White hatСлучаи из практики

Максим Авдюнин

ЗАО «Перспективный мониторинг»

ЗАО «Перспективный мониторинг»

Аудит информационной безопасности

Расследование инцидентов ИБКонкурентная разведка и социальная инженерия

Тестирование на проникновение Анализ защищённости ПОАнализ трафика

Разработка ПО

ЗАО «Перспективный мониторинг»

Статья 272 УК РФ. Неправомерный доступ к компьютерной информации

Статья 273 УК РФ. Создание, использование и распространение вредоносных компьютерных программ

Статья 274 УК РФ. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

vs

We are the white hat hackers!

ЗАО «Перспективный мониторинг»

ПАО «Уралкалий»

МИРС Пермского края

Росреестр

Правительство Хабаровского края

и др.

Группа компаний «ИнфоТеКС»

Заказчики

Проект 1«Ненадёжный администратор»

Заказчик

Крупная транспортная компания

Постановка задачи

Провести проверку компетентности Администратора ИБ Заказчика и его готовности к отражению социоинженерных атак

Работы

В рамках проекта была выработана достоверная легенда, собрана необходимая исходная информация, и совершено несколько звонков Администратору ИБ Заказчика

Результаты

Подготовлены стенограммы записей разговоров с объектом исследования

Проведён анализ стенограмм на предмет нарушения инструкций АИБ

Выводы по результатам анализа переданы Заказчику

Проект 2«На чистую воду»

Заказчик

Провайдер трекинговой информации о грузоперевозках

Постановка задачи

Ряд интернет-сайтов предлагает информацию, распространяемую Заказчиком, на продажу, очевидно получая её в обход официальных каналов. Необходимо установить, каким образом это происходит

Работы 

В рамках проекта были проведены работы по конкурентной разведке и инструментальному исследованию указанных заказчиком сайтов

Результаты

Список аффилированных с исследуемыми сайтами лиц Их персональные данные, контактная информация, социальные связи и т.д. Конфиденциальные сведения, в частности, обличающие их юридические документы

Проект 3«Плохие новости»

Заказчик

Государственный подрядчик

Постановка задачи

Провести тестирование на проникновение в режиме «чёрного ящика»

Работы 

В рамках проекта была проведена фишинг-атака на компанию Заказчика, в ходе которой сотрудникам были отправлены письма, содержащие ссылку на скрипт, перехватывающий аутентификационные данные пользователей соответствующих машин

Результаты

Более половины сотрудников прошло хотя бы по одной ссылке Никто из них не сообщил об инциденте в службу ИБ Заказчика Исследователями был получен полный доступ к IT-инфраструктуре Заказчика Действия службы ИБ Заказчика протоколировались, протокол был включён в состав

отчёта

Проект 4«Просьба о помощи»

Заказчик

Крупная IT-компания

Постановка задачи

Провести аудит безопасности веб-ресурса компании в режиме «чёрного ящика»

Работы 

В рамках проекта исследователем было оставлено сообщение на форуме с просьбой о помощи по одному из разработанных компанией продуктов. В сообщении была размещена ссылка на сторонний ресурс со скриншотом программного продукта. Переход по ссылке приводил к запуску скрипта, перехватывающего аутентификационные данные пользователя

Результаты

Одним из перешедших по ссылке пользователей стал администратор ресурса, что привело к получению исследователями полного доступа к ресурсу

Проект 5«Крепкий орешек»

Заказчик

ИБ-интегратор

Постановка задачи

Провести функциональное тестирование и исследование системы визуализации и анализа рисков сетевой безопасности на предмет наличия программных закладок

Работы

В рамках проекта посредством автоматизированного анализа продукта из 1366 jar-файлов были выделены отдельные компоненты, отвечающие за критически с точки зрения безопасности функции. Часть таких компонент была выборочно декомпилирована и проанализирована вручную

Результаты 

Недекларированные возможности, могущие нести угрозу конфиденциальности обрабатываемых системой данных, найдены не были

Однако в исходных кодах серверной части была обнаружена закодированная пара логин-пароль, позволяющая стороннему лицу пройти localhost-авторизацию без получения соответствующих прав от администратора системы

Была предложена конфигурация, использование средства в которой обеспечило бы гарантированную защиту от любых возможных НДВ

Проект 6«Дырявый терминал»

Заказчик

Крупная государственная организация

Постановка задачи

Провести проверку защищённости клиент-серверной системы продаж

Работы

В рамках проекта была проведена обратная разработка клиентского терминала продаж и инструментальное исследование его web-интерфейса, а также тестирование на проникновение и фаззинг серверной части

Результаты

Была выработана методика фаззинга, позволяющая гарантированно вызывать сбои в работе сервера

Был найден ряд уязвимостей в клиентском ПО, позволивших:

Менять информацию на терминале Отправлять на сервер изменённые данные Клонировать терминалы

Проект 7«Литературные пираты»

Заказчик

Электронное издательство

Постановка задачи

Провести анализ защищённости клиентской части платформы, предоставляющей доступ к электронным книгам, проверить возможность их кражи

Работы

В рамках проекта была проведена обратная разработка приложения для скачивания и чтения электронных книг в версиях под Android, iOS и Windows 8.1, а так же проверена возможность перехвата трафика от сервера с целью получения несанкционированного доступа у контенту

Результаты

Были выявлены и проэксплуатированы три уязвимости клиентского приложения Получен несанкционированный доступ к распространяемому контенту и данным учетных записей Обнаружена одна уязвимость серверной части платформы Предложен комплекс мер, направленных на устранение обнаруженных уязвимостей и усиление

существующей системы защиты

Проект 8 «Враг не пройдёт»

Заказчик

Крупная государственная организация

Постановка задачи

Разработать систему обнаружения целенаправленных устойчивых угроз (Advanced persistent threats) изолированной информационной системе со стороны нарушителей классов Н4 - Н6

Работы и результаты

В рамках проекта была предложена концепция "мета-SIEM", как надстройки над имеющейся инфраструктурой информационной безопасности, включающей различные средства защиты информации. Целью такой системы было нахождения связей между различными объектами и событиями ИБ, с последующим выявлением фактов формирования APT. Предлагаемая концепция отличалась от классических SIEM более высоким уровнем абстракции представления данных, другой логикой их группировки, а также инструментами анализа и отображения

К сожалению, работы не были завершены

Проект 9 «Хранители»

Заказчик

Крупная IT-компания

Постановка задачи

C 10-го ноября 2014-го года по 18 мая 2015-го года провести мониторинг инцидентов ИБ в сети Заказчика, обеспечить реагирование на их возникновение и разработать соответствующие сигнатуры для корпоративной системы обнаружения вторжений

Работы

В компании был развёрнут Центр мониторинга

Центр мониторинга был интегрирован с сетевой инфраструктурой Заказчика и инструментальными средствами анализа защищённости (в частности, сканерами безопасности)

Разработаны и применены протоколы обнаружения и реагирования на инциденты ИБ

Результаты

Выявлено и обработано 29 событий информационной безопасности

Разработано 34 сигнатуры для IDS Заказчика

Проект 10«Беспроводной беспредел»

Заказчик

Крупная IT-компания

Постановка задачи

Проверить офис заказчика на предмет установки на его территории неавторизованных точек доступа Wi-Fi

Тип работ

Была разработана методика по использованию программно-аппаратной связки из ноутбука, антенны и специального ПО, с помощью которого по плану здания методом последовательного обследования всех помещений офиса заказчика была построена карта распределения сигнала и выявлены все его источники

Результат

В офисном пространстве из 30 комнат, расположенных на двух этажах здания, было обнаружено порядка 10 легальных и 25 нелегальных Wi-Fi-точек

Спасибо за внимание!

Максим Авдюнин

ЗАО «Перспективный мониторинг»