SecurityGuy.org

Тигрови мерки

Те могат да бъдат използвани както от държавни агенции за сигурност, така и от големи, средни, малки компании. Наричат ги “тигрови екипи”, защото начинът по който работят заедно прилича на лов – лов за слаби точки в компютърни системи. В случая обаче, те работят за вас – защото обикновено “tiger team” е вътрешен екип, борещ се с вътрешни уязвимости, постоянно атакуващ собствената си мрежа, плътно до персоналните компютри, лаптопи, фирмени смартфони на служителите в компанията

Александър Свердлов

Искате ли да бъдете в състояние да заявите на своите служители, клиенти и инвеститори, че информацията им е “защитена”? Не можете да бъдете честни, правейки такова изказване, ако не е налице някой, който постоянно атакува мрежата ви и потвърждава тази защитеност на практика. Най-евтиният и понякога най-ефективният начин за целта е да създадете собствен “тигров екип”. Обикновено това формирование включва добър комуникатор (за социална инженерия), програмист, “мрежар”, специалист по *nix системи и по Windows системи, както и специалист по пробиване на уеб приложения. В зависимост от големината на компанията и нейната мрежа, всяка от тези функции може да бъде изпълнявана от повече от един човек, или пък един човек да изпълнява няколко от тях. Естествено, не всеки програмист е подходящ за целта – задължителен е опит в преодоляване на системи за сигурност, писане на експлоити, все неща, за които много разработчици само са чували от техни познати, които са виждали как техен приятел го прави… Трябва да имате предвид също, че такива хора не се намират лесно – те не четат обяви за работа, не се предлагат сами на пазара, а в редките случаи когато работят “на чисто”, са доста заети.

Как да сформирате “tiger team”?

Ако не разполагате вече с такива специалисти (отново подчертавам, с опит в преодоляване на системи за сигурност от най-различно естество) ви остава ви само едно – да отделите служители, и да им поставите цел – за една година да се обучат да атакуват собствената ви мрежа. В тази криза, инвестирането на цяла година заплати, време, ресурси при риска тези хора да отидат другаде по-късно, не е лесно решение. Да, това не е звучало приемливо и на нито една от държавните и частни институции, ежедневно компрометирани от най-различни индивиди – от индустриални шпиони до крадци на лична информация – въпросът е, колко плащат те, техните клиенти и партньори като резултат от това? Готови ли сте да поемете риска да загубите неизвестно количество информация, клиенти, имидж, само заради желанието си да спестите пари за обучение на такъв екип? Един-единствен penetration test в зависимост от мащабите на мрежата ви, може да струва десетки хиляди евро – и повече – а продължителността му обикновено е около седмица. Кой ще проверява системите ви за уязвимости през останалата част от годината? От тази гледна точка, собственият екип е невероятна ценност. Виждал съм как работят такива екипи в компании като Paypal, American Express, Bank Of America – например, веднага щом получат дадена система за сигурност, сървър, продукт използван в компанията за обработка на данни – те го проверяват из основи за дупки в сигурността – нещо, което извършено от външна компания ще ви струва много пари, а ако не го направите… рискувате информацията си. Вътрешния екип, ако го отгледате и се грижите за него добре, е изключително ценна придобивка. Ако искате да го направите, тази статия е за вас.

Обучение

Започваме от елементарните неща – всечи член на екипа трябва да придобие базови познания по ИТ сигурност, и това не може да стане с четене на книжки или ходене на курсове. Въпреки, че и в България вече се нароиха “специалисти” обучаващи в White Hat Hacking (дават и сертификати), в много случаи след като преминат тези курсове злощастните им посетители стават “penetration tester”-и, и “тестват” сигурността на компании като вашата… със същото съмнително качество, с което биха го направили техните учители.

Истината е, че сертификатите не значат абсолютно нищо в тази сфера. Ако отидете на, да речем, конференция “Defcon” или “BlackHat” и попитате някой от лекторите колко сертификата по ИТ сигурност притежава, ще му осигурите дневната доза смях. Все едно да питате някой шампион по бягане или вдигане на тежести, колко сертификати и какво образование притежава. Тук тези неща просто не важат – приемете го като факт. На някои сертифицирани “етични хакери” им е излязло име – “хартиени тигри” – не без причина. Те могат да ви замаят с хартийките си, но поставете ги в реална ситуация на атака – ще седят в храстите и ще се чудят откъде да започнат… тези хора са безполезни за вашата компания. Бягайте от тях. Това важи с особена сила когато наемате служители за позиция “ИТ сигурност”. Виждал съм доста обяви, съдържащи неща като “познание на тази защитна стена, тази операционна система, и този продукт”, но нито една не съдържа изискването “опит в преодоляване на системи за сигурност и защита на мрежи от външни атаки”. Такива хора трудно се намират – остава ви да обучите свои.

История и практика

И така, след лиричното отклонение – отново към целта – елементарните познания по ИТ сигурност. Като във всяка дисциплина, се изисква познаване на историята – на първите компютри, първите “хакове” на телефонни системи, първите стъпки на “социалните инженери” в САЩ, всички тези неща не се изучават в курсове и университети. Можете да закупите книгата “Тhe Best Of 2600″ (доста дебела книга) от Amazon.com – това е една прекрасна основа, която да дадете на екипа. Също така е и съществен мотивиращ фактор, моделиращ мисленето им – вече сами ще могат да поставят цели за обучението си, с правилната насока, идваща отвътре… ако успеят да хванат “нишката”.

След като усвоят историята идва ред на практиката. Изисква се малко пътуване във времето – отново, назад. Сайтът http://www.phrack.org/ е нещо, което всеки от екипа трябва да познава като буквар – като се започне от първия (исторически) брой и се стигне до последния. След като отделят няколко месеца за изучаването му (и практикуване на наученото), членовете на екипа ще имат вече и необходимите технически позания, за да направят следващата стъпка.

Тестова среда

Осигурете на екипа тестова среда – могат да работят и с виртуални сървъри, но е добре да имат поне 1, като минимум, с който да си играят на хардуерно ниво. Ще им трябва тестова безжична мрежа, тестова VOIP среда, тестова мрежа тотално изолирана от Интернет или от вътрешната мрежа, и втора мрежа свързана само с Интернет, но отново тотално изолирана от вътрешнофирмената среда. Един VMWare ЕSX сървър, стоящ върху 4 или 8-процесорна система и достатъчно голям дисков масив и външен сторидж, е добро минимално начало. Работните им станции, имайки предвид параметрите на съвременните компютри, би трябвало също да издържат по поне 2 едновременно работещи виртуални машини – това ще спести пари от сървъри и ще им даде повече контрол, без да зависят всички едновременно от една кутия. Създаването на тези тестови среди ще е само по себе си добра тренировка, както и поддържането им в работно състояние.

След като построят тестовата среда, ще им трябват сценарии за атака – за това, могат да се обърнат към множество сайтове за wargaming. Един пример – http://www.de-ice.net/ . Още един пример: за да се научи някой да пробива уязвимости в уеб сървъри, може да използва приложения написани специално за целта – като WebGoat на проекта OWASP (www.owasp.org). Изпълнението на задачите поставени от тези сайтове изисква истинска екипна работа от хората ви.

Оттук насетне, ролите се разделят (почти)

На този етап всеки в екипа поема нещата в свои ръце, специализирайки в атакуване на системи от неговата област. Ако досега са четяли една и съща книга, един и същи “исторически” сайт, сега е време да се развият като индивидуални “ловци” – да намерят потенциални, приличащи на работните “възли”, опорни точки и слаби точки които могат да атакуват, и да го правят докато не се научат да пробиват. 7-8 месеца са напълно достатъчни за целта, поне за познанията, необходими им след приключване на периода за постоянна атака на работната мрежа. Социалния инженер започва да изготвя стратегии за “пускане на въдица” в своята компания, от рода на фалшиви е-мейли водещи към фалшиви сайтове с измамни полета за потребителско име и парола, обаждания по телефона измъкващи конфиденциална информация, всичко това ще му е вече познато от горните два източника, той ще може да изготви план въз основа на вече наученото и да се движи напред. В тестовата среда ще пуска имитации на корпоративния интранет, ще използва написани от програмиста “вируси” за заразяване на тестови системи. Същото важи за програмиста, мрежаря, *nix специалиста, и този който ще пробива уеб приложения – изпълнявайки своите задачи по атака на тестовата мрежа, те си помагат един на друг и напредват заедно към целта. Работейки заедно, всеки ще попие от другите знания, които ще обогатят неговата роля и ще го направят по-продуктивен.

Ако наистина създавате екип, а не разчитате на един човек – ще видите невероятна динамика между тях – едно е да работиш с някой върху таблица в Excel, съвсем друго е да планираш атака срещу потенциално уязвима система… това ще е нещо което ще ги задържи заедно и ще ги движи напред – ако имате шанса да ги наблюдавате как работят, ще искате всеки в компанията да работи с такъв хъс!

Продължаваща мотивация

За да ги стимулирате допълнително (а стимул няма да е излишен – когато си объркан, не знаеш накъде да поемеш с атаката, винаги е добре да имаш пред себе си цел) можете да им предложите бонус за всяка успешна и документирана атака. Така ще ги доближите и до “черните” им събратя, които получават понякога до 5000 долара! за малка успешна атака и открадната информация – вие едва ли ще искате да им плащате по толкова, но идеята е същата – материалният стимул работи за врага, ще сработи и за вас.

След завършване на едногодишния период на обучение можете да промените схемата – ще се плащат бонуси за успешни атаки вече срещу работната среда, а не тестовата – както и за “заловени” “хакери” – прекъснати атаки, проследени източници, блокирани бъдещи атаки благодарение на уловени опити – само месечната заплата не е достатъчна да накара някой да търси игла в купа сено по цял ден. Но ако плащате за всяка намерена игла… нещата се променят. Ще видите реално отразени атаки, и ще виждате мрежата си все по-защитена и по-защитена с всеки изминал ден. А това е нещо, което определено си заслужава да бъде видяно!