Blog (5)
Komentarze (513)
Recenzje (0)
@szymon.nowakPraktyka bezpieczeństwa IT — śmiech na sali, która płonie

Praktyka bezpieczeństwa IT — śmiech na sali, która płonie

29.06.2017 | aktual.: 29.06.2017 21:53

Jakiś czas temu, w ramach poczynań zawodowych zostało przydzielone mi zadanie przeprowadzenia audytu bezpieczeństwa IT. Klient to średniej wielkości firma zajmująca się pisaniem software i sterowników do określonych urządzeń. O audycie wiedzieliśmy tylko my i jedne z prezesów omawianej firmy.

W tym momencie mógłbym zacząć rozpisywać się jak określiliśmy strategię audytu i skąd poniższe działania, napiszę tylko tyle – to czym dysponowaliśmy na początku to : adres email prezesa , adres strony www i wiedza że firma posiada rozbudowany dział IT. Oczywiście została podpisana umowa zezwalająca nam na podjęcie kroków penetrujących organizację.

Dzień 1 - Więcej danych

Analiza strony WWW pozwoliła nam ustalić schemat adresów email np. imię.nazwisko@domena.pl

Analiza portfolio klientów i partnerów pozwoliła nam ustalić partnera wspomagającego audytowaną firmę w zakresie tworzenia stron WWW, jak również hostów odpowiedzialnych za utrzymanie kilku kluczowych portali klientów.

Analiza Facebooka i Goldenline pozwoliła nam namierzyć administratorów IT pracujących obecnie dla naszego „Celu”

Kilka telefonów do firmy i próśb o połączenie z konkretnymi działami pozwoliło nam ustalić dwa imiona i nazwiska Pań zatrudnionych w księgowości i Panią szefową marketingu. Odpowiedź email na nasze zapytanie ofertowe pozwoliła nam na ustalenia że klient posiada serwer poczty MS Exchange wewnątrz swojej organizacji i jest to łącze firmy X , odwiedziny firmy https://mail.domena.pl/owa pozwoliło nam na ustalenie że firma korzysta z serwera poczty Exchange 2010 i  jakąś wersję serwera OpenVPN

Dzień 2 - przygotowanie „placu zabaw”

Wykupiliśmy dwie domeny , pierwszą łudząco podobną do nazwy domeny audytowanej firmy , drugą łudzącą podobną do stron „ZUS” . np. oryginalna domena klienta www.mojedomena.pl , nasza www.mojadonema.pl .

Nasza „fakeowa” domena posłużyła nam do stworzenia konta które wykorzystaliśmy do kontaktu z firmą tworzącą strony WWW dla „Celu” i na prośbę „Naszego działu marketingu” firma ta na serwerze klienta umieściła stronę z „opisem produktu” i skryptem php pozwalającym umieścić nam własne pliki i zrobić zrzut configów :‑) Na tak spreparowanej podstronie umieściliśmy mechanizm pozwalającą „zweryfikować” siłę używanego hasła.

Formularz pozwalał na sprawdzenie „siły hasła do komputera”, VPN i siłę hasła ERP( jeszcze wtedy nie wiedzieliśmy jakiego systemu nasz Cel  używa).

Posiadając dane jednej z Pań księgowych, przesłaliśmy na jej adres email (z naszej wersji portalu ZUS) informację że ze względu na zmiany w programie Płatnik jeden z naszych pracowników w dniu jutrzejszym chciałby wspomóc Panią w aktualizacji . Odpowiedź przyszła w ciągu 1 godziny – Zapraszam serdecznie !

Dzień 3 – Pan od Płatnika

Mój kolega udał się na miejsce do Klienta i w szampańskiej atmosferze „chichocząc” z Paniami z działu księgowości zgrał sobie bazę płatnika, książkę adresową Outlook , wypił herbatę , dostał ciastko, ustalił login konta administratora domenowego, używany system ERP , hasło SA do serwera SQL, a także wszystkie hasła zapisane w przeglądarce firefox, IP po którym śmiga ruch internetowy użytkowników i….klucze VPN spoczywające sobie spokojnie w jednym z podkatalogów zasobu sieciowego IT. Wrócił z takim uśmiechem jakby oglądał mecz Lewandowski vs przedszkolaki.

Dzień 4 – Armagedon

Jako iż posiadaliśmy już książkę adresową organizacji, z „naszego” konta administratora z oryginalną super stopką rozesłaliśmy informację o audycie i konieczności weryfikacji haseł wraz z linkiem do wcześniej utworzonego formularza. W początkowej fazie email wyszedł tylko do 10 kont email.

Hasła pozyskane w pierwszej fazie wykorzystaliśmy do zalogowania się na konta poprzez OWA i przesłanie alarmowej wiadomości do faktycznych administratorów że „wirus szyfruje mi komputer!!!” – tak wiem, to nie było ładne zagranie i po czymś takim będąc adminem można dostać zawał serca ( sam osobiście dostaję go niemal codziennie rano gdy odbieram telefon że „nie widzę mojego pulpitu” ) ale musieliśmy czymś przykryć kolejne działania.

W kolejnej fazie email wyszedł do pozostałych 180 kont – w ciągu pierwszych 30 minut mieliśmy 120, haseł –Active Directory i ERP, 20 VPN ( dział handlowy???). Była też osoba która wytknęła nam słabe zabezpieczenia bo formularz nie posiadał haszowania gwizdkami w czasie wpisywania hasła – mój błąd, oczywiście przeprosiłem i od razu poprawiłem formularz – wreszcie hasło mogło być bezpiecznie zweryfikowane :‑) Za pomocą dwóch z kont VPN i AD uzyskaliśmy dostęp do zasobów – celem potwierdzenia skopiowaliśmy kilka zbiorów danych .

W tym czasie mój kolega podając się za Administratora IT zadzwonił do  usługodawcy łącza Internetowego i wybłagał Panią z infolinii że „jest w samochodzie i że firma jest pod ostrzałem hackerskim i prosi o zatrzymanie ruchu na puli adresów IP…. Pani co prawda nie mogła tego zrobić lecz zrestartowała terminal co skutkowało chwilową utratą Internetu w firmie i spotęgowało efekt „O K…A!””

Dzień 5 – podsumowanie

Mamy konta wraz z hasłami, dostęp do poczty użytkowników, VPN do sieci, dostęp do panelu administracyjnego dla 3 serwisów WWW, bazę płatnika, hasła do różnych portali wykorzystywanych w księgowości, wybrane dane między innymi finansowe…Dla działu IT, to był ciężki dzień….

Refleksja

Schemat który opisałem wyżej wykorzystywaliśmy przy okazji różnych audytów w różnych konfiguracjach, raz z lepszym raz z gorszym skutkiem, podstawowym czynnikiem niezmiennym niezależnym od wielkości organizacji jest człowiek. Ja wiem że administratorzy się starali, później już w wewnętrznych konsultacjach widziałem że mieli nienaganną politykę backupu , że zasady GPO , że firewall , że uprawnienia itp. Itd. Znam to dobrze od kuchni , wiem że się starają , ja się staram…. Ale pracujemy między ludźmi i bez świadomości i poczucia odpowiedzialności „Pani sekretarki” pieniądze wydane na UTM za 50 tyś zł nic nie dadzą.

Zauważam że u większości osób cały czas pokutuje przeświadczenie że „to nie jest naprawdę” że to co na ekranie to niby ważne ale nie tak na 100% że wszystko się da naprawić, "przepisać", "zrestartować" .

Kiedyś w jednym z moich skeczów standupowych mówiłem taki monolog że nigdy nie słyszałem od użytkownika słów „nie umiem” lub „zj…em” zawsze jest to „coś mi się tutaj zrobiło”. Gdy zapominamy wyłączyć gaz z piecyka lub mamy stłuczkę nie tłumaczymy się „coś mi się tutaj zrobiło” . Poniekąd jest to wina producentów oprogramowania którzy poprzez coraz to, jak to nazywają „małpo odporne” interfejsy tworzą środowisko które nie wymaga od operatora żadnej wiedzy o działaniu narzędziu które wykorzystują  Kliknij->Dalej->Dalej->Akceptuj->Dalej.

Podczas jakiegoś szkolenie z bezpieczeństwa IT które prowadziłem po omówieniu załączników w poczcie pewna osoba biorąca udział w szkoleniu zupełnie nieskrępowanie powiedziała

A ja właśnie uruchomiłam taki załącznik i coś mi się tu kręci…

Nie mam pomysłu jak powinna być odpowiedź wielkich tego świata na nowe zagrożenia ale może w ogólnym rozrachunku wszystko jest tak jak ma być, bo gdyby tak zamknąć możliwość obrotu bitcointami dziś dla ransomware nie było by rynku…

Tęsknię za czasami „Dosa dla opornych”

Wybrane dla Ciebie
Komentarze (83)