Искусство вторжения
Шрифт:
У некоторых компаний есть еще более жесткие резоны, например, защита от правительственных детективных агентств, проигрыш которым может означать потерю важного контракта или исследовательского проекта. Любая компания, имеющая контракт с министерством обороны, попадает в эту категорию. Поэтому любая компания, занимающаяся серьезными биотехнологическими исследованиями, должна помнить о том, что департамент администрации по контролю над лекарствами и продуктами буквально заглядывает через ее плечо — именно в этот разряд и попадал новый клиент Callisma. В соседстве с опасными химикатами, в лабораториях, где ученые проводят такие опыты, о которых эксперты по безопасности и слыхом не слыхивали,
На первой же встрече с представителями Biotech команда Callisma поняла, что от нее требуется проведение всех возможных типов атак, которые только можно себе представить: от простых до сложных технических атак, от применения методов социальной инженерии до физических взломов. Руководители ИТ-подразделения компании, как часто бывает в таких случаях, были уверены, что все попытки взломщиков окончатся их полным поражением. Biotech сразу же установила такое правило: неприемлемы никакие неточности в документальных доказательствах.
Был продуман механизм прекращения работы проверяющих. Иногда это могло быть сделано достаточно просто, например, для остановки атаки, которая могла негативно повлиять на работу компании, любой из сотрудников должен был произнести предварительно согласованное кодовое слово. Компания также разработала четкие правила по обращению с добытой информацией — как ее следует хранить, когда и кому она должна предоставляться.
Поскольку проведение проверок может пересекаться с обычной работой компании, предусмотрено несколько «а что, если…». Кого следует уведомить, если вдруг нарушится предоставление той или иной услуги? В какую часть системы можно проникать и как? И как проверяющие поймут, до какого предела можно проводить атаку, чтобы не нанести непоправимые потери и не повредить бизнесу компании?
Клиенты часто просят ограничить проверки только техническими атаками и упускают из виду другие лазейки, которые могут быть еще более опасны для компании. Дастин Дюкс говорит:
«Независимо от того, что они говорят, я знаю, что поначалу они хотят только выяснить технические слабости их системы, но на самом деле их уязвимость может быть совсем в другом.. Опытный атакующий всегда пойдет по пути наименьшего сопротивления, отыскивая самое ненадежное звено в системе безопасности. Как поток воды, бегущий вниз по склону, атакующий пойдет к успеху самым простым и эффективным путем».
Атаки из области социальной инженерии, по мнению Дастина, всегда должны входить в состав проверок. (Более подробно о социальной инженерии мы поговорим в Главе 10 «Социальные инженеры — как они работают и как их остановить»).
В этот раз он был почти готов отказаться от этих «номеров из своего репертуара». Если атака физического проникновения не получится «в легкую», он не будет и пытаться это делать. Для него это самый нежелательный вариант даже при наличии «индульгенции». «Если что-то плохое должно случится, оно случается тогда, когда я пытаюсь проникнуть в здание так, чтобы меня не заметили охранники или бдительные сотрудники».
Главное, что следовало определить его команде, прежде чем приступать к делу: в чем самое ценное для тестируемой компании, ее «Священный Грааль». В этой игре электронного слежения с высокими ставками очень важно знать это в точности. Как выяснилось, для фармацевтической компании таким «Священным Граалем» являются финансовые отчеты, списки клиентов, поставщиков, процесс производства и научно-исследовательские разработки.
ПЛАНИРОВАНИЕ
План Дастина заключался в том, чтобы начать проверку «по-тихому» — с незначительной активности, постепенно развивая ее до тех пор, пока кто-нибудь
Трудно с этим не согласиться. Как пишет китайский философ Сун Тзу: познай своего врага и самого себя — и ты победишь.
Все серьезные проверки с согласия заказчика используют те же типы атак, что были уже описаны в этой главе.
«В нашей методике мы выделяем четыре основных типа атак. Техническое проникновение в сеть, именно об этом мы в основном говорим. Социальная инженерия (что мы тоже рассматриваем), прослушивание и подглядывание через плечо. Р ы т ь е в помойках. И, наконец, физическое проникновение. В о т эти ч е т ы р е сферы».
АТАКУЕМ!
В первый день Дастин отправился в приемную компании Biotech. Справа от места, где сидели охранники, была комната отдыха и кафетерий, в который свободно могли проходить посетители. С другой стороны от охранников была расположена комната для переговоров, в которой и встречалась команда Дастина с руководством Biotech. Охранники расположены в центре, естественно, для того, чтобы контролировать все возможности доступа в компанию, но комната для переговоров им совсем не видна. Заходить в нее может кто угодно, и никто ему не скажет ни слова. Именно это и сделал Дастин со своими коллегами. После чего у них было сколько угодно времени для того, чтобы неспешно оглядеться. При этом никто не знал, что они там были.
Они обнаружили там работающий разъем для подключения к сети, вероятно, для удобства сотрудников компании, которые, естественно, хотят иметь доступ к корпоративной сети во время встреч. Подключив к этому разъему свой ноутбук, Дастин быстро нашел то, что ожидал: он получил доступ к сети за пределами корпоративного межсетевого экрана, что было практически открытым приглашением в систему компании.
Почти как в известном кинофильме «Миссия невыполнима» с тревожной музыкой, Дастин прикрепил к стене небольшое устройство для беспроводного доступа и воткнул его в разъем. Это устройство позволяло сотрудникам Дастина проникать в сеть Biotech с компьютеров, расположенных в машине или автобусе, припаркованных неподалеку от здания. Передача сигнала от такого WAP-устройства (Wireless Access Point) может происходить на расстоянии до ста метров. Используя направленную антенну с большим усилением, можно соединиться со спрятанным WAP даже с большего расстояния.
Дастин предпочитал точки беспроводного доступа, работающие на европейских каналах, что давало его команде определенное преимущество. поскольку эти частоты с меньшей вероятностью будут зафиксированы. «Это совсем не выглядело, как точка беспроводного доступа, поэтому не могло вызвать у людей подозрения. Я оставил ее почти на месяц, и никто ее не заметил и не убрал».
После установки таких устройств Дастин прикреплял к ним небольшую. но выглядевшую очень официально карточку с надписью «Собственность служб информационной безопасности. Не убирать» .