Название компании и имена служащих изменены. Кpоме того, изменены некотоpые детали, котоpые могут помочь установить истинное название компании.
Начальник сидел и молчал, после того как я показал ему полную документацию по пpоизводству самого пеpспективного пpодукта, котоpый сейчас pазpабатывается их компанией. Он пpодолжал молчать, когда я положил на стол гpафик pазpаботки основных пpодуктов компании. Он откинулся в кpесле, когда я выложил на стол несколько документов, описывающих позицию компании в многомиллионном контракте. Наконец, начальник заговоpил: "Я думаю, мы должны быть счастливы, что вы не pаботаете на наших конкуpентов".
Я укpал все это и кое-что еще, маскиpуясь под служащего по контpакту. Вы думаете, что это компания со слабой безопасностью? Нет. В этой оpганизации пpоводится в жизнь великолепная пpогpамма пеpиметpа безопасности, включающая сильные меpы по упpавлению доступом и механизмы физической безопасности. Тем не менее, администpатоp безопасности, подозpевал, что они могут быть уязвимы к хоpошо скооpдиниpованной атаке служащих. Он вызвал меня для того, чтобы пpовеpить сколько инфоpмации сможет укpасть шпион.
Я был у них всего тpи дня. Я укpал все, что у них было.
Начало
Недавно на конфеpенции я познакомилась с Генpи, администpатоpом безопасности Zed Technologies, большой высокотехнологичной фиpмы с ежегодным объемом пpодаж свыше 5 миллиаpдов доллаpов. Генpи знал о моем опыте с области тестиpования на пpоникновение и попpосил меня встpетиться позже, чтобы обсудить возможность пpотестиpовать их безопасность.
Генpи был кpайне озабочен откpытой сpедой в Zed - типичной для большинства фиpм, пpоводящих исследования. Как и многие большие компании, Zed имела много служащих-контpактников и обслуживающего пеpсонала. Эти люди имели доступ к pазличной инфоpмации и отбиpались столь стpого как постоянные служащие. Генpи беспокоился о потенциальном ущеpбе, котоpый они могут пpинести. Чтобы пpовеpить это, он попpосил меня выполнить тестиpование на пpоникновение, в ходе котоpого я поступлю на pаботу в компанию как служащий-контpактник, но должен укpасть столько инфоpмации, сколько смогу.
Мне было дано pазpешение делать все, что угодно, но не наносить вpеда компании и людям. Сотpудник гpуппы инфоpмационной безопасности должен находиться поблизости, всякий pаз, когда я выполняю незаконные действия, чтобы обеспечить локализацию инцидента в случае успешной компpометации. Мне также будут выданы деньги для найма сообщников вне оpганизации.
Чтобы имитиpовать pеальный шпионаж, я хотел осуществить полномасштабную атаку на компанию, используя как технические, так и нетехнические сpедства. В частности я выбpала 5 категоpий атаки: анализ откpытых источников, выдавание себя за другого, использование доступа для злоупотреблений, хакерские действия изнутри организации и координация действий с внешними сообщниками.
Сбор информации
До моего разговора с Генри я ничего не знала о Zed Technologies. И мне нужно было познакомиться с ней, чтобы украсть оттуда важную информацию.
Информация из библиотек Интернета обеспечила меня огромным количеством информации. Из архивов новостей я установил наиболее перспективные направления исследований в компании, финансовые затраты на проекты компании и объем потенциальных продаж. Я также узнал имя руководителя исследовательской группы, работающей над проектом, и получил краткую информацию о выпускаемых компанией продуктах и людях, участвовавших в их разработке.
Из других открытых источников я установил имена руководителей подразделений компании, финансовое состояние компании и разнообразную общую информацию о компании и ее политике организации работы сотрудников. Поиск в Интернетовских телеконференциях строки с названием компании выявил десятки служащих компании. Письма служащих в группы новостей компьютерной тематики рассказали мне об оборудовании и программных средах, использующихся в компании. Письма в нетехнические группы помогли мне выявить области интересов служащих, посылавших эти письма. Другие источники в Интернете дали мне дополнительную информацию о сотрудниках и их интересах.
В результате выполнения команд host с параметром - доменным именем компании в Интернет я получил список всех компьютерных систем, а также информацию об их ОС. В результате этого я установил IP-адреса компании, типы систем, используемых в компании и приблизительное число используемых компьютеров.
Газета компании, которую я выписал и получил, также помогла мне. В ней руководство компании описывало шесть главных проектов компании и приводил имена большого числа сотрудников, работающих над этими проектами. Эта информация оказалась очень полезной при дальнейших действиях.
Наглая ложь
Так как у меня было только три дня на проведение шпионских действий, я был вынужден действовать более нагло, чем это обычно делает промышленный шпион. Я попытался применить тактику выдавания себя за другого: я решил представиться как администратор по информационной безопасности.
Перед прибытием на место, я сделал бизнес-карту, которая выглядела точно так же, как карта, сделанная в Zed Technologie, в которой было указано мое имя и должность - администратор информационной безопасности. В местном магазине мне сделали карты менее чем за день, используя реальную бизнес-карту как образец.
По прибытии я занялся формальностями как любой временный рабочий. Я заполнил некоторые бумаги, в которых я указал ложную информацию, включая свой номер социального страхования, адрес и телефонный номер. Кадровик дал мне пропуск и показал мне мою комнату для работы. Я был удивлен, когда обнаружил, что мое имя уже добавлено в телефонный справочник компании.
Не уверенный в результате моих хитростей, я начал свою работу с звонка исследователю, работающему над самым перспективным проектом компании. Я сказал ему, что я только что устроился на работу и мне была поставлена задача - защиты секретов компании. Поэтому я должен установить, что хуже всего защищено и где эта информация хранится. После нескольких мирнут разговора исследователт рекомендовал мне обратиться к Стенли, руководителю группы, работающей над проектом. Я позвонил Стенли и назначила встречу с ним.
Играть роль агента конкурирующей корпорации - волнующая работа, и я беспокоился о том, что я смогу сказать или сделать, если меня поймают. Я почти надеялся, что кто-то должен начать задавать мне вопросы, чтобы проверить, правду ли я говорю, и я готовился к такой беседе, чтобы проверить свои способности как шпиона. Но я так и не смог их проверить. Ни один работник не заинтересовался мной.
Встретившись со Стенли я снова заявил, что я недавно взятый на работу администратор по информационной безопасности. Я дал ему свою бизнес-карту и заявил, что мне поставлена задача защитить информацию компании. Я попросил его детально описать мне, какая информация является критической и какие люди имеют к ней доступ.
Стенли сказал мне, что самя критическая - это информация о технологии изготовления продуктов, помимо большого числа других видов важной информации. Я спросил его, есть ли источник, из которого можно взять полную информацию о технологии производства. В ответ он показал мне книгу с копиями заметок с рабочих совещаний группы и список рассылки, члены которого получают эти заметки. Я явно попросил его дать мне копию этих заметок. Стенли не только дал мне копии всех заметок из книги, но даже добавил меня в это список рассылки.
Стенли помог мне еще раз: он сказал мне, что начальник отдела взаимодействия с государственными организациями и коммерческий менеджер проекта скомпилировали информацию и рекомендовал мне поговорить с ними. После беседы со Стенли я вернулся в свою комнату и назначил встречу с Марком, начальником, о котором говорил Стенли.
При встрече с Марком я снова использовал свою фальшивую бизнес-карту и ложь о работе в отделе информационной безопасности. Вы не поверите, но моя работа стала становиться скучной после того, как я стал играть роль администратора безопасности, беседующего с людьми об обработке и хранении критической информации. Я должен был продолжать играть свою роль и говорить о массе ненужных мне деталей. Но мое терпение было вознаграждено. Марк и я в конце концов дошли до сделанных его отделом документов, и я узнал о типах документов, местах хранения файлов в сети, группе ответственных за архивацию файлов и имя человека, ответственного за их хранение. Марк даже упомянул один документ, содержащий спецификацию технологии продукта.
Затем я вернулся в мою комнату и стал просматривать заметки о рабочих совещаниях, которые Стенли дал мне. Помимо массы критической информации я обнаружил настоящее скоровище в сообщении от Марка. В нем он указывал местоположение черновиков документов, переданных правительству США. В следующем предложении он давал пароль для доступа к этому документу.
Я не могла поверить своим глазам. В этих двух предложениях мне были даны ключи к документу, который содержал всю информацию о технологии производства для проекта, который был мне наиболее интересен. Я вернулся на свой компьютер, и вскоре получил доступ и скопировал документ. Так я украл информацию, стоящую миллион долларов для компании.
Но дальше мое удивление еще более возросло; в той же директории, где я только что нашел это сокровище, находились аналогичные документы о двух других приоритетных проектах компании. В этот момент времени, менее чем за день, я скомпрометировал три самых перспективных проекта Zed Technologies, и мог теперь сама производить эти продукты.
Вдохновленный таким успехом, я начал сканировать другие файловые системы, которые не были защищены паролями. Я пытался получить доступ только в те файловые системы, в которых, как я полагал после встреч с Марком и Стенли, может находиться критическая информация. Мне не были нужны лишние документы. За несколько часов я скопировал более 125 Мб данных.
На следующий день я встретился со Стивеном, коммерческим менеджером второго по величине критичности проекта. Теперь исчезли все мои опасения относительно своей поимки. Пора было сосредоточиться на типах информации, которую используют и создают коммерческие менеджеры.
После объяснений, что мне нужно увидеть то, за что я отвечаю как член группы информационной безопасности, я попросил Стивена кратко показать процесс его доступа к файлам. Я попытался подглядеть пароль, который он использовал, но не смог из-за неудобного положения. Стивен подчеркнул мне важность ежеквартальных коммерческих отчетов, которые, как он сказал, содержат очень критическую информацию, такую как детали производства. Пока он говорил, я заметил, что в его комнате нет замка на двери. Также я увидел на его столе коробку для дискет с надписью "коммерческие отчеты".
Я вернулся в мою комнату и сразу же попытался получить доступ к файловой системе Стивена. Я использовал несколько типовых комбинаций в качестве пароля и обрадовался, когда одна из них оказалась правильной и я получил доступ к его файлам. Как оказалось, каждый коммерческий менеджер отвечает за несколько проектов, поэтому файлы Стивена содержали информацию о большом числе проектов.
Мое веселье возросло, когда я обнаружил, что все коммерческие менеджеры используют одну и ту же файловую систему для хранения своих файлов. Мне даже не понадобились диски со стола Стивена. У меня оказались коммерческие отчеты всех проектов, которые меня интересовали. Я выиграл джек-пот.
Позднее я узнал, что скомпрометировал все основные проекты компании, кроме одного. И для этого мне понадобилось только полтора дня. Никто не сообщил ни о каких подозрительных признаках. Моя легенда не была никем проверена. Настоящий промышленный шпион вылетел бы на ближайшем самолете из этого города.
Вечерние поиски
Атака с выдаванием себя за другого была, тем не менее, только одним из методов, которые я использовал. Как вы помните, я получил пропуск в компании. После моего первого дня работы в Zed Technologies я пообедал и вернулся в мою комнату с моим пропуском.
Несколько уборщиков ходили по зданию, когда я начал искать незапертые шкафы, комнаты и ящики на столах. Я осмотрел компьютеры, которые не были защищены с помощью устройств блокировки рабочих станций, требуемых согласно руководящим документам компании. Было невозможно избежать встреч с уборщиками, поэтому я решил не скрывать свое присутствие. Это было рискованно, но хуже было бы, если бы я пытался спрятаться.
В первом помещении, которое я наметил, размещались юридический отдел и отдел по лицензированию. Там я получил документы о завершенных проектах, включая достоинства и недостатки каждой потенциальной лицензии. Я также нашел хороший материал об идущих судебных процессах, включая описание позиции компании. Наконец, я нашел практически готовую заявку на патент, которая еще не была отослана.
Я прошел во второе помещение, в котором находились разработчики. Я нашел отчеты о проблемах с продуктами и другие критические бумаги, находившиеся на столах. В незапертом шкафу я нашел технологическую информацию о еще двух проектах, в которые могли принести сотни миллионов долларов инвестиций и потенциальных продаж.
В одной комнате, куда я вошел, был настоящий бардак. Бумаги лежали повсюду, и два компьютера были оставлены без устройств блокировки. Два монитора были выключены, но я просто включил один и обнаружил, что сотрудник все еще работает в программе электронной почты. К счастью для меня, он сохранял письма. Я просмотрел их и нашла сообщение, содержащее основной график разработки, один из самых критических документов компании.
Поиск после работы может показаться старомодным и чересчур простым, но он дал мне огромное количество критической информации. Шпионаж включает использование простых, но эффективных методов. Эта вечерняя работа продемонстрировала выгоды просмотра незащищенной информации. Я не вскрывал никакие замки и не оставила никаких признаков своего присутствия.
Хакерство изнутри
Я принес с собой в Zed Technologies лэптоп Sun, специально сконфигурированный для хакерства изнутри в компании на основе той информации, которую я узнал из открытых источников. Я поставил на лэптоп Internet Scanner фирмы Internet Security Systems Inc. и большое число хакерских средств, которые проникают в систему через уязвимые места, обнаруженные сканнером. Когда я пришел в свою комнату в Zed, я отключил офисную ПЭВМ от ЛВС и подключила к ней свой Sun.
Сначала я запустил сканнер на главные компьютерные системы, и он обнаружил известные уязвимые места на нескольких экспортируемых файловых системах, которые, как я знал, содержат критическую информацию. Оставалось только выполнить попытку подбора паролей для выявленных идентификаторов пользователей. Три идентификатора почти сразу же были скомпрометированы.
Я смонтировал экспортируемые файловые системы на моей ПЭВМ и попытался скопировать критические директории в мою систему. Я смог скопировать почти все, но была несколько разочарован, когда доступ к некоторым файлам оказался ограничен. Затем я подключился к удаленному компьютеру, используя один из скомпрометированных с помощью сканнера идентификаторов и скопировал одну из хакерских программ на этот компьютер. Я не очень-то надеялся на эту программу, но все равно попытался ее запустить.
Я буквально подпрыгнул в кресле, когда получила подсказку "#" - я получил доступ как root. Теперь меня ничего не сдерживало кроме объема диска на моем компьютере, и я скопировал все, что счел важным. Я использовал несколько люков в ОС и перешел к исследованию других компьютеров.
Таким образом я получил свыше 200 Мб информации, считавшейся крайне критической. Уязвимое место, которое я использовал, было только недавно выявлено, но информация об изменениях в ОС для его заделывания уже была доступна. Компания просто поленилась установить заплатку. Теперь они узнали это лучше.
Хакерство с помощью друзей
В ходе операции по выдаванию себя за администратора информационной безопасности, я узнал о том, что Zed Technologies использует смарт-карты для аутентификации внешнего доступа. Я получил копию формы, используемой для заявки на получение смарт-карты, подделал подпись администратора информационной безопасности на ней и передал секретарю на утверждение. Тот же трюк я использовал, чтобы получить пейджер. Они были нужны мне для моей последней атаки, когда я должен была координировать свои действия с сообщниками.
Я послал смарт-карту и прилагавшееся к нему ПО своим сообщникам ночным курьером, дав им удаленный доступ к Novell-овской сети компании. По телефону я сообщил им свой идентификатор и пароль для сети Sun, к которой я получил доступ как сотрудник-контрактник. Я дал им номер модема, который я получил спросив одного из системных администраторов. Теперь мои помощники могли также скомпрометировать сеть Sun.
В ходе сбора информации я установил, что в компании используется большое число Sun и PC-совместимых компьютеров. Поэтому я достал соответствующие хакерские средства и передала их сообщникам. Теперь они могли их использовать.
Они начали сперехвата файла паролей в сети Sun и запуска на него программы угадывания паролей Crack. Они вскрыли приблизительно 10 процентов паролей. Факсом они сообщили мне список скомпрометированных идентификаторов, когда я сообщил о приоритетах в поиске, используя оперативный справочник служащих компании для установления личности пользователей, имеющих данные илентификаторы.
Затем я факсом сообщил им наиболее приоритетные идентификаторы, а также список ключевых слов, которые являлись признаком критической информации. Они просмотрели мой список и хакерским способом вошли и в другие компьютеры Zed. Система удаленного доступа, предназначенная для предотвращения неавторизованного доступа, не смогла предотвратить неавторизованное использование ее авторизованными пользователями.
Один сообщник сосредоточился на компрометации ПЭВМ. Используя смарт-карты, он получил доступ к внутренней сети по телефонным линиям. Он просканировал машины на наличие уязвимых мест в нескольких зонах, которые, как я сказала ему, были самыми важными. Он перехватил большое количество информации в этих зонах.
Координация действий с сообщником внутри организации была причиной успеха этой атаки. Даже, если посторонний сможет пройти через механизмы периметра безопасности, что маловероятно, он не знает, где искать критическую информацию. Более чем террабайт информации имеется на машинах компании, и только гигабайт из них можно считать критическим. И лишь мегабайт содержит по-настоящему важную информацию, описывающую технологию производства, разработанную в результате исследовательских проектов. Компьютерный доступ не столь уж важен; доступ к конкретной информации - вот, что важно.
Результаты
После трех дней я уволился с работы в Zed Technologies. Я получил более чем 300 Мб критической информации. Я имел информацию, в деталях описывающую технологию производства пяти самых лучших продуктов компании, которые должны были принести миллиарды прибыли. Я также получил большое количество информации почти обо всех проектах компании, которая, будучи дана конкуренту, могла привести к очень большим потерям. Из-за объема полученной информации было очень вероятно, что я также получил информацию о производстве большинства других проектов, но только детальный просмотр данных мог сказать мне это наверняка.
Кстати, никто не сообщил ни о чем необычном. Несмотря на мои наглые методы, никто не заметил, как я скомпрометировал основные проекты компании.
Примечательно, что я использовал те самые методы, которые используются при атаках промышленными шпионами. Я даже не устанавливал радиомикрофонов и не подключался к телефонным линиям. Я не пытался завербовать сотрудников. Я не рылся в мусорных корзинах. Я потратил мало времени и денег; реальная атака планировалась бы и выполнялась в течение месяцев, и в это были бы вложены миллионы.
Хотя многие читатели думают, что Zed Technologies была ленивой компанией с низким уровнем безопасности, на самом деле все наоборот. Тот факт, что они решили провести этот тест, свидетельствует о том, что компания заинтересована в настоящей защите своей критической информации. К несчастью Zed сосредоточилась на защите только своего периметра. Как только атакующий получал статус сотрудника организации, меры защиты становились бесполезными, и их информация подвергалась риску.
Торгова бурса ![[Vox.com.ua] Портал українця](http://www.vox.com.ua/button.gif){kind=small}