Уязвимости корпоративных сетей

Лекция#5  Уязвимости корпоративных сетей 

Лектор : cyb3rpadla

(9:00:19 AM) cyb3rpadla: Всем здравствуйте! Рад вас приветствовать сегодня здесь.

(9:00:27 AM) cyb3rpadla: ВВЕДЕНИЕ

(9:00:36 AM) cyb3rpadla: Все практики, которые применяются в использовании уязвимостей для неких дальнейших действий могут применяться в бизнес среде. Разница между бизнесом и простыми машинами в сети лишь в масштабе действий и их защите. Это обусловлено тем, что работать мы вынуждены в едином технологическом пространстве, и арсенал возможных атак для этой технологической базы - един.

(9:01:06 AM) cyb3rpadla: Специализацией данной лекции, все же, является именно корпоративная среда и методы проникновения.Относительно самих бизнес-структур, их неотъемлемой частью является доменная инфраструктура, почтовые сервисы, веб-приложения и бизнес-системы.

(9:01:50 AM) cyb3rpadla: В рамках данной лекции мы рассмотрим: 

- какие уязвимости наиболее распространены на сетевом периметре;

- самые благоприятные векторы атак, которыми можно воспользоваться для получения доступа к ресурсам корпоративной сети;

- какие недостатки безопасности в корпоративных сетях могут нам позволить получить максимальные привилегии в корпоративной инфраструктуре;

- коснемся методов социальной инженерии;

- как с помощью атак на беспроводные сети получить доступ к ресурсам внутренней сети.

(9:02:13 AM) cyb3rpadla: Изучение состояния безопасности бизнес-структур ведется постоянно. Публикуются тематические отчеты и исследования.К нашему счастью, подавляющее число всех корпоративных систем (более 60%!!) прекрасно подвержены взлому и несанкционированному проникновению.Но не стоит обольщаться, стоит Вам неправильно ввести пароль от wi-fi, и на этаж поднимается охрана (проверено из личного опыта).

(9:02:37 AM) cyb3rpadla: Более четверти сотрудников компаний переходят по ссылкам в почте или открывают неизвестные файлы. Зачастую это тупая проверка, для тупых, обычная ссылка, которая ведет к фотографии с логотипом компании, в надежде, что Вы следующий раз одумайтесь. 

(9:03:22 AM) cyb3rpadla: С беспроводными сетями вообще мрак: в 75% случаев возможен перехват чувствительной информации и ее последующее использование. Все это работает, на нас лишь потому, что большие боссы любят максимально экономить. Поэтому и существует темная сторона квадрокоптеров. Ведь никто не запрещает оборудовать камерой ночного режима и списать пароль с конференц стола или доски пароля от вай-фай.В корпоративный ИТ-компаниях в 75% случаях пароль висит либо на доске, либо прямо на столе. Квадрокоптер и смекалка.

(9:04:09 AM) cyb3rpadla: Вы будете смеяться, но одной из весьма распространенных уязвимостей уже 19 лет (CVE-1999-0532)! Посмотреть ее можно на сайте который я давал в прошлой лекции или просто вбить в гугл.Атаки на корпоративные сети принято разделять на внешние, внутренние и комплексные (когда беруться серьезно и надолго, как правило, это уже уровень спецслужб, где подготовка к непосредственной атаке может занимать по несколько лет).

(9:04:20 AM) cyb3rpadla: КЛАССИФИКАЦИЯ И МЕТОДЫ ЗАЩИТЫ

(9:04:28 AM) cyb3rpadla: Если говорить об уязвимостях в инфраструктуре компании, то обычно их делят на следующие виды:

(9:05:16 AM) cyb3rpadla: 1) технологические (архитектурные) - когда нет конкретных механизмов обеспечения информационной безопасности; - или попросту они настолько старые, что уже не актуальны. Бизнес никогда не будет шевелить задницей ,пока это не выходит за рамки риск менеджмента.; 

2) организационные - нет четко прописанных требований, порядка защиты информации; - нет инструкций и требований, нормативов по пользованию ПО, ПК и сетями.; 

3) эксплуатационные - связаны с недочетами в существующих компонентах IT-инфраструктуры. - устаревшие роутеры, модемы и т.д .и т.п.

(9:05:44 AM) cyb3rpadla: Стоит отметить следующий важнейший факт, обычно, если мы говорим от ИТ компаниях, инфраструктуру разрабатывают самые опытные люди - архитекторы. Как правило, эти люди выбирают технологии проверенные временем, а следовательно с огромным кол-вом уязвимостей. Как ни странно, все имеет место устаревать, а следовательно и кол-во проблем с тем или иным софтом увеличивается.

(9:05:57 AM) cyb3rpadla: Наиболее часто среди эксплуатационных уязвимостей встречаются:

(9:06:17 AM) cyb3rpadla: а) Использование операционных систем и программного обеспечения в версиях, которые не поддерживаются (MS Windows XP, MS Windows Server 2003, PHP). 

Чего ожидать? Например, отказа в обслуживании, выполнения какого-то произвольного кода и, конечно же, раскрытия так бережно охраняемой информации. Но в реальности мастера умеют на всей линейке  Windows играть, как на пианино и ни в чем себе не отказывать.

(9:06:53 AM) cyb3rpadla: б) Уязвимости веб-серверов (например, Apache HTTP Server), которые позволят нападающему с легкостью устроить отказ в обслуживании или выполнить произвольный код в системе. Обычно веб сервера умеют кэшировать статическую информацию, а это может дать нам как минимум информацию о веб приложении. В качестве небольшого домашнего задания, Вы должны посмотреть название веб-сервера любого сайта и свежие уязвимости к нему. Это довольно просто, например в хроме это  F12 / Network / Любой файл / Headers. Изучите содержимое и Вы найдете кое-что интересное.

(9:07:37 AM) cyb3rpadla: в) Использование небезопасных протоколов управления (скажем, Telnet). Чего ожидать? Нападающий перехватывает информацию, которая передается, и без проблем получает доступ к хосту. Для перехвата аутентификационных данных нужно находиться на пути их прохождения (например, обладать доступом к оборудованию провайдера, каналу связи). Или, как вариант, перенаправить трафик на себя с помощью настроек DNS и необходимых инструментов. А для этого нужно занть модели там всяки и вообще компьютерные сети тоже, хотя бы основы. Для этого можно использовать атаки на сетевые протоколы маршрутизации класса ARP Spoofing (локально) или DNS (удаленно). Кратка инструкция по это атаке - http://project.net.ru/security/article9/g4.html

(9:08:12 AM) cyb3rpadla: г) Использование небезопасных протоколов SSL и TLS. Чего ожидать? Опять же, перехвата передаваемой аутентификационной информации.

д) Использование ненадежных паролей WPA/WPA2-PSK.  Чего ожидать? Нападающий может получить доступ к беспроводной сети, а также перехватить данные, передаваемые по защищенным протоколам (самый распространенный перехват это HTTP).

е) Использование протокола разрешения имен NetBIOS по TCP/IP (NBNS) и LLMNR.Чего ожидать? Перехват информации (паролей, хешей паролей и т.п.) между Windows-хостами.

(9:09:21 AM) cyb3rpadla: ж) Межсайтовый скриптинг (XSS). Уязвимость класса Cross Site Scripting возникает из-за недостаточного экранирования символов (замены в тексте управляющих символов на соответствующие текстовые подстановки), выводимых веб-приложением. Нападающий может  обойти установленные ограничения и перехватить сессионную инфу полноправного юзера сервисов этого домена, выполнив, скажем, вредоносный JavaScript-код. Внедрение такого кода на сетевом уровне или посредством атак социальной инженерии, любым доступным в конкретном случае способом. 

(9:09:31 AM) cyb3rpadla: Среди организационных уязвимостей принято выделять следующие направления:

(9:10:01 AM) cyb3rpadla: 1) Процессы «Управление конфигурациями», «Управление изменениями», «Управление обновлениями» обеспечения информационной безопасности не контролируются. Чего ожидать? Появления новых эксплуатационных уязвимостей в IT-инфраструктуре.

(9:10:54 AM) cyb3rpadla: 2) Контрагенты и подрядчики. Отдельные сервисы и процессы (например, поддержка информационных систем, управление сетевой частью IT-инфраструктуры) компании на практике часто отдают на аутсорсинг. Это значит, что получив доступ к корпоративным сетям подрядных организаций нашего клиента, мы с их помощью можем установить проги удаленного управления в защищаемую сеть и затем использовать технологии скрытых каналов (например, DNS covert channel) для управления и транспортировки секретной информации на контролируемые сервера.

(9:11:01 AM) cyb3rpadla: Что же касается технологических уязвимостей, то тут отдельно хочу выделить две категории:

(9:11:13 AM) cyb3rpadla: 1) Подключение корпоративных устройств к незащищенным гостевым сегментам беспроводных сетей клиента. 

В таком случае нападающий без труда сможет перехватить аутентификационные данные и получить доступ секретной  информации.

(9:11:36 AM) cyb3rpadla: 2) Неконтролируемые информационные потоки.  Как несложно догадаться, слабое место любой компании в плане информационной безопасности - это использование ее сотрудниками внешних запоминающих устройств и сервисов обмена информацией (почта, хранилища файлов и т.п.). Работнички тащат из дома свои диски и флешки, повышая тем самым риск заражения  всякими зловредами.

(9:11:44 AM) cyb3rpadla: Как нам противостоят корпоративные сети?

(9:12:15 AM) cyb3rpadla: В любой нормальной компании есть ответственный за IT-безопасность человек. Он в какой то степени определяет политику безопасности корпоративной инфраструктуры.Этот человек определяет политику управления конфигурациями компонентов системы. Также этот человек должен определить политику управления обновлений.Настоящие спецы в области IT-безопасности должны чутко мониторить ситуацию и вовремя обновлять как общесистемное, так и прикладное программное обеспечение. Зачастую выйдя на данного человека мы имеем всю картину в прямом и переносном смысле.

(9:12:47 AM) cyb3rpadla: И финал: управление изменениями.

(9:13:46 AM) cyb3rpadla: Когда вносятся существенные изменения в информационные системы, крайне важно тестить реализованные механизмы информационной безопасности. Какие изменения можно отнести к существенным? Например, изменения мажорной версии системы или отдельных ее компонентов, изменения системной архитектуры, изменения состава или функций средств защиты информации и т.п.В версионирование за мажорной версия считается, что версия 1.0.0 переходит в версию 2.0.0 Помните самый главный минус работы в сфере разработки и безопасности - человеческий фактор.

(9:14:12 AM) cyb3rpadla: Существует два типа внесения изменений.Первый, есть определенный график, проектирования, разработки и тестирования, баги, которые не успели пофиксить уходят в релиз.Второй, софт пилиться до тех пор, пока все баги не будут ликвидированы и уже тогда релиз.Как Вы уже догадались второй способ более безопасен, а вот и - нет. 

(9:14:52 AM) cyb3rpadla: Почему? - ответ довольно таки тривиален - когда Вы хотите налить в стакан воды, вроде бы все прозрачно, но никто не замечает микротрещины в этом стакане ввиду брака на заводе изготовителе. Парадоксальный пример, говорит о том, что любая информация и защита рано или поздно будет вскрыта, как консервная банка лишь - мотивацией к ее изучению.

(9:15:04 AM) cyb3rpadla: На этом все ставьте знак вопроса я - вызову.

[09:27:18] <Mexanik29> Про домашку обясни поподробнее 

[09:29:10] <cyb3rpadla> Ну смотри, у тебч есть браузер, твоч задача, максимально изучить все те данные которыц он предоставляет, это может быть яндекс метрика. Название веб сервера и его версия, тогда можно понять как построен сацт и на чем. 

[09:30:05] <Mexanik29> А когда будет тема работа с логами? 

[09:31:04] <cyb3rpadla> через лекцию