Много може да бъде написано за сигурността на информацията. Това как да не бъде изнесена от вътрешни хора, как да не бъде открадната от външни, как да се предпази от унищожение или да бъде осигурена нейната постоянна достъпност. Тук ще се концентрирам върху предпазване от кражба на информация чрез проникване отвън – и ще ви представя най-лесния, най-ефективния, и най-краткия откъм описания метод

Александър Свердлов

Доколкото съм запознат с дейността на колеги занимаващи се с тестове на възможности за проникване в информационните системи или т.нар. Penetration Testing (извън България) – тези, които си вършат работата честно, я вършат само 2 пъти – третия път това вече не е работа по проверка за пробиваемост, а просто помощ на клиента да премине поредната годишна сертификация – защото първия път се намират всички логически и практически уязвимости в системата и се предлага решение на проблемите, втория път се проверява изпълнението на тези препоръки, а третия и всеки следващ тест са само за профилактика… и до голяма степен, това е заради най-важната и най-ефективната препоръка на… да ги наречем, честните pentest компании.

Whitelisting

Всички знаем какво е blacklist – всеки забранен за посещение отвътре външен ресурс, и всеки външен адрес на който му е забранен достъп до нашата мрежа. Проблемът е, че само в Китай имаме стотици хиляди нови потребители месечно, съответно, ако блокираме индивидуални “злосторници”, само за “хакерите” от тази огромна държава ще трябва да отделим цял отдел занимаващ се с въвеждане на адреси… просто е неефективно. Това се отнася за зловредни сайтове, такива които принципно не би трябвало да се посещават в работно време, програми за чат и аудио- и видео- разговори, игри, и тн.

Какво е решението? Да, разбира се – Whitelisting. На защитната стена и на проксито се създава много проста конфигурация – всичко е забранено, освен… На уеб проксито изключително лесно може да се направи настройка, препращаща към вътрешна интранет страница всеки път, щом потребител въведе непознат за системата адрес в браузъра си – с поле в което да попълни мотива за посещение на този уеб адрес към администратора на проксито – да, първия месец ще има недоволни, администратора ще е буквално затрупан от подобни съобщения – но на втория, третия месец, когато потребителите свикнат, а най-необходимите им адреси са въведени и одобрени, страстите ще утихнат, а вашата организация ще е неимоверно по-защитена отколкото ако ползваше blacklist логика на защита.

Една кратка 15 минутна презентация под формата на видеоклип за причините за това нововъведение, придружена от кратко текстово обяснение ще е достатъчна за повечето хора да осъзнаят целта на упражнението и важността му за целостта на информацията в компанията, както и за продуктивността на хората в работно време. И аз лично, не се сещам за разумен довод някой да е недоволен – все пак, няма цензура – всички сайтове които ще помогнат на човек да бъде продуктивен, нямат причина да не бъдат одобрени. Кой е първият доброволец, който ще поиска да му бъде позволен достъп в работно време към сайт за запознанства?

И какво общо има penetration testing-а с казаното до тук?

Когато става въпрос за проникване отвън, изключително рядко се случва атаката да дойде от одобрен, доверен ресурс. Обикновено, оторизираните тестове на сигурността преодоляват защитите от непознати адреси, експлоитите които пращат се свързват с непознати за системата адреси… ако позволявате достъп от и до само одобрени ресурси, просто няма начин някой да направи пробив отвън. Дори и да проникне вирус в системата, той няма да може да изнесе информация от компанията. Затова, когато един pentest екип препоръча whitelist и компанията го въведе като практика, третият тест е вече обикновена формалност – смисъла на един тест за пробиви е да се осъществи пробив – а след въвеждането на политика за одобрени ресурси, единствените пробиви могат да бъдат осъществени с пробив във физическата сигурност или чрез измама на служител…

Продуктивност на служителите, непробиваемост на системите отвън – това са фактори, които могат да надделеят над първоначалната трудност при убеждаване на хората да приемат това решение. И ми е много интересно, ако го въведете, коя pentest компания ще успее да направи пробив в информационните ви системи? Да не забравим – на такива компании се плаща само и единствено ако успеят да направят пробив. Ако ще плащате за репорт на сигурността, както винаги съм казвал – просто си свалете безплатния Nessus и сканирайте мрежата си с него.

Productivity killer of a panacea for interpersonal communication on the Internet? For each one, they are something different, maybe that is why they’re so popular. And not only for facilitating relationships and sharing information online – many people use them for business because of the extremely rapid access to a specific audience.

But this is not an advertising for social networks …

Whatever be the social network for people in your company, we look at one aspect of which certainly we have not thought before, but which is of great importance when talking about IT security, data protection and protection against social engineering. Will tell one sample (not fictional) story of how a security of a company can be compromised through social networks.

To imagine that we are a group received a task to enter in Company X, and obtain information about the latest developments, is still undergoing phase of design and initial tests. Instead of using noisy method of penetration through the protective walls of compromising servers and etc., choose to use social engineering attack and direct employees of the company.

What do we need for a successful attack?

1. Goal – in this case, to infiltrate the social circle of an organization and, if possible – to steal data
2. Medium – the employees using a social network – such as Twitter, Facebook, Myspace, etc. These people are our open door through which we can go and get whatever information we need from the company …
3. Technical resources – in our case, a vulnerable site visited by officials of the company (or created by us and sent through the already established earlier relationships in the social network)

Pass the objective, it explains itself. The Medium is certainly present – if you have workers between 18 and 50 years using the Internet, the likelihood that any of them to participate in various forms of social networking web is quite large, even in Bulgaria. The active Facebook users in Bulgaria are more than 200 000 – given the huge number of people not enjoying the computer in your daily life in our small country, we can boldly to assume that almost everyone using a computer is also using social networks.

Technical resources – we need a vulnerable site where we could deploy our malicious code or a site which we create specifically for this purpose, a Facebook account and a certain dose of creativity.

After some information gathering on what kind of people are working in the company, possibly discovering names and email addresses, telephone numbers, positions, we proceed to create our fake account – of course, this is a young, attractive woman between 25 and 30 years. Finding suitable pictures is not a problem – simulating an open, friendly personality is easy. We will the account personal details with things such as “Single” and “Works in company X”. We find other people working in company X, add them to your list of friends. Rapidly receive confirmation from them, and in turn all their friends see the new user, perhaps their colleague whom they still do not know … Can one miss the chance to add her to his list of friends and try to establish a contact? Hardly. After less than a month, the employees of company X have adopted our fake account as part of their group, their company and have confidence in her. We chat with our new friends, mainly on topics related to work – learn more about the company, this allows us to speak about internal matters and learn more and more confidential information … in time the amount of information we have about the processes in the company and its people give us such freedom of action that can be present ourselves as a participant in teams who develop new, still unrepresented products and to obtain information about these products which no employee would share with an outsider! Some of them are too attached, and are willing to trust without a shred of doubt any link sent by the attractive blonde / brunette … And this is if we create just one fake profile! And if we had created 2? 10? How complex patterns of relationships can be created only by 1 person, if he wants to compromise your security?

So we have gained the confidence of the employees in company X, we can send them links. Send a link to their site, that wants a username and password to access the corporate “intranet” – the site has the logo of the company’s external appearance very accurately imitating the corporate image … 30% of consumers who received a link automatically fill the information requested from them. This link may tell them that their password has expired and they must renew it, or that the access is confidential and they must enter the username and password you use to access your computer daily… If we’re lucky, we will find vulnerabilities in the website of the company itself, allowing us to add your own code to it – which will increase the success of the attack to nearly 90 percent. These usernames and passwords in many cases are sufficient to access the VPN access points of the company and reading corporate e-mail and access to the domain. The game ends … if you want to stop here. We can continue by sending viruses written especially for this case, Trojan horses, botnet clients, whatever we need to achieve our goals. Antivirus products will not catch them, the percentage of users who doubt and not open them very small compared to the case of e-mail spam.

Countermeasures

Technical methods such as blocking access to social networking sites are a potential solution. Disable JavaScript and graphics in these sites – that will make them safer, while awkward to use, and will act in the same manner as chilli meat wokrs dogs in training – after time, they refuse to accept food from strangers. Sad thing is, that if you use technical methods there will always be a smart guy to bypass them and tell all his colleagues how to do it. Therefore, besides technical solutions, we need a more creative approach.

Training, training, training … Information security is a permanent war in which every participant needs to be trained continuously. The rules do not work – one thing is to tell someone “do not violate the rules, another is to explain as in the illustration above, what happens if one violates the corporate security policies .. examples you can give people are endless, as are endless and the methods by which they may be attacked – in this case it is important to give them basic knowledge about what is allowed, what not, and why. If they know 3 ways that can be attacked, they will be alert to the unknown fourth. Much better than simply tell them “Be alert!” – Unknown in the early scare, then the rules will simply be ignored. If your people know what kind of access will they provide to an attacker by only giving him their username/password, they will be much more careful online (and offline). Having responsibility to protect these resources, and not just the password will make them much more active in defending their company’s information security.

This story was recently unclassified by the NSA, so I felt the urge to publish it for the ITSEC community, with a bit of comment at the end from my side for today’s environment..

In 1962, an officer assigned to a very smaJl intelligence detachment in Japan was performing the routine duty of inspecting the area around his little cryptocenter. As required, he was examining a zone 200 ft. in radius to see if there was any “clandestine technical surveillance.” Across the street. perhaps a hundred feet away, was a hospital controlled by the Japanese government. He sauntered past a kind of carport jutting out from one side of the building and, up under the eaves, noticed a peculiar thing-a carefully concealed dipole antenna, horizontally polarized. with wires leading through the solid cinderblock wall to which the carport abutted. He moseyed back to his headquarters, then quickly notified the counter-intelligence people and fired off a report of this “find” to Army Security Agency, who. in turn, notified NSA. He was directed to examine this antenna in detail and perhaps recover it, but although the counter-intelligence folks had attempted to keep the carport under surveillance that night, the antenna had mysteriously disappeared when they checked the next day. Up on the roof of the hospital was a forest of Vagi’s, TV antennae, all pointing towards Tokyo in the normal fashion, except one. That one was aimed right at the U,S. cryptocenter.
You may recall the highly publicized flap which occurred in 1964 when more than 40 microphones were discovered in the U.S. embassy in Moscow. Most people were concerned about all the conversations that may have been overheard and the resultant compromise of our diplomatic plans and intelligence activities associated with the embassy. We were concerned with something else: What could those microphones do to the cryptomachines used there? And what were the unpublirized gadgets also found with microphones for? Why was there a large metal grid carefully buried in the cement of the ceiling over the Department of State communications area? A grid with a wire leading off somewhere. And what was the purpose of the wire that terminated in a very fine mesh of smaller hair. like wires? And. while we were at it, how did these finds relate to other mysterious finds and reports from behind the Curtain-reports dating clear back to 1953? Why, way back in 19:54, when the Soviets published a rather comprehensive set of standards for the suppression of radio frequency interference, were those standards much more stringent for their teletypewriters and other communications equipment than for such things as diathermy machines, industrial motors, and the like, even though the teletypewriters were much quieter in the first place?

Behind these events and questions lies a long history beginning with the discovery of a possible threat. the slow recognition of a large number of variations of that threat, and, lumbering along a few months or a few years afterwards, a set of countermeasures to reduce or eliminate each new weakness that has been revealed.

The Problem Defined

To state the general nature of the problems in brief: Any time a machine is used to process classified information electrically, the various switches, contacts, relays, and other components in that machine may emit radio frequency or acoustic energy. These emissions, like tiny radio broadcasts. may radiate through free space for considerable distances-a half mile or more in some cases. They may havee induced on nearby conductors like signal lines, power lines, telephone lines, or water pipes and be conducted along those paths for some distance- and here we may be talking of a mile or more. When these emissions can be intercepted and recorded, it is frequently possible (0 analyze them and recover the intelligence that was being processed by the source equipment. The phenomenon affects not only cipher machines· but any information-processing equipment-teletypewriters. duplicating equipment,
inrercornms, facsimile, computers-you name it. But it has special significance for cryptomachines because it may reveal not only the plain texts of individual menages being processed but also that carefully guarded information about the internal machine processes. Thus, conceivably, the machine could be radiating information which could lead to the reconstruction of our daily changing keying variables-s-and from a Comsec viewpoint, that is absolutely

the worst thing that can happen to us. This problem of compromising radiation we have given the covername

TEMPEST.
Discovery by Bell Lab

Now, let’s go back to the beginning. During World War II, the backbone systems for Army and Navy secure teletypewriter communications were one-time tapes and the primitive crypto-equipment SIGTOT. For encrypting, the Services used a Bell-telephone mixing device, called a 13 I -B2. When one of these mixers was being tested in a Bell laboratory. a researcher noticed, quite by accident, that each time the machine stepped, a spike appeared on an oscilloscope in a distant part of the lab. After he examined these spikes more carefully. he found that he could read the plain text ofthe message being enciphered bythe machine! Bell Telephone faced a dilemma. They had sold the equipment to the military with the assurance that it was secure, but it wasn’t. The only thing they could do was to tell rhe Signal Corps about it. which they did. There they met the charter members of a dub of skeptics who could not believe that these tiny pips could really be exploited under practical field conditions. They are alleged to have said something like: “Don’t you realize there’s a war on? We can’t bring our cryptographic operations to a screeching halt based on a dubious and esoteric laboratory phenomenon. If this is really dangerous, prove it.” So. the Bell engineers were placed in a building on Varick Street in New York. Across the street and about 80 feet away was Signal Corps’ Varick Street cryptocenter. The engineers recorded signals for about an hour. Three or four hours later, they produced about 75% of the plain text that was being processed-a fast performance, by the way, that has rarely been  qualled…
The Signal Corps was impressed by this display and directed Bell Labs to explore this phenomenon in depth and provide modifications to the 131-B2 mixer to suppress the danger. In a matter of six: months or so, Bell Labs had  dentified three separate phenomena and suggested three basic suppression measures:
(a) Shielding (for radiation through space, and magneticfields)
(b) Filtering (for conducted signals on power lines,  signal lines, etc.)
(c) Masking (for either space-radiated or conducted signals, but mostly for space)

Bell Labs went ahead and modified a mixer, calling it the I31-A-1. In it they used both shielding and filtering techniques. Signal Corps took one look at it and turned thumbs down. The trouble was. to contain the offending signals, Bell had to virtually encapsulate the machine. Instead of a modification kit that could be sent to the field, the machines would have to be sent back and rehabilitated. The encapsulation caused problems of heat dissipation made  maintenance extremely difficult, and hampered operations by limiting access to the various controls. Instead of  uying this monster, the Signal Corps resorted to the only other solution they could think of. They went out and warned commanders of the problem, advised them to control a zone about 100 feet in diameter around their communications center to prevent covert interception. and let it go at that. And the cryptologic community as a whole let it go at that for the next seven years or so. The war ended; most of the people involved went back to civilian life; the files were retired, dispersed, and destroyed. The whole problem was, apparently, forgotten. Then, in 1956, the problem was, for all practical purposes, rediscovered by CIA when they were toying with the same old 131-B2 mixer. They reported having read plain text about a quarter mile down the signal line and asked if we were interested. Of course, we were. some power line and signal line filters were built and immediately installed on these equipments and they did the job pretty well as far as conducted signals were concerned. Space radiation continued unabated, however, and the first of many “radiation” policies was issued in the form of a letter from AFSA to all Sigint activities, requiring them to:
1. Control a zone 200 feet in all directions around their cryptocenters, or
2. Operate at least 10 TTY devices simultaneously (the idea of masking; pu tting out such a profusion ofsignals that interception and analysis would be difficult), or
3. Get a waiver based on operational necessity.

The Sigint community conformed as best it could; and,in some instances. general-service communicators adopted similar rules. The figure of 200 feet. by the way, was quite arbitrary. It had not been determined because we had hard evidence that. beyond that distance. interception was impractical; rather. it was the larg~t security zone we believed the majority of stations could reasonably mainrain, and we knew that, with instrumentation then avail. able, exploitation at that range would, at best, be exceedingly difficult. At the same time that we were trying to cope with the 13) -B2 mixer. we began to examine every other cipher machine. Everytbing’ tested radiated. and radiated rather prolifically. With rotor machines. the voltage on their power lines tended to fluctuate as a function of the number of rotors moving. and so a fourth phenomenon, called pourer line modllaltion, was discovered. Progress in examining the machines and developing suppression measures was very slow. By 1955, however, a number of possible techniques for suppressing the phenomena had been tried. FiJterin8 techniques were refined somewhat; teletypewriter devices were modified so that aU relays operated at once and only a single spike was produced with each character, instead of five smaller spikes. representing each baud, but the size of the spike changed with each character produced, and the analysts could still read it quickly. A “balanced” ten-wire system was tried which would cause each radiated signal to appear identical. but to achieve and maintain such balance proved impractical. Hydraulic techniques-to replace the electrical-were tried and abandoned, and experiments  were made with different types of batteries and motor generators. in attempts to lick the power-line problem. None was very successful. During this period, the business of discovering new TEMPEST threats. or refining techniques and instrumentation for  derecting, recording. and analyzing these signals, progressed more swiftly than the art of suppressing them. Perhaps  the attack is more exciting than the defense-something more glamorous about finding a way to read one of these signals than going through the drudgery necessary to suppress that whacking great spike first seen in 1943. At any rate. when they turned over the next rock. they found the acoustic problem under it.

Phenomenon No. 5. Acoustics

We found that most acoustic emanations lire difficult to exploit if the microphonic device is outside of the room containing the source equipment; even a piece of paper inserted between, say, an offending keyboa.rd and a pick-up device, is usually enough to prevent sufficiently accurate recordings to permit exploitation. Shotgun microphones-the kind used to pick up a quarterback’s signals in a huddle-and large parabolic antennae are effective at hundreds of feet-if there is a direct shot at the equipment. The acoustic threat is, therefore. confined to those installations where the covert interceptor can get some kind of microphone-such as an ordinary telephone that has been bugged or left off the hook-in the same room with the information-processing device. We also discovered that, when the room is “sound-proofed” with ordinary acoustic tide, the job of exploitation is easier because the sound-proofing cuts down reflected and reverberating sound, providing clearer signals. A disturbing discovery was that ordinary microphones. probably planted to pick up conversations in a cryptocenter. could detect machine sounds with enough fidelity to permit exploitation. And such microphones were discovered in Prague. Budapest, Warsaw and, of course. Moscow.

***

From the time of these discoveries have passed more than 60 years, but the principles set forth therein apply today – if you work with classified information, keep in mind that when the information is encrypted, the encryption device is emitting electromagnetic signals that can to be interpreted back into the clear text. And we’re not talking only about encryption – actually, every device through which an electical (or electronic) signal passes, can emit information in the form of electromagnetic waves.

Few years ago I found rather simple diagrams of the type “do-it-yourself” for devices able capture the electromagnetic waves a CRT monitor emits and to relay the image from a distance more than 2 meters. (for example, you could hide in the room adjascent to the one you’re monitoring and see everyting on the screen of the person you’re monitoring, just by capturing the electromagnetic waves emitted from their equipment). And these were publicly available diagrams, of course, we do not talk about something secret or over complicated. Recently a Swiss research institute published a work proving very easy interception of signals emitted by each ordinary keyboard! For more info – http://lasecwww.epfl.ch/keyboard/. If you care about security in an organization dealing with extremely confidential information, I hope this article gave you one more way in which you could develop your defense, in order to decrease the ways your company could be compromised.

Имайки предвид многобройните критерии които се гледат по време на одит и сертифициране за ISO 27001 и подобни на него стандарти, много организации си поставят за цел да го придобият – отчасти заради имиджа и възможностите за бизнес които той отваря, отчасти заради усещането за постигната цел – защитена организация.

Подготовката за сертифициране преминава през пет паралелни процеса:

* Определяне и създаване на политика за ИТ сигурност
* Определяне и създаване на процедури за управление на ИТ сигурността
* Определяне на рискове и уязвимости – оценяване на риска за който е отговорно управлението на ИТ сигурността – създаване на документация
* Подход на компанията към управление на риска – Определят противодействия на откритите рискове – документиране на отговорности и отчетност
* Избор на цели и контроли за имплементиране – подготовка за сертификация

Целият процес е много тежък и скъп, но ако бизнесът ви зависи от него най-вероятно вече сте се сертифицирали или планирате да го направите.
Има компании в България които предлагат консултантски услуги по въвеждане на ISO 27001, техният опит е краткотраен и не много богат, но за сметка на това цените им понякога са много по-високи от тези на чуждестранни консултанти… избора е ваш.

Доколко обаче сертифицирането по международно признати стандарти е гарант за това че една организация е защитена? Ако погледнем зад океана, където процесите за защита на информация са възприети още преди десетилетия, можем да видим какви са са резултатите.
От една страна, една компания може да е сигурна че бизнес партньорите и имат работещи процеси по защита на информацията, с ясна отговорност и отчетност за всеки.

Бизнесът е сигурен в информацията която предава на държавните институции, защото в тях също действат правила за защита на информацията. Медицинските учреждения, държавата и частните компании знаят, че всяка медицинска информация трябва да се пази по определени стандарти, както и че ако тези стандарти не се спазват, могат да бъдат наложени много солидни глоби.

От друга страна, сме били свидетели на систематични, многобройни пробиви в сигурността както на големи корпорации, така и на държавни учреждения (пак взимам за пример САЩ) – въпреки всички тези процеси и контроли. Къде е причината?

Вероятно тя се крие в мотивацията за защита на информацията повече, отколкото в липса на контроли и процеси за защитата и. Тези, които се грижат за имплементиране на политики за сигурност, рядко знаят как дайстват чуждите разузнавания, недобросъвестните хакери и крадци на информация – получава се един затворен кръг в който специалистите по ИТ сигурност разработват все по-сложни политики, закупуват все по-сложно оборудване за все по-сложен софтуер, но въпреки това пробивите в сигурността не намаляват. Резултатът? Имплементиране на по-сложни политики и по-сложен софтуер за защита!!! Докога?

Мотивацията е тази, която трябва да се промени. Вместо да си поставяме за цел сертифициране, трябва да си поставим за цел реална защита от реални опасности. Само ако сме имали правилната мотивация, можем да имаме правилните резултати – а ако резултатите са налице, която и да е сертификация ще е резултат, а не цел, поне така би следвало да бъде.

Осъзнаването на слабостите и местата от които една ИТ инфраструктура може да бъде нападната, може да дойде само по един начин – при контролирана атака срещу тази инфраструктура. Това става или като се обособи вътрешен “tiger team”, или наемайки външен penetration testing екип. Защо penetration testing? Това е процесът в който някой ни атакува, без да се води от нашите правила. Следвайки пътя на най-слабо съпротивление, атакуващият много бързо открива слабите места.

При пробив в компютърна система, атакуващият не се спира само в един компютър или сървър. Стандартна практика е да се следва т.нар. Distributed Metastasis за да се проникне все по-дълбоко в останалите части от мрежата. Това означава, че в повечето случаи само за минути хакерът ще контролира по-голямата част от критичната ви ИТ инфраструктура и ще има достъп до конфиденциални данни. В този момент, вече сте загубили битката… но все още отговаряте на изискванията на одиторите! Или може да сте платили за евтино сканиране на сигурността и сте си осигурили негативна възвръщаемост на инвестицията (negative ROI).
Какви са загубите? Обикновено е невъзможно да се определи с точност сумата в резултат на единствен успешен пробив в сигурността (и нека не забравяме, че единствените пробиви в сигурността за които ще научите, са неуспешните пробиви в сигурността) – въпреки това, има някои области в които е лесно да се калкулират точно загубите:

* Часове работа и персонал за идентифициране на всяко компрометирано устройство
* Часове работа и персонал, нужни да се преинсталира и преконфигурира всяко устройство
* Часове работа и персонал, за да се провери сорс кода за неоторизирани промени
* Часове работа и персонал за мониторинг на мрежовия трафик за неоторизиран достъп или изтичаща информация
* Часове работа за обучение на клиенти
* Глоби
* Време в което части от ИТ инфраструктурата ще са недостъпни
* Цената на загубените клиенти
* Цената на загубената репутация

и т.н.
(загубите могат много лесно да надминат четвърт милион лева за мрежа от ~50 компютъра, в зависимост от дейността на компанията)

Когато повечето организации изграждат защитата си, това прилича на защита срещу … стереотипни, Холивудски атаки. Много рядко при дизайна на една защитна система, се мисли за нестандартни начини за преодоляване на тази защита. Един пример: при създаването на една ключалка, кой от нейните дизайнери мисли за преодоляването на нейната защита с помощта на кутийка от газирана напитка? Поставяйки камери за наблюдение, мислили ли сте за защита срещу инфрачервени и обикновени лазери насочени в камерата от недобронамерени лица? Това е и причината всички стандарти за сигурност да се провалят, когато бъдат атакувани от хора с нестандартно мислене. Още един пример: предполагам сте гледали спаринг между каратисти? Всяка атака има точно определен блок, и защитаващият се използва предварително заучени методи на защита срещу предварително заучени методи на атака. Няма ли да е смешно да наблюдаваме бой между сумист и каратист? Още един, малко по-свободен пример.. знаете ли кой ще победи, ако най-добрият каратист на света се изправи срещу Рамбо? Ами, Рамбо естествено – той е въоръжен! Аналогията със специалистите по сигурността и техните познания е ясна..

Ако наистина ви е грижа за ИТ сигурността, обучавайте служителите си в методи на атака срещу компютърни мрежи – просто няма ни най-малка логика в това да се довериш някой да защитава твоята компаниия, ако този човек никога не е преодолявал системи за сигурност. Академичните познания, сертификатите като CISSP – всички те би следвало да се придобиват след като човек е придобил познания за атакуване и преодоляване на защити, а не вместо. Именно поради тежкия синдром на “аз съм сертифициран, следователно знам” много компании постоянно страдат не само заради пробиви в сигурността, а и поради недостатъчно добре подготвени кадри.

Ако решите да имате собствен “tiger team” – погрижете участниците в него да не участват в почти нищо друго, освен постоянно атакуване на собствената си компания, постоянни атаки срещу виртуални мрежи изградени в отделена за тях лаборатория, постоянно запознаване с най-новите уязвимости и тяхното използване за преодоляване на защити. Атаката трябва да е непрекъсната, паралелна на тези които се случват отвън – не бива да позволявате на атакуващ отвън да изпревари вашия tiger team и да намери слабост в защитите ви пръв! Една грешка която допускат много организации, и да кажат на ИТ Администратора да се занимава и със сигурността. Те доверяват сигурността на жизненоважна информация за компанията на някой, който постоянно се занимава с проблеми като неработещи принтери, развалени мишки и забили сървъри! Не е ли абсурдно? Ако искате да сте защитени, погрижете се да имате човек или хора, които се занимават само с това, и с нищо друго. Не може чистачката да кара камиона и да вдига телефона, трябват ви чистачка, секретарка и професионален шофьор ако искате работата да бъде свършена добре.

Разбира се, има и друг вариант – да наемете penetration testing екип. Този вариант обаче има една много тънка подробност – повечето компании наемат екипа, той намира уязвимости, документира ги, препоръчва решение на проблемите… след което CSO-то просто си почива с мисълта че компанията вече е защитена… какво да кажем за уязвимостите, откривани в абсолютно всеки програмен продукт непрекъснато, дори в утвърдени, антични, проверени с времето мрежови протоколи като DNS? Някой беше казал… “Security is a state of mind” – немога да не се съглася.

Много внимавайте когато избирате екип за pentest. Някои псевдо-специалисти ви казват че ще проверят сигурността на компанията, а всъщност просто пускат един скенер за уеб уязвимости, един скенер от рода на Nessus (безплатен е, по-добре го пуснете сами и си спестете парите), пускат един portscan и ви дават 50 страници с резултати, плод на 20 минути реална работа – от които 10 минути са били за поставяне на собственото им лого вместо това на Nessus. След което ви дават баснословна фактура за своите безценни услуги, вие оставате с илюзията за сигурност а те – с илюзията че са свършили някаква работа…

При първоначални преговори за поемане на задачата, ги помолете да ви разкажат за методите които ще използват. Следете за social engineering, преодоляване на системи за физическа сигурност, събиране на информация подпомагаща атаката от нестандартни източници, писане на собствен exploit код, питайте ги някога откривали ли са 0-day уязвимости в софтуерен продукт (в много случаи, при липса на уязвимост в софтуера, е по-лесно да се намери такава собственоръчно, отколкото да се чака някой друг да го направи или да се търси пролука другаде). Това са някои от нещата които се използват от недобронамерени хакери и крадци на информация, най-основните, така да се каже – и ако екипа дошъл при вас не умее да ги ползва, може да им предложите да се захванат със земеделие, например… не защото това наистина ще ги накара да сменят професията си – но поне може да им помогне да сменят мотивите заради които се занимават с ИТ сигурност, а това ще им помогне да се грижат за клиентите си по-добре вбъдеще.

Агресивна сигурност – това е миналото на всяка успешна защита, настоящето, и единственото възможно бъдеще – защото пасивната защита винаги е водила до провал. Не бъдете сред губещите – защитавайте се агресивно!

Уязвимостта на модела е свързана повече със в спокойствието на хората, които го използват, отколкото със самия модел. Ако информацията която пазите е от значително значение за сигурността на компанията или за националната сигурност има начини да подобрите демилитаризираната зона

Едва ли има компания с повече от 100 служители, която да не използва DMZ като метод за защита. Демилитаризираната зона (DMZ) – това е зоната между две защитни стени, в която се намират сървъри за уеб, мейл, или application услуги, като чак след втората защитна стена се намират потребителите от вътрешната мрежа.

Няма нищо лошо в този модел – ако някой атакува външните сървъри, това ще го забави. Разбира се, никой няма да го прави освен ако няма 0-day (уязвимост която все още не е затворена от производителя на софтуера). Обичам да визуализирам това с крадец, опитващ се да влезе в банка биейки си главата в стената… Очевидно това е идеята на банката когато строи стените си – да се предпази от подобни крадци? Преценете сами.

Например, нека имаме една операционна система за сървърите в DMZ, или няколко. Тези сървъри се считат за особено критични, пачват се възможно най-често и биват конфигурирани за сигурност възможно най-усърдно. И ако въпреки всички мерки за сигурност, някой притежава непубличен exploit (това е заплаха, използваща някоя дупка в сигурността, произтичаща от неразкрита до момента уязвимост) за точно тази система – какъв е шансът след пробив на този DMZ съврър, вътрешните сървъри да са по-защитени, с по-нови версии на софтуера и следени по-отблизо (логове, и т.н.)? Не е много голям.

Какво става когато организацията има повече от 1000 служители, а всеки patch изисква да се спазва процедура по тестване в 3 различни обкръжения (test, pre-production и production)? Колко време отнема един такъв тест, дори за критична уязвимост за която току-що е излязла кръпка?

Ако някой проверява точно тези съвръри всеки ден и чака за такава уязвимост с месеци (а ако информацията към която се стреми е достатъчно ценна си струва да се проверява и с години), колко време ще му отнеме да разбере че сървърите все още не са пачнати и си чакат реда по процедура?

Следва да се запитаме, доколко ефективен е този модел за защита на мрежи. Лично моето мнение е, че имаме нужда или от подобряване на този модел, или от друг, когато информацията която пазим е от значително значение за сигурността на компанията а понякога и за националната сигурност. Намесвам термина „национална сигурност” не случайно – виждал съм провала на DMZ модела в чуждестранни агенции за сигурност и това е още едно доказателство за неефективността му.

Уязвимостта на модела

Тя е свързана повече със в спокойствието на хората, които го използват, отколкото със самия модел. Ако нямате друг избор и трябва да продължите да разчитате на демилитаризираната зона, има начини да я подобрите.

На първо място, преборвайки се със спокойствието и събуждайки се от сладък сън, получаваме така необходимата мотивация за действие. Действие в следните насоки:

1. Защита на DMZ съврърите с презумцията за това, че рано или късно ще бъдат компрометирани.

2. Разширяване функционалността на двете защитни стени отделящи DMZ от Интернет и от вътрешната мрежа, чрез добавяне на IPS/IDS системи следящи за наличието на зловредни пакети в трафика между двете защитни стени.

3. Защита на всеки вътрешен сървър и потребителски компютър с разбирането че това е т.нар. Internet-facing ресурс, а не вътрешен неуязвим терминал!

Ще се спра по-детайлно върху всяка от горните точки.

Защита на DMZ съврърите

Като първа точка в този списък, и не задължително първа на практика, приемаме че сървърите в DMZ са компрометирани – какви са следващите ни стъпки? Ако няма изградена процедура за такива случаи, имаме много сериозен проблем. Първата стъпка винаги ще е да сме сигурни че тези сървъри са „чисти” – за целта трябва да сме сигурни кога точно се е случил пробива, иначе не можем да възстановим от backup. Инсталация на чисто и закърпване с най-новите кръпки също не е гарант за успех ако имаме предвид вече споменатите уязвимости в техния нулев ден (0-day). Именно затова, за да сме сигурни в целостта на най-важните си данни, винаги, по всяко време приемаме тези сървъри за пробити – така ще изградим независими криптирани канали за данни независещи от сигурността на internet-facing сървърите.

Разширяване функционалността на защитните стени

Точка 2 от списъка приема, че първата е вярна и имаме пробив в сигурността – той трябва да бъде незабавно засечен и изолиран, при възможност ще затворим дупката от която е потекла информация и в някои случаи ще предприемем офанзивни действия – но това не е част от тази статия.

IDS/IPS системи трябва да имаме както на входа и изхода от DMZ, така и във вътрешната мрежа. Тоест имаме следната схема: Интернет – Firewall (с IDS/IPS) – DMZ – Firewall (с IDS/IPS) – вътрешна мрежа (с IDS/IPS).

Защита на всеки вътрешен сървър и потребителски компютър

Точка 3 е най-интересна, и тя е свързана с друг модел който искам да ви предложа. Първо обаче, приели сме че не можем да използваме друг модел и оставаме с DMZ – нека го защитим възможно най-добре. По подразбиране, използвайки DMZ вътрешната мрежа е защитена от външни атаки. Не! Това е най-опасната мисъл, която може да мине през главата на някой занимаващ се сериозно с ИТ сигурност. При защита на вътрешната мрежа, добра идея е да се използва отделна IDS/IPS система – още преди да се заемем с укрепване защитата на всеки хост в мрежата, приемайки по подразбиране, че той е външна част от мрежата достъпна от Интернет, а не вътрешна защитена система.

Но…

Все още имам усещането, че заглавието на статията е недоказано, затова преминавам и към същността и – защо DMZ e мит? Крадецът, който споменах в началото, освен ако не е току-що избягал от специализирано психиатрично заведение, едва ли ще се опита да влезе през стената на банката блъскайки главата си в нея. Изхождайки от тази аналогия, много малко хора биха рискували да бъдат засечени, атакувайки вашата DMZ зона директно.

Хората занимаващи се професионално с пробиви в ИТ сигурността, не поставят на първо място в списъка от своите цели сървърите в DMZ средата.

На първо място във всеки обир е бил винаги човешкият фактор – в нашия случай, това е редовият компютърен потребител във вътрешната мрежа. Той, браузвайки какви ли не странички всеки ден, представлява един невероятно удобен тунел преминаващ през всички защитни стени от DMZ и даващ директен достъп на атакуващия до вътрешната мрежа… погазвайки безцеремонно всичките ни досегашни многомесечни и многохилядни усилия да защитим DMZ модела.

Решението?

Няма такова. Можем обаче да затрудним атакуващите толкова много, че да нямат друг избор освен да си изберат друга цел. Това е така, в случай че пазената от нас информация не е жизненоважна за тях разбира се. И единственият начин да им затрудним живота толкова много, е да защитим всяка точка от мрежата така, все едно е Internet-facing ресурс незащитен от никакви защитни стени или други системи за сигурност. Това на практика изисква изолация на сървърите които досега са били в DMZ и преместването им в напълно независима мрежа, с различна IP адресация, препоръчително намиращи се в друга сграда или друг хостинг център.

Също така всеки потребител имащ достъп до Интернет, трябва да бъде смятан за потенциална жертва на атака и потенциална точка за достъп до всички останали ресурси в мрежата, като информацията на неговия личен компютър вече може да бъде смятана за публично достъпна, ако имаме налице пробив в сигурността. Не мога да подчертая достатъчно, колко важно е да защитим редовия компютър имащ достъп до Интерент – както и колко е важно да научим този потребител как да се държи в мрежата – защото това в почти всички случаи е най-слабата връзка от веригата, и ние можем да я подсилим, ако приложим достатъчно усилия.

Задължителните мерки

Най-чувствителните данни независимо от тяхното местоположение (на сървър или на диска на Изпълнителния Директор) трябва да бъдат криптирани. IDS/IPS системи следящи за подозрителен трафик най-вече насочен навън, но и между отделните точки във вътрешната мрежа са абсолютно задължителни. Не на последно място, от момента на излизане на дадена кръпка за сигурността, на която и да е операционна система, за която и да е точка в мрежата, до нейното инсталиране в продукционна среда не трябва да минават повече от няколко часа. Ако е абсолютно необходимо това време да се удължи, приемаме че сървърите ни са под атака и ги следим с три пъти по-голямо усърдие, докато кръпката бъде приложена.

И така, от поне 2 години средният Интернет потребител в интранет мрежата вече е точката за достъп отвън навътре – като изключим некоректните служители изнасящи информация по свое желание. Откакто съществува XSS (Cross Site Scripting) всеки посетил заразен сайт, може неволно да извърши portscan на вътрешната мрежа само чрез браузъра си. Ако служител посети сайт уязвим на XSS, сигурността на клиентския компютър няма абсолютно никакво значение – JavaScript енджина във всеки браузър започва да изпълнява каквото му се каже, и това е съвсем “в реда на нещата”.

Ако вашето уеб приложение подлежи на SQL injection, не става въпрос само за това, че данните от базата изтичат – имайки достъп до SQL сървъра, само чрез SQL команди е възможно да се върши какво ли не, като използваме отново баналния portscan. Затова DMZ сървърите не трябва да са част от корпоративната мрежа, а да бъдат напълно изолирани от нея, доколкото е възможно.

Колко са начините за преодоляване на защитата в една компания?

Замисляли ли сте се, че можете да бъдете обект на такава атака и как да се защитите от нея? За илюстрация, ще ви дам един пример.

Пред офиса ви някой изпуска една USB флашка, пълна с игри и интересни, безплатни програми, като нови версии на браузъри, разни интересни документи, истории.. някои от документите, и някои от приложенията, са заразени с вирус. Вирусът е кодиран специално за вас – и тъй като няма кой да прати sample на антивирусната компания, за тях този вирус не съществува. Вирусът не прави кой знае какво – дори няма нужда да заразява нищо на клиенския компютър – дори няма нужда да прави промени в системните файлове. Той просто достъпва даден IP адрес някъде в Интернет, и създава криптиран тунел за данни. Прави го на порт 443 или дори 80 – всички позволяват достъп до тези портове отвътре навън… Както обичам да казвам, GAME OVER. Единствения начин за борба с такива атаки, е позволяване на достъп само до определени IP адреси и уеб ресурси, предварително одобрени от отдела за ИТ сигурност.

Знам, че цензурата е много неприятна за всички нас – и на мен би ми било много неприятно ако не ми се дава достъп до дори едно кътче в Интернет пространството – но ако обясните на служителите си защо им давате достъп само до доказани със сигурността си уеб ресурси, съм сигурен че по-голямата част от тях ще ви разберат.

Също така, не е съвсем невъзможно да предоставите пълен Интернет достъп от изолирана среда, като например кухнята, кафето, или пушилнята – сложете няколко „bastion” терминала, напълно изолирани от вътрешната мрежа за да могат хората в обедната си почивка или в почивката за пушене да браузват където си искат – и вълкът цял, и агнето сито… Дори може да използвате VNC достъп до виртуални изолирани машини – въображението е единственият лимит, когато защитавате мрежата си. А за всички останали уеб ресурси – непознати сайтове, страници хоствани от неизвестно кой, неизвестно защо – достъпът би трябвало да е забранен. По обяснени на всички причини, и защото няма логична бизнес причина хората да се ровят къде ли не, в работно време.

Освен всичко останало, блокиране на връзки към непознати http и IP адреси, ще ви предпази от горния сценарий с вируси разпространявани по „алтернативни” методи – дори компютър да бъде заразен чрез намерена на улицата флаш памет, вирусът няма да може да се свърже със създателя си. Светът е спасен отново.

В заключение

DMZ беше добра за времето си –преди около 10 години да речем – но от доста време е тотално недостатъчна и измамно успокояваща защита – борбата се премести на клиентския компютър, и ако ние не я водим там, вече губим битката. Крайно време е за промяна на ИТ политиките за сигурност и реални действия, за да можем да сме адекватен противник във войната за информация.

В предишна статия – за “Social engineering”, споменах за начини по които служтилите могат да бъдат атакувани и че е наше основно задължение да им обясним много подробно защо трябва да се спазват определени политики за сигурност. Една секретарка много по-лесно ще запомни правилата за поведение в мрежата ако и се покаже компрометиране на компютър на живо или на видео, отколкото ако и се даде да прочете 100-страничната политика за сигурност на компанията. (едно такова видео можете да видите на http://www.offensive-security.com/movies/ani/ani.html) Вместо правила от типа “недей”, опитайте да изработите такива от типа “недей, защото”. Знам че е по-лесно просто да въведете правилата за ISO сертификация по сигурността, но тази допълнителна стъпка ще е страхотна инвестиция в собствените ви служители и тяхното поведение.

Освен явната нужда от едно по-активно и различно обучение, ясно се очертава (поне от това което аз съм видял) нуждата и от различен подход при самото имплементиране на политиките за сигурност.

Знам за случаи (от много близък опит) когато служител нарушава политики за сигурност и причинява загуби, само защото не му е било обяснено на човешки език какви негови действия до какви последствия за компанията могат да доведат. Да, по-лесно е просто да му дадем принтираната политика, но не е ефективно. Един разговор на прекия началник с всеки новопостъпил не само ще укрепи доверието и уважението на служителя в началството, но и ще му даде допълнителен стимул да пази фирмените активи. Това би предотвратило огромен процент от инциденти свързани със сигурността и определено си заслужава “загубеното” време.

Друг много добър подход, особено от страна на ИТ мениджмънта, е да се покаже много ясно че за никой няма изключения – нито за висшия мениджмънт, нито за обикновения мрежови администратор – ако има правило да се работи основно с Guest акаунт, не може да има недосегаеми за правилата които постоянно работят като локални администратори. Няма човек който да има нужда да инсталира софтуер толкова често на компютъра си, че да не може да използва Run As, особено след като има програми които улесняват тази сложна последователност от действия.

Ако за всички правилото е “Никакви торенти, порнография, Skype и гледане на филми”, но въпреки всичко хората въвели това правило го нарушават, те самите трябва да поемат отговорност за действията си. Например, да подпишат допълнение под договора си за работа, че ако нарушат политиката за сигурност на компанията и от това последват загуби на информация или други щети, те ще поемат цялата отговорност, включително и финансова. Защото ако някой реши да атакува дадена компания и знае, че всички секретарки работят с Guest акаунт и не могат да правят промени по системата си, естествено няма да праща вируси на тях, а на хората които имат пълен достъп до мрежата! Администраторите би трябвало да знаят по-добре и да не допускат такива пробиви, но практиката показва точно обратното. Ако има дупка в сигурността, никой няма да се опитва да си бие главата в стената, когато може просто да се възползва от предоставената му възможност – широко отворената врата на момчето от ИТ отдела… Просто не мога да поставя достатъчно ударение върху това: администраторите и хората с власт са първите атакувани, винаги! Пазете системите до които имат достъп!
Прекалено много станаха сайтовете възползващи се в уязвимости във всички популярни браузъри пощенски клиенти, за да продължим да си позволяваме лукса на изключенията.

Обикновено системите за защита от спам блокират мейли, съдържащи приложения или архиви, както и връзки към сайтове за виагра и тн. Всеки може да прецени дали има нужда и от допълнителна защита – софтуер следящ за IP адреси зад хиперлинкове в HTML, както и за това откъде идва писмото – т.нар. gray или blacklisting.
Освен защитата на изходяща и входяща поща, (дано не прозвучи като реклама) – искрено бих препоръчал софтуер от рода на WebSense – колкото и да търся, не намерих по-добра алтернатива на уеб прокси зад което стои сериозна организация, денонощно обновяваща базите си данни с опасни сайтове. Освен това, такава система щи ви позволи да контролирате навиците на браузване в компанията – например, никокой няма да може да чете вицове повече от 30 минути на ден, да не говорим за подробни репорти за това кой как се държи в мрежата.
Като алтернатива, повечето компании за които знам ползват SQUID – безплатно решение с отворен код, което обаче трябва ръчно да се настройва за всеки сайт който не искате потребителите ви да посещават. Отново – никой не би трябвало да има валидна причина да достъпва IP адрес през http протокол без този адрес да е асоцииран с домейн – затова, директно блокирайте директен достъп до IP адреси през браузър (за които не е поискан резолвинг) чрез regex настройка на squid.

Aко аз избирах политика за сигурност бих препоръчал следното: всеки URL който потребител въведе и за който няма запис в базата от позволени сайтове, се изпраща за одобрение на администратора на уеб проксито – и само след това този адрес ще може да бъде достъпен от вътрешната мрежа. Изглежда сложно, но не е – изисква 1-2 седмици работа, а резултата от гледна точка на сигурността и продуктивността на служителите, е просто красив! Същото може да се отнесе и до защитната стена – в повечето организации, тя позволява всички връзки отвътре навън, но забранява всичко отвън навътре, с малки изключения (каквито не би трябвало да има изобщо, ако се използва port knocking и други подобни техники). По-добро решение е да се забраняват и всички връзки отвътре навън, като се позволяват само изключения – говорим за абсолютно всички протоколи във всеки OSI слой. Един обикновен PING навън може да изнася по 64 килобайта данни в секунда през covert channel… затова, само предварително одобрени изключения само за одобрени адреси.

Всеки може да донесе USB устройство и да изнесе ценни данни от компанията – освен за служители за които е абсолютно необходимо, това действие може да се забрани с Active Directory политика, както и със специализиран софтуер – първият вариант е широко описан в Интернет, ще трябва просто да създадете собствени политики в AD които по default не са налични.
Тези които трябва да използват USB устройства за запис, имат нужда от инструктаж за използване на програми за криптиране, като безплатната TrueCrypt. Ясно е, че ако някой проникне през системите за физически контрол чрез tailgating и не бъде спрян от служител играта приключва, но това все пак са само 1% от всички атаки – останалите 99% от случаите на загуба и компрометиране на информация са причинени от служители.

За да предотвратите случаи на tailgating, инструктирайте служителите да не пропускат никой през системите за контрол (такива с RFID карти и подобни), независимо дали човекът носи табла пълна с кафета или кашони заемащи ръцете му – ако някой иска да влезе и ръцете му за заети, всеки който му отвори вратата е длъжен да го изпрати до мястото за където се е запътил и да му поиска пропуск. Ако няма пропуск, задължително се екскортира до отдела по сигурността – не до охраната. Защо? Защото охраната просто ще го пусне, а вие не искате да пропуснете възможността да попитате нарушителя кой го праща, нали така? Всеки отворил вратата пред човек без пропуск, или пропуснал го със своя пропуск, или пропуснал го пред/зад себе си – би трябвало да бъде глобен, а всеки който поиска легитимация при опит за влизане без пропуск трябва да получи награда за това. След първите 2-3 тренировъчни опита и двама-трима наградени и наказани, цялата организация ще осъзнае важността на системите за физическа сигурност. Този 1% инциденти свързани с пробив на сигурността отвън, има потенциала да донесе загуби колкото и останалите 99% инциденти свързани с вътрешни хора. Още едно допълнение: този 1% за който говоря, са доказани пробиви в сигурността. Какво е доказан пробив? Проваленият пробив. Колко са недоказаните? Никой не знае, просто същността на информацията е такава, че колкото и копия да направиш, оригиналът остава непокътнат. Затова, физическите пробиви в сигурността, както и случаите в които служител чрез неправилно поведение довежда до компрометиране на информация (отваряне на линк със заразен сайт, атачмънт, или нелоялно поведение) трябва да се сведат до абсолютен минимум. Отново, ако някой достъпи вътрешната мрежа чрез вирус или експлоатира електронните системи за сигурност и проникне в мрежата през Интернет, той все пак може да бъде спрян чрез грамотно изготвени политики и настройки на всяко устройство във вътрешната мрежа. Но ако някой получи физически достъп до мрежата – GAME OVER.

Днес вече не е задължително атакуващия да се рови в нета за да вади парче по парче идентифицираща информация. Социални мрежи като MySpace, Facebook, LinkedIn (Oсобено LinkedIn!), сайтове за запознанства – могат за секунди да бъдат преровени чрез автоматизирани програми. Ако сте гледали филми в които служител на ФБР въвежда името на човек, и на екрана се появява цяла мрежа от хора свързани с него, неговия адрес, телефон, и хоби – такива програми вече са притежание на хората които са на лов за информация – изглеждат много красиво и смайват с функционалността си, повярвайте ми. Дори и те са безсилни обаче срещу компании и хора, които са внимателни за това което публикуват в публичното пространство.
Служителите ви трябва да знаят, че всеки коментар в публичното или интернет пространство без знанието на работодателя може да причини изтичане на поверителна информация. И не е толкова важно съдържанието на коментара а това, че потенциален атакуващ може да използва тези дори малки количества информация за да се представи за вътрешен човек и да получи още повече такава.
Използването на служебен мейл за цели различни от служебните трябва не само да се забрани но и да се контролира. Ако някой редовно се регистрира онлайн за какво ли не, ползвайки служебния си адрес, рано или късно адресът ще попадне не където трябва. И тук опасността не идва толкова от спам, колкото от таргетирани атаки – ако аз знам че служителят Иван Петров има мейл ivan_petrov@company.com, и че той е главният счетоводител, няма да му пращам спам за виагра, а ще му пратя “методи за спестяване на време при извършване на финансов анализ” – които естествено, ще съдържат в себе си и малка изненада… И естествено информацията съдържаща се в неговия компютър ще ми е много по-полезна от тази намираща се в компютъра на неизвестен служител от компанията. Много по-трудно е да го направя, ако не мога да извлека от интернет връзката между името му, позицията му и неговата поща.
Мислите, че това не е толкова вероятно да се случи на вас? Помислете пак. Веднъж при оглед на компютър на счетоводител, открих 17! вируса от типа “троянски кон”, и това при положение че имаше инсталирана антивирусна програма. Проблемът не беше технически – не беше заради неработеща антивирусна – а в това, че счетоводителя не знаеше как да се държи в интернет.
При едно проучване направено много наскоро се установи, че до 15 минути! след презентация на продукт, започват таргетирани атаки срещу точно определени хора в компанията, съдържащи в себе си името на продукта а понякога и слайдове от тази презентация! Естествено, не става въпрос за български компании, но изводите са очевадни.

Phone mining

Социалните инженери* използват желанието на човек да помогне на колега в нужда. Един примерен сценарий:
Банка. Обаждане на телефон, получен чрез социален инженеринг от друго място, или чрез проучване на уеб коментари или дори на официалния сайт на компанията. Този телефонен номер би трябвало да се знае само от служители, затова телефонния оператор вдига слушалката вече с доверие към обаждащия се.
“Здравей, тук в клон Х ни падна отново връзката с основния сървър, и не знам вече какво да правя, аз съм нов(a) а тук има много важен клиент. Казва че е клиент на банката, но аз няма как да проверя – ще ти дам неговото ЕГН, и трите му имена, ще провериш ли в системата за неговия IBAN и наличност по сметка и да ми ги продиктуваш, за да сравним с това което той ми даде?”
За съжаление не съм банков служител и не мога да използвам “банкови” термини, но се надявам да сте уловили есенцията на това което се случва в горния диалог.
Обаждащия се не се идентифицира. Дори да е научил име на служител от съответния клон и да се представя за него, трябва да има изградени начини за автентификация с информация, която не може да се получи отвън – добра практика за това е всеки служител да има уникален идентификационен номер който може да се види в директория на служителите – но никъде извън компанията. Когато се обади някой и се представя за служител, и иска поверителна информация, винаги ще може да го попитате “А какъв е твоят id номер?” – ако каже ще се обадя по-късно, е време да проверите автентичността на обадилия се. Ако сте записали името му, намерете служебния му телефон от директния му ръководител или от служебна директория и му позвънете – ако потвърди че той се е обаждал, дайте му нужната информация. Ако каже че не знае за какво става въпрос, имаме инцидент и служителите по сигурността трябва незабавно да бъдат информирани, че някой опитва да атакува компанията. Защото ако някой се опитва да получи конфиденциална информация по телефона, едва ли това е единствената област в която ще търси пролуки.
Друг начин да предотвратим изтичане на информация по телефона е като изградим изцяло вътрешна телефонна мрежа, която не е достъпна отвън. Но отново, служителите които могат да получат подобни обаждания, задължително трябва да преминат през инструктаж за това какво да очакват, как да идентифицират обаждащия се, каква информация могат да дават по телефона и каква – не, дори ако се обажда прекият им ръководител. Много често социалните инженери използват именно страха от висшестоящ когато се обаждат – много е трудно да откажеш на някой от който зависи заплатата ти, и те го знаят.
Понякога атакуващите се представят за служители от ИТ отдела, които тестват нещо и искат от нищо неподозиращата секретарка да щракне на тестовия файл който току-що са и изпратили.. всеки служител трябва да е наясно с тази опасност – по-долу ще намерите примери как да се предотврати.

Стъпки за действие:
Като цяло, начините за компрометиране на потребителски компютър не са много – или чрез отваряне на линк към файл в интернет, или чрез отваряне на уеб сайт който съдържа в себе си изпълним код (Java, gifar (Java в Gif файл), javascript, exploit in client OS), или чрез отваряне на атачмънт. Атачмънтът също може да не е изпълним файл а просто картинка съдържаща изпълним код (като популярния ani еxploit, който зарежда код само чрез показване на ani mouse cursor) – затова, служителят трябва да е информиран кои негови действия могат да доведат до компрометиране на неговия компютър. Ако знае кое е опасно, той няма да изпълни дори молбата на мним ИТ специалист да отвори атачмънт или да посети даден уеб адрес – ще знае, че това е опасно и ще поиска ИТ специалиста да измисли друг начин да тества системите си.
Трябва да внимават за линкове имитиращи популярни уеб ресурси – като http://www.dirr.bg, или http://89.119.22.35/index.html – линкове съдържащи IP адреси, много много рядко са легитимни. Темата за порнографията е неудобна, но трябва да бъде спомената във фирмените обучения. Информирайте хората си, че в огромна част от сайтовете съдържащи порнографски или еротични материали, има вируси – не само че преглеждането им би трябвало да е забранено (и физически невъзможно) във всяка компания от етични съображения, но и от съображения за сигурност!
Ако получат мейл който съдържа брандинга на компанията като лого и фирмени цветове, който ги приканва да попълнят анкета – много е вероятно един от въпросите да е “Попълнете потребителското си име и парола за да потвърдите идентичността си” – ясно е какво се случва тогава, нали? Нека такива мейли не ги подлъгват – единственото място където който и да е служител трябва да въвежда паролата си са фирмените уеб ресурси, служебния компютър, и служебните приложения които ползва. Никога, при никакви обстоятелства никой не трябва да дава паролата си на никого!

Обяснявайте на служителите чрез месечни бюлетини и първоначално обучение на новопостъпили, че всичко което правят онлайн може да бъде свързано с компанията и да бъде използвано срещу тях и срещу компанията. Че те ще бъдат държани отговорни, ако са били причина за изтичане на класифицирана информация чрез необмислено държание в интернет. Обяснете им че конфиденциална информация е не само финансовото състояние на компанията, но също имена на служители, вътрешни телефонни номера, и-мейл адреси и тн. Изрично трябва да се забрани препращане на съобщения от типа “Изпрати на всичките си приятели това писмо, което ще помогне на бедното дете” и подобните му – и да се обясни, че по подобен начин се събират и-мейл адреси на всички които са получили и изпратили писмото, и след това тези адреси се използват за изпращане на спам и таргетирани атаки. Те трябва да знаят че информацията с която работят всеки ден, е обект на търсене от външни лица постоянно, и да са постоянно нащрек за хора които се опитват да я получат без да са оторизирани.
Много ясно им обяснете защо не трябва да използват истинското си име и служебния си и-мейл адрес при регистрация в сайтове и форуми – никой не гарантира че сайта или форума утре няма да бъдат компрометирани, и регистрационната информация от тях – продадена и препродадена на десетки места. И повече от естествено е да знаят, че ако такъв форум бъде атакуван техните пароли ще бъдат получени от трети лица – а ако използват една и съща парола за личната си поща, служебната поща, служебния компютър и пин на банковата си карта – стоят на много, много тънък лед. Вие също.

Няма кой друг да го направи освен вас, техните ръководители – дори да ви се струва че да обясните на секретарката да внимава каква парола използва за регистрация в сайта за запознанства не е ваша работа, ако не го направите – вие ще сте отговорни за евентуален пробив на нейния служебен и-мейл, чрез използване на същата парола…

Ключови хора, които могат да станат жертви на таргетирана атака – а това са ИТ персонала, икономистите, секретарките на ръководители, дори изпълнителни директори – трябва да са наясно колко интересни са за атакуващите заради позициите си. Трябва да знаят, че докато са на служебния си компютър не трябва да отварят линкове и прикачени файлове пратени в чат или и-мейл – дори да са сигурни, че става въпрос за безобидно видео или виц. Обяснете им защо (този линк или прикачен файл могат да съдържат в себе си написан лично за тях вирус – и в такъв случай антивирусната програма няма да помогне. Ако ще посещават сайтове, нека са само известни със сигурността си и популярни уеб ресурси – всички знаем че хората браузват, но нека поне го правят отговорно.
Служителите в ИТ отдела са особено уязвими заради самоувереността си и нерядко те стават най-лесната жертва за атакуващия. Правилата за всички останали, трябва да важат и за тях!

Презумпцията “невинен до доказване на противното” не важи когато пазим информацията. Човека който се обажда по телефона и иска от нас да нарушим правилата защото е спешно и светът ще рухне ако не го направим, трябва винаги да получава сериозна съпротива.

*Social engineer – човек владеещ майсторски умения в манипулиране на хора

 Когато нелоялната конкуренция не спи, а търговията с информация е в разцвета си, е време да разберем с кого си имаме работа и да започнем да взимаме ответни мерки. Не, не с техните методи, разбира се – и обучението на персонала е добро, много добро начало.

Някога и аз си представях, че ако една компания похарчи хиляди, десетки хиляди и понякога повече за оборудване от типа на защитни стени, системи за контрол на достъпа и други подобни продукти, данните стават все по-защитени и по-защитени. Все пак, не може да няма логика в това нали? Не може всички тези системи да не добавят добавената стойност към сигурността, каквато обещават? Разбира се, че го правят. Когато построиш защитна, дори огнена стена 2 метра висока и 2 метра широка в полето, и някой се блъска в нея, опитвайки се да мине от другата страна, той в никакъв случай няма да успее!

Тогава ние сме… защитени? Ще се опитам да разкажа една история – тази, която се случва всеки ден, на която съм бил свидетел нееднократно, и от която бих искал да предпазя хората които я прочетат.

Имало едно време един изпълнителен директор. Той много ценял информацията с която работи компанията му и я поверил в доверените ръце на най-добрите ИТ специалисти, които успял да намери. Те от своя страна намерили най-добрите решения за сигурност на пазара, купили ги, прекарали безброй безсънни нощи настройвайки всичко до най-малка подробност – до момента в който могли да кажат “Готово! Който и да се опита да ни атакува отвън – ще се провали!”. Заслужили почивката си, те се насладили на постигнатото и се заели с ежедневни задължения. Бизнесът вървял, информацията се трупала в информационната крепост на компанията, от време на време някой проверявал за дупки в стените, за ръждясали ключалки, закърпвал евентуалните дупки и продължавал напред.

Хората в ИТ отдела идвали и си отивали, но информацията стоява непокътната. Колкото пъти проверявали дали не е изчезнала, тя си била там! Няма по-хубаво нещо от това да се чувстваш сигурен.

Докато един ден, 100 от 300-те служители не получили интересен мейл в пощата си. Не се споменавало за вълшебни лекарства или нов начин за забогатяване, не! Ставало въпрос за най-елементарния случай “Помогни на дете! Препрати писмото на приятел!”. Мейлът съдържал и линк, за повече информация по въпроса. Линкът не водел до опасни сайтове, не карал хората да свалят нищо от интернет, а само да го последват – нима в това има нещо лошо? И кой не иска да помогне на горкото дете? Я да видим какво повече можем да прочетем… Clickety-Click!

Странно. Браузърът зарежда сайта, и се затваря от само себе си. Е, какво пък – задачите са много, продължаваме по план! Някой друг ще помогне на детето.

Какво се случи междувременно? В мейла нямаше вирус, затова корпоративната антивирусна програма не ни алармира. Той не съдържаше атачмънти, нито лоши думички, нито линкове към вирус дори! В сайта който някои посетиха, също нямаше нищо особено, което да алармира защитните стени… Защо се затвори прозореца на браузъра и защо това трябва да ни притесни?

Всъщност, ето какво се случи.

Посещавайки сайта, браузърът зарежда зловреден код – който дори няма нужда да е под формата на файл. Може да се съдържа в икона, скрипт, графика, анимация – няма значение формата, важен е фактът, че компютърът е изпълнил команда от някой, който не го прави с благотворителна цел! В повечето случаи, тази команда инструктира жертвата си да зареди още и още зловреден код, който много бързо и невидимо инфектира компютъра до степен в която атакуващият вече има пълен контрол над информацията в него, и в много случаи до информацията в цялата компания, след много много кратко време.

Защо не ни защитиха защитните стени за хиляди и десетки хиляди евро? Много просто. Де факто, не ни атакува никой отвън. Атакуваха ни собствените ни, желаещи да помогнат на бедното дете от мейла, служители! Няма почти никаква разлика между това, дали някой ще изпрати информацията собственоръчно до “атакуващия”, и това да му се даде пълен достъп до мрежата така, че да си я вземе сам. Резултатът е един и същ.

А какво се случва с информацията? Тя си седи непокътната. Не е изтрита, не е променена, фирмата все още разполага с нея… само че, не само *тази* фирма.

Много жалко, че когато ни продават продукт за защита от атаки, не ни разказват такива истории. Знам, че е много неприятно да осъзнаваме колко крехка е всъщност сигурността на информацията – но това е единственият начин да пожелаем някаква промяна. Промяна, която ще затрудни до много голяма степен всеки пожелал да открадне каквато и да е информация от компанията!

Какво ни трябва? Още десетки хиляди евро за нови продукти? Не. Просто трябва да разкажем историята на подчинените си. Да им обясним, до каква степен успеха на бизнеса и неговата цялостност се крепят на всеки, от секретарката до изпълнителния директор. Хубаво е да имаме и системите за сигурност, и перфектно обучения ИТ персонал, но е добре и да обучим всеки в компанията да цени информацията с която работи, и да владее елементарни правила на поведение в мрежата. Така да се каже, 10-те заповеди на информационнаа сигурност!

1. Почитай Информацията, защото чрез нея бизнесът расте и ти дава работа.
2. Не прави неоторизирани копия на информацията, и не ги изнасяй там където няма да е защитена!
3. Не споменавай напразно Информацията пред хора които не трябва да я знаят
4. Давай си почивка отвреме навреме, но нека това не застрашава Информацията, не кликвай където не трябва по време на почивката си!
5. Почитай Шефа и фирмената информация, за да работиш дълго във фирмата и да просперираш
6. Не трий и не губи ценна информация без причина!
7. Не продавай информацията на други хора!
8. Не кради информация!
9. Не изопачавай информацията!
10.Не пожелавай информацията на фирмата за себе си!

Обучението на персонала – това е само началото. Но е много добро начало, което, ако е поставено добре, служи за много здрава основа на информационната крепост във всяка компания. Пожалавам успех на всички, започнали да я градят!