02.08.2016

Аппаратная закладка в корпоративную сеть, о которой молчал Сноуден

Тема недокументированных возможностей на системном или прикладном уровне программного обеспечения не дает покоя многим специалистам по информационной безопасности, которые либо закладывают эту проблему в свою модель угроз, либо активно пишут о якобы внедренных закладках в ПО или железо различных иностранных или отечественных производителей. Однако бывают и более простые способы вторжения в корпоративную сеть, даже в физически изолированную от внешнего мира.

Вот два кейса из практики Cisco Red Team, которые повторяются из раза в раз, в разных компаниях, в разных странах мира, включая и Россию. Первый достаточно банален - подбрасывание заранее "заряженных" флешек перед офисом компании-жертвы. Поставьте себя на место рядового сотрудника. Вы утром находите флешку на парковке перед офисом или на своем этаже в бизнес-центре. Ваша реакция? С очень высокой вероятностью, особенно если флешка выглядит новенькой, вы поднимете ее. И мысли у вас будут предсказуемые - от "может она большого объема" до "а вдруг там что-то интересненькое". А уж если на флешке написать "фото с корпоратива" или "фото Оли", то вероятность того, что вы эту флешку поднимите и воткнете в свой компьютер будет приближаться к 100%.


Как показывает наш опыт, не было еще ни одной компании, которая бы не попалась на эту, дешевую в реализации, но эффективную "удочку".


Мне можно возразить, что средства контроля периферийных носителей спасают от этой напасти. Кроме того, заражение компьютера и захват управления им еще не означают, что злоумышленник может выйти наружу и отправить украденную внутри информацию. Я не буду вступать в полемику, приводя примеры того, что и флешки контролируются далеко не всегда, и существует куча способов инкапсулировать украденную информацию в плохо контролируемый на периметре DNS-трафик. Я рассмотрю второй кейс, который также почти всегда дает эффект в рамках работы Cisco Red Team.

Речь идет об аппаратных закладках. Но не о тех, что внедряются на уровне операционной системе оборудования или в виде отдельных чипов, о которых писал Сноуден, но которых никто не видел. Речь идет о платформе Raspberry Pi, которая может быть использована для создания портативных компьютеров, которые могут быть подключены к корпоративной сети для негласного съема информации.


Масштаб этого устройства дает ему возможность долго оставаться незамеченным, если его подключить в какой-нибудь переговорке или в лобби офиса компании-жертвы. Отследить его, особенно если оно работает в пассивном режиме сниффера, достаточно сложно. В зависимости от реализации оно может как накапливать информацию без ее передачи наружу (достаточно повторно прийти в компанию и снять его), так и пытаться "слить" все через стандартные каналы или через встроенный беспроводной интерфейс. Ниже представлено видео того, как действовал сотрудник Cisco Red Team у одного из заказчиков (на английском языке, но там все понятно).



За кадром остался показ сотруднице на reception фальшивого письма о необходимости проведения регламентных работ, которое не вызвали никаких подозрений. Дальше к IP-телефону было подключено портативное устройство съема информации и дело оказалось в шляпе. Если IP-телефоны в компании внедряются без учета требований по ИБ, без соответствующей сегментации сети, без настроек шифрования, без контроля доступа, то злоумышленник может не только перехватывать голосовой трафик или "притвориться" телефоном и попробовать вывести из строя цифровую АТС, но и проникнуть внутрь других сегментов сети с последующим распространением по ней. Обнаружить такую "закладку" непросто; в отличие от ее создания и внедрения.

Выводы из этих двух кейсов будут очень простыми:

  • далеко не всегда проникновение в сеть осуществляется через периметр
  • пользователи по-прежнему остаются самым слабым звеном
  • пентест не позволяет отследить такие проблемы
  • существуют гораздо более практичные способы "аппаратного" проникновения, чем мифические закладки от вендоров или от спецслужб.


А бороться с ними можно следующими методами:
  • повышение осведомленности персонала
  • сегментирование сети (в том числе и динамическое)
  • анализ аномалий во внутренней сети
  • контроль сетевого доступа
  • физический осмотр мест, доступных для посещения.

4 коммент.:

mike комментирует...

"либо активно пишут о якобы внедренных закладках в ПО или железо различных иностранных или отечественных производителей. " - так всетаки существует jetplow или нет ????

Alex комментирует...
Этот комментарий был удален автором.
Alex комментирует...

JETPLOW как ПО, использовавшее закрытую в 2011 году уязвимость в продуктах CISCO - существует: https://habrahabr.ru/company/pt/blog/308064/.

Алексей Лукацкий комментирует...

Была уязвимость - ее устранили