Test lab v.9: impossible or nothing



Колеги і друзі! Раді представити нову версію 9 лабораторій тестування на проникнення, яка представляє з себе віртуальну компанію «CyBear 32C», що займається розробкою різних систем і додатків, в тому числі систем забезпечення ІБ. Враховуючи специфіку діяльності, «CyBear 32C» добре захищена від хакерських атак, а її компрометація потребує якісної підготовки в області практичної ІБ.

У всіх наших лабораторіях закладені реальні актуальні проблеми, які притаманні сучасним компаніям тієї чи іншої сфери діяльності. Наприклад, у попередній, 8-й лабораторії, нами була розгорнута віртуальна інфраструктура середньостатистичного банку, що містить притаманні банку системи та сервіси: веб-додатки, ORACLE, поштовий сервіс, embedded пристрою, а також захисні засоби IPS/WAF.

Сценарії наших лабораторій не носять надуманий характер, ми враховуємо сучасні тенденції компрометації мереж і систем, вибираємо спеціалізацію або галузь діяльності та реалізуємо у віртуальному середовищі. Уразливості, які ми закладаємо в ці системи, виявлені під час «бойових» тестів на проникнення (ми їх використовуємо в знеособленому вигляді), або були використані зловмисниками. Найголовніші аспекти — реалістичність і актуальність.

Нова лабораторія буде представляти собою віртуальну компанію «CyBear 32C», що займається розробкою різних систем і додатків, в тому числі систем забезпечення ІБ. Враховуючи специфіку діяльності, «CyBear 32C» добре захищена від хакерських атак, а її компрометація потребує якісної підготовки в області практичної ІБ.

В наших лабораторіях ми намагаємося відображати актуальні загрози і ризики компрометації інформаційних систем. Останнім часом почастішали випадки атак як професійних кібер-злочинних груп, так і хакерів-одинаків на технологічні компанії, пов'язані з розробкою систем забезпечення інформаційної безпеки, засобів захисту та розробки кібер-зброї.
Відома кибергруппа Hacking Team, яка спеціалізується на розробці та продажу спеціального шпигунського ПЗ для правоохоронних органів і спецслужб різних держав стала об'єктом кібератаки, в результаті якої для громадськості став доступний архів з 400ГБ різної конфіденційної інформації. У мережу витекла особисте листування Hacking Team з їх клієнтами, укладені договори на продаж своїх кібер-виробів різним державам, а також велику кількість іншої інформації, пов'язаної з діяльністю компанії.
Здавалося б, такі компанії краще за інших повинні бути підготовлені до нападу і відображенню хакерських атак, але на практиці це далеко не так:
Сайт AvSoft Technologies, компанії, що займається розробкою антивірусного ПЗ під брендом AVG, був атакований хакерами. Зловмисники розмістили на веб-сайті AvSoft код, який завантажував на ПК жертв шкідливе ПЗ.
Навіть високотехнологічні компанії, що спеціалізуються в розробці засобів протидії хакерам можуть бути успішно (хоча і частково) атаковані:
Атака на корпоративну мережу Kaspersky Lab була виявлена навесні 2015 року. Згідно з попередніми результатами розслідування, «Лабораторія Касперського» була не єдиною мішенню атакуючих, вже виявлені й інші жертви в західних, близькосхідних і азіатських країнах (швидше за все, постраждалих набагато більше). «Спосіб мислення і тактика групи Duqu 2.0 на ціле покоління випереджають будь-які кібератаки та шкідливі кампанії, що зустрічалися раніше», —пише «Лабораторія Касперського».
Зловмисники успішно атакують компанії, що спеціалізуються на відображенні атак і захисту даних:
Значно більш резонансною подією стала атака на антивірусної компанії Symantec. При цьому головною причиною галасу в ЗМІ став навіть не сам факт злому, а те, що паролі користувачів, які зловмисникам вдалося викрасти, зберігалися у відкритому вигляді.

Незважаючи на те, що інформація про злом BitDefender потрапила в ЗМІ 31 липня, сама атака була здійснена раніше. Так 24 липня користувач під ніком DetoxRansome звернувся до BitDefender з вимогою виплатити йому $15 тис… В іншому разі він погрожував опублікувати базу «злитих» облікових записів.
Спеціалізація компанії в розробці систем відбиття атак абсолютно не означає що сама ця компанія добре захищена:
Компанія Cyberoam (Sophos) підтвердила кібер-атаку, спрямовану на свої системи, в результаті якої виникла витік конфіденційної інформації, така як особисті дані клієнтів і партнерів.
Компанії, відповідальні і спеціалізуються на зберіганні даних повинні ретельно забезпечувати захист своєї інфраструктури, однак, на практиці, це далеко не так:
В офіційному блозі LastPass з'явилося повідомлення, що вказує на те, що сервери компанії були скомпрометовані. Підозрілі дії в мережі компанії були помічені в минулу п'ятницю.

Команда LastPass стверджує, що зашифровані дані користувачів в безпеці, проте розслідування показало, що зловмисники отримали доступ до email, нагадування пароля, солі та хешам аутентифікації користувачів.
Найчастіше розробляються і використовуються рішення самі становлять величезну загрозу безпеки:
Дослідники безпеки з групи Zero (створеною компанією Google для запобігання атак, скоєних з використанням раніше невідомих вразливостей), розкрили інформацію про критичної уразливості (CVE-2016-2208) в антивірусному ПЗ Symantec. При перевірці спеціально оформлених файлів у форматі «PE» можна ініціювати переповнення буфера і організувати виконання коду в системі.

Оскільки ЗА Symantec використовує драйвер-фільтр для перехоплення всіх операцій введення-виведення в системі, атака може бути проведена шляхом направлення в систему-жертву експлоїта практично будь-яким шляхом — скажімо, у вигляді поштового повідомлення або посилання на файл.
Ці та безліч інших випадків компрометації security-вендорів дали нам напрям розвитку сюжету 9-й лабораторії, в якій ми надамо всім бажаючим спробувати свої сили у зломі технологічної компанії, співробітники якої готові до відбиття хакерських атак і вважають свою інфраструктуру невразливою.

Учаснику, який виступає в ролі зовнішнього порушника, необхідно виконати пошук та експлуатацію вразливостей, долаючи різні системи захисту: антивіруси, WAF і Firewall, системи контролю доступу і т. д. Основна відмінність лабораторій «Test lab» від CTF-змагань полягає у реалістичному сюжеті: компрометація одного вузла може дозволити розвинути атаку на інші елементи мережі.

Лабораторії створені з метою легальної перевірки та закріплення навичок тестування на проникнення, кожна з них містить унікальний сюжет. Взяти участь у лабораторії може будь-який бажаючий абсолютно безкоштовно.

Старт нової лабораторії відбудеться сьогодні, 20 травня 2016 в 21:00 (GMT+3). Приєднуйтесь!

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.