А АThursday 14 November 2019

Разведка из открытых источников, часть 2.

Всем привет.

Я опять про разведку из открытых источников. На самом деле это не вторая часть, а пересказ статьи Андрея Бирюкова  из журнала "Системный администратор" 4/2012. Столько лет прошло а социальная инженерия до сих пор актуальна. Такое ощущение что современные технологии людей совершенно не меняют.)) Оригинал статьи проверен на себе и приправлен реальным случаями из жизни.

В любой корпоративной сети используется множество разнообразных устройств и приложений, которые должен знать системный администратор. А вот потенциальным злоумышленникам знать о них нежелательно. Какую информацию можно собрать о нашей сети, не используя технические средства? Чем грозит знание злоумышленника о вашей сети?

Идентификация сетевых ресурсов является важным подготовительным этапом перед осуществлением взлома. Если хакер знает, что ваш корпоративный портал работает под управлением IIS 7 и WindowsServer 2008, то ему необходимо найти уязвимости, которым подвержены данные программные продукты. Для этого проще всего поискать в базах уязвимостей. В случае если найти ничего не удалось, то особо продвинутый взломщик может попытаться самостоятельно найти «лазейку», собрав у себя точную копию взламываемой системы и попробовав самостоятельно проанализировать код. 

Проведя анализ уязвимостей «оффлайн», хакер сможет быстро провести атаку и внедрить в атакуемую систему вредоносный код.

В данной статье мы рассмотрим такой малоизученный, но важный аспект, как социальная инженерия.

Социальная инженерия

Говоря об информационной безопасности, все вспоминают про антивирусы, межсетевые экраны и прочие технические средства. А вот про людей, работающих в компании, часто забывают.

А ведь массу полезной информации хакер может почерпнуть из общения с сотрудниками компании и из открытых источников, не прибегая при этом к помощи вредоносных программ и других технических средств. Конечно, работа с персоналом - это прежде всего задача HR-департамента (отдела кадров). Однако сотрудники отделов ИТ и ИБ должны также участвовать в этом процессе. В компании должна быть разработана политика информационной безопасности.

Исходные данные

Прежде всего условимся о том, что известно злоумышленнику. Будем считать, что в самой компании у него нет никаких знакомых-инсайдеров, которые могут сообщить интересующую информацию. Также условимся, что хакер не нарушает закон. «Закон мы должны чтить». Он не использует всевозможные средства прослушивания, «жучки», скрытые камеры и прочее. Вся информация будет добываться исключительно из открытых источников.

Пусть он знает только название компании, сеть которой ему необходимо взломать. Кто-то посчитает, что этого недостаточно для того, чтобы начать взлом, и будет неправ. Введя в поисковой системе название компании, злоумышленник быстро найдет ее официальный сайт. А реклама, как известно, двигатель торговли, и для связи могут использоваться не только стандартные телефон и e-mail, но и более современные ICQ и Skype. В контексте удаленного анализа сети нам наиболее интересны электронная почта и Skype. Также на корпоративном портале, помимо контактной информации, как правило, есть раздел «Вакансии». Это просто кладезь информации. Вот с него и начнем сбор информации.


Анализируем вакансии

В разделе «Вакансии» нас интересует описания требований к соискателям, особенно для ИТ-специалистов. Поверьте, они есть почти всегда. Но в случае если таковых нет, можно попробовать поискать вакансии данной компании на сайтах по поиску работы. Некоторые кампании доверяют порталам по поиску работы чаще чем своему сайту. Если и там актуальных вакансий нет, подключите поисковик Google он может показать вакансии которые уже закрыты, но остались у него в кеше. В описании вакансии системного администратора очень часто указывается наименование оборудования, операционных систем и приложений, с которыми придется работать. Вот вам пример описания реальной вакансии в одной компании:

Требуется сетевой администратор в большую компанию ~1000 человек

Филиалы компании в регионах по всей стране и бывшему СНГ. Обязанности и требования:
-Поддержка сетевых устройств: коммутаторов, маршрутизаторов и межсетевых экранов Checkpoint, Cisco, 3COM.
-Мониторинг работы сетевых устройств и каналов связи на базе решений HPOpenView.
-Обеспечение сетевого взаимодействия с филиалами.
-Взаимодействие с провайдером услуг связи в процессе всего жизненного цикла предоставляемой услуги связи.
-Обеспечение максимально быстрого восстановления работоспособности сетевой инфраструктуры.

Из этого на вид скромного описания злоумышленник может сделать следующие выводы: в сети компании порядка 1000 машин, сеть географически распределенная, значит, используется VPN или арендованы каналы. В качестве средств защиты скорее всего применяются Checkpoint, маршрутизация и коммутация на Cisco и 3Com. Для подключения к Интернету, вероятно, используются каналы связи только одного провайдера. Пока все достаточно размыто, осталось много вопросов.

Для их уточнения взломщику необходимо пообщаться со специалистами. Для этого проще всего воспользоваться той контактной информацией, которая предоставлена на сайте, например, позвонить и поинтересоваться опубликованными на сайте вакансиями. Многие компании в целях экономии времени начальное собеседование проводят по телефону. Таким образом, специалисты по персоналу отсеивают явно неподходящих кандидатов.

Злоумышленнику из общения с HR-менеджером вряд ли удастся получить много полезной технической информации, разве что уточнить количество пользователей и филиалов, да и то не всегда. Зато в процессе телефонного интервью злоумышленник может показать себя квалифицированным специалистом в требуемой области и быть приглашенным на собеседование.

Беседа как источник информации

На собеседования с квалифицированным кандидатом зачастую приглашают большое число специалистов (сетевых администраторов, инженеров по серверам, безопасников). Тут для злоумышленника большой простор для деятельности. В процессе дискуссии можно ненавязчиво узнать число филиалов. Кроме того, потенциального работника будут «гонять» прежде всего по тем технологиям, которые используются в корпоративной сети. Например, системные администраторы компании интересуются знаниями соискателя в области серверных ОС Windows и ActiveDirectory. Соискатель рассказывает про Windows 2003, затем про Windows 2008, между делом упоминая RODC и преимущества его использования. На что собеседующие отвечают, что пока не все контроллеры используют Windows 2008 и уровень домена пока Windows 2003. Далее обсуждается тема миграции доменов, вследствие чего выясняется, что все филиалы находятся в одном домене, поддомены не используются.

В процессе собеседования «берут слово» сетевики и безопасники. Они спрашивают кандидата, с чем и как приходилось ему работать? Какие модели оборудования использовались для межсетевого экранирования? Какие протоколы использовались для динамической маршрутизации? Какие корпоративные антивирусы знакомы соискателю? Внедрял ли он систему управления событиями безопасности? Поверьте это все реально, я сам отвечал на такие вопросы. И неважно проходите вы интервью непосредственно на фирме или в кадровом агенстве.

Анализируем результат

В результате беседы выясняется, что в сети используется «зоопарк» решений. Ну на больших предпряитиях такое случается априори. В некоторых филиалах применяются программные межсетевые экраны на базе Linux (iptables). Домен один для всех филиалов. Уровень домена Windows 2003. В филиалах установлены DC. Следовательно, все контроллеры домена равноправные, и взламывать можно сеть филиала, которая защищена хуже. Также понятно, что централизованный мониторинг событий сейчас не ведется и компания только готовится к внедрению Zabbix. Количество рабочих мест в филиалах также уточнено.

Начальник ИТ-отдела в ходе вашей беседы посетовал, что во многих филиалах отсутствуют системные администраторы и обслуживанием имеющихся систем занимается кто-то из бухгалтеров(?) или менеджеров. Из этого можно сделать вывод, что уровень технической грамотности в филиалах намного ниже и атаку будет провести значительно легче. Хм, как будто бывает наоборот.)

Кстати, многие руководители ИТ-отделов любят проводить экскурсии в серверную для своих потенциальных работников. А еще зачастую собеседования проводятся непосредственно в тех же комнатах, где и сидят ИТ-специалисты. Очень часто в таких помещениях на стенах висят планы сети с IP-адресацией. За полчаса, которые обычно длится собеседование, профессионал запомнит данную схему.

Кроме всего прочего, у злоумышленника после беседы останутся контакты тех, с кем он общался. Это могут быть визитки или письмо с приглашением на собеседование. Чем больше имен, тем больше дополнительной информации сможет собрать злоумышленник.

Информацию о данных специалистах можно поискать в Интернете, а точнее, в социальных сетях. Например, в сети «Мой круг» или Linkedin многие специалисты размещают свои резюме, где подробно описывается их профессиональная деятельность. Нередко информация про организацию где сотрудник работал вчера подается им более подробно чем про настоящую. Более того бывают случаи когда сотрудники ссылаясь на рекомендации своих коллег в поисках будущей работы могу засветить под индексацию Google их персональные данные.

Ознакомившись с такими резюме, злоумышленник сможет получить более точное представление, о том, в каких технологиях наиболее силен данный специалист. Например, если в сети используется ОС Linux в качестве межсетевых экранов, а все администраторы компании являются специалистами по Windows, то можно предположить, что iptables настроен не лучшим образом. Хотя я бы не стал так утверждать, ибо Linux тоже непростая система и руководство не станет так рисковать только на экономии платы за лицензии.

О средствах связи

Допустим, компания не нуждается в технических специалистах. Злоумышленник может воспользоваться телефоном или Skype. Например, можно позвонить в компанию и попросить соединить с системным администратором. Если секретарь соединила, дальше под видом предложения о продаже расходных материалов и оргтехники можно попытаться выяснить все про используемое в сети оборудование и ПО. Способ, конечно, не самый эффективный, но лучше чем ничего. Дальше вспоминаем про Skype. Посредством Skype злоумышленник может попытаться узнать IP-адрес корпоративного шлюза. Для этого хакер может отправить файл по Skype. Далее с помощью пакетного анализатора отследить, на какой IP- адрес уходят пакеты. Правда, этот способ срабатывает не всегда, иногда в адресе получателя оказывается другой сервер Skype.

Электронная почта

Мы уже говорили о корпоративном портале, где обязательно должен быть контактный адрес электронной почты. Как минимум один адрес у него будет с корпоративного сайта. Если он захочет использовать другой адрес то лучше дождаться праздников более трех дней, например рождественских каникул, когда почти с любого адреса можно будет получить ответ типа “Out of office”. Ведь задача злоумышленника обязательно получить ответ.Затем необходимо открыть полученное письмо в исходном виде, включая заголовки.

Received: from mxfront29.mail.yandex.net ([127.0.0.1])
by mxfront29.mail.yandex.net with LMTP id 6Axma6HQ for<xxxx@yandex.ru>; Wed, 1 Feb 2012 12:06:10 +0400
Received: from mxl.xxxx.ch (mxl.xxxx.ch [194.209.xx.xx]) by mxfront29.mail.yandex.net (nwsmtp/Yandex) with ESMTP id 696C41Pv-696Wxxxx; Wed, 1 Feb 2012 12:06:10 +0400
X-Yandex-Front: mxfront29.mail.yandex.net
X-Yandex-TimeMark: 1328083570
X-Yandex-Spam: 1

Из приведенного заголовка можно узнать IP-адрес почтового сервера отправителя. Хотя его также можно выяснить и другим способом, о котором поговорим далее. Также последние три строки сообщают о том, какая система использовалась в качестве антиспама. В данном случае это антиспам Яндекса. Кстати, получить свойства письма можно в веб-интерфейсе бесплатной почтовой службы. Иногда в свойствах почтовых сообщений может присутствовать более интересная информация, например, внутренний IP-адрес отправителя. Вообще NAT должен скрывать внутреннюю адресацию, так как эта информация тоже интересна злоумышленнику.

Доменное имя

Располагая названием корпоративного сайта, злоумышленник может собрать ряд интересующих его сведений с помощью общедоступного сетевого ресурса. Зайдем на страницу http://www.ripn.net/nic/whois. В строке запроса необходимо указать доменное имя интересующей компании. Вот пример результата поиска информации по доменному имени:

Domain: mydomain.com Type: CORPORATE
Nserver: a.ns.mydomain.com. 82.198.xx.xx Nserver: ns4.nic.ru.
Nserver: b.ns.mydomain.com. 212.33.xx.xx State: REGISTERED, DELEGATED Org: JointStockCompany ...

Мы получили информацию о DNS-записях, зарегистрированных для данного домена. Можно воспользоваться еще одним, русскоязычным сервисом - leader.ru. На этом сайте в поле Whois необходимо указать доменное имя.

Здесь результат более интересный. Помимо тех сведений, которые нам выдал предыдущий портал, мы также получили сведения о диапазоне адресов, владельце и контактной информации, включающей в себя имя и фамилию ответственного специалиста, адрес электронной почты и телефон организации. Полученные сведения можно также использовать для сбора информации теми методами, которые описывались ранее в этой статье. Например, поискать информацию об ответственном специалисте в социальных сетях.

Атака на клиента

Пока мы рассматривали ситуацию, когда злоумышленник приходил на собеседование для сбора необходимой информации. Однако возможна и обратная ситуация, когда компания-конкурент приглашает на собеседование чужого сотрудника и различными способами пытается получить необходимую информацию. Например, можно заманить на собеседование системного администратора и попросить для подтверждения его профессиональных навыков рассказать о топологии той сети, которую он обслуживает. Также можно попросить его показать документы, которые приходилось разрабатывать. Таким образом можно собрать информацию о сети для последующей атаки. Лично я припоминаю один банк который настойчиво хотел узнать в разработке каких стратегических документов я принимал участие за последний год. 

Срочный звонок

Вообще социальная инженерия - это очень мощный инструмент: при правильном умении вести разговор  собеседник сам расскажет вам обо всем, что нужно. Например, вам на мобильный телефон звонит некто, кого не очень хорошо слышно, представляется реально существующим сотрудником и просит сообщить, например, контактную информацию вашего руководителя или кого-либо из других сотрудников. Объясняется это тем, что звонящий находится вне офиса и ему срочно нужна данная информация. Многие в такой ситуации выполняют просьбу. А если еще представится кем-то «сверху», то шансы получить необходимую информацию растут на глазах.

Правильным действием в такой ситуации является вежливый отказ в предоставлении информации. Например, можно сказать, что вам плохо слышно и попросить перезвонить попозже. Да ради бога, если вы не работник фронтенда можете отшить вопрошающего так как сочтете нужным. Пусть после ваша безопасность разбирается почему ваш служебный номер стал известен за пределами фирмы. В конце концов это их прямая обязанность охранять вас как ресурс кампании.

У меня был случай, когда ответственный работник филиала по телефону запросил у меня некую информацию из базы опердня. Звонок был на моего шефа, но того не оказалось на месте. И несмотря на то, что звонивший представился я ему все-таки отказал. Он был не по-детски возмущен моим недоверием, но я решил что информации как зовут моего шефа и его самого для меня будет явно недостаточно.

В идеале об этом звонке необходимо сообщить в службу безопасности компании. Если же таковая отсутствует или по каким-либо личным причинам вы не хотите к ним обращаться, то сообщите хотя бы своему непосредственному руководителю.

Кстати, служба безопасности часто проводит подобные «учения», звоня своим сотрудникам от имени неизвестных или забрасывает их письмами-анкетами с призами. Если требуемая информация была получена, сотрудника ждет наказание, если ничего узнать не удалось, но при этом сообщили в службу безопасности, то сотрудника поощряют. Многие сочтут подобные провокации аморальными, однако этому методу обучают не только в учебных заведениях соответствующих силовых структур, но и на различных курсах по информационной безопасности. Более того, практика показывает что если служба безопасности по своим внутренним соображениям не подводит открытые итоги таких учений, то уровень образования сотрудников в плане инфобеза остается низким. Действия пользователей в подобных ситуациях должны быть четко прописаны в корпоративной политике безопасности, которую подписывает каждый сотрудник при принятии на работу.

Промежуточные итоги

Прежде чем перейти к рассмотрению вопросов, связанных с защитой от данного типа атак, предлагаем подвести промежуточные итоги. Заметим, что собранная информация будет активно использоваться для дальнейшего исследования сети в следующих статьях.
В результате анализа сети было выявлено следующее:
- используется домен ActiveDirectory Windows;
- известно точное число филиалов; 
- количество пользователей в каждой из подсетей;
- IP-адресация и модели используемого оборудования. 

Как можно защититься от описанных угроз?

Защититься от атак, осуществляемых с помощью социальной инженерии, не так просто, как от технических. Основная угроза исходит не от плохо защищенного оборудования или неправильно настроенного приложения, а от людей, работающих с этими системами. Необходимо в разумных пределах ограничить ту информацию, которую может получить злоумышленник посредством социальной инженерии.

Например, в случае телефонных звонков секретарь должна обязательно спрашивать, кто звонит и по какому вопросу. Это позволит отсечь часть попыток сбора информации. Разумеется более продвинутые в эмоциональном плане злоумышленники без труда обойдут такой «фейс-контроль». Скажу вам больше - для меня не представляет особого труда найти повод чтобы мне открыли дверь с кодовым замком с той стороны. 

Короткий анекдот в тему:
Звонок будущему начальнику. 
-Здравствуйте, я по поводу вакансии. Хотел бы с вами встретиться и обсудить ряд вопросов.
-Я очень занят, позвоните моей секретарше, договоритесь о встрече.
-Я вас понимаю, уже позвонил. Мы с ней договорились, и даже очень неплохо провели вместе вечер. Но я хотел бы все-таки встретиться с вами!

Что касается объявлений о вакансиях, публикуемых на корпоративном сайте, то лучше указать несколько различных технологий и моделей оборудования в качестве требований (модели можно не указывать вовсе), чтобы усложнить взломщику задачу сбора информации. Пример с собеседованием, конечно, является не самым распространенным вариантом сбора информации, так как большинство хакеров работают удаленно, они скорее будут использовать сканеры портов и генераторы пакетов, чем общаться с представителями взламываемой организации напрямую. Однако не стоит забывать и о таком способе сбора информации.

Собеседования с соискателями нужно проводить в переговорных комнатах. Приглашать на собеседование только тех кто подал резюме с фотографией. Желательно чтобы кандидат имел профиль в Linkedin. Также неплохо бы запросить рекомендации на соискателя до проведения интервью. Для проверки профессиональных навыков лучше не полениться и придумать несколько заданий, которые не связаны с текущей сетевой архитектурой компании. Вообще наилучшим решением описанных проблем является внимательное отношение к той информации, которую может злоумышленник получить. В процессе технического собеседования, задавая вопросы соискателю, следует стараться избегать ответов на его вопросы относительно имеющейся инфраструктуры сети - например, говорить, что у вас несколько сотен рабочих мест, не уточняя более подробно. Не стоит забывать, что диалог - это общение нескольких человек, и вы можете не только получать информацию, но и отдавать ее, иногда сами не замечая этого.

Берегите себя.

No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное