Всем привет.
Сегодня вторая часть из серии публикаций Андрея Бирюкова, посвященных проведению аудита и теста на проникновение(пентест). Оригинал статьи был опубликован в журнале "Системный администратор" №05(162), май 2016.
Часть 2. Сбор необходимой информации.
Правильная идентификация версий ОС и ПО является неотъемлемой частью успешной атаки. В статье мы поговорим о том, как это можно сделать В предыдущей статье [1] мы провели аудит доступа к беспроводной сети. Теперь будем считать, что злоумышленник уже проник в корпоративную сеть и ему нужно собрать необходимую для взлома информацию. Для этого понадобится правильно идентифицировать установленные в сети приложения и перехватить как можно больше сетевого трафика, из его содержимого узнать о том, какие протоколы используются, и постараться перехватить учетные данные пользователей.
Разнообразие приложений, протоколов, ОС и прошивок к оборудованию ставит перед потенциальным взломщиком задачу по точной идентификации как самой программы, так и ее версии, архитектуры и других важных для атаки параметров. Ведь не бывает универсальных эксплоитов, каждый из них рассчитан на уязвимости в определенных условиях.
Не забываем о людях.
Собирать информацию о целевых сервисах можно не только техническими средствами, но и с помощью социальной инженерии. Основные способы сбора информации (подробнее в [2]):
- Анализ оборудования и ПО, упоминающихся в вакансиях организации.
- Получение данных посредством общения с техническими специалистами организации.
- Сбор сведений о закупаемом оборудовании и ПО из открытых источников (например, goszakupki.ru или prozorro.gov.ua).
- Анализ информации, которую размещают сотрудники компании, и особенно технические специалисты, в социальных сетях.
- Телефонные звонки сотрудникам от имени технического персонала.
Первый метод позволит злоумышленнику получить базовое представление о тех сервисах, которые могут использоваться в компании. Само по себе это даст мало полезной информации, поэтому на следующем шаге хакер под видом соискателя может попытаться пройти собеседование и получить более детальные данные по оборудованию и ПО.
Государственные организации обязаны все свои заказы размещать в открытом доступе, поэтому ресурсы типа goszakupki.ru являются дополнительным источником информации. Например, среди заказов можно встретить лоты на продление лицензий на ПО. К лотам должно быть прикреплено техническое задание или аналогичный документ, из которого тоже можно почерпнуть массу полезной информации.
Серьезной проблемой для информационной безопасности могут стать социальные сети. Конечно, никто не будет размещать пароли или другую конфиденциальную информацию на своей странице. А вот телефонный номер, ICQ, личную почту очень даже может. Ну и само собой фотография лишней не будет.
Ну а дальше социальная инженерия во всей красе. С помощью полученной контактной информации злоумышленник может связаться с сотрудниками компании и получить необходимую информацию. Обратите внимание, все приведенные выше действия вряд ли можно хоть как-то подвести под статьи уголовного кодекса.
В качестве практической части ко всему вышесказанному можно попытаться собрать информацию о технических специалистах своей компании в социальных сетях. Посмотреть, какая информация о корпоративной сети есть в открытом доступе. Не лишним будет кому-либо из специалистов, проводящих аудит, позвонить сотрудникам компании и от имени, например, техподдержки попытаться узнать пароль выхода в корпоративную сеть. Подобные эксперименты позволяют получить представление об общем уровне осведомленности об ИБ в компании.
На этом, я думаю, с социальной инженерией можно закончить и перейти к техническим способам сбора информации.