Этим всё сказано

Небезопасные замки
ag3nt
Наверное многие слышали, многие знают, однако некоторые продолжают их использовать, причём очень в интересных местах.
Собственное видео



Социальная инженерия в примерах
ag3nt
Как отследить человека, угнать авто, украсть пароли, похитить инфу.

<

</lj-embed>

OSWP
ag3nt
OSWP освоен, жду сертификат из Америки ))



Что порадовало, экзамен был назначен на 2 утра по нашему, я проспал и проснулся в 4, однако в попыхах похакал всё меньше чем за 2 часа, при этом ещё успел и отчёт заваять. В общем доволен, узнал много нового, сейчас потихоньку изучаю новые видео и фишки.


БАНКИ - О том как воруют деньги с банковских счетов ДБО
ag3nt
Многие предприниматели и их наивные админы в нашей стране даже понятия не имеют, что несколькими нажатиями клавиш возможно получить доступ к банковскому счёту и если повезёт увести весь ихний капитал, причём миллионные суммы.

Делается это как правило посредством заражения компьютера бухгалтера вирусным ПО, а затем удалённым подключением, доступом к системе банковского обслуживания и переводом денег, на чужой счёт. Самое забавное, что потерпевший всегда грешит на банк, мотивируя тем, что у них "всё защищено". Наши полицаи разводят руками,

Но в данном топике я размещу примерную схему заражения, что бы тем кто не в курсе было более понятно как происходит, заражение подключение и обход всяких корпоративных средств защиты.
Особенно эта схема пригодиться ленивым админам (с дурацкой установкой работает не трогай), которые вместо того чтобы обновлять ПО на станциях и патчить ОС, играют в свой контер страйк ))



Системы контроля доступа
ag3nt
# Вводные

Системы контроля доступа играют огромную роль в обеспечении безопасности любой организации. В этой статье я рассмотрю обратную сторону этих систем. По мере изучения мной технологий СКД и RFID возможно появятся новые работы на эту тематику.

----------------------------------------------------------------------------
[1] Принцип работы СКД
[2] Атаки на различные подсистемы СКД
[3] Клонироване карт доступа
[4] Создание правильных политик разграничения доступа
[5] СКД в спецслужбах
-----------------------------------------------------------------------------

# Принцип работы СКД

В совокупности СКД состоит из следующих элементов:
хост управления или администрирования СКД,
хост с базой данных (иногда отдельный иногда вместе с хостом управления),
автономный контроллер — это мозг системы, там может хранится информация о картах получаемая из БД. Так же располагается реле отвечающее за открывание закрывание замков.
считыватель карт доступа
электронный замок

Система действует следующим образом. Человек подходит к двери подносит карту к считывателю, считыватель облучает карту сигналом, карта получает заряд и возвращает  сигнал обратно на считыватель с собственными данными, данные через считыватель поступают на контроллер где проверяется разрешён ли проход данной карте через этот считыватель, так же  передаются данные в БД разграничения доступа, где сохраняется время, место попытки прохода. Сам контроллер как правило автономен работает на аккумуляторах, на случай сбоев электропитания. Данные в контроллер поступают из той же БД. Контроллер как правило на каждом этаже свой, и он ограничен по числу считывателей.
После этого либо замок открывается, либо не открывается в зависимости от прав доступа.
Стоит помнить что разграничение прав доступа осуществляется не только по карте, но и по времени, то есть человек ходивший по одной карте днём, возможно не сможет ходить по этой же карте скажем ночью, но всё зависит от политик. Чем жёстче и сложней политика тем больше работы для администратора, но зато тем сложнее обойти систему.
Ниже представлен пример подобной системы.



# Атаки на различные подсистемы СКД

Ниже представлена схема возможных атак на систему СКД
Карта доступа подвержена, как хищению, так и скрытому клонированию.

На считыватель, либо рядом с ним возможно установить скимер и писать данные на носитель. Так же думаю возможен и брут, но таких устройств я пока не видел, так что пока это всё моя теория.

Соц. Инженерия применяется везде и здесь в том числе, зачем изобретать велосипед, если охранник сам откроет замок и покинет пост.

Контроллер так же интересен, но он находится как правило уже в глубине на территории организации, однако если подобраться к нему, то возможно будет разблокировать любой подключённый к нему замок.

Как дополнительный шумный вариант, это включение пожарной тревоги, по правилам безопасности, все замки должны раз блокироваться. Однако если заблокировать сигнал на пульты пожарки и отключить сирену, то тогда метод окажется тихим.

Ну и сама атака на сеть безопасности, где ломаются конечные хосты управления, БД либо осуществляется атака человек по середине. Сама сеть безопасности может быть отделена от локальной сети логически, что не исключает её взлом. Если сеть отделена физически то единственный способ взломать сеть, это получить физический доступ к линии связи. Кстати как правило в отделённых сетях не обновляется ПО и соответственно они очень уязвимы изнутри, плюс к тому обычно отсутствует шифрование.

# Клонирование карт доступа


Поговорю о самом простом и распространённом способе обхода контроля доступа на сегодняшний день — клонирование карт.
Сама карточка выглядит с виду таким образом

Технология по которой происходит считывание карты называется RFID.
Самые распространённые карточки используемые в СКД это низкочастотные карты HID и EM-Marin работают на частотах 125 kHz и расстоянии 5-30 см.
Так же есть карты работающие на более высоких частотах 13.56 mHz (карты Московского метро) и с болле дальним расстоянием считывания.

Ниже приведено фото карточки в разломанном состоянии карта EM-Marin.


Отлично виден чип, на котором хранятся данные, а также полукруглая антенна из медной проволоки.

Сама технология клонирования не сложна, что по сути дела представляет из себя карта, так это просто набор упорядоченных битов записанных в определённых участках памяти чипа.
Сам спецификацию пока не читал но судя по гуглу и другим статьям на карты с низкочастотной реализацией приходится 64 бита памяти. Память разделена на определённое количество блоков и секторов, где хранится всякая служебная информация.
Посылаем определённый сигнал имитируя считыватель, получаем ответ, записываем код сигналов в память устройства, затем на бланк карты, вот и всё.

Сценариев может быть множество вот некоторые из них:
Злоумышленники выявляют сотрудника который имеет доступ в нужное им помещение, следят за ним, в удобный момент клонируют карту. Удобным моментом может оказаться кафе, метро где можно прижаться ближе к карте, в лифте.

Так же не исключён и сам явный контакт, допустим можно познакомится с человеком, провести вечер и в удобный момент сделать клон карты.
Склонировать карту возможно как через одежду, так и через сумку, если достанет сигнал.

Ниже приведены пара фоток снятых в реальных полевых условиях. Сразу видно где находится карта, и если подойти поближе можно без проблем сделать копию, пока человек отвлечён. Кстати так многие носят карточки даже в метро и по улице, выходя на обед, считая это удобным способом.

Ещё добавлю что во многих бизнес центрах, где есть пропускной режим по картам, делается отдельный карты для посетителей. Они выдаются всём посетителям по паспортам. На выходе посетитель, опускает карту в специальный аппарат с считывателем, турникет открывается, а карта остаётся в этом заборнике. Но ничего не мешает посетителю сделать клон карты, а затем пройти повторно.

# Создание правильных политик разграничения доступа

Политики разграничения доступа играют огромную роль.
В зависимости от ПО разграничение возможно осуществлять по следующим направлениям
1. доступ карта — дверь (определённое помещение)
Если карта не занесена в БД, то доступа нет. Так же следует ограничить доступ по помещениям. Скажем так секретарше нечего делать в серверной, а менеджеру в комнате охраны. Следует подразделять помещения на зоны, уровни критичности, а сотрудников  на группы имеющий к этой зоне доступ.

2. доступ время
Время очень важный фактор. К примеру если у сотрудника похитят карту и политика времени не применена, то злоумышленник сможет пользоваться картой и ночью. Поэтому следует ограничивать доступ по времени. Так же сюда относятся и праздничные и выходные дни.

3. доступ повторный проход
Это тоже хорошее ограничение. Случается очень часто что сотрудники организации сами повторно пропускают за собой посторонних. Или такие ситуации когда скажем у сотрудника склонировали карту. Сутра сотрудник пришёл на работу. А потом в полдень злоумышленник попытался сделать повторный проход, но система его не пустила, записала всё лог и оповестила пульт охраны.

4. доступ выход - без входа
Так же возможна и такая реализация политики, когда скажем не зашедший на территорию организации сотрудник, не сможет из неё выйти. Эта политика хороша тем что возможно отловить, сотрудников прошмыгнувших мимо постов не прикладываясь к считывателю. Так же часто применяется техника под названием tailing, когда злоумышленник забегает вслед за прошедшим сотрудником через дверь, а когда попытается выйти, по заранее склонированной карте, вышедшего сотрудника, его не выпустят.
Ещё аналогичный вариант третьему пункту, когда сотрудник покинул периметр организации, а злоумышленник, остался на территории на ночь, когда злоумышленник попытается выйти, скажем рано утром до прихода сотрудника, система его не выпустит.
Лично у меня был такой случай, когда я прошмыгнул через открытый турникет, в одном бизнес центре. Когда же попытался выйти, система меня не выпускала.
   
# СКД в организациях повышенной защищённости

Лично я там не был, однако в сети где то проскакивала инфа насчёт учреждений подобного типа. Думаю политики там применяются такие же как я и описал, однако на картах, не печатают имён  и фамилий, а скорее некий код, по которому возможно идентифицировать лицо. Так же карты не выносятся за периметр территории. На выходе они изымаются и выносить их строго запрещено. При приходе на место работы\службы, лицо идентифицируют и выдают карту закреплённую за ним. Это занимает определенно время и не применимо в коммерческих организациях, однако намного повышает безопасность. Так же вполне возможно, что используются системы СКД своих стандартов, с шифрованием данных. Лично я думаю это наиболее защищённая реализация СКД.

Обход сетевых экранов и листов доступа
ag3nt

 

Данная статья будет полезна всем админам, и какими бы они себя не считали умными, эта статья вполне реальный повод задуматься о повышении внутренней безопасности сети, так как в большинстве случаях локальная сеть это уязвимый желток в скорлупе. Так же к этой статье я сделаю хак видео с демонстрацией. И так перейдём к нашим яйцам.

На сетевых экранах могут быть разные правила фильтрации- исходящие (доверенные) IP адреса, порты, службы (порты) назначения, так же в хорошо защищенной сети возможна фильтрация по времени суток. В качестве сетевого экрана может выступать маршрутизатор, специальный сервер, и просто программа, любое устройство, работающее на 3 уровне OSI модели.

В данном примере я взял простой пример с фильтраций по источнику, то есть просто IP адрес. В любом случае существует возможность подмены всех этих параметров в отправляемом пакете, так что сетевой экран обработает и пропустит пакет. В качестве сетевого экрана я поставил сервер ISA, который обрабатывает пакеты из одной сети и позволяет связываться разрешенному хосту с сервисами другой защищённой сети.

Для начала двинем в теорию. В 1978 Международная организация по стандартизации (International Organization for Standardization, ISO), начала разработку модели OSI. Это стандарт, которым руководствуются все разработчики сетевого оборудования, и создан этот стандарт для того чтобы можно было объединить в единую сеть разные компьютеры и устройства. Это 7 уровневая модель.

 

В данной статье речь пойдёт о 2 и 3 уровне, ибо они нас и интересуют.

2 уровень отвечает за создание кадра, коммуникацию и связь между хостами в локальной сети, посредством MAC адресов. MAC адрес это уникальный адрес, присваиваемый производителем сетевой карты. Он уникален на каждом компьютере, однако его, возможно, изменить и подделать свой. В каждом сетевом устройстве хранится таблица соответствия MAC адреса и IP адреса. Посмотреть таблицу возможно с помощью команд arp-a на винде. Компьютер с пустой таблицей отправляет запрос на широковещательный адрес броадкаст, всем устройствам в локальной сети с просьбой сказать на каком MAC адресе сидит IP с которым необходимо связаться, затем получает ответ и записывает его временно в таблицу. Тут есть фишка, можно взять и отправить хосту свой ответ и таким образом подсунуть в таблицу своё соответствие, весь трафик адресованный скажем на IP адрес какого-то сервера, пойдёт не на сервер, а на наш атакуемый хост =). Общение происходит по протоколу ARP.

3 уровень отвечает за создание IP пакета и роутинг. Тут добавляются свои служебные поля в заголовок IP пакета, в частности IP адрес отправителя и IP адрес получателя. С 3 уровнем как раз и работает сетевой экран при фильтрации трафика.

 

Выше приведена схема коммуникации между двумя хостами. На самом деле знать и понимать это нужно, особенно тому, кто занимается анализом защищённости сетей. Я не стал всё подробно расписывать, ибо про OSI можно написать целую книгу, поэтому приведу ссылки, которые помогут, получше разобраться.

http://ru.wikipedia.org/wiki/OSI

google.com – само собой

Также рекомендую скачать видео всяких курсов по Cisco сетям, там тоже это хорошо описывается.

Теперь двинем в практику. Первое что сделает человек со злыми мыслями это определит цели для атаки, потом он выяснит, что, скажем, есть некая сеть, которая защищена, логически не имеет доступа в интернет, и что некоторые сотрудники заходят со своей станции или используют какие-то сервисы в той защищённой сети. Затем нужно будет выяснить точку входа и правило фильтрации трафика. Сделать это можно узнав, с каких станций, эти сотрудники заходят, социальной инженерией, сниффингом трафика, физическим посещением помещений, а так же других хитрых сетевых манипуляций.

В своём примере я провёл Idle сканирование с nmap и использовал в качестве зомби доверенный хост 192.168.100.10. В ответ мне сканер выдал, что некоторые порты на сканируемом адресе 192.168.100.254 открыты. Это значит, что они доступны адресу зомби, однако при обычном сканировании мне они были не доступны.

 

Затем я отравил таблицу фильтрующего сетевого экрана, сказав, что IP адресу разрешённого хоста соответствует мой MAC адрес. В результате теперь весь трафик на привилегированный хост 192.168.100.10 отправится на мой хост.

 

 

Выше сообщение ARP в логе сниффера.

Затем я проверил проходимость пакетов с помощью утилиты hping3 указав опцией –spoof IP адрес доверенного хоста 192.168.100.10. В ответ получил положительные ответы.

 

На снифере я наблюдал пакеты с флагами SYNACK, что означало, пакеты отвечают.

 

Но потом я конкретно встрял, ибо нигде не мог найти решения, как мне подделать IP адрес отправителя, для любого протокола и приложения, однако оказалось всё намного проще, чем я думал. В Linux есть такая фишка, как iptables, это кстати, сетевой экран). Так вот существует возможность трансляции или NAT на выходе. Вбив ниже следующую команду, я указал правило весь трафик на порты 3389, 445, 129 с моего адреса 192.168.100.66 на выходе транслировать и подставлять IP адрес 192.168.100.10. Таким образом, все пакеты от меня на эти порты теперь идут с разрешённым IP 10 адресом, этим самым, обманывая сетевой экран.

iptables -t nat -A POSTROUTING -p tcp -o eth0 -m multiport -s 192.168.100.66 --dport 3389,445,139 -j SNAT --to 192.168.100.10

Дабы убедиться в своей правоте я снова пустил hping3 но теперь без опции –spoof, в ответ на сниффере пришли пакеты с флагами SYNACK, что значит, пакеты проходят, в другом случае пакеты бы не пришли так как были бы отосланы в никуда.

 

Кстати замечу, что сама утилита hping пакетов не получила и в ответ выдала мол откликов нет. Тоже самое я пробовал и с nmap и тот сказал, что порты фильтруются. Наскока я понял связано это с тем, что данные утилиты, отсылая или принимая пакеты, работают напрямую с драйвером сетевой карты, на более низком уровне – 2 уровне OSI. А трансляция IP работает на 3 уровне. Таким образом, пакеты уходят с исходным адресом 192.168.100.66, а отклики на них уходят в никуда, так как отравив таблицу атакуемого хоста мы сказали, что нашему MACу соответствует, не 66, а 10 адрес.

 

Собственно на этом этапе задача была выполнена, ниже скрин с удалённым рабочим столом.

 

В конце замечу, что в данном сценарии мы по сути дела задосили реальный привилегированный хост и сделали его недоступным в сети. Как реальный хакер, так и человек, проводящий пентест этого не допустит по ряду причин. Чтобы этого избежать то можно выполнить ещё две команды, по идее это должно сработать.

1. Это отравить MAC таблицу привилегированного хоста 192.168.100.10, сказав, что IP адрес маршрутизаторы 192.168.100.254 находится на нашем MAC адресе.

ArpspoofI eth0 –t 192.168.100.10 192.168.100.254

2. Запустить утилиту fragrouter с опцией –B1. Это позволит нашей атакующей машине прозрачно пропускать через себя пакеты, по сути дела работать как роутер.

Ну и на последок скажу, что в реальной жизни существует множество способов обхода защиты фильтрации трафика и сетевых экранов, в частности это может быть взлом самих станций, с которых доступ разрешён, взлом сетевых устройств и маршрутизаторов, взлом сетевых экранов, ну и тот метод, который привёл я, по сути дела это подделка ип адреса или спуффинг. Хотя существуют разные методы спуффинга. Этот метод направлен именно на обход правил доступа.

 

 


Уровни уязвимостей информационной безопасности
ag3nt

Нередко замечается такая забавная вещь, что в организации думают, будто бы вся айтишная инфраструктура защищена, так как стоит брандмауэр и антивирус, однако на деле оказывается всё наоборот.


Связано это скорее с тем, что в системе управления ИБ плохо разработаны, а порой и вообще отсутствуют процессы, охватывающие фундаментальные уровни уязвимостей. Под этими уровнями я подразумеваю, категории процессов или фундамент, на котором держится и функционирует система ИБ. Как только на каком либо из уровней возникает брешь, тут же появляется лазейка для злоумышленника.

Уровни уязвимостей

- Физический

- Технологический

- Логический

- Человеческий

- Законодательный

- Организационный

Физический – отвечает за физическую безопасность и доступ. Это двери, замки, окна, методы доступа к источникам информации, сотрудники охраны.

Технологический – отвечает за технические средства защиты. Это сигнализация, видеокамеры, системы обнаружения вторжения, брандмауэры, средства обнаружения закладок, генераторы помех и т.д.

Логический – отвечает за логику или всё ли функционирует логично?

Правильно ли созданы листы доступа на брандмауэре, правильно ли расставлены посты охраны на объекте, правильно ли расставлены датчики и камеры. Здесь очень часто встречаются спорные вопросы, и порой те или иные правила зависят от объекта и окружающей среды.

Человеческий – отвечает за человеческий фактор. Это уровень бдительности и осведомлённости персонала. Это то насколько дисциплинирована охрана. Человеческий фактор является одним из самых уязвимых уровней, ведь именно через человека очень часто утекало и утекает хорошо защищаемая информация зарубежным спецслужбам и именно этому фактору, во многих компаниях уделяется очень мало внимания.

Законодательный – этот уровень отвечает за законодательную базу. Это то, насколько всё законно устроено и функционирует в рамках закона. Соответствует ли хранение информации, к примеру, которая составляет гос. тайну, закону и стандартам установленными государством.

Организационный – отвечает за организацию всех процессов и функций. Это регламенты, политики, инструкции, положения, планы реагирований на инциденты, протоколы и т.д. Этот уровень по своей сущности близок к законодательному.


Эти пять уровней взаимосвязаны друг с другом, они дополняют друг друга и должны быть под контролем, в противном случае, инфраструктура будет плохо защищена от современных угроз.

Почему?

Всё дело в том, что в реальной ситуации нацеленный злоумышленник обычно атакуя и проникая в инфраструктуру компании, действует по принципу от самого лёгкого к самому сложному. Если ему не удастся пробить периметр сети, он попробует выманить пароли у сотрудников, сыграв на человеческом факторе, если и это не удастся, он попробует получить физический доступ к источникам информации и так далее. В данном случае злоумышленник действует по принципу гибкости и рано или поздно находит лазейку.


Лично, по моему мнению, у большинства плохо защищённых компаний присутствует первых три уровня, из них:

первый – физический, который на деле, оказывается, уязвим за счёт отсутствия остальных.

Второй – технический, который несовершенен и требует доработок, в связи с отсутствием остальных.

третий – логический, который несовершенен.


You are viewing ag3nt