Пентест / Тестирование на проникновение
Имитация хакерских атак для выявления уязвимостей в ИТ-инфраструктуре
Напишите нам

Заказать тестирование на проникновение.

Решили провести аудит безопасности в компании? Прочтите статью!
Реалии современного общества и развития it технологий таковы, что кадры любого учреждения (неважно, маленького или большого) обязаны обладать чётким представлением о информационной безопасности (далее по статье - ИБ). Эта публикация была создана основываясь на реальном опыте обхода систем ИБ различных организаций и имитации хакерских действий.

Какую задачу перед собой мы поставили.

Задача: проверка и анализ персонала следованию протоколов ИБ и попытка получения конфиденциальных сведений для реализации атаки «повышение привилегий».
В этом эксперименте используются различные методики из психологии и социальной инженерии. Методы соц. инженерии похожи на методы используемые при осуществлении пентеста.

Этап проектирования задачи.

Главное-чётко осознавать, чего вы хотите. Действием вслепую, результата не достичь. Наоборот, бдительность сисадминов может резко возрасти и следовательно, усложнить наши действия по проверке учреждения на уязвимость.
Итак, требуется:
-удалённо выйти на сисадмина, и желательно узнать, его физический адрес (вдруг за стенкой в соседнем кабинете);
-выявить данные о структуре пароля и учётной записи пользователя, политики формирования секретного слова (чтобы не попасть в черные списки), возможных его таймингов. Если удастся раздобыть сам пароль и схемы Ethernet и ЛВС сетей, планирование выполнено на «отлично».

Сбор и анализ необходимых материалов.

Это очень длительный и напряжённый период. Непосвящённым, может показаться, что ничего не происходит. Социальный инженер «сидит весь день на проводе». Однако, это очень важный этап операции при осуществлении аудита. От коммуникабельности, обаяния и харизмы спеца, будет зависеть полнота картины атакуемого объекта. Чтобы получить сто процентов на выходе, представим, что это-военная операция. Обратимся к военной науке. Чтобы наблюдать за объектом, необходимо знать, как это делать. Запомним две команды: СЭМ и ДОК.

СЭМ: сила, экипировка, мобильность.
ДОК: дислокация, организация, коммуникация.

Сила. Выявить в чём сила предприятия касательно нашего профиля. Обычно, это грамотные специалисты с неплохим опытом на должностях системных администраторов. Но в этом и их слабость, каждый компьютерщик, как правило считает себя гением и даже не предполагает, что было поручение на осуществление аудита.
Задание: в ходе телефонных переговоров выявить уровень компьютерной грамотности специалиста поддержки, если получится, выявить, используемые компанией технологии (вид интернета, провайдеров, адреса серверов, используемое ими антивирусное, антихакерское ПО, межсетевые экраны). Численность работников подразделения.

Экипировка. Выяснить физические адреса сисадминов, а так же Ф.И.О., может даже используемый автомобиль, т.к. и в программном обеспечение автомобиля может быть уязвимость. Типы используемого ими оборудования: ПК, коммутаторов, сетевых коммутационных шкафов, ИБПэшек. Узнать оборудованы ли кабинеты спецов системой видеонаблюдения за контролем над рабочими.

Мобильность. Засечь время прибытия сотрудника на место вызова техподдержки, либо как быстро админ начнёт работать удалённо по звонку.

Дислокация. Добыть материал о расположении административных корпусов, производств (если таковые имеются), служб дополнительного обеспечения.

Организация. Прояснить для себя структуру юрлица. Вертикаль власти, численность подразделений, служб. В идеале узнать как много работников и скорость взаимодействия между отделами.

Коммуникации. Узнать расположение телефонных и Ethernet сетей, хабов, серверов.

На этапе сбора информационных материалов для имитации деятельности злоумышленников, пользуемся открытыми источниками: сайтом организации, информационными панелями в отделе кадров, слушаем разговоры рабочих. Можно сфотографировать информ. доску с лучшими кадрами месяца, года и т.д. Наверняка кто-нибудь из них есть в социальных сетях, и у них на страницах, может найтись необходимая информация об объекте. Можно даже на собеседование сходить, чтобы оценить укомплектованность автоматизированных рабочих мест. Здесь главное-создать такой образ потенциального рабочего, чтобы на следующий день, мало кто смог пояснить как вы выглядите.

Выбор инструментов. Сужение числа атакуемых.

Обычно наименее сложные решения, самые эффективные. Оптимальным вариантом при заказе пентеста, может оказаться фишинг. Подготовка письма, содержащего вредоносное вложение или ссылку на сайт злоумышленников. Однако, не всегда его можно реализовать. В случае провала можно попасть под статьи 273 и 274 УК РФ. Доказывай потом, что действовал в рамках договоренности.
Чтобы фишинговое письмо сработало, используем сведения, которые удалось добыть, опираясь на СЭМ и ДОК.

Примеры подобных рассылок:
-сообщение на вашу электронную почту о том, что некоторые отправленные вами ранее сообщения не были доставлены (естественно с прикреплённым файлом внутри);
-сообщения о том, что вы получили выигрыш или сказочный бонус (причём вы знаете, что ни в каких лотереях вы не участвовали);
-признаками таких писем может быть немедленный посыл к действию (например, «у вас не погашен кредит», «ваша почта заблокирована»)

Если заказчик против такого метода, то набираемся терпения и анализируем публичные источники: сайты работодателя, отзывов, форумы. На это, как правило уходит несколько дней.
Поиск сведений подобным способом — занятие тяжёлое. Но есть специализированное программное обеспечение, которое автоматизирует сбор данных из открытых источников и последующий анализ связей. В связи с этим проведение проверки на сохранность конфиденциальных данных происходит быстрей и успешней.

В результате завершения этого этапа имеется:
-примерная структура организации которая была атакована;
-структура адресов электронной почты которые используют сотрудники;
В идеале база сведений о трудоустроенных людей.

Сужение групп атакуемых.
Из всех работников нужно взять несколько целей: тех кому мы будем звонить, и тех от лица кого мы звоним. Просчитать их возможные связи и общие контакты. Изучить их интересы.
Если наша жертва сотрудник саппорта, то целевые сообщества будут такие:
-секретари;
-кадровый отдел;
-бухгалтерия;
-сотрудники саппорта, системные администраторы;

Условно делим весь персонал по степени подверженности атакам на пять типов.
Параноики. От них почти ничего не узнаешь. Они очень подозрительные так, как может быть: в детстве наложили табу на общение с незнакомцами, на работе может с кем-то интрижка, или нарушали УК РФ, получали уже взбучку от безопасников и начальства. Рычагом воздействия на людей подобного типа, может быть только одно-компромат. Если его нет, их надо исключать.
Равнодушные. Равнодушным людям совершенно не важно, кто ему звонит и зачем. Лишь начав разговор по телефону, он сразу начинает решать, как ему поскорей закончить разговор, с наименьшими напрягами для себя любимого. В небольшом числе случаев, именно в силу этих своих, они могут слить интересующую вас инфу. Здесь можно сыграть на спешке, корпоративной этике и взаимовыручке между отделами.
Трусливые. Эти всегда боятся не угодить начальству. Что-нибудь перепутать, нарушить какие-нибудь правила или инструкции, в общем те, у кого страх за свой теплый и уютный кабинет пересиливает над умением четко и быстро соображать. Эти люди самый благодатный материал, побольше металла в голосе и он ваш.
Дотошные. Самые опасные для нас ребятишки. Если на проводе окажется такой буквоед, важно заранее иметь чётко сформулированный текст, быть что называется «в теме». Здесь лучше балансировать между полуправдой, нахальством и лаконичностью. Будете мямлить, и он вас сожрёт.
Добрые. Люде искренне готовые помочь. И им всё равно, кому они помогают. Это наш так сказать, круг подозреваемых.
Как их отличить друг от друга? Всё будет зависеть от вашей подготовки, опыта, чутья, коммуникабельности, прозорливости.

Выбор жертв и план нападения.

Итак, опираясь на наши данные мы выбираем объекты которые нам требуются:
-секретаря с приёмной заместителя директора главного инженера;
-сотрудницу бухгалтерии;
-сотрудницу HR;
-сотрудника саппорта.

Для осуществления нашего плана требуется:
-все выбранные девушки молоды, с яркой внешность, стильные. Нет мужа, либо разведены. Трудятся в косвенно пересекающихся подразделениях.
-специалист технической поддержки молод и неопытен.
У нас есть три группы атакующих с чётко прописанными ролями и временем их выхода на сцену. Задание для каманды Альфа держать в напряжении саппорт звонками на протяжении всего дня. Должны быть заготовлены сотни вопросов по деятельности сисадминов, которые могут поступить от их коллег по фирме. Чем больше нудных и тупых вопросов будет задано, тем лучше. В команду Бета входят люди, которые будут «играть» молодых красавиц. Их выход не один, за одним, а ближе к концу дня по раздельности. Задача команды Гамма сводится к совершению бесчисленного количества звонков людям работающим в различных службах и подразделений, с целью не дать им дозвониться до саппорта.
Сыграть лучше на мужском либидо, усталости человека, и плюшками по деятельности в компании. Все девушки могут намекать на более близкое знакомство, но аккуратно, помощь в работе. Это требуется, чтобы не было ситуации: «Владимиру нравится Маша, Маше - Фёдор Дмитрич»

Молодые девчёнки от имени которых будут звонки:
Воскобойник Виктория - сотрудница по кадрам, 25 лет, трудится год, учится заочно на юриста. Бросающийся в глаза макияж, темные волосы, достаточно фото в социальных сетях. Не замужем.
Ибатуллина Алиса сотрудница бухгалтерии, 23 года. Работает три года. Образование высшее. У нее спортивная фигура, следит за собой, предпочитает деловой стиль. Есть много фотографий в соцсетях с ночных клубов, спортзала. Аккаунты в одноклассниках и на сайтах знакомств. В разводе.
Иванова Марина секретарь - референт в приёмной заместителя начальника главного инженера. 30 лет. Образование среднее специальное. Не замужем.
Технический специалист Денис. 25 лет в компании год, образование среднее специальное. Не женат.

Легенда 1 (Воскобойник Виктория далее по тексту Л.1): Женщина в командировке, не может зайти на служебный почтовый аккаунт. Ей срочно нужно сделать почтовую рассылку начальникам отделений с новыми образцами заявлений на отгул. Она совершила сколько то попыток ввести пароль, но он оказался неправильным и теперь хотела бы получить временную возможность входа в аккаунт, хотя бы на час. При проведении тестирования на проникновение всё требуется придумать и проработать заранее и конечно же выучить наизусть, что бы избежать ситуации «хождения по тонкому льду».

Легенда 2 (Ибатуллина Алиса далее по тексту Л.2):находится в отпуске в соседнем городе. Нуждается в срочном получение доступа на ПК с целью подсчёта дополнительной премии для лучших сотрудников.

Легенда 3 (Иванова Марина далее по тексту Л3): находится дома на больничном и получила срочное поручение от руководителя проанализировать служебные записки за текущий квартал.

Главное во время разговора девушек уверенность и нахальство. Текст конечно же заучить. Забыл, сбился, растерялся — срыв затеи и заказ пентеста провален.
С утра и до вечера раздаются звонки. Телефонные номера поддержки постоянно заняты. Дозвонится ни у кого не получается. В определённый момент на связь выходит Л1
Вариантов развития беседы может быть очень много. Общая мысль: Л1 будет психологически давить на Дениса ее глупостью, и дурацкими вопросами, пока Ден не махнёт рукой и не скажет или отправит новый пароль, тогда у нас будет немного времени для входа в систему.
Далее в назначенное время появляется Л2 и Л3. Тоже с похожими вопросами и обещаниями в помощи по работе, свидания, премии, интима, да чего угодно!
Параллельно с этими звонками Гамма трезвонит полный день сотрудникам и внесет сумятицу в производственный процесс . Неплохо было бы организовать еще команду дельта, которая сделала бы митинг у ворот компании на любую тему, лишь бы нагнетать ажиотаж.
И каким бы не был специалист службы техподдержки, улыбчивым или мрачным, усталость и внимание красивых незамужних девчонок сделают свое дело. Заказ на проведение проверки на уязвимость будет выполнен успешно.

Если доступ получен, то цель аудита безопасности достигнута. Обращаем внимание, что таких уязвимостей может быть не одна, а некоторое количество.

Нейтрализация хакерских атак.

Предлагаем:
-ограничение возможности нахождения посторонних лиц на территорию организации службой охраны;
-переход на LINUX-системы;
-ограничение доступа к сети интернет в отделах где он ни к чему (например, в зданиях где располагаются налоговые органы его почти нет);
-ограничение доступности к АРМам где хранится конфиденциальные сведения;
-ограничение носителей информации при подключении к ПК. Должны быть определены виды носителей и заведён журнал их регистрации. Определён круг лиц, имеющих право ими пользоваться;
-периодическое обучение персонала основам информ. безопасности и взаимодействию с другими подразделениями;
-повышения уровня ответственности за разглашение информации принадлежащей юридическому лицу, путём введения огромных штрафов, при условии, если вина служащего будет доказана;
-сотрудник всегда должен знать, какая именно информация является конфиденциальной;
-внедрение в обязанности технической поддержки изучение обязательного списка литературы по ИБ. Внедрение зачета для работников. Сдача зачёта дает право получать удостоверения по допуску к самостоятельной деятельности.

В высокотехнологичный век, самый ценный ресурс-информация. Её нужно беречь не меньше, чем детей. Тем более, когда, взаимные расчёты между юридическими лицами и государствами идут в электронном виде. Соблюдение этих рекомендаций, а так же периодический заказ пентеста, помогут избежать большого числа проблем.

Тестирование на проникновение. Полный комплекс

Полноценное ручное тестирование безопасности сайта, а так же с помощью автоматических инструментов. Результат работы - подробный отчет с найденными уязвимостями и замечаниями по безопасности, написанный на понятном человеческом языке.
5000 руб
(Стоимость временно снижена)
Напишите нам

Тестирование на проникновение. Экспресс аудит.

Протестируем ваш сайт используя несколько популярных и эффективных сканеров. Результат работы - подробный отчет с найденными уязвимостями и замечаниями по безопасности, написанный на понятном человеческом языке.
1500 руб
(Стоимость временно снижена)
Напишите нам

Тестирование на проникновение. Индивидуальный план действий.

Совместно в заказчиком устанавливаем цели пентеста, способы его проведения, специфические особенности зависящие от тестируемого объекта. Результат работы - подробный отчет с найденными уязвимостями.
Цена зависит от объекта
Напишите нам
временно низкие цены!