Аппаратная закладка в корпоративную сеть, о которой молчал Сноуден

Психология
Тема недокументированных возможностей на системном или прикладном уровне программного обеспечения не дает покоя многим специалистам по информационной безопасности, которые либо закладывают эту проблему в свою модель угроз, либо активно пишут о якобы внедренных закладках в ПО или железо различных иностранных или отечественных производителей. Однако бывают и более простые способы вторжения в корпоративную сеть, даже в физически изолированную от внешнего мира.

Вот два кейса из практики Cisco Red Team, которые повторяются из раза в раз, в разных компаниях, в разных странах мира, включая и Россию. Первый достаточно банален — подбрасывание заранее «заряженных» флешек перед офисом компании-жертвы. Поставьте себя на место рядового сотрудника. Вы утром находите флешку на парковке перед офисом или на своем этаже в бизнес-центре. Ваша реакция? С очень высокой вероятностью, особенно если флешка выглядит новенькой, вы поднимете ее. И мысли у вас будут предсказуемые — от «может она большого объема» до «а вдруг там что-то интересненькое». А уж если на флешке написать «фото с корпоратива» или «фото Оли», то вероятность того, что вы эту флешку поднимите и воткнете в свой компьютер будет приближаться к 100%.

Как показывает наш опыт, не было еще ни одной компании, которая бы не попалась на эту, дешевую в реализации, но эффективную «удочку».

Мне можно возразить, что средства контроля периферийных носителей спасают от этой напасти. Кроме того, заражение компьютера и захват управления им еще не означают, что злоумышленник может выйти наружу и отправить украденную внутри информацию. Я не буду вступать в полемику, приводя примеры того, что и флешки контролируются далеко не всегда, и существует куча способов инкапсулировать украденную информацию в плохо контролируемый на периметре DNS-трафик. Я рассмотрю второй кейс, который также почти всегда дает эффект в рамках работы Cisco Red Team.

Речь идет об аппаратных закладках. Но не о тех, что внедряются на уровне операционной системе оборудования или в виде отдельных чипов, о которых писал Сноуден, но которых никто не видел. Речь идет о платформе Raspberry Pi, которая может быть использована для создания портативных компьютеров, которые могут быть подключены к корпоративной сети для негласного съема информации.


Масштаб этого устройства дает ему возможность долго оставаться незамеченным, если его подключить в какой-нибудь переговорке или в лобби офиса компании-жертвы. Отследить его, особенно если оно работает в пассивном режиме сниффера, достаточно сложно. В зависимости от реализации оно может как накапливать информацию без ее передачи наружу (достаточно повторно прийти в компанию и снять его), так и пытаться «слить» все через стандартные каналы или через встроенный беспроводной интерфейс. Ниже представлено видео того, как действовал сотрудник Cisco Red Team у одного из заказчиков (на английском языке, но там все понятно).

За кадром остался показ сотруднице на reception фальшивого письма о необходимости проведения регламентных работ, которое не вызвали никаких подозрений. Дальше к IP-телефону было подключено портативное устройство съема информации и дело оказалось в шляпе. Если IP-телефоны в компании внедряются без учета требований по ИБ, без соответствующей сегментации сети, без настроек шифрования, без контроля доступа, то злоумышленник может не только перехватывать голосовой трафик или «притвориться» телефоном и попробовать вывести из строя цифровую АТС, но и проникнуть внутрь других сегментов сети с последующим распространением по ней. Обнаружить такую «закладку» непросто; в отличие от ее создания и внедрения.

Выводы из этих двух кейсов будут очень простыми:

  • далеко не всегда проникновение в сеть осуществляется через периметр
  • пользователи по-прежнему остаются самым слабым звеном
  • пентест не позволяет отследить такие проблемы
  • существуют гораздо более практичные способы «аппаратного» проникновения, чем мифические закладки от вендоров или от спецслужб.
А бороться с ними можно следующими методами:
  • повышение осведомленности персонала
  • сегментирование сети (в том числе и динамическое)
  • анализ аномалий во внутренней сети
  • контроль сетевого доступа
  • физический осмотр мест, доступных для посещения.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. mike

    "либо активно пишут о якобы внедренных закладках в ПО или железо различных иностранных или отечественных производителей. " — так всетаки существует jetplow или нет ????

    Ответить
  2. Alex

    Этот комментарий был удален автором.

    Ответить
  3. Alex

    JETPLOW как ПО, использовавшее закрытую в 2011 году уязвимость в продуктах CISCO — существует: https://habrahabr.ru/company/pt/blog/308064/.

    Ответить
  4. Алексей Лукацкий

    Была уязвимость — ее устранили

    Ответить