Как стать автором
Обновить

Комментарии 5

Атакующие давно присматривались к незакрытым стойкам с коммутаторами и тут задались вопросом: «Что, если подключиться напрямую?»

А что бы произошло, если бы им удалось подключиться? Какое бы преимущество получили атакующие?
Преимущества, как и в реальной жизни: нарушитель получает доступ в локальную сеть, обходя периметровые средства защиты. И дальше все зависит от многих факторов: его целей, времени, компетенции, наличия уязвимых хостов и т.п. В условиях PHDays со стороны атакующих важно быстро понять, куда они попали, что можно быстро проэксплуатировать и где-то закрепиться.
Реальный пример: атакующие определили версию контроллера АСУ ТП, нашли эксплойт и ребутнули контроллер. Но тогда они получили доступ в сеть через Wi-Fi-точку доступа. Но что Wi-Fi, что локалка – преимущества атакующего в обоих случаях практически равнозначны.
Еще пример: через тот же Wi-Fi проэксплуатировали уязвимость на WinXP и на ней закрепились (снаружи это было сделать нельзя, т.к. доступ по smb был закрыт).
как минимум, не пришлось бы брутфорсить пароли-логины к точкам доступа и сразу получить Ip внутренней сети, т.е. пропустить несколько шагов по подключению, сэкономить время и (при плохой настройке маршрутизаторов) стать невидимками (ведь если сбрутфорсить пароль к Wi-Fi, то как минимум, получим машину, которая перестала подключаться, и если там есть оператор, то уже возникнут вопросы к техподдержке). А если подключиться напрямую, то шанс, что своевременно не заметят «левое» подключение гораздо выше.
Поясните, пожалуйста, а почему «все было как-то грустно, если даже не сказать уныло»? Судя по рассказу, все довольно бодро…
На самом деле удаленных атак на наш защищаемый объект к вечеру первого дня было не так много. Мы видели подбор паролей, еще какие-то незначительные атаки, потому и заскучали, а вот ночью стало веселее =)
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.