Оглавление
1. Введение
2. Техническое задание
3. Модель нарушителя
4. Анализ защищенности информационных ресурсов
4.1 Пассивный сбор сведений
4.2 Активный сбор сведений
4.3 Анализ уязвимостей сетевых служб
4.4 Запуск реверсивной троянской программы
5. Выводы
6. Рекомендации
Тест на проникновение в информационную систему из глобальной сети Интернет является эффективным способом, который позволяет оценить защищенность информационной системы и обнаружить не только отдельные уязвимости, но и проверить надежность существующих механизмов защиты в целом. Тест на проникновение максимально приближен к реальности и позволяет аудиторам смоделировать большую часть угроз информационной безопасности, воздействующих на информационную систему.
В данном экспертном заключении приводятся результаты теста на проникновение в информационную систему ОАО «Алемнефтегаз», выполненного специалистами компании Digital Security.
Согласно Техническому заданию по проведению теста на проникновение в информационную систему ОАО «Алемнефтегаз» (далее – Заказчика), специалистам компании Digital Security были предоставлены следующие данные об информационной системе:
-
Перечень IP-адресов хостов, образующих внешний периметр информационной системы Заказчика (подсеть 168.192.200.0/28).
-
Перечень адресов корпоративной электронной почты в домене alemneftegaz.ru, представляющий собой репрезентативную выборку по сотрудникам из различных структурных подразделений.
Согласно Техническому заданию по проведению теста на проникновение в информационную систему Заказчика, применялась следующая методика, позволяющая наиболее полно смоделировать действия потенциального нарушителя:
-
Пассивный сбор сведений об информационной системе Заказчика из открытых источников.
-
Активный сбор сведений об информационной системе Заказчика (подключение к хостам внешнего периметра).
-
Проверка возможности проникновения в информационную систему Заказчика при помощи использования уязвимостей сетевых служб, запущенных на хостах внешнего периметра.
-
Проверка возможности проникновения в информационную систему Заказчика при помощи реверсивной троянской программы.
Согласно Техническому заданию, о ходе выполнения работ по тесту на проникновение в информационную систему Заказчика регулярно сообщалось представителям отдела информационной безопасности Заказчика. Сотрудникам отдела информационных технологий, ответственным за администрирование информационной системы, не было сообщено о факте выполнения таких работ.
В качестве потенциального нарушителя информационной безопасности ОАО «Алемнефтегаз» рассматривается лицо или группа лиц, состоящих или не состоящих в сговоре, которые в результате умышленных или неумышленных действий могут реализовать разнообразные угрозы информационной безопасности, направленные на информационные ресурсы и нанести моральный и/или материальный ущерб интересам ОАО «Алемнефтегаз».
В качестве угроз информационной безопасности рассматриваются базовые угрозы нарушения конфиденциальности и целостности информации, а также угроза отказа в обслуживании инфраструктуры информационной системы.
Сводная характеристика вероятного нарушителя приведена в таблице 3.1.
3.1. Характеристика вероятного нарушителя
Классификация |
Характеристика |
По мотиву нарушения информационной системы |
Нарушение угрозы целостности, конфиденциальности, доступности в корыстных или иных целях |
По уровню информированности и квалификации нарушителя |
Нарушитель обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем |
Нарушитель обладает достаточными знаниями для сбора информации, применения известных эксплоитов и написания собственного программного обеспечения для осуществления атаки |
Нарушитель не является авторизованным пользователем информационной системы |
По месту действия |
Без непосредственного (физического) доступа на территорию объекта (внешний нарушитель). Нарушитель действует удаленно, через сеть Интернет |
Перед началом работ по проведению теста на проникновения был составлен примерный «профиль информационной системы» – приблизительное описание корпоративных сервисов, предоставляемых информационной системой сотрудникам ОАО «Алемнефтегаз» и пользователям глобальной сети Интернет. Такая предварительная оценка позволяет сразу же выделить основные направления, подлежащие анализу в первую очередь.
Было сделано предположение, что типовые корпоративные сервисы данной информационной системы – это система электронной почты, корпоративный сайт или портал, система доступа удаленных клиентов, а также служебные подсистемы – например, службы DNS, NTP и – ключевой компонент – подсистема средств защиты.
Пассивный сбор сведений об информационной системе проводился при помощи общедоступных сетевых сервисов – службы DNS, службы WHOIS, а также программ traceroute, tracepath и т.п., web-интерфейс к которым предоставляют многие сайты (таким образом, IP-адрес потенциального нарушителя остается неизвестным для атакуемой системы).
Утилита host позволяет получить перечень всех доменных имен исследуемой зоны alemneftegaz.ru:
sms% host –l -t any alemneftegaz.ru
alemneftegaz.ru name server ns1.alemneftegaz.ru.
alemneftegaz.ru name server ns2.alemneftegaz.ru.
alemneftegaz.ru has address 168.192.200.11
alemneftegaz.ru mail is handled by 10 mail.alemneftegaz.ru.
alemneftegaz.ru mail is handled by 20 mold.alemneftegaz.ru.
alemneftegaz.ru has SOA record ns1.alemneftegaz.ru. root.alemneftegaz.ru. 2005073101 1800 900 2592000 900
mail.alemneftegaz.ru is an alias for ns2.alemneftegaz.ru.
www.alemneftegaz.ru is an alias for ns1.alemneftegaz.ru.
telcom-gw.alemneftegaz.ru has address 168.192.200.1
gate.alemneftegaz.ru has address 168.192.200.10
ns1.alemneftegaz.ru has address 168.192.200.11
ns2.alemneftegaz.ru has address 168.192.200.12
realsecure.alemneftegaz.ru has address 168.192.200.13
mold.alemneftegaz.ru has address 168.192.200.14
sms%
Анализ доменных имен хостов, находящихся в зоне alemneftegaz.ru, позволяет сделать предположение о функциональном назначении хостов, имеющих записи в базе DNS. Таким образом, не проводя активного сканирования всех портов для каждого из исследуемых хостов, существует возможность получить сведения об информационной системе.
Предположительно, хост 168.192.200.1 – это шлюз провайдера телекоммуникационных услуг, хост 168.192.200.10 является корпоративным шлюзом ОАО «Алемнефтегаз», 168.192.200.11 – сервером DNS и WWW, 168.192.200.12 – вторичным сервером DNS, на 168.192.200.13 установлен сенсор системы обнаружения вторжений ISS RealSecure, 168.192.200.14 – резервный почтовый сервер, 168.192.200.15 – широковещательный адрес.
Информация, полученная при помощи программ traceroute и tracepath, позволяет составить примерную карту сети и сделать предположения об установленных межсетевых экранах и правилах фильтрации сетевого трафика.
При отправке пакетов UDP:
14 ..................................................
15 168.192.200.1 134.135 ms 136.745 ms 117.957 ms
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
При отправке пакетов ICMP:
14 ..................................................
15 168.192.200.1 134.135 ms 136.745 ms 117.957 ms
16 168.192.200.4 112.163 ms 117.184 ms 125.641 ms
17 168.192.200.11 134.106 ms 134.150 ms 135.251 ms
Предположительно, не обнаруженный в базе DNS хост 168.192.200.4 является маршрутизатором, который контролирует демилитаризованную зону.
Путем отправки «случайных» пакетов с адресов специалистов компании Digital Security на хосты из заданного диапазона была предпринята попытка пассивного определения удаленной ОС при помощи программы p0f.
Во время активного сбора информации было проведено сканирование хостов всего диапазона при помощи программы nmap. Для снижения риска обнаружения «нарушителей» средствами предположительно установленной в исследуемой подсети ISS RealSecure сканирование проводилось в течение длительного времени, с большими интервалами между сканированием отдельных портов.
Были определены версии программного обеспечения сетевых служб на исследованных хостах. Проведенное сканирование показало корректность исходных предположений о профиле информационной системы.
После этого была выполнена проверка достоверности полученной информации. С большой долей уверенности можно было утверждать, что сокрытие или изменение версий программного обеспечения сетевых служб администраторами информационной системы не проводилось.
Поиск уязвимостей в программном обеспечении сетевых служб не дал положительных результатов, были предприняты лишь контрольные запуски эксплоитов на службы SMTP и WWW для проверки чувствительности сенсора ISS и возможного блокирования IP-адреса, с которого производился запуск эксплоита, средствами маршрутизатора или межсетевого экрана. Подсистема защиты никак не отреагировала на активные попытки атаки, адрес «нарушителя» заблокирован не был.
Следующим этапом выполнения теста на проникновение являлась рассылка троянской программы пользователям информационной системы согласно согласованному перечню адресов электронной почты. Необходимо отметить, что при помощи популярных поисковых систем (www.yandex.ru, www.google.com) потенциальный нарушитель может получить адреса электронной почты сотрудников ОАО «Алемнефтегаз», которые по тем или иным причинам оказались опубликованы в сети Интернет, и использовать эту информацию для более эффективной атаки при помощи троянской программы.
Специалистами компании Digital Security была разработана троянская программа, позволяющая в случае ее запуска на компьютере пользователя получить удаленный (через Интернет) доступ к ресурсам данного компьютера и корпоративной сети с правами пользователя, запустившего программу.
Троянская программа является реверсивной – то есть, самостоятельно инициирующей запросы к своему управляющему серверу (установленному в демилитаризованной зоне информационной системы компании Digital Security), который сообщает ей последовательность команд для выполнения на компьютере пользователя, а в ответ получает результат выполнения этих команд. Это позволяет использовать троянскую программу в сетях с трансляцией сетевых адресов (NAT).
Троянская программа обходит распространенные средства защиты в типовой конфигурации, используемые в корпоративных сетях – персональные межсетевые экраны, системы обнаружения вторжений, прокси-серверы с авторизацией доступа и т.п.
Троянская программа в полной мере использует особенности архитектуры ОС Windows, установленной на рабочей станции пользователя, что позволяет существенно уменьшить объем исполняемого модуля и обеспечить высокий уровень функциональных возможностей программы.
Троянская программа была разослана пользователям в виде сжатого в ZIP-архив и прикрепленного к письму исполняемого файла. Письмо было якобы отправлено одним сотрудником ОАО «Алемнефтегаз» другому и содержало предложение запустить трехмерную версию компьютерной игры «Тетрис».
Замаскированную таким образом троянскую программу в течение двух рабочих дней после рассылки запустили 8 из 20 пользователей, чьи адреса электронной почты находились в перечне, предоставленном специалистам компании Digital Security. Одна из рабочих станций (адрес 10.100.3.64, маска подсети 255.255.254.0), которая, судя по времени работы (uptime), не выключалась по окончании рабочего дня, была выбрана в качестве исходной точки для организации атаки.
Далее троянская программа загрузила со своего управляющего сервера код эксплоита для службы RPC (для ОС Windows 2000 и Windows XP) и провела атаку на контроллер домена (адрес 10.100.1.10, маска подсети 255.255.254.0), в котором находилась данная рабочая станция, а также другие серверы и рабочие станции, перечень которых был получен с контроллера домена.
Контроллер домена оказался уязвим к данной атаке, вследствие чего специалистами Digital Security был получен полный административный доступ к командной строке контроллера домена. Чтобы зафиксировать факт проникновения, троянская программа получила команду создать в домене пользователя dsadmin с привилегиями администратора домена. Далее при помощи программы pwdump, загруженной троянской программой на рабочую станцию, с которой проводилась атака, была получена база паролей пользователей домена (более 1200 учетных записей). Дальнейший подбор этих паролей показал, что пароли большей части учетных записей как рядовых пользователей, так и администраторов информационной системы Заказчика являются слабыми и могут быть получены атакой по словарю и перебором за короткое время.
Уязвимыми к данной атаке оказались также сервер, на котором была развернута СУБД Oracle (адрес 10.100.1.13), сервер доступа RAS (адрес 10.100.1.17), резервный контроллер домена (адрес 10.100.1.11), файловый сервер (адрес 10.100.1.15), а также более 60 рабочих станций. По приблизительным оценкам (на основе информации, полученной с контроллера домена), в информационной системе Заказчика 12 серверов и не менее 400 рабочих станций. Как правило, столь значительное количество уязвимых хостов говорит об отсутствии сервера обновлений Windows Update, который должен быть развернут в информационной системе.
Далее специалистами Digital Security была предпринята попытка использовать скомпрометированные пароли администраторов информационной системы для доступа к коммутаторам Cisco, на которых была собрана локальная вычислительная сеть информационной системы Заказчика. Комбинация логина cisco и пароля surepka (от одной из административных учетных записей) позволила получить доступ уровня 15 (максимально возможный) к консоли управления каждого из 6 коммутаторов сети (с адресами 10.100.1.1, 10.100.3.1, 10.100.5.1, 10.110.1.1, 10.110.3.1, 10.110.5.1).
-
Внешний периметр информационной системы Заказчика защищен достаточно надежно: регулярно выполняется установка обновлений программного обеспечения сетевых служб, конфигурация служб соответствует требованиям информационной безопасности. Тем не менее, сетевые службы предоставляют потенциальному нарушителю достоверную служебную информацию, что может быть использовано при организации атак на внешний периметр.
-
Система обнаружения вторжений установлена в конфигурации по умолчанию, её настройка неэффективна и не обеспечивает адекватный уровень реакции на явно выраженную сетевую активность нарушителя.
-
Общая архитектура информационной системы Заказчика, конкретные технические решения по обеспечению информационной безопасности и низкая квалификация пользователей информационной системы не обеспечивают требуемый уровень защиты, что позволило специалистам компании Digital Security осуществить успешный запуск троянской программы.
-
Уровень защищенности серверов и рабочих станций информационной системы Заказчика – низкий. Отдельно необходимо отметить низкий уровень защиты критически важных серверов: контроллера домена и сервера СУБД, в которой хранится важная для бизнеса информация.
-
Анализ скомпрометированной базы паролей пользователей показал низкую стойкость паролей как обычных пользователей, так и администраторов системы.
-
Включить скрытие служебной информации, предоставляемой сетевыми службами пользователям.
-
Выполнить тонкую настройку системы обнаружения вторжений.
-
Развернуть в информационной системе сервер обновлений Windows Update, включить автоматическое обновление на всех серверах и рабочих станциях.
-
Развернуть в информационной системе сетевую систему обнаружения вторжений, которая позволила бы протоколировать подозрительную сетевую активность и оперативно реагировать на подобные инциденты.
-
Разработать парольную политику, включающую в себя требования по стойкости паролей, правила хранения и периодической замены ключевых фраз. Недопустимо использование единого пароля для администрирования всех ресурсов информационной системы. К паролям административных учетных записей должны предъявляться особые требования по стойкости.
-
Разработать и реализовать на практике программу обучения пользователей вопросам информационной безопасности.
Примечания:
1 Название компании, по заказу которой выполнялся данный тест на проникновение, а также сетевые адреса уязвимых хостов являются вымышленными.
2 В данном отчете приводятся только примерные рекомендации по устранению обнаруженных уязвимостей и недостатков информационной системы Заказчика