27.05.2009

√арантированный взлом. ѕ€ть слабых звеньев »Ѕ

Ќе смотр€ на то, что внешнему периметру сети удел€етс€ самое пристальное внимание со стороны, как системных администраторов, так и безопасников, в большинстве случаев, становитьс€ возможным проникнуть во внутреннюю сеть, использу€ различные вектора атаки.

ƒмитрий ≈втеев
Ёксперт по информационной безопасности отдела консалтинга и аудита компании Positive Technologies.
»сточник: http://devteev.blogspot.com/2009/04/blog-post_27.html

Ќесмотр€ на то, что внешнему периметру сети удел€етс€ самое пристальное внимание со стороны как системных администраторов, так и безопасников, в большинстве случаев становитс€ возможным проникнуть во внутреннюю сеть использу€ различные вектора атаки. Ѕезусловно, многие из пробиваемых векторов св€заны с масштабом исследуемой сети, со штатом работающих в ней сотрудников, а также с границами проведени€ работ (чем шире границы работ, тем выше веро€тность успешного проникновени€). ќднако, из всех используемых векторов атаки при проведении подобных работ, можно выделить те, на долю успешности реализации которых приходитс€ наибольшее количество проникновений. —ледовательно, обраща€ внимани€ на используемые недостатки, перечисленные ниже, можно снизить риски информационной безопасности, св€занные с компрометацией информационной системы со стороны внешнего злоумышленника.

»так, наиболее опасным вектором проникновени€, конечно же, €вл€етс€ использование человеческого фактора. —оциальна€ инженери€ Ц это самый пробиваемый вектор атаки при проведении внешнего пентеста. „то тут можно добавить? ¬о-первых, дл€ минимизации последствий подобной атаки, безусловно, необходимо обучать пользователей основам безопасности при работе в »нтернете. ќднако этого недостаточно, т.к. при грамотно организованной социалке, даже матерые системные администраторы могут допустить оплошность и осуществить переход по ссылке на вроде бы безобидный сайт, тем самым сдав свою сеть атакующему. ѕоэтому необходима организаци€ комплекса мер по защите информации, в том числе организаци€ работы конечных пользователей и системных администраторов с пониженными привилеги€ми, различные проактивные механизмы защиты на рабочих местах, контроль трафика и пр. ¬о-вторых, достаточно часто при проведении вектора атаки с использованием социальной инженерии примен€етс€ вектор атаки с эксплуатацией у€звимостей в ѕќ на рабочих местах. ѕоэтому, стоит обратить внимание на процесс управлени€ обновлени€ми, и не только со стороны продуктов компании Microsoft, но и со стороны обновлени€ таких продуктов, как у€звимых компонентов ActiveX, Flash Player или Acrobat Reader, на долю которого по за€влени€м F-Secure приходитс€ около 28,6% успешных атак.

¬торой по пробиваемости вектор атаки также тесно св€зан с человеческой природой. Ёто использование простых паролей дл€ доступа к информационным системам. —колько на эту тему не говорили бы специалисты по информационной безопасности, но пользователи по-прежнему продолжают использовать брутабельные пароли. ¬ редких случа€х, тем же грешат и админы. ¬ектор атаки типа "брутфорс" замечательно пробивает внешний периметр, позвол€€ например, получить доступ к электронной корпоративной почте (котора€ в редких случа€х €вл€етс€ шифрованной), а в некоторых случа€х и без труда проникнуть в обследуемую сеть (например, по VPN). —амой лучшей защитой от подобного вектора атаки €вл€етс€ использование аппаратных токенов с цифровыми сертификатами, хранимыми на них. ¬о всех остальных случа€х достаточно атакующему получить список всех пользователей системы, как многие учетные записи будут скомпрометированы. »спользуема€ строга€ политика при создании паролей, способна лишь снизить процент скомпрометированных учетных записей во внешних системах, но никак не обеспечивает полной защиты от подобной атаки. —тоит добавить, что хорошей практикой минимизации последствий атаки типа "брутфорс" €вл€етс€ грамотно спроектированный мониторинг осуществлени€ аутентификации в информационных системах. ќднако подобные механизмы встречаютс€ довольно редко.

“ретий вектор атаки, отрабатывающий достаточно часто Ц это успешна€ атака на внешние web-приложени€. „то уж тут и говорить, когда пор€дка 83% из них могут содержать критические у€звимости. ј эксплуатируемый совместно с кривым разделением внутренних подсетей (приходилось наблюдать сети, когда ƒћ« превращают в "дуршлаг" и выйти из которого во внутреннюю сеть €вл€етс€ достаточно простой задачей), данный вектор во многих случа€х позвол€ет добитьс€ отличных результатов при проникновении. ƒл€ защиты от угроз, св€занных с эксплуатацией у€звимостей в web, в первую очередь стоит закладывать в “« требовани€ к безопасности при его проектировании. —овсем не лишним €вл€етс€ независимый аудит web-приложени€, и как превентивна€ мера Ц использование Web Application Firewall (WAF).

—ледующий вектор, который отрабатывает гораздо реже Ц это эксплуатаци€ server-side у€звимостей в сетевых сервисах пограничных узлов. ѕричины, по которым вектор "выстреливает" реже остальных заключаетс€ в том, что большинство у€звимых сервисов прикрыты файрволом, а вовсе не потому, что дл€ внешних систем во врем€ устанавливаютс€ критические обновлени€ от производителей. » стоит лишь пробитьс€ в ƒћ«, как не эффективный path management позвол€ет скомпрометировать другие ресурсы и пентест из разр€да внешнего плавно переходит во внутренний:)

јтака на беспроводные сети €вл€етс€ достаточно перспективным и в большинстве случа€х успешным вектором проникновени€ в сеть «аказчика подобных услуг. » не столько успешность данного вектора определ€ет используемые точки доступа (хот€, конечно наличие не безопасных точек доступа с WEP Ц это своего рода приглашение во внутреннюю сеть), подключенные к исследуемой сети, сколько беспроводные адаптеры, используемые на рабочих местах пользователей. ”€звимости в драйверах беспроводных адаптеров и возможность подключить клиента к фальшивой точке доступа атакующего, позвол€ет с минимальными усили€ми получить несанкционированный доступ в сеть. —итуацию усугубл€ет также по€вление все большего числа ноутбуков в корпоративных сет€х, и как следствие, по€вление в ней большего числа потенциально у€звимых мишеней дл€ атакующего. ѕрикрыть данный вектор атаки, конечно же можно. ƒл€ этого необходимо организовать комплекс мер по защите сети от угроз со стороны беспроводных сетей. Ќачина€ от бумажных вещей, объ€сн€ющих процессы защиты от подобных угроз, и заканчива€ технической реализацией в соответствии с прин€той внутренней политикой и стратегией развити€ компании.

или введите им€

CAPTCHA
—траницы: 1  2  3  4  5  6  
Aderevit
27-05-2009 12:53:59
ƒанный пост реально помог мне прин€ть очень важное дл€ себ€ решение. «а что автору отдельное спасибо. ∆ду от ¬ас новых постов!
0 |
%%%
27-05-2009 16:11:46
мне тоже понравилось и не удивил срач в комментах людей которые ничего не делают
0 |
65358
27-05-2009 13:02:03
низачот статье. Ќового ничего не сказали - ну да ладно, но даже то, что описали - четко не структурировали, нет более-менее серьезного анализа, статью писали по принципу: "в теме глубоко не будем разбиратьс€, но настрочить многа букаф очень надо". ѕо сути, всю статью можно было изложить в 6 строках: "п€ть звеньев: 1. 2. 3. 4. 5." в 50 слов уложитьс€, а получили на практике: "п€ть звеньев: 1.бла бла бла 2.бла бла бла 3.бла бла бла 4.бла бла бла 5.бла бла бла" “ак что, дл€ новичков (а-л€ школьнеги) - пойдет, дл€ более-менее продвинутых (знает, что такое exploit и соц инженери€ - гыыы) - уже не катит «џ - суд€ по всему, у секлаба теперь нова€ целева€ аудитори€ - школота, дл€ нее статьи, вроде сабжевой, и пишутс€. —тыдно, товарищи модеры и админы!
0 |
zoh
27-05-2009 13:06:47
“оварищь, этот пост относитс€ к разделу "мнени€" и по сути, это и должно быть что-то не серьезное. Ћюбой желающий может высказать свое мнение и его здесь могут опубликовать - за что, отдельный огромный респект секлабу.
0 |
30901
27-05-2009 13:11:31
“оварищь, этот пост относитс€ к разделу "мнени€" и по сути, это и должно быть что-то не серьезное. Ћюбой желающий может высказать свое мнение и его здесь могут опубликовать - за что, отдельный огромный респект секлабу. Ћюбой желающий может высказать свое мнение и его здесь могут опубликоватьто, что можно публиковать мнени€ - хорошо, но нужно сильнее фильтровать графоманские статьи. ј то € вот тут на досуге собираюсь написать статью: "а все таки земл€ кругла€!". «џ - школота уже "уделала" баш. ќчередь за секлабом??? ќставьте школьникам форум - пусть только там играюца!
0 |
Ѕарисыч
27-05-2009 14:01:35
Ќу надо же расшир€ть портфолио публикаций специалисту ј так да, публикаци€ дл€ начинающих. Ќичего серьезного. »мхо этот теорикрафт знает любой, кто по каким-то причинам заходит на подобные сайты. ƒл€ "комсомолки" подошло бы.
0 |
27-05-2009 17:26:24
ƒл€ "комсомолки" подошло бы. ¬ы хотите сказать, что руководители подразделений »Ѕ российских компаний не читают даже "комсомолку"? ѕочитаешь отзывы - кажетс€, что у нас полно супер-пупер специалистов по »Ѕ. ѕриходишь с аудитом в каждую первую российскую компанию - вс€ сетка "в мелкую дырочку". ј так - да, на форуме все герои
0 |
23836
27-05-2009 21:50:04
ѕочитаешь отзывы - кажетс€, что у нас полно супер-пупер специалистов по »Ѕ. ѕриходишь с аудитом в каждую первую российскую компанию - вс€ сетка "в мелкую дырочку".€ те больше скажу - работаю на довольно крупную контору - так там дела в точности как ты описал - тока еще хуже - ибо толком инфраструктуры нет, все делаетс€ "руками", не автоматизировано них.€ ("них.€" - утрированно говорю, т.к. на самом деле нужно гораздо шире автоматизировать процессы, чем есть это сейчас. ¬з€ть хоть то же бэкапирование...). » почему? дык набрали на свою голову главных админов из людей, а-л€Ёксперт по информационной безопасности отдела консалтинга и аудитато есть попиз.еть они горазды, а практического толка - 0. ј так - да, на форуме все героискажу те по бјльшому с»крету - есть среди р€довых админов очень грамотные люди - и ср.ть они хотели на вс€кие должности вроде "директоров айти" - ибо их кредо - в работе с системой, а не ковыр€нии бумажек, написании отчетов и лизании задницы начальству
0 |
28-05-2009 18:08:26
то есть попиз.еть они горазды, а практического толка - 0. ѕрактический толк - это что? “о, что практически люба€ контора может быть взломана по одному из перечисленных в статье векторов - факт. ќсечек пока не было. ¬ том числе и у автора статьи. ¬о многих их этих компаний работают "очень грамотные люди". “олько они грамотны в администрировании, а вот их представлени€ об »Ѕ зачастую довольно примитивны
0 |
72360
28-05-2009 20:55:10
то есть попиз.еть они горазды, а практического толка - 0. ѕрактический толк - это что? ѕрактический толк - это что? “о, что практически люба€ контора может быть взломана по одному из перечисленных в статье векторов - факт. ќсечек пока не было. ¬ том числе и у автора статьи. “о, что практически люба€ контора может быть взломана по одному из перечисленных в статье векторов - факт. ќсечек пока не было. ¬ том числе и у автора статьи. ¬о многих их этих компаний работают "очень грамотные люди". “олько они грамотны в администрировании, а вот их представлени€ об »Ѕ зачастую довольно примитивны практический толк - это когда дл€ вставки цитаты в свой пост примен€ют теги quote (выделил текст - нажал кнопку Q, если €ва вырублена - в чем € оочень сомневаюсь - то ручками теги можно прописать), а не тупо копируют фразу из поста и выдел€ют ее тегом I. ”чи матчасть.
0 |
xfg.virrus
16-11-2009 10:59:18
“ружусь в корпоративном секторе. —еть огромна€, вс€ческие новомодные фичи накручены, но! внутри, это ппц. исправл€ю ситуацию по мере сил, начальство не против, юзеры в шоке. увольн€ть никого не станут, гвоор€т ищи компрамисы с юзером вот и вс€ »Ѕ собственно. я это к тому что как бы »Ѕшник или админ убер-крут не был, всегда найдетс€ повод укорить его в безграмотности, хот€ по большей части виновато руководство. ѕричем не »“ руководство!
0 |
Aleks
27-05-2009 14:14:50
ну критиковать мы все умеем! секлаб € полагаю расчитан на –ј«Ќ”ё аудиторию, а стать€ вполне нормальна€ - повод еще раз подумать "а как у мен€???" ... могу добавить про социальную инженерию, тут две крайности: совсем забить на безопасность или стремитьс€ ограничить пользовател€ сети во всем без понимани€ сути, что приводит к негативным последстви€м, прежде всего потому, что юзер забивает на все сам ...
0 |
83786
27-05-2009 21:53:42
секлаб € полагаю расчитан на –ј«Ќ”ё аудиториюименно так и началось "падение" баша. Ќа айтишный ресурс пришла школота и "простые" пользователи. ¬ладельцам то сайта хорошо - попул€рность стала выше...
0 |
23572
27-05-2009 15:10:28
» правильно делают, что школоте дают начальное образование.  ак никак они потом будут сервера содержать - это наше будущее поколение. "∆енщина на 9-ом мес€це беременности обращаетс€ к доктору: - ƒоктор, а в каком возрасте можно начинать рассказывать ребенку о безопасности в сети? - ¬ы опоздали на 9 мес€цев"
0 |
ananazzz
28-05-2009 17:42:19
–аз сильно умный, зачем секлаб читаешь?  апча подтверждает: 45045
0 |
ага)
29-05-2009 06:26:22
низачот статье. Ќового ничего не сказали - ну да ладно, но даже то, что описали - четко не структурировали, нет более-менее серьезного анализа, статью писали по принципу: "в теме глубоко не будем разбиратьс€, но настрочить многа букаф очень надо". ѕо сути, всю статью можно было изложить в 6 строках: "п€ть звеньев: 1. 2. 3. 4. 5." в 50 слов уложитьс€, а получили на практике: "п€ть звеньев: 1.бла бла бла 2.бла бла бла 3.бла бла бла 4.бла бла бла 5.бла бла бла" “ак что, дл€ новичков (а-л€ школьнеги) - пойдет, дл€ более-менее продвинутых (знает, что такое exploit и соц инженери€ - гыыы) - уже не катит «џ - суд€ по всему, у секлаба теперь нова€ целева€ аудитори€ - школота, дл€ нее статьи, вроде сабжевой, и пишутс€. —тыдно, товарищи модеры и админы! ага, решительно +1
0 |
LcL
27-05-2009 13:38:31
’от€ бы орфографию проверили... —тыдно! Ќо содержательна€ часть статьи понравилась. ƒл€ общего развити€ непрофессионалам будет полезна
0 |
27-05-2009 13:41:58
«наю панацею от взломов. ј) ”читьс€, учитьс€ и еще раз учитьс€ Ѕ) ¬ол€ [ сильное стремлени€ т.е. ] к проведению изменений
0 |
«уммер
27-05-2009 13:58:32
„то-то ѕозитехи зациклились на цифре п€ть. —начала √ордейчик (http://sgordey.blogspot.com/2009/04/2009_23.html, теперь вот ≈втеев. ƒальше п€ти считать разучились ?
0 |
84357
27-05-2009 14:12:12
ѕоходу. ќрганизаци€ комплекса мер по защите информации, в том числе организаци€ работы конечных пользователей и системных администраторов с пониженными привилеги€ми, различные проактивные механизмы защиты на рабочих местах, контроль трафика - как св€зано с социнжинерингом фиг его знает. „то, всЄ это когда-нибудь мешало подн€ть права или дать права постороннему человеку? Ќикогда не мешало. ѕотому что это не средства дл€ борьбы с социнженерингом, средство только одно: обучение пользователей.
0 |
«уммер
27-05-2009 14:15:09
> средство только одно: обучение пользователей. ќбидно только, что это средство практически не работает )
0 |
27-05-2009 16:16:23
„то-то ѕозитехи зациклились на цифре п€тьулыбнуло:))) “ак что, дл€ новичков (а-л€ школьнеги) - пойдет, дл€ более-менее продвинутых (знает, что такое exploit и соц инженери€ - гыыы) - уже не катит¬ы правы. ћатериал не расчитан на гуру в »Ѕ. различные проактивные механизмы защиты на рабочих местах, контроль трафика - как св€зано с социнжинерингом фиг его знаетЌапример. ѕри пентесте ¬ы впариваете ссылку с паблик эксплоитом. ёзер тыкает на эту ссылку, но эксплоит блокируетс€ на шлюзе (¬ы используете alladin esafe hallgate) или на рабочей станции (¬ы используете cisco security agent). средство только одно: обучение пользователей¬ы опытный специалист. ќт ¬ашего знакомого, которому ¬ы довер€ете, приходит сообщение по icq с сылкой на развлекательный ресурс, которому ¬ы тоже довер€ете.... ¬ы перейдете по ссылке?
0 |
IEO
01-06-2009 17:24:27
¬ы опытный специалист. ќт ¬ашего знакомого, которому ¬ы довер€ете, приходит сообщение по icq с сылкой на развлекательный ресурс, которому ¬ы тоже довер€ете.... ¬ы перейдете по ссылке?
0 |
—траницы: 1  2  3  4  5  6