Niebezpiecznik

Wypowiedzi dla Jakuba Wątora dotyczace testów penetracyjnych. Na ich podstawie, oraz na podstawie wypowiedzi kolegów z Deloitte i PwC powstał ten artykuł.

> 1. Jakie zamówienia macie najczęściej? Same testy techniczne czy razem z
> socjotechniczne? Czy testy socjotechniczne też można nazwać pentestami wg Ciebie?

Najpopularniejsze z zamawianych obecnie testów to te dotyczące
serwisów internetowych. A ponieważ serwis internetowy to nie tylko
sama webaplikacja, ale i serwer, na którym ona jest hostowana, to poza
testami aplikacyjnymi wykonujemy równocześnie testy penetracyjne
sieciowe webserwera (zazwyczaj w podejściu dwufazowym: próba
“włamania” się na serwer a potem analiza plików konfiguracyjnych usług
działających na serwerze).

W ostatnich 2 latach obserwujemy też wzrastającą popularność testów
aplikacji mobilnych (głównie na Androida i iOS), testów odporności na
ataki DDoS oraz symulacji ataków socjotechnicznych. To ostatnie bardzo
nas cieszy, gdyż firmy powinny weryfikować nie tylko bezpieczeństwo
swojej infrastruktury, ale także personelu, a ataki socjotechniczne
wymierzone są w pracowników i czasem w ogóle nie musimy korzystać z
komputerów i internetu, aby je przeprowadzić….

> 2. Jaki procent ataków socjotechnicznych jest skuteczny?

Patrząc na dane z ostatnich 2 lat, statystyka jest przerażająca. Każdy
z wykonywanych przez nas ataków socjotechnicznych zakończył się
sukcesem (zdefiniowanym jako uzyskanie nieautoryzowanego dostępu do
danych firmowych, które uznano za istotne i poufne). Co gorsza, w
większości przypadków wrażliwe dane wykradaliśmy zaledwie po wysłaniu
jednego lub dwóch e-maili, wykorzystując infrastrukturę, której
konfiguracja zajęła kilkadziesiąt minut, a koszty ataku zamykały się w
50 PLN (wyłączając oczywiście nasze wynagrodzenie)…

> 3. Jakie testy socjotechniczne wykonujecie? Prosty phishing czy coś
> głębszego typu wciąganie pracownika firmy w jakieś forum, stronę, która
> rzuca mu na stację roboczą malware?

Najpopularniejsze ze scenariuszy to oczywiście phishing, wysłany z
identycznej lub podobnej domeny, w zależności od tego, czy
potrzebujemy od ofiary odpowiedzi czy jedynie tego aby wykonała nasze
polecenie. Stosujemy też tzw. metodę wodopoju, czyli wykorzystanie
błędu w serwisie internetowym firmy-ofiary. Zamiast podmieniać wygląd
strony, dodajemy do serwisu “niezauważalny” kod, który atakuje
przeglądarkę ofiary. Ponieważ wiemy, że dany serwis regularnie jest
odwiedzany przez pracowników firmy-ofiary, to prędzej czy później oni
na niego zajrzą i atak dojdzie do skutku. Niczego nie prowokujemy. Do
niczego nie nakłaniamy. Można powiedzieć, że ofiara atakuje się sama.

W niektórych przypadkach, jeśli budżet klienta na to pozwala,
stosujemy też bardziej innowacyjne podejścia. Od podszywania się pod
kontrahentów i podsyłania pracownikom złośliwych prezentów (“nowe” i
ofoliowane, ale zainfekowane przez nas smartphony) poprzez podrzucanie
odpowiednio zmodyfikowanych pendrive’ów, które co jakiś czas przez
kilka sekund zmieniają się w klawiaturę (wpisując złośliwe polecenia),
aż do latania dronem i obserwacji ekranów pracowniczych komputerów
przez szyby biurowca lub wnoszenia na teren firmy fałszywego hotspota.
Aby dostać się na teren firmy często podszywamy się pod dziennikarzy
zainteresowanych przeprowadzeniem wywiadu. Nikt nie
weryfikuje naszej tożsamości. Nikt też nie kwestionuje naszej
fałszywej legitymacji prasowej, której zresztą często nie musimy w
ogóle pokazywać.

> 4. Czy robicie także próby fizycznego wejścia do budynku? Jeśli tak, w jaki
> sposób? Przebieracie się za sprzątaczkę, wchodzicie “na grupę palaczy”,
> kopiujecie karty wejścia w danym budynku? I w ogóle jak tego typu testy
> zakwalifikować? Też je można nazwać pentestami? Audytami? Ta terminologia
> doprowadza mnie do szału :)

Wykonujemy próby obejścia bezpieczeństwa fizycznego i choć jest to
bardzo rzadko zamawiana w Polsce usługa, to z racji wysokiej
skuteczności stosowanych metod, umożliwiających ominiecie ochrony i
łatwości ich wykonania przez każdego, pozwolę sobie ten temat, dla
dobra nas wszystkich, przemilczeć.

Dodam tylko, że to co jest pokazywane na “amerykańskich filmach” nie
działa w polskich warunkach, zwłaszcza jeśli firma zatrudnia zaledwie
kilkudziesięciu pracowników, którzy znają się miedzy sobą. Dostawca
pizzy prawie zawsze zostanie zatrzymany na recepcji, a większość
“hydraulików” czy serwisantów klimatyzacji odesłana z kwitkiem.

Słabymi punktami większości firm jest garaż podziemny, palarnia i
…sposób ewakuacji pracowników w przypadku alarmu przeciwpożarowego.
Sukces prawie zawsze zależy od dobrze wykonanego rekonesansu, czyli
często kilkutygodniowej obserwacji “celu ataku” zarówno w świecie
rzeczywistym jak i wirtualnym. Zebranie informacji o pracownikach,
stopkach e-maili, wyglądzie identyfikatorów czy obecnie prowadzonych
projektów jest kluczowe, ponieważ pozwala na odpowiednie dostosowanie
ataku do specyfiki pracy danej firmy w danym czasie. Wpasowanie się w
rutynę działania firmy pozwala na dłuższe pozostanie niezauważonym.

> 5. Jakieś zabawne historyjki, anegdoty? Największe przypały firm? Największe
> trudności? Najdziwniejsze podatności (techniczne)?

Wynik ataku socjotechnicznego nigdy nie jest możliwy do przewidzenia w
100%. Ponieważ atakujemy ludzi a nie algorytmy, cieżko określić a
priori co komu przyjdzie do głowy. U jednego z klientów, podszywając
się pod członka zarządu, udało nam się e-mailowo nakłonić księgową do
przygotowania zestawienia finansowego jednego z działów.
Obserwowaliśmy jej obecność na firmowym komunikatorze i widzieliśmy,
że została po godzinach — jak się domyślaliśmy, pracując nad pilnym
zestawieniem. Około godziny 20 na kontrolowaną przez nas skrzynkę
e-mial członka zarządu przychodzi e-mail mówiący o pozostawieniu
wydrukowanych dokumentów na biurku.
Ta historia potwierdza, że najlepszą ochroną przed
komputerowymi włamywaczami jest papierowy obieg dokumentów ;)

> 6. Ile to kosztuje i dlaczego tak drogo? (Wiem, zależy od zakresu działań
> okresu trwania testów, wielkości firmy, ale jakiekolwiek ramy finansowe
> chciałbym jednak nakreślić).

Wszystko zależy od zakresu testu i jego rodzaju a także zdefiniowanego
celu i poświęconego an wykonanie zlecenia czasu. Wykonywaliśmy testy
bezpieczeństwa zarówno w cenie kilku tysięcy złotych jak i takie za
kilkaset tysięcy złotych…

> 7. Jak oceniasz otwartość firm na robienie testów, wdrażanie późniejszych
> ulepszeń? Czy to nie działa na zasadzie “aaaa, spoko, wykryliście dziurę, to
> ją załatamy i już jesteśmy bezpieczni”?

Każdemu klientowi powtarzamy, że bezpieczeństwo to nie produkt (kupię
5 kilo dziś i mam spokój na 3 lata) a proces. Trzeba go doglądać,
poświęcać mu czas, patrzeć jak funkcjonuje i ciągle ulepszać. Często w
momencie oddawania klientowi raportu w internecie publikowane są
szczegóły dotyczące dopiero co odkrytego błędu albo nowej techniki
ataku… i czasem okazuje się, że środowisko, na którym właśnie
zakończyliśmy test jest na te nowości podatne.

Aby testy penetracyjne miały sens, należy je wykonywać regularnie i to
nie tylko w kierunku infrastruktury (aplikacje, serwery) ale również
pracowników. Można wspierać się szkoleniami, ale nawet najlepsze
szkolenia odnoszą krótkotrwały skutek, jeśli ataki, które prezentują,
nie zdarzają się w firmie na co dzień. Pracownicy po prostu zapominają
jak powinni poprawnie z nimi “walczyć”. Dlatego ogromną rolę w
zapewnianiu bezpieczeństwa firmie pełni wewnętrzny dział IT, który
powinien regularnie przeprowadzać wewnętrzne prowokacje, podtrzymując
czujność pracowników, ale również bacznie monitorować stan własnej
infrastruktury w celu wykrycia prób ataków.

> 8. A jak w ogóle wśród firm/prezesów/zarządów świadomość tego, jak ważne
> jest cyberbezpieczeństwo?

Na szczęście coraz większa, choć niestety ciągle zainteresowanie
“bezpieczeństwem” w danej branży wzrasta głównie wtedy, kiedy jakaś
firma danego sektora odnotuje incydent. Dopiero wtedy do
konkurencyjnych firm dociera, że równie dobrze one mogłyby być celem i
w ich przypadku atak też by się powiódł.

> 9. Jakbyś ocenił to, że kiedyś “przypadkiem” zgubiłem pendrajwa i
> już po 11 minutach był on wpięty w innej stacji roboczej :D?

Zgub kartę pamięci, to zostanie podpięta jeszcze szybciej, bo każdy
liczy na wakacyjne zdjęcia koleżanki z HR. Albo jakikolwiek nośnik
opisz “wynagrodzenia 2015”. Każdy z nas chce wiedzieć ile
zarabia kolega pracujący na tym samym stanowisku… tacy już jesteśmy.
Często gubi nas ciekawość, jeszcze częściej naiwność. A ciekawości i
naiwności pomaga zmęczenie. Dlatego większość ataków ma najwyższą
skuteczność w piątek. O 16:45, na kwadrans przed końcem tygodnia
pracy…