03.06.2016

Глаза хакера и взлом любой компании за 1 час

На днях прошел Security Day компании CTI, где мне посчастливилось поучаствовать. Я не так часто пишу о таких мероприятиях; только если увидел что-то интересное. А тут оно было. Запоминающихся событий было несколько - и дело не только в месте проведения и устроенной дегустации виски. И не только в том, что одна из презентацией показывалась по майндкарте, а не PowerPoint. И не только в презентации о моделировании угроз для современной винокурни, на которой разгорелась живая дискуссия с девушкой, представлявшей разные сорта виски, рассказавшей о том, как надо их дегустировать и заявившей, что максимум, что угрожает винокурне - это провалившаяся от снега крыша, которая может привести к повреждению бочек и разливу ценного напитка.

Мне понравилась идея Максима Лукина, руководителя направления ИБ CTI, который начал свое выступление с того, что предложил любому участнику семинара "взломать" его компанию за время проведения мероприятия. Тому, кто не побоится назвать имя своей компании для проведения теста на проникновения, был предложен приз в виде бутылки хорошего виски. Что характерно, нашлась только одна компания, представитель которой не побоялся предложить себя в качестве подопытного кролика. Для чистоты эксперимента было названо только имя компании (по понятным причинам я его называть не буду) и специалисты CTI приступили к работе. Спустя всего час с небольшим они вышли с участниками на связь по Cisco Webex и продемонстрировали первые результаты:
  • в Интернет была найдена информация о компании и отдельных ее сотрудниках
  • сотрудники CTI связались с сотрудницей компании, представившись потенциальным клиентом
  • сотруднице прислали запароленный архив с документами якобы для анализа и последующего заключения договора
  • в архиве находились не самые свежие (4-5-тидневной выдержки) вредоносы, на которые ругнулся антивирус ESET Nod32
  • "клиент" пообещал прислать новый "небитый" файл, что и сделал спустя несколько минут, запаковав за это время малварь так, чтобы Nod32 ее не распознал
  • сотрудница компании-жертвы запустила файл, который и заразил ее компьютер
  • часть случайно собранных на жестком диске файлов была слита на Яндекс.Диск в качестве демонстрации.
На все ушло около часа, что поразило (как мне показалось) аудиторию, которая и не подозревала, что осуществить проникновение так легко и что имеющиеся технические средства не сильно помогли от социального инжиниринга и целенаправленно подготовленной угрозы (хоть и на базе не самого свежего вредоноса).

Тут стоит сделать оговорку - таким образом могут взломать любую компанию. И чем она крупнее и чем чаще в ней ротация кадров, тем это будет проще. Никакие тренинги и программы повышения осведомленности не сработают, если навыки ИБ у человека не записаны "на подкорку" и не закреплены несколькими тренировками. А при частой ротации сотрудники просто не успевают усвоить полученные навыки, поэтому и допускают ошибки, которые сложно компенсировать техническими защитными мерами. Тут нужен комплекс мер, о чем не стоит забывать.

Ну и в заключении моя презентация с семинара, которая перекликается с тем, что демонстрировали вживую коллеги из CTI.



В презентации было три видео - отправка фальшивого e-mail от имени главы Сбербанка, ЦБ или налоговой, установка аппаратной закладки для IP-телефона с последующим перехватов всего корпоративного трафика и создание фальшивой точки доступа и перехват с расшифрованием беспроводного трафика. Из них у меня пока выложено только одно - про фальшивые почтовые сообщения.



В целом же моя презентация могла бы быть озвучена в виде трехминутного ролика, который я в свое время готовил для одной из заметок:



2 коммент.:

Likler Stroyer комментирует...

А про аппартатную закладку для телефона - можно поподробнее?

Алексей Лукацкий комментирует...

Ну в ней нет ничего необычного - обычный перехватчик