Praktyka bezpieczeństwa IT — śmiech na sali, która płonie
Jakiś czas temu, w ramach poczynań zawodowych zostało przydzielone mi zadanie przeprowadzenia audytu bezpieczeństwa IT. Klient to średniej wielkości firma zajmująca się pisaniem software i sterowników do określonych urządzeń. O audycie wiedzieliśmy tylko my i jedne z prezesów omawianej firmy.
W tym momencie mógłbym zacząć rozpisywać się jak określiliśmy strategię audytu i skąd poniższe działania, napiszę tylko tyle – to czym dysponowaliśmy na początku to : adres email prezesa , adres strony www i wiedza że firma posiada rozbudowany dział IT. Oczywiście została podpisana umowa zezwalająca nam na podjęcie kroków penetrujących organizację.
Dzień 1 - Więcej danych
Analiza strony WWW pozwoliła nam ustalić schemat adresów email np. imię.nazwisko@domena.pl
Analiza portfolio klientów i partnerów pozwoliła nam ustalić partnera wspomagającego audytowaną firmę w zakresie tworzenia stron WWW, jak również hostów odpowiedzialnych za utrzymanie kilku kluczowych portali klientów.
Analiza Facebooka i Goldenline pozwoliła nam namierzyć administratorów IT pracujących obecnie dla naszego „Celu”
Kilka telefonów do firmy i próśb o połączenie z konkretnymi działami pozwoliło nam ustalić dwa imiona i nazwiska Pań zatrudnionych w księgowości i Panią szefową marketingu. Odpowiedź email na nasze zapytanie ofertowe pozwoliła nam na ustalenia że klient posiada serwer poczty MS Exchange wewnątrz swojej organizacji i jest to łącze firmy X , odwiedziny firmy https://mail.domena.pl/owa pozwoliło nam na ustalenie że firma korzysta z serwera poczty Exchange 2010 i jakąś wersję serwera OpenVPN
Dzień 2 - przygotowanie „placu zabaw”
Wykupiliśmy dwie domeny , pierwszą łudząco podobną do nazwy domeny audytowanej firmy , drugą łudzącą podobną do stron „ZUS” . np. oryginalna domena klienta www.mojedomena.pl , nasza www.mojadonema.pl .
Nasza „fakeowa” domena posłużyła nam do stworzenia konta które wykorzystaliśmy do kontaktu z firmą tworzącą strony WWW dla „Celu” i na prośbę „Naszego działu marketingu” firma ta na serwerze klienta umieściła stronę z „opisem produktu” i skryptem php pozwalającym umieścić nam własne pliki i zrobić zrzut configów :‑) Na tak spreparowanej podstronie umieściliśmy mechanizm pozwalającą „zweryfikować” siłę używanego hasła.
Formularz pozwalał na sprawdzenie „siły hasła do komputera”, VPN i siłę hasła ERP( jeszcze wtedy nie wiedzieliśmy jakiego systemu nasz Cel używa).
Posiadając dane jednej z Pań księgowych, przesłaliśmy na jej adres email (z naszej wersji portalu ZUS) informację że ze względu na zmiany w programie Płatnik jeden z naszych pracowników w dniu jutrzejszym chciałby wspomóc Panią w aktualizacji . Odpowiedź przyszła w ciągu 1 godziny – Zapraszam serdecznie !
Dzień 3 – Pan od Płatnika
Mój kolega udał się na miejsce do Klienta i w szampańskiej atmosferze „chichocząc” z Paniami z działu księgowości zgrał sobie bazę płatnika, książkę adresową Outlook , wypił herbatę , dostał ciastko, ustalił login konta administratora domenowego, używany system ERP , hasło SA do serwera SQL, a także wszystkie hasła zapisane w przeglądarce firefox, IP po którym śmiga ruch internetowy użytkowników i….klucze VPN spoczywające sobie spokojnie w jednym z podkatalogów zasobu sieciowego IT. Wrócił z takim uśmiechem jakby oglądał mecz Lewandowski vs przedszkolaki.
Dzień 4 – Armagedon
Jako iż posiadaliśmy już książkę adresową organizacji, z „naszego” konta administratora z oryginalną super stopką rozesłaliśmy informację o audycie i konieczności weryfikacji haseł wraz z linkiem do wcześniej utworzonego formularza. W początkowej fazie email wyszedł tylko do 10 kont email.
Hasła pozyskane w pierwszej fazie wykorzystaliśmy do zalogowania się na konta poprzez OWA i przesłanie alarmowej wiadomości do faktycznych administratorów że „wirus szyfruje mi komputer!!!” – tak wiem, to nie było ładne zagranie i po czymś takim będąc adminem można dostać zawał serca ( sam osobiście dostaję go niemal codziennie rano gdy odbieram telefon że „nie widzę mojego pulpitu” ) ale musieliśmy czymś przykryć kolejne działania.
W kolejnej fazie email wyszedł do pozostałych 180 kont – w ciągu pierwszych 30 minut mieliśmy 120, haseł –Active Directory i ERP, 20 VPN ( dział handlowy???). Była też osoba która wytknęła nam słabe zabezpieczenia bo formularz nie posiadał haszowania gwizdkami w czasie wpisywania hasła – mój błąd, oczywiście przeprosiłem i od razu poprawiłem formularz – wreszcie hasło mogło być bezpiecznie zweryfikowane :‑) Za pomocą dwóch z kont VPN i AD uzyskaliśmy dostęp do zasobów – celem potwierdzenia skopiowaliśmy kilka zbiorów danych .
W tym czasie mój kolega podając się za Administratora IT zadzwonił do usługodawcy łącza Internetowego i wybłagał Panią z infolinii że „jest w samochodzie i że firma jest pod ostrzałem hackerskim i prosi o zatrzymanie ruchu na puli adresów IP…. Pani co prawda nie mogła tego zrobić lecz zrestartowała terminal co skutkowało chwilową utratą Internetu w firmie i spotęgowało efekt „O K…A!””
Dzień 5 – podsumowanie
Mamy konta wraz z hasłami, dostęp do poczty użytkowników, VPN do sieci, dostęp do panelu administracyjnego dla 3 serwisów WWW, bazę płatnika, hasła do różnych portali wykorzystywanych w księgowości, wybrane dane między innymi finansowe…Dla działu IT, to był ciężki dzień….
Refleksja
Schemat który opisałem wyżej wykorzystywaliśmy przy okazji różnych audytów w różnych konfiguracjach, raz z lepszym raz z gorszym skutkiem, podstawowym czynnikiem niezmiennym niezależnym od wielkości organizacji jest człowiek. Ja wiem że administratorzy się starali, później już w wewnętrznych konsultacjach widziałem że mieli nienaganną politykę backupu , że zasady GPO , że firewall , że uprawnienia itp. Itd. Znam to dobrze od kuchni , wiem że się starają , ja się staram…. Ale pracujemy między ludźmi i bez świadomości i poczucia odpowiedzialności „Pani sekretarki” pieniądze wydane na UTM za 50 tyś zł nic nie dadzą.
Zauważam że u większości osób cały czas pokutuje przeświadczenie że „to nie jest naprawdę” że to co na ekranie to niby ważne ale nie tak na 100% że wszystko się da naprawić, "przepisać", "zrestartować" .
Kiedyś w jednym z moich skeczów standupowych mówiłem taki monolog że nigdy nie słyszałem od użytkownika słów „nie umiem” lub „zj…em” zawsze jest to „coś mi się tutaj zrobiło”. Gdy zapominamy wyłączyć gaz z piecyka lub mamy stłuczkę nie tłumaczymy się „coś mi się tutaj zrobiło” . Poniekąd jest to wina producentów oprogramowania którzy poprzez coraz to, jak to nazywają „małpo odporne” interfejsy tworzą środowisko które nie wymaga od operatora żadnej wiedzy o działaniu narzędziu które wykorzystują Kliknij->Dalej->Dalej->Akceptuj->Dalej.
Podczas jakiegoś szkolenie z bezpieczeństwa IT które prowadziłem po omówieniu załączników w poczcie pewna osoba biorąca udział w szkoleniu zupełnie nieskrępowanie powiedziała
A ja właśnie uruchomiłam taki załącznik i coś mi się tu kręci…
Nie mam pomysłu jak powinna być odpowiedź wielkich tego świata na nowe zagrożenia ale może w ogólnym rozrachunku wszystko jest tak jak ma być, bo gdyby tak zamknąć możliwość obrotu bitcointami dziś dla ransomware nie było by rynku…
Tęsknię za czasami „Dosa dla opornych”