Киберпреступность процветает — с 2013 по 2018 год произошли семь самых масштабных в истории интернета хакерских атак, жертвами которых стали свыше 240 млн пользователей и сотни компаний и государственных сервисов. Однако несмотря на кажущуюся сложность кибератак, как правило, преступники, занимающиеся промышленным шпионажем, пользуются уязвимостями, которые лежат на поверхности — незащищенный Wi-Fi или доступ в помещение, мобильные телефоны сотрудников или формы восстановления паролей. За большинство киберпреступлений несут ответственность именно сотрудники компаний, уверен Роман Ананьев из «Симтек». В рамках конференции PartyHack в Иннополисе он рассказал «Хайтеку», как происходят кибератаки и как защитить себя от промышленного шпионажа.
Опасные и безнравственные
Промышленный шпионаж — это получение выгоды и передача информации. Интересно, но незаконно. Если нам необходимо что-то получить о нашей цели, отправимся на сайт и найдем email. Начнем свой шпионаж с высоких, например, с отдела поддержки. Найдем форму восстановления пароля. Обожаю бинарную форму, которая спрашивает, есть такой сотрудник или нет. Перебираем всех сотрудников, находим их в списке и начинаем фишить. Установили себе Gophish и радуемся, что все работает. В мире нет никого более опасного и безнравственного, чем человек, который знает, что делать.
Gophish осуществляет рассылку писем по заранее заданным шаблонам и спискам email-адресов. А затем ПО использует встроенный веб-сервер для отображения фишинговых страниц. Ссылки для перехода на данные страницы находятся в тексте писем. Для контроля за процессом фишинг-теста используется сущность «кампания» — она объединяет шаблон письма, список адресов со списком «пользователей-целей» (фамилия, имя, email-адрес), фишинговую страницу и набор параметров SMTP. После того как «компания» запущена в интерфейсе ПО можно просмотреть, кто из пользователей перешел по ссылке на фишинговую страницу, а кто нет.
Фактически фишинг происходит по схеме:
- email || username → особенно дефолтные;
- admin panel → dirb + robots.txt
Проникновение на территорию: замки не помогут
Если мы хотим шпионить и получать информацию, то сначала должны зайти издалека. Понаблюдать за целью из дома под прокси. После того, как вывод о наличии необходимой информации сделан, нужно найти здание и проникнуть в него. Но если внутрь не пускают, а радиус действия Wi-Fi не такой большой, в действие идет патч-антенна из фольги и картона. Благодаря этому устройству можно подключиться и посмотреть то, что нужно, отъехав от офиса не некоторое расстояние. Но даже если вы уже посмотрели, получили доступ и данные пользователей, иногда бывает этого недостаточно. Потому что существует авторизация по сертификатам.
Способ атаки через Wi-Fi = MITM & Data Mining
Атака происходит удаленно, если:
- не пускают в здание или на территорию;
- цель далеко;
- есть куда подключиться.
MITM, Man in the middle — атака посредника, атака «человек посередине» — вид атаки в криптографии, когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом.
Одним из примеров является активное прослушивание, при котором злоумышленник устанавливает независимые связи с жертвами и передает сообщения между ними. Тем самым он заставляет жертв поверить, что они разговаривают непосредственно друг с другом через частную связь. В большинстве случаев перехват сообщений происходит довольно просто — в пределах диапазона приема беспроводной точки доступа (Wi-Fi).
Большинство криптографических протоколов включает в себя некоторую форму аутентификации конечной точки специально для предотвращения MITM-атак. Например, TLS может выполнять проверку подлинности одной или обеих сторон с помощью взаимно доверенного центра сертификации.
Data Mining — совокупность методов обнаружения в данных ранее неизвестных, нетривиальных, практически полезных и доступных знаний, необходимых для принятия решений в различных сферах человеческой деятельности.
Когда вы ломаете что-то или попадаете в какую-либо сеть, то важно закрепиться в сети. Поэтому необходимо узнать о ней больше. Первый шаг: github.com/threat9/routersploit. RouterSploit Framework — это фреймвок с открытым исходным кодом, посвященный эксплуатации встраиваемых устройств (роутеров, беспроводных точек доступа). Он включает в себя три группы различных модулей, которые помогают проведению тестирования на проникновение: exploits — модули, использующие выявленные уязвимости; creds — модули, предназначенные для проверки учетных данных сетевых служб; scanners — модули, проверяющие, уязвима ли цель к каким-либо эксплойтам.
Семь пунктов, которые объясняют, что такое промышленный шпионаж:
- Подкуп лица, имеющего доступ к информации, относящейся к коммерческой, служебной или иной охраняемой законом тайне.
- Шантаж в отношении того же круга лиц.
- Внедрение агента на предприятие или в страну конкурента с заданием получить доступ к информации.
- Незаконный доступ к коммерчески значимой информации с помощью технических средств (незаконное прослушивание телефонных линий, незаконное проникновение в компьютерные сети).
- Наружное наблюдение (сложно) как за стационарными объектами конкурентов, так и за их сотрудниками.
- Техническое наблюдение –– новый вид контроля за происходящим, подразумевающий использование технических средств. Например, таких как беспилотник или GSM-трекер.
Второй шаг — поиск уязвимости сети: nmap -sV — script vulners <target>. Nmap (Network Mapper) — это инструмент с открытым исходным кодом, который специализируется на проверке сети и аудите безопасности. Многие системы и сетевые администраторы также считают это полезным для таких задач, как инвентаризация сети, управление графиками обновления службы и мониторинг времени работы хоста или службы.
Научиться взламывать Wi-Fi нетрудно. В интернете сейчас достаточное количество обучающих материалов, а для всех остальных случаев есть Google:
- Handshake — How to Hack WPA/WPA2 Wi-Fi with Kali Linux;
- PIN — Взломать Wi-Fi за 10 часов;
- WPA PSK — PMKID = HMAC-SHA1-128 (PMK. PMK “Name” | MAC AP | MAC STA);
- Google.
Как защитить свою компанию от кибератак?
- Использовать необходимое ПО и ограничивать радиус работы Wi-Fi.
- Устанавливать обновления.
- Использовать WPA2, WPA3 и нормальные пароли.
- Отключить WPS.
- Использовать авторизацию по сертификатам (802.1х + RADIUS).
- Создать Whitelist и не пускать мобильные телефоны.
- Изолированные гостевые входы.
Телефон — ваш враг
Мобильные девайсы в корпоративных сетях — зло. Телефон является вашим врагом и может делать все, что хотите. Не вы хотите, но в зависимости от ситуации. Поэтому не рекомендую подключаться к рабочей сети Wi-Fi. В сериале Mr. Robot была серия, где главный герой пролез в здание корпорации и прикрутил Raspberry Pi к системе охлаждения, и они там все поломали. Звучит это серьезно, но давайте разберемся, как это делать. Это просто и успешно. Начнем с отмычек –– берем пилки и пилим. И в итоге таким способом я смогу открыть туалет. Идем дальше. У нас есть Raspberry Pi, его необходимо привязать и прикрутить изолентой к нему пауэрбанк. Нам же нужна какая-то автономность. Можно положить куда-нибудь, где есть провода. Например, специальные белые ящики, где торчат провода. Подключили и радуемся.
Raspberry Pi — одноплатный компьютер размером с банковскую карту, изначально разработанный как бюджетная система для обучения информатике, впоследствии получивший намного более широкое применение и популярность, чем ожидали его авторы. Всего за пять лет было продано более 12,5 млн устройств Raspberry Pi.
Нет ничего страшнее, чем мобильный телефон. Можно написать любой код и закинуть подобное изобретение куда угодно. Никто не будет трогать, все подумают, что он просто заряжается. У него есть свой канал связи (3G/LTE), так что не придется искать розетку, где воткнуть провод. Если вообще скучно жить, то можно использовать TeamViewer. Если вы не умеете писать код или что-то ставить на TeamViewer. Просто попытайтесь с домашнего компьютера подобрать пароль к Wi-Fi. Также можно зайти на www.hak5.org/gear/lan-turtle, воткнуть Lan Turtle в блок питания, и никто не заметит. Много девайсов находятся в корпоративных сетях, ты находишь миллиард сетей и забиваешь. В таких случаях важно следить за девайсами и сетями, отслеживать подозрительную и вредоносную активность, искать подобные «закладки».
Как бороться с проникновениями на территорию компании?
- Не экономить на нормальных замках и SKUD-системах.
- Разграничивать уровни доступов: гости отдельно, сотрудники отдельно.
- Ставить камеры и датчики: смотреть и реагировать на них.
Используйте для зарядок в офисах и публичных местах USB-condom (устройство, пропускающее только электричество и блокирующее обмен данными — «Хайтек»). Есть так называемая bad USB. Ты берешь кабель, разбираешь, проделываешь всю нужную работу, и в итоге, когда подключаешь телефон, USB атакует его. Их сложно забэкдорить, но у меня вышло.
https://youtu.be/pJAm7-JR_LU
Чтобы такого не случалось, необходимо учить людей. Проблема всех вышеперечисленных случаев заключается в людях. Если будем более аккуратны при подключении USB и будем подключаться к правильным Wi-Fi-сетям, то опасных случаев будет в разы меньше. Например, сегодня в конце первого доклада к моей сети Wi-Fi подключились 50 человек. И за час мне стали известны около 60 IP-адресов. Важно смотреть, что мы делаем. Увидели мусор –– выкинули, или увидели, что телефон валяется чей-то, –– не трогаем, а вызываем саперов. Или, быть может, это кто-то просто уронил телефон. По-другому не получится. Опасность начинается с каждого, но не все хотят этим заниматься.
