Пpофессія: пpомишленний шпигун, Різне, Security & Hack, статті

winkler@ncsa.com
“InfoSecurity News”, травень 1996

Назва компанії та імена службовців змінені. Кpоме того, змінені
деякими деталі, якому можуть допомогти встановити справжню назву
компанії.

Начальник сидів і мовчав, після того як я показала йому повну
документацію по пpоизводство самого пеpспектівного пpодукта, якому
зараз pазpабативается їх компанією. Він пpодолжал мовчати, коли я
поклала на стіл гpафік pазpаботка основних пpодуктов компанії. Він
відкинувся в кpесле, коли я виклала на стіл кілька документів,
описують позицію компанії в багатомільйонному контракті. Нарешті,
начальник заговоp: “Я думаю, ми повинні бути щасливі, що ви не
pаботает на наших конкуpентов ”

Я укpала все це і дещо ще, маскіpуясь під службовця по контpакта.
Ви думаєте, що це компанія зі слабкою безпекою? Немає. У цій
Організацію пpоводить у життя чудова пpогpамма пеpіметpа
безпеки, що включає сильні меpи по упpавление доступом та
механізми фізичної безпеки. Тим не менш, адміністpатоp
безпеки, подозpевал, що вони можуть бути вразливі до хоpошо
скооpдініpованной атаці службовців. Він викликав мене для того, щоб
пpовеpіть скільки КВАЛІФІКАЦІЙНА зможе укpасть шпигун.

Я була у них всього тpи дня. Я укpала все, що у них було.

Початок

Нещодавно на конфеpенции я познайомилася з Генpі, адміністpатоpом
безпеки Zed Technologies, великий високотехнологічної фірмою з
щорічним обсягом пpодаже понад 5 миллиаpдов доллаpов. Генpі знав про
моєму досвіді з області тестіpованія на пpонікновеніе і попpосіл мене
встpетился пізніше, щоб обговорити можливість пpотестіpовать їх
безпека.

Генpі був кpайне стурбований откpитой сpедой в Zed – типової для
більшості фірмою, пpоводящіх дослідження. Як і багато великі
компанії, Zed мала багато службовців-контpактніков та обслуговуючого
пеpсонала. Ці люди мали доступ до pазличной КВАЛІФІКАЦІЙНА і отбіpалісь
настільки стpого як постійні службовці. Генpі турбувався про
потенційному ущеpба, якому вони можуть пpінесті. Щоб пpовеpіть це,
він попpосіл мене виконати тестіpованіе на пpонікновеніе, в ході
котоpого я поступлю на АДВОКАТУРИ в компанію як службовець-контpактнік, але
повинна укpасть стільки КВАЛІФІКАЦІЙНА, скільки зможу.

Мені було дано pазpешеніе робити все, що завгодно, але не наносити вpеда
компанії і людям. Сотpуднік гpупи в середині інфоpмаціонной безпеки повинен
перебувати поблизу: всякий pаз, коли я виконую незаконні
дії, щоб забезпечити локалізацію інциденту в разі успішної
компpометаціі. Мені також будуть видані гроші для найму спільників поза
Організацію.

Щоб імітіpовать pеальной шпигунство, я хотіла здійснити
повномасштабну атаку на компанію, використовуючи як технічні, так і
нетехнічні сpедства. Зокрема я ВИБІР 5 категоpии атаки:
аналіз откpитих джерел, видавання себе за іншу, використання
доступу для зловживань, хакерські дії зсередини організації та
координація дій із зовнішніми спільниками.

Збір інформації

До моєї розмови з Генрі я нічого не знала про Zed Technologies. І мені
потрібно було познайомитися з нею, щоб вкрасти звідти важливу
інформацію.

Інформація з бібліотек Інтернету забезпечила мене величезною кількістю
інформації. З архівів новин я встановила найбільш перспективні
напрями досліджень в компанії, фінансові витрати на проекти
компанії та обсяг потенційних продажів. Я також дізналася ім’я керівника
дослідницької групи, яка працює над проектом, і отримала коротку
інформацію про випускаються компанією продуктах та людей, які брали участь в
їх розробці.

З інших відкритих джерел я встановила імена керівників
підрозділів компанії, фінансовий стан компанії та різноманітну
загальну інформацію про компанію та її політиці організації роботи
співробітників. Пошук в інтернетівських телеконференціях рядки з
назвою компанії виявив десятки службовців компанії. Листи службовців в
групи новин комп’ютерної тематики розповіли мені про обладнання та
програмних середовищах, що використовуються в компанії. Листи до нетехнічних
групи допомогли мені виявити області інтересів службовців, які посилали ці
письма. Інші джерела в Інтернеті дали мені додаткову
інформацію про співробітників та їх інтереси.

В результаті виконання команд host з параметром – доменним ім’ям
компанії в Інтернет я отримала список всіх комп’ютерних систем, а
також інформацію про їх ОС. В результаті цього я встановила IP-адреси
компанії, типи систем, що використовуються в компанії і приблизне число
використовуваних комп’ютерів.

Газета компанії, яку я виписала і отримала, також допомогла мені. В
ній керівництво компанії описувало шість головних проектів компанії та
наводив імена великого числа співробітників, що працюють над цими
проектами. Ця інформація виявилася дуже корисною при подальших
діях.

Нахабна брехня

Так як у мене було лише три дні на проведення шпигунських дій, я
була змушена діяти більш нахабно, ніж це зазвичай робить
промисловий шпигун. Я спробувала застосувати тактику видавання себе за
іншого: я вирішила представитися як адміністратор з інформаційної
безпеки.

Перед прибуттям на місце, я зробила бізнес-карту, яка виглядала
точно так само, як карта, зроблена в Zed Technologie, в якій було
вказано моє ім’я і посаду – адміністратор інформаційної
безпеки. У місцевому магазині мені зробили карти менш ніж за день,
використовуючи реальну бізнес-карту як зразок.

Після прибуття я зайнялася формальностями як будь-який тимчасовий робітник. Я
заповнила деякі папери, в яких я вказала неправдиву інформацію,
включаючи свій номер соціального страхування, адресу та номер телефону.
Кадровик дав мені пропуск і показав мені мою кімнату для роботи. Я була
здивована, коли виявила, що моє ім’я вже додано в телефонний
довідник компанії.

Не впевнена в результаті моїх хитрощів, я почала свою роботу з
дзвінка досліднику, який працює над самим перспективним проектом
компанії. Я сказала йому, що я тільки що влаштувалася на роботу і мені
була поставлена ​​задача – захисту секретів компанії. Тому я повинна
встановити, що найгірше захищене і де ця інформація зберігається.
Після декількох мірнут розмови ісследователт рекомендував мені
звернутися до Стенлі, керівнику групи, що працює над проектом. Я
подзвонила Стенлі і призначила зустріч з ним.

Грати роль агента конкуруючої корпорації – хвилююча робота, і я
турбувалася про те, що я зможу сказати чи зробити, якщо мене
зловлять. Я майже сподівалася, що хтось повинен почати задавати мені
питання, щоб перевірити, чи правду я кажу, і я готувалася до такої
бесіді, щоб перевірити свої здібності як шпигуна. Але я так і не
змогла їх перевірити. Жоден працівник не зацікавився мною.

Зустрівшись зі Стенлі я знову заявила, що я недавно взятий на роботу
адміністратор з інформаційної безпеки. Я дала йому свою
бізнес-карту і заявила, що мені поставлено завдання захистити інформацію
компанії. Я попросила його детально описати мені, яка інформація
є критичною і які люди мають до неї доступ.

Стенлі сказав мені, що самя критична – це інформація про технологію
виготовлення продуктів, крім великої кількості інших видів важливою
інформації. Я запитала його, чи є джерело, з якого можна взяти
повну інформацію про технологію виробництва. У відповідь він показав мені
книгу з копіями нотатки з робочих нарад групи і список розсилки,
члени якого отримують ці нотатки. Я явно попросила його дати мені
копію цих нотаток. Стенлі не тільки дав мені копії всіх нотаток із
книги, але навіть додав мене в цей список розсилки.

Стенлі допоміг мені ще раз: він сказав мені, що начальник відділу
взаємодії з державними організаціями та комерційний
менеджер проекту скомпілювали інформацію і рекомендував мені
поговорити з ними. Після бесіди зі Стенлі я повернулася в свою кімнату і
призначила зустріч з Марком, начальником, про який говорив Стенлі.

При зустрічі з Марком я знову використовувала свою фальшиву бізнес-карту
і брехня про роботу у відділі інформаційної безпеки. Ви не повірите,
але моя робота стала ставати нудною після того, як я стала грати
роль адміністратора безпеки, яка розмовляє з людьми про обробку і
зберіганні критичної інформації. Я повинна була продовжувати грати свою
роль і говорити про масу непотрібних мені деталей. Але моє терпіння було
винагороджено. Марк і я врешті-решт дійшли до зроблених його відділом
документів, і я дізналася про типи документів, місцях зберігання файлів в
мережі, групі відповідальних за архівацію файлів і ім’я людини,
відповідального за їх зберігання. Марк навіть згадав один документ,
містить специфікацію технології продукту.

Потім я повернулася в мою кімнату і стала переглядати нотатки про
робочих нарадах, які Стенлі дав мені. Крім маси критичної
інформації я виявила даний скоровіще в повідомленні від Марка. В
ньому він вказував місце розташування чернеток документів, переданих
уряду США. У наступному реченні він давав пароль для доступу
до цього документа.

Я не могла повірити своїм очам. У цих двох реченнях мені були
дані ключі до документу, який містив всю інформацію про технології
виробництва для проекту, який був мені найцікавіший. Я
повернулася на свій комп’ютер, і незабаром отримала доступ і скопіювала
документ. Так я вкрала інформацію, що стоїть мільйон доларів для
компанії.

Але далі моє здивування ще більше зросла; в тій же директорії, де я
щойно знайшла цей скарб, знаходилися аналогічні документи про
двох інших пріоритетних проектах компанії. У цей момент часу,
менше ніж за день, я скомпрометувала три найбільш перспективних проекту
Zed Technologies, і могла тепер сама виробляти ці продукти.

Натхненна таким успіхом, я почала сканувати інші файлові
системи, які не були захищені паролями. Я намагалася отримати доступ
тільки в ті файлові системи, в яких, як я вважала після зустрічей з
Марком і Стенлі, може перебувати критична інформація. Мені не були
потрібні зайві документи. За кілька годин я скопіювала більше 125 Мб
даних.

На наступний день я зустрілася зі Стівеном, комерційним менеджером
другого за величиною критичності проекту. Тепер зникли всі мої
побоювання щодо своєї затримання. Пора було зосередитися на типах
інформації, яку використовують і створюють комерційні менеджери.

Після пояснень, що мені потрібно побачити те, за що я відповідаю як член
групи інформаційної безпеки, я попросила Стівена коротко
показати процес його доступу до файлів. Я спробувала підглянути пароль,
який він використовував, але не змогла через незручне положення.
Стівен підкреслив мені важливість щоквартальних комерційних звітів,
які, як він сказав, містять дуже критичну інформацію, таку
як деталі виробництва. Поки він говорив, я помітила, що в його
кімнаті немає замка на дверях. Також я побачила на його столі коробку для
дискет з написом “комерційні звіти”.

Я повернулася в мою кімнату і відразу ж спробувала отримати доступ до
файлової системи Стівена. Я використовувала кілька типових комбінацій
в якості пароля і зраділа, коли одна з них виявилася
правильною і я отримала доступ до його файлів. Як виявилося, кожен
комерційний менеджер відповідає за кілька проектів, тому файли
Стівена містили інформацію про велику кількість проектів.

Моє веселощі зросло, коли я виявила, що всі комерційні
менеджери використовують одну і ту ж файлову систему для зберігання своїх
файлів. Мені навіть не знадобилися диски зі столу Стівена. У мене
виявилися комерційні звіти всіх проектів, які мене
цікавили. Я виграла джек-пот.

Пізніше я дізналася, що скомпрометувала всі основні проекти компанії,
крім одного. І для цього мені знадобилося тільки півтора дня. Ніхто
не повідомив ні про які підозрілих ознаках. Моя легенда не була
ніким перевірена. Справжній промисловий шпигун вилетів би на найближчому
літаку з цього міста.

Вечірні пошуки

Атака з видавання себе за іншого була, проте, тільки одним з
методів, які я використала. Як ви пам’ятаєте, я отримала перепустку в
компанії. Після мого першого дня роботи в Zed Technologies я
пообідала і повернулася в мою кімнату з моїм пропуском.

Кілька прибиральників ходили по будівлі, коли я почала шукати незачинені
шафи, кімнати і ящики на столах. Я оглянула комп’ютери, які не
були захищені за допомогою пристроїв блокування робочих станцій,
необхідних згідно з керівними документами компанії. Було неможливо
уникнути зустрічей з прибиральниками, тому я вирішила не приховувати своє
присутність. Це було ризиковано, але гірше було б, якби я намагалася
сховатися.

У першому приміщенні, яке я намітила, розміщувалися юридичний відділ
та відділ з ліцензування. Там я отримала документи про завершені
проектах, включаючи переваги і недоліки кожної потенційної
ліцензії. Я також знайшла хороший матеріал про що йдуть судові процеси,
включаючи опис позиції компанії. Нарешті, я знайшла практично
готову заявку на патент, яка ще не була відіслана.

Я пройшла в друге приміщення, в якому знаходилися розробники. Я
знайшла звіти про проблеми з продуктами і інші критичні папери,
перебували на столах. У незачиненому шафі я знайшла технологічну
інформацію про ще двох проектах, в які могли принести сотні
мільйонів доларів інвестицій і потенційних продажів.

В одній кімнаті, куди я увійшла, був справжній бардак. Папери лежали
всюди, і два комп’ютери були залишені без пристроїв блокування. Два
монітора були вимкнені, але я просто включила один і виявила, що
співробітник все ще працює в програмі електронної пошти. На щастя
для мене, він зберігав листи. Я переглянула їх і знайшла повідомлення,
містить основний графік розробки, один з найбільш критичних
документів компанії.

Пошук після роботи може здатися старомодним і надто простим, але
він дав мені дуже багато критичної інформації. Шпигунство
включає використання простих, але ефективних методів. Ця вечірня
робота продемонструвала вигоди перегляду незахищеною інформації. Я
не розкривали ніякі замки і не залишила ніяких ознак свого
присутності.

Хакерство зсередини

Я принесла з собою в Zed Technologies лептоп Sun, спеціально
сконфігурованих для хакерства зсередини в компанії на основі тієї
інформації, яку я дізналася з відкритих джерел. Я поставила на
лептопInternet Scanner фірми Internet Security Systems Inc. і велика
число хакерських коштів, які проникають в систему через вразливі
місця, виявлені сканери. Коли я прийшла в свою кімнату в Zed, я
відключила офісну ПЕОМ від ЛВС і підключила до неї свій Sun.

Спочатку я запустила сканер на головні комп’ютерні системи, і він
виявив відомі уразливі місця на декількох експортуються
файлових системах, які, як я знала, містять критичну
інформацію. Залишалося тільки виконати спробу підбору паролів для
виявлених ідентифікаторів користувачів. Три ідентифікатора майже
відразу ж були скомпрометовані.

Я змонтувала експортовані файлові системи на моїй ПЕОМ та
спробувала скопіювати критичні директорії в мою систему. Я змогла
скопіювати майже все, але була трохи розчарована, коли доступ до
деяких файлів виявився обмежений. Потім я підключилася до віддаленого
комп’ютера, використовуючи один із скомпрометованих за допомогою сканера
ідентифікаторів і скопіювала одну з хакерських програм на цей
комп’ютер. Я не дуже-то сподівалася на цю програму, але все одно
спробувала її запустити.

Я буквально підстрибнула в кріслі, коли отримала підказку “#” – я
отримала доступ як root. Тепер мене нічого не стримувало крім
обсягу диска на моєму комп’ютері, і я скопіювала все, що визнала
важливим. Я використовувала кілька люків у ОС і перейшла до дослідження
інших комп’ютерів.

Таким чином я отримала понад 200 Мб інформації, що вважалася вкрай
критичною. Вразливе місце, яке я використовувала, було тільки
недавно виявлено, але інформація про зміни в ОС для його забивання
вже була доступна. Компанія просто полінувалася встановити латочку.
Тепер вони дізналися це краще.

Хакерство за допомогою друзів

У ході операції з видавання себе за адміністратора інформаційної
безпеки, я дізналася про те, що Zed Technologies використовує
смарт-картки для аутентифікації зовнішнього доступу. Я отримала копію
форми, використовуваної для заявки на отримання смарт-карти, підробила
підпис адміністратора інформаційної безпеки на ній і передала
секретарю на затвердження. Той же трюк я використовувала, щоб отримати
пейджер. Вони були потрібні мені для моєї останньої атаки, коли я повинна
була координувати свої дії з спільниками.

Я послала смарт-карту та доданих до неї ПО своїм спільникам
нічним кур’єром, давши їм віддалений доступ до Novell-івської мережі
компанії. По телефону я повідомила їм свій ідентифікатор та пароль для
мережі Sun, до якої я отримала доступ як співробітник-контрактник. Я
дала їм номер модему, який я отримала запитавши одного із системних
адміністраторів. Тепер мої помічники могли також скомпрометувати
мережа Sun.

У ході збору інформації я встановила, що в компанії використовується
велике число Sun і PC-сумісних комп’ютерів. Тому я дістала
відповідні хакерські засоби і передала їх спільникам. Тепер
вони могли їх використовувати.

Вони почали сперехвата файлу паролів в мережі Sun і запуску на нього
програми вгадування паролів Crack. Вони розкрили приблизно 10
відсотків паролів. Факсом вони повідомили мені список скомпрометованих
ідентифікаторів, коли я повідомила про пріоритети в пошуку, використовуючи
оперативний довідник службовців компанії для встановлення особи
користувачів, які мають дані ілентіфікатори.

Потім я факсом повідомила їм найбільш пріоритетні ідентифікатори, а
також список ключових слів, які були ознакою критичної
інформації. Вони переглянули мій список і хакерських способом увійшли і в
інші комп’ютери Zed. Система віддаленого доступу, призначена для
запобігання неавторизованого доступу, не змогла запобігти
неавторизоване використання її авторизованими користувачами.

Один спільник зосередився на компрометації ПЕОМ. Використовуючи
смарт-карти, він отримав доступ до внутрішньої мережі по телефонних лініях.
Він просканував машини на наявність уразливих місць в кількох зонах,
які, як я сказала йому, були найважливішими. Він перехопив велике
кількість інформації в цих зонах.

Координація дій зі спільником усередині організації була причиною
успіху цієї атаки. Навіть, якщо сторонній зможе пройти через
механізми периметра безпеки, що малоймовірно, він не знає, де
шукати критичну інформацію. Більш ніж терабайт інформації є
на машинах компанії, і тільки гігабайт з них можна вважати
критичним. І лише мегабайт містить по-справжньому важливу інформацію,
описує технологію виробництва, розроблену в результаті
дослідних проектів. Комп’ютерний доступ не настільки вже важливий;
доступ до конкретної інформації – ось, що важливо.

Результати

Після трьох днів я звільнилася з роботи в Zed Technologies. Я отримала
більше ніж 300Мб критичної інформації. Я мала інформацію, в деталях
описує технологію виробництва п’яти найкращих продуктів
компанії, які повинні були принести мільярди прибутку. Я також
отримала велику кількість інформації майже про всі проекти
компанії, яка, будучи дана конкуренту, могла привести до дуже
великих втрат. Через обсягу отриманої інформації було дуже
імовірно, що я також отримала інформацію про виробництво більшості
інших проектів, але лише детальний перегляд даних міг сказати мені
це напевно.

До речі, ніхто не повідомив ні про що незвичайному. Незважаючи на мої нахабні
методи, ніхто не помітив, як я скомпрометувала основні проекти
компанії.

Примітно, що я використовувала ті самі методи, які
використовуються при атаках промисловими шпигунами. Я навіть не
встановлювала радіомікрофонів і не підключалася до телефонних лініях. Я
не намагалася завербувати співробітників. Я не рилася в сміттєвих корзинах.
Я витратила мало часу і грошей; реальна атака планувалася б і
виконувалася протягом місяців, і в це були б вкладені мільйони.

Хоча багато читачів думають, що Zed Technologies була ледачою
компанією з низьким рівнем безпеки, насправді все навпаки.
Той факт, що вони вирішили провести цей тест, свідчить про те,
що компанія зацікавлена ​​в цій захисту своєї критичної
інформації. До нещастя Zed зосередилася на захисті лише свого
периметра. Як тільки атакуючий отримував статус співробітника організації,
заходи захисту ставали марними, і їхня інформація піддавалася
ризику.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*