Пентест изнутри #2. Фишинг своими руками

Фишинг как был так и остается серьезной угрозой для любой организации, в которой используется электронная почта.
Один из способов защиты от этой угрозы это информирование пользователей: предупрежден - значит вооружен. Но как показать сотрудникам, что это не мифическая выдумка отдела безопасности а реальная опасность?

Один из выходов: провести небольшое учение.
План действий:
0. Подготовка: делаем информационную рассылку где описываем опасности фишинга и как отличить настоящее письмо от поддельного. Согласуем с руковдством план учений. Информируем ИТ, чтобы не поднимали паники.
1. Устанавливаем Gophish (https://getgophish.com/). Это фреймворк для рассылки фишинговых писем, позволяющий создавать письма и копии Web-страниц, а так же позволяющий управлять рассылками, и производить мониторинг статуса рассылок. Бесплатно, просто, есть под Win

2. Настраиваем список адресатов рассылки, создаем шаблонное фишинговое письмо:
 >>Добрый день. Высылаем вам акт сверки для ознакомления.  
 >>акт сверки 2016.doc (это ссылка на наш лендинг)
 >>С уважением, 
 >>главный бухгалтер ООО "Рога и Копыта"  
 >>Иванов Иван Иванович

И запускаем рассылку.

3. Теперь если сотрудник перейдет по ссылке, то увидит предупреждение. А у нас на сервере статистики появится соответствующая запись.

4. Анализируем результаты: поощряем виноватых, награждаем непричастных. На что стоит обратить внимание: % поддавшихся сотрудников, % сотрудников сообщивших о странном письме (если это есть в внутренней нормативке), сообщило ли ИТ о факте фишинговой рассылки.

ProTip: все подобные проверки очень желательно оформлять внутренним актом, чтобы через пол года можно было вспомнить что и как происходило.

Конференция «День информационной безопасности», 9 июня, Пермь

Люблю конференции по ИБ: хорошая возможность послушать интересные доклады и пообщаться со знающими людьми. А если при этом рекламы меньше 50%, то это совсем загляденье.

Отдельно хочу отметить презентации по ПДн и по проекту внедрения в ПНИПУ системы защиты от целенаправленных атак (если кто заинтересовался - пишите в приват, вышлю пдф'ки).
Тешу себя надеждой, что когда нибудь и я выступлю на подобном мероприятии с докладом.

PS. Но все это конечно и ерунда, и любим мы ИБ конференции совсем по другим причинам: день отгула и море халявы.

Ваш покорный слуга с выигранной футболкой Касперского

Пентест изнутри #0

Тестирование на проникновение (жарг. Пентест) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника.  Ссылка на wiki

В последнее время все больше крупных организаций заказывают услуги пентеста у профильных фирм. Это качественный и объективный способ оценить уровень ИБ на предприятии.  У этого способа лишь один минус: цена (тем более в условиях
непрекращающегося кризиса).
Хорошая новость в том, что основные уязвимости сети можно проверить самостоятельно (плюс это уникальная возможность почувствовать себя хакером и проверить на деле заявления сисадмина о том, что "у него де в сетке с безопасностью полный порядок").
Ранее уже было опубликовано описание одной из часто встречающихся уязвимостей (Пентест изнутри #1). Для проведения более детальных проверок как не крути понадобится спец средство. Им выступит Kali Linux.

Kali Linux - это дистрибутив Linux, в котором уже собрано все необходимое для проведения пентеста. Сразу хочу оговориться, что никаких углубленных знаний не потребуется, все довольно просто.
План действий:
1. Если нет ноутбука или отдельного компьютера под Kali Linux, то скачиваем и устанавливаем Virtual Box (https://www.virtualbox.org/). Это средство виртуализации с лицензией GPL.
2. Скачиваем и разворачиваем Kali Linux. (https://www.kali.org/downloads/)
В сети множество мануалов как все это сделать, так что проблем возникнуть не должно.

ИБ. Общее

Отвлечемся немного от практики и сформулируем, чем вообще должен/может заниматься специалист по ИБ в небольшой организации.
Мне видятся здесь 2 глобальных направления:

• Комплаенс - соответствие многочисленным адекватным и не очень требованиям регуляторов (Роскомнадзор, ФСБ, ЦБ и т.д.)
• "Практическая" ИБ - защита от вирусов, промышленного шпионажа, случайно упавших на пол серверов с единственной копией рабочей базы данных и т.д.

Оба направления мы прорабатываем, чтобы минимизировать риски для бизнеса. Т.е. если к нам придут проверяющие из ЦБ, у нас для них будет с любовью заготовленная папочка с внутренней нормативкой, полностью закрывающей все требования 382-п. То же самое и  в отношении Роскомнадзора с их персональными данными. Проверяющие будут восхищены нашим умением красиво оформлять ОРД и никаких санкций от них не последует. 

Как определить какие требования нужно выполнять и где об этом написано мы рассмотрим в следующих постах. Так же хочется отметить, что вдумчивое исполнение требований регуляторов действительно сильно увеличивает уровень ИБ организации.

85! #неИБ

Наконец то пожал 85 от груди (знаю, что мало, но все равно приятно =) )
П.с.
Присед 90
Становая 115

Пентест изнутри #1

Пентест изнутри - серия записей, описывающая самые частые дырки в сетке.

Начнем с простого, легкого и молодежного.
Наверняка у вас в организации используется Active Directory. Настроен домен , все компьютеры в него включены и главный админ всем этим управляет. Управляет он скорее всего через групповые политики и всевозможные скрипты. И все это богатство хранится на сетевом ресурсе \\dc.local\sysvol\ в открытом виде для всех пользователей домена.

Заходим в эту папку и ищем скрипты, в которых присутствует конфиденциальная информация. Очень часто здесь можно встретить различные пароли на доступ к папкам/БД/сервисам.

Дальше нас интересуют файлы групповой политики, которая устанавливают пароли локальных пользователей.
Находиться они будут где то здесь:
\dc.test\SYSVOL\dc.test{XX-X-X-X-XX}\Machine\Preferences\Groups\
И выглядеть как-то так:

На первый взгляд пароль

cpassword="aZCB6SQBc4vetC+FqeHT/RNuVyOPpGrf/QfvvnvWDEk"

зашифрован, но проблема в том, что Microsoft нам любезно предоставила ключ шифрования, и  расшифровать его никаких проблем не составляет.

Закончив поиск, так и не найдя ничего предосудительного, можете выдохнуть и налить себе заслуженную чашечку чая. Если в ходе исследований обнаружилось что-то лишнее, то найденное необходимо обсудить с IT подразделением и наметить пути решения.

Вирусные почтовые рассылки

Подобными письмами уже никого не удивишь. Как защитить от них организацию?

• Антивирус. К сожалению, это не панацея. Большое количество свежей malware будет проходить мимо.
• Отключение макросов в MS office. Перед отключением стоит убедиться, что никто в организации их не использует.
• Запрет опасных вложений в почте. Запрещаем средствами антивируса или почты вложения опасных форматов: *.exe, *.com, *.jar и т.д. Думаем запрещать ли *.rar и *.zip.
• Делаем резервные копии сетевых ресурсов. Объясняем пользователям, что важные файлы хранить на локальном компьютере не стоит. 
• Используем спам фильтры.
• Повышаем it грамотность сотрудников. Делаем почтовые рассылки, бумажные памятки, где объясняем что такое вирусные письма.
• Запрещаем использование внешней почты. 

Написав список, понял что рекомендации получаются слишком общие =) В следующих постах каждый пункт будет рассмотрен подробнее.

Антивирус

С чего начинается освоение целины построение системы ИБ как не с антивируса.
На 99% он в организации уже есть. (Если антивируса нет, то его покупка станет первым шагом. Так же у вендора можно запросить бесплатное тестирование антивируса, пока идет волокита с оформлением договора и оплатой. Они это любят.).
Проверить как он работает поможет EICAR. Это тестовый файл с сигнатурой, которую определяет каждый антивирус.

• Пробуем загрузить EICAR test file с сайта. 
• Пробуем с внешней почты отправить письмо себе на рабочую почту с вложением EICAR test file.

Антивирус не должен позволить это сделать. Если файл не порезался антивирусом, необходимо разобраться почему.

Далее чеклист что надо проверить:

• базы сигнатур антивируса обновляются своевременно (смотрим дату последнего обновления в настройках);
• пользователь не может сам отключить антивирус (должен запрашиваться пароль админа);
• лицензия на антивирус не пиратская/украденная/не подходит для юр. лица (ищем в бухгалтерии договор на покупку).

P.s. иногда в руки попадается подозрительный файл, на который установленный антивирус не  ругается. Проверить его без регистрации и SMS можно на https://www.virustotal.com/. В режиме онлайн загруженный файл сканируют 50+ самых популярных антивирусов и выдают свой вердикт.

Практика ИБ

Представим, что после очередного совещания, начальство поставило перед вами задачу увеличить информационную безопасность на 13%. (Как показывает практика подобные совещания обычно случаются после того как бухгалтерша тетя Таня удачно открыла вложение .scr из "письма налоговой" о сверке актов).

Админили ли вы эту сетку ранее или только-только окончили вуз по профильной специальности, но что делать вы представляете не особо. Поверхностно просмотрев пару блогов по ИБ, вы поняли, что новости про COBIT, импортозамещение и "тонкости настройки сферической SIEM в вакууме" это конечно полезно, но от вашей сегодняшней жизни пока далековато.

Та-дам! Тут к вам на помощь и приходят мои скромные записки ПОИБ'э. Великие материи вы найдете тут вряд ли, но полезными они оказаться могут.