Imajinatu egoera hau. Urriko goiz hotza, diseinu institutua Errusiako eskualde bateko eskualdeko erdigunean. HR saileko norbait institutuaren webguneko hutsik dauden orrietako batera joan da, duela egun pare bat argitaratua, eta han katu baten argazki bat ikusten du. Goizak azkar uzten du aspergarria izateari...
Artikulu honetan, Pavel Suprunyuk, Group-IB-ko auditoretza eta aholkularitza saileko arduradun teknikoak, segurtasun praktikoa ebaluatzen duten proiektuetan eraso sozioteknikoek duten lekuari buruz hitz egiten du, zein forma ezohikoak izan ditzaketen eta eraso horien aurka nola babestu. Egileak argitzen du artikuluak berrikuspen izaera duela, hala ere, irakurleei alderdiren bat interesatzen bazaie, IB Taldeko adituek erraz erantzungo dituzte iruzkinetan galderak.
1. zatia. Zergatik hain serioa?
Itzuli gaitezen gure katuarengana. Denbora pixka bat igaro ondoren, HR sailak argazkia ezabatzen du (hemengo eta beheko pantaila-argazkiak partzialki ukituta daude benetako izenak ez agertzeko), baina temati itzultzen da, berriro ezabatzen da, eta hori beste hainbat aldiz gertatzen da. HR sailak ulertzen du katuak asmo larrienak dituela, ez duela alde egin nahi eta web programatzaile bati laguntza eskatzen diote: gunea sortu eta ulertzen duen pertsona bati, eta orain kudeatzen du. Programatzailea gunera doa, berriro ere katu gogaikarria ezabatzen du, HR sailaren beraren izenean argitaratu zela jakiten du, gero HR sailaren pasahitza lineako hooligan batzuei filtratu zaiela suposatzen du eta aldatzen du. Katua ez da berriro agertzen.
Zer gertatu da benetan? Institutua barne hartzen zuen enpresen multzoari dagokionez, Talde-IBko espezialistek Red Teaming-etik hurbil dagoen formatu batean sartze-probak egin zituzten (hau da, zure enpresaren aurkako eraso zuzenduen imitazioa da, metodo eta tresna aurreratuenak erabiliz). hacker taldeen arsenal). Red Teaming-ari buruz zehatz-mehatz hitz egin dugu . Garrantzitsua da jakitea horrelako proba bat egiterakoan, aurrez adostutako eraso sorta oso zabala erabil daitekeela, ingeniaritza soziala barne. Argi dago katua jartzea bera ez zela gertatzen ari zenaren azken helburua. Eta honako hau zegoen:
- institutuaren webgunea institutuaren sarearen barruko zerbitzari batean ostatatuta zegoen, eta ez hirugarrenen zerbitzarietan;
- Filtrazio bat aurkitu da HR saileko kontuan (posta elektronikoaren erregistro-fitxategia gunearen erroan). Ezinezkoa zen gunea administratzea kontu honekin, baina posible zen lan-orriak editatzea;
- Orriak aldatuz gero, zure script-ak JavaScript-en jar ditzakezu. Normalean orriak interaktiboak egiten dituzte, baina egoera honetan, script berdinek bisitariaren arakatzaileari lapurtu diezaiokete zer bereizten zuen HR saila programatzailetik, eta programatzailea bisitari soil batetik - guneko saio-identifikatzailea. Katua erasoa erakartzeko eta arreta erakartzeko argazkia zen. HTML webguneko markatze lengoaian, honela zegoen: zure irudia kargatu bada, JavaScript dagoeneko exekutatu da eta zure saioaren IDa, arakatzaileari eta IP helbideari buruzko datuekin batera, dagoeneko lapurtu dizute.
- Administratzaile-saio ID lapurtu batekin, gunerako sarbide osoa lortu, PHP-n orrialde exekutagarriak ostatzea eta, beraz, zerbitzariaren sistema eragilera atzitzea, eta gero sare lokalera bera, tarteko helburu garrantzitsu bat zen. proiektua.
Erasoa partzialki arrakastatsua izan zen: administratzailearen saioaren IDa lapurtu zuten, baina IP helbide bati lotuta zegoen. Ezin izan dugu horri aurre egin; ezin izan ditugu gure guneko pribilegioak administratzaile-pribilegioetara igo, baina gure aldartea hobetu dugu. Azken emaitza sarearen perimetroko beste atal batean lortu zen azkenean.
2. zatia. Idazten dizut - zer gehiago? Zure bulegoan ere deitzen dut eta zintzilikatzen dut, flash driveak botatzen.
Katuaren egoeran gertatutakoa ingeniaritza sozialaren adibidea da, guztiz klasikoa ez bada ere. Izan ere, istorio honetan gertaera gehiago egon ziren: katu bat, eta institutu bat, eta pertsonal sail bat eta programatzaile bat zeuden, baina ustezko "hautagaiek" pertsonal sailari berari eta pertsonalki idazten zizkioten galdera argitzeko mezu elektronikoak ere zeuden. programatzaileari guneko orrialdera joatea eragiteko.
Letrez mintzatuz. Posta elektroniko arruntak, ziurrenik ingeniaritza soziala egiteko ibilgailu nagusia, ez du garrantzirik galdu hamarkada pare batean eta batzuetan ondorio ezohikoenak ekartzen ditu.
Askotan honako istorio hau kontatzen dugu gure ekitaldietan, oso adierazgarria baita.
Normalean, ingeniaritza sozialeko proiektuen emaitzetatik abiatuta, estatistikak egiten ditugu, eta hori, dakigunez, gauza lehor eta aspergarria da. Hartzaileen ehuneko askok gutunetik eranskina ireki zuten, hainbeste jarraitu zuten esteka, baina hiru hauek erabiltzaile-izena eta pasahitza sartu zituzten. Proiektu batean, sartutako pasahitzen % 100 baino gehiago jaso genuen, hau da, bidali genituen baino gehiago atera ziren.
Honela gertatu zen: phishing gutun bat bidali zen, ustez estatuko korporazio baten CISO-tik, "posta zerbitzuan aldaketak urgentziaz probatzeko" eskaerarekin. Eskutitza laguntza teknikoaz arduratzen zen sail handi baten burura iritsi zen. Kudeatzailea oso arduratsua zen agintari nagusien argibideak betetzen eta menpeko guztiei helarazi zizkien. Call center bera nahiko handia izan zen. Oro har, norbaitek bere lankideei phishing-mezu "interesgarriak" bidaltzen dizkien eta harrapatzen duten egoerak nahiko ohikoak dira. Guretzat, hau da gutun bat idaztearen kalitateari buruzko iritzirik onena.
Pixka bat beranduago gutaz jakin zuten (gutuna konprometitutako postontzi batean hartu zuten):
Erasoaren arrakasta posta elektronikoak bezeroaren posta sisteman hainbat gabezia tekniko baliatzen zituelako izan zen. Horrela konfiguratuta zegoen, erakundearen beraren edozein igorleren izenean edozein gutun bidaltzeko baimenik gabe, baita Internetetik ere. Hau da, CISO, edo laguntza teknikoko burua, edo beste norbait, itxurak egin ditzakezu. Gainera, posta-interfazeak, "bere" domeinuko gutunak behatuz, helbide-liburuko argazki bat arretaz txertatu zuen, eta horrek naturaltasuna eman zion bidaltzaileari.
Egia esan, eraso hori ez da teknologia bereziki konplexua; posta-ezarpenetako oinarrizko akats baten ustiaketa arrakastatsua da. Aldian-aldian berrikusten da informatika eta informazioaren segurtasun baliabide espezializatuetan, baina, hala ere, badira oraindik hori guztia presente duten enpresak. Inork SMTP posta-protokoloaren zerbitzu-goiburuak ondo egiaztatzeko joerarik ez duenez, gutun bat "arriskua" dagoen egiaztatzen da normalean posta-interfazeko abisu-ikonoak erabiliz, eta ez dute beti argazki osoa bistaratzen.
Interesgarria da antzeko ahultasun batek beste norabidean ere funtzionatzen duela: erasotzaile batek mezu elektroniko bat bidal diezaioke zure enpresaren izenean hirugarren hartzaile bati. Adibidez, zure izenean ohiko ordainketa egiteko faktura bat faltsutu dezake, zurearen ordez beste xehetasun batzuk adieraziz. Iruzurraren aurkako eta dirua ateratzeko arazoez gain, hau da seguruenik ingeniaritza sozialaren bidez dirua lapurtzeko modurik errazenetako bat.
Phishing bidez pasahitzak lapurtzeaz gain, eraso soziotekniko klasiko bat eranskin exekutagarriak bidaltzen ari da. Inbertsio hauek segurtasun neurri guztiak gainditzen badituzte, enpresa modernoek asko izan ohi dituztenak, biktimaren ordenagailurako urruneko sarbide-kanal bat sortuko da. Erasoaren ondorioak erakusteko, ondoriozko urruneko kontrola garatu daiteke isilpeko informazio bereziki garrantzitsua lortzeko. Azpimarratzekoa da hedabideek denak beldurtzeko erabiltzen dituzten eraso gehien-gehienak horrela hasten direla.
Gure auditoretza sailean, dibertitzeko, gutxi gorabeherako estatistikak kalkulatzen ditugu: zein da Domeinu-Administratzailearen sarbidea lortu dugun enpresen aktiboen guztizko balioa, batez ere phishing-aren bidez eta eranskin exekutagarriak bidaliz? Aurten 150 milioi eurora iritsi da gutxi gorabehera.
Argi dago mezu elektroniko probokatzaileak bidaltzea eta webguneetan katuen argazkiak argitaratzea ez direla ingeniaritza sozialaren metodo bakarrak. Adibide hauetan eraso-formak eta horien ondorioak erakusten saiatu gara. Gutunez gain, erasotzaile potentzial batek beharrezkoa den informazioa lortzeko deia egin dezake, komunikabideak (adibidez, flash unitateak) sakabana ditzake helburuko enpresaren bulegoan fitxategi exekutagarriak dituztenak, bekadun lan bat lortzeko, sare lokalerako sarbide fisikoa lortzeko. CCTV kamera instalatzaile baten itxurapean. Horiek guztiak, bide batez, arrakastaz burutu ditugun proiektuen adibideak dira.
3. zatia. Irakaspena argia da, baina ikasi gabekoa iluntasuna da
Arrazoizko galdera bat sortzen da: ba, ados, badago ingeniaritza soziala, arriskutsua dirudi, baina zer egin beharko lukete enpresek honen guztiaren aurrean? Captain Obvious salbatzera dator: zure burua defendatu behar duzu, eta modu integralean. Babesaren zati bat dagoeneko klasikoko segurtasun-neurrietara zuzenduko da, hala nola, informazioa babesteko baliabide teknikoak, jarraipena, prozesuen antolaketa eta laguntza juridikoa, baina zati nagusia, gure ustez, langileekin lana zuzentzera bideratu behar da. loturarik ahulena. Azken finean, teknologiak zenbat indartu edo araudi gogorrak idatzi arren, beti egongo da dena hausteko modu berri bat ezagutuko duen erabiltzaileren bat. Gainera, ez araudiak ez teknologiak ez dute erabiltzailearen sormenaren hegaldiari eutsiko, batez ere erasotzaile kualifikatu batek eskatzen badu.
Lehenik eta behin, garrantzitsua da erabiltzailea trebatzea: azaldu bere ohiko lanetan ere gizarte ingeniaritzarekin lotutako egoerak sor daitezkeela. Gure bezeroentzat askotan egiten dugu higiene digitalari buruz - oro har erasoei aurre egiteko oinarrizko trebetasunak irakasten dituen ekitaldia.
Gehitu dezaket babes-neurri onenetako bat ez litzatekeela informazioaren segurtasun-arauak memorizatzea, egoera apur bat bereizi batean baloratzea baizik:
- Nor da nire solaskidea?
- Nondik dator bere proposamena edo eskaera (hau ez da inoiz gertatu, eta orain agertu da)?
- Zer da ezohikoa eskaera honek?
Ezohiko letra-tipo batek edo igorlearentzat ezohikoa den hizketa-estilo batek ere eraso bat geldiaraziko duen zalantza-kate bat sor dezake. Agindutako argibideak ere behar dira, baina desberdin funtzionatzen dute eta ezin dituzte egoera posible guztiak zehaztu. Esaterako, informazioaren segurtasuneko administratzaileek idazten dute horietan ezin duzula zure pasahitza sartu hirugarrenen baliabideetan. Zer gertatzen da “zure”, “korporazio” sareko baliabideak pasahitza eskatzen badu? Erabiltzaileak pentsatzen du: "Gure enpresak dagoeneko bi dozena zerbitzu ditu kontu bakar batekin, zergatik ez duzu beste bat?" Horrek beste arau bat dakar: ondo egituratutako lan-prozesuak segurtasunari ere eragiten dio zuzenean: aldameneko departamentu batek informazioa idatziz soilik eska badezakezu eta zure kudeatzailearen bidez soilik, "enpresako konfiantzazko bazkide bateko" pertsona bat ez da zalantzarik izango. telefonoz eskatzeko gai - hau zuretzat da zentzugabekeria izango da. Batez ere kontuz ibili beharko zenuke solaskideak dena oraintxe bertan egitea eskatzen badu, edo "ASAPAIN", idaztea modan baitago. Lan arruntean ere egoera hori ez da osasuntsua izaten, eta balizko erasoen aurrean, abiarazle indartsua da. Ez dago denborarik azaltzeko, exekutatu nire fitxategia!
Konturatzen gara erabiltzaileak eraso soziotekniko baten kondaira gisa bideratzen direla beti, modu batean edo bestean diruarekin zerikusia duten gaien bidez: sustapenen promesak, lehentasunak, opariak, baita ustez bertako esamesak eta intrigazko informazioak ere. Alegia, “bekatu hilgarriak” hutsalak lanean ari dira: irabazi egarria, zikoizkeria eta gehiegizko jakin-mina.
Prestakuntza onak praktika izan behar du beti. Hemen sartze-proban adituak salbatzera etor daitezke. Hurrengo galdera da: zer eta nola probatuko dugu? Group-IB-en planteamendu hau proposatzen dugu: berehala hautatu probaren ardatza: edo erabiltzaileen erasoetarako prest dauden ebaluatu edo enpresa osoaren segurtasuna egiaztatu. Eta probatu ingeniaritza sozialeko metodoak erabiliz, benetako erasoak simulatuz, hau da, phishing bera, dokumentu exekutagarriak, deiak eta bestelako teknikak bidaliz.
Lehenengo kasuan, erasoa arreta handiz prestatzen da bezeroaren ordezkariekin batera, batez ere bere IT eta informazio segurtasuneko espezialistekin. Kondairak, tresnak eta eraso teknikak koherenteak dira. Bezeroak berak erasorako foku taldeak eta erabiltzaileen zerrendak eskaintzen ditu, beharrezko kontaktu guztiak barne. Segurtasun neurrietan salbuespenak sortzen dira, mezuak eta karga exekutagarriak hartzailearengana iritsi behar baitira, proiektu horretan jendearen erreakzioak baino ez direlako interesatzen. Aukeran, erasoan markatzaileak sar ditzakezu, erabiltzaileak eraso bat dela asma dezakeen; adibidez, mezuetan akats ortografiko pare bat egin ditzakezu edo estilo korporatiboa kopiatzerakoan zehaztasunik eza utzi. Proiektuaren amaieran, “estatistika lehorrak” berdinak lortzen dira: zein eztabaida taldek erantzun zuten eszenatokiei eta zenbateraino.
Bigarren kasuan, hasierako ezagutza zerorekin egiten da erasoa, "kutxa beltza" metodoa erabiliz. Enpresari, langileei, sareko perimetroari buruzko informazioa modu independentean biltzen dugu, erasoen kondairak sortzen ditugu, metodoak aukeratzen ditugu, xede-enpresan erabilitako segurtasun neurri posibleak bilatzen ditugu, tresnak egokitzen ditugu eta eszenatokiak sortzen ditugu. Gure espezialistek kode irekiko adimen klasikoak (OSINT) metodoak eta Group-IB-ren berezko produktua erabiltzen dituzte - Threat Intelligence, phishingerako prestatzen direnean, enpresa bati buruzko informazio-agregatzaile gisa jardun dezakeen sistema, denbora luzean, informazio sailkatua barne. Noski, erasoa ezusteko desatsegin bat izan ez dadin, bere xehetasunak ere bezeroarekin adosten dira. Sartze-proba osoa da, baina gizarte ingeniaritza aurreratuan oinarrituko da. Aukera logikoa kasu honetan sare barruan eraso bat garatzea da, barne sistemetan eskubide handienak lortzeraino. Bide batez, antzeko era batean eraso sozioteknikoak erabiltzen ditugu , eta sartze-proba batzuetan. Ondorioz, bezeroak eraso soziotekniko mota jakin baten aurrean duen segurtasunaren ikuspegi integral independentea jasoko du, baita kanpoko mehatxuen aurrean eraikitako defentsa-lerroaren eraginkortasunaren (edo, alderantziz, eraginkortasunik ezaren) froga bat ere.
Prestakuntza hau gutxienez urtean bitan egitea gomendatzen dugu. Lehenik eta behin, edozein enpresatan langileen txandaketa gertatzen da eta aurreko esperientzia apurka-apurka ahaztu egiten zaie langileei. Bigarrenik, eraso-metodoak eta teknikak etengabe aldatzen ari dira eta horrek segurtasun-prozesuak eta babes-tresnak egokitzeko beharra dakar.
Erasoetatik babesteko neurri teknikoei buruz hitz egiten badugu, honako hauek laguntzen dute gehien:
- Interneten argitaratutako zerbitzuetan derrigorrezko bi faktoreen autentifikazioaren presentzia. Halako zerbitzuak 2019an Single Sign On sistemarik gabe kaleratzea, pasahitzaren indar gordinaren aurkako babesik gabe eta ehunka laguneko enpresa batean bi faktoreko autentifikaziorik gabe "apurtu ninduten" dei ireki bat da. Behar bezala inplementatutako babesak lapurtutako pasahitzak azkar erabiltzea ezinezkoa izango du eta phishing-eraso baten ondorioak kentzeko denbora emango du.
- Sarbide-kontrola kontrolatzea, sistemen erabiltzaile-eskubideak gutxitzea eta fabrikatzaile nagusi bakoitzak kaleratzen dituen produktuen konfigurazio segururako jarraibideak betetzea. Izaera sinpleak izan ohi dira, baina oso eraginkorrak eta gauzatzeko zailak diren neurriak, denek, neurri batean edo bestean, azkartasunaren mesedetan baztertzen dituztenak. Eta batzuk hain beharrezkoak dira, haiek gabe babes-biderik ez baita salbatuko.
- Posta elektronikoa iragazteko lerro ondo eraikia. Spam-aren aurkakoa, kode maltzurren bila eranskinen erabateko eskaneatzea, sandbox bidezko proba dinamikoak barne. Ongi prestatutako eraso batek esan nahi du eranskin exekutagarria ez dutela detektatuko birusen aurkako tresnek. Sandbox-ak, aitzitik, dena probatuko du bere kabuz, fitxategiak pertsona batek erabiltzen dituen moduan erabiliz. Ondorioz, osagai gaizto posible bat agerian geratuko da sandbox barruan egindako aldaketek.
- Norako erasoen aurka babesteko bideak. Esan bezala, birusen aurkako tresna klasikoek ez dituzte fitxategi gaiztoak detektatuko ondo prestatutako eraso baten kasuan. Produktu aurreratuenek automatikoki kontrolatu beharko lituzkete sarean gertatzen diren gertaera guztiak, bai ostalari baten mailan, bai sare barruko trafiko mailan. Erasoen kasuan, gertaera kate oso bereizgarriak agertzen dira, jarraipena egin eta geldiarazi daitezkeenak, mota horretako gertakarietara bideratuta dagoen monitorizazioa badaukazu.
Artikulu originala 6ko “Information Security/ Information Security” #2019 aldizkarian.
Iturria: www.habr.com