12.3.14

Размышления о взломе SearchInform

Сегодня были опубликованы факты о взломе известной в узких кругах компании SearchInform, занимающейся борьбой с утечками информации. По некоторым сведениям, это не фейк и не своеобразная PR-компания одиозного руководителя SearchInform, как некоторые предположили.


Т.е. компанию действительно скомпрометировали. Особую пикантность событию придает тот факт, что утекли конфиденциальные данные о сделках, клиентах, особенностях работы DLP-системы компании, которая сама занимается борьбой с утечками. При этом анонимыне злоумышленники утверждают, что взлом был осуществлен в 2012-м году и с тех пор компания-жертва даже не догадывалась, что у нее утекают данные. Впору вспомнить пословицу про сапожника без сапог. Но поговорить я бы хотел не об этом и даже не о том, что для компании, занимающейся безопасностью, быть взломанной - это мягко говоря неприятно. Могут быть серьезные последствия для бизнеса. Поговорить хотелось бы о том, что делать, если такой жертвой стали вы сами!

Первым делом я бы хотел охладить пыл тех, кто начнет активно глумиться над SearchInform. Вы уверены, что с вами такого не произойдет или не произошло? Сейчас настало то время, когда 100%-й гарантии защищенности нет ни у кого - ни у потребителей, ни у разработчиков средств защиты. Как показывает ежегодный отчет Cisco по информационной безопасности, целенаправленных атак становится все больше. А если посмотреть на статистику за последние 10 с лишним лет, то ситуация и вовсе пугающая.


Такие угрозы могут попасть в корпоративную сеть (даже разработчика по безопасности) кучей разных способов - через периметр, через "левую" точку доступа, установленную для облегчения работы, через 3G/4G-модем, через мобильное устройство, обновляемое через ActiveSync... Да мало ли еще как. И гарантировать, что угроза не попадет или не попала в сеть сегодня невозможно.


Поэтому с точки зрения защиты так важно не просто пытаться построить "стену" вокруг защищаемого актива (для этого нужны МСЭ, VPN, сканеры уязвимостей, системы управления патчами, NAC и другие технологии контроля доступа); это необходимо, но уже недостаточно. Необходимо быть готовым обнаруживать атаку во время ее проникновения в сеть (с помощью IPS, антивирусов и систем контентной фильтрации). Но и этого мало. Нельзя полностью исключать компрометацию сети или отдельных узлов. Поэтому нужны средства и технологии обнаружение уже взломанных устройств, локализация угрозы с целью недопущения ее распространения по сети и выхода за ее пределы, "лечения" и устранения последствий. Только при такой трехзвенной архитектуре (ДО, ВО ВРЕМЯ и ПОСЛЕ атаки) можно быть уверенным, что вероятность нанесения ущерба будет сведена к минимуму. Мы в Cisco, например, именно под влиянием этих тенденций анонсировали изменение своей стратегии защиты и обновление продуктовой линейки.


Но это краткое отвлечение на тему: "Почему это произошло и что делать, чтобы этого не повторялось?" Вернемся к ключевому вопросу: "Что делать после взлома?" Сразу отмечу, что факт взлома не всегда влечет за собой негативные последствия для пострадавшей компании. Все зависит от того, что будет жертва делать после инцидента и как она себя поведет на публике. Если вспомнить статистику годовалой давности, то многие компании вообще никак не реагируют на инциденты. Это этакий ИТ-шный подход. Ну сбойнуло и сбойнуло. Устранили причины инцидента и пошли вперед, не оглядываясь назад, не извлекая уроков и не занимаясь разбором полетов. Это одна из возможных стратегий. Не хорошая и не плохая. Просто одна из. Но именно ее следствием является часто удар по репутации и снижение доходов. Может быть жертва и извлекла уроки и повысила свою защищенность многократно, но общественность про это не знает и по-прежнему считает, что в жертве работают лохи, неспособные не только защитить клиентов, но и защитить себя.

Есть и другая стратегия. Поговорить с общественностью открыто и без недомолвок. Да, взломали. Да, произошло то-то и то-то. Да информация утекла. Неприятно, но серьезных последствий удалось избежать. Канал утечки был идентифицирован и прикрыт. Расследование проведено. Причины инциденты определены. Виновные наказаны. Уроки извлечены. Вот наш отчет об инциденте. Мы открыты и готовы ответить на все вопросы, некасающиеся конфиденциальной информации наших клиентов и партнеров. Отношение к такой жертве становится совсем иным. Кто-то ей просто сочувствует, а кто-то и превозносит. Ну как же. Компания пострадала, но с честью вышла из этой ситуации. Не сокрыла ничего, а поделилась информацией. Не закрыла глаза на проблему и не игнорировала запросы от клиентов и партнеров. Да еще и провела мастер-класс по расследованию и извлеченным урокам. Пять баллов. Так держать! И т.п. Т.е. изначальное поражение было обращено себе во благо и из него извлечены даже какие-то преимущества. Как минимум, с точки зрения PR.

9 лет назад я уже делал презентацию на эту тему. Могу заметить, что она не потеряла актуальности. Поэтому выложу ее еще раз - может кому-то будет полезным. Также напомню, что этот аспект управления инцидентами рассматривается и в моем одноименном курсе.



ЗЫ. А пока все с нетерпением ждут, как себя поведет SearchInform в этой ситуации? Зароет голову в песок или обратит это событие в свою пользу.

6 коммент.:

Alexey комментирует...

Официальный комментарий компании SearchInform

В связи с появившейся информацией о взломе нашей компании, считаем своим долгом поделиться с Вами первыми результатами внутреннего расследования. Проведённая проверка показала:

1. Злоумышленники получили доступ к хостинг-панели провайдера. На этом хостинге находился сайт компании (не был взломан!) и архивные копии внутренней системы компании с данными на начало 2013 года. На сегодняшний день эта система не используется, а информация не является актуальной. Вся информация с начала 2013 года хранится на собственном корпоративном хостинге с обязательной двухфакторной аутентификацией. Таким образом, ни о каком контроле с 2012 года, как заявили хакеры, речи идти не может. Вся их добыча – часть архива с устаревшей информацией.

2. На более чем 200 из 300 компьютеров сотрудников компании была проведена массированная атака с украинских IP-адресов. Несмотря на наличие антивирусной защиты как на конечных точках, так и на почтовом сервере, скомпрометированным оказался 1 компьютер линейного менеджера. Вследствие работы политик по разграничению прав доступа, злоумышленникам удалось получить доступ лишь к почтовой переписке менеджера, чем объясняется наличие выложенных в публичный доступ скриншотов со «свежими датами». Скомпрометированной оказалась некоторая документация по примерно 40 клиентам компании из 1200. На данный момент заражённая машина, а также те, которые могли контактировать с ней, выведены из эксплуатации, отключены от Сети и проходят проверку.

Хотелось бы подчеркнуть, что заявление хакеров о контроле с 2012 года и заражении ссылок на скачивание ПО (равно как и самого ПО) не соответствует действительности.

В качестве подтверждения этих слов и для того, чтобы развеять сомнения наших клиентов в компрометации их корпоративных сетей и ПО SearchInform, предлагаем выполнить следующие действия:

1. Сверить хэш-суммы скачанных архивов с дистрибутивами ПО SearchInform с эталонными значениями (например, с помощью http://www.md5summer.org/). Мы готовы предоставить хэш-суммы и на более ранние версии ПО по запросу на номер +7 495 721 84 06, доб. 125. Либо свяжитесь с техническим специалистом, сопровождающим вашу компанию.

Также сообщаем, что build-server, отвечающий за формирование версий ПО, находится в изолированной среде без возможности подключения извне. Все компоненты агента EndpointSniffer обладают цифровой подписью, что позволяет удостовериться в их целостности.

2. Также вы можете самостоятельно удостовериться, что «КИБ SearchInform» не пересылает никакие данные за пределы вашей корпоративной сети. Все данные остаются у компании. Никакая информация «третьим лицам» не передаётся. В противном случае, наш софт не прошёл бы сертификацию ФСТЭК России, ОАЦ Беларуси и ДСТСЗИ СБ Украины. «КИБ SearchInform» работает с чётким перечнем портов. Список портов мы готовы предоставить по запросу на номер +7 495 721 84 06, доб. 125. Либо свяжитесь с техническим специалистом, сопровождающим вашу компанию.

Для проверки отсутствия внешних подключений можно использовать анализаторы трафика низкого уровня (например, с помощью http://www.wireshark.org/).

Мы благодарны злоумышленникам за проявленный интерес к нашей компании. Любой опыт ценен, но негативный ценен вдвойне, так как такие уроки не забываются очень долго. Приятно осознавать себя «главной шпионской компанией, контролируемой ФСБ, и поставляющей данные в СОРМ». Мы не отрицаем своё лидерство на рынке, но с остальной частью высказывания не можем согласиться.

Алексей Лукацкий комментирует...

И еще:

Результаты по взлому пока только первые то что за 2 дня мои люди нарыли. Есть еще пару фактов -- все пока ведет на украину... Думаю что в середине след недели опубликуем более подробную аналитику -- куда рыть уже нашли -- но пока не будем разглашать. Обидно то что не помогли антивирусы и прочие вещи. Оно с одной стороны конечно хорошо что взломали 1 из 200 атакованных компов а не больше -- но тем не менее урок хороший -- не будем дальше надеятьсяна антивирусы коль мы начали вызывать такой интерес у хакеров а будем принимать доп меры. И возможно к концу года предоставим в составе нашего контура решение которое позволит детектировать на агенте такиемвещи на ранней стадии.

Unknown комментирует...

Алексей бредит, я работал в SearchInform, ответственно заявляю, на ноутах и компах менеджеров нет антивирусов, двух факторная авторизация есть только при входе в црм, и то если вход осуществляется из вне, менеджеры не логаутятся по завершению работы. Это и дало возможность без проблем зайти в црм, и забрать от туда нужные данные, практически всей клиентской базы. Конечно товарищи сейчас будут лепить горбатого, всячески отписываться бредосодержащими статьями. Вас взломали, не важно как впарили троян или нашли уязвимость, факт остается фактом. Судя по всему данных у вас слили много, ключи договоры, трафик предоставленный компаниями для анализа вашими студентами, а в трафике конф. данные, вы дали возможность хакерам получить не только ваши доки но и кноф. данные ваших клиентов. Самое смешное что и Украину приписали, это не грамотный ход. Украина не причем.
Виноваты только вы.
Розмовляйте хлопчики!

Alexey комментирует...

Товаристч, называющий себя Ильёй Поляковым. Для начала перестали бы порочить имя и назвали своим настоящим. Или гнильца уже не позволяет? С Ильёй поддерживаю контакт и точно знаю, что он ни этот комментарий, ни какие-либо другие не писал. Признайтесь, вы ведь несколько месяцев назад уже пытались его подставить на сайтах отзывов. Странно, что вы уверены в том, что ваше реальное ФИО нам неизвестно. Просто мы не считаем нужным гонятся за бывшим недовольным сотрудником и мстить. Для вас подобный подход, как видно, не представляется возможным впринципе.

Roman S комментирует...

Интересный случай. Если можно, хотелось бы подробностей в копилку опыта.

1. А имело ли вообще смысл хранить столько конфиденциальной информации на хостинге с прямым выходом в интернет? Так были построены бизнес-процессы?

2. Атака была почтовой рассылкой? Сплоит или просто исполняемый файл? Как потом взломщик смог подключится в протрояенной машине? Почему не отработал фаервол?

Alexey комментирует...

1. То были пережитки прошлого, от которых отказались, но не "убили" старую систему. И это, конечно, ошибка.

2. Пока на этот вопрос запрещено давать комментарии. Продолжается проверка. Лично моё мнение - трояна подсадили через склейку.