Вот два кейса из практики Cisco Red Team, которые повторяются из раза в раз, в разных компаниях, в разных странах мира, включая и Россию. Первый достаточно банален — подбрасывание заранее «заряженных» флешек перед офисом компании-жертвы. Поставьте себя на место рядового сотрудника. Вы утром находите флешку на парковке перед офисом или на своем этаже в бизнес-центре. Ваша реакция? С очень высокой вероятностью, особенно если флешка выглядит новенькой, вы поднимете ее. И мысли у вас будут предсказуемые — от «может она большого объема» до «а вдруг там что-то интересненькое». А уж если на флешке написать «фото с корпоратива» или «фото Оли», то вероятность того, что вы эту флешку поднимите и воткнете в свой компьютер будет приближаться к 100%.
Как показывает наш опыт, не было еще ни одной компании, которая бы не попалась на эту, дешевую в реализации, но эффективную «удочку».
Мне можно возразить, что средства контроля периферийных носителей спасают от этой напасти. Кроме того, заражение компьютера и захват управления им еще не означают, что злоумышленник может выйти наружу и отправить украденную внутри информацию. Я не буду вступать в полемику, приводя примеры того, что и флешки контролируются далеко не всегда, и существует куча способов инкапсулировать украденную информацию в плохо контролируемый на периметре DNS-трафик. Я рассмотрю второй кейс, который также почти всегда дает эффект в рамках работы Cisco Red Team.
Речь идет об аппаратных закладках. Но не о тех, что внедряются на уровне операционной системе оборудования или в виде отдельных чипов, о которых писал Сноуден, но которых никто не видел. Речь идет о платформе Raspberry Pi, которая может быть использована для создания портативных компьютеров, которые могут быть подключены к корпоративной сети для негласного съема информации.
Масштаб этого устройства дает ему возможность долго оставаться незамеченным, если его подключить в какой-нибудь переговорке или в лобби офиса компании-жертвы. Отследить его, особенно если оно работает в пассивном режиме сниффера, достаточно сложно. В зависимости от реализации оно может как накапливать информацию без ее передачи наружу (достаточно повторно прийти в компанию и снять его), так и пытаться «слить» все через стандартные каналы или через встроенный беспроводной интерфейс. Ниже представлено видео того, как действовал сотрудник Cisco Red Team у одного из заказчиков (на английском языке, но там все понятно).
За кадром остался показ сотруднице на reception фальшивого письма о необходимости проведения регламентных работ, которое не вызвали никаких подозрений. Дальше к IP-телефону было подключено портативное устройство съема информации и дело оказалось в шляпе. Если IP-телефоны в компании внедряются без учета требований по ИБ, без соответствующей сегментации сети, без настроек шифрования, без контроля доступа, то злоумышленник может не только перехватывать голосовой трафик или «притвориться» телефоном и попробовать вывести из строя цифровую АТС, но и проникнуть внутрь других сегментов сети с последующим распространением по ней. Обнаружить такую «закладку» непросто; в отличие от ее создания и внедрения.
Выводы из этих двух кейсов будут очень простыми:
- далеко не всегда проникновение в сеть осуществляется через периметр
- пользователи по-прежнему остаются самым слабым звеном
- пентест не позволяет отследить такие проблемы
- существуют гораздо более практичные способы «аппаратного» проникновения, чем мифические закладки от вендоров или от спецслужб.
- повышение осведомленности персонала
- сегментирование сети (в том числе и динамическое)
- анализ аномалий во внутренней сети
- контроль сетевого доступа
- физический осмотр мест, доступных для посещения.
"либо активно пишут о якобы внедренных закладках в ПО или железо различных иностранных или отечественных производителей. " — так всетаки существует jetplow или нет ????
Этот комментарий был удален автором.
JETPLOW как ПО, использовавшее закрытую в 2011 году уязвимость в продуктах CISCO — существует: https://habrahabr.ru/company/pt/blog/308064/.
Была уязвимость — ее устранили