Наибольшая угроза — сотрудники компании

    imageДепартамент Государственной Безопасности США планирует объединиться с двумя институтами: SANS Institute и Mitre для того чтобы выпустить документ, направленный на ознакомление широкой публики с уязвимостями ПО, на котором работает большая часть веба, сделав его таким образом менее восприимчивым к атакам, участившимся в последнее время, не без помощи LulzSec и Anonymous.

    Как пишет The New York Times — это будет список из 25 наиболее распространенных программных ошибок, которые могут привести к серьезным и критичным хакам различных систем. Идея проста и заключается в том, чтобы научить частные компании и государственные организации работать с каналами и инструментами, которые используются взломщиками для получения конфиденциальной информации или доступа к серверам. Как правило для подобных атак используются общие дыры или ошибки в ПО.

    Согласно NYT — первой в списке стоит ошибка, делающая сервер неустойчивым против SQL-инъекций, которые использовали две уже упомянутые хакерские группы для получения данных.

    Инструкция будет включать в себя конкретные рекомендации для различных жестко-вертикальных структур, вроде банков или фабрик, рассказывая о том, какие уязвимости наиболее критичны в различных типах ПО и как они используются злоумышленниками.

    И хотя LulzSec (распускающаяся, а может быть и нет) и Anonymous отличались умом и сообразительностью в своих методах, наибольшую опасность как для государства, так и для корпораций представляют не программные ошибки, но собственные сотрудники.

    На этой неделе Bloomberg опубликовал замечательную статью: "Человеческие ошибки, идиотизм питающий хакинг" где достаточно глубоко рассматривается в первую очередь человеческий фактор, влияющий на утечку ценных данных (ведь в итоге сам по себе взлом системы, без последствий, не несет урона организации). И хотя на первый взгляд это может показаться беспочвенным обвинением, не будем забывать о том, что крупнейшая утечка в современной истории — WikiLeaks, произошла исключительно из-за доступа одного человека с носителем данных к конфиденциальной информации. По сообщениям людей хорошо знакомых с ситуацией, все что нужно было сделать Брэдли Маннингу (Bradley Manning) — вставить диск в компьютер и начать скачивать.

    Самое замечательное в истории с американским Департаментом Гос. Безопасности — это то, с какой артистичностью они подошли к проверке своих догадок об идиотизме как таковом. Агенты разбросали на парковке государственного учреждения компакт-диски и USB-накопители для того чтобы проверить, сколько из них будет поднято и в итоге загружено в компьютер. Не сообщается, какой процент от общей массы в итоге перекочевал в карманы приехавших на работу сотрудников (предполагаю что немалый), однако в итоге обычные флешки и диски загружались в 6 из 10 случаев, а те, на которых было нанесено официальное лого (SIC!) — в более чем 90% случаев.

    Одно дело, когда среднестатистический гражданин поднимает с земли флешку или диск с аббревиатурой "DHS" и совершенно другое, когда это делает работник государственной организации, которых специально учат возможным рискам и угрозам безопасности, в том числе и на таких конкретных примерах. Сама история с разбросанными дисками очень похожа на события, описанные в фильме «Сжечь после прочтения», когда Брэд Питт находит CD с банковской информацией другого человека и думает, что это сверхсекретная информация.

    Еще один интересный «пунктик», описанный в публикации Bloomberg, касается атак основанных на социальной инженерии, которые в последние годы становятся все более сложными и эффективными. Согласно отчету "State of Spam and Phishing" от Symantec (выпускающемуся ежемесячно) — за последний год количество фишинг-атак возросло на 6,7%. Меня лично, признаюсь, особенно радуют названия некоторых подвидов такой «рыбалки»: например «рыбалка копьем» или «spear phishing» отличается повышенной таргетированностью и ориентируется на отдельных индивидуумов или их группы, а так же «рыбалка на кита» (whale phishing) целящаяся на представителей среднего менеджмента.

    Слова Марка Раша (Mark Rasch) из Computer Science Corporation цитируются изданием во всей красе: «Правило №1 — не открывайте подозрительные ссылки, правило №2 — смотрите правило №1, правило №3 — смотрите правила 1 и 2».

    Как только цель фишинга переходит по ссылке, содержащей одну из 25 возможных угроз, с наибольшей вероятностью все что напишет DHS в своем послании «в народ» сразу же будет скомпрометировано. Когда дело доходит до безопасности (не только информационной) суть заключается в том, что наибольшая угроза для любой организации и структуры — люди работающие в ней, а не какая-то эзотерическая группа хакеров живущих в Интернете.

    За материал спасибо Bloomberg, The New York Times, ReadWriteWeb
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 56
    • +7
      Проснулись. Еще Кевин Митник пользовался социальной инженерией больше, чем чистым хакингом.
      • +26
        Еще профессор Мориарти пользовался социальной инженерией больше, чем чистым грабежом, воровством или убийством;)
        • 0
          Немцы тоже в свое время проводили социальный инжиниринг — разбрасывали детские игрушки. В свистульку дунул — челюсть оторвало, наручные часы завел — рук нет. Выжили самые осторожные и послушные. Неестественный отбор работает и тут.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              от отцов, что видели: и эти сверкающие глянцем красивые игрушки, и детей из тех кому повезло и оторвало всего лишь губы и нос. По слухам, из прельстившихся выживших было немного, да и выживших был недолгий век. Возможно и Борис Николаевичу не гранатой руку оторвало — иначе как объяснить что РГД-33 так тихо бахнула: самые тонкие пальцы у десятилетнего пацана, и больше ничего не задело, никто рядом тоже не пострадал
            • 0
              Это не самые страшные деяния немцев… Они каким только инжинирингом не занимались.
          • 0
            Насколько я помню он даже писал как позвонил хостеру, представился сотрудником компании N, и попросил пароль от сервера компании N.
            • 0
              Лучше поздно, чем насовсем. В любом случае, от этого сообщество только выиграет. Например, на сайте канадского Учреждения Безопасности Коммуникаций представлено внушительное количество довольно интересных документов, от исследований до руководств (здесь — Guidance), которые можно использовать в своей компании.
            • +3
              Проверка с раскиданными флешками и дисками — один из классических методов аудита безопасности уже несколько лет как.
              В контексте сразу вспоминается недавняя статья про Stuxnet, где атака тоже начиналась с зараженного ноутбука подрядчика. Вот уж где синтез знания психологии и железа в остром кибероружии…

              Правило 95% работает всегда:)
              • +2
                Американцы вновь открыли Америку.
                • 0
                  Человеческий фактор — бесконечная колыбель глупых, порой идиотских ошибок и поступков.
                  • +1
                    Странно, что документ выпускают не британские ученые
                    • +3
                      Капитан Очевидность — всегда прав.
                      • –1
                        А что плохого в том, что я подключу чужую флешку к своему компьютеру? Ну, худшее, что может быть — это пожгу USB-порт. Ну ядро на ошибки фс матюгнётся.

                        А что ещё?
                        • 0
                          А если флешка заражена вредоносным ПО?
                          • +2
                            А у amarao стоит Linux — ему это не страшно.
                            • +4
                              Не панацея.
                              Если «флешка» является USB-хабом, в который воткнуты флешка, мышь и клавиатура, то можно разных дел наделать.
                              • 0
                                Ага, а если флешка не USB а FireWire — то она может просто считать всю оперативку и послать её на спутник :).
                          • 0
                            То каким образом это ПО запустится?

                            Или вы предполагаете, что я, найдя флешку, и увидев там что-то вида ./some_cool_porn.deb запущу её на установку?

                            … Или же речь идёт о том, что я запущу прямо исполняемый файл? ./some_cool_porn?

                            Что за бред.
                            • +3
                              >То каким образом это ПО запустится?

                              usb очень хороший протокол.

                              никто немешает сделать прошивку для usb устройства, которая при подключении будет определяться, как клавиатура и слать сканкоды «alt-f2 /media/*/runporn.sh»
                              • +2
                                А вот это уже действительно интересно.
                              • 0
                                Вы не запустите, а большинство офисных работников — запустят, если там будут Пляшущие свинки
                            • +2
                              Если вы работаете, к примеру, в DHS, или CIA, и у организации, подкинувшей «флешку» есть достоверные разведданные о типах и версиях установленных в вашей конторе ОС, то вы, вероятно, ничего себе не пожгете, а «флешка», будучи воткнутой в ваш компьютер для начала определит тип ОС, в которой оказалась, а затем применит соответствующую неопубликованную 0-day уязвимость в вашей ОС для установки «полезной нагрузки» а-ля Stuxnet. Как-то так.
                              • +1
                                2.6.39-2-amd64 #1 SMP Wed Jun 8 11:01:04 UTC 2011 x86_64 GNU/Linux

                                М… Я так и не понял, кто именно запустит код с уязвимостью. Допустим, лежит файл, кто его запускать-то будет?
                                • +1
                                  Я так думаю, что имелась в виду не простоая флешка, а целый компьютер внутри кортпуса флешки — благо такое возможно.
                                  Этот компьютер будет отвечать на уровне USB протокола так чтобы используя 0-day уязвимость в драйверах Linux заставить исполнить произвольный код заражения.
                                  • +1
                                    То есть вы полагаете, что в драйвере usb, scsi и mass-storage обязательно есть дырка? А если её нет? Трагедия?

                                    Область атаки очень узкая получается.
                                    • 0
                                      не просто узкая, а сверх-узкая. Причём как по времени существования так и по окну применимости.
                                      • 0
                                        Есть 2 уровня ниже драйверов. BIOS. Чипсет.
                                        • 0
                                          биос? Чипсет? Каким образом с ними будет осуществляться взаимодействие при запущенной ос? (уточняю: каким образом программа в ППЗУ получит управление?)
                                          • 0
                                            Она уже получила управление. Задолго до старта ОС. И передает его ОС только на определенных условиях и на определенные промежутки времени. Если захочет.
                                            • 0
                                              Каким образом? Вот таким, например: www.rbcdaily.ru/2011/07/01/cnews/562949980556623 ))) И этот способ не единственный.
                                          • +2
                                            >То есть вы полагаете, что в драйвере usb, scsi и mass-storage обязательно есть дырка? А если её нет? Трагедия?

                                            где-то всегда есть дырка. в каком-то поганом драйвере лампочки на usb-вебкамере найдется.

                                            или еще лучше:
                                            — ищем любую remote уязвимость в любой юзерспейсовой программе из штатного набора
                                            — льем в usb устройство прошивку, которая изображает usb-cdc с сетевым интерфейсом
                                            — суем туда же dhcp сервер

                                            радостный network manager при обнаружении новой железки бегом бросается искать там dhcp, после все ремоут уязвимости могут быть проэксплуатированы.

                                            а еще по тому же самому dhcp можно подсунуть левые роуты и вообще начинается праздник жизни.
                                            • +2
                                              Вдобавок: «Если кто-то имеет физический доступ к вашему компьютеру — это уже не ваш компьютер.»

                                              А если вспомнить ещё и про способность интеловской EFI при выключенном компьютере давать удаленный доступ по сети. то получается: «Если кто-то имеет физический доступ к вашей сети — это при определённых условиях может привести к тому что это уже не ваша сеть.»
                                              • 0
                                                но всё-равно, как мне кажется, это узкая дырочка. А вот ниже упомянутые макровирусы, способные выбраться из песочницы своего контейнера — дырища.
                                                • 0
                                                  >А если вспомнить ещё и про способность интеловской EFI при выключенном компьютере давать удаленный доступ по сети

                                                  щтоу?
                                                  • 0
                                                    Ну естественно при выключенном — кнопкой, а не обесточенном компе.

                                                    В EFI есть «модуль» для поддержки TCP/IP стека, а возможность удалённого управления «выключенным» компом даже была одной из маркетологовых заманух.
                                                    • 0
                                                      tcp/ip стэк можно куда угодно засунуть. практическая польза-то какая?
                                                      • 0
                                                        «Удалённый доступ „Администратора сети“».
                                                        К компу… даже выключенному сотрудником… конечно ради проведения регламентных или ремонтных работ…
                                                        • 0
                                                          ну а теперь с маркетингового на русский переведите, что это все-таки значит.
                                                          • 0
                                                            потенциальный сетевой бэкдор. по версии маркетологов им управляет админ, по версии специалистов — им управляет кто сможет.

                                                            Встраивается ли сейчас ВЕЗДЕ эта фича — не знаю.
                                                            • –1
                                                              >потенциальный сетевой бэкдор

                                                              это не бекдор а пример FUD и маркетоидного буллшита.

                                                              потомучто вообще непонятно как он активируется, кто к нему получает доступ (на каком основании) и какие вещи может делать.
                                        • +6
                                          08.03.2011 www.opennet.ru/opennews/art.shtml?num=29834
                                          В USB-драйвере caiaq найдена уязвимость, позволяющая инициировать переполнение буфера и выполнение кода злоумышленника через подключение специально сконфигурированного USB-устройства к работающему под управлением Linux компьютеру. Используя данную уязвимость, злоумышленник может воспользоваться имеющимися в продаже недорогими программируемыми USB-платами для организации выполнения своего кода c правами ядра Linux в любой системе к USB-порту которой он может получить доступ.
                                          • +1
                                            Ага, спасибо.

                                            Ок, теоретическая возможность показана. Теперь следующий момент — нужно попасть на нужную версию нужного ПО нужного человека. Всё-таки мне кажется, это слишком узкая область.
                                            • +5
                                              Одно дело, когда ты — Неуловимый Джо, и самое ценное у тебя на винте — это архив откровенных фоток жены (девушки, друга — нужное подчеркнуть). А другое дело — если ты директор ЦРУ и у тебя на рабочем компе хранятся личные дела агентов-нелегалов. Тут специально для тебя в флэшку не то что микрокомпьютер а целый термоядерный реактор засунут.
                                              • 0
                                                Можно уточнить, почему в компьютер с данными агентов-нелегалов втыкается флешка?
                                                • 0
                                                  Затем же, зачем и в компьютер, управляющий атомной станцией.

                                                  Ну а вообще — ценные данные могут быть не только у ЦРУшников. Простой главбух может периодически таскать домой отчеты на флэшке — чтобы дома досводить дебит с кредитом. А у него там на компе могут быть и базы 1С, и данные по клиентам, и ключи к клиент-банкам — вобщем золотое дно. А главбухи, особенно наши, российские, куда как менее трепетно относятся к ИБ.
                                                  • 0
                                                    У меня в предыдущей конторе нет никаких «флешек домой» — удалённый доступ и всё.

                                                    На текущей работе у меня из ценных данных — только запароленный ssh-ключ, всё остальное на серверах.
                                                    • +1
                                                      А вы, стало быть, простой главбух? ;)

                                                      Первое правило профессионала: не пытаться бороться с профессионалом.
                                      • 0
                                        1) автозапуск
                                        2) зараженные документы
                                        кто удержится чтобы не кликнуть на
                                        зарплаты_сотрудников_за_2011.doc
                                        =)
                                        • 0
                                          Кто запустит автозапуск? Не, я реально не понимаю.

                                          доки я обычно strings'ом читаю — так быстрее.
                                          • +1
                                            Вы возможно, но сотрудники подобных гос организаций вряд ли пользуются линухом.

                                      • 0
                                        все таки рассчитано на массовость
                                        сколько в общей массе — народу — не фига не понимающих в комп.безопасности?

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.