O ano era 2020, as pessoas ficaram encantadas ao ler outro artigo sobre o quão ruim é abrir cartas de estranhos, especialmente com anexos, o quão perigoso é inserir pen drives duvidosos em um computador, como em um país distante os hackers transferiram milhões de dólares de conta para conta no estalo de seus dedos. A análise, que dizia que 7 em cada 10 bancos podem ser invadidos pelos esforços de dois hackers em algumas noites, parecia comum em 2020. Quanto aos usuários comuns, eles nem estavam com medo: apenas perceberam essas notícias como um universo separado da Marvel e, ocasionalmente, pediam a cientistas da computação conhecidos para invadir o VK. E apenas especialistas em segurança entendiam que nem tudo era tão simples quanto parece ...
Em 2020, a palavra "pentest" já é familiar para muitos, e todas as empresas maduras realizam esse trabalho regularmente. Alguns até formaram uma equipe de especialistas e se autotestam todos os dias. O número de ferramentas de segurança da informação (SIS) aumenta constantemente, as melhores práticas de segurança da informação são distribuídas gratuitamente na Internet, os processos de segurança da informação são construídos de acordo com as melhores metodologias. Ao mesmo tempo, ainda se pensa na mente das pessoas que nada é um obstáculo para os hackers: se precisarem de algo, conseguirão. Como especialista em testes de penetração direta, quero falar sobre esse fenômeno hoje.
"O que foi um feito para as gerações anteriores é um trabalho regular para as próximas"
Há 10 a 15 anos, a segurança da informação estava associada à diversão: você podia invadir tudo e não tinha nada por isso. Tudo estava "cheio de buracos", mas assustou poucas pessoas. Os hackers se interessaram e se gabaram de façanhas na frente de amigos em um bar. Hoje a segurança da informação já é um grande negócio, invadir algo pode ser possível de maneira fácil e rápida apenas por acidente, e fazê-lo "habilmente" é caro.
O limiar para entrar na área prática de segurança da informação se tornou mais alto: se antes alguém pudesse se dar ao luxo de chegar ao cliente sem a melhor forma física, repita alguns vídeos assistidos na Internet e invadir a organização, por exemplo, use um controlador de domínio, agora isso pode ser feito agora não em todo lugar. Os problemas estão começando a ocorrer a cada passo e em todas as áreas, em parte, pelo menos porque as recomendações de pentests anteriores foram adotadas. Abaixo, analisarei os problemas que podem ser encontrados ao iniciar o trabalho em um teste de penetração.
Teste interno (ou funcionário desleal)
Conexão de rede
Vamos fazer um teste de penetração na rede interna: agora você não pode nem se conectar à tomada de rede de uma organização assim. Você chega a um cliente, pega um laptop, conecta com um fio à Ethernet e ... nada. Você supõe que precisa ignorar o controle dos dispositivos conectados, e é bom se você precisar encontrar um endereço MAC legítimo em algum lugar, mas se ele se ligar a uma porta? E se o número de MACs em uma porta for limitado? E se houver 802.1x (Cisco ISE) com certificados e perfis competentes? Além disso, você precisa encontrar uma conta de domínio com um certificado de cliente ou travar o MITM no tráfego de outra pessoa e fingir ser uma impressora ou proxy por meio de um host legítimo. Você sente isso? Não é para você bater rapidamente os dedos no teclado, como mostra os filmes.
Digitalização
Você inicia a varredura, como de costume, das sub-redes (10.0 / 8, 172.16 / 12, 192.168 / 16) e todas as portas são fechadas ou filtradas e, em seguida, o acesso desaparece completamente. Essas são nossas ITUs favoritas com uma política de segmentação configurada corretamente. Você diminui a velocidade, usa técnicas obscuras de reconhecimento, mas fica perplexo ao usar explorações: já o IDS / IPS "chegou" e, adeus, acesso não autorizado.
Ponto final
Fiz meu caminho para o host, mas o antivírus o encerra ou o SIEM o queima, e se você tiver o shell, verifica-se que ele tem direitos limitados, e todos os patches atuais do LPE são lançados e, além disso, o processo lsass.exe é isolado. Além disso, os mecanismos para detectar o comportamento anormal do usuário estão danificados, o DLP é implementado, embora mal configurado, mas o PowerShell em execução na estação de trabalho do contador já será percebido.
"Ferro"
Se você tentar fisicamente invadir o PC de outra pessoa enquanto um funcionário estiver em licença médica, verá que o BIOS está protegido por senha, o disco rígido é criptografado com um bitlocker em conjunto com um código PIN e um módulo TPM, e nada pode ser extraído do computador.
Ataques de domínio
Eu tenho uma conta de domínio do Active Directory e você está feliz por agora realizar seus ataques favoritos no AD: Kerberoasting, AS-REP Roasting, ataques de delegação, mas esse não foi o caso. Tudo é fornecido, as senhas não são "brutais", os ataques ao domínio são detectados pelo Microsoft ATA e os hosts desatualizados são separados em um domínio separado. Além disso, a arquitetura é construída usando o RedForest , e é isso, mesmo um comprometimento do domínio do usuário não trará o resultado desejado.
Teste Externo (Internet Hacker)
Você está tentando invadir algo no perímetro externo, e o Anti-DDoS e o WAF já estão lá, o aplicativo é desenvolvido com base nos princípios do SSDLC e testado antes de ser lançado na produção. Os dados entre cliente e servidor são criptografados e qualquer entrada do usuário é validada de várias maneiras. Às vezes, um aplicativo é escrito em alguma estrutura nova e é coberto por várias tecnologias corporativas, os próprios desenvolvedores descobriram como adicionar um módulo em seis meses. Para onde você vai usar o método da "caixa preta" por uma semana?
Teste móvel (hacker com telefone)
Pegue um aplicativo móvel, aqui a própria plataforma já protege os infelizes desenvolvedores de muitos disparos. O tráfego no formulário aberto em breve será completamente banido. Desenvolvedores conscientes mudaram o foco para proteger o lado do servidor, porque se o servidor não implementar "brechas", eles não funcionarão no cliente. Aqueles que foram além, dominaram o OWASP Testing Guide, aprenderam como detectar dispositivos raiz e implementar a fixação SSL. E é isso, o impacto de outras deficiências é insignificante.
Wi-Fi (hacker com adaptador Wi-Fi)
Não faz sentido discutir demais. O wpa2-enterprise é usado com certificados de cliente ou não. Agora o wpa3 está chegando, até o tráfego de serviço é criptografado lá e a chave da sessão está protegida com segurança. No início, é claro, haverá erros na implementação, mas essas não são mais as deficiências de todo o protocolo.
Bônus
Outro fator adicional: agora todos os SPIs estão começando a se unir em um ecossistema e, quando você toca em uma borda, a Web inteira começa a tremer. Só de olhar para a família de soluções Cisco e Microsoft, como um acusador, já estou assustado com toda a dor das tentativas de ocultar o trabalho nos anos subseqüentes. Além disso, “autopentals” aparecem no mercado, por exemplo, soluções PenTera ou Cymulate, que em breve começarão a tomar parte do pão do pentester. E ainda existem startups de segurança da informação com Machine Learning, redes neurais, pseudo-IA pela frente. Até agora, tudo parece úmido, mas por alguns anos ...
Alguém dirá que essa é uma situação ideal, e sempre haverá brechas, e eu responderei, observando como a segurança da informação amadurece nas empresas, chego à conclusão de que em dois anos o "custo" do hacking será bastante alto, mesmo para especialistas experientes ... Penso que, no futuro próximo, invadir um banco remotamente será tão raro quanto roubá-lo fisicamente em 2020 (você conhece muitos casos recentes de sucesso?).
Com o que eu acabei? A segurança está se tornando mais complexa e, talvez no futuro, os problemas nessa área se tornem mais controlados. Mas devemos fechar os olhos e esperar o futuro chegar? Não, precisamos tomar medidas para construir esse futuro.
5 dicas para empresas
- « » .
nmap Nessus, , . , . , , , , . , , .
: 10 , . , , , , . - .
, ( ) - , - . . . - Red Teaming continuous pentest.
, , ? ? , , -- ? Red Teaming , «» , , (3-9 ). - .
, : , . - .
. 100500 - . , , .
- .
. Bug Bounty GitHub CTF, . , — . - .
. , , . , . telegram- twitter. - , «» , . - Seja com a comunidade.
Forme um círculo social profissional: é muito mais eficiente fazer algo juntos do que sentar-se sozinho em um armário. Este é um hacker solitário em filmes que estão quebrando o mundo, mas, na realidade, existe o APT com funções e tarefas claras para todos: uma varredura, outra exploração, a terceira análise e a quarta retirada de dinheiro. Seja aberto e compartilhe conhecimento, porque outros já fizeram o que você está planejando 100 vezes e, por outro lado, você pode ajudá-los a reduzir o tempo de rotina e liberar a criatividade.
O que fazer para usuários regulares
É improvável que você esteja lendo este artigo, mas ainda assim. Segurança sob controle: não espere pelo clima à beira-mar, crie uma senha normal para si mesmo, faça cursos de conscientização em segurança da informação e siga as orientações deles. Confie em mim, não é difícil.
conclusões
Escrevi este artigo para não mostrar como tudo é bom em segurança da informação, mas para garantir que tudo não seja tão ruim quanto muitas pessoas estão acostumadas a pensar. Notícias negativas nos permitem desenvolver e melhorar, mas responda: estamos mais seguros do que há 10 anos? Bem, se não, quem pode invadir, por exemplo, o VK: não é um usuário, não joga XSS, mas apenas toda a infraestrutura?