Глаза хакера и взлом любой компании за 1 час

На днях прошел Security Day компании CTI, где мне посчастливилось поучаствовать. Я не так часто пишу о таких мероприятиях; только если увидел что-то интересное. А тут оно было. Запоминающихся событий было несколько — и дело не только в месте проведения и устроенной дегустации виски. И не только в том, что одна из презентацией показывалась по майндкарте, а не PowerPoint. И не только в презентации о моделировании угроз для современной винокурни, на которой разгорелась живая дискуссия с девушкой, представлявшей разные сорта виски, рассказавшей о том, как надо их дегустировать и заявившей, что максимум, что угрожает винокурне — это провалившаяся от снега крыша, которая может привести к повреждению бочек и разливу ценного напитка.

Мне понравилась идея Максима Лукина, руководителя направления ИБ CTI, который начал свое выступление с того, что предложил любому участнику семинара «взломать» его компанию за время проведения мероприятия. Тому, кто не побоится назвать имя своей компании для проведения теста на проникновения, был предложен приз в виде бутылки хорошего виски. Что характерно, нашлась только одна компания, представитель которой не побоялся предложить себя в качестве подопытного кролика. Для чистоты эксперимента было названо только имя компании (по понятным причинам я его называть не буду) и специалисты CTI приступили к работе. Спустя всего час с небольшим они вышли с участниками на связь по Cisco Webex и продемонстрировали первые результаты:

  • в Интернет была найдена информация о компании и отдельных ее сотрудниках
  • сотрудники CTI связались с сотрудницей компании, представившись потенциальным клиентом
  • сотруднице прислали запароленный архив с документами якобы для анализа и последующего заключения договора
  • в архиве находились не самые свежие (4-5-тидневной выдержки) вредоносы, на которые ругнулся антивирус ESET Nod32
  • «клиент» пообещал прислать новый «небитый» файл, что и сделал спустя несколько минут, запаковав за это время малварь так, чтобы Nod32 ее не распознал
  • сотрудница компании-жертвы запустила файл, который и заразил ее компьютер
  • часть случайно собранных на жестком диске файлов была слита на Яндекс.Диск в качестве демонстрации.
На все ушло около часа, что поразило (как мне показалось) аудиторию, которая и не подозревала, что осуществить проникновение так легко и что имеющиеся технические средства не сильно помогли от социального инжиниринга и целенаправленно подготовленной угрозы (хоть и на базе не самого свежего вредоноса).

Тут стоит сделать оговорку — таким образом могут взломать любую компанию. И чем она крупнее и чем чаще в ней ротация кадров, тем это будет проще. Никакие тренинги и программы повышения осведомленности не сработают, если навыки ИБ у человека не записаны «на подкорку» и не закреплены несколькими тренировками. А при частой ротации сотрудники просто не успевают усвоить полученные навыки, поэтому и допускают ошибки, которые сложно компенсировать техническими защитными мерами. Тут нужен комплекс мер, о чем не стоит забывать.

Ну и в заключении моя презентация с семинара, которая перекликается с тем, что демонстрировали вживую коллеги из CTI.

В презентации было три видео — отправка фальшивого e-mail от имени главы Сбербанка, ЦБ или налоговой, установка аппаратной закладки для IP-телефона с последующим перехватов всего корпоративного трафика и создание фальшивой точки доступа и перехват с расшифрованием беспроводного трафика. Из них у меня пока выложено только одно — про фальшивые почтовые сообщения.

В целом же моя презентация могла бы быть озвучена в виде трехминутного ролика, который я в свое время готовил для одной из заметок:

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Lik

    А про аппартатную закладку для телефона — можно поподробнее?

    Ответить
  2. Алексей Лукацкий

    Ну в ней нет ничего необычного — обычный перехватчик

    Ответить