Иннополис 23 ноября 2018

Роман Ананьев, «Симтек»: причина всех кибератак — невнимательные люди

Далее

Киберпреступность процветает — с 2013 по 2018 год произошли семь самых масштабных в истории интернета хакерских атак, жертвами которых стали свыше 240 млн пользователей и сотни компаний и государственных сервисов. Однако несмотря на кажущуюся сложность кибератак, как правило, преступники, занимающиеся промышленным шпионажем, пользуются уязвимостями, которые лежат на поверхности — незащищенный Wi-Fi или доступ в помещение, мобильные телефоны сотрудников или формы восстановления паролей. За большинство киберпреступлений несут ответственность именно сотрудники компаний, уверен Роман Ананьев из «Симтек». В рамках конференции PartyHack в Иннополисе он рассказал «Хайтеку», как происходят кибератаки и как защитить себя от промышленного шпионажа.

Опасные и безнравственные

Промышленный шпионаж — это получение выгоды и передача информации. Интересно, но незаконно. Если нам необходимо что-то получить о нашей цели, отправимся на сайт и найдем email. Начнем свой шпионаж с высоких, например, с отдела поддержки. Найдем форму восстановления пароля. Обожаю бинарную форму, которая спрашивает, есть такой сотрудник или нет. Перебираем всех сотрудников, находим их в списке и начинаем фишить. Установили себе Gophish и радуемся, что все работает. В мире нет никого более опасного и безнравственного, чем человек, который знает, что делать.


Gophish осуществляет рассылку писем по заранее заданным шаблонам и спискам email-адресов. А затем ПО использует встроенный веб-сервер для отображения фишинговых страниц. Ссылки для перехода на данные страницы находятся в тексте писем. Для контроля за процессом фишинг-теста используется сущность «кампания» — она объединяет шаблон письма, список адресов со списком «пользователей-целей» (фамилия, имя, email-адрес), фишинговую страницу и набор параметров SMTP. После того как «компания» запущена в интерфейсе ПО можно просмотреть, кто из пользователей перешел по ссылке на фишинговую страницу, а кто нет.

Фактически фишинг происходит по схеме:

  • email || username → особенно дефолтные;
  • admin panel → dirb + robots.txt

Проникновение на территорию: замки не помогут

Если мы хотим шпионить и получать информацию, то сначала должны зайти издалека. Понаблюдать за целью из дома под прокси. После того, как вывод о наличии необходимой информации сделан, нужно найти здание и проникнуть в него. Но если внутрь не пускают, а радиус действия Wi-Fi не такой большой, в действие идет патч-антенна из фольги и картона. Благодаря этому устройству можно подключиться и посмотреть то, что нужно, отъехав от офиса не некоторое расстояние. Но даже если вы уже посмотрели, получили доступ и данные пользователей, иногда бывает этого недостаточно. Потому что существует авторизация по сертификатам.


Способ атаки через Wi-Fi = MITM & Data Mining

Атака происходит удаленно, если:

  • не пускают в здание или на территорию;
  • цель далеко;
  • есть куда подключиться.

MITM, Man in the middle — атака посредника, атака «человек посередине» — вид атаки в криптографии, когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом.

Одним из примеров является активное прослушивание, при котором злоумышленник устанавливает независимые связи с жертвами и передает сообщения между ними. Тем самым он заставляет жертв поверить, что они разговаривают непосредственно друг с другом через частную связь. В большинстве случаев перехват сообщений происходит довольно просто — в пределах диапазона приема беспроводной точки доступа (Wi-Fi).

Большинство криптографических протоколов включает в себя некоторую форму аутентификации конечной точки специально для предотвращения MITM-атак. Например, TLS может выполнять проверку подлинности одной или обеих сторон с помощью взаимно доверенного центра сертификации.

Data Mining — совокупность методов обнаружения в данных ранее неизвестных, нетривиальных, практически полезных и доступных знаний, необходимых для принятия решений в различных сферах человеческой деятельности.


Когда вы ломаете что-то или попадаете в какую-либо сеть, то важно закрепиться в сети. Поэтому необходимо узнать о ней больше. Первый шаг: github.com/threat9/routersploit. RouterSploit Framework — это фреймвок с открытым исходным кодом, посвященный эксплуатации встраиваемых устройств (роутеров, беспроводных точек доступа). Он включает в себя три группы различных модулей, которые помогают проведению тестирования на проникновение: exploits — модули, использующие выявленные уязвимости; creds — модули, предназначенные для проверки учетных данных сетевых служб; scanners — модули, проверяющие, уязвима ли цель к каким-либо эксплойтам.


Семь пунктов, которые объясняют, что такое промышленный шпионаж:

  • Подкуп лица, имеющего доступ к информации, относящейся к коммерческой, служебной или иной охраняемой законом тайне.
  • Шантаж в отношении того же круга лиц.
  • Внедрение агента на предприятие или в страну конкурента с заданием получить доступ к информации.
  • Незаконный доступ к коммерчески значимой информации с помощью технических средств (незаконное прослушивание телефонных линий, незаконное проникновение в компьютерные сети).
  • Наружное наблюдение (сложно) как за стационарными объектами конкурентов, так и за их сотрудниками.
  • Техническое наблюдение –– новый вид контроля за происходящим, подразумевающий использование технических средств. Например, таких как беспилотник или GSM-трекер.

Второй шаг — поиск уязвимости сети: nmap -sV — script vulners <target>.  Nmap (Network Mapper) — это инструмент с открытым исходным кодом, который специализируется на проверке сети и аудите безопасности. Многие системы и сетевые администраторы также считают это полезным для таких задач, как инвентаризация сети, управление графиками обновления службы и мониторинг времени работы хоста или службы.


Научиться взламывать Wi-Fi нетрудно. В интернете сейчас достаточное количество обучающих материалов, а для всех остальных случаев есть Google:



Как защитить свою компанию от кибератак?

  • Использовать необходимое ПО и ограничивать радиус работы Wi-Fi.
  • Устанавливать обновления.
  • Использовать WPA2, WPA3 и нормальные пароли.
  • Отключить WPS.
  • Использовать авторизацию по сертификатам (802.1х + RADIUS).
  • Создать Whitelist и не пускать мобильные телефоны.
  • Изолированные гостевые входы.

Телефон — ваш враг

Мобильные девайсы в корпоративных сетях — зло. Телефон является вашим врагом и может делать все, что хотите. Не вы хотите, но в зависимости от ситуации. Поэтому не рекомендую подключаться к рабочей сети Wi-Fi. В сериале Mr. Robot была серия, где главный герой пролез в здание корпорации и прикрутил Raspberry Pi к системе охлаждения, и они там все поломали. Звучит это серьезно, но давайте разберемся, как это делать. Это просто и успешно. Начнем с отмычек –– берем пилки и пилим. И в итоге таким способом я смогу открыть туалет. Идем дальше. У нас есть Raspberry Pi, его необходимо привязать и прикрутить изолентой к нему пауэрбанк. Нам же нужна какая-то автономность. Можно положить куда-нибудь, где есть провода. Например, специальные белые ящики, где торчат провода. Подключили и радуемся.


Raspberry Pi — одноплатный компьютер размером с банковскую карту, изначально разработанный как бюджетная система для обучения информатике, впоследствии получивший намного более широкое применение и популярность, чем ожидали его авторы. Всего за пять лет было продано более 12,5 млн устройств Raspberry Pi.


Нет ничего страшнее, чем мобильный телефон. Можно написать любой код и закинуть подобное изобретение куда угодно. Никто не будет трогать, все подумают, что он просто заряжается. У него есть свой канал связи (3G/LTE), так что не придется искать розетку, где воткнуть провод. Если вообще скучно жить, то можно использовать TeamViewer. Если вы не умеете писать код или что-то ставить на TeamViewer. Просто попытайтесь с домашнего компьютера подобрать пароль к Wi-Fi. Также можно зайти на www.hak5.org/gear/lan-turtle, воткнуть Lan Turtle в блок питания, и никто не заметит. Много девайсов находятся в корпоративных сетях, ты находишь миллиард сетей и забиваешь. В таких случаях важно следить за девайсами и сетями, отслеживать подозрительную и вредоносную активность, искать подобные «закладки».


Как бороться с проникновениями на территорию компании?

  • Не экономить на нормальных замках и SKUD-системах.
  • Разграничивать уровни доступов: гости отдельно, сотрудники отдельно.
  • Ставить камеры и датчики: смотреть и реагировать на них.

Используйте для зарядок в офисах и публичных местах USB-condom (устройство, пропускающее только электричество и блокирующее обмен данными — «Хайтек»). Есть так называемая bad USB. Ты берешь кабель, разбираешь, проделываешь всю нужную работу, и в итоге, когда подключаешь телефон, USB атакует его. Их сложно забэкдорить, но у меня вышло.

https://youtu.be/pJAm7-JR_LU

Чтобы такого не случалось, необходимо учить людей. Проблема всех вышеперечисленных случаев заключается в людях. Если будем более аккуратны при подключении USB и будем подключаться к правильным Wi-Fi-сетям, то опасных случаев будет в разы меньше. Например, сегодня в конце первого доклада к моей сети Wi-Fi подключились 50 человек. И за час мне стали известны около 60 IP-адресов. Важно смотреть, что мы делаем. Увидели мусор –– выкинули, или увидели, что телефон валяется чей-то, –– не трогаем, а вызываем саперов. Или, быть может, это кто-то просто уронил телефон. По-другому не получится. Опасность начинается с каждого, но не все хотят этим заниматься.