствия стандартам • Xspider – инновационный сканер безопасности • Positive Research– один из крупнейших исследовательских центров в Европе • Positive Hack Days – международный форум по информационной безопасности • Мы делаем: • Более 20-ти крупномасштабных тестирований на проникновение в год • Анализ защищенности веб-приложений на потоке • Постоянные исследования, публикации...

  3. Наш опыт работ показывает, что… • 1-2 дня достаточно чтобы «пройти» периметр и стать пользователем внутренней сети • 4 часов достаточно для получения максимальных привилегий доступа, находясь во внутренней сети…. • В течение 10 минут найдем как минимум 1 критическую уязвимость в 8-ми из 10-ти сайтов госучреждений • Обладая достаточными привилегиями можно оставаться незамеченными в информационной системе сколь угодно долго • Каждый 5-й пользователь использует «слабый» пароль • Аттестат соответствия по 1Г… ISO… в основном не влияет на перечисленные наблюдения выше (!)

  4. Мифы ИБ или о чем не стоит говорить пойдет речь • Миф 1. Мои информационные ресурсы не представляют интереса для злоумышленника поэтому мне можно не защищаться • Миф 2. Мой пароль – только мой секрет; системные администраторы используют стойкие пароли к взлому хакерами • Миф 3. Мой внешний периметр не преодолим; существует огромная разница между «внешним» и «внутренним» злоумышленником • Миф 4. Государственная тайна надежно защищена • Миф 5. Злоумышленник через сеть Интернет не может нанести какой-либо ощутимый ущерб в мире реальном

  5. Миф 1. Мои информационные ресурсы не представляют интереса для злоумышленника поэтому мне можно не защищаться

  6. Миф 1.Кому нужны мои ресурсы (1/6) • Мотивация злоумышленника (в общепринятом смысле): • $$$ • Just for fun  • … • Мотивация злоумышленника (в отношении госучреждений): • Отыскать информацию об НЛО • Найти приключений на 5-ю точку • Прославиться в сообществе • … • Персональные данные • Гостайна • Политический протест/Хактивизм • $$$$

  7. Миф 1.Кому нужны мои ресурсы (2/6) Январь 2012. Хакеры взломали сайт президента Франции Николя Саркози. Март 2011. Хакеры взломали компьютер премьер-министра Австралии. Июнь 2011. Хакеры взломали сайт сената США и ЦРУ. Ноябрь 2011. В Чувашии предпринята попытка взлома почтового сервера и портала Госкомсвязьинформа. Август 2011. Хакеры украли коммунальные платежи жителей Ульяновска.

  8. Миф 1.Кому нужны мои ресурсы (3/6)

  9. Миф 1.Кому нужны мои ресурсы (4/6) • Сценарий для фана 1. В СМИ проскочила новость об открытии портала 2. Парни договорились и пошли ломать 3. Посканировали… 4. Поигрались с параметрами ‘or’1’--++, <“script… 5. И как следствие…

  10. Миф 1.Кому нужны мои ресурсы (5/6) • По данным компании Positive Technologies • более 80% сайтов содержат критические уязвимости • вероятность автоматизированного заражения страниц уязвимого веб-приложения вредоносным кодом составляет сегодня приблизительно 15-20% http://ptsecurity.ru/analytics.asp

  11. Миф 1.Кому нужны мои ресурсы (6/6) • Типовой результат оказания услуг анализа защищенности веб-приложений для госучреждения • Множество уязвимостей из TOP10 OWASP • Нестойкие пароли во всех компонентах тестируемой системы • Отсутствие эффективного управления обновлениями безопасности • Отсутствие понимания имеющихся конфигураций • …

  12. Демонстрация

  13. Вы и сами можете попробовать sqlmap, Safe3 SQL Injector, SQL Power Injector, Absinthe, bsqlbf, Marathon Tool, Havij, pysqlin, BSQL Hacker, WITOOL, Sqlninja, sqlus, DarkMySQLi16, mySQLenum, PRIAMOS, SFX-SQLi, DarkMySQL, ProMSiD Premium, yInjector, Bobcat SQL Injection Tool, ExploitMyUnion, Laudanum, Hexjector, WebRaider, Pangolin ... http://devteev.blogspot.com/2010/01/sql-injection.html

  14. Миф 2. Мой пароль – только мой секрет; системные администраторы используют стойкие пароли к взлому хакерами

  15. Миф 2.Пароли, как пароли (1/7) • Более половины пользователей в Российских компаниях используют цифровые пароли http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf • Чем больше сотрудников в компании, тем выше вероятность успешной атаки ПРИМЕР: 1 из 100 при 1.000 = 10, а при 10.000.000 = 100.000 • За последние три года (!) в ходе проведения тестирований на проникновение не было ни одного случая, когда не удавалось получить список всех идентификаторов Active Directory с использованием слабостей парольной защиты

  16. Миф 2.Пароли, как пароли (2/7)

  17. Миф 2.Пароли, как пароли (3/7) • Используется рекомендованная политика по заданию паролей • Пароль администратора такой системы? (совпадает с логином)

  18. Миф 2.Пароли, как пароли (4/7) • Как действует злоумышленник? • Осуществляет удаленный перебор паролей к интерфейсам приложений (проверяет дефолты, по словарю, комбинированный, целевой) • После компрометации системы получает пароли открытым текстом (!) • После компрометации системы «сливает» базу с идентификаторами пользователей для последующего локального перебора • А оно ему надо?

  19. Миф 2.Пароли, как пароли (5/7)

  20. Миф 2.Пароли, как пароли (6/7) 3. Список действующих (!) идентификаторов 1. Список идентификаторов • Атакующий идет по пути наименьшего сопротивления! 2. Перебор 3. Верификация доступа;перебор действующих идентификаторов

  21. Миф 2.Пароли, как пароли (7/7) • Вы сами сообщите свой пароль… www.cikrf.ru~www.clkrf.ru= WWW.ClKRF.RU

  22. Демонстрация

  23. Проверь свою парольную политику Покупайте наших слонов Remote: Ncrack, thc-hydra, thc-pptp-bruter, medusa, nonamebruter… Local: SAMInside , PasswordsPro, john the ripper, cain&abel, LostPasswordPassware Kit, Elcomsoft<XXX> Password Recovery, noname… Show: fgdump, Multi Password Recovery, Network Password Recovery, NhTPassView, pstoreview…

  24. Миф 3. Мой внешний периметр не преодолим; существует огромная разница между «внешним» и «внутренним» злоумышленником

  25. Миф 3.За (?!) периметром сети (1/7) • В помощь злоумышленнику... • Огромная страна – огромные сети • «Зоопарк» информационных систем • Устаревшее железо/ПО повсеместно • Много ответственных - мало толку • Низкий уровень компьютерной грамотности

  26. Миф 3.За (?!) периметром сети (2/7)

  27. Миф 3.За (?!) периметром сети (3/7) • Типовое заблуждение – «свой»/«чужой» • Иван Васильевич устраивается работать в госучреждение • Размещает точку беспроводного доступа • Хакер работает удаленно (100м от здания) • После взлома происходит слив данных • Последствия: Хищение данных/базы данных

  28. Миф 3.За (?!) периметром сети (4/7) • Через какие «дыры» войти? • Ошибки сетевого разграничения доступа • Рабочие места сотрудников • Веб-сайты госучреждений • Слабые пароли • Сотрудники • .....

  29. Миф 3.За (?!) периметром сети (5/7) Вы считаете, что ваш компьютер защищен от атак со стороны сети Интернет?

  30. Миф 3.За (?!) периметром сети (6/7) Adobe, Java, веб-браузеры… Бесконечный 0day (!)

  31. Миф 3.За (?!) периметром сети (7/7)

  32. Демонстрация

  33. Каждому по ботнету msf, immunity canvas (VulnDiscoSA, …)… - browser autopwn Ad’pacK, CRiMEPAC, Dark Dimension, Ei Fiesta, Eleonore, FirePack, Fragus, Golod (Go-load), Hybrid Botnet system, IcePack, Impassioned Framework, justexploit, Liberty, Limbo, LuckySploit, Lupit, Mariposa, MPack, MyPolySploits, n404, NEON, NeoSploitNeoSploit, Nukesploit P4ck, Phoenix, Siberia, Sniper_SA, SpyEye, Strike, T-IFRAMER, Tornado, Unique Pack, WebAttacker, YES Exploit system, ZeuS, Zombie Infection…

  34. Миф 4. Государственная тайна надежно защищена

  35. Миф 4.Все тайное, рано или поздно становится явным (с) • В основном – это: • Целевая атака • Совместная работа группы высококвалифицированных людей (из разных областей) • Комплексный сценарий развития атаки • Использование (набора) уязвимостей нулевого дня • Активное использование недостатков человеческой природы (халатное отношение к инструкциям приводит к предсказуемым последствиям)

  36. Миф 5. Злоумышленник через сеть Интернет не может нанести какой-либо ощутимый ущерб в мире реальном

  37. Миф 5.Когда наступит страшно (1/2)

  38. Миф 5.Когда наступит страшно (2/2) • Что можно сделать с информационной системой госучреждения когда на руках есть все «ключи»? • … • Есть доступ к АСУ ТП… • … • Массовая диверсия (!) • …

  39. Кто виноват и что делать • Не нужно искать виновных, нужно заниматься ИБ • Стоит адекватно оценивать имеющиеся угрозы • Непрерывно совершенствовать процессы обеспечения ИБ • Заниматься практической безопасностью, а не только на бумаге

  40. Спасибо за внимание!devteev@ptsecurity.ruhttp://devteev.blogspot.comhttps://twitter.com/devteev

More Related