Аудиты безопасности и тесты на проникновение

1
Тест на проникновение в режимах «серый ящик» и «белый ящик» телеком-компании

Телеком-компания среднего размера, мотивированная выполнять внешние требования безопасности, запросила у нас построение комплексной системы защиты информации и проведение общей оценки безопасности. В качестве режимов пентеста заказчиком были выбраны «серый ящик» и «белый ящик». Целевые объекты пентеста: внешние сервера, DMZ, Web-приложения, а также внутренние узлы локальной сети. В ходе проекта были обнаружены следующие уязвимости и недостатки:

  • Ошибки конфигурации сети, отсутствие сегментации (отсутствие отдельного VLAN для управляющих интерфейсов устройств iLO, IMPI, IP KVM и т. д.).
  • Слабые пароли в активном сетевом оборудовании.
  • Доступность скрытых ресурсов (ADMIN$, C$, D$ и др.).

В результате эксплуатации уязвимостей были получены документы, содержащие конфиденциальные данные. Таким образом, был смоделирован несанкционированный доступ злоумышленников. Заказчик получил исчерпывающий отчёт об уязвимостях и способах их ликвидации.

Узнайте больше о тестировании на проникновение.

2
Аудит безопасности промышленных ИТ и ОТ для пивзавода

В ходе инвентаризации ИТ- и ОТ-активов большого пивзавода мы помогли ему составить полный реестр активных устройств (компьютеры, ПЛК, панели оператора, преобразователи частоты, управляемые и неуправляемые коммутаторы и т. д.). Затем мы проверили режим доступа к системам и обнаружили серьёзные нарушения. Затем мы выполнили проверку наличия паролей на всех устройствах, которые его поддерживают.

В ходе аудита мы проверили наличие исходных кодов для всех программируемых устройств. Некоторые исходные коды хранились в ненадежном состоянии. Мы проверили соответствие их оффлайн и онлайн версий, и провели синхронизацию нескольких версий. После этого мы проверили версии прошивок ПЛК (Siemens S7-315, S7-416, S7-1215, S7-1515, Schneider Electric Quantum, M251) и версий программного обеспечения HMI/SCADA (WinCC SCADA, Citect SCADA) на предмет наличия критических обновлений. Также на этом этапе мы изучили наличие и стойкость шифрования всех сетей, которые его поддерживают.

Затем мы проверили все системы на предмет наличия вирусов, шифровальщиков, криптомайнеров и прочего вредоносного ПО, а также на предмет технических уязвимостей систем.

Наконец, мы оценили риски и дали рекомендации по устранению недостатков и снижению рисков. Все результаты были оформлены в виде подробного отчёта по оценке безопасности.

Узнать больше об услугах безопасности промышленных ИТ и ОТ, а также о безопасности SCADA.

Технико-экономическое обоснование управления рисками безопасности промышленных ИТ и ОТ.

3
Пентест финансовой организации для соответствия требованиям PCI DSS

Небольшая финансовая организация, подключенная к международным платёжным системам Visa и Mastercard, столкнулась с необходимостью выполнять требования стандарта PCI DSS. Среди них есть требование регулярного проведения внешнего и внутреннего тестирования на проникновение. В результате анализа области охвата инфраструктуры (среды данных держателей карт) с заказчиком были согласованы подробные параметры внешнего пентеста, включая режимы «серый ящик» и «чёрный ящик», а также перечень целевых объектов, которые представляли собой сервисы и веб-приложения, опубликованные в Интернет.

В результате пентеста были обнаружены множественные уязвимости в веб-приложениях (инъекции PHP, межсайтовый скриптинг, прямые ссылки на объекты, отсутствующие механизмы обновления ПО, конфигурации веб-сервера по умолчанию, отсутствие контроля доступа на уровне функций, переполнения буфера и ошибки в коде веб-приложений).

По результатам проекта не было обнаружено реальных путей проникновения, а только потенциальные. Заказчик получил исчерпывающий отчёт о данных путях и способах повышения защищённости инфраструктуры. Отчёт был выполнен в соответствии с требованиями PCI DSS, включая описание методики тестирования на проникновение, которая применялась в ходе работы.

Узнайте больше о тестировании на проникновение.

4
Внешний тест на проникновение национальной сети аптек

Одна из сетей аптек национального масштаба заказала у нас внешний пентест своей компьютерной сети. Заказчиком был выбран режим «чёрный ящик».

В ходе проекта было обнаружено, что вся критическая инфраструктура ИТ находится за файрволом (межсетевым экраном). Казалось, нет шансов проникнуть. Тогда мы решили проверить точки продаж, и проверили несколько аптек. В одной из них был маршрутизатор Microtik с паролем по умолчанию. У этого типа маршрутизаторов пустые пароли по умолчанию, поэтому маршрутизатор был «скомпрометирован». Маршрутизатор имел OpenVPN, хранил сертификаты локально и позволял сниффинг. Мы перехватили сетевой трафик и нашли конфиденциальную информацию системы учёта продаж и бухгалтерской системы. Затем мы извлекли сертификаты из маршрутизатора, создали ложную точку продаж и соединились с сервером VPN. Мы представились обычной аптекой и таким образом проникли во внутреннюю инфраструктуру заказчика, которая была защищена файрволом и казалась непробиваемой. Мы изучили внутреннюю сеть Active Directory, нашли сервер SQL с доменной аутентификацией и проникли в него, используя пароль, предварительно извлечённый с помощью утилиты mimikatz.

Проект был выполнен с заключением, что проникновение возможно, и уровень информационной безопасности заказчика низкий. Заказчик получил результаты оценки рисков, информацию об уязвимостях и рекомендации о том, как их устранить, а также как усилить безопасность инфраструктуры ИТ.

Узнайте больше о тестировании на проникновение.

5
Внутренний пентест большого промышленного производства

Крупному заводу с персоналом до 10 000 сотрудников понадобилось оценить соответствие внутренней инфраструктуры ИТ требованиям безопасности. Завод заказал у нас тест на проникновение в режимах «серый ящик» и «белый ящик». В качестве целевых объектов пентеста были выбраны сервера локальной вычислительной сети. В ходе проекта были обнаружены следующие уязвимости и недостатки:

  • Недостатки в процессах мониторинга событий и реагирования на инциденты безопасности (отсутствие мер предотвращения вторжений и восстановления после инцидентов).
  • Недостатки управления конфигурациями (бесконтрольные тестовые и гостевые узлы в корпоративном домене).
  • Недостатки управления доступом и привилегиями (открыт вход по ssh для стандартной учётной записи root; единая учётная запись администратора для управления DC, сетевым оборудованием и пользовательскими рабочими станциями).
  • Другие технические уязвимости (разрешено авто-обнаружение прокси для ПО).

В ходе проекта был смоделирован несанкционированный доступ инсайдеров. Заказчик получил исчерпывающий отчёт об уязвимостях и способах их ликвидации.

Узнайте больше о тестировании на проникновение.

6
Анализ инфраструктуры предприятия розничной торговли

У ритейлера среднего размера были внедрены внутренние и внешние требования информационной безопасности. Данные требования предписывали выполнение полного анализа инфраструктуры предприятия, включая тесты на проникновение в режимах «серый ящик» и «белый ящик». В ходе пентеста были обнаружены следующие уязвимости и недостатки:

  • Уязвимости в веб-приложениях (отсутствие проверок валидности запросов в приложениях, передача данных по незашифрованному каналу HTTP).
  • Недостатки управления привилегиями (доменные учётные записи различных сервисов и приложений имели слишком высокие привилегии).
  • Возможность подделки электронной корреспонденции (отсутствие систем подписи DKIM/DMARC на почтовых серверах).
  • Недостатки процесса мониторинга событий безопасности (отсутствие настройки «auditd» по событиям).
  • Возможность несанкционированного подключения устройств в сети (DHCP snooping, отсутствие port security).

В ходе пентеста в качестве демонстрации уязвимостей был смоделирован несанкционированный доступ к сетевому оборудованию. Заказчик получил полный отчёт об уязвимостях и способах их ликвидации.

Узнайте больше о тестировании на проникновение.

7
Пентест функционала криптовалютной биржи

К нам обратилась компания, которая планировала выйти на перспективный рынок криптовалют. Для осуществления этой цели в компании было разработано Web-приложение с функционалом криптовалютной биржи. Перед публикацией приложения в публичном доступе компанией было принято решение выполнить для него аудит информационной безопасности методами тестирования на проникновение по методологии OWASP. С этим запросом они обратились к нам.

Тестирование проводилось в режиме «черный ящик»: на начальном этапе аудиторы имели в своём распоряжении лишь адрес URL тестируемого приложения.

В ходе проведения пентеста были выявлены и подтверждены следующие действия, которые могли совершить злоумышленники:

  • Воспользоваться отсутствием фильтрации входных данных в функционале «комнаты переговоров» и провести атаку XSS на пользователя или администратора. Это было успешно подтверждено при открытии диалога тестовой жертвой (пользователем или администратором, которому было передано сообщение). Функционал скрипта мог быть любым, например, скрытый майнинг, поддельная форма аутентификации и т. п., вплоть до полного контроля над компьютером жертвы.
  • Воспользоваться недостатками функционала загрузки файлов в web-приложение и получить доступ к файловой системе сервера (возможность читать, загружать, удалять файлы), выполнять на сервере произвольные команды, выполнять запросы SQL, выполнять соединения с интерфейса сервера к другим системам, т. е. фактически злоумышленник получил бы полный контроль над сервером и возможность полной компрометации данных.
  • После получения контроля над сервером, воспользоваться недостатками криптографической защиты, в частности, отсутствием контроля целостности данных проведения транзакций в приложении, и вносить изменения в баланс счёта.
  • Обойти проверку при отправке сообщений и выдать себя за другого пользователя или администратора, таким образом, ввести жертву в заблуждение и совершить мошеннические действия.
  • Идентифицировать зарегистрированных пользователей.
  • Совершать атаки на пароли пользователей.
  • Получать несанкционированный доступ к файлам, которые загрузили другие пользователи.

Заказчик получил исчерпывающий отчёт об уязвимостях и способах их устранения. После устранения уязвимостей аудиторами была проведена проверка устранения недостатков, обнаруженных ранее. И только после этого web-приложение было опубликовано в Интернет.

Таким образом, проведение аудита методами тестирования на проникновение избавило заказчика от возможных репутационных проблем и финансовых убытков.

Узнайте больше о тестировании на проникновение.