От Brute-Force до покушения на приватность – с чем сталкиваются SaaS провайдеры
Дисковые битвы на светящейся Арене
Я в детстве смотрел Tron и компьютерная сеть была для меня сказкой. Потом были Hackers, которые добавляли романтизма. Были споры с друзьями о том, что Linux круче Windows без понимания, что операционные системы вообще из себя представляют.
Низкоскоростной интернет с повремёнкой. Одноразовые карты со скретч-полями, под которыми были логины и пароли. В России появлялись домовые локалки, они разрастались на целые районы. Из них рождались первые местные интернет-провайдеры. Админом, биллингом, монтажником и техподдержкой был сосед, чуть более просвещенный чем ты сам.
И здесь мы притормозим рассказ. Локалки строились на неуправляемом оборудовании, квалификация администратов и сетевых инженеров оставляла желать лучшего. Аплинки были узенькими и гонять трафик за пределами локалки было дорого. Мало того, что технически сеть была довольно низкотехнологичной, у владельцев сети часто не было понимания, да и желания что-то улучшать – деньги текут, абонентская база растет (а куда ей деваться, конкуренции нет).
В общем, мой BLT-дисковод только что перешёл в AWOL
Юные пытливые умы пытались извлечь максимум пользы из имеющихся ресурсов. Где-то работала фишка с покупкой одной скретч-карты и одновременной активацией несколькими пользователями. Бывало, что логины/пароли на картах генерировались по довольно глупым алгоритмам и путем перебора можно было найти подходящее сочетание.
В локалках более продвинутые скрипт-киддис пользуясь тем, что трафик можно было сниффить собирали логины и пароли, инициировали сессии под чужими реквизитами доступа. Опять же, провайдер мог совершенно бездумно использовать логин пользователя, состоящий из номера договора, которые просто были непрерывной последовательностью каждый раз прирастая по одному, а пароли были просты и легко перебирались подручным софтом. И я сталкивался с такими ситуациями даже на свежепостроенных сетях федерального, а не местечкового провайдера в 2007 году. Школьника, отбрутившего соседей, и его мать обрабатывала милиция. Чем для ребенка закончилась тогда ситуация не знаю.
Факт в том, что неправомерный доступ был зафиксирован только из-за настоятельных жалоб пострадавших сторон и жадности школьника, который, обнаглев, подставил соседей по сегменту внутренней сети на существенные для них деньги. У федерального провайдера не было механизмов контроля доступа достаточных, чтобы обезопасить своих абонентов.
С той информацией, которая мне доступна, я могу быть от 900 до 1200 раз эффективнее человека
Итак: неуправляемое оборудование – зло. Управляемое оборудование – добро. Если есть кому его настроить. Настроили VLAN-ы до каждого абонентского устройства и избавились от жаждущих чужого трафика школьников. Да и аплинки подешевели, ввели безлимитные тарифы повсеместно, тянуться к чужим минутам или мегабайтам стало бессмысленно.
Общая тенденция такова, что по достижению определенного технического уровня и после окончания активной стройки сетей по городу провайдеры в борьбе за доходы начинают «оптимизировать» количество инженеров и администраторов активного оборудования. Для федеральщиков это выглядит как сокращение количества персонала на местах, удаленный мониторинг и управление сетью. Фактически нагрузка на одного специалиста растет и растет количество ошибок по человеческой невнимательности. Так что инцидент уже из наших дней – криво настроенный у провайдера VLAN «протёк» и сеть зафлудило паразитным трафиком и интернет в нескольких офисах одного клиента, покупающего услугу организации единой сети на всю сеть офисов, лёг. Детектирования таких ситуаций предусмотрено не было, офисы клиента полдня сидели без интернета напрягая своих админов. После того, как озлобленный клиент пробился через «выключите/включите/перезагрузите» операторов колл-центра на третью линию техподдержки провайдера, которая сидит на расстоянии в половину страны, а не просто соседнем городе, проблему устранили.
Несколько лет назад в одном из наших клиентов мы видели ситуацию, когда был не полностью настроен коммутатор оператора мобильной связи. Это позволило мошенникам подцепиться и транзитом прогнать роуминговый трафик через оператора связи.
При этом с успешными целевыми атаками на инфраструктуру операторов связи (если исключить злоупотребление дырами в механике всяких реестров запрещенных сайтов и кривые настройки инфраструктуры) я почти не сталкивался. Это специфика того, что средняя квалификация админов провайдера выше, чем у других компаний без IT-специализации. Вся критичная инфраструктура обычно извне недоступна. Получается, что проще увести базу клиентов или какую-то значимую коммерческую информацию у какой-то другой конторы, чем у провайдера.
В нашем собственном опыте отражение атак является частым явлением. У нас часть ресурсов должна быть доступна извне – различные личные кабинеты. Целью таких атак является получение доступа к машинным мощностям для дальнейшей рассылки спама, использования серверов в зомби-сети для атаки на другие сервера, майнинг. Боремся с такими атаками за счет ужесточения политик безопасности, настройкой дополнительных правил на файерволлах, постоянным мониторингом загрузки ресурсов, запущенных процессов, системой алертов о подозрительных активностях. cron и Zabbix – наши друзья и помощники :D
Ситуация немного осложняется тем, что для быстрого масштабирования мощностей иногда приходится быстро подключать облачные мощности используемых дата-центров, где размещаются наши решения. В этом случае возникает еще один вектор атаки через инфраструктуру дата-центра и для нас это увеличение рисков, потому что и как настроена безопасность специалистами дата-центра нам не всегда известно, так как это их зона ответственности. В своих решениях мы стараемся использовать ПО третьих лиц, которые специализируются на сетевой безопасности – было бы самонадеянно считать, что наш опыт в биллинговых системах позволит нам обеспечить максимальную сетевую защиту без привлечения специалистов и специализированных продуктов.
Я очень стар, но еще помню, что MCP — всего лишь шахматная программа
Все же мне надо оправдать использование Brute-Force в названии статьи и сказать что-то о современности. Нормальная настройка активного оборудования исключает работу таких грубых методов у самого провайдера. Поэтому фокус переносится на конкретных клиентов и ту инфраструктуру, которую они разворачивают часто самостоятельно или получают с дефолтными настройками.
В зоне риска IoT-устройства, компьютерное оборудование с открытыми сетевыми сервисами. Это если на каком-то подготовленном сайте вы слишком часто ошибаетесь при авторизации, то вам ограничивают доступ и вешают таймаут на попытки с одного сетевого адреса или на подключение к аккаунту. А вот перебор паролей к какому-нибудь локальному роутеру или серверу, доступному извне, может продолжаться долго.
В современных реалиях особняком стоят механики мошеннических схем с подменами номеров телефонов и рассылками спама. Обман на стыке технологий и социальной инженерии.
Для минимизации рисков и защиты абонентов у операторов связи используются системы фрод-контроля. Фактически фрод-контроль – алгоритмизированный способ обнаружения подозрительной/отличающейся от естественного поведения активности в сети провайдера, и применения заранее прописанных сценариев дополнительной проверки и оповещения ответственных лиц. В зависимости от вендора и стоимости функционал может отличаться, системы фрод-контроля могут быть полностью программными или быть программно-аппаратным комплексом. Сама по себе система фрод-контроля панацеей не является. Прецедент из нашего опыта: оператор, которого мы обслуживали был подключен к одному из операторов «большой четверки» как к вышестоящему оператору. У этого большого оператора довольно навороченная система фрод-контроля. Но во время майских праздников никто не отслеживал всплески и отклонения, зафиксированные фрод-мониторингом. За праздничные дни злоумышленники прогнали через оператора большой объем трафика. Потом инженеры вышли с отдыха и понеслось – мониторинг SIM-карт, СОРМ, ФСБ, контроль пополнений, отслеживание местоположений и т.д. Когда такая ситуация возникает, то от оператора связи требуют аналитические отчёты по запросу правоохранительных органов или решению суда. Мы как организация обслуживающая биллинг бываем вовлечены в процесс, если спецы оператора сами не могут извлечь нужные данные, накопленные во время биллингования, или правильным образом их нормализовать.
Отдельная дыра в безопасности – смартфоны с включенным WiFi, которые осуществляют поиск известных им сетей, транслируя SSID. Такие смартфоны можно отследить с помощью специальных устройств, мимикрирующих под знакомую смартфону сеть. Смартфон, видя знакомую сеть, фактически отдает пароль злоумышленнику, в попытке подключиться. Но это уже угроза вне компетенций операторов связи.
Если ты, читатель, параноик, то выключай вайфай выходя из дома на смартфоне! Хотя, что это я. Если читатель параноик, то он уже это делает без напоминаний.
Поэтому я создал свой цифровой клон. Способный мыслить, как ты и я. Я назвал его Клу
Если в целом оценивать ситуацию по рынку, то из крупных и очень требовательных по безопасности компаний наши решения проходили проверку информационной безопасности у трех компаний из большой четверки и у нескольких банков. Наши решения проверялись на отсутствие уязвимостей специализированным софтом и ответственными сотрудниками со стороны оператора/банка, после чего выдается заключение на допуск во внутреннюю инфраструктуру и работу с данными.
У средних операторов ситуация на порядки хуже. Там нам приходится использовать свои наработки для фрод-контроля, потому что у заказчика просто может не быть отдельного специализированного решения и давать рекомендации по обеспечению безопасности разворачиваемых решений, в последнее время данный сегмент рынка стал охотнее использовать вариант размещения BSS решений на нашей площадке.
Мне кажется, что на Хабре большинство знает, что такое СОРМ. Провайдеры дублируют трафик в рамках СОРМ, отдают данные пользователей по запросам правоохранительных органов и решениям суда. Это еще одна область взаимодействия с данными абонентов, от качественного и своевременного взаимодействия с данными ресурсами теперь для оператора зависит очень многое. Нами накоплен ценный опыт в данном направлении который позволяет выполнять требования законодателей и сдавать сети контролирующим органам в достаточно короткие сроки. В этом направлении нам приходится внимательно отслеживать все изменения в данном вопросе и реагировать на них оперативно.
В контексте борьбы с пандемией вводятся механизмы контроля, которые однозначно идентифицируются людьми как покушение на приватность. Данные собираемые операторами используют для оценки плотности граждан в разных локациях и для контроля контактов инфицированных в разрезе конкретных устройств и абонентов. Сложно переоценить значимость данных, которые сейчас предоставляется операторами связи и возможности, которые открываются для их использования. Консолидация огромного количества чувствительных данных открывает новые векторы и для атак. И если храниться эти данные будут не у операторов связи, которые десятилетиями выстраивали защиту и учились на своих ошибках, то это вызывает обоснованное опасение. Насколько хорошо собранные базы будут защищены и будет контролироваться доступ к ним достоверно не известно. Не понятно, что останется из средств контроля через несколько месяцев, год или два, когда эпидемиологическая ситуация нормализуется. Что вы про это думаете?