В любой корпоративной сети используется множество разнообразных устройств и приложений, которые должен знать системный администратор. А вот потенциальным злоумышленникам знать о них нежелательно. Какую информацию можно собрать о нашей сети, не используя технические средства?
Чем грозит знание злоумышленника о вашей сети? Идентификация сетевых ресурсов является важным подготовительным этапом перед осуществлением взлома. Если хакер знает, что ваш корпоративный портал работает под управлением IIS 7 и Windows Server 2008, то ему необходимо найти уязвимости, которым подвержены данные программные продукты. Для этого проще всего поискать в базах уязвимостей. В случае если найти ничего не удалось, то особо продвинутый взломщик может попытаться самостоятельно найти «лазейку», собрав у себя точную копию взламываемой системы и попробовав самостоятельно проанализировать код. Для этого есть специальные инструменты, которых мы коснемся в этой статье. Проведя анализ уязвимостей «оффлайн», хакер сможет быстро провести атаку и внедрить в атакуемую систему вредоносный код. В данной статье мы рассмотрим такой малоизученный, но важный аспект, как социальная инженерия. А в последующих статьях подробно рассмотрим, как выявить работающие в сети машины и запущенные на них службы. А также посмотрим, как злоумышленник может использовать полученную информацию.
«Разбираем» XSpider Читатель может задаться вопросом, зачем мне это нужно, у меня же есть специализированный сканер уязвимостей, например, XSpider или MaxPatrol. Однако стоит заметить, что коммерческие сканеры стоят недешево, и их используют только для сканирования наиболее важных узлов в сети. Например, тех, что участвуют в обработке персональных данных в соответствии с ФЗ №152. В своих статьях я предлагаю разобраться, какие принципы положены в основу сканеров уязвимостей. Эта информация поможет грамотно защитить сетевые ресурсы от удаленной идентификации злоумышленником, например, «тонко» настроить межсетевые экраны и системы обнаружения вторжений. К тому же сеть легче защитить, если понимаешь логику потенциального взломщика.
В качестве примеров в статье будут использоваться только бесплатные решения, что позволит без лишних затрат поддерживать приложения в защищенном состоянии. Особое внимание при удаленном анализе следует уделить ресурсам, доступ к которым возможен из Интернета. В глобальной сети сканирование поставлено на поток. «Зомби-сети», состоящие из зараженных вредоносным кодом компьютеров, периодически проводят сканирование подсетей на наличие уязвимых сервисов. Поэтому надо периодически проверять, какие ваши ресурсы видны «снаружи».
Социальная инженерия Говоря об информационной безопасности, все вспоминают про антивирусы, межсетевые экраны и прочие технические средства. А вот про людей, работающих в компании, часто забывают. А ведь массу полезной информации хакер может почерпнуть из общения с сотрудниками компании и из открытых источников, не прибегая при этом к помощи вредоносных программ и других технических средств. Кстати, уязвимости, связанные с человеческим фактором, не получится обнаружить с помощью XSpider. Конечно, работа с персоналом - это прежде всего задача HR-департамента (отдела кадров). Однако сотрудники отделов ИТ и ИБ должны также участвовать в этом процессе. В компании должна быть разработана политика информационной безопасности, подробнее об этом документе мы поговорим далее в этой статье.
Исходные данные Прежде всего условимся о том, что известно злоумышленнику. Будем считать, что в самой компании у него нет никаких знакомых-инсайдеров, которые могут сообщить интересующую информацию. Также условимся, что хакер не нарушает закон. Он не использует всевозможные средства прослушивания, «жучки», скрытые камеры и прочее. В рамках этой статьи мы не будем использовать никакие специализированные утилиты. Вся информация будет добываться исключительно из открытых источников.
Пусть он знает только название компании, сеть которой ему необходимо взломать. Кто-то посчитает, что этого недостаточно для того, чтобы начать взлом, и будет неправ. Введя в поисковой системе название компании, злоумышленник быстро найдет ее официальный сайт. А реклама, как известно, двигатель торговли, и для связи могут использоваться не только стандартные телефон и e-mail, но и более современные ICQ и Skype. В контексте удаленного анализа сети нам наиболее интересны электронная почта и Skype. Также на корпоративном портале, помимо контактной информации, как правило, есть раздел «Вакансии». Начнем сбор информации с этого пункта.
Анализируем вакансии В разделе «Вакансии» могут оказаться описания требований к соискателям, в том числе и для ИТ-специалистов. В случае если такого раздела нет, можно попробовать поискать вакансии данной компании на сайтах по поиску работы. В описании вакансии системного администратора очень часто указывается наименование оборудования, операционных систем и приложений, с которыми придется работать. Рассмотри пример описания реальной вакансии в одной компании:
Требуется сетевой администратор в большую компанию ~1000 человек Филиалы компании в регионах по всей стране и бывшему СНГ. Обязанности и требования: - Поддержка сетевых устройств: коммутаторов, маршрутизаторов и межсетевых экранов Checkpoint, Cisco, 3COM. - Мониторинг работы сетевых устройств и каналов связи на базе решений HPOpenView. - Обеспечение сетевого взаимодействия с филиалами. - Взаимодействие с провайдером услуг связи в процессе всего жизненного цикла предоставляемой услуги связи. - Обеспечение максимально быстрого восстановления работоспособности сетевой инфраструктуры.
Из этого на вид безобидного описания злоумышленник может сделать следующие выводы: в сети компании порядка 1000 машин, сеть географически распределенная, значит, используется VPN или арендованы каналы. В качестве средств защиты скорее всего применяются Checkpoint, маршрутизация и коммутация на Cisco и 3Com. Для подключения к Интернету, вероятно, используются каналы связи только одного провайдера. Пока все достаточно размыто, осталось много вопросов. Для их уточнения взломщику необходимо пообщаться со специалистами. Для этого проще всего воспользоваться той контактной информацией, которая предоставлена на сайте, например, позвонить и поинтересоваться опубликованными на сайте вакансиями. Многие компании в целях экономии времени начальное собеседование проводят по телефону. Таким образом, специалисты по персоналу отсеивают явно неподходящих кандидатов. Злоумышленнику из общения с HR-менеджером вряд ли удастся получить много полезной технической информации, разве что уточнить количество пользователей и филиалов, да и то не всегда. Зато в процессе телефонного интервью злоумышленник может показать себя квалифицированным специалистом в требуемой области и быть приглашенным на собеседование.
Беседа как источник информации На собеседования с квалифицированным кандидатом зачастую приглашают большое число специалистов (сетевых администраторов, инженеров по серверам, безопасников). Тут для злоумышленника большой простор для деятельности. В процессе дискуссии можно ненавязчиво узнать число филиалов. Кроме того, потенциального работника будут «гонять» прежде всего по тем технологиям, которые используются в корпоративной сети. Например, системные администраторы компании интересуются знаниями соискателя в области серверных ОС Windows и Active Directory. Соискатель рассказывает про Windows 2003, затем про Windows 2008, между делом упоминая RODC и преимущества его использования. На что собеседующие отвечают, что пока не все контроллеры используют Windows 2008 и уровень домена пока Windows 2003. Далее обсуждается тема миграции доменов, вследствие чего выясняется, что все филиалы находятся в одном домене, поддомены не используются. В процессе собеседования «берут слово» сете-вики и безопасники. Они спрашивают кандидата, с чем и как приходилось ему работать? Какие модели оборудования использовались для межсетевого экранирования? Какие протоколы использовались для динамической маршрутизации? Какие корпоративные антивирусы знакомы соискателю? Внедрял ли он систему управления событиями безопасности?
Анализируем результат В результате беседы выясняется, что в сети используется «зоопарк» решений. В некоторых филиалах применяются программные межсетевые экраны на базе Linux и iptables. В качестве коммутаторов в филиалах задействованы неуправляемые. Домен один для всех филиалов. Уровень домена Windows 2003. В филиалах установлены DC. Следовательно, все контроллеры домена равноправные, и взламывать можно сеть филиала, которая защищена хуже. Также понятно, что централизованный мониторинг событий сейчас не ведется и компания только готовится к внедрению ArcSight. Количество рабочих мест в филиалах также уточнено. Начальник ИТ-отдела в ходе вашей беседы посетовал, что во многих филиалах отсутствуют системные администраторы и обслуживанием имеющихся систем занимается кто-то из бухгалтеров или менеджеров. Из этого можно сделать вывод, что уровень технической грамотности в филиалах намного ниже и атаку будет провести значительно легче.
Кстати, многие руководители ИТ-отделов любят проводить экскурсии в серверную для своих потенциальных работников. А еще зачастую собеседования проводятся непосредственно в тех же комнатах, где и сидят ИТ-специалисты. Очень часто в таких помещениях на стенах висят планы сети с IP-адресацией. За полчаса, которые обычно длится собеседование, профессионал запомнит данную схему. Кроме всего прочего, у злоумышленника после беседы останутся контакты тех, с кем он общался. Это могут быть визитки или письмо с приглашением на собеседование. Чем больше имен, тем больше дополнительной информации сможет собрать злоумышленник. Информацию о данных специалистах можно поискать в Интернете, а точнее, в социальных сетях. Например, в сети «Мой круг» многие специалисты размещают свои резюме, где описывается их профессиональная деятельность. Ознакомившись с такими резюме, злоумышленник сможет получить более точное представление, о том, в каких технологиях наиболее силен данный специалист. Например, если в сети используется ОС Linux в качестве межсетевых экранов, а все администраторы компании являются специалистами по Windows, то можно предположить, что iptables настроен не лучшим образом.
Немного о средствах связи Допустим, компания не нуждается в технических специалистах. Злоумышленник может воспользоваться телефоном или Skype. Например, можно позвонить в компанию и попросить соединить с системным администратором. Если секретарь соединила, дальше под видом предложения о продаже расходных материалов и оргтехники можно попытаться выяснить все про используемое в сети оборудование и ПО. Способ, конечно, не самый эффективный, но лучше чем ничего. Дальше вспоминаем про Skype и ICQ. Посредством Skype злоумышленник может попытаться узнать IP-адрес корпоративного шлюза. Для этого хакер может отправить файл по Skype или ICQ. Далее с помощью пакетного анализатора отследить, на какой IP- адрес уходят пакеты. Правда, этот способ срабатывает не всегда, иногда в адресе получателя оказывается другой сервер Skype.
Электронная почта Мы уже говорили о корпоративном портале, где обязательно должен быть контактный адрес электронной почты. Задача злоумышленника, отправив на этот адрес письмо, обязательно получить ответ. Затем необходимо открыть полученное письмо в исходном виде, включая заголовки. Received: from mxfront29.mail.yandex.net ([127.0.0.1]) by mxfront29.mail.yandex.net with LMTP id 6Axma6HQ for; Wed, 1 Feb 2012 12:06:10 +0400 Received: from mxl.xxxx.ch (mxl.xxxx.ch [194.209.xx.xx]) by mxfront29.mail.yandex.net (nwsmtp/Yandex) with ESMTP id 696C41Pv-696Wxxxx; Wed, 1 Feb 2012 12:06:10 +0400 X-Yandex-Front: mxfront29.mail.yandex.net X-Yandex-TimeMark: 1328083570 X-Yandex-Spam: 1
Из приведенного заголовка можно узнать IP-адрес почтового сервера отправителя. Хотя его также можно выяснить и другим способом, о котором поговорим далее. Также последние три строки сообщают о том, какая система использовалась в качестве антиспама. В данном случае это антиспам Яндекса. Кстати, получить свойства письма можно в веб-интерфейсе бесплатной почтовой службы. Иногда в свойствах почтовых сообщений может присутствовать более интересная информация, например, внутренний IP-адрес отправителя. Вообще NAT должен скрывать внутреннюю адресацию, так как эта информация тоже интересна злоумышленнику.
Доменное имя Располагая названием корпоративного сайта, злоумышленник может собрать ряд интересующих его сведений с помощью общедоступного сетевого ресурса. Зайдем на страницу http://www.ripn.net/nic/whois. В строке запроса необходимо указать доменное имя интересующей компании. Вот пример результата поиска информации по доменному имени:
Мы получили информацию о DNS-записях, зарегистрированных для данного домена. Можно воспользоваться еще одним, русскоязычным сервисом - leader.ru. На этом сайте в поле Whois необходимо указать доменное имя. Здесь результат более интересный. Помимо тех сведений, которые нам выдал предыдущий портал, мы также получили сведения о диапазоне адресов, владельце и контактной информации, включающей в себя имя и фамилию ответственного специалиста, адрес электронной почты и телефон организации. Полученные сведения можно также использовать для сбора информации теми методами, которые описывались ранее в этой статье. Например, поискать информацию об ответственном специалисте в социальных сетях.
Атака на клиента Пока мы рассматривали ситуацию, когда злоумышленник приходил на собеседование для сбора необходимой информации. Однако возможна и обратная ситуация, когда компания-конкурент приглашает на собеседование чужого сотрудника и различными способами пытается получить необходимую информацию. Например, можно заманить на собеседование системного администратора и попросить для подтверждения его профессиональных навыков рассказать о топологии той сети, которую он обслуживает. Также можно попросить его показать документы, которые приходилось разрабатывать. Таким образом можно собрать информацию о сети для последующей атаки.
Срочный звонок Вообще социальная инженерия - это очень мощный инструмент: при правильном умении вести разговор (вспомните разведчика Штирлица) собеседник сам расскажет вам обо всем, что нужно. Для начала расскажу небольшую историю про известного взломщика Кевина Митника. Он умудрялся похищать информацию даже из тех сегментов сети, которые не были подключены к Интернету. Делалось это следующим образом. Допустим, отдел А имеет подключение к Интернету, а отдел Б той же компании не имеет. Митник, располагая адресной книгой компании, звонил сотруднику отдела Б, представляясь работником из А, и вежливо просил прислать ему факс с интересующей информацией, объясняя это тем, что он находится вне офиса и ему срочно нужны эти данные. Кто-то отказывал, но рано или поздно обязательно находился сотрудник, который выполнял просьбу хакера. Хотя этой истории уже не один десяток лет, подобный способ получения информации до сих пор практикуется. Например, вам на мобильный телефон звонит некто, кого не очень хорошо слышно, представляется реально существующим сотрудником и просит сообщить, например, контактную информацию вашего руководителя или кого-либо из других сотрудников. Объясняется это тем, что звонящий находится вне офиса и ему срочно нужна данная информация. Многие в такой ситуации выполняют просьбу. А ведь это может оказаться злоумышленник. Правильным действием в такой ситуации является вежливый отказ в предоставлении информации. Например, можно сказать, что вам плохо слышно и попросить перезвонить попозже.
В идеале об этом звонке необходимо сообщить в службу безопасности компании. Если же таковая отсутствует или по каким-либо личным причинам вы не хотите к ним обращаться, то сообщите хотя бы своему непосредственному руководителю. Кстати, служба безопасности часто проводит подобные «учения», звоня своим сотрудникам от имени неизвестных. Если требуемая информация была получена, сотрудника ждет наказание, если ничего узнать не удалось, но при этом сообщили в службу безопасности, то сотрудника поощряют. Многие сочтут подобные провокации аморальными, однако этому методу обучают не только в учебных заведениях соответствующих силовых структур, но и на различных курсах по информационной безопасности. Действия пользователей в подобных ситуациях должны быть четко прописаны в корпоративной политике безопасности, которую подписывает каждый сотрудник при принятии на работу.
Промежуточные итоги Прежде чем перейти к рассмотрению вопросов, связанных с защитой от данного типа атак, предлагам подвести промежуточные итоги. Заметим, что собранная информация будет активно использоваться для дальнейшего исследования сети в следующих статьях. В результате анализа сети было выявлено следующее: - используется домен Active Directory Windows 2003; - известно точное число филиалов; - количество пользователей в каждой из подсетей; - IP-адресация и модели используемого оборудования. Как можно защититься от описанных угроз?
Повышайте бдительность Защититься от атак, осуществляемых с помощью социальной инженерии, не так просто, как от технических. Основная угроза исходит не от плохо защищенного оборудования или неправильно настроенного приложения, а от людей, работающих с этими системами. Необходимо в разумных пределах ограничить ту информацию, которую может получить злоумышленник посредством социальной инженерии. Например, в случае телефонных звонков секретарь должна обязательно спрашивать, кто звонит и по какому вопросу. Это позволит отсечь часть попыток сбора информации. Хотя, конечно, более продвинутые злоумышленники без труда обойдут такой «фейс-контроль». Что касается объявлений о вакансиях, публикуемых на корпоративном сайте, то лучше указать несколько различных технологий и моделей оборудования в качестве требований, чтобы усложнить взломщику задачу сбора информации. Пример с собеседованием, конечно, является не самым распространенным вариантом сбора информации, так как большинство хакеров работают удаленно, они скорее будут использовать сканеры портов и генераторы пакетов, чем общаться с представителями взламываемой организации напрямую. Однако не стоит забывать и о таком способе сбора информации.
Собеседования с соискателями нужно проводить в переговорных комнатах. А для проверки профессиональных навыков лучше не полениться и придумать несколько «задач», которые не связаны с текущей сетевой архитектурой компании. Вообще наилучшим решением описанных проблем является внимательное отношение к той информации, которую может злоумышленник получить. В процессе технического собеседования, задавая вопросы соискателю, следует стараться избегать ответов на его вопросы относительно имеющейся инфраструктуры сети - например, говорить, что у вас несколько сотен рабочих мест, не уточняя более подробно. Не стоит забывать, что диалог - это общение нескольких человек, и вы можете не только получать информацию, но и отдавать ее, иногда сами не замечая этого.
***
В этой статье приведены примеры того, как, не используя никаких хакерских утилит и прочих, не совсем законных методов, потенциальный злоумышленник может собрать информацию, необходимую для осуществления взлома сети. В следующей статье рассмотрим различные способы сканирования сети и идентификации работающих на машине приложений. При выполнении данных задач мы будем активно использовать информацию, которая была собрана посредством социальной инженерии.
