4 мая, 2016, BIS Journal №2(21)/2016

Опыт самонападения


Ермаков Кирилл

директор по информационной безопасности (QIWI)

Особенности проведения теста на проникновение в платёжной системе компании QIWI

Компания QIWI —  одна из немногих в России —  является одновременно и интернет-компанией, и финансовой компанией, и банком. В отличие от «чистых» банков, закупающих программное обеспечение на стороне, она разрабатывает программные ресурсы и сервисы сама для себя, и соответственно сама же их тестирует, использует и охраняет. В силу такой специфики, а также больших масштабов компании, QIWI вынуждена содержать специальное подразделение, которое занимается внутренними тестами на проникновение. Подобные спецподразделения в России, кроме QIWI, содержат только Сбербанк, Яндекс и Mail.ru. Как такое подразделение работает и каких результатов добивается?

 
Пентест классический
 
Что такое анализ защищенности, или пентест? Внешняя независимая проверка информационной безопасности компании. Но это общее определение, у которого много вариаций. Например, Fast and dirty assessment (быстрая и грязная оценка) —  тот случай, когда мы не можем провести глубокий анализ, но нужно по-быстрому узнать, насколько, как говорится, там дела плохи. Так поступают, когда покупают другую компанию.
 
Пентест можно заказать на рынке, в России эту услугу предоставляют около десяти компаний. Как это выглядит? У поставщика услуги есть команда из 3–5 человек. Они обыгрывают три классических сценария: внешний нарушитель, внутренний нарушитель и социальная инженерия, которые идут в отчете тремя разными блоками. То есть это не связные атаки, а отдельные векторы, тестируемые по отдельности. Тесты проходят daytime —  в рабочее время, и вы должны сделать так, чтобы ваша информационная система не блокировала этих атакующих. В общем, пентестеры, как правило, работают в комфортных, тепличных условиях.
 
С другой стороны, тестируемая компания для них —  не больше, чем один из десяти заказчиков, которым они делают одно и то же. По внутреннему плану треть времени они тратят на то, чтобы проэкспертировать уже известные векторы проникновения, треть — чтобы найти новый вектор, и треть на обработку того, что получилось насканить автоматическими средствами. Все это достаточно формально и не очень эффективно.
 
Пентест умеренно боевой
 
За рубежом в последние годы набирает силы Red Team Exercise. По сути это боевые учения по информационной безопасности. В России, опять же, эту услугу можно купить, но, к сожалению, в нашей интерпретации она заключается в том, что о предстоящем тестировании просто не оповещается отдел ИБ, но при этом весь ход атаки хорошо координируется, чтобы не навредить сервису компании. Такой вариант пентеста лучше, чем классический, хотя и не на много.
 
Мы выбираем борьбу без правил
 
В общем, такое тестирование нас не устраивало. Не устраивало, потому что остаются слепые зоны, про которые тестеры из внешней компании просто не знают, им не знакома, да и просто не интересна наша специфика. Возможно, такие повышенные требования не очень актуальны для сети из 100–200 серверов. А если их 5–10 тысяч?
 
Мы решили отказаться от классического пентеста и провести свой Red Team Exercise —  тот, который удовлетворит именно нашу компанию. Что мы сделали? Во-первых, мы собрали большую команду из лучших специалистов разных направлений. Идея тут в том, что один вендор не может иметь суперспецов во всех областях. Например, ONSEC —  это сильнейшие в России веб-безопасники, а Digital Security —  сильнейшие инфраструктурщики. Вот мы и собрали этих «суперов».
 
Во-вторых, мы убрали лишние правила. Решили, что пентест проводится не только днем, но и ночью. Сняли ограничения по времени —  не две недели, а сколько угодно: месяц, два, три… Разрешили DDoS-атаки. То есть мы разрешили делать с нашей системой практически все. В том числе и физическое проникновение на территорию компании, и подкуп сотрудников.
 
Да, ограничения по социальной инженерии были сняты максимально —  не просто рассылка спама «а вдруг кто перейдет по ссылке». Нет, ведь злоумышленники вполне могут договориться с администратором системы, купить его за пять тыс. долларов и он на денек забудет пароль у себя на столе, а злоумышленники проникнут на территорию, сядут за его компьютер и сделают все, что им нужно.
 
Инсайдер вам поможет
 
Мы решили пойти еще дальше. Мы ввели инсайдера, который прекрасно знает, как работает система информационной безопасности компании со всеми ее СМ, сканерами уязвимости, IPS… То есть худший сценарий. Более того, злоумышленники теперь не только знают, как работает система ИБ, но им еще и сливается текущая информация —  что происходит в данный момент времени, как команда ИБ строит оперативную защиту.
 
В общем, злоумышленникам разрешалось делать все, включая такие мелочи, как врезка в кабель и кража оборудования, например, ноутбуков сотрудников. Вот наша компания —  здание, сети, вот полные данные о них, вот вам хорошо информированный инсайдер. Действуйте.
 
Условия победы
 
Конечно, мы определили в этой игре условия победы. Для атакующих —  это получение доступа к чувствительной информации. Неважно какой. Получат доступ к балансам, хотя бы почитать —  защита проиграла, получат доменного администратора или администратора UNIX-систем —  настоящий провал и т. д.
 
Как все это проходит? Например, в прошлом году в качестве команды атакующих мы пригласили сборную от Digital Security и ONSEC. Инсайдером был автор этих строк. Одновременно с игрой мы тестировали и наш Security operation center (SOC) —  центр мониторинга ИБ, который должен регистрировать не менее 90% действий нарушителя. Мы попытались выработать для него хоть какой-нибудь KPI, потому что обычно эта система живет как бы в вакууме. Все думают, что она пишет ценные вещи, но, как оказалось, это не так.
 
Начали!
 
Проект захвата продлился 2,5 месяца. Чтобы понять, насколько это оказалось больно для компании, скажу только, что в первые две недели ей пришлось выдержать 7 социальных атак. Ситуация, когда сотрудники сквозь спам с трудом различают рабочую почту, а в это время прибегает ИБ и начинает разворачивать свою спасательную операцию… Собственно, вывод первый и простой: плохая конфигурация почтовиков.
На этой стадии мы также с удивлением узнали, что DDoS абсолютно необязательно направлен только на то, чтобы выключить вашу систему. Пока вы чините эту самую упавшую систему, злоумышленники успевают сделать для себя много полезного.
 
Цель атаки —  блокировка
 

Простой вопрос: как реагирует система безопасности, когда обнаруживает перебор паролей к учетной записи? Однозначно блокировка. А у нас нарушитель нагло влез в корпоративную почту, где перебор аккаунтов в домене возможен, и сделал это. Как?
 
Представьте, у вас заблокирована вся компания! Администраторы вынуждены совершить одно-единственное возможное действие: отключить систему блокировки. Потому что бизнес должен работать, нельзя же остановить его из-за всяких глупостей. Именно так выяснился принципиальный момент: многие защитные системы у нас настроены таким образом, что когда они срабатывают в полную силу, мы вынуждены их выключать. Именно потому, что компании нужно продолжать работать.
 
Самый дешевый вектор
 
Другой принципиальный момент. Такой подход позволил обнаружить, увидеть воочию самые простые и дешевые векторы нападения. Да, как ни печально, злоумышленники всегда выбирают наиболее дешевый способ атаки, а в ситуации классического пентеста такие методы просто не используются.
 
Когда проводится классический пентест, повторюсь, три сферы —  внешняя, внутренняя и социалка —  разделены. И тот самый дешевый вектор обнаружить не получается, так как он находится как раз на стыке этих трех подходов. Украли учетку из социалки плюс плохой контроль входа в здание, плюс включенный wi-fi на ноутбуках сотрудников…
 
Безалаберность пользователей —  ключ к любой системе. Например, у нас большинство сотрудников использует ноутбуки, но приходя на работу, они на этих ноутбуках не отключают wi-fi, а просто подключаются к кабелю и работают. Злоумышленники прошли в офис запросто —  паровозиком через турникет. К слову, таких шпионов гуляло по всей компании пятеро, и никто на них не обращал внимания. А они ходили по офису и просто сфотографировали экраны ноутбуков сотрудников и таким образом получили пароль от wi-fi и много другой интересной информации.
 
Так вот, ноутбуки сотрудников одновременно находятся в двух сетях. Каким образом? Половина сотрудников с лэптопами ходит в ближайшее кафе, где использует местный бесплатный wi-fi. Ноутбуки запоминают эту точку доступа. При простейшей атаке на wi-fi, когда мы слушаем, какие точки ищет устройство, мы можем поднять нужную точку доступа. Что наши злоумышленники и сделали. То есть они подсмотрели, куда ходят сотрудники с лэптопами, и без проблем вошли в проводную систему компании и, немного потрудившись, получили учетную запись пользователя.
 
Если бы это был классический пентест, нападающие на этом бы и остановились. Пробили периметр, но внутри уже ничего не смогли бы сделать. А тут получилась ситуация, что они получили на социальной инженерии учетные записи, имеют возможную точку входа на периметре, имеют возможную точку входа внизу —  и вот все это они используют в одном месте. Вектор оказался —  дешевле не придумаешь.
 
Apple подставил лесенку
 
А дальше включился другой фактор —  уязвимость, которая связана с тем, как устройства Apple работают с доменом. Если проследовать инструкциям от компании Apple и ввести в Macintosh- устройство виндовый домен именно так, как у них написано, то обнаружится неожиданный нюанс: любая учетная запись, валидная в данном домене, сможет подключаться на ноутбуки сотрудников. Но мы же, ребята, вроде как security AVR, мы занимаемся безопасностью, у нас еще сканеры безопасности есть, которые ходят по этим машинам. Поэтому на всех этих ноутбуках был включен SSH. Соответственно, нападающие, получив учетную запись через фейковый wi-fi, смогли попасть на ноутбук одного из сотрудников ИБ по SSH.
 
После этого пошли особенности работы Apple. Там права доступа на файлы, которые кладутся в home directory, дают лишний RW всем пользователям системы. Оттуда нападающие, немного посидев и дождавшись прихода сканера, увидели, куда идти дальше. Так они перекинулись на макбук дизайнера, а с него —  уже на макбук руководителя мониторинга ИБ. Собственно, это и был провал, потому что злоумышленники получили удаленное исполнение команд на машине, которая имеет не просто повышенные привилегии —  там до админа один шаг.
 
И снова человеческий фактор!
 
И тут снова человеческая ошибка! Один из сотрудников ИБ положил у себя в корневой директории —  ни много, ни мало —  дампы сетевых устройств половины компании. Естественно, с паролем на enable. Все. Ребята, которые нас атаковали, захватили сеть. Так игра и закончилась.
 
Inference
 

Какие выводы? Да, игра стоила свеч. Конечно, компанию трясло 2,5 месяца, а мы в итоге разочаровались в нашей ИБ и практически во всем ПО, которое у нас тогда стояло. Разочаровались в IPS, которые, как оказалось, ничего не останавливают, в навороченных антивирусах, которые не могут справиться с примитивным вирусом, написанным на коленке… Да, это так. Но в результате мы получили опыт и знания, которые нам не дали бы и десять классических пентестов. После проведения таких, по-настоящему боевых атак, мы скорректировали свою систему таким образом, чтобы она защищала от того, что реально применяется, а не от того, что является угрозой надуманной.
 
Вообще, открылось много интересного. Например, оказалось, что наш SOC реально регистрирует около 60 процентов действий нарушителей вместо заявленных 90 процентов. Теперь процесс совершенствования этой системы у нас —  нон-стоп. Раньше этим занималось два человека full time, теперь четыре. Исходя из опыта атак, они корректируют там до десяти правил в день.

 
Но ключевой вывод все же в другом. Он прост и жизненно важен: только комбинированная неконтролируемая атака откроет вам существование дешевого вектора, по которому пойдет реальный злоумышленник. В прошлом году мы такой вектор нашли и закрыли. Посмотрим, что покажет Red Team в этом году.
 

 

Смотрите также

Подпишись на новости!
Подписаться