Байки по кибербезопасности: играем в «Правда или ложь»

Привет, Хабр!

Правила игры простые: я рассказываю историю про аудит безопасности, а вы оцениваете, правда это или нет. Под спойлером — ответ.

1. «Суперпроводимость»

Проводим экспертный аудит в крупном производственном комплексе. Последнее время заказчики часто выбирают дистанционный формат сбора информации. Но в данном случае заказ был очный, то есть мы с аудиторской командой приезжаем на проходную, дальше планируется, что мы будем ходить по территории и искать всякие радости для внутреннего злоумышленника. И вот мы стоим и готовимся получить пропуск, а в это время по всему производству отключается электричество. Заодно останавливается вся производственная линия, что по масштабам проблемы примерно равняется дню П. Ни о каком аудите речи, конечно, уже нет. Мы около часа сидим на проходной, пытаемся дописаться до наших пентестеров (вдруг они «постарались»), а потом узнаём, что причиной инцидента стала полевая мышь: она залезла в щитовую и закоротила собой электрику.

Ответ

Правда. Такое случается суперредко, но тут звёзды сошлись. Завод старый, его построили примерно в 40-х. С тех пор не особо думали про отказоустойчивость и второй контур питания, а редкие сбои «лечились» силой воли электрика. Из-за особенностей пищевого производства грызунов довольно много, и они перебирают все места, куда не надо залезать. Этой мыши не повезло особенно.

2. «Новогодняя ёлка»

Тест на проникновение. Задача — получить доступ из корпоративного сегмента в технологический, по возможности — к серверам АСУ ТП. Неделю мы его колупали, а потом прошли. Оформили доказательства, отправили заказчику. Но скриншоты в отчёте с чёрным фоном из терминала Kali с перечислениями уязвимостей и подробным описанием оказались для заказчика не очень убедительными: в систему защиты были вложены деньги, всего этого просто не может быть! В очередной раз получив комментарий «Это к ничему страшному не приведет», наш пентестер психанул и нарисовал лампочками на пульте управления SCADA-системой (в тестовом сегменте) ёлочку. Вопросов у заводчан сразу не осталось.

Ответ

Не совсем правда. Это была не ёлочка, а довольно короткое русское слово. Лампочек хватило. Заводчане оценили, вопросов больше не было.

3. «С 1 апреля, Олег!»

Идёт аудит промышленного предприятия. На BI-сервере в планировщике задач находим «логическую бомбу». Судя по датам скриптов, коллеги решили оставить подарок одному из админов на 1 апреля. Работало это следующим образом: при заходе на сервер под определённой учётной записью он просто уходил в ребут. 1 апреля давно прошло, а задача так и осталась активной и работала на время аудита уже два года. Её просто забыли удалить. Удаляли вместе с админами с неохотой: всё-таки шутка хорошая.

Ответ

Правда. Это одна из площадок промышленной компании. Когда комплекс большой, серверов много, можно годами не заходить на них, типа «работает — не трогай».

4. «Гарантированное уничтожение»

В проекте по социальной инженерии нашей задачей было получить конфиденциальные сведения о клиентах банка через различные векторы: попытки проникновения на территорию, звонки работникам, отправку писем и многое другое. Во время изучения территории компании выяснилось, что работники банка просто выкидывают в мусорный бак анкеты на получение кредитов, заявки и прочие документы с персональными данными. Эти данные очень пригодились бы нам в отчёте. Подумав, что делать, мы дали 100 рублей парням, которые искали стеклотару и металл в мусорных баках, чтобы они достали нам нужные бумаги.

Ответ

Правда. Хотя и существует огромное количество способов безопасного уничтожения — от бумажных коробов «покорми бобра» до шредеров и контрактов на уничтожение документов, — всё равно встречаются компании, которые хотят на этом сэкономить. А некоторые даже проявляют фантазию. Я знаю одного оператора связи, который с крематорием договаривался.

5. «Ветер перемен»

Задача проекта — развернуть удостоверяющий центр для заказчика, а заодно и получить все нужные лицензии. Проектная команда хорошо выполнила требования регуляторов и подготовила заказчика к проверке. Сотрудник регулятора на аудите просто не знал, где найти нарушение. В итоге, чтобы не уйти совсем ни с чем, проверяющий записал в протоколе, чтобы мы… поставили на окна кабинета москитные сетки, потому что ветер может унести конфиденциальные документы. Сетки поставили, документы пообещали убирать в шкафы, проект успешно закрыли.

Ответ

Правда. Есть виды деятельности, которые лицензируются. Приезжает проверяющий, задача которого — найти нарушение. Наша задача — сдать без нарушений. Если он ничего не найдёт, то будет ощущение, что он съездил зря и работу выполнил плохо, поэтому находит всегда. Отдельный уровень атаки на проверяющего — иногда оставлять очень маленькое заметное нарушение, чтобы он от безысходности не копал дальше или закончил быстрее.

6. «Plants vs. Zombies»

Аудит крупного агропромышленного комплекса. Мы проверяем базовые настройки безопасности в технологическом сегменте. Определяем выборку SCADA-систем, авторизуемся на выбранном сервере… и на рабочем столе нас встречает ярлычок игры «Plants vs. Zombies». На вопрос: «Зачем это здесь?» — специалисты только пожали плечами: «Скучно иногда...» Запустили игру, а там неплохой рейтинг. Удаляли местные админы с указания руководства под грустные взгляды техперсон��ла: теперь заново придётся всё проходить.

Ответ

Правда. Таких случаев — куча. В технологическом сегменте нет Интернета, поэтому версия даже не браузерная. Пользователь часто (!) сидит под админом, поэтому может поставить чёрт знает что. Были прецеденты и с пиратским софтом с торрентов с вредоносом на борту.

7. «Автозамена»

Задача проекта — разработать комплект организационно-распорядительной документации для клиента. Для части документов уже были хорошие наработки, и наш аудитор из проектной команды решил их переиспользовать, так как сфера деятельности компаний была одинаковой. Разница была в том, что у компании, наработки которой были использованы, во главе был «Президент», а у той, в которую переносились данные, — «Генеральный директор». Воспользовавшись автозаменой, аудитор заменил всех «Президентов» на «Генеральных директоров» и, довольный, отправил документы клиенту. Работа сделана! Через некоторое время получил ответ, один из комментариев звучал: «%username%, спасибо! Но в Российской Федерации всё еще Президент, а не Генеральный директор, поправьте, пожалуйста!»

Ответ

Да, правда. Он просто не знал историю про энциклонгов.

8. «Амнистия»

Мясоубойное производство. Во время внутреннего тестирования на проникновение удалось получить доступ к системам, отвечающим за производственную линию. Вот только пока мы сдавали результаты, у заказчика каким-то образом пошёл слух, что в результате нашего успешного пентеста хакер может спасать животных и выпускать их на волю. Представьте: открываются двери, и счастливые животные убегают в закат, а не попадают в колбасу.
Слух дошёл до самых верхов, всё руководство ждало хайпа и пруфа, как мы это сделали. Была собрана отдельная встреча для демонстрации этой возможности с технологом предприятия и ключевыми руководителями... В течение часа мы прошлись по всей производственной цепочке и возможностям скомпрометированной системы.

Ответ

Неправда. Полученные права позволяли навредить производственному процессу, но вот двери «в закат» открывались другой системой. Животным наши пентестеры не помогли, а вот стать клиенту защищённее — точно да. Кстати, доступ мы получили, потому что подрядчик оставил кое-какие файлы в общем доступе и забыл их удалить после приёмки системы в эксплуатацию. Дальше мы сами не помним, как пошёл слух. Потом объясняли технологу, как это работает. Точнее, как это не работает.

9. «Международная кибератака»

Внешнее тестирование на проникновение крупного производственного комплекса. Мы в рамках пентеста атакуем внешние веб-ресурсы. Заказчик решил сделать «слепое» тестирование, то есть специалисты по реагированию на инциденты с его стороны не знали про наш контракт. Руководство хотело на практике посмотреть, как среагируют специалисты. В ходе проекта нам помогал в том числе коллега из Белоруссии. Специалисты группы реагирования зафиксировали мощные атаки на инфраструктуру и решили действовать по всем правилам: помимо попыток блокировки, сообщили об инциденте во все необходимые органы, и уже спустя сутки к нашему коллеге приехала опергруппа задерживать «международного хакера». Пришлось долго объяснять, что всё по закону.

Ответ

Правда. Во-первых, мы не скрываем своих IP, потому что заказчику во время такого теста всё же нужно знать, где наша работа, а где может быть параллельная реальная атака. Поэтому при подписании документов мы всегда даём перечень своих IP-адресов, с которых будет проводиться пентест.

Во-вторых, да, при подписании контракта заказчик может не оповещать свой отдел ИБ — такая классическая проверка для поддержания отдела в форме.

В-третьих, отдел ИБ заказчика отработал правильно:
подал запрос провайдеру, затем — в правоохранительные органы. Те, увидев атаки с айпишников не в РФ, уже готовы были рапортовать о предотвращении
международной кибератаки.

10. «Чтиво перед сном»

Руководитель службы ИБ заказчика, которому мы оказывали сервисные услуги, обнаружил в одном из коридоров утерянную флешку. После стандартной проверки на вирусы всеми доступными способами на автономном ноутбуке (а вдруг «социальная инженерия») на носителе обнаружился довольно большой архив. Закралось подозрение: возможно, кто-то решил вынести базу клиентов или иные важные данные, но не донёс и просто потерял носитель. Архив оказался запаролен, после чего подозрение на инцидент ещё больше усилилось. Файл передали нам, мы поставили перебирать пароли. Через день мы стали счастливыми облада��елями примерно сотни детских книжек, которые сотрудник, видимо, скачал и нёс к себе домой. Некоторые книги мы потом читали сами.

Ответ

Правда. Вот только на таких флешках, как правило, находятся более интересные вещи: инфицированный зарплатный реестр или самораспаковывающийся архив с фото с корпоратива. Мы сами часто разбрасываем такие на проектах по пентестам.

11. «Без вахтёра»

Экспертный аудит промышленной компании. Задача — получить доступ на территорию производства. Заметили, что гардероб, где сотрудники оставляют вещи, находится в общей зоне до СКУД и никак не контролируется. Работники сами вешают свои вещи и сами забирают, а потом проходят через турникеты. В обеденное время они часто оставляли свои пропуска на внутреннем подоконнике, когда снимали вещи с вешалки, после чего забирали их обратно. Я притворился работником компании и провёл некоторое время в гардеробе во время обеда. С помощью дубликатора RFID-карт получилось быстро скопировать пропуск и пройти на территорию предприятия. Компании после аудита пришлось заменять тип пропусков и добавлять в СКУД функцию «фейсконтроль».

Ответ

Неправда в этот раз. Некоторые современные RFID-карты защищены от replay-атак, поэтому скопировать их, а потом сэмулировать и попробовать пройти не получится. Так случилось в этот раз, хотя обычно мы имеем дело с простыми картами, работающими на низкочастотных протоколах, которые слабо защищены.

12. «Посмотри там сам»

Производство, работы по пентесту. Есть перечень целевых сегментов с чёткими ограничениями на работы. Однако это всё осложняется тем, что инженер-сетевик — в отпуске. Никто не знает, куда подключать ноутбук специалиста. В итоге открыли коммутационный шкаф, дали схему сети и оставили нас самих разбираться. Через три дня подключились куда нужно, выполнили работы, сами согласовали отчёт и сами всё поправили. В итоге и заказчику помогли, и в понимании сетей потренировались.

Ответ

Правда. Такое случается нечасто, и в данном случае скорее была организационная проблема. Работы шли на заводе с разными юрлицами. Работы по одной АСУ ТП прошли штатно. У второго заказчика — схожая инфраструктура на той же площадке, но ответственный специалист — в отпуске. Вызвонили, он подключился по удалёнке в АСУ ТП, открыл нашему специалисту схему сети и пошёл обратно в отпуск. Из пяти заложенных рабочих дней три было потрачено на то, чтобы понять, куда воткнуться и с чем работать, потому что другие специалисты на местах подсказать не могли.

13. «Яблоки»

Проект по «социалке». В далёком северном городе был согласован с заказчиком вектор атаки «Road Apple», когда «разбрасываются» флешки с вредоносным ПО. Лучше всего подходили принтеры с usb-разъёмом: в них мы и оставили носители. После первого дня атаки все флешки пропали. Мы обрадовались и разложили новые. Они тоже пропали. На третий день — аналогично. За всё это время подключений до нашего сервера не было. Стали смотреть со службой ИБ по камерам — оказалось, что все флешки забирала себе уборщица: она стала ещё одним рубежом защиты от «социалки».

Ответ

Правда. С этих флешек печатают документы и часто забывают их в принтерах. Как выяснилось, их там годами тырила уборщица. Что она с ними делала, я не знаю.

14. «Among Us»

В проектах по тестированию на проникновение мы стараемся придерживаться реалистичных моделей нарушителя. Выезды на объекты к заказчику — не исключение. Был проект у крупного ритейлера по анализу внутренней сети. Мы купили фирменную футболку этой самой сети. Надев её и использовав пару нехитрых приёмов социальной инженерии, удалось проникнуть… в служебные помещения магазина и поставить там устройство для удалённого взаимодействия с корпоративной сетью заказчика.

Ответ

Неправда, всё оказалось проще. В данном случае проникновение в корпоративную сеть заказчика было через служебную Wi-Fi-сеть, для которой удалось подобрать пароль. Все работы мы сделали с детской площадки под «грибком» прямо рядом с магазином.

15. «Мордой в пол!!!»

Некоторые заказчики уделяют много внимания физической безопасности, что иногда вызывает казусы при проведении работ. Один раз нам нужно было проверить безопасность системы на полевом уровне. Речь идёт о ряде устройств, размещённых вне основного физического контура заказчика. Сотрудник заказчика сопроводил, открыл помещение и уехал для решения своих вопросов. Наш специалист остался работать. Через некоторое время подъезжает машина, начинается суматоха, и вот на нашего специалиста уже направлен автомат. Спустя несколько нервных и крайне напряжённых минут удалось дозвониться до представителя заказчика и разрядить обстановку.

Ответ

Неправда, но это распространённая байка в среде пентестеров. Но когда ты работаешь в серверной под присмотром автоматчиков на очень важных аудитах — вот тогда действительно неуютно.

16. «Аццкий пароль»

Проект по защите персональных данных, станция переливания крови. Вместе с главным врачом в ночи доустанавливаем платы доверенной загрузки на компьютеры пользователей. Остался один отдельно стоящий локальный АРМ. Пользователь работает под админом, пароля никто не знает.

Звоним в ночи работнику — просим сообщить пароль. Мужчина долго мнётся, говорит, что сам сейчас приедет, всё введёт и прочее. Уверяем, что в этом необходимости нет, сами всё быстро сделаем. На той стороне трубки — глубокий вздох… Пароль «Розовая кошечка 777» в английской раскладке. Стараемся не смеяться, говорим «спасибо», завершаем работы.

Ответ

Правда. На самом деле в рамках работ по социальной инженерии каких только паролей мы не видели. Этот еще нормальный. Те вообще цензура бы не пропустила.

Уверен, что у каждого, кто работает в области кибербезопасности, есть не одна история, которой хочется поделиться. Главное в нашем деле — назвать ее байкой, и рассказать как анекдот.

Александр Морковчин

Руководитель группы департамента консалтинга центра информационной безопасности компании «Инфосистемы Джет»

Спасибо Владимиру Ротанову, руководителю группы практического анализа защищенности «Инфосистемы Джет», за помощь в написании поста.