Байки по кибербезопасности: играем в «Правда или ложь» +54


Привет, Хабр!

Правила игры простые: я рассказываю историю про аудит безопасности, а вы оцениваете, правда это или нет. Под спойлером — ответ.

1. «Суперпроводимость»

Проводим экспертный аудит в крупном производственном комплексе. Последнее время заказчики часто выбирают дистанционный формат сбора информации. Но в данном случае заказ был очный, то есть мы с аудиторской командой приезжаем на проходную, дальше планируется, что мы будем ходить по территории и искать всякие радости для внутреннего злоумышленника. И вот мы стоим и готовимся получить пропуск, а в это время по всему производству отключается электричество. Заодно останавливается вся производственная линия, что по масштабам проблемы примерно равняется дню П. Ни о каком аудите речи, конечно, уже нет. Мы около часа сидим на проходной, пытаемся дописаться до наших пентестеров (вдруг они «постарались»), а потом узнаём, что причиной инцидента стала полевая мышь: она залезла в щитовую и закоротила собой электрику.

Ответ

Правда. Такое случается суперредко, но тут звёзды сошлись. Завод старый, его построили примерно в 40-х. С тех пор не особо думали про отказоустойчивость и второй контур питания, а редкие сбои «лечились» силой воли электрика. Из-за особенностей пищевого производства грызунов довольно много, и они перебирают все места, куда не надо залезать. Этой мыши не повезло особенно.

2. «Новогодняя ёлка»

Тест на проникновение. Задача — получить доступ из корпоративного сегмента в технологический, по возможности — к серверам АСУ ТП. Неделю мы его колупали, а потом прошли. Оформили доказательства, отправили заказчику. Но скриншоты в отчёте с чёрным фоном из терминала Kali с перечислениями уязвимостей и подробным описанием оказались для заказчика не очень убедительными: в систему защиты были вложены деньги, всего этого просто не может быть! В очередной раз получив комментарий «Это к ничему страшному не приведет», наш пентестер психанул и нарисовал лампочками на пульте управления SCADA-системой (в тестовом сегменте) ёлочку. Вопросов у заводчан сразу не осталось.

Ответ

Не совсем правда. Это была не ёлочка, а довольно короткое русское слово. Лампочек хватило. Заводчане оценили, вопросов больше не было.

3. «С 1 апреля, Олег!»

Идёт аудит промышленного предприятия. На BI-сервере в планировщике задач находим «логическую бомбу». Судя по датам скриптов, коллеги решили оставить подарок одному из админов на 1 апреля. Работало это следующим образом: при заходе на сервер под определённой учётной записью он просто уходил в ребут. 1 апреля давно прошло, а задача так и осталась активной и работала на время аудита уже два года. Её просто забыли удалить. Удаляли вместе с админами с неохотой: всё-таки шутка хорошая.

Ответ

Правда. Это одна из площадок промышленной компании. Когда комплекс большой, серверов много, можно годами не заходить на них, типа «работает — не трогай».

4. «Гарантированное уничтожение»

В проекте по социальной инженерии нашей задачей было получить конфиденциальные сведения о клиентах банка через различные векторы: попытки проникновения на территорию, звонки работникам, отправку писем и многое другое. Во время изучения территории компании выяснилось, что работники банка просто выкидывают в мусорный бак анкеты на получение кредитов, заявки и прочие документы с персональными данными. Эти данные очень пригодились бы нам в отчёте. Подумав, что делать, мы дали 100 рублей парням, которые искали стеклотару и металл в мусорных баках, чтобы они достали нам нужные бумаги.

Ответ

Правда. Хотя и существует огромное количество способов безопасного уничтожения — от бумажных коробов «покорми бобра» до шредеров и контрактов на уничтожение документов, — всё равно встречаются компании, которые хотят на этом сэкономить. А некоторые даже проявляют фантазию. Я знаю одного оператора связи, который с крематорием договаривался.

5. «Ветер перемен»

Задача проекта — развернуть удостоверяющий центр для заказчика, а заодно и получить все нужные лицензии. Проектная команда хорошо выполнила требования регуляторов и подготовила заказчика к проверке. Сотрудник регулятора на аудите просто не знал, где найти нарушение. В итоге, чтобы не уйти совсем ни с чем, проверяющий записал в протоколе, чтобы мы… поставили на окна кабинета москитные сетки, потому что ветер может унести конфиденциальные документы. Сетки поставили, документы пообещали убирать в шкафы, проект успешно закрыли.

Ответ

Правда. Есть виды деятельности, которые лицензируются. Приезжает проверяющий, задача которого — найти нарушение. Наша задача — сдать без нарушений. Если он ничего не найдёт, то будет ощущение, что он съездил зря и работу выполнил плохо, поэтому находит всегда. Отдельный уровень атаки на проверяющего — иногда оставлять очень маленькое заметное нарушение, чтобы он от безысходности не копал дальше или закончил быстрее.

6. «Plants vs. Zombies»

Аудит крупного агропромышленного комплекса. Мы проверяем базовые настройки безопасности в технологическом сегменте. Определяем выборку SCADA-систем, авторизуемся на выбранном сервере… и на рабочем столе нас встречает ярлычок игры «Plants vs. Zombies». На вопрос: «Зачем это здесь?» — специалисты только пожали плечами: «Скучно иногда...» Запустили игру, а там неплохой рейтинг. Удаляли местные админы с указания руководства под грустные взгляды техперсонала: теперь заново придётся всё проходить.

Ответ

Правда. Таких случаев — куча. В технологическом сегменте нет Интернета, поэтому версия даже не браузерная. Пользователь часто (!) сидит под админом, поэтому может поставить чёрт знает что. Были прецеденты и с пиратским софтом с торрентов с вредоносом на борту.

7. «Автозамена»

Задача проекта — разработать комплект организационно-распорядительной документации для клиента. Для части документов уже были хорошие наработки, и наш аудитор из проектной команды решил их переиспользовать, так как сфера деятельности компаний была одинаковой. Разница была в том, что у компании, наработки которой были использованы, во главе был «Президент», а у той, в которую переносились данные, — «Генеральный директор». Воспользовавшись автозаменой, аудитор заменил всех «Президентов» на «Генеральных директоров» и, довольный, отправил документы клиенту. Работа сделана! Через некоторое время получил ответ, один из комментариев звучал: «%username%, спасибо! Но в Российской Федерации всё еще Президент, а не Генеральный директор, поправьте, пожалуйста!»

Ответ

Да, правда. Он просто не знал историю про энциклонгов.

8. «Амнистия»

Мясоубойное производство. Во время внутреннего тестирования на проникновение удалось получить доступ к системам, отвечающим за производственную линию. Вот только пока мы сдавали результаты, у заказчика каким-то образом пошёл слух, что в результате нашего успешного пентеста хакер может спасать животных и выпускать их на волю. Представьте: открываются двери, и счастливые животные убегают в закат, а не попадают в колбасу.
Слух дошёл до самых верхов, всё руководство ждало хайпа и пруфа, как мы это сделали. Была собрана отдельная встреча для демонстрации этой возможности с технологом предприятия и ключевыми руководителями... В течение часа мы прошлись по всей производственной цепочке и возможностям скомпрометированной системы.

Ответ

Неправда. Полученные права позволяли навредить производственному процессу, но вот двери «в закат» открывались другой системой. Животным наши пентестеры не помогли, а вот стать клиенту защищённее — точно да. Кстати, доступ мы получили, потому что подрядчик оставил кое-какие файлы в общем доступе и забыл их удалить после приёмки системы в эксплуатацию. Дальше мы сами не помним, как пошёл слух. Потом объясняли технологу, как это работает. Точнее, как это не работает.

9. «Международная кибератака»

Внешнее тестирование на проникновение крупного производственного комплекса. Мы в рамках пентеста атакуем внешние веб-ресурсы. Заказчик решил сделать «слепое» тестирование, то есть специалисты по реагированию на инциденты с его стороны не знали про наш контракт. Руководство хотело на практике посмотреть, как среагируют специалисты. В ходе проекта нам помогал в том числе коллега из Белоруссии. Специалисты группы реагирования зафиксировали мощные атаки на инфраструктуру и решили действовать по всем правилам: помимо попыток блокировки, сообщили об инциденте во все необходимые органы, и уже спустя сутки к нашему коллеге приехала опергруппа задерживать «международного хакера». Пришлось долго объяснять, что всё по закону.

Ответ

Правда. Во-первых, мы не скрываем своих IP, потому что заказчику во время такого теста всё же нужно знать, где наша работа, а где может быть параллельная реальная атака. Поэтому при подписании документов мы всегда даём перечень своих IP-адресов, с которых будет проводиться пентест.

Во-вторых, да, при подписании контракта заказчик может не оповещать свой отдел ИБ — такая классическая проверка для поддержания отдела в форме.

В-третьих, отдел ИБ заказчика отработал правильно:
подал запрос провайдеру, затем — в правоохранительные органы. Те, увидев атаки с айпишников не в РФ, уже готовы были рапортовать о предотвращении
международной кибератаки.

10. «Чтиво перед сном»

Руководитель службы ИБ заказчика, которому мы оказывали сервисные услуги, обнаружил в одном из коридоров утерянную флешку. После стандартной проверки на вирусы всеми доступными способами на автономном ноутбуке (а вдруг «социальная инженерия») на носителе обнаружился довольно большой архив. Закралось подозрение: возможно, кто-то решил вынести базу клиентов или иные важные данные, но не донёс и просто потерял носитель. Архив оказался запаролен, после чего подозрение на инцидент ещё больше усилилось. Файл передали нам, мы поставили перебирать пароли. Через день мы стали счастливыми обладателями примерно сотни детских книжек, которые сотрудник, видимо, скачал и нёс к себе домой. Некоторые книги мы потом читали сами.

Ответ

Правда. Вот только на таких флешках, как правило, находятся более интересные вещи: инфицированный зарплатный реестр или самораспаковывающийся архив с фото с корпоратива. Мы сами часто разбрасываем такие на проектах по пентестам.

11. «Без вахтёра»

Экспертный аудит промышленной компании. Задача — получить доступ на территорию производства. Заметили, что гардероб, где сотрудники оставляют вещи, находится в общей зоне до СКУД и никак не контролируется. Работники сами вешают свои вещи и сами забирают, а потом проходят через турникеты. В обеденное время они часто оставляли свои пропуска на внутреннем подоконнике, когда снимали вещи с вешалки, после чего забирали их обратно. Я притворился работником компании и провёл некоторое время в гардеробе во время обеда. С помощью дубликатора RFID-карт получилось быстро скопировать пропуск и пройти на территорию предприятия. Компании после аудита пришлось заменять тип пропусков и добавлять в СКУД функцию «фейсконтроль».

Ответ

Неправда в этот раз. Некоторые современные RFID-карты защищены от replay-атак, поэтому скопировать их, а потом сэмулировать и попробовать пройти не получится. Так случилось в этот раз, хотя обычно мы имеем дело с простыми картами, работающими на низкочастотных протоколах, которые слабо защищены.

12. «Посмотри там сам»

Производство, работы по пентесту. Есть перечень целевых сегментов с чёткими ограничениями на работы. Однако это всё осложняется тем, что инженер-сетевик — в отпуске. Никто не знает, куда подключать ноутбук специалиста. В итоге открыли коммутационный шкаф, дали схему сети и оставили нас самих разбираться. Через три дня подключились куда нужно, выполнили работы, сами согласовали отчёт и сами всё поправили. В итоге и заказчику помогли, и в понимании сетей потренировались.

Ответ

Правда. Такое случается нечасто, и в данном случае скорее была организационная проблема. Работы шли на заводе с разными юрлицами. Работы по одной АСУ ТП прошли штатно. У второго заказчика — схожая инфраструктура на той же площадке, но ответственный специалист — в отпуске. Вызвонили, он подключился по удалёнке в АСУ ТП, открыл нашему специалисту схему сети и пошёл обратно в отпуск. Из пяти заложенных рабочих дней три было потрачено на то, чтобы понять, куда воткнуться и с чем работать, потому что другие специалисты на местах подсказать не могли.

13. «Яблоки»

Проект по «социалке». В далёком северном городе был согласован с заказчиком вектор атаки «Road Apple», когда «разбрасываются» флешки с вредоносным ПО. Лучше всего подходили принтеры с usb-разъёмом: в них мы и оставили носители. После первого дня атаки все флешки пропали. Мы обрадовались и разложили новые. Они тоже пропали. На третий день — аналогично. За всё это время подключений до нашего сервера не было. Стали смотреть со службой ИБ по камерам — оказалось, что все флешки забирала себе уборщица: она стала ещё одним рубежом защиты от «социалки».

Ответ

Правда. С этих флешек печатают документы и часто забывают их в принтерах. Как выяснилось, их там годами тырила уборщица. Что она с ними делала, я не знаю.

14. «Among Us»

В проектах по тестированию на проникновение мы стараемся придерживаться реалистичных моделей нарушителя. Выезды на объекты к заказчику — не исключение. Был проект у крупного ритейлера по анализу внутренней сети. Мы купили фирменную футболку этой самой сети. Надев её и использовав пару нехитрых приёмов социальной инженерии, удалось проникнуть… в служебные помещения магазина и поставить там устройство для удалённого взаимодействия с корпоративной сетью заказчика.

Ответ

Неправда, всё оказалось проще. В данном случае проникновение в корпоративную сеть заказчика было через служебную Wi-Fi-сеть, для которой удалось подобрать пароль. Все работы мы сделали с детской площадки под «грибком» прямо рядом с магазином.

15. «Мордой в пол!!!»

Некоторые заказчики уделяют много внимания физической безопасности, что иногда вызывает казусы при проведении работ. Один раз нам нужно было проверить безопасность системы на полевом уровне. Речь идёт о ряде устройств, размещённых вне основного физического контура заказчика. Сотрудник заказчика сопроводил, открыл помещение и уехал для решения своих вопросов. Наш специалист остался работать. Через некоторое время подъезжает машина, начинается суматоха, и вот на нашего специалиста уже направлен автомат. Спустя несколько нервных и крайне напряжённых минут удалось дозвониться до представителя заказчика и разрядить обстановку.

Ответ

Неправда, но это распространённая байка в среде пентестеров. Но когда ты работаешь в серверной под присмотром автоматчиков на очень важных аудитах — вот тогда действительно неуютно.

16. «Аццкий пароль»

Проект по защите персональных данных, станция переливания крови. Вместе с главным врачом в ночи доустанавливаем платы доверенной загрузки на компьютеры пользователей. Остался один отдельно стоящий локальный АРМ. Пользователь работает под админом, пароля никто не знает.

Звоним в ночи работнику — просим сообщить пароль. Мужчина долго мнётся, говорит, что сам сейчас приедет, всё введёт и прочее. Уверяем, что в этом необходимости нет, сами всё быстро сделаем. На той стороне трубки — глубокий вздох… Пароль «Розовая кошечка 777» в английской раскладке. Стараемся не смеяться, говорим «спасибо», завершаем работы.

Ответ

Правда. На самом деле в рамках работ по социальной инженерии каких только паролей мы не видели. Этот еще нормальный. Те вообще цензура бы не пропустила.

Уверен, что у каждого, кто работает в области кибербезопасности, есть не одна история, которой хочется поделиться. Главное в нашем деле — назвать ее байкой, и рассказать как анекдот.

Александр Морковчин

Руководитель группы департамента консалтинга центра информационной безопасности компании «Инфосистемы Джет»

Спасибо Владимиру Ротанову, руководителю группы практического анализа защищенности «Инфосистемы Джет», за помощь в написании поста.




Комментарии (21):

  1. prika148
    /#24944538 / +5

    Последняя история будто бы обрезана?

    • BigBeerman
      /#24944562 / +8

      не обрезана, а циркумирована, медучреждение всё-таки

  2. ksbes
    /#24944754 / +9

    6. «Plants vs. Zombies»
    Зря удалили. Раз ставят — значит есть проблема. И её сотрудники в любом случае решат. Пусть лучше игрушка, чем выпивка!
    У нас для таких случаев во внутренней сети был специальный сервер с браузерными «развивашками». Заодно для практикантов были готовые тестово-обучающие задания, а для бигдаты — источник для анализа простоев :).
    Хотя да — безопасники на него постоянно шипели.

    • NemoVors
      /#24950592

      Вообще лучше держать что-то предустановленное и проверенное на зловредов (как было в одной цитате на баше: даже рабам на галерах ритм отбивали). В техподдержке случаются самые удивительные истории: сегодня сотрудник не умеет в экселе разметку страницы поправить, а завтра он уже нашел линукс версию вторых героев. Когда ее заблочили - нашел браузерную, когда и ее заблочили - нашел лазейку на удаленной машине и умудрился запустить там оперу портабл версию.

      Лучше бы экселем пользоваться научился, в самом деле...

  3. Germanjon
    /#24944768

    Два не угадал

  4. Markscheider
    /#24944770 / +1

    причиной инцидента стала полевая мышь

    Фото мыши в студию. Там наверняка была домовая, а не полевая.

    Фото нарушителей
    Mus musculus
    Mus musculus
    Apodemus agrarius
    Apodemus agrarius

    • VYudachev
      /#24944810 / +3

      Вспоминается байка про

      "У нас не работает принтер, мышку заело".

      • kelrit
        /#24946570

        Иногда, к сожалению, не байка. Особенно, если пользователь имеет привычку поблизости от принтера щелкать семечки.

        Пока бедный принтер ждал завоза в сервисный центр, он успел "обрадовать" запахом тухлятины два офиса (родной и центральный транзитом) и салон доставлявшей машины.

  5. BigBeerman
    /#24945420 / +1

    чтобы обесточить завод, мышка должна в РУ 6 кв залезть, все ж КЗ в обычном рубильнике завод отключать не должно. Хотя если до этого рубильника вместо автоматов и плавких вставок болты и ломы, то всё возможно

    • Woffko
      /#24945806

      если только линию обесточить, то там вполне 0.4кв может быть, у нас мышка выключала автомат C25 тельцем своим

    • RranAmaru
      /#24946902 / +11

      В 90-е, будучи студентом, снимал комнату в квартире с хозяйкой. Вся электрика в доме была в весьма плачевном состоянии. В щитках в подъезде не было автоматов. Вместо них стояли пробки. Вызвать перманентно пьяного жэковского электрика получалось только с 3-4 раза после ежедневных звонков в ЖЭК. Да и понятно, что делалось им все "на отъ@#%сь". Поэтому, жильцы по возможности ремонтировали все сами как умели. Вместо пробок почти у всех стояли "жучки" - перемычки из проволоки поверх перегоревшего предохранителя. Ну и я, как "тыжпрограммист", чинил пробки себе и соседям. Правда, "жучка" всегда ставил из тонкой проволоки, так что такой жучок все же работал как честный предохранитель.

      И вот, однажды, когда я был на занятиях, в очередной раз выбило пробки. Хозяйка, не раз видевшая как я чиню пробки, решила не дожидаться пока я приду с универа и сама поставила жучка... из 1.5 мм медной проволоки (ну, что первым нашла, то и поставила). А еще в той квартире была одна хитрая розетка (ну 90-е, вы пониматете) для стиральной машины, куда вилку нужно было вставлять строго правильной стороной иначе фаза попадала на ноль. Видимо, хозяйка все же перепутала.

      Света не было 2 недели. В подвале полностью выгорел щит (Я так понимаю, в нем предохранители как раз были те самые - из болтов). Приехавшие из энергокомпании электрики наотрез отказались лезть в подвал, в котором, как обычно, воды было по колено.

      В итоге, ЖЭК был вынужден заменить ржавые текущие трубы, откачать воду из подвала, заменить частично выгоревшую проводку, поставить новый щит и автоматы на квартиры. Бонусом, пропали комары, которые круглый год тысячами летали по подъездам и уже много лет донимали жильцов этого дома.

      • AlexanderS
        /#24951144

        Согласитесь, но зато какие воспоминания остались на всю жизнь! )

  6. serafims
    /#24946596

    Про мышь странно, если обесточен завод - значит была где-то во ВРУ, а токи там немалые, неужели тушка обеспечивала проводимость так долго, что сработала защита по замыканию? Опилки металлические она жрала, что ли?

    • Didimus
      /#24946878

      Может там уже было нагружено на 99%

    • 9982th
      /#24947122

      В коммутационных устройствах, через которые питается целый завод, кроме силовых могут быть и вторичные цепи управления и защиты.
      С другой стороны, по мышке могла и дуга пойти.

    • mindzhurna
      /#24948172

      Сразу возник такой же вопрос и пропал интерес к дальнейшему чтению статьи. Крупное производство...

  7. AptRoApt
    /#24948680

    Последняя история будто не дописана.

  8. zuek
    /#24949836

    Последняя история напомнило случай из довольно далёкого прошлого - надо на self-hosted DNS-сервере перенацелить MX на новый почтовик, звоню нашему сетевику, спрашиваю рутовый пароль, он мне: "Как же всё за..ало!", ну я ему: "Ну, есть немного, да, перенос на новую площадку, но уже почти закончили...", а он: "Да не - это пароль от рута на фряхе с DNS." - посмеялись...

  9. CyaN
    /#24950482

    В 11-й: зачем было копировать, когда можно было заменить на похожую внешне, а с оригиналом пройти на территорию? Т.к. люди обычно одни и те же, предварительно сфотографировать можно и днем раньше. За время обеда сделать можно очень много.