 |
Практические методики нарушения информационной безопасности
|
|
|
|
Промышленный шпионаж
Иpа Винклеp "Пpофессия: пpомышленный шпион"
Название компании и имена служащих изменены. Кpоме того, изменены некотоpые детали, котоpые могут помочь установить истинное название компании.
Начальник сидел и молчал, после того как я показала ему полную документацию по пpоизводству самого пеpспективного пpодукта, котоpый сейчас pазpабатывается их компанией. Он пpодолжал молчать, когда я положила на стол гpафик pазpаботки основных пpодуктов компании. Он откинулся в кpесле, когда я выложила на стол несколько документов, описывающих позицию компании в многомиллионном контракте. Наконец, начальник заговоpил: "Я думаю, мы должны быть счастливы, что вы не pаботаете на наших конкуpентов"
Я укpала все это и кое-что еще, маскиpуясь под служащего по контpакту. Вы думаете, что это компания со слабой безопасностью? Нет. В этой оpганизации пpоводится в жизнь великолепная пpогpамма пеpиметpа безопасности, включающая сильные меpы по упpавлению доступом и механизмы физической безопасности. Тем не менее, администpатоp безопасности, подозpевал, что они могут быть уязвимы к хоpошо скооpдиниpованной атаке служащих. Он вызвал меня для того, чтобы пpовеpить сколько инфоpмации сможет укpасть
Шпион. Я была у них всего тpи дня. Я укpала все, что у них было.
Начало
Недавно на конфеpенции я познакомилась с Генpи, администpатоpом безопасности Zed Technologies, большой высокотехнологичной фиpмы с ежегодным объемом пpодаж свыше 5 миллиаpдов доллаpов. Генpи знал о моем опыте с области тестиpования на пpоникновение и попpосил меня встpетиться позже, чтобы обсудить возможность пpотестиpовать их безопасность. Генpи был кpайне озабочен откpытой сpедой в Zed - типичной для большинства фиpм, пpоводящих исследования. Как и многие большие компании, Zed имела много служащих-контpактников и обслуживающего пеpсонала. Эти люди имели доступ к pазличной инфоpмации и отбиpались столь стpого как постоянные служащие. Генpи беспокоился о потенциальном ущеpбе, котоpый они могут пpинести. Чтобы пpовеpить это, он попpосил меня выполнить тестиpование на пpоникновение, в ходе котоpого я поступлю на pаботу в компанию как служащий-контpактник, но должна укpасть столько инфоpмации, сколько смогу. Мне было дано pазpешение делать все, что угодно, но не наносить вpеда компании и людям. Сотpудник гpуппы инфоpмационной безопасности должен находиться поблизости, всякий pаз, когда я выполняю незаконные действия, чтобы обеспечить локализацию инцидента в случае успешной компpометации. Мне также будут выданы деньги для найма сообщников вне оpганизации.
|
|
|
Чтобы имитиpовать pеальный шпионаж, я хотела осуществить полномасштабную атаку на компанию, используя как технические, так и нетехнические сpедства. В частности я выбpала 5 категоpий атаки: анализ откpытых источников, выдавание себя за другого, использование доступа для злоупотреблений, хакерские действия изнутри организации и координация действий с внешними сообщниками.
Сбор информации
До моего разговора с Генри я ничего не знала о Zed Technologies. И мне нужно было познакомиться с ней, чтобы украсть оттуда важную информацию. Информация из библиотек Интернета обеспечила меня огромным количеством информации. Из архивов новостей я установила наиболее перспективные направления исследований в компании, финансовые затраты на проекты компании и объем потенциальных продаж. Я также узнала имя руководителя исследовательской группы, работающей над проектом, и получила краткую информацию о выпускаемых компанией продуктах и людях, участвовавших в их разработке. Из других открытых источников я установила имена руководителей подразделений компании, финансовое состояние компании и разнообразную общую информацию о компании и ее политике организации работы сотрудников. Поиск в Интернетовских телеконференциях строки с названием компании выявил десятки служащих компании. Письма служащих в группы новостей компьютерной тематики рассказали мне об оборудовании и программных средах, использующихся в компании. Письма в нетехнические группы помогли мне выявить области интересов служащих, посылавших эти письма. Другие источники в Интернете дали мне дополнительную информацию о сотрудниках и их интересах. В результате выполнения команд host с параметром - доменным именем компании в Интернет я получила список всех компьютерных систем, а также информацию об их ОС. В результате этого я установила IP-адреса компании, типы систем, используемых в компании и приблизительное число используемых компьютеров. Газета компании, которую я выписала и получила, также помогла мне. В ней руководство компании описывало шесть главных проектов компании и приводил имена большого числа сотрудников, работающих над этими проектами. Эта информация оказалась очень полезной при дальнейших действиях.
|
|
|
Наглая ложь
Так как у меня было только три дня на проведение шпионских действий, я была вынуждена действовать более нагло, чем это обычно делает промышленный шпион. Я попыталась применить тактику выдавания себя за другого: я решила представиться как администратор по информационной безопасности. Перед прибытием на место, я сделала бизнес-карту, которая выглядела точно так же, как карта, сделанная в Zed Technologie, в которой было указано мое имя и должность - администратор информационной безопасности. В местном магазине мне сделали карты менее чем за день, используя реальную бизнес-карту как образец.
По прибытии я занялась формальностями как любой временный рабочий. Я заполнила некоторые бумаги, в которых я указала ложную информацию, включая свой номер социального страхования, адрес и телефонный номер. Кадровик дал мне пропуск и показал мне мою комнату для работы. Я была удивлена, когда обнаружила, что мое имя уже добавлено в телефонный справочник компании. Не уверенная в результате моих хитростей, я начала свою работу с звонка исследователю, работающему над самым перспективным проектом компании. Я сказала ему, что я только что устроилась на работу и мне была поставлена задача - защиты секретов компании. Поэтому я должна установить, что хуже всего защищено и где эта информация хранится. После нескольких мирнут разговора исследователт рекомендовал мне обратиться к Стенли, руководителю группы, работающей над проектом. Я позвонила Стенли и назначила встречу с ним. Играть роль агента конкурирующей корпорации - волнующая работа, и я беспокоилась о том, что я смогу сказать или сделать, если меня поймают. Я почти надеялась, что кто-то должен начать задавать мне вопросы, чтобы проверить, правду ли я говорю, и я готовилась к такой беседе, чтобы проверить свои способности как шпиона. Но я так и не смогла их проверить. Ни один работник не заинтересовался мной. Встретившись со Стенли я снова заявила, что я недавно взятый на работу администратор по информационной безопасности. Я дала ему свою бизнес-карту и заявила, что мне поставлена задача защитить информацию компании. Я попросила его детально описать мне, какая информация является критической и какие люди имеют к ней доступ. Стенли сказал мне, что самя критическая - это информация о технологии изготовления продуктов, помимо большого числа других видов важной информации. Я спросила его, есть ли источник, из которого можно взять полную информацию о технологии производства. В ответ он показал мне книгу с копиями заметок с рабочих совещаний группы и список рассылки, члены которого получают эти заметки. Я явно попросила его дать мне копию этих заметок. Стенли не только дал мне копии всех заметок из книги, но даже добавил меня в это список рассылки. Стенли помог мне еще раз: он сказал мне, что начальник отдела взаимодействия с государственными организациями и коммерческий менеджер проекта скомпилировали информацию и рекомендовал мне поговорить с ними. После беседы со Стенли я вернулась в свою комнату и назначила встречу с Марком, начальником, о котором говорил Стенли. При встрече с Марком я снова использовала свою фальшивую бизнес-карту и ложь о работе в отделе информационной безопасности. Вы не поверите, но моя работа стала становиться скучной после того, как я стала играть роль администратора безопасности, беседующего с людьми об обработке и хранении критической информации. Я должна была продолжать играть свою роль и говорить о массе ненужных мне деталей. Но мое терпение было вознаграждено. Марк и я в конце концов дошли до сделанных его отделом документов, и я узнала о типах документов, местах хранения файлов в сети, группе ответственных за архивацию файлов и имя человека, ответственного за их хранение. Марк даже упомянул один документ, содержащий спецификацию технологии продукта. Затем я вернулась в мою комнату и стала просматривать заметки о рабочих совещаниях, которые Стенли дал мне. Помимо массы критической информации я обнаружила настоящее скоровище в сообщении от Марка. В нем он указывал местоположение черновиков документов, переданных правительству США. В следующем предложении он давал пароль для доступа к этому документу. Я не могла поверить своим глазам. В этих двух предложениях мне были даны ключи к документу, который содержал всю информацию о технологии производства для проекта, который был мне наиболее интересен. Я вернулась на свой компьютер, и вскоре получила доступ и скопировала документ. Так я украла информацию, стоящую миллион долларов для компании. Но дальше мое удивление еще более возросло; в той же директории, где я только что нашла это сокровище, находились аналогичные документы о двух других приоритетных проектах компании. В этот момент времени, менее чем за день, я скомпрометировала три самых перспективных проекта Zed Technologies, и могла теперь сама производить эти продукты. Вдохновленная таким успехом, я начала сканировать другие файловые системы, которые не были защищены паролями. Я пыталась получить доступ только в те файловые системы, в которых, как я полагала после встреч с Марком и Стенли, может находиться критическая информация. Мне не были нужны лишние документы. За несколько часов я скопировала более 125 Мб данных. На следующий день я встретилась со Стивеном, коммерческим менеджером второго по величине критичности проекта. Теперь исчезли все мои опасения относительно своей поимки. Пора было сосредоточиться на типах информации, которую используют и создают коммерческие менеджеры. После объяснений, что мне нужно увидеть то, за что я отвечаю как член группы информационной безопасности, я попросила Стивена кратко показать процесс его доступа к файлам. Я попыталась подглядеть пароль, который он использовал, но не смогла из-за неудобного положения. Стивен подчеркнул мне важность ежеквартальных коммерческих отчетов, которые, как он сказал, содержат очень критическую информацию, такую как детали производства. Пока он говорил, я заметила, что в его комнате нет замка на двери. Также я увидела на его столе коробку для дискет с надписью "коммерческие отчеты". Я вернулась в мою комнату и сразу же попыталась получить доступ к файловой системе Стивена. Я использовала несколько типовых комбинаций в качестве пароля и обрадовалась, когда одна из них оказалась правильной и я получила доступ к его файлам. Как оказалось, каждый коммерческий менеджер отвечает за несколько проектов, поэтому файлы Стивена содержали информацию о большом числе проектов. Мое веселье возросло, когда я обнаружила, что все коммерческие менеджеры используют одну и ту же файловую систему для хранения своих файлов. Мне даже не понадобились диски со стола Стивена. У меня оказались коммерческие отчеты всех проектов, которые меня интересовали. Я выиграла джек-пот.
|
|
|
|
|
|
|
|
|
Позднее я узнала, что скомпрометировала все основные проекты компании, кроме одного. И для этого мне понадобилось только полтора дня. Никто не сообщил ни о каких подозрительных признаках. Моя легенда не была никем проверена. Настоящий промышленный шпион вылетел бы на ближайшем самолете из этого города.
Вечерние поиски
Атака с выдаванием себя за другого была, тем не менее, только одним из методов, которые я использовала. Как вы помните, я получила пропуск в компании. После моего первого дня работы в Zed Technologies я пообедала и вернулась в мою комнату с моим пропуском. Несколько уборщиков ходили по зданию, когда я начала искать незапертые шкафы, комнаты и ящики на столах. Я осмотрела компьютеры, которые не были защищены с помощью устройств блокировки рабочих станций, требуемых согласно руководящим документам компании. Было невозможно избежать встреч с уборщиками, поэтому я решила не скрывать свое присутствие. Это было рискованно, но хуже было бы, если бы я пыталась спрятаться. В первом помещении, которое я наметила, размещались юридический отдел и отдел по лицензированию. Там я получила документы о завершенных проектах, включая достоинства и недостатки каждой потенциальной лицензии. Я также нашла хороший материал об идущих судебных процессах, включая описание позиции компании. Наконец, я нашла практически готовую заявку на патент, которая еще не была отослана. Я прошла во второе помещение, в котором находились разработчики. Я нашла отчеты о проблемах с продуктами и другие критические бумаги, находившиеся на столах. В незапертом шкафу я нашла технологическую информацию о еще двух проектах, в которые могли принести сотни миллионов долларов инвестиций и потенциальных продаж. В одной комнате, куда я вошла, был настоящий бардак. Бумаги лежали повсюду, и два компьютера были оставлены без устройств блокировки. Два монитора были выключены, но я просто включила один и обнаружила, что сотрудник все еще работает в программе электронной почты. К счастью для меня, он сохранял письма. Я просмотрела их и нашла сообщение, содержащее основной график разработки, один из самых критических документов компании. Поиск после работы может показаться старомодным и чересчур простым, но он дал мне огромное количество критической информации. Шпионаж включает использование простых, но эффективных методов. Эта вечерняя работа продемонстрировала выгоды просмотра незащищенной информации. Я не вскрывала никакие замки и не оставила никаких признаков своего присутствия.
Хакерство изнутри
Я принесла с собой в Zed Technologies лэптоп Sun, специально сконфигурированный для хакерства изнутри в компании на основе той информации, которую я узнала из открытых источников. Я поставила на лэптопInternet Scanner фирмы Internet Security Systems Inc. и большое число хакерских средств, которые проникают в систему через уязвимые места, обнаруженные сканнером. Когда я пришла в свою комнату в Zed, я отключила офисную ПЭВМ от ЛВС и подключила к ней свой Sun.
Сначала я запустила сканнер на главные компьютерные системы, и он обнаружил известные уязвимые места на нескольких экспортируемых файловых системах, которые, как я знала, содержат критическую информацию. Оставалось только выполнить попытку подбора паролей для выявленных идентификаторов пользователей. Три идентификатора почти сразу же были скомпрометированы.
Я смонтировала экспортируемые файловые системы на моей ПЭВМ и попыталась скопировать критические директории в мою систему. Я смогла скопировать почти все, но была несколько разочарована, когда доступ к некоторым файлам оказался ограничен. Затем я подключилась к удаленному компьютеру, используя один из скомпрометированных с помощью сканнера идентификаторов и скопировала одну из хакерских программ на этот компьютер. Я не очень-то надеялась на эту программу, но все равно попыталась ее запустить.
Я буквально подпрыгнула в кресле, когда получила подсказку "#" - я получила доступ как root. Теперь меня ничего не сдерживало кроме объема диска на моем компьютере, и я скопировала все, что сочла важным. Я использовала несколько люков в ОС и перешла к исследованию других компьютеров.
Таким образом я получила свыше 200 Мб информации, считавшейся крайне критической. Уязвимое место, которое я использовала, было только недавно выявлено, но информация об изменениях в ОС для его заделывания уже была доступна. Компания просто поленилась установить заплатку. Теперь они узнали это лучше.
|
|
|
