Русский
Русский
English
Статистика
Реклама

Атаки

DDoS идет в оффлайн

08.07.2020 12:13:32 | Автор: admin
Пару лет назад исследовательские агентства и провайдеры услуг информационной безопасности уже начали было докладывать о снижении количества DDoS-атак. Но уже к 1-му кварталу 2019 года те же исследователи сообщили об их ошеломляющем росте на 84%. А дальше все пошло по нарастающей. Даже пандемия не поспособствовала атмосфере мира напротив, киберпреступники и спамеры посчитали это прекрасным сигналом к атаке, и объем DDoS вырос вдвое.

image

Мы уверены, что время простых и легко обнаруживаемых DDoS-атак (и несложных инструментов, которые могут их предотвратить) уже кончилось. Киберпреступники научились лучше скрывать эти атаки и проводить их все более изощренно. Темная индустрия перешла от brute force к атакам на уровне приложений. Она получает серьезные заказы на разрушение бизнес-процессов, включая вполне себе оффлайновые.

Врываясь в реальность


В 2017 году серия DDoS-атак, направленных на транспортные услуги Швеции, привела к длительным задержкам поездов. В 2019 году у национального железнодорожного оператора Дании Danske Statsbaner отключились системы продаж. В результате на станциях не работали автоматы по продаже билетов и автоматические ворота, и более 15 тысяч пассажиров не смогли никуда уехать. В том же 2019-ом мощная кибератака вызвала отключение электроснабжения в Венесуэле.

Последствия DDoS-атак теперь испытывают не только онлайн-пользователи, но и люди, как говорится, IRL (in real life). Хотя исторически атакующие целились только на онлайн-сервисы, теперь часто их задача нарушить любые бизнес-операции. По нашим оценкам, сегодня у более чем 60% атак есть такая цель для вымогательства или нечистоплотной конкурентной борьбы. Особенно уязвимы при этом транзакции и логистика.

Умнее и дороже


DDoS продолжает считаться одним из самых распространенных и быстрорастущих видов киберпреступности. По прогнозам экспертов, с 2020 года их количество будет только расти. Это связывают с разными причинами и с еще большим переходом бизнеса в онлайн из-за пандемии, и с развитием самой теневой отрасли киберпреступлений, и даже с распространением 5G.

Популярными DDoS-атаки стали в свое время из-за простоты развертывания и низкой стоимости: еще пару лет назад их можно было инициировать за $50 в день. Сегодня как цели, так и методы атаки изменились, что привело к увеличению их сложности и, как следствие, стоимости. Нет, цены от $5 в час по-прежнему есть в прайсах (да, у киберпреступников есть прайсы и тарифные сетки), но за сайт с защитой уже требуют от $400 в сутки, а стоимость индивидуальных заказов на крупные компании доходит до нескольких тысяч долларов.

Сейчас существует два основных типа DDoS-атак. У первого цель сделать онлайн-ресурс недоступным в течение определенного периода времени. Оплату за них злоумышленники берут за время самой атаки. В этом случае DDoS-оператор не заботится о каком-либо конкретном результате, а клиент фактически делает предоплату за начало атаки. Такие методы достаточно дешевы.

Второй тип атаки, которые оплачиваются только при достижении определенного результата. С ними уже интереснее. Они намного сложнее в исполнении и поэтому значительно дороже, поскольку атакующим приходится выбирать наиболее эффективные методы для достижения целей. В Variti мы иногда проводим целые шахматные партии с киберпреступниками, в которых они мгновенно меняют тактику и инструменты и пробуют разом прорваться в несколько уязвимостей на нескольких уровнях. Это явно командные атаки, в которых хакеры прекрасно знают, как реагировать и противодействовать действиям защитников. Бороться с ними не только непросто, но и еще и очень затратно для компаний. Например, один из наших клиентов, крупный сетевой ритейлер, почти три года держал у себя команду из 30 человек, чьей задачей было бороться с DDoS-атаками.

По данным Variti, простые DDoS-атаки, совершаемые исключительно из-за скуки, троллинга или недовольства определенной компанией, в настоящее время составляют менее 10% всех DDoS-атак (разумеется, у незащищенных ресурсов может быть другая статистика, мы смотрим на данные наших клиентов). Все остальное это работа профессиональных команд. При этом три четверти всех плохих ботов это сложные боты, которые трудно обнаружить с помощью большинства современных рыночных решений. Они имитируют поведение реальных пользователей или браузеров и внедряют паттерны, которые усложняют различия между хорошими и плохими запросам. Это делает атаки менее заметными и, следовательно, более эффективными.

image
Данные от GlobalDots

Новые цели DDoS


Отчет Bad Bot Report от аналитиков из GlobalDots говорит о том, что боты сейчас генерируют 50% всего веб-трафика, причем 17,5% из них это именно вредоносные боты.

Боты умеют по-разному портить жизнь компаниям: плюс к тому, что они кладут сайты, они теперь занимаются и тем, что увеличивают расходы на рекламу, скликивания рекламные объявления, парсят цены, чтобы сделать их на копейку меньше и переманить покупателей, и крадут контент с разными нехорошими целями (например, мы недавно писали о сайтах с ворованным контентом, которые заставляют пользователей решать чужие капчи). Боты сильно искажают различную бизнес-статистику, а в итоге решения принимаются на основе неверных данных. DDoS-атака часто бывает дымовой завесой для еще более серьезных преступлений типа взлома и кражи данных. А теперь мы видим, что добавился целый новый класс киберугроз это нарушение работы определенных бизнес-процессов компании, часто оффлайновых (так как в наше время ничего не может быть совершенно вне сети). Особенно часто мы видим, что ломают логистические процессы и коммуникации с клиентами.

Не доставлено


Логистические бизнес-процессы ключевые для большинства компаний, поэтому на них часто нападают. Вот какие сценарии атак могут быть при этом.

Нет в наличии

Если вы работаете в сфере онлайн-коммерции, то уже наверняка знакомы с проблемой фейковых заказов. В случае атак боты перегружают логистические ресурсы и делают товары недоступными для других покупателей. Для этого они размещают огромное количество фейковых заказов, равное максимальному количеству товаров в наличии. Эти товары потом не оплачиваются и через некоторое время возвращаются на сайт. Но дело уже сделано: они были помечены как нет в наличии, и часть покупателей уже ушла к конкурентам. Эта тактика хорошо знакома в индустрии авиабилетов, где иногда боты мгновенно раскупают все билеты практически сразу после их появления. Например, один из наших клиентов крупная авиакомпания пострадал от такой атаки, организованной китайскими конкурентами. Всего за два часа их боты заказали 100% билетов на определенные направления.

Sneakers bots

Следующий популярный сценарий: боты мгновенно покупают всю линейку продуктов, а их владельцы продают их позже по завышенной цене (в среднем наценка составляет 200%). Таких ботов называют sneakers bots, потому что с этой проблемой хорошо знакомы в индустрии модных кроссовок, в особенности лимитированных коллекций. Боты практически за минуты скупали только что появившиеся новые линейки, при этом блокируя ресурс так, чтобы туда не смогли прорваться реальные пользователи. Это редкий случай, когда про ботов писали в модных глянцевых журналах. Хотя в общем-то, перепродавцы билетов на крутые мероприятия типа футбольных матчей пользуются тем же сценарием.

Другие сценарии

Но и это еще не все. Есть еще более сложный вариант атак на логистику, который грозит серьезными потерями. Этим могут заниматься, если у сервиса есть опция Оплата при получении товара. Боты оставляют поддельные заказы на такие товары, указывая фейковые, а то и реальные адреса ничего не подозревающих людей. А компании несут огромные расходы на доставку, хранение, выяснение деталей. В это время товары недоступны для других клиентов, да еще и занимают место на складе.

Что еще? Боты оставляют массовые фейковые плохие отзывы о товарах, забивают функцию возврат платежа, блокируя транзакции, крадут данные клиентов, спамят реальным покупателям вариантов множество. Хороший пример недавняя атака на DHL, Hermes, AldiTalk, Freenet, Snipes.com. Хакеры притворились, что они тестируют системы защиты от DDoS, а в итоге положили портал бизнес-клиентов компании и все API. В итоге случились большие перебои в доставке товаров покупателям.

Позвоните завтра


В прошлом году Федеральная торговая комиссия (FTC) сообщила о двойном росте жалоб от предприятий и пользователей на спамерские и мошеннические телефонные бот-звонки. По некоторым оценкам, они составляют почти 50% всех звонков.

Как и в случаях с DDoS, цели TDoS массовых атак ботов на телефоны варьируются от розыгрышей до нечистоплотной конкурентной борьбы. Боты способны перегрузить контакт-центры и не пропустить реальных клиентов. Этот метод эффективен не только для колл-центров с живыми операторами, но и там, где используются системы AVR. Боты также могут массово нападать на другие каналы коммуникации с клиентами (чаты, emails), нарушать работу CRM-систем и даже в некоторой степени негативно влиять на управление персоналом, ведь операторы перегружены, пытаясь справиться с кризисом. Атаки также могут быть синхронизированы с традиционной DDoS-атакой на онлайн-ресурсы жертвы.

Недавно подобная атака нарушила работу службы спасения 911 в США обычные люди, остро нуждающиеся в помощи, просто не могли дозвониться. Примерно в то же время Дублинский зоопарк постигла та же участь: по меньшей мере 5000 человек получили спам в виде текстовых SMS-сообщений, побуждающих их срочно позвонить по номеру телефона зоопарка и попросить вымышленного человека.

Wi-Fi не будет


Киберпреступники также могут легко заблокировать всю корпоративную сеть. Часто блокировка IP используется в качестве борьбы с DDoS-атаками. Но это не только неэффективная, но и очень опасная практика. IP-адрес легко найти (например, с помощью мониторинга ресурсов) и легко заменить (или подделать). У наших клиентов до прихода в Variti были случаи, когда это привело к тому, что блокировка определенного IP попросту отключила Wi-Fi в их собственных офисах. Был случай, когда клиенту подсунули нужный IP, и он заблокировал доступ к своему ресурсу пользователям из целого региона, причем долго этого не замечал, потому что в остальном весь ресурс прекрасно функционировал.

Что нового?


Новые угрозы требуют новых решений для защиты. Однако эта новая ниша на рынке только начинает формироваться. Решений для эффективного отражения простых атак ботов множество, а вот со сложными все не так просто. Многие решения по-прежнему практикуют методы блокировки IP. Другим нужно время, чтобы собрать первичные данные для начала работы, и эти 10-15 минут могут стать уязвимостью. Есть решения, основанные на машинном обучении, которые позволяют определять бота по его поведению. И одновременно команды с той стороны хвастаются, что у них уже есть боты, которые могут имитировать реальные, неотличимые от человеческих паттерны. Кто кого пока непонятно.

Что делать, если приходится бороться с профессиональными командами ботоводов и сложными, многоэтапными атаками сразу на нескольких уровнях?

Наш опыт показывает, что нужно фокусироваться на фильтрации нелегитимных запросов без блокировки IP-адресов. Для сложных DDoS-атак нужна фильтрация сразу на нескольких уровнях, включая и транспортный уровень, и уровень приложений, и API-интерфейсы. Благодаря этому можно отражать даже низкочастотные атаки, которые обычно незаметны и поэтому часто пропускаются дальше. Наконец, необходимо пропускать всех реальных пользователей даже в то время, пока идет активная фаза атаки.

Во-вторых, компаниям нужна возможность создавать свои собственные многоэтапные системы защиты, куда, помимо инструментов предотвращения DDoS-атак, будут встроены системы против мошенничества, кражи данных, защиты контента и так далее.

В-третьих, они должны работать в режиме реального времени с самого первого запроса возможность мгновенно реагировать на инциденты безопасности намного повышает шансы предотвратить атаку или уменьшить их разрушительную силу.

Ближайшее будущее: управление репутацией и сбор больших данных с помощью ботов
История DDoS развивалась от простого к сложному. Сначала целью злоумышленников было остановить работу сайта. Сейчас они считают более эффективным целиться в основные бизнес-процессы.

Сложность атак будет продолжать расти, это неизбежно. Плюс к тому, что плохие боты делают сейчас кража данных и их фальсификация, вымогательство, спам боты будут собирать данные из большого числа источников (Big Data) и создавать надежные фальшивые учетные записи для управления влиянием, репутацией или массового фишинга.

В настоящее время только крупные компании могут позволить себе инвестировать средства в защиту от DDoS и ботов, но даже они не всегда могут полностью отследить и отфильтровать трафик, сгенерированный ботами. Единственный позитив того, что атаки ботов усложняются, это стимулирует рынок создавать умные и более совершенные решения для защиты.

Что думаете вы как будет развиваться отрасль защиты от ботов и какие решения необходимы на рынке уже сейчас?
Подробнее..

DDoS на удаленке RDP-атаки

08.09.2020 16:22:26 | Автор: admin

Несмотря на то, что решения для удаленного доступа уже много лет успешно работают на рынке и имеют многомиллионную аудиторию, они всегда вызывали у пользователей некоторые опасения в плане безопасности. Некоторые люди и компании принципиально отказывались ими пользоваться. Что ж, в чем-то их страхи оправдались: количество атак через протокол удаленного доступа не просто растет - во время пандемии оно вообще удвоилось. В этой статье расскажем о том, как обнаружить RDP-атаку, как защититься от нее на постоянной основе, а какие методы не настолько эффективны.

До недавнего времени корпоративный поток данных в подавляющем большинстве случаев циркулировал в контролируемой инфраструктуре. Но пандемия вынудила людей в спешке организовывать весь доступ к корпоративной среде в домашних условиях и незащищенных сетях Wi-Fi. Ну а уж любовь пользователей к простым паролям и нелюбовь к двухфакторной авторизации всегда были головной болью безопасников.

Этим немедленно воспользовались киберпреступники. И без того популярные атаки через протоколы удаленного доступа с начала строгого карантина пошли лавиной: ежедневно стало регистрироваться почти миллион таких попыток. Самый популярный из протоколов удаленного доступа - проприетарный протокол Microsoft RDP, поэтому такие атаки называют RDP-атаками. Хотя в той или иной степени уязвимо любое решение удаленного доступа.

Статистика

По данным Лаборатории Касперского, с начала марта 2020 года количество атак на RDP скачкообразно увеличилось. ESET в своем отчете говорит о более чем 100 тысячах новых RDP-атак в день - рост более чем в два раза по сравнению с первым кварталом.

Причина, в том числе, не только в переходе на удаленку, но и в спешке - для компаний при переезде в карантин главным было добиться работоспособности инфраструктуры, а ее безопасность стояла только второй задачей. Например, опрос специалистов по информационной безопасности, который провели в Positive Technologies, показал, что в связи с пандемией удаленный доступ им пришлось либо экстренно организовывать с нуля (11%), либо срочно масштабировать (41%).

Что такое RDP-атаки

Протокол RDP (Remote Desktop Protocol) - это один из наиболее популярных протоколов для подключения к удаленным рабочим столам, доступный во всех версиях Windows, начиная с XP. Помимо взаимодействия с удаленным компьютером он позволяет подключить к удаленной машине локальные диски, порты и другие устройства. Используется большинством админов Windows-сред для администрирования рабочих мест пользователей и серверов, экономя им много времени.

В протоколе постоянно находили уязвимости, причем так часто, что в 2018 году даже ФБР выпустило специальное предупреждение. В мае 2019 года в старых версиях протокола была обнаружена критическая уязвимость под названием BlueKeep. Всего через месяц после ее появления началась активная волна атак, использующих BlueKeep. Затем в августе того же года в протоколе нашли еще четыре новые уязвимости. Они были связаны не с протоколом RDP, а с сервисом удаленных рабочих столов RDS и позволяли с помощью специального запроса, отправленного через RDP, получить доступ к уязвимой системе, не проходя при этом процедуру проверки подлинности.

RDP-атака - это, по сути, атака brute force, в ходе которой подбирается логин и пароль или ключ шифрования для доступа к RDP путем систематического перебора всех возможных комбинаций символов, пока не будет найден верный вариант. Для длинных паролей может использоваться перебор по словарю, где вместо генерирования комбинации букв и цифр используется длинный список популярных или скомпрометированных паролей.

Цель - получить полный удаленный доступ к нужному компьютеру или серверу и проникнуть через него в корпоративную сеть, обладая всеми соответствующими правами и доступами. Атакующий внедряется в диалог двух систем в момент установления RDP-сессии и, расшифровав пакет, получает полный доступ к удаленной системе, причем без каких-либо нотификаций на стороне клиента или сервера, поскольку у него есть правильный сертификат.

А затем начинается собственно атака изнутри системы. Решения безопасности отключаются или удаляются, а затем либо начинается DDoS-атака, либо запускается программа-вымогатель, которая устанавливает пароль на доступ к базам данных с важной для компании информацией. Либо уводятся реальные персональные данные для credential stuffing и фишинга. Также можно использовать плохо защищенный RDP для установки программ для майнинга криптовалют или создания бэкдора (на случай, если несанкционированный доступ к RDP будет обнаружен и закрыт), для установки рекламного или шпионского ПО, SMS-троянов, и так далее. Этим можно полностью заразить все доступные в сети машины.

Существуют скрипты, которые способны по-максимуму использовать права пользователя, который подключается по RDP и всех последующих пользователей в цепочке RDP-подключений. Этот метод получил название RDPInception. Если атакованная машина подключается по цепочке через несколько серверов и везде монтируются локальные диски, то скрипт самокопируется в нужные директории и становится возможным атаковать все машины, поскольку при входе в систему выполняются скрипты, расположенные в Startup директории. Все, что подключается в этой цепочке, также может быть заражено.

Почему они опасны?

Плохо защищенное RDP-соединение может обеспечить преступникам доступ ко всей корпоративной системе. Например, зашифровка серверов компании программами-вымогателями, которые потом требуют выкуп, может быть крайне разрушительной для бизнеса. Тут показательна недавняя история очень крупного GPS-вендора Garmin, который был вынужден заплатить вымогателям $10 миллионов - по-другому их специалистам по безопасности решить проблему не удалось.

Технически такие атаки тоже становятся все более опасными. Во-первых, злоумышленники больше не работают точечно, а охватывают большие сегменты сетей.

Во-вторых, время простых атак уже прошло. Преступники используют сложные схемы и комбинируют методы. Так, в трояне TrickBot появился новый модуль rdpScanDll, который используется для проведения атак brute force на RDP-соединения. Этот модуль уже отметился в ряде атак на крупные компании, в том числе связанными с образованием и финансами.

В-третьих, персональные данные и инструменты для взлома, к сожалению, становятся все более доступными. Например, недавно исходный код Dharma, ransomware-as-a-service ПО, также нацеленного на RDP, выложили для продажи онлайн (извините, ссылку давать не будем). Растет количество утечек баз с паролями и словарей для перебора паролей, упоминавшиеся выше скрипты для взлома можно найти в открытом доступе, и там же есть готовые списки серверов, у которых открыт RDP порт. На рынке есть огромное количество ботов, которые постоянно сканируют все доступные точки подключения и пытаются подобрать пароль.

Наконец, средств для защиты либо недостаточно для переборщиков паролей, либо они не применяются. Часто компании даже не видят, что такая атака уже идет. Они могут заметить низкую производительность и долгое выполнение запросов, но лечат это оптимизацией памяти и другими нерелевантными методами.

Как понять, что RDP-атака началась

  • Снижается общая производительность, ответы на запросы становятся дольше (причем иногда вы не видите это в трафике - в нем нет ни очевидных всплесков, ни провалов, и нет аномалий в статистике нагрузки на вычислительные ресурсы).

  • Серверы не принимают соединения со службой удалённого доступа, пользователи не могут зайти на свои рабочие столы. При этом ситуация может то временно улучшаться, то ухудшаться. В целом серверы могут быть доступны и даже отвечать на ping.

  • В журналах регистрации событий вы видите множество сообщений о попытке подобрать пароль (к сожалению, далеко не всегда - там часто не отображаются попытки неверного ввода логина и пароля, потому что отслеживание этих событий дает большую нагрузку на сервер).

Способы от них избавиться

Способов, на самом деле, множество, но в данной статье мы решили разделить их на полностью надежные и те, у которых или есть определенные недостатки, или их сложно реализовать, или они могут служить только временной мерой. Начнем с надежных.

Правильная система паролей

Недавнее исследование Verizon показало, что более 80% взломов связано не с уязвимостями протокола RDP, а именно с ненадежными паролями. Поэтому в компаниях должна быть принята и закреплена в инфраструктуре политика использования сложных для подбора паролей и обязательной двухфакторной аутентификации. Пароли пользователям желательно хранить в специальных защищенных менеджерах паролей. Решения по безопасности также должны быть дополнительно защищены паролем, чтобы нельзя было их отключить изнутри при успешной атаке.

Система мониторинга всех запросов

Эффективный способ - мониторить весь входящий трафик и отслеживать все несанкционированные подключения и запросы. К системам мониторинга удаленных подключений можно добавить какие-то дополнительные системы отслеживания, которые помогут увидеть более полную картину происходящего. Например, можно включить решение Variti - Active Bot Protection, которое не только позволяет размечать все входящие запросы на предмет бот - не бот, начиная с самого первого, в режиме реального времени, но и вычислять и блокировать источники атаки. Подобное отслеживание может вестись на всех системных уровнях, включая транспортный уровень и уровень приложений. Это позволит, например, увидеть подозрительную ботовую активность, которая может быть признаком начала атаки.

Другой вариант: если нет централизованной системы контроля доступа, то можно создать скрипт на powershell, который сообщает о всех фактах и попытках авторизации. Наконец, можно настроить События на отображение всей доступной информации.

Network Level Authentication

NLA обеспечивает более надежную защиту от подмены ключей, требуя аутентификацию до установления сессии и во время сессии. В прошлом году именно NLA затрудняла эксплуатацию серьезных уязвимостей в протоколе.

Ряд других полезных практик:

  • Используйте нестандартные ключи, например, PKI (Public Key Infrastructure), а соединения RDP стройте с помощью TLS (Transport Layer Security).

  • Если RDP не используется, то выключите его и отключите на брандмауэре сети внешние соединения с локальными машинами на порту 3389 (TCP/UDP) или любом другом порту RDP.

  • Постоянно обновляйте все ПО на устройствах сотрудников до актуальных версий. Помните, что 80-90% эксплойтов создано после выхода патча на уязвимость. Узнав, что была уязвимость, атакующие ищут ее именно в старых версиях софта. Конечно, это непростая задача в условиях удаленки, но это должно быть частью корпоративной ИТ-политики. Кроме того, любые незащищенные или устаревшие компьютеры нужно изолировать.

  • По возможности используйте шифрование на устройствах, которые используются для решения рабочих задач (например, шифрование диска).

  • Сделайте резервные копии ключевых данных. Резервные копии должны быть доступны только администратору или пользователю резервного копирования. Права на папки к файлам резервного копирования также должны быть максимально ограничены.

  • Установите на все устройства сотрудников защитные решения и решения, позволяющие отследить технику в случае ее утери.

А теперь перейдем к вариантам, которые сложно назвать однозначными, потому что у них есть и плюсы, и минусы.

Организовать доступ через VPN

Помимо очевидных преимуществ, у этого варианта есть несколько сложностей.

  • Даже у тех, кто использует Virtual Private Network, иногда разрешена авторизация пользователя без пароля.

  • Практически во всех популярных VPN-решениях также есть уязвимости для несанкционированного доступа.

  • Если вы раньше не пользовались VPN, что поднимать в спешке IPSec-соединения - не самая простая задача.

  • В условиях полного домашнего зоопарка устройств и подключений к сети (как насчет выхода в интернет через сотовый модем?) на удаленке довольно тяжело объяснять и настраивать каждому из нескольких сотен пользователей, чтобы у пользователя все стабильно работало и не пропадало подключение к сети.

  • VPN-серверы тоже могут падать, причем в отличие от временного падения какого-то из сервисов, это может грозить серьезными последствиями. Получается, что VPN серверы становятся единой точкой отказа со всеми вытекающими последствиями.

  • VPN это двойное шифрование (помимо стандартного RDP шифрования дополнительно выполняется ещё и VPN шифрование), что означает дополнительную нагрузку и более медленное подключение, что не очень хорошо в условиях нестабильного или не особо быстрого канала связи.

  • При взломе VPN (а это может быть при взломе роутера), если он настроен по умолчанию (или недостаточно компетентно), хакер получает сразу доступ ко всей внутренней сети, в отличии от доступа к одиночному ПК в случае взлома RDP (хотя и через него тоже потом можно получить доступ ко внутренней сети).

Использовать другие средства удаленного доступа

К сожалению, в них также есть уязвимости. Например, в конце прошлого года найдено 37 уязвимостей в разных клиентах, работающих с протоколом VNC.

Изменить настройки всех пользователей на другой порт

Наверное, наименее надежный способ из всех, хотя наверняка найдутся люди, у которых это прекрасно работает. Почему же он не очень?

  • Требует много времени на то, чтобы изменить настройки, если у вас много конечных пользователей, среди которых могут оказаться и клиенты. А ведь счет часто идет на минуты во время активной фазы атак. В этой ситуации нужно как можно быстрее устранить проблему с минимальным отрывом пользователей от дел.

  • Кроме того, это временное решение, потому что современные боты с интеллектуальной программой сканирования портов быстро найдут новый нестандартный порт. Из нашей анти-бот практики: боты ловят нестандартный порт от пары часов до пары дней. В общем, к вам все равно придут, хоть и позже. Возможно, переименование учетных записей типа Администратор, admin, user, user1 на более несловарные будет здесь даже более эффективно.

Ввести различные ограничения на подключения

Например, можно ограничить количество разрешенных одновременно открытых сеансов, минимизировать количество пользователей, которые могут подключаться к серверам организации через интернет, запретить доступ к серверу с более чем N IP адресов, ограничить количество разрешенных ошибочных попыток входа и время для этих попыток, установить время блокировки для входа в случае неправильного ввода пароля и так далее. Да, это помогает, но это нельзя назвать полноценным решением. К сожалению, как показывает практика, эти меры могут не дать заметного снижения количества атак, ведь боты работают круглосуточно и без остановки, а ограничения - это куча тонких настроек, где одно зависит от другого, а у самого администратора часто есть определенные ограничения на настройки.

Блокировка IP

Эффективный для поколения кулхацкеров метод - блокирование IP - в случае серьезных противников может быть бесполезным, а то и опасным. Во всяком случае, адреса, с которых идут атаки, меняются в очень широком диапазоне (атака на перебор часто идет с группы адресов и даже с разных подсетей), так что сама идея блокировки по адресам это лечение последствий, а не болезни. IP адрес слишком легко подделать, атакующие могут применять сотни и с легкостью менять их. И есть большая вероятность, что они подставят его так, что будет заблокирован ваш собственный адрес или IP ваших клиентов.

К тому же блокировка отдельных IP на сервере Windows - не такая уж простая задача. Во-первых, в логах безопасности часто не видно IP того, кто пытается подключится - в некоторых случаях его можно увидеть только при успешной авторизации. В противном случае видно только логин, под которым пытались залогиниться, хотя события в журнале отмечаются. И тем более это сложно, если IP специально скрывается.

Кстати, если вы делаете это с помощью Windows Firewall, то через какое-то времяWindows начинает сильно тормозить из-за переполненного правила Windows Firewall.

Давать доступ к данным только белому списку IP-адресов - тоже достаточно сложная вещь в условиях удаленки и домашних офисов - IP может плавать, так как пользователь задействует очень разные гаджеты, которые есть в хозяйстве, и все норовит поработать из кафе или парка с публичным вайфаем.

О дивный новый мир

Для многих компаний удаленная работа, вероятно, останется постоянной частью их корпоративной культуры, и с этим придется что-то делать. При этом уязвимости в RDP всплывают постоянно, и приходится регулярно гуглить, что же появилось нового.

Основная головная боль в том, чтобы защититься от RDP-атак в такой ситуации - это зоопарк устройств, на которых удаленно работают сотрудники, и сроки, так как проблему нужно решать быстро. И не нужно объяснять, что в каждой конкретной организации у администратора могут быть отдельные ограничения - кому-то выделяют только один порт под сервис, у кого-то нет подходящего железа и достаточного бюджета.

Единого ответа в том, как полностью обезопасить себя от таких нападений за счет одного-единственного инструмента, наверное, пока не существует (но, думаем, рынок усиленно над этим работает). К тому же и боты стали намного хитрее и сложнее, и хакеры стали более умными, и атаки более многоплановыми. Понадобится комплекс мер, ведь существует еще достаточно много вариантов защиты, кроме тех, о которых мы написали, в том числе аппаратных - межсетевые экраны, маршрутизаторы, виртуализация, разделение основной базы данных и многое другое.

Но, мы уверены, что самый важный и первый шаг - это четко увидеть, существует ли у вас такая проблема и насколько она серьезна. Так что включайте свои мониторинги. Второй шаг - это сделать все возможное, чтобы максимально усложнить жизнь хакеру. Есть огромная вероятность того, что столкнувшись хотя бы с несколькими приемами, хакер не будет тратить время на вас, а найдет жертву попроще.

Подробнее..

Рады представить CrowdSec v.1.0.0 локальную альтернативу Fail2Ban

10.12.2020 14:11:17 | Автор: admin


Привет. Мы, команда проекта CrowdSec, рады сообщить о выходе версии CrowdSec 1.0.0. Этот релиз крайне важен, потому что кроме добавления нескольких новых функций весь проект претерпел серьезные архитектурные изменения, чтобы стать быстрее, выше и сильнее.

В первую очередь, рады представить вам главное изменение этого патча внедрение локального REST API. Благодаря ему весь проект серьезно изменил свою архитектуру в сторону упрощения и облегчения взаимодействия компонентов на локальном уровне. При этом в целом простота использования не пострадала пользоваться CrowdSec все еще легко и приятно.

Для тех, кто не знает о CrowdSec или задается вопросом, как вообще французский стартап оказался на Хабре, сделаем небольшое отступление:
Несколько недель назад тут, на Хабре, вышла целая статья о нашем проекте, конкретно в ключе сравнения нас с Fail2Ban: CrowdSec современная альтернатива Fail2Ban и коллективный иммунитет для Интернета.

Команда нашего проекта базируется во Франции и хотя для нас русскоязычный сегмент всегда имел большое значение, мы не имели представления, как попасть в него и продемонстрировать наш продукт местному IT-сообществу. Имел место и языковой барьер. Однако оказалось, что существует Хабр и для местных специалистов наш проект оказался весьма интересен мы зафиксировали достаточно много трафика со стороны РФ и несколько десятков новых пользователей.

Еще больше нас удивила техническая глубина комментариев на Хабре, а также совершенно иной взгляд на многие вещи. И вот, как итог, мы тут. Презентуем вам версию 1.0.0 :)

Как было и как стало


Главное, что случилось с выходом версии 1.0 внесение изменений в архитектуру, которое произошло из-за внедрения в работу локального REST API. С архитектурной точки зрения наша система состоит из трех основных компонентов:

  • постоянно работающая служба CrowdSec, которая отслеживает логи, атаки и т. д.;
  • командная строка, интерфейс для взаимодействия со службой;
  • модули интеграции (bouncers) для обеспечения блокировки атакующих адресов.

Ниже схема, как работал CrowdSec раньше:



Как видно из схемы, как минимум три элемента системы постоянно напрямую обращались к базе данных. На схеме эти направления отмечены красными кружками (cwcli-DB, output plugins-DB, Bouncers-DB). При этом под Bouncers подразумевается минимум пять модулей, которые постоянно общаются между репутационной БД и БД забаненных IP-адресов.

Когда вы развиваете какой-то проект с нуля, подобные костыли простой, быстрый и дешевый способ создать рабочий прототип системы. Однако если говорить о стабильности и скорости работы, столько точек обращения к БД не лучшее решение. Подобная архитектура проекта привела к возникновению ряда ограничений, с которыми мы столкнулись на этапах дальнейшего развития CrowdSec. Следовательно, мы хотели избавиться от них как можно быстрее.

После переработки проекта на архитектурном уровне, мы пришли к решению, что лучшим вариантом будет локальный REST API, через который уже и будет проходить общение указанных выше компонентов и базы данных.

Как итог, мы получили архитектуру следующего вида:



Теперь все внутренние модули общаются между собой и с базой данных исключительно через REST API.

Главное преимущество API перед старой реализацией упрощение работы модулей (Bouncers) по сравнению со старой версией CrowdSec. Если раньше баунсер обращался к различным базам напрямую, то теперь, благодаря работе через REST API, ему понадобиться всего один HTTP-get реквест с API-токеном. Вся остальная работа происходит на стороне API.

Облачная схема работы CrowdSec


В классическом представлении предполагается, что на одной из машин будет развернута серверная часть CrowdSec, которая через новый API сможет управлять модулями на других машинах внутри определенной администратором сети. При желании, пользователь сможет использовать собственную БД забаненных адресов, либо же обращаться к нашей базе данных на платной основе. Однако создание единой точки общения между локальным REST API и нашим собственным API создает новые возможности: работа CrowdSec по модели, близкой к облачному SaaS.

Теперь администратору не обязательно разворачивать на своей машине полноценную серверную часть CrowdSec с локальным REST API. Вместо этого он может использовать наш внешний центральный API CrowdSec и пользоваться для защиты сети только баунсерами.

Дополнительно


Тем, кто уже пользовался CrowdSec ранее, мы предлагаем ознакомиться с полным списком изменений в версии 1.0.0 относительно версии 0.3.x на GitHub.

Новым пользователям советуем обратиться к информации из нашего репозитория на GitHub.

Хотим отметить, что CrowdSec опенсорсный инструмент, который выпускается под свободной лицензией MIT. Таким образом, любой желающий может пользоваться им абсолютно бесплатно. Проект пока не монетизируется, мы находимся в стадии разработки собственного бан-листа и тарифных планов. На нашем сайте hub.crowdsec.net специально для новых пользователей собраны коллекции, конфигурации и готовые баунсеры для облегчения настройки и начала использования CrowdSec.



Вы можете задать любой вопрос о нашем проекте прямо здесь, в комментариях. Использование английского упростит коммуникацию нам не придется использовать Google.Translate или просить русскоязычных знакомых перевести нам ваше сообщение :)
Подробнее..

Возможные способы организации атак на киберфизические системы

28.12.2020 12:07:24 | Автор: admin

Киберфизические атаки это особая категория кибератак, которые преднамеренно или нет также негативно влияют на физическое пространство нацеливаясь на вычислительную и коммуникационную инфраструктуру позволяющую людям и системам контролировать и контролировать датчики и исполнительные механизмы. Киберфизические атаки обычно рассматриваются в связи с киберфизическими системами и уязвимостью их вычислительных и коммуникационных элементов. Например, злоумышленник взявший под контроль вычислительные или коммуникационные компоненты водяных насосов, медицинских имплантатов автомобилей и клапанов газопроводов может использовать их для воздействия на физическое пространство, нанося ущерб имуществу или окружающей среде и подвергая риску жизни людей. В результате безопасность повсеместно рассматривается как одна из важнейших задач при проектировании надежных киберфизических систем. В дальнейшей работе цель состоит в том, чтобы получить более глубокое понимание угроз, с которыми сталкивается инфраструктура киберфизических систем, а также определить вероятность и последствия угроз для киберфизических систем.

История инцидентов киберфизической безопасности

Хотя концепция киберфизической атаки не нова, в последние годы мы стали настолько зависимы от компьютерных и сетевых систем, что такие атаки теперь считаются ключевой угрозой для критических национальных инфраструктур и реальной угрозой для частных автомобилей, устройств домашней автоматизации и даже кардиостимуляторов. Инциденты кибер-физической безопасности могут быть несчастными случаями, вызванными неправильной конфигурацией и явным невезением, или они могут быть спонсируемыми государством атаками в течение нескольких месяцев подготовки.

В 1980-х годах началось широкое внедрение систем диспетчерского управления и сбора данных (SCADA), производство и поставка энергии контролируются дистанционно и в значительной степени автоматизированным способом, в результате дефект программного кода действительно может повлиять на электростанции и трубопроводы.

До недавнего времени опасные для жизни системные сбои в секторе здравоохранения были вопросом техники безопасности. Например, отказы компьютеризированных аппаратов лучевой терапии Therac-25, которые привели к четырем смертям в 1980-х годах, были результатом плохого проектирование программного обеспечения. Его разработчики не дублировали в программном обеспечении все механизмы безопасности, которые предыдущие менее компьютеризированные версии машины обеспечивали в аппаратном обеспечении. В результате несколько раз аппарат выходил из строя и доставлял пациентам смертельные дозы радиации. В течение следующих двух десятилетий киберфизические инциденты в секторе здравоохранения по-прежнему были результатом ошибок в программном обеспечении или неправильной конфигурации медицинского оборудования, а не преднамеренных атак.

Первый заметный инцидент в водном секторе произошел в 1994 году, когда хакер с помощью коммутируемого модема получил доступ к компьютерной сети проекта Солт-Ривер в Аризоне. Вторжение включало по меньшей мере один 5-часовой сеанс, где хакер имел доступ к данным мониторинга воды и электроэнергии. Этот инцидент часто неправильно сообщают и связывают с предполагаемым инцидентом взлома плотины Рузвельта в Аризоне, но расследование пришло к выводу, что не было никакой угрозы для каких-либо плотин, и вообще не было никаких признаков какого-либо намерения, кроме хвастовства или удовлетворения, которое дает успешный взлом. Согласно отчету Национальной лаборатории штата Айдахо, преступник был профильным хакером, который считал, что он имеет право добиваться своей интеллектуальной свободы посредством своей хакерской деятельности.

В 1998 году подросток из Массачусетса стал первым несовершеннолетним в Соединенных Штатах, которому в Федеральном суде было предъявлено обвинение в хакерстве. Годом ранее он ворвался в сеть телефонной компании и вызвал аварию, которая вывела из строя системы Digital loop carrier (DLC) в региональном аэропорту Вустера. Эти системы используются для интеграции передачи голоса и данных с нескольких телефонных линий для цифровой передачи по одному кабелю высокой емкости. Это намного эффективнее, чем иметь сотни линий из каждой части инфраструктуры аэропорта отдельно подключен к диспетчерской вышке, но если DLC отключен, то все связанные с ним коммуникации тоже отключены. Конкретные DLC были доступны для внешних модемов, так что технические специалисты компании могли поддерживать обслуживание удаленно. Подросток определил их телефонные номера и подключился к ним с помощью модема своего персонального компьютера. Затем он отключил передатчик, отвечающий за включение огней взлетно-посадочной полосы, а также связь с диспетчерской вышкой, пожарной службой, Службой безопасности аэропорта и метеорологической службой в течение 6 часов. Хотя отключение не вызвало каких-либо серьезных проблем, Секретная служба США рассматривала инцидент как вопрос национальной безопасности.

В 1999 году трубопровод в Беллингхеме, штат Вашингтон, разорвался из-за замедления системы SCADA, управляющей им [1]. До этого подрядчик нанес внешнее повреждение трубопроводу, устанавливая поперек него водопроводные линии. Из-за этого повреждения и неправильной конфигурации некоторых недавно установленных клапанов давление начало расти. Обычно это обнаруживалось и смягчалось с помощью системы SCADA, но последняя перестала реагировать. Хотя он был настроен на сбор последних данных от удаленных терминальных блоков (RTU) каждые несколько секунд, HMI оператора не будет отображать обновление в течение нескольких минут. Более позднее расследование показало, что в то время системный администратор программировал новые программы. Отчеты по базе данных системы SCADA без предварительного тестирования их в автономном режиме. Еще одна ошибка заключалась в том, что для всех пользователей существовала одна учетная запись входа, и это была учетная запись администратора с настройкой приоритета, которая позволяла назначать ей все доступные вычислительные ресурсы. В результате ошибка программирования может не только непосредственно повлиять на работу системы SCADA, но и поглотить все ее ресурсы. Поскольку он не реагировал, контроллеры не могли управлять насосами удаленно, чтобы вовремя смягчить воздействие повышения давления. Последовавшее за этим возгорание бензина привело к гибели трех человек и нанесло значительный ущерб окружающей среде.

Расследование после события в Беллингхеме показало еще несколько недостатков кибербезопасности, которые могли бы способствовать инциденту, а также сделали невозможным точное определение цепи событий, приведших к нему. Например, имелся прямой доступ к телефону, доступный извне, и любой человек , знавший пароль одной учетной записи, мог быть вовлеченным пользователем. Там же был и сетевой мост подключение сети диспетчерской SCADA к административной компьютерной сети компании, и последняя даже имела некоторое подключение к интернету. Хотя не было никакой защиты от вирусов и вообще никаких признаков наличия программы кибербезопасности или какой-либо такой подготовки для операторов, нет никаких сомнений в том, что все это событие было чем-то иным, кроме несчастного случая. Тем не менее, это иллюстрировало, насколько легко было бы злоумышленнику, получившему доступ к сети компании по управлению трубопроводами, умышленно нанести катастрофический ущерб.

В 2000 году произошел подтвержденный инцидент в Австралии, явно связанный со злым умыслом. Сегодня он известен как атака Маручи. Район природной красоты с несколькими водными каналами, парками и примерно 120 000 жителей. В 2000 году его совет только недавно установил комплексную SCADA-инфраструктуру для управления своими 880 километрами канализационных коллекторов и 142 насосными станциями, когда его инженеры начали замечать необычное поведение. О неисправностях оборудования не всегда сообщали вовремя, насосы не реагировали на удаленные команды, а связь с центральным управлением часто терялась. Поначалу считалось, что это временные проблемы новой инфраструктуры, но постепенно она стала разрушаться. Стало очевидно, что здесь, должно быть, есть какое-то человеческое участие. Даже после того, как все программное обеспечение было переустановлено, конфигурация насосов неожиданно менялась таким образом, который мог быть приписан только человеку-пользователю. Подозрения подтвердились, когда инженер, вызванный для расследования, обнаружил неизвестное беспроводное оборудование, подключенное к системе.

Инженер пришел к выводу, что пользователь подключается к насосы с ноутбуком, быстро перемещающиеся от станции к станции. Нападения продолжались два с половиной месяца, пока полиция не остановила мужчину за нарушение правил дорожного движения возле одной из насосных станций и не арестовала его после того, как в его автомобиле было обнаружено подозрительное компьютерное и радиосвязное оборудование. Задержанным оказался Витэк Боден, ранее работавший внештатным подрядчиком в качестве начальника участка по монтажу коммуникационной инфраструктуры проекта Maroochi SCADA. Уйдя в отставку с этого поста, Боден искал работу в Совете графства Маручи, но ему дважды отказывали. Именно тогда начали наблюдать необычное поведение SCADA системы. Имея специальные знания и опыт работы с внешним подрядчиком, Витэк Боден был инсайдером. Он имел доступ к специализированному программному обеспечению, используемому для управления насосами, знал, как подключиться к насосным станциям, и хорошо понимал процедуры, связанные с управлением сточными водами на основе SCADA.Основываясь главным образом на доказательствах, найденных в его ноутбуке, он был приговорен к 2 годам тюремного заключения за то, что вызвал выброс 800 000 литров неочищенных сточных вод в парки, общественные водные пути и территорию отеля.

Исключением стал необычный случай порчи веб-сайта некоммерческого фонда по борьбе с эпилепсией в 2008 году. Хакеры заменили часть контента веб-сайта мигающими анимациями, выбранными для того, чтобы вызвать мигрень или припадок у посетителей, страдающих эпилепсией. По крайней мере, некоторые из посетителей действительно пострадали. Этот инцидент имеет большое значение для демонстрации возможности захвата веб-сайта таким образом, что он может физически повлиять на человека.

Ещё одна авария Сан-Бруно, Калифорния, в 2010 году. Взрыв трубопровода природного газа, в результате которого погибли восемь человек и еще 60 получили ранения, также частично объяснялся ошибочными и недоступными показаниями давления SCADA. Сбой питания привел к ошибочному сообщению значений низкого давления, что в свою очередь привело к полному открытию регулирующих клапанов и повышению давления в трубопроводе.Системы управления также могут быть затронуты вредоносными программами, и таких примеров в энергетическом секторе предостаточно.

Киберфизические атаки на промышленные системы управления

Наиболее часто обсуждаемыми угрозами для промышленных систем управления таких систем и связанных с угрозами безопасности (первый раздел, SCADA-системы), самое главное реальный пример на сегодняшний день (Следующий раздел, "Стакснет"), и целевой, который повсеместно рассматривается как Святой Грааль, спонсируемые государством, нападения (в последнем разделе, электрической сети).

Ранние системы SCADA отличались проводными панелями со счетчиками и кнопками, но по существу имели большую часть функциональности, наблюдаемой в современных системах, включая интерфейс между человеком оператором и машиной, механизм отображения тенденций в собранных данных, набор сигналов тревоги, указывающих различные условия, и двустороннюю связь с RTU. В прошлом обработка, необходимая для большинства из них, выполнялась централизованно на одной главной станции, подключенной к RTU по выделенным линиям, в так называемой монолитной (первое поколение, рисунок 1).

С тех пор системы SCADA приняли распределенную архитектуру (второе поколение, рисунок 2), включающую несколько серверов, каждый из которых отвечает за свой аспект системы. Переход от проприетарных протоколов конкретных производителей к открытым протоколам, которые позволяют использовать компоненты COTS(готовые аппаратные и программные технологии открытого типа) способствует смене архитектуры (третье поколение, рисунок 1). Связь системы посредством локальных сетей позволило работать на больших географических территориях и в разнообразных сетевых инфраструктурах, включая глобальные сети и Интернет. В четвертом поколении (рисунок 1) систем SCADA делается упор на взаимосвязанность и взаимодействие различных технологий. Для контроля отображается полноценная сетевая среда устройств, отправляющие отчеты напрямую через Интернет и без необходимости в RTU и человеко-машинных интерфейсах (HMI), которые не ограничены центральным местом, но доступны из любого места через мобильные устройства

Рисунок 1 - Поколения SCADA и их архитектура

Этапы киберфизической атаки

Успешное выполнение атаки требует предварительных исследований, разведки и способности обнаруживать эксплуатируемые уязвимости и соответствующие точки входа в процесс, позволяющий скрыть свои следы и избежать обнаружения.

Исследование - предварительный этап атаки, во время которого пытаемся узнать полезную информацию о цели. Это может быть IP-адреса, топология сетевой инфраструктуры, типы и версии используемого программного и аппаратного обеспечения и т. д. Обычно это начинается с поиска любой общедоступной информации о цели в Интернете.

Источники информации:

  • сайт поставщиков ПО или оборудования поможет узнать оборудование, используемое в киберфизических системах организации;

  • объявления о вакансиях могут раскрыть программное обеспечение, оборудование и сетевые технологии, используемые при листинге желаемые навыки и опыт, ожидаемые от претендентов;

  • инструкции по установке веб-сайте компании, которые могут включать имена пользователей и пароли по умолчанию, которые часто остаются неизменными операторами.

Интернет также можно использовать для поиска и покупки схожей с целью киберфизической системы, чтобы испытать его и определить способы нарушения его безопасности.

Социальная инженерия - распространенный механизм разведка киберфизических систем и особенно промышленных системы пробного контроля. Даже самые сильные технические средства защиты могут быть обойдены, если пользователя системы заставить ввести пароли или нажать вредоносную web-ссылку. Конфиденциальную информацию содержат выбрасываемые в мусор ненужные банковские выписки, USB-накопители, черновики проектных предложений, письма и другие материалы (метод dumpster diving). Крайняя форма dumpster diving - это покупка утилизированных копировальных аппаратов организации, чтобы получить их внутренние жесткие диски[2]. Их владельцы часто не протирают их, хотя они содержат отсканированные документы за многие годы.

Социальная инженерия может быть нетехнической. Это может начаться с поддельного удостоверения личности или простой телефонный звонок. Можно представиться представителем из отдела поддержки, поставщика программного обеспечения или назвать коллегу или авторитетного лица.

В последнее время социальная инженерия становится все более техническим и предполагает использование человеко-машинный интерфейс. К инженеру киберфизической системы отправляется поддельное электронное письмом от лица финансового отдела с просьбой проверить приложенный файл к письму. Письмо составлено так что не вызывает подозрения, но вложенный документ может быть запрограммирован на запись нажатия клавиш инженера или, возможно, разрешение удаленного доступа к киберфизической системе. Этот тип атаки известен как Fishing.

Watering Hole - стратегия атаки, при которой злоумышленник наблюдает или угадывает какой веб-сайт посещает конкретная цель часто, а затем внедряет вредоносное ПО на этот веб-сайт [3]. Последствие: несанкционированное получение важной информации, включая учетные данные для входа / пароля, а также передача вредоносного ПО, которое облегчит атаку.

После получения некоторой предварительной информации о цели,злоумышленник пытается расширить эту информацию путем сканирования на предмет конкретных уязвимостей. Три самых популярных инструмента для сканирования сети используются Nmap [4], Несс [5] и Wireshark [6]. В совокупности они могут определить работающую операционную систему у цели, прослушивать сетевой трафик и сканировать на предмет открытых сетевые портов, неправильная конфигурация, пароли по умолчанию и т.п..

Всем пользователям известны такие поисковые системы как Google, Яндекс, Рамблер, Yahoo, Bing и можно перечислять еще множество как отечественных, так и зарубежных поисковиков. Такие поисковые службы ищут в сети веб-страницы, картинки, видео, документы и новости. Но в узких кругах, например служб специализирующихся на разведке, кибербезопасности и кибератаках пользуются Shodan.

В основе Shodan лежит поисковый робот, который накапливает технические сведения обо всех узлах сети, откликнувшихся хотя бы на один запрос. Персональные компьютеры и мобильные гаджеты конечных пользователей обычно маскирует файрвол, поэтому гораздо чаще в поле зрения Shodan попадают всевозможные сетевые устройства, формирующие так называемый интернет вещей. Поисковик Shodan позволяет заглянуть в скрытый от глаз мир интернета вещей. С его помощью можно увидеть малоизученную сторону глобальной сети, понять ее структуру, обнаружить уязвимые места и провести множество других практических исследований [7].

Через сканирование уязвимостей злоумышленник может узнать о потенциальных уязвимостях целевой системы. В отличие от обычных компьютерных систем, где опубликованные уязвимости исправляются с помощью регулярных обновлений, уязвимости в промышленных системах управления и встроенных системах могут оставаться не обновленными в течение длительного времени.

Глушение связи (communication jamming)

Преднамеренное создание помех, затрудняющих прием сигнала. В простейшей форме, когда пользователь A общается с пользователем B по беспроводному каналу, злоумышленник должен находиться поблизости от A или B и передавать достаточно сильный беспроводной сигнал в том же диапазоне частот. Глушители беспроводного сигнала. недорогие и относительно простые в использовании. Блокирование может быть проактивным, и в этом случае злоумышленник блокирует беспроводной канал непрерывно, или реактивным, и в этом случае злоумышленник перехватывает беспроводной канал и блокирует его только при обнаружении законной связи. Данный метод нарушает связь, которое, в свою очередь, может повлиять на физический процесс. Происходит задержка или предотвращение срабатывания физических процессов, требующих беспроводной связи. В зависимости от конструкции системы также возможно неправильное / несанкционированное срабатывание. Например, потеря беспроводной связи с центром управления может вызвать автоматическое действие, такое как переход БПЛА в режим возврата на базу.

Подача команд (command injection)

При атаке используются команды, заложенные производителем системы. Может вызвать нарушение целостности работы целевой системы, несанкционированное срабатывание, неправильное срабатывание, отложенное срабатывание или предотвращенное срабатывание. Если команда активирует датчик или передает данные датчика, то также возможно нарушение физической конфиденциальности.

Ввод ложных данных (false data injection)

False data injection - интеллектуальная сеть и в целом любая киберфизическая система, которая полагается на данные датчиков, полученные через уязвимый канал связи. Злоумышленник взламывает канал связи, используемый для сообщения измерений датчиков, блокирует правильные и вместо этого передает ложные данные. Если связь осуществляется по сети, злоумышленник может добиться этого, взяв промежуточный узел, используемый для передачи данных в центр управления. Киберсистемам нарушает целостность данных, вызывающее неправильное срабатывание физического оборудования.

Атака посредника (man-in-the-middle)

Противник соединяется независимо с двумя компьютерами с целью ретрансляции любых отправленных сообщений между ними. Два компьютера считают, что они общаются напрямую и конфиденциально, но в действительности противник может активно подслушивать их общение и вводить или управлять сообщениями (Рисунок 2).Обычный подход состоит в том, чтобы сначала взломать существующий узел или подключить мошеннический узел к сети целевых компьютеров, а затем использовать слабые места используемого механизма коммуникации. Самый простой и один из наиболее эффективных методов является протокол разрешения адресов (ARP), при котором злоумышленник рассылает ложные ответы на запросы ARP о физическом адресе легитимного узла, заставляя другие узлы в сети полагать, что он имеет адрес мошеннический узел. Данный метод нацелен на нарушение конфиденциальности, подлинности и целостности. По сути, неавторизованный пользователь маскируется под авторизованный. Нарушение доступности также возможно, если злоумышленник выборочно отбрасывает сообщения, которыми обмениваются два компьютера. Возможны все формы физического воздействия.

Рисунок 2 - Атака типа "man-in-the-middle"

Повторная атака (replay attack)

Противник наблюдает и записывает коммуникационную последовательность, чтобы воспроизвести ее позже. При воспроизведении сообщений, содержащих измерения датчиков, это атака обмана, которая влияет на актуальность данных, от которых зависит киберфизическая система. Stuxnet широко использовал такую атаку, чтобы не дать диспетчерам ядерной установки замечать аномальное состояние системы. Если воспроизводится коммуникация, содержащая управляющие команды, такие как close the valve, deliver insulin, unlock the door, повторная атака эффективно позволяет управлять исполнительными механизмами киберфизической системы без необходимости полного понимания того, как каждый сетевой пакет и каждая команда структурирована, в этом и заключается большое преимущество. Это не требует детального знания внутренней работы целевой системы; только наблюдение, что за определенной коммуникационной последовательностью следует конкретное действие. Его недостатком является то, что он не может производить измерение датчика или команду управления, которая не была передана и захвачена ранее.

Атака этого типа нарушает подлинность и целостность. Фактически, неавторизованный пользователь маскируется под авторизованного. Несанкционированное срабатывание при воспроизведении команды срабатывания и неправильное срабатывание при воспроизведении измерений данных старых датчиков. Он также может предотвратить (и, возможно, задержать) срабатывание, если это является целью команды, которую он воспроизводит.

Внедрение кода / модификация прошивки (Code injection/firmware modification)

Тип атаки киберфизических систем, которые полагаются на универсальные компьютеры и базы данных, а также на встроенные системы, на которых работает плохо спроектированное программное обеспечение.

Злоумышленник расширяет предполагаемую работу компьютерной программы, вводя дополнительные инструкции в ее код со злым умыслом. Самая известная атака с внедрением кода - это SQL-инъекция, которая использует типичные недостатки проектирования веб-сайтов, управляемых базами данных, для обеспечения неограниченного доступа к базе данных. Поскольку промышленные сети управления во многом полагаются на базы данных и часто имеют доступ к Интернету, защита от внедрения кода SQL имеет большое значение.

Атака несёт нарушение конфиденциальности и целостности. Для хорошо известных атак путем внедрения кода наиболее эффективной защитой является устранение уязвимостей путем исправления соответствующих недостатков конструкции.

Заражение вредоносным ПО (malware infection)

Термин вредоносное ПО используется совместно для обозначения вирусов, логических бомб, червей, троянских коней, руткитов,регистраторов ключей и любого другого программного обеспечения, которое выполняет намеренно вредоносные намерения злоумышленника [8], например несанкционированный доступ, повреждение или нарушение работы системы и кража данных.

Вирусы - это программы-паразиты, которые заражают другие программы вредоносным кодом и активируются только тогда, когда пользователи запускают эти зараженные хост-программы. Они также распространяются только в результате действий человека (например, прикрепляются к электронному письму, передаются по сети, переносятся на USB-накопитель и т. д.).

Черви очень похожи на вирусы, но также могут самовоспроизводиться без вмешательства человека и автоматически заражать другие компьютеры в той же сети. Они могут сделать это, отправив свою копию по электронной почте каждому из списка контактов зараженного компьютера, удаленно, взломав законную сетевую службу, предоставив общий доступ на съемные носители и т. д. Черви часто вызывают серьезные нарушения в физическом пространстве (Stuxnet).

Бэкдоры разрешают несанкционированный доступ к системам, в которых они установлены. Фактически, было несколько сообщений и широко распространенных предположений о том, что поставщики намеренно внедряют бэкдоры в свои электронные микросхемы и телекоммуникационное оборудование, особенно в те, которые поставляются крупным корпорациям, иностранным правительствам и военным организациям.

Боты устанавливаются на взломанные компьютеры для запуска флуда (распределенный отказ в обслуживании, спам по электронной почте и т. д.) или других атак при активации. Хакеры часто взламывают большое количество компьютеров, чтобы сформировать

Сеть ботов (botnet), который они затем могут сдать в аренду другим киберпреступникам. Сеть ботов из примерно 10 000 ботов, которого достаточно, чтобы нарушить работу крупного веб-сайта с помощью атаки типа DoS, можно арендовать всего за 200 долларов в день. [9]

Руткиты - это наборы программных инструментов, которые в основном направлены на сокрытие присутствия злоумышленника, который уже взломал систему.

Помимо того, что Stuxnet был первым червем, специально разработанным для сети SCADA, он также нес первый руткит, специально разработанный для ПЛК. Регистраторы ключей записывают нажатия клавиш на компьютерах, на которых они установлены.

Троянский конь - это программное обеспечение, которое кажется полезным и действительно может иметь полезную функцию, но также имеет скрытую вредоносную функцию, такую как руткит или регистратор ключей.

Все вышесказанное - вредоносные программы настроены на нарушение целостности системы с последующим потенциальным нарушением всех других свойств в зависимости от типа вредоносного ПО.

Отказ в обслуживании (denial of service)

В некотором смысле киберэквивалент глушения, отказ в обслуживании (DoS) - это кибератака, направленная на ограничение доступности сети путем бомбардировки сетевого устройства или системы большими объемами бессмысленного сетевого трафика. Если цель подключена к Интернету, она можно найти через специализированные поисковые системы, такие как Shodan. Затем злоумышленник может арендовать на черном рынке большое количество скомпрометированных компьютеров (ботов) и дать им указание одновременно отправлять сетевой трафик, например запросы на соединение, одной и той же цели.

При необходимости принимать и обрабатывать сетевые пакеты, поступающие с очень высокой скоростью, целевая система может быть перегружена и оказаться неспособной отвечать на любые законные запросы на соединение, полученные одновременно.

К 2013 году самая крупная атака уже достигла 400 Гбит / с. Чтобы скрыть свою личность и затруднить защиту, злоумышленники обычно подделывают свой исходный адрес, указывая поддельный адрес в заголовках сетевых пакетов атаки. Как правило, получателю очень сложно установить истинный источник поддельного сетевого пакета. Это становится еще более трудным при атаке отражения, когда боты не отправляют трафик прямо к своей цели. Вместо этого они отправляют запросы на подключение легитимным компьютерам.

Атака DoS увеличивает нагрузки сети , приводящее к потере доступности сети. Как правило, это задерживает или полностью предотвращает срабатывание, нарушая передачу инструкций исполнительным механизмам или данных, собранных с датчиков. Задержки связи с датчиками также могут косвенно вызвать неправильное срабатывание, поскольку это будет основано на старых данных датчика.

Защититься от данной атаки можно , введя в систему механизмы аутентификации, системы обнаружения вторжений, межсетевые экраны и меры избыточности. Одной из этих мер недостаточно, и даже меры по защите могут потерпеть неудачу, если скорость атаки слишком высока.

Глушение GPS (GPS Jamming)

Аналогично помехам при передаче данных злоумышленник передает мощные сигналы, препятствующие приему допустимых сигналов GPS. Учитывая и без того очень низкую прочность последнего, это несложный подвиг. Результатом атаки является потеря доступности GPS, что может привести к: нарушению способности цели определять свое местоположение, автономно перемещаться или извлекать выгоду из синхронизации на основе GPS. Основной целью такой атаки является корабли, самолеты, наземные транспортные средства, интеллектуальная сеть и любая другая киберфизическая система, которая в значительной степени полагается на доступность GPS для определения местоположения, навигации или синхронизации времени.

Чёрная дыра (black hole)

Тип атаки на интеллектуальную сеть. Вместо того, чтобы наводнять сеть большими объемами трафика, злоумышленник может повлиять на доступность данных, скомпрометировав сетевой узел и просто отбросив любые сетевые пакеты, проходящие через него. Если в результате атаки отбрасываются все пакеты, это называется атакой черная дыра. Во многих случаях может быть предпочтительнее отбрасывать пакеты выборочно, а не все, возможно, чтобы избежать обнаружения. Это известно как атака серая дыры. Например, рассмотрим сеть SCADA, в которой работает протокол DNP3. Кибервоздействие - нарушение целостности сетевой системы на скомпрометированных узлах и потеря доступности сети. Физическое воздействие - аналогично атаке отказа в обслуживании. Задержка или полная невозможность срабатывания из-за нарушения передачи инструкций исполнительным механизмам или данных, собранных с датчиков. Опять же, задержки связи с датчиками также могут косвенно вызвать неправильное срабатывание, потому что это будет основано на старых данных датчика. Сложность: умеренная защита: механизмы аутентификации, системы обнаружения вторжений, резервирование сети с разнообразием.

Мошеннический узел (Rogue Node)

Тип атаки на интеллектуальную сеть, автомобильные сети, домашную автоматизаци. и другие сети контроллеров или датчиков. Используя совместимое проводное или беспроводное оборудование, злоумышленник вводит мошенническое устройство в сеть, представляющуюся законным узлом. В случае автомобиля это можно сделать, физически подключившись к порту OBD (порт компьютерной диагностики автомобиля). Узел-мошенник может читать все сообщения в сети и генерировать свои собственные сообщения, включая команды для исполнительных механизмов. Атака нарушает целостность системы. Введение мошеннического узла - это предварительный шаг, который упрощает другие атаки, такие как DoS, атака посредником, внедрение команд, перехват пакетов и т. д.

Изоляция сети (Network Isolation)

Сложный тип атак на крупномасштабные киберфизические системы, такие как интеллектуальные сети и системы управления светофорами. Атака направлена на изоляцию определенной физической географической области от сети [10]. Никакого особого подхода не требуется, но один из способов достижения этого - компрометация сетевых узлов, которые окружают целевую область, выборочное отбрасывание или задержка сетевых пакетов от них и к ним. На практике это скоординированная атака черная дыра, при которой цели выбираются в зависимости от физического географического района, который они обслуживают. Злоумышленник должен хорошо знать географическое покрытие сети и координировать атаки на большое количество сетевых узлов. Это потенциальная угроза для интеллектуальной сети, поскольку сильное воздействие может оправдать вложения злоумышленника в детальную разведку сети и выявление уязвимостей, которые могут потребоваться. Атака вызывает нарушение целостности сетевой системы на скомпрометированных узлах и потеря доступности сети. Физическое воздействие атаки то же, что и атака черная дыра, но сосредоточено на датчиках и исполнительных механизмах конкретной географической области

Рассмотрим точки входа для атак на разные системы (таблица 1). Точки входа для атак на системы умного дома описаны в таблице 2.

Таблица 1 - Точки входа для атак систем SCADA

Описание точки входа

Вероятные атаки

Радиосвязь между RTU/PLC и датчики/исполнительные механизмы

Глушение связи, подача команд,ввод ложных данных

RTU / PLC и связь с серверами SCADA

Внедрение кода / модификация прошивки, заражение вредоносным ПО, отказ в обслуживании, глушение, повторная атака, внедрение команды, введение ложных данных, черная дыра / серая дыра, изоляция сети, мошеннический узел

Сеть управления, включая серверы SCADA и рабочие места инженеров

Заражение вредоносным ПО, отказ в обслуживании, посредник

Коммуникационный шлюз / канал между системой управления и корпоративной сетью (например, соединение между первичным и вторичным архиватором)

Отказ в обслуживании, введение ложных данных (на основе базы данных)

Корпоративная сеть

Заражение вредоносным ПО, социальная инженерия

Интернет и сети партнеров

Веб-атаки (вредоносное ПО, SQL-инъекции и т. д.), Социальная инженерия

Таблица 2 - Точки входа для атак на системы умного дома

Описание точки входа

Вероятные атаки

Сеть Wi-Fi и маршрутизатор Wi-Fi

Взлом паролей для Wi-Fi роутера, сниффинг пакетов, отказ в обслуживании, мошеннический узел, глушение связи

Приложение для смартфона или ПК для управления через Интернет

Взлом паролей приложений для смартфонов или ПК, вредоносное ПО на смартфоне или ПК

Stuxnet

Хотя компьютерные системы SCADA широко использовались для удаленного мониторинга и управления оборудованием с 1960-х годов, только в последние годы их киберугрозы привлекли значительное внимание. Исследователи склонны сосредотачиваться на конкретных уязвимостях, вносимых Modbus, DNP3 и другими протоколами связи промышленного управления, большинство из которых изначально были разработаны для простоты и эффективности, а не безопасности. Тем не менее, на практике наиболее часто используемые уязвимости имеют мало общего с конкретными протоколами и в значительной степени такие же, как и в обычных компьютерных системах, начиная от программных ошибок и заканчивая неправильными паролями. Разница заключается в последствиях их эксплуатации, поскольку нарушение безопасности может напрямую повлиять на общественную безопасность. Кроме того, обеспечение безопасности системы SCADA может быть очень сложной задачей из-за ее строгого характера в реальном времени, требования к непрерывной доступности, ошибочного представления о том, что устаревшие технологии SCADA по своей сути безопасны просто из-за того, что они не ясны, все чаще используются компоненты COTS и взаимосвязь с другими. сети, такие как корпоративные сети и даже Интернет.

Самым значительным из реальных инцидентов, связанных с промышленными системами управления, была атака Stuxnet на завод по обогащению урана в Натанзе, Иран. Пример исключительно продвинутого вредоносного ПО, нацеленного в первую очередь на причинение физического ущерба, Stuxnet нацелился на определенные типы ПЛК, контролирующих различные аспекты процесса обогащения урана. Ранний вариант Stuxnet, который должен был прекратить работу в 2009 году, был предназначен для предохранительных клапанов; наиболее известный вариант был направлен на повреждение центрифуг путем изменения скорости вращения. Stuxnet использовал украденные цифровые сертификаты, четыре уязвимости нулевого дня и множество инновационных методов, чтобы проникнуть в закрытую сеть ПЛК предприятия. Масштаб воздействия атаки неясен, но влияние на стратегическое мышление, тенденции атак и понимание людьми потенциала киберфизических атак было огромным.

Практически во всех аспектах жизни современного общества, зависящих от производства, передачи и распределения электроэнергии, электросеть является областью применения промышленных систем управления, где кибератаки опасаются больше всего. Более того, появление интеллектуальной сети несет с собой несколько новых угроз. Подробные данные об использовании энергии отдельными домохозяйствами, собранные интеллектуальными счетчиками, могут помочь сделать вывод о количестве людей, режимах сна и т.д. Помимо конфиденциальности, очень важны целостность и доступность.

Автоматизированный характер интеллектуальной сети, где на поставку влияют данные о потреблении энергии, сообщаемые интеллектуальными счетчиками в режиме, близком к реальному времени, делает атаки с использованием ложных данных особенно опасными. Было показано, что атаки доступности, нарушающие связь и увеличивающие задержки, а также атаки GPS, влияющие на синхронизацию времени, могут препятствовать способности сети обнаруживать физические помехи и справляться с ними.

Механизмы защиты и принципы безопасного проектирования

Большинство семейств механизмов безопасности, разработанных для кибернетической атаки применимы независимо от того, есть ли отрицательное воздействие в физическом пространстве. Тем не менее, есть существенные отличия между обычными компьютерными системами и киберфизическими системами с точки зрения развертывания и эффективности каждого механизма безопасности (таблица 3) [11].

Таблица 3 - Отличия между обычными компьютерными системами и киберфизическими системами

Меры защиты

Обычная компьютерная безопасность

Кибер-физическая безопасность

Аутентификация

В большинстве случаев наиболее практичными являются аутентификация на основе пароля / парольной фразы или токенов.

Биометрия, близость и местоположение

аутентификация может быть особенно подходящей.

Контроль доступа

Большинство подходов сосредоточены в первую очередь на конфиденциальности и целостности.

Фокус может быть расширен до доступности киберфизических систем в реальном времени с помощью управления доступом на основе атрибутов с атрибутами, значения которых могут зависеть от времени.

Обнаружения вторжений

Использует только функции кибер ввода. Обычно предпочтительны подходы, основанные на знаниях. Основными показателями производительности являются ложноположительные, ложноотрицательные и истинно положительные результаты.

Использует как виртуальные, так и физические функции ввода. Подходы, основанные на поведении и особенно на его спецификации, очень многообещающие. Частота истинных положительных результатов и задержка обнаружения (сколько времени требуется для обнаружения угрозы) особенно важны.

Межсетевой экран

Используется в большинстве компьютерных сетей.

Жизненно важен для защиты промышленных сетей управления, подключенных к корпоративным сетям или Интернету, но менее распространенных в других киберфизических системах.

Антивредоносное ПО

Используется в подавляющем большинстве персональных компьютеров и корпоративных сред. Обновления обычно выполняются автоматически через Интернет.

Может быть слишком требовательным для систем с ограниченными ресурсами. Обновления в системах реального времени применяются только тогда, когда они находятся в автономном режиме и обновления уже были опробованы в резервной системе.

Белый список приложений

Все более популярны, но несколько непрактичны, если важна гибкость.

Естественно подходит для киберфизических систем из-за низких требований к ресурсам и короткого списка необходимых приложений.

Белый список потока

Непрактично в большинстве сред, основанных на Интернете и работающих с серверами, из-за большого количества возможных легитимных потоков трафика.

Естественно подходит, поскольку потоки сетевого трафика обычно повторяются и предсказуемы, а их количество управляемо.

Криптография

Первичный механизм защиты конфиденциальности, целостности и подлинности. Обеспечивая безопасность связи и онлайн-транзакций, криптография является технологией, позволяющей использовать Интернет.

Из-за вычислительной мощности и ограничений по времени в киберфизических системах криптография часто отсутствует, слабая или ограничивается аутентификацией на основе токенов и безопасной потоковой передачей данных в реальном времени.

Интеграция специализированных аппаратных криптографических модулей позволяет устранить ограничения в режиме реального времени и обработки.

Проверка целостности

Аппаратная аттестация с использованием TPM широко используется на ПК уже несколько лет.

TPM не так широко используется, как на ПК. Программные механизмы могут лучше подходить для встраиваемых систем с ограниченными ресурсами.

Живучесть

Акцент чаще всего делается на избыточном хранении данных и предотвращении повреждения и потери данных.

Из-за строгих требований к работе в реальном времени упор делается на постоянную доступность критически важных компонентов, включая сетевую инфраструктуру.

В отличие от обычных компьютерных систем, где конфиденциальность является основной задачей, кибер-физическая безопасность системы делает упор на доступность и целостность. Устройства с ограниченными ресурсами являются сложной задачей, когда дело доходит до реализации криптографической защиты, брандмауэров и приложений для защиты от вредоносных программ на основе черного списка. С другой стороны, шаблоны сетевого трафика и необходимые приложения предсказуемы и могут быть указаны в белых списках, которые значительно менее требовательны с точки зрения ресурсов. Кроме того, биометрические характеристики, близость, местоположение и другие измеримые характеристики, происходящие из физического пространства, очень важны для использования механизмами аутентификации и контроля доступа. Аналогичным образом, обнаружение вторжений может выиграть от учета не только кибер-входных функций, но и физических входных функций, таких как подозрительные изменения в энергопотреблении, уровне воды, мобильности и т. д.

Киберфизические системы являются привлекательными целями для очень способных противников, а механизмы безопасности, разработанные специально для них, все еще относительно незрелы. Эта комбинация означает, что для конкретного механизма несложно защитить себя от киберфизической атаки. Это придает повышенное значение механизмам выживаемости, таким как избыточность с разнообразием и репликацией, а также вековым принципам безопасного проектирования в киберпространстве, которые выдержали испытание временем, и особенно глубокоэшелонированной защите и изоляции.

Библиографический список

1. Ким Зеттер. Отчёт к нулевому дню [электронный ресурс] режим доступа: https://clck.ru/SbttK

2. Dumpster Diving - Security Through Education [электронный ресурс] режим доступа: https://clck.ru/Sc3FU

3. Security Strategies for Hindering Watering Hole Cyber Crime Attack - ScienceDirect [электронный ресурс] режим доступа: https://clck.ru/Sc3GR

4. Nmap: the Network Mapper - Free Security Scanner [электронный ресурс] режим доступа: https://nmap.org/

5. Tenable - The Cyber Exposure Company [электронный ресурс] режим доступа: https://www.tenable.com

6. Wireshark Go Deep. [электронный ресурс] режим доступа: https://www.wireshark.org/

7. Белая шляпа для Shodan. Как легально использовать поисковик по IoT Хакер (xakep.ru) [электронный ресурс] режим доступа: https://xakep.ru/2015/11/25/shodan-howto/

8. Types of Malware | Internet Security Threats | Kaspersky [электронный ресурс] режим доступа: https://www.kaspersky.com.au/resource-center/threats/malware-classifications

9. Distributed Denial-of-Service, DDoS (отказ от обслуживания) [электронный ресурс] режим доступа: https://clck.ru/Sc3L3

10. Shin, D. H., Koo, J., Yang, L., Lin, X., Bagchi, S., and Zhang, J. (2013). Lowcomplexity secure protocols to defend cyber-physical systems against network isolation attacks. In Conference on Communications and Network Security (CNS), pp. 9199, IEEE, October 2013.

11. George Loukas. Cyber-physical attacks: a growing invisible threat. Butterworth-Heinemann (Elsevier), 2015.

Подробнее..

Пентест-лаборатория Test lab 15 ху из н0в1ч0к?

03.03.2021 14:04:54 | Автор: admin

15 марта 2021 года Pentestit запускает лабораторию Test lab 15, где IT - специалисты смогут бесплатно оценить свои силы в поисках уязвимостей корпоративной сети и веб-приложениях компании.

Что такое Test lab

Лаборатории Test lab это полигон для киберучений, где участники получают опыт анализа защищённости информационных систем. Каждая такая лаборатория имеет целостную инфраструктуру, историю и множество скрытых уязвимостей, которые необходимо обнаружить, локализовать и проэксплуатировать, а в итоге - составить полноценный сценарий для компрометации сети компании. Важной особенностью Test lab является максимальная реалистичность. Участники, выступающие в роли атакующих, по мере прохождения, получают доступ к отдельным узлам лаборатории, каждый из которых содержит токен. Победителем считается тот, кто первым соберет все токены и получит полный контроль над виртуальной корпоративной сетью. Любой желающий может попробовать свои силы и проверить имеющиеся навыки в области информационной безопасности. Лаборатории всегда уникальны и содержат наиболее актуальные уязвимости.

Что необходимо для проверки своих сил и возможностей:

  1. Зарегистрироваться в личном кабинете на сайте lab.pentestit.ru, где будет доступна информация для подключения к лаборатории (логин/пароль).

  2. Подключиться к лаборатории через OpenVPN.

  3. Установить соединение и получить доступ к шлюзам, за которыми располагается сеть тестовой компании.

  4. Начать развивать атаку.

В чем заключается суть прохождения заданий

Основной смысл лаборатории - получение и закрепление навыков поиска и эксплуатации уязвимостей как в ручном режиме, так и с использованием специального инструментария, такого как: Nmap, Tplmap, Dirbuster, Wapiti, BurpSuite/OWASP Zap, Metasploit Framework, Patator/Hydra, Enum4linux, Whatweb, а также инструментов для реверс-инжиниринга, анализа сетевых протоколов и т.д.

Получая токены, вы сможете глубже проникнуть в тестовую корпоративную сеть, где будет доступно все больше серверов для атаки. В ходе работы вы ознакомитесь с популярными технологиями, это позволит взглянуть на ИБ со стороны злоумышленника. Стоит помнить и про главный ваш инструмент - логическое мышление и находчивость.

Вся информация представлена в ознакомительных целях, не нарушайте законодательство.

Для наглядного примера предлагаем разобрать несколько задач прошедших лабораторий.

Wiki

На странице сайта имеется строка поиска, куда вводим текст и убеждаемся, что он отображается на странице:

Вывод

Предположив, что используется шаблонизатор, вводим данные для его определения:

{{7*7}}

На странице отобразился введённый текст без изменений, следовательно, это не Jinga и не Twig. Для экономии времени воспользуемся инструментом Tplmap, который не смог выяснить, какой плагин используется:

# ./tplmap.py -u http://127.0.0.1/?a=

С помощью WhatWeb узнали, что сайт написан на Ruby-on-Rails:

# whatweb 127.0.0.1

Пробуем воспользоваться пейлоадом для популярного на Ruby-on-Rails шаблонизатором Haml:

<%=7*7>

На странице отобразилось 49, следовательно, плагин найден верно. Затем составляем запрос, позволяющий получить токен:

токен

Router

Произведя разведку в виде сканирования TCP-портов, результатов не получили. Пробуем сканировать UDP. Нашли открытый SNMP порт (161 UDP). И при помощи инструмента Onesixtyone имеем community-строки:

# onesixtyone -c /usr/share/john/password.lst 172.16.50.50

Когда есть необходимые данные, при помощи инструмента Snmpwalk пробуем получить информацию о сервере:

# snmpwalk -c skywalker -v1 172.16.50.50

Проанализировав вывод команды, замечаем странное имя системы, вероятно, это токен.

Java

Открываем jar-файл как архив и видим, что он состоит из одного класса Main. Заходим в Main.class в IDE:

Класс Main

Изучив декомпилированный код, обнаруживаем информацию для подключения к SSH и вывод результата выполнения команды:

df -h | grep /dev/sda1

При этом обращаем внимание, что пароль видоизменяется. Добавляем несколько строчек в класс, чтобы вывести IP-адрес сервера, логин и пароль, с которыми происходит подключение:

Редактируем класс

Компилируем изменённый класс и подменяем им оригинальный класс в jar-файле. Запускаем файл:

Вывод программы

Выведенный на экран пароль является токеном.

Статистика по Test lab

Уже более 33.000 пользователей со всего мира зарегистрировано на сайте лабораторий. При этом, всего 664 участника выполнили первое задание из предыдущей лаборатории. В то же время, только 69 из них смогли скомпрометировать ИТ-структуру виртуальной компании полностью.

О нас

Помимо создания уникальных лабораторий, мы являемся разработчиками Nemesida WAF (комплексная защита сайтов, интернет-магазинов, личных кабинетов, порталов, маркетплейсов, API и других веб-приложений от хакерских атак на основе машинного обучения Nemesida AI), а также предоставляем услуги анализа на наличие недостатков (уязвимостей) корпоративных сетей и веб-приложений крупнейшим компаниям из России, США, Великобритании, Чехии, Украины, Молдавии, Азербайджана, Казахстана, Канады; проводим подготовку сотрудников крупных компаний в области информационной безопасности . Если вы хотите более детально разобраться, как все это работает предлагаем пройти обучение по программам Zero Security: A (базовая подготовка) или Корпоративные лаборатории Pentestit (расширенная подготовка).

Заключение

В процессе работы в лаборатории Test lab участники изучат природу уязвимостей, основные инструменты эксплуатации, способы противодействия и психологию злоумышленника. Понимая, как выстраивать реальные векторы атаки, вы научитесь эффективно противостоять им. До встречи в новой Test lab 15!

Подробнее..

Hardening на практике

15.04.2021 20:09:13 | Автор: admin

В преддверии старта курса "Administrator Linux. Professional" подготовили статью, автором которой является Александр Колесников. Если вам интересно узнать подробнее об обучении на курсе, приходите на демо-день курса.


В предыдущей статье рассматривался пример уязвимых машин, которые создавались для того чтобы их использовать в практике тестирования систем на наличие уязвимостей. Эта статья расскажет как нестандартно можно обнаружить уязвимости в системах, если мы, к примеру, получили их уже в работоспособном состоянии и их ни в коем случае нельзя выводить из строя, а продолжать поддерживать.

Hardening

Процесс закрытия возможных уязвимостей на совершенно неизвестной машине это достаточно серьезный вызов. Во-первых, никогда не знаешь какой сервис перестанет работать если изменить отдельную настройку файрволла или всей операционной системы.

Проблема достаточно не нова, и естественно есть руководства на 100500 страниц, которые, если правильно им следовать должны спасти от неминуемых проблем. Примеры таких руководств можно найти тут, тут и тут. Список далеко не полный, представлены лишь самые интересные с точки зрения автора.

Но это статья не о том как пройтись по списку формально описанных действий и придумать как их реализовать. Давайте попробуем сделать немного иначе. Что если прибегнуть к помощи не администраторских инструментов, а пентестерских?

В наборе любого энтузиаста или профессионального пентестера есть проект или скрипт, который должен проверять стандартные отклонения от безопасной конфигурации для различных систем. Обычно концентрируются на самых популярных: Windows, Linux, macOS. И именно в этой последовательности, потому что они настолько популярны в энтерпрайз среде.

Для закрытия всех векторов атак разобьем их группы:

  1. Атаки, которые работают в приложениях доступных во внешний мир

  2. Атаки, которые работают внутри ОС и их цель повышение привилегий

Для первого вида атак можно использовать сканеры безопасности. Мы будем использовать набор инструментов машины Kali Linux. Это nmap, Burp Suite и т.д.

Для второго типа атак предлагаем ознакомиться с вот этим проектом. Так как процедура поиска неверных конфигураций в большинстве случаев детерминирована, то это просто автоматизировать. Запускаем команду для получения данных конфигурации и парсим результат готово. Использовать скрипы достаточно просто, необходимо выбрать нужный для платформы и скопировать его в рабочую директорию уязвимой машины. Скрипты не запускают никаких атак, единственная их задача это показать, что уязвимость может присутствовать в системе и предложить ссылку на статью с атакой. Скрипт это автоматизация и поэтому следует ожидать, что он может давать ложные срабатывания на вероятные уязвимости. Каждый отдельный случай придётся рассматривать отдельно.

Уязвимые стенды

Чтобы сделать процесс еще более непредсказуемее. Пронумеруем создаваемые машины и будем генерировать номер машины по следующей команде:

echo $RANDOM % 5 + 1 | bc

Скрипт подразумевает, что на каждый его запуск будет создана рандомная уязвимая машина, которую и нужно поправить, чтобы нельзя было её взломать тем способом, который был заложен в нее при сборке. Дополнительное условие на вмешательство каким бы простым и бесполезным не выглядел сервис внутри этой машины, он должен продолжить функционировать после внесения изменений.

В сравнении с прошлым нашим экспериментом, теперь все машины будут иметь разные классы уязвимостей. С помощью них можно будет не только повысить привилегии, но и просто выполнить команды от имени пользователя.

Эксперимент

Для первого эксперимента будем использовать вот этот box. Проведем эксперимент в 2 этапа.

Этап 1 поиск уязвимых конфигураций и сервисов работающих снаружи сервера. Первые команды для запуска:

nmap -n -A -p- --max-rate=1000 machine.ip.address

В результате вот такой список сервисов, которые видны извне сервера:

У нас есть доступ к пользователю внутри машины, поэтому еще попробуем узнать какие порты открыты:

netstat -tulpn

Получается, что единственный сервис на 80м порту. Проведем сбор данных о структуре веб-приложений, которые могут там работать:

dirb http://machine.ip.address

Итог работы инструмента:

Похоже, что это wordpress. в директориях сервера лежит версия WordPress 5.6 и плагин "contact-form". Для этого набора данных очень хорошо подходит CVE-2020-35489. Тестовый скрипт можно найти тут. Попробуем протестировать сервис. Скрипт так и не захотел работать, но по сути их него функциональна только одна строка, которая отправляет запрос на адрес "/wp-content/plugins/contact-form-7/readme.txt". Если его выполнить, то можно увидеть, что используемый плагин может быть уязвим для атаки.

Мы точно не знаем как работает данный сервис и нужен ли уязвимый плагин для того чтобы он по прежнему предоставлял свои услуги. Попробуем его оставить как есть. Добавим только дополнительный плагин на сервер - WAF. Можно использовать вот этот. Он будет оборонять уязвимый плагин на нашем сервере, а как только появится возможность, установим обновления и закроем эту уязвимость.

Второй этап тестирования. Запускаем скрипт, который описывали выше и ждем результата. Ниже приведем выводы скрипта:

Первая конфигурационная уязвимость. Как видно из снимка, нас интересуют те записи, которые выделены красным цветом. На самом деле это единственная уязвимость, не считая наличие пользователя vagrant в системе.

Таким образом можно получить информацию о уязвимостях на незнакомом сервере. Дальнейшие исправления зависят от функциональности сервера. Читателю предлагается так же пройти эксперимент самостоятельно, но использовать вот этот box.


Узнать подробнее о курсе "Administrator Linux. Professional"

Подробнее..

Перевод 3 способа визуального извлечения данных с помощью JavaScript

25.05.2021 18:15:50 | Автор: admin

К старту курса о Frontend-разработке мы решили поделиться переводом небольшого обзора визуальных атак, позволяющих получать закрытую информацию о пользователе вне зависимости от того, применяется ли правило ограничения домена. Некоторые из обсуждаемых уязвимостей закрыты, но развитие технологий веба порождает новые вариации старых атак.


Что страница может показывать, но не видит

Вы заметили, что вы не можете установить высоту для посещённых ссылок? Нацеленное на эти ссылки правило CSS может устанавливать несколько атрибутов, но не все. Обратите внимание, что обе ссылки имеют одинаковую высоту, хотя нижняя должна быть выше:

Посмотрев окончательный стиль мы также увидим высоту, как у непосещённой ссылки:

getComputedStyle(visitedLink).height; // 30px

Для посещённых ссылок возможно установить несколько свойств, например цвет текста:

a:visited {  color: red;}

Но, даже если он выглядит иначе, JavaScript может видеть только стили обычной ссылки:

getComputedStyle(visitedLink).color; // rgb(0, 0, 238) (blue)

Это один из примеров, когда страница может что-то показывать, но не видит. Ссылка может быть оформлена по-разному в зависимости от её атрибута, но браузер защищает эту информацию от страницы.

Защищённая визуальная информация

Более привычный пример изображения из разных источников. Их можно отображать на странице, но браузер накладывает на них всевозможные ограничения.

Я видел, как люди недоумевали, почему веб работает именно так, особенно если эти люди с других языков переходили в сферу веб-разрабтоки. Если вы хотите показать изображение на Java или C++, чтобы сделать это, программе необходимо получить доступ к байтам изображения. Без полного доступа они не смогут его отобразить.

Но JavaScript и веб работают по-другому. В HTML простой <img src = "..."> показывает изображение без предварительного доступа к байтам. И это открывает окно к тому, чтобы иметь отдельные разрешения на показ чего-либо и доступ к чему-либо.

Посещённая и непосещённая ссылка отличный пример. Функция восходит к самым ранним браузерам, и всё ещё хорошо поддерживается. Пользователь может увидеть, какие ссылки указывают на ранее открытые страницы. Это отлично подходит для просмотра Википедии, например, так как вы можете сразу отличить ссылки, потенциально содержащие новую информацию.

Но, великолепная для UX, она открывает зияющую дыру в безопасности, которую трудно закрыть. Если веб-страница может определить, посещена ссылка или нет, она может получить доступ к информации, которая не должна быть доступна. Например, она может проверять URL-адреса поиска в Google и выявлять, искал ли пользователь определённые термины. Термины могут содержать конфиденциальную информацию, и, сопоставив большое количество таких поисковых запросов, веб-страница может деанонимизировать пользователя.

Проблемы безопасности могут возникать из-за других элементов, а не только из-за ссылок, если эти элементы пропускают информацию на сайт; загрузка изображения с другого домена может содержать конфиденциальную информацию. Например, динамическое изображение может меняться в зависимости от того, сколько у вас непрочитанных уведомлений:

Это работает, поскольку браузер отправляет файлы cookie вместе с запросом изображения, содержащим информацию о сеансе, которая идентифицирует пользователя в Facebook. Если бы сайт мог прочитать изображение ответа, он мог бы извлечь информацию об активности пользователя в Facebook. По этой причине вы не можете экспортировать содержимое canvas после отрисовки на нём изображения с cross-origin это явление называется tainted canvas (испорченный холст).

И слон в посудной лавке, конечно же, IFrames. Страница может быть включена в другую страницу со всей информацией для входа в систему и так далее, если это не запрещено явно при помощи X-Frame-Options или Content Security Policy.Если бы веб-страница могла получить доступ к любой странице, которую она содержит, это дало бы ей полную свободу действий с отображаемыми данными.

Визуальные атаки

Браузеры делают всё возможное, чтобы защитить информацию, предназначенную для просмотра пользователем, но не для веб-страницы. Однако иногда они терпят неудачу по разным причинам, и из-за некоторых ошибок уязвимости случаются. Посмотрим самые интересные!

1. Посещённые ссылки

Первая уязвимость связана с посещёнными ссылками, речь о которых идёт выше. Неудивительно, что в браузерах реализованы методы блокировки извлечения информации. Эта уязвимость даже описывается в спецификации CSS 2.1:

Поэтому пользовтаельские агенты могут обрабатывать все ссылки как непосещённые или применять другие меры для сохранения конфиденциальности пользователя, при этом по-разному отображая посещённые и непосещённые ссылки.

Это означает, что браузеры ограничивают тип стиля, который может иметь посещённая ссылка поверх непосещённых ссылок. Например, не позволяя устанавливать высоту элемента, веб-страница не может проверять положение элемента под ссылкой, чтобы узнать, указывает ли он на посещённый URL-адрес.

Но с новыми возможностями уязвимости появляются снова и снова. С помощью вызова getComputedStyle JavaScript может прочитать текущий стиль элемента. И до того как это исправили, сайт мог прочитать цвет ссылки, чтобы узнать, была ли она посещена или нет. Уязвимость была обнаружена в 2006 году и всплыла на поверхность десятью годами позже.

2. Режимы наложения CSS

Это отличная уязвимость для попиксельного извлечения визуальной информации из IFrame или другого защищённого ресурса. Пост в блоге Руслана Хабалова отлично объясняет подробности уязвимости. Её суть в том, какрежимы наложения были реализованы.

Режимы наложения позволяют странице определять, как элементы взаимодействуют друг с другом. На этом изображении показано несколько примеров:

Обратите внимание, как изменяется центральная область в зависимости от режима наложения и цветов пикселей двух слоёв.

Хотя страница не может получить доступ к тому, как выглядит IFrame (или изображение с другого сайта, или посещённая ссылка), она может свободно размещать его на странице, даже под другими элементами. Это позволяет режимам наложения отображать пиксели разного цвета в зависимости от того, как выглядят элементы.

Но это не должно приводить к какой-либо уязвимости, поскольку страница не может получить доступ к результирующим цветам пикселей, она может только определять, как браузер отображает их. Во всяком случае не напрямую.

Код для расчёта режима наложения в браузере был реализован так, чтобы для разных входных цветов использовать разные ветви.

// example pseudocode from https://www.evonide.com/side-channel-attacking-browsers-through-css3-features/[...]SetSat(C, s)    if(Cmax > Cmin)        Cmid = (((Cmid - Cmin) x s) / (Cmax - Cmin))        Cmax = s    else        Cmid = Cmax = 0    Cmin = 0    return C;// Compute the saturation blend mode.Saturation(Cb, Cs) = SetLum(SetSat(Cs, Sat(Cb)), Lum(Cb))

А поскольку страница может управлять одной частью входных пикселей, она может попробовать множество вариантов и увидеть разницу. И это приводит к утечке информации о другой части входных пикселей, а именно о защищённом содержимом.

Уязвимость позволяет извлекать данные по одному пикселю за раз и обходит все средства защиты браузера от доступа из разных источников. Исправлена она была путём исключения ветвей из реализации режима наложения, что позволило алгоритму работать с константным временем выполнения независимо от входных цветов.

3. Злая CAPTCHA

Эта атака эксплуатирует самое слабое место в каждой системе ИТ-безопасности: пользователя. Она гениальный способ извлечь информацию с другого веб-сайта, поскольку пользователь активно участвует в атаке, от неё не защищает никакой стандарт.

CAPTCHA это способ защитить сайт (или его часть) от ботов. Задача в CAPTCHA должна быть лёгкой для людей, но трудной для машин, например, это может быть чтение символов с изображения. Капча применяется, чтбы предотвратить автоматическую рассылку спама в разделе комментариев или в контактной форме. Выглядит она так:

Нетанель Гелернтер и Амир Херцберг показывают в своей статье способ использовать знания пользователя о решении CAPTCHA, чтобы извлечь инфорацию. В своей реализации метода они загрузили данные в немного непонятном виде и попросили пользователя ввести их в текстовое поле. Например, манифест кеша для Gmail содержал адрес электронной почты пользователя:

Обратите внимание, что CAPTCHA это просто изменённая версия первых 15 символов адреса электронной почты (victim1813@gmai). Похоже на невинную обычную капчу, но она передаёт эту информацию на сайт.

Извлечь адрес почты пользователя на Gmail из файла манифеста кеша больше нельзя; но в любой сайт возможно встроить поле для комментариев на Facebook, которое по-прежнему будет содержать настоящее имя пользователя:

Обратите внимание, что текст содержит имя Inno Cent. Набирая его, пользователь непреднамеренно показывает свое настоящее имя, если он вошёл в систему на Facebook.

Эта атака также открывает двери для всякого другого извлечения информации. Авторы статьи использовали персонализированную функцию автозаполнения Bing, которая раскрывала информацию об истории поиска. На изображении слева показан шаблон с 4 областями для извлечения информации. На изображении справа показано, как выглядит последняя CAPTCHA, в данном случае это означает, что пользователь искал 4 слова:

В этом примере использовалась ошибка конфиденциальности в Bing, но нетрудно представить, как она может также включать проверку того, была ли ссылка посещена или нет: просто задайте стиль непосещённой ссылки в соответствии с фоном. Если пользователь её видит (и вводит в текстовое поле), значит, ссылка была посещена.

Прелесть этой атаки в том, что практически невозможно реализовать техническое решение для её предотвращения. К счастью, применимость этой уязвимости ограничена, так как с её помощью возможно извлекать только текстовую информацию и только несколько раз, прежде чем пользователю станет скучно и он покинет сайт.

Веб развивается в стремительном темпе, он очень востребован, а сложность браузеров сегодня сопоставима со сложностью операционных систем. Написать современный браузер полностью с нуля огомная проблема.

Со временем количество разнообразных уязвимостей будет только расти, а это значит, что нужны люди, способные работать с вебом профессионально, аккуратно. Если вы хотите начать карьеру в области веба, то можете обратить внимание на наш курс о Frontend-разработке, где с нуля получите крепкую базу, чтобы уверенно работать над фронтендом.

Узнайте, как прокачаться и в других специальностях или освоить их с нуля:

Другие профессии и курсы
Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru