Глаза хакера и взлом любой компании за 1 час

На днях прошел Security Day компании CTI, где мне посчастливилось поучаствовать. Я не так часто пишу о таких мероприятиях; только если увидел что-то интересное. А тут оно было. Запоминающихся событий было несколько — и дело не только в месте проведения и устроенной дегустации виски. И не только в том, что одна из презентацией показывалась по майндкарте, а не PowerPoint. И не только в презентации о моделировании угроз для современной винокурни, на которой разгорелась живая дискуссия с девушкой, представлявшей разные сорта виски, рассказавшей о том, как надо их дегустировать и заявившей, что максимум, что угрожает винокурне — это провалившаяся от снега крыша, которая может привести к повреждению бочек и разливу ценного напитка.

Мне понравилась идея Максима Лукина, руководителя направления ИБ CTI, который начал свое выступление с того, что предложил любому участнику семинара «взломать» его компанию за время проведения мероприятия. Тому, кто не побоится назвать имя своей компании для проведения теста на проникновения, был предложен приз в виде бутылки хорошего виски. Что характерно, нашлась только одна компания, представитель которой не побоялся предложить себя в качестве подопытного кролика. Для чистоты эксперимента было названо только имя компании (по понятным причинам я его называть не буду) и специалисты CTI приступили к работе. Спустя всего час с небольшим они вышли с участниками на связь по Cisco Webex и продемонстрировали первые результаты:

• в Интернет была найдена информация о компании и отдельных ее сотрудниках
• сотрудники CTI связались с сотрудницей компании, представившись потенциальным клиентом
• сотруднице прислали запароленный архив с документами якобы для анализа и последующего заключения договора
• в архиве находились не самые свежие (4-5-тидневной выдержки) вредоносы, на которые ругнулся антивирус ESET Nod32
• «клиент» пообещал прислать новый «небитый» файл, что и сделал спустя несколько минут, запаковав за это время малварь так, чтобы Nod32 ее не распознал
• сотрудница компании-жертвы запустила файл, который и заразил ее компьютер
• часть случайно собранных на жестком диске файлов была слита на Яндекс.Диск в качестве демонстрации.

Тут стоит сделать оговорку — таким образом могут взломать любую компанию. И чем она крупнее и чем чаще в ней ротация кадров, тем это будет проще. Никакие тренинги и программы повышения осведомленности не сработают, если навыки ИБ у человека не записаны «на подкорку» и не закреплены несколькими тренировками. А при частой ротации сотрудники просто не успевают усвоить полученные навыки, поэтому и допускают ошибки, которые сложно компенсировать техническими защитными мерами. Тут нужен комплекс мер, о чем не стоит забывать.

Ну и в заключении моя презентация с семинара, которая перекликается с тем, что демонстрировали вживую коллеги из CTI.

В презентации было три видео — отправка фальшивого e-mail от имени главы Сбербанка, ЦБ или налоговой, установка аппаратной закладки для IP-телефона с последующим перехватов всего корпоративного трафика и создание фальшивой точки доступа и перехват с расшифрованием беспроводного трафика. Из них у меня пока выложено только одно — про фальшивые почтовые сообщения.

В целом же моя презентация могла бы быть озвучена в виде трехминутного ролика, который я в свое время готовил для одной из заметок: