Захар Корняков
Пентестер департамента аудита и консалтинга Group-IB
"Анонимность — это как укрыться мягким одеялом", — говорил один из героев боевика “Mission: Impossible”. Но что делать, если спасительного одеяла не окажется под рукой в нужную минуту или оно начнет предательски просвечивать? Однажды сотруднику Group-IB надо было проникнуть на производство фармацевтической компании. Вначале все шло гладко: пентестер представился специалистом фирмы, обслуживающей системы видеонаблюдения, в его легенду поверили, выписали пропуск и пропустили на объект.
Однако сразу на проходной его взяли на прицел два сотрудника IT-департамента, которые внимательно следили за каждым шагом гостя. Разумеется, они не были в курсе проводимого пентеста, а аудитор никак не мог раскрыть им детали операции. Эксперту пришлось включить невозмутимый покерфейс и заболтать своих охранников, чтобы незаметно раскидать на территории объекта “зараженные” флешки. Любопытные сотрудники фармкомпании начали вставлять USB-накопители в свои рабочие ПК, еще когда эксперт Group-IB был на производстве, и увлеченно делали это весь день — в том числе после работы на личных ноутах (упс!)
Кажется, что всё пошло не по плану? И да, и нет. С “физикой” всегда так: планов значительно больше одного, но на месте исполнителю обязательно придется импровизировать, подстраиваясь под ситуацию.
Проникновение на объект заказчика, или физический пентест — довольно деликатная тема. О нем редко говорят в паблике и еще реже делятся советами и рекомендациями. Наша статья приоткрывает завесу тайны, но ни в коем случае не является подробным пособием по взлому систем физической безопасности.
Читайте, вникайте, но помните главное: выполнять любые работы по физическому проникновению можно только при подписанном договоре с заказчиком и непосредственно по поручению работодателя — ни в коем случае не по собственной инициативе. Не забывайте, что в рамках такого рода работ вы попадаете в вотчину людей, занимающихся физической безопасностью. Там совсем другие обычаи и процессы, в отличие от уютной ИБшки: недостаточная оперативность вполне может привести к помятым ребрам и другим физическим последствиям.
Ах да! Все истории придуманы, совпадения случайны, случайности неизбежны.
Договоримся о понятиях: что же такое тестирование на физическое проникновение
Что может быть увлекательнее физического тестирования на проникновение? Правильно — только физическое тестирование на проникновение в период пандемии! COVID-19 повлиял на формат работы всех отраслей. Изменилась и работа пентестеров, в частности при проведении симуляций физических проникновений. В данной статье мы бы хотели рассказать, какие трудности и новые возможности мы увидели во время пандемии и всеобщей неразберихи, а также показать общие подходы, которые следует применять вне зависимости от обстоятельств.
Итак, что такое физический пентест? Это пентест, направленный на проникновение в физический периметр организации, например в офис. Конечной целью может быть конкретное помещение, подключение к офисной ЛВС или проверка работы службы охраны в целом. Физический пентест может быть еще одним вектором преодоления сетевого периметра организации с помощью доставки программных средств удаленного контроля (раскидывание флешек в офисе, их отправка по почте и т.д.)
Можно выделить три основных этапа физического пентеста:
Определение целей
Разведка и подготовка
Исполнение
Этап определения цели отвечает на вопрос: “А зачем я вообще делаю физический пентест? Что я хочу проверить?” Именно на этом этапе заказчик формулирует цели и задачи для исполнителей, будь то добыть со стола главного бухгалтера документы, содержащие коммерческую тайну, или установить муляж прослушивающего устройства в переговорную комнату. Звучит круто, правда? Обозначая цель, заказчик исходит из актуальных для него и злоумышленника моделей угроз и хочет проверить их жизнеспособность. Задача исполнителя на данном этапе — помочь заказчику сформировать сценарии для тестирования.
Этап разведки и подготовки может показаться скучным, но при этом является одной из самых важных частей физического пентеста — если не самой важной. Для поиска информации о компании, ее сотрудниках, офисах и прочем всеми доступными легальными методами исполнителю придется проявить смекалку и мастерство “разведчика”. Сюда входит и подбор инструментария, и разработка легенд, и поиск и доскональное изучение планов этажей и прилегающей местности — другими словами, всё, что поможет пентестеру ориентироваться на месте, на лету придумывать новые легенды и импровизировать в зависимости от обстоятельств. Успех зависит только от фантазии и артистизма пентестера.
Этап исполнения, как несложно догадаться, — это реализация придуманных сценариев проникновения.
Внутренняя составляющая этих этапов может быть разной и зависит от условий работ, которые пандемия как раз и поменяла. А вот в какую сторону — мы вам расскажем дальше.
Не посмотришь — не увидишь, не расспросишь — не найдешь, или Этап разведки
В обычное время можно представить заполненные народом курилки, в которых постоянно слышен смех от офисных баек, и толпы людей в бизнес-центрах, среди которых легко затеряться, не вызывая подозрения. Просто понаблюдав, можно понять, как работает служба охраны и какие процедуры у них практикуются — и это только пассивные методы разведки. Если говорить об активных методах, то к ним относится, например, общение с сотрудниками, которые расскажут много интересного. Можно даже воспользоваться их доверием и сделать их своими проводниками в заветное царство офисных помещений и документов с коммерческой тайной.
Увы, но из-за пандемии все встречи и непринужденное общение перенеслись в виртуальное пространство видеоконференций, пропуска в офис пылятся где-то на полке, а рабочий день начинается с подключения по VPN.
В отсутствие сотрудников в офисах эффективные техники tailgating/piggybacking, а также копирование пропусков становятся недоступными — не разгуляешься в пандемию :(
Tailgating/piggybacking (англ. не соблюдать дистанцию/нести на спине) — попытка пристроиться сзади и проскочить через турникет за тем, у кого есть пропуск.
Этап разведки состоит из двух частей: онлайн и офлайн (on-site), разница которых понятна из самого названия.
Онлайн-разведка может включать в себя поиск и изучение следующих материалов:
Снимков со спутника и панорам
Поэтажных планов здания
Соцсетей и блогов сотрудников и компании
Это не исчерпывающий перечень. Если придумаете еще какой-нибудь способ, можете оставить его в комментариях — будет интересно обсудить. А пока остановимся поподробнее на каждом пункте.
Снимки со спутников и панорамы
Про спутники всё вполне очевидно: смотрим на нужный объект сверху. Данный метод лежит на поверхности, но может принести много полезной информации, например делит ли здание внутренний двор с каким-нибудь еще зданием (можно попробовать попасть во внутренний двор через другую компанию). С панорамами все становится еще интереснее — можно увидеть даже дыры в заборах!
Также получится посмотреть входы и выходы, а если есть панорамы внутри лобби здания, то еще и какие системы безопасности применяются (камеры, датчики, турникеты, СКУД), где стоят охранники, как выглядит персонал (если кто-то попал в объектив камеры) и так далее. Всю эту информацию вы получаете без присутствия на объекте, что не может не радовать, так как чем меньше сотрудники БЦ видят вас и запоминают, тем лучше.
Больше всего с онлайн-разведкой помогут Google и Яндекс. Если говорить про Москву, то Яндекс вне конкуренции: снимки с машины гораздо свежее, а также доступен архив — иногда за несколько лет — с указанием года съемки.
Хинт: время года можно определить по одежде людей, а также по состоянию земли и деревьев.
Поэтажный план здания
Получить планы не составляет особого труда: достаточно зайти на сайт арендодателя, который гуглится банальным запросом “поэтажные планы плаза <name>”.
Обилие поэтажных планов интересующих вас БЦ и других зданий ждут вас в интернете. Но если их не получится раздобыть таким образом — можно попробовать заказать техническую презентацию офиса через менеджера арендодателя.
Такой план несет в себе просто массу полезной информации для пентестера, например:
местонахождение лифтов — как пассажирских, так и грузовых;
местонахождение лестниц, а также их направление (вверх или вниз);
входы и выходы здания;
туалеты и прочие служебные помещения.
Один только этот источник информации уже может подсказать, можно ли как-то в обход турникетов сразу попасть к грузовому лифту, и, как следствие, — на нужный этаж. В конечном итоге при продуманном плане проникновения у пентестера не возникнет вопросов, куда ведет та или иная дверь.
Выше представлен типичный план этажа, где под номерами 1, 3 и 4 обозначены лестницы. Номер 2 — это лифт. Если поискать планы других этажей в этом же здании, то станет понятно, какая из лестниц ведет наверх, а какая — заканчивается на этом этаже. Опыт проверки планов объектов подсказывает, что совмещенные на плане помещения, скорее всего, мужской и женский туалеты.
Соцсети — наше всё: как найти полезные данные о сотрудниках
В современном мире сложно найти человека, у которого нет соцсетей. В своем профиле сотрудники компании могут публиковать фотографии с рабочего места, корпоративов и других мероприятий, где зачастую можно увидеть интерьер офиса. Интерьер поможет понять, какие средства охраны используются, где расположены камеры, как выглядит типичное рабочее место сотрудника (стационарный ПК с проводным доступом в сеть или ноутбук и Wi-Fi). Также такие фотографии можно сравнивать с полученным ранее поэтажным планом, что поможет лучше ориентироваться уже в самом офисе. Стоит помнить, что чем больше пентестер знает о местности, тем увереннее он будет действовать, не выдавая себя.
Многие компании в своих блогах хвалятся офисом, чтобы привлечь потенциальных кандидатов условиями работы (большие диваны, классные чилл-зоны, модные смузильни столовые). Отснятые в офисах репортажи с экскурсиями — идеальный вариант для знакомства с местностью и местными.
“Свой среди чужих”, или Разведка по сотрудникам
Для правдоподобной легенды необходимо знать Ф.И.О. некоторых сотрудников, чтобы в случае, когда вы представляетесь работником компании, вы знали хотя бы отдел, в котором вы "трудитесь", и начальника своего структурного подразделения.
Ресурсы для поиска сотрудников:
Всевозможные агрегаторы информации и соцсети для HR (LinkedIn, hh.ru, career.habr.com и т.д.)
Подписчики в Instagram-аккаунтах и пабликах компаний в соцсетях
Блог компании, где зачастую упоминаются сотрудники
Все методы OSINT, которые доступны пентестеру и которые он применяет во время своих проектов без физического проникновения, можно использовать. В интернете много ресурсов, статей и учебных пособий, посвященных OSINT по сотрудникам, — найти их не составит труда.
OSINT (англ. open-source intelligence) — разведка по открытым источникам.
Один из сценариев проникновения на территорию офиса или БЦ, в котором расположилась “атакуемая” компания, — запись на несуществующее собеседование. Для этого вам понадобится фейковое письмо о том, что исполнителя (пентестера) позвали на собеседование в целевую компанию от имени HR-сотрудника. Сделайте скриншоты или распечатки письма — их могут попросить на посту охраны или ресепшене. Важно указать такие детали, как время и место, а также, для большей правдоподобности, указать руководителя отдела, который якобы будет проводить собеседование.
Наш опыт: проникаем в офис под видом кандидата
Расскажем про наш опыт, когда одним из сценариев была как раз попытка проникнуть в офис под предлогом того, что исполнителя пригласили на собеседование. Мы подготовили письмо с деталями проведения интервью: местом и временем, а также именем человека, который должен был проводить техническую часть собеседования.
Для реализации плана мы отправили это письмо на личную почту исполнителя, и он сфотографировал "приглашение" на телефон. HR-сотрудника компании нашли через LinkedIn, где в графе текущей компании стояла компания заказчика, а сотрудника, который должен был якобы проводить техническую часть собеседования, нашли через блог компании. Профиль в LinkedIn подтверждал актуальность его текущего места работы и позиции.
Когда исполнитель пришел в офис, на посту охраны ему сказали, что на него не заказан временный пропуск. Он показал фотографии письма, охрана позвонила в компанию и сообщила о "кандидате". Затем, после непродолжительного разговора со спустившейся сотрудницей отдела кадров, оказалось, что найденный на LinkedIn HR специалист не работает уже около двух лет. Пришлось сослаться на какую-то ошибку на сайте или в почте и вежливо попрощаться. Бывает и такое…
Офлайн-разведка: принципы работы в поле
В офлайн-разведку (on-site) входит всё, что вы делаете на объекте и рядом с ним, а также любое взаимодействие с персоналом офисного здания и сотрудниками компании, в том числе наблюдение за ними.
Можно выделить следующие методы офлайн-разведки:
Общение с сотрудниками и обслуживающим персоналом
Наблюдение за сотрудниками (униформа, пропуска и т.д.)
Наблюдение за внутренними процессами (работа охраны, ресепшионистов и т.д.)
Получение планов этажей (если не удалось найти их в интернете)
Разведка прилегающих территорий
Фотографирование ключей производителей СКУД (у одного производителя могут быть одинаковые ключи ко всем устройствам)
Прослушивание радиоэфира переговоров охраны
Представленный список не исчерпывающий, так что ждем ваших дополнений в комментариях.
Общение с сотрудниками и обслуживающим персоналом
Общение с сотрудниками компании, а также с обслуживающим персоналом, включая сотрудников клининговых компаний или администраторов столовой, является важным этапом в процессе разведки. От них можно узнать много полезной информации, например:
Какие политики безопасности существуют в компании (флешки нельзя втыкать в компьютер, на этаже дежурят охранники и пр.)
Как пройти на территорию, если забыл пропуск (а также отношение охраны к таким вещам).
Можно ли вдвоем пройти на территорию по одному пропуску.
Какие проблемы существуют в БЦ (постоянно текут краны, не работает лифт, кондиционирование, вентиляция, вонь в уборных и т.д.)
Можно ли, устроившись на работу, выйти до оформления документов.
В зависимости от вашей фантазии и актерского мастерства список может быть расширен, но вы не должны быть слишком навязчивы и вызывать подозрение. Пишите свои варианты в комментариях!
Пример из нашего опыта
Во время разведки исполнитель попытался поговорить с сотрудником компании заказчика, который стоял в курилке. Начался разговор с простого вопроса про клининговые службы, а именно — какие клининговые компании обслуживают данный БЦ, так как есть огромное, просто непреодолимое желание устроиться именно к ним, чтобы мыть полы и пылесосить ковролин. Парень работал в компании уже месяц, а в офисе был всего три раза, поэтому ничем помочь начинающему “клинеру” не смог.
Заметки на полях: чем меньше времени люди проводят в офисе, тем с меньшей вероятностью смогут узнать в лицо коллегу или же понять, что перед ними человек, который в данном месте находиться не может. Также, возможно, сотрудники будут меньше знать про внутренние политики безопасности: если в офисе ты постоянно наблюдаешь, как коллеги ведут себя в разных ситуациях, то на удаленке ты сам по себе.
Еще одно интересное наблюдение, сделанное при работе в условиях пандемии: когда поток людей снижается, сотрудники, которые не особо любят коммуницировать с незнакомцами, чувствуют облегчение, однако любители пообщаться начинают испытывать сильный зуд от недостатка общения. Например, наш сотрудник решил поговорить с персоналом в столовой, и администратор рассказала ему практически все о внутренних процессах: какие компании обслуживают БЦ, как проникнуть на парковку, вход на которую осуществляется только по пропускам (администратору приходится регулярно ходить туда за посылками). С ней можно было долго разговаривать, так как посетителей все равно не было.
Правда, отсутствие людей сказывается и негативно: замученная бездельем охрана становится более бдительной, у них обостряется “синдром вахтера”. Например, они могут встрять в ваш разговор с секретарем и начать задавать вопросы а-ля “чоздесьделаем?”
Заметки на полях: если говорить про места общения с сотрудниками, то лучше всего для этого подходят курилки: непринужденная обстановка позволяет легко вступить в диалог с незнакомцем. Также это отличное место, чтобы поближе рассмотреть пропуск, его формат, а может быть, и попытаться его скопировать, показывая маршрут на телефоне. В зимнее время, когда все в куртках, больше подходят столовые, кафе — в общем, любые места, куда сотрудники ходят на обед.
Получение планов этажей
Тут все просто: раньше мы уже говорили, каким кладезем информации является поэтажный план помещений, а теперь расскажем, как его получить, если вам не удалось найти его в сети или заказать у менеджера арендодателя. На помощь придет план эвакуации — это тот же самый поэтажный план помещений, разве что на нем может быть меньше информации. Но где находятся входы и выходы, какие лестницы ведут на нужный этаж и как добраться до грузового лифта — разобраться можно.
Наблюдение за внутренними процессами
Под внутренними процессами подразумевается все, что связано с охраной, курьерами, корреспонденцией, посетителями, обслуживающим персоналом и текущими техническими проблемами объекта.
Ни для кого не секрет, что в зависимости от времени суток охрана может как наращивать присутствие, так и, наоборот, оставлять одного охранника на ресепшене, который из-за матча по футболу не будет даже смотреть в сторону прыгающего через турникеты нарушителя. Также охрана может присутствовать на этаже в дневное время, а в ночное и вечернее в офисе будет пусто. Например, возле турникетов и лифтовой зоны в дневное время дежурит охранник, который следит, чтобы никто не пропускал гостей по своему пропуску. В вечернее время эти ребята уходят домой и остается только охранник на посту в районе ресепшена или входа.
Заметки на полях: в БЦ, где располагается офис одного из наших заказчиков, к турникетам до полуночи можно было подойти через продуктовый магазин, миновав зону ресепшена, где после 18:00 сидит всего один охранник, увлеченный своей мобилой.
Курьеры в различных БЦ ведут себя по-разному: где-то проходят прямиком к офису нужной компании, где-то передают свои посылки перед турникетами в гостевой зоне, а местами им даже выдают гостевой пропуск. Необходимо отмечать все эти моменты во время разведки: сценарий с переодеванием в курьера или обслуживающий персонал никто не отменял ;)
Если вы решили проработать вектор с прохождением собеседования, то стоит понаблюдать за этим процессом со стороны. Посмотрите, что происходит, когда человек просто приходит и сообщает, что он на собеседование. Встречают ли его в холле, так что ему не нужно обращаться на ресепшен, или выдают временный пропуск, или пускают с сопровождающим. Может быть, сопровождающего и вовсе нет и посетитель волен идти, куда захочет. Исходя из полученной информации, можно опять формировать подходящие сценарии.
Наблюдайте, как проходит обслуживающий персонал. Им открывают отдельную калитку, когда они идут с ведром, шваброй или набором инструментов? Или в любом случае они сначала показывают пропуск и только потом их пропускают? Все это нужно знать для сценариев с переодеванием в форму курьера, клининговой фирмы или строительной компании, которая так удачно проводит рядом ремонтные работы. То же самое относится к всевозможным лифтерам, сантехникам и т.д. Важно понимать, у кого из них есть пропуск, кому и как выдается временный, или, возможно, их пропускают без особых вопросов.
Запаситесь различными спецовками — технические проблемы объекта также помогают сформировать сценарии, например: “Поступила заявка, вот я пришел чинить лифт”.
Разведка прилегающих территорий
Под прилегающими территориями подразумеваются различные площадки внутри объекта, где ведутся, например, ремонтные работы. Обычно подобные работы приводят к тому, что открывается “запасной вход”, через который выносят строительный мусор и вносят различные крупногабаритные предметы. Примечательно, что охраны у таких “входов” всегда меньше, чем в фойе, поэтому имеет смысл проверять прилегающую территорию: вдруг кто-то так удачно для вас причиняет местным обитателям “временные неудобства”. Подобные “входы” могут вести к грузовому лифту, ведущему на нужный этаж, а там и эвакуационная (пожарная) лестница тут как тут. Не успеешь оглянуться — и ты уже в нужном офисе.
Различные кафе и столовые рядом с целевым офисом тоже стоит разведать. Например, кто-то из сотрудников забудет там свой пропуск, и вы сможете просто его забрать. Еще одна причина, по которой все же стоит проверить прилегающие территории, — это хорошее место, чтобы понаблюдать за сотрудниками, вплотную рассмотреть пропуска, бейджики, узнать, какой дресс-код используется в офисе.
В разведке все средства хороши — комбинируйте онлайн с офлайном и пишите свои идеи в комментариях! И не забывайте о том, о чем мы предупреждали в начале статьи: выполнять любые работы по физическому проникновению можно только при подписанном договоре с заказчиком и непосредственно по поручению работодателя! Продолжение — Часть 2