'

Как взламывают сети государственных учреждений

Понравилась презентация – покажи это...





Слайд 0

Как взламывают сети государственных учреждений Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies


Слайд 1

Positive Technologies – это: MaxPatrol – уникальная система анализа защищенности и соответствия стандартам Xspider – инновационный сканер безопасности Positive Research – один из крупнейших исследовательских центров в Европе Positive Hack Days – международный форум по информационной безопасности Мы делаем: Более 20-ти крупномасштабных тестирований на проникновение в год Анализ защищенности веб-приложений на потоке Постоянные исследования, публикации...


Слайд 2

Наш опыт работ показывает, что… 1-2 дня достаточно чтобы «пройти» периметр и стать пользователем внутренней сети 4 часов достаточно для получения максимальных привилегий доступа, находясь во внутренней сети…. В течение 10 минут найдем как минимум 1 критическую уязвимость в 8-ми из 10-ти сайтов госучреждений Обладая достаточными привилегиями можно оставаться незамеченными в информационной системе сколь угодно долго Каждый 5-й пользователь использует «слабый» пароль Аттестат соответствия по 1Г… ISO… в основном не влияет на перечисленные наблюдения выше (!)


Слайд 3

Мифы ИБ или о чем не стоит говорить пойдет речь Миф 1. Мои информационные ресурсы не представляют интереса для злоумышленника поэтому мне можно не защищаться Миф 2. Мой пароль – только мой секрет; системные администраторы используют стойкие пароли к взлому хакерами Миф 3. Мой внешний периметр не преодолим; существует огромная разница между «внешним» и «внутренним» злоумышленником Миф 4. Государственная тайна надежно защищена Миф 5. Злоумышленник через сеть Интернет не может нанести какой-либо ощутимый ущерб в мире реальном


Слайд 4

Миф 1. Мои информационные ресурсы не представляют интереса для злоумышленника поэтому мне можно не защищаться


Слайд 5

Миф 1. Кому нужны мои ресурсы (1/6) Мотивация злоумышленника (в общепринятом смысле): $$$ Just for fun ? … Мотивация злоумышленника (в отношении госучреждений): Отыскать информацию об НЛО Найти приключений на 5-ю точку Прославиться в сообществе … Персональные данные Гостайна Политический протест/Хактивизм $$$$


Слайд 6

Миф 1. Кому нужны мои ресурсы (2/6)


Слайд 7

Миф 1. Кому нужны мои ресурсы (3/6)


Слайд 8

Миф 1. Кому нужны мои ресурсы (4/6) Сценарий для фана 1. В СМИ проскочила новость об открытии портала 2. Парни договорились и пошли ломать 3. Посканировали… 4. Поигрались с параметрами ‘or’1’--++, <“script… 5. И как следствие…


Слайд 9

По данным компании Positive Technologies более 80% сайтов содержат критические уязвимости вероятность автоматизированного заражения страниц уязвимого веб-приложения вредоносным кодом составляет сегодня приблизительно 15-20% http://ptsecurity.ru/analytics.asp Миф 1. Кому нужны мои ресурсы (5/6)


Слайд 10

Миф 1. Кому нужны мои ресурсы (6/6) Типовой результат оказания услуг анализа защищенности веб-приложений для госучреждения Множество уязвимостей из TOP10 OWASP Нестойкие пароли во всех компонентах тестируемой системы Отсутствие эффективного управления обновлениями безопасности Отсутствие понимания имеющихся конфигураций …


Слайд 11

Демонстрация


Слайд 12

Вы и сами можете попробовать sqlmap, Safe3 SQL Injector, SQL Power Injector, Absinthe, bsqlbf, Marathon Tool, Havij, pysqlin, BSQL Hacker, WITOOL, Sqlninja, sqlus, DarkMySQLi16, mySQLenum, PRIAMOS, SFX-SQLi, DarkMySQL, ProMSiD Premium, yInjector, Bobcat SQL Injection Tool, ExploitMyUnion, Laudanum, Hexjector, WebRaider, Pangolin ... http://devteev.blogspot.com/2010/01/sql-injection.html


Слайд 13

Миф 2. Мой пароль – только мой секрет; системные администраторы используют стойкие пароли к взлому хакерами


Слайд 14

Более половины пользователей в Российских компаниях используют цифровые пароли http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf Чем больше сотрудников в компании, тем выше вероятность успешной атаки ПРИМЕР: 1 из 100 при 1.000 = 10, а при 10.000.000 = 100.000 За последние три года (!) в ходе проведения тестирований на проникновение не было ни одного случая, когда не удавалось получить список всех идентификаторов Active Directory с использованием слабостей парольной защиты Миф 2. Пароли, как пароли (1/7)


Слайд 15

Миф 2. Пароли, как пароли (2/7)


Слайд 16

Используется рекомендованная политика по заданию паролей Пароль администратора такой системы? (совпадает с логином) Миф 2. Пароли, как пароли (3/7)


Слайд 17

Как действует злоумышленник? Осуществляет удаленный перебор паролей к интерфейсам приложений (проверяет дефолты, по словарю, комбинированный, целевой) После компрометации системы получает пароли открытым текстом (!) После компрометации системы «сливает» базу с идентификаторами пользователей для последующего локального перебора А оно ему надо? Миф 2. Пароли, как пароли (4/7)


Слайд 18

Миф 2. Пароли, как пароли (5/7)


Слайд 19

Атакующий идет по пути наименьшего сопротивления! 1. Список идентификаторов 2. Перебор 3. Список действующих (!) идентификаторов 3. Верификация доступа; перебор действующих идентификаторов Миф 2. Пароли, как пароли (6/7)


Слайд 20

Вы сами сообщите свой пароль… www.cikrf.ru ~ www.clkrf.ru = WWW.ClKRF.RU Миф 2. Пароли, как пароли (7/7)


Слайд 21

Демонстрация


Слайд 22

Проверь свою парольную политику Покупайте наших слонов ? Remote: Ncrack, thc-hydra, thc-pptp-bruter, medusa, noname bruter… Local: SAMInside , PasswordsPro, john the ripper, cain&abel, LostPassword Passware Kit, Elcomsoft <XXX> Password Recovery, noname… Show: fgdump, Multi Password Recovery, Network Password Recovery, NhT PassView, pstoreview…


Слайд 23

Миф 3. Мой внешний периметр не преодолим; существует огромная разница между «внешним» и «внутренним» злоумышленником


Слайд 24

Миф 3. За (?!) периметром сети (1/7) В помощь злоумышленнику... Огромная страна – огромные сети «Зоопарк» информационных систем Устаревшее железо/ПО повсеместно Много ответственных - мало толку Низкий уровень компьютерной грамотности


Слайд 25

Миф 3. За (?!) периметром сети (2/7)


Слайд 26

Миф 3. За (?!) периметром сети (3/7) Типовое заблуждение – «свой»/«чужой» Иван Васильевич устраивается работать в госучреждение Размещает точку беспроводного доступа Хакер работает удаленно (100м от здания) После взлома происходит слив данных Последствия: Хищение данных/базы данных


Слайд 27

Миф 3. За (?!) периметром сети (4/7) Через какие «дыры» войти? Ошибки сетевого разграничения доступа Рабочие места сотрудников Веб-сайты госучреждений Слабые пароли Сотрудники .....


Слайд 28

Миф 3. За (?!) периметром сети (5/7) Вы считаете, что ваш компьютер защищен от атак со стороны сети Интернет?


Слайд 29

Миф 3. За (?!) периметром сети (6/7) Adobe, Java, веб- браузеры… Бесконечный 0day (!)


Слайд 30

Миф 3. За (?!) периметром сети (7/7)


Слайд 31

Демонстрация


Слайд 32

Каждому по ботнету msf, immunity canvas (VulnDisco SA, …)… - browser autopwn Ad’pacK, CRiMEPAC, Dark Dimension, Ei Fiesta, Eleonore, FirePack, Fragus, Golod (Go-load), Hybrid Botnet system, IcePack, Impassioned Framework, justexploit, Liberty, Limbo, LuckySploit, Lupit, Mariposa, MPack, MyPolySploits, n404, NEON, NeoSploit NeoSploit, Nukesploit P4ck, Phoenix, Siberia, Sniper_SA, SpyEye, Strike, T-IFRAMER, Tornado, Unique Pack, WebAttacker, YES Exploit system, ZeuS, Zombie Infection…


Слайд 33

Миф 4. Государственная тайна надежно защищена


Слайд 34

Миф 4. Все тайное, рано или поздно становится явным (с) В основном – это: Целевая атака Совместная работа группы высококвалифицированных людей (из разных областей) Комплексный сценарий развития атаки Использование (набора) уязвимостей нулевого дня Активное использование недостатков человеческой природы (халатное отношение к инструкциям приводит к предсказуемым последствиям)


Слайд 35

Миф 5. Злоумышленник через сеть Интернет не может нанести какой-либо ощутимый ущерб в мире реальном


Слайд 36

Миф 5. Когда наступит страшно (1/2)


Слайд 37

Миф 5. Когда наступит страшно (2/2) Что можно сделать с информационной системой госучреждения когда на руках есть все «ключи»? … Есть доступ к АСУ ТП… … Массовая диверсия (!) …


Слайд 38

Кто виноват и что делать Не нужно искать виновных, нужно заниматься ИБ Стоит адекватно оценивать имеющиеся угрозы Непрерывно совершенствовать процессы обеспечения ИБ Заниматься практической безопасностью, а не только на бумаге


Слайд 39

Спасибо за внимание! devteev@ptsecurity.ru http://devteev.blogspot.com https://twitter.com/devteev


×

HTML:





Ссылка: