2-5 minut

Niecodzienne przykłady fantazji pentesterów

Wiele firm myśląc o przeprowadzeniu testów penetracyjnych swoich zasobów IT ma na myśli skanowanie z zewnątrz sieci firmowej i próby przełamania zabezpieczeń aplikacji WWW. Coraz częściej jednak testy penetracyjne przebiegają zupełnie inaczej niż byliśmy do tego przyzwyczajeni.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:

  1. DO JAKICH SPOSOBÓW UCIEKAJĄ SIĘ PENTESTERZY BY UZYSKAĆ DOSTĘP DO SYSTEMÓW BEZPIECZEŃSTWA IT
  2. CZY SĄ ZABEZPIECZENIA, KTÓRYCH PENTESTERZY NIE SĄ W STANIE ZŁAMAĆ
  3. CZY NAWET NAJLEPIEJ ZAPROJEKTOWANY, WYKONANY I PRZETESTOWANY SYSTEM BEZPIECZEŃSTWA MOŻE MIEĆ LUKI


Do budynku firmy wchodzi elektryk. Ma na sobie odblaskową kamizelkę, na głowie kask, na ramieniu dźwiga drabinę a w ręce trzyma skrzynkę narzędziową. Na recepcji wspomina tylko o awarii na drugim piętrze i przez nikogo nie niepokojony wchodzi schodami na górę. Jeden z pracowników nawet przytrzymuje mu drzwi. Wszyscy go widzą, lecz nikt nie zwraca na niego uwagi, gdy w pomieszczeniu z drukarkami kuca przy jednym z urządzeń, ze swojej skrzynki wyciąga śrubokręt i małe pudełko, po czym podłącza pudełko za drukarką i wychodzi. Jego wizyta zostaje zapomniana do momentu, gdy do zarządu firmy dociera raport z testów penetracyjnych, pokazujący, że wynajęci specjaliści dzięki pudełku zostawionemu przez jednego z nich, mieli pełny zdalny dostęp do firmowej sieci przez 3 tygodnie. W tym czasie wykorzystali go, by przejąć kontrolę nad wieloma krytycznymi systemami.

Wszystkie chwyty dozwolone

Testy penetracyjne już dawno przestały być tylko skanowaniem sieci i wykorzystywaniem zidentyfikowanych podatności. Większość organizacji temu rodzajowi testów dość dobrze stawia czoła – w końcu każdy adres IP jest w każdej chwili obiektem ataków setek, jak nie tysięcy automatów skanujących cały Internet i wykorzystujących bezwzględnie wszystkie błędy administratorów. Dzisiaj, by odnieść sukces, pentesterzy muszą wykazać się kreatywnością, dobrymi umiejętnościami technicznymi a także wiedzą z dziedziny psychologii. Wspomnianego na początku artykułu „elektryka” nikt nie zatrzymywał – skoro miał kask, kamizelkę i drabinę, wszyscy uznali, że ma coś ważnego do zrobienia. Gdy jednak procedury bezpieczeństwa fizycznego okazują się być szczelne, do problemu trzeba podejść w inny sposób. Są firmy, których budynki otoczone są wysokim płotem, a ochrona nie wpuszcza nikogo spoza listy zatrudnionych i wcześniej zatwierdzonych gości. Niewiele firm zabezpiecza jednak swoje budynki przed atakami z powietrza. Pentesterzy montują zatem na swoich dronach małe komputery obsługujące sieć WiFi oraz GSM i spoza terenu firmy wysyłają je na dach biurowca, do którego sieci chcą się dostać. Komputer zaprogramowany jest do przeprowadzenia ataku wykradającego poświadczenia sieci WiFi, które następnie przesyła atakującemu. Ten łamie hasło na swoim komputerze i przy odrobinie szczęścia uzyskuje zdalny dostęp do sieci w strzeżonym budynku.

Liczą się drobiazgi

Ustawienia
O ile ataki fizyczne bywają bardzo spektakularne (a czasami wręcz przypominają sceny z filmów szpiegowskich), to często udany atak oznacza wiele godzin spędzonych przez eksperta przed monitorem. Zdarzają się firmy, które znając wagę zagrożeń nie udostępniają w publicznej sieci prawie żadnych systemów ani urządzeń. W jednym z przypadków do Internetu wystawiony był tylko firmowy firewall. Pentester zidentyfikował model urządzenia, zakupił w sieci identyczne, wycofywane z innej firmy i spędził kilkanaście dni na analizie jego oprogramowania. Odnalazł w nim błąd, który umożliwił mu dostanie się do sieci wewnętrznej firmy. W innym przypadku jedynym wektorem ataku wydawał się serwer gry Quake. Testujący zabezpieczenia firmy eksperci odkryli, że serwer, z którego po godzinach korzystali pracownicy firmy, nie miał aktualnego oprogramowania. Użyli mało popularnego, lecz publicznie znanego błędu, które wspólnie z drugim błędem przez nich odkrytym pozwoliły na przejęcie kontroli nad serwerem gry, a stamtąd droga do zasobów firmowych była już dużo krótsza.

Nikt wcześniej o tym nie pomyślał

Nowe pomysły

Czasem problemem okazuje się nie błąd w aplikacji czy nieprawidłowa konfiguracja systemu, a niewystarczająco dobrze przemyślane procesy biznesowe w firmie. W jednym z banków okazało się, że znając jedynie imię, nazwisko, nazwisko panieńskie matki i miasto zamieszkania klienta (a więc elementy, które znaleźć można np. na czyimś profilu na Facebooku), można było wykonać w jego imieniu przelew. Oczywiście nie było to proste zadanie i wymagało kilkunastu kontaktów z pracownikami banku, zarówno w oddziale, jak i na infolinii – a na każdym etapie testujący, wykorzystując dotychczas zebraną wiedzę, potrafił uzyskać, zgodnie z procedurami banku, kolejny element potrzebnej informacji. Dopiero poskładanie tej zebranej w różnych miejscach układanki pozwalało na opróżnienie konta ofiary.

To trudne zadanie

Labirynt

Z uwagi na stopień skomplikowania systemów informatycznych i związanych z nimi procesów nie sposób przewidzieć wszystkich możliwych zagrożeń ani sytuacji z nimi związanych. Nawet najlepiej zaprojektowany, wykonany i przetestowany system może dalej mieć luki – po prostu nikt ich do tej pory nie odkrył. Dlatego przeprowadzenie testów penetracyjnych warto zlecić firmie, której pracownicy posiadają nie tylko bogate doświadczenie, ale także talent do odkrywania nieznanych wcześniej podatności.

Usługi Bezpieczeństwa IT

Ten artykuł dotyczy produktu

Usługi Bezpieczeństwa IT

Przejdź do produktu

Data publikacji: 31.08.2018

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail