Как взломать телеком          и  остаться в живых               Сергей Гордейчик             Positive Technologies        ...
Аз есмъ      Сергей Гордейчик, Positive Technologies, CTO      Автор сценария и режиссер Positive Hack Days      Научный р...
О чем пойдет речь?      Что необычного в телекомах?      Атаки на абонентов/Атаки от абонентов      Периметр… Просто перим...
Чтонеобычного?
Специфика телекомов      Огромные, огромные сети      Объединение различных услуг (ШПД,      беспроводной доступ, хостинг,...
Сколько периметров у телекома?             Интернет             Абоненты             Партнеры              Офис           ...
…и немного больше…       Мобильная связь                          Тех сеть ШПД   Мобильная тех       Проводной ШПД        ...
…и еще больше…                 Владивосток    Москва                    Рим        Пномпень
Атаки наабонентов
Почему абоненты?   $ абонентов = $ телекомов   DOS = - $$ - репутация - $$   PWN (100 000 PC) = Botnet   Персональные данн...
Широкополосный доступ  Громадные несегментированные сети  Огромное количество оконечных устройств   • Разнообразные SOHO-ж...
Широкополосный доступ. Атака   Сбор информации    • Сканирование сети    • Ошибки устройств доступа (BRAS)    • Сбор инфор...
Такое тоже бывает
Pick a task…
Примеры рисков   Доступ к порталу самообслуживания    •Вывод денег       Подбор пароля или кража router cfg (vpn/pppoe)  ...
Атаки на клиентов мобильных сетей    Подделка Caller ID     •Доступ к сервисам     •Монетизация через PRS     •Прямой выво...
Атаки на клиентов мобильных сетей    Mobile Malware    Перехват GSM – НЕ ROCKET SCIENCE!     • Атаки на A5/1     • MITM, п...
Хостинг    Локальная сеть для colocation/dedicated     • Атаки сетевого/канального уровня, атаки на       сетевую инфрастр...
Pentester Tips & Tricks                  ||      ||
Pentester Tips & Tricks    Только ищем уязвимости    Все демонстрации только на себе    Избегаем охраняемой законом информ...
Атаки ОТабонентов
Почему ОПЯТЬ абоненты?   Абоненты ВНУТРИ периметра (одного   из)   Многие атаки со стороны абонента   осуществляются проще...
Общие проблемы  Ошибки сетевого разграничения  доступа  Внутрисегментные атаки  Защита оконечного оборудования  Web-прилож...
Ошибки сетевого разграничения доступа  Не всегда прямой путь –  самый интересный :)      C:>tracert -d www.ru      Tracing...
Через тернии к level 15                          #sh run                          Using 10994 out of 155640 bytes         ...
Ошибки сетевого разграничения доступа  GPRS/EDGE/3G традиционно «за NAT»  Других клиентов «не видно»  Это не всегда так…  ...
Анекдот  На том же GGSN – SNMP private
Анекдот  Адаптивный портал (captive portal)  «На вашем счету закончились деньги»   •Linux   •Apache   •MySQL   •PHP
Внутрисегментные атаки   Абоненты ШПД и хостинга
Web-порталы и сервисы для абонентов   Много-много ресурсов    • Форумы, знакомства, видеоконвертеры,      онлайн-игры, ста...
Web-порталы и сервисы для абонентов   Игровой сервер games.*   Proxima CMS, path traversal   + SQLi +ошибки настройки = ro...
Pentester Tips & Tricks    Часто ресурсы в абонентских сетях – абонентские         Согласование, согласование, согласовани...
Периметр…Просто периметр
Периметр?   Огромные, огромные сети!    •Use clouds   Много-много «чужих» ресурсов   Будьте готовы к экзотике   Корпоратив...
Много-много чужих ресурсов    Достаточно большое количество узлов на    периметре принадлежит    партнерам/абонентам    Не...
Много-много чужих ресурсов    SQLi на портале мобильного контента (Oracle, sys)    private на VoIP-шлюзе    Обслуживаются ...
Экзотика    Чего только не найдешь на периметре     • Технологическое «железо»     • VoIP     • Old school МСЭ     • Web-к...
Экзотика    nc –P 20 xxx.xxx.xxx.xxx 8080    Точка доступа     • Ненадежный пароль к Web     • Включение Telnet     • Комп...
Путешествие в Gattaca
Смотрим видео!
Паутина   Очень много Web. Правда-правда   Часто доступны корпоративные   («Enterprise») Web-приложения    • Терминальные ...
Система техподдержки    Нашли и использовали Path Traversal    ManageEngine ServiceDesk Plus    Получили «зашифрованный» п...
VPN      Много VPN, хороших и разных      Пароли, IPSec Aggressive Mode…
The Lords of the Rings    Администратор – властелин сети    Большая сеть – много администраторов    Феодализм     • Правил...
Все животные равны, но…
The Lords of the Rings    TCP:1337 (SSL) – Web-сервер отдела    системного администрирования    Трансляция радио (ShoutCas...
Pentester Tips & Tricks    Старайтесь ничего не упустить на периметре    Помните про чужие узлы         Согласование, согл...
Партнеры иподрядчики
Подрядчики?   Требования доступа к системам (VPN)   Стандартные учетные записи (чтобы не   забыть)   Отсутствует управлени...
Подрядчики…   Подрядчик в технологической сети    • Беспроводной интерфейс на ноутбуке    • Общая папка «everyone»    • В ...
Подрядчики бывают разные…..   OMG?! HAVE I PWND THAT?
Pentester Tips & Tricks    Подрядчиков нельзя ломать          Согласование, согласование, согласование    Многие сценарии...
Технологические      сети
Что-то особенное?    Высокая динамика изменений в сети     • Появление новых устройств     • Работы подрядчиков     • Изме...
Технологические сети – прежде всего сети!    Уязвимости оборудования    Тестовые системы, системы    подрядчиков    ЗАБЫТЫ...
Забытые системы      Ненастроенный коммутатор      Uptime – 2 года!
Системы управления сетью    Просто клад     •Топология сети     •Конфигурация устройств     •Пароли и ключи      VPN/WiFi/...
Тяжелый случай    Найден WPA-    PSK для AP    Где стоят эти    точки?!!
Резервирование вообще полезная штука    Особенно по сети!
VoIP – лакомый кусочек!                                    Управление           Хищение                                  в...
VOIP1. Доступ VOIP Wi-Fi (No WPA, «тормозит»)2. Ближайший CISCO Call Manager  a) SQLi, CVE-2008-0026       https://www.exa...
Мобильные сети – все тривиально    Безопасность только на периметре    Какие-то непонятные железки?     • 3G SoftSwitch – ...
Платформы самообслуживания   WEB/USSD/WAP   Интерфейсы с платежными системами   Возможность вывода денег   Отсутствие ауте...
VAS-платформы   Чье-то приложение «в сети» оператора   Вредоносный контент, WAP-provisioning   Широкий доступ с мобильной ...
Вместозаключения
Forensic Nightmare    Огромные сети делают крайне сложным    расследование инцидентов    Много векторов, много железок, мн...
Кто здесь?
В попытках найти концы…
Кому-то печаль…
Кому-то радость
Спасибо за внимание!Сергей Гордейчикgordey@ptsecurity.comhttp://sgordey.blogspot.comhttp://ptresearch.blogspot.comhttp://p...
Upcoming SlideShare
Loading in …5
×

Как взломать телеком и остаться в живых

14,055
-1

Published on

Тестирование на проникновение сетей телекоммуникационных компаний является одной из наиболее сложных, но и интересных задач подобного рода. Миллионы IP-адресов, десятки тысяч узлов, сотни Web-серверов всего лишь месяц времени. Какие вызовы ожидают аудитора при тестировании сети телекома? На что стоит обратить внимание? Как наиболее эффективно использовать отведенное на работу время? Почему абонент опасней хакера? Почему подрядчик опасней абонента? Как связать уязвимость и финансовые потери? Об этом, а также о самых показательных и забавных случаях тестирования на проникновения телекоммуникационных сетей будет рассказано в докладе Сергея Гордейчика.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
14,055
On Slideshare
0
From Embeds
0
Number of Embeds
10
Actions
Shares
0
Downloads
57
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Как взломать телеком и остаться в живых

  1. 1. Как взломать телеком и остаться в живых Сергей Гордейчик Positive Technologies CTO
  2. 2. Аз есмъ Сергей Гордейчик, Positive Technologies, CTO Автор сценария и режиссер Positive Hack Days Научный редактор портала SecurityLab.Ru Автор курса «Безопасность Web-приложений», автор курса и одноименной книги «Безопасность беспроводных сетей» Участник WASC, RISSPA http://sgordey.blogspot.com
  3. 3. О чем пойдет речь? Что необычного в телекомах? Атаки на абонентов/Атаки от абонентов Периметр… Просто периметр Партнеры и подрядчики Технологические сети
  4. 4. Чтонеобычного?
  5. 5. Специфика телекомов Огромные, огромные сети Объединение различных услуг (ШПД, беспроводной доступ, хостинг, мобильная связь) Огромное количество приложений и систем на периметре Экзотика внутри, экзотика снаружи Множество периметров Большая часть сетей – «чужие» Сложности при расследовании инцидентов
  6. 6. Сколько периметров у телекома? Интернет Абоненты Партнеры Офис Тех. сеть
  7. 7. …и немного больше… Мобильная связь Тех сеть ШПД Мобильная тех Проводной ШПД сеть Беспроводной ШПД VOIP Хостинг Интернет TV Хостинг ...
  8. 8. …и еще больше… Владивосток Москва Рим Пномпень
  9. 9. Атаки наабонентов
  10. 10. Почему абоненты? $ абонентов = $ телекомов DOS = - $$ - репутация - $$ PWN (100 000 PC) = Botnet Персональные данные!
  11. 11. Широкополосный доступ Громадные несегментированные сети Огромное количество оконечных устройств • Разнообразные SOHO-железки • Поставил и забыл • Стандартные баги настройки Учебник по небезопасности сетевых устройств  Протоколы управления SNMP/Telnet/HTTP/UPnP в Inet  Ненадежные/пустые пароли  Web-атаки на стороне клиента (Pinning, CSRF) Огромное количество пользователей • 1 из 1000 при 10 000 000 = 10 000 • Тривиальные пароли
  12. 12. Широкополосный доступ. Атака Сбор информации • Сканирование сети • Ошибки устройств доступа (BRAS) • Сбор информации внутренних форумов и т. д. • Ошибки платформ самообслуживания Неправильное имя или пароль vs Неправильное имя пользователя Подготовка сценариев • Захват устройств • Подбор паролей $profit$
  13. 13. Такое тоже бывает
  14. 14. Pick a task…
  15. 15. Примеры рисков Доступ к порталу самообслуживания •Вывод денег  Подбор пароля или кража router cfg (vpn/pppoe)  Перевод денег с ШПД на мобильный (интеграция!)  Монетизация через PRS •Это бесит!!!  Подбор пароля или кража router cfg (vpn/ppoe)  Закупка всего, что есть  Счет =0 Массовый взлом router/PC Массовое изменение настроек
  16. 16. Атаки на клиентов мобильных сетей Подделка Caller ID •Доступ к сервисам •Монетизация через PRS •Прямой вывод денег •Голосовые ящики •Порталы самообслуживания/USSD Internet SS7 Taget GSM SIP-GW Tech FAKE ID Systems unauthorized access
  17. 17. Атаки на клиентов мобильных сетей Mobile Malware Перехват GSM – НЕ ROCKET SCIENCE! • Атаки на A5/1 • MITM, переелючение в A5/0 • Downgrade UMTS -> GSM Трафик, SMS, одноразовые пароли... • Доступ к сервисам • Монетизация через PRS • Прямой вывод денег • Голосовые ящики • Порталы самообслуживания/USSD
  18. 18. Хостинг Локальная сеть для colocation/dedicated • Атаки сетевого/канального уровня, атаки на сетевую инфраструктуру • ARP Spoofing, IP Spoofing… old school • Внутрисегментные атаки IPv6 Атака на инфраструктуру (DNS…) Виртуальный хостинг (проникнув на один сайт...)
  19. 19. Pentester Tips & Tricks || ||
  20. 20. Pentester Tips & Tricks Только ищем уязвимости Все демонстрации только на себе Избегаем охраняемой законом информации Капризный заказчик… З: Докажи! Зайди на портал! P: Нет, спасибо, вот пароль – заходите сами…
  21. 21. Атаки ОТабонентов
  22. 22. Почему ОПЯТЬ абоненты? Абоненты ВНУТРИ периметра (одного из) Многие атаки со стороны абонента осуществляются проще Кол-во абонентов современных телекомов достаточно велико
  23. 23. Общие проблемы Ошибки сетевого разграничения доступа Внутрисегментные атаки Защита оконечного оборудования Web-приложения для абонентов
  24. 24. Ошибки сетевого разграничения доступа Не всегда прямой путь – самый интересный :) C:>tracert -d www.ru Tracing route to www.ru [194.87.0.50] over a maximum of 30 hops: 1 * * * Request timed out. 3 10 ms 13 ms 5 ms 192.168.5.4 4 7 ms 6 ms 5 ms 192.168.4.6
  25. 25. Через тернии к level 15 #sh run Using 10994 out of 155640 bytes ! version 12.3 ... ! username test1 password 7 <removed> username antipov password 7 <removed> username gordey password 7 <removed> username anisimov password 7 <removed> username petkov password 7 <removed> username mitnik password 7 <removed> username jeremiah password 7 <removed>
  26. 26. Ошибки сетевого разграничения доступа GPRS/EDGE/3G традиционно «за NAT» Других клиентов «не видно» Это не всегда так… GPRS: платежные терминалы, банкоматы и др., где не всегда: • стоит МСЭ; • установлены обновления; • что-нибудь настроено.
  27. 27. Анекдот На том же GGSN – SNMP private
  28. 28. Анекдот Адаптивный портал (captive portal) «На вашем счету закончились деньги» •Linux •Apache •MySQL •PHP
  29. 29. Внутрисегментные атаки Абоненты ШПД и хостинга
  30. 30. Web-порталы и сервисы для абонентов Много-много ресурсов • Форумы, знакомства, видеоконвертеры, онлайн-игры, статистика, интернет- магазины, фотохостинг, файловый хостинг, онлайн-радио… Много-много дыр • Старые приложения и CMS, SQLi, LFI и далее по списку… Single-Sign-On или те же пароли… Часто стоят в ДМЗ, рядом с «нормальными» серверами
  31. 31. Web-порталы и сервисы для абонентов Игровой сервер games.* Proxima CMS, path traversal + SQLi +ошибки настройки = root На узле расположено еще 20 сайтов • Онлайн-трансляции • Фирменное десктоп-приложение •…
  32. 32. Pentester Tips & Tricks Часто ресурсы в абонентских сетях – абонентские Согласование, согласование, согласование Многие системы работают на честном слове Они падают постоянно, но раз вы в сети… Избегаем(!) охраняемой законом информации Капризный заказчик…
  33. 33. Периметр…Просто периметр
  34. 34. Периметр? Огромные, огромные сети! •Use clouds Много-много «чужих» ресурсов Будьте готовы к экзотике Корпоративные Web-приложения Властелины сети
  35. 35. Много-много чужих ресурсов Достаточно большое количество узлов на периметре принадлежит партнерам/абонентам Нередко эти узлы «перемешаны» с узлами заказчика Но игнорировать их нельзя • Давайте представим, что мы уже level 15/root/admin на этом узле и попали в этот сегмент
  36. 36. Много-много чужих ресурсов SQLi на портале мобильного контента (Oracle, sys) private на VoIP-шлюзе Обслуживаются партнерами Ломать нельзя  Фактически расположены в плоской ДМЗ с серверами заказчика Включая Front-End биллинга
  37. 37. Экзотика Чего только не найдешь на периметре • Технологическое «железо» • VoIP • Old school МСЭ • Web-камеры •Экзотические системы управления: ELOM, кондиционеры(!), UPS(!), etc. Помним про исторические атаки (X-mas scan, UNIX RPC, Finger…) Не игнорируем экзотику
  38. 38. Экзотика nc –P 20 xxx.xxx.xxx.xxx 8080 Точка доступа • Ненадежный пароль к Web • Включение Telnet • Компиляция tcpdump/nc и т. д. под платформу • Использование для перехвата трафика/туннеля Web-камера • LFI в Web-интерфейсе • Получение файлов конфигурации • Получение пароля доступа к системе управления • Получение доступа к системе управления
  39. 39. Путешествие в Gattaca
  40. 40. Смотрим видео!
  41. 41. Паутина Очень много Web. Правда-правда Часто доступны корпоративные («Enterprise») Web-приложения • Терминальные сервисы (Citrix) • Системы электронной почты • Системы helpdesk • Слабо готовы для работы в «диком Интернете»
  42. 42. Система техподдержки Нашли и использовали Path Traversal ManageEngine ServiceDesk Plus Получили «зашифрованный» пароль для интеграции с AD Пароль подошел к VPN Пароль подошел к AD (Enterprise Admin) Пароль подошел к Cisco ACS Тут-то нам и пошла удача
  43. 43. VPN Много VPN, хороших и разных Пароли, IPSec Aggressive Mode…
  44. 44. The Lords of the Rings Администратор – властелин сети Большая сеть – много администраторов Феодализм • Правила – для слабых • Корпоративная ИТ-инфраструктура VS «моя инфраструктура» • Системы удаленного доступа • Увлекательные Web-серверы и тестовые приложения
  45. 45. Все животные равны, но…
  46. 46. The Lords of the Rings TCP:1337 (SSL) – Web-сервер отдела системного администрирования Трансляция радио (ShoutCast Server со стандартным паролем) Расположен на рабочей станции администратора Со всеми вытекающими…
  47. 47. Pentester Tips & Tricks Старайтесь ничего не упустить на периметре Помните про чужие узлы Согласование, согласование, согласование Не игнорируйте сетевую экзотику. Иногда сетевая камера может стать путем к ядру сети! Особое внимание к Web Помним про админов
  48. 48. Партнеры иподрядчики
  49. 49. Подрядчики? Требования доступа к системам (VPN) Стандартные учетные записи (чтобы не забыть) Отсутствует управление обновлениями Сотрудники
  50. 50. Подрядчики… Подрядчик в технологической сети • Беспроводной интерфейс на ноутбуке • Общая папка «everyone» • В папке инсталлятор системы управления xDSL- модемами/оконечными маршрутизаторами • С «прошитым» паролем SA в СУБД • У кого еще такая система? Приложение для дилеров, продажа и активация пакетов связи • «Толстое» приложение – клиент • «Вышитый» пароль для доступа • … as SYSDBA
  51. 51. Подрядчики бывают разные….. OMG?! HAVE I PWND THAT?
  52. 52. Pentester Tips & Tricks Подрядчиков нельзя ломать  Согласование, согласование, согласование Многие сценарии эффективно демонстрировать «белым ящиком» Давайте предположим, что я подрядчик Но ты же не подрядчик …Капризный заказчик…
  53. 53. Технологические сети
  54. 54. Что-то особенное? Высокая динамика изменений в сети • Появление новых устройств • Работы подрядчиков • Изменение конфигураций Использование стандартных компонентов и протоколов • Угрозы, характерные для IP • Ошибки конфигурации • Уязвимости платформ Некоторые ошибки могут приводить к сбоям и способствовать мошенничеству
  55. 55. Технологические сети – прежде всего сети! Уязвимости оборудования Тестовые системы, системы подрядчиков ЗАБЫТЫЕ(!) системы Системы управления сетью
  56. 56. Забытые системы Ненастроенный коммутатор Uptime – 2 года!
  57. 57. Системы управления сетью Просто клад •Топология сети •Конфигурация устройств •Пароли и ключи VPN/WiFi/SNMP/RADIUS/VPN… «Они за файрволом» + Пароль на Web - Обновления ОС, СУБД, Web + Стандартные пароли СУБД + Файловые(!) шары
  58. 58. Тяжелый случай Найден WPA- PSK для AP Где стоят эти точки?!!
  59. 59. Резервирование вообще полезная штука Особенно по сети!
  60. 60. VoIP – лакомый кусочек! Управление Хищение вызовами (fraud) персональных данных Доступ в сеть предприятия VoIP Атака на… Искажение и подмена инфраструктуру информации шлюзы протоколы i[P]Phone Прослушивание И многое другое… вызовов
  61. 61. VOIP1. Доступ VOIP Wi-Fi (No WPA, «тормозит»)2. Ближайший CISCO Call Manager a) SQLi, CVE-2008-0026 https://www.example.org/ccmuser/personaladdressbookEdit.do?key=+UNION+ALL+SELECT+,,,user,,password+from+app licationuser;-- b) Собираем хэши runsql select user,password from applicationuser c) Восстанавливает пароли из хэшей Компьютер нарушителя3. Level 15 во всей сети 1 WEP ТОП ТОП 2 КЛВС Вне офиса Компании «А» PSTN IP PBX Компания «А» 3 SQL injection CVE-2008-0026
  62. 62. Мобильные сети – все тривиально Безопасность только на периметре Какие-то непонятные железки? • 3G SoftSwitch – Solaris 10 с CVE-2007-0882 (telnet -f)
  63. 63. Платформы самообслуживания WEB/USSD/WAP Интерфейсы с платежными системами Возможность вывода денег Отсутствие аутентификации (Caller ID) Слабая аутентификация (PIN-код?) Уязвимости приложений (Web, SQL Injection, XSS)
  64. 64. VAS-платформы Чье-то приложение «в сети» оператора Вредоносный контент, WAP-provisioning Широкий доступ с мобильной станции (WAP/HTTP): • Уязвимости Web-приложений • Уязвимости платформ Платформы для создания сервисов
  65. 65. Вместозаключения
  66. 66. Forensic Nightmare Огромные сети делают крайне сложным расследование инцидентов Много векторов, много железок, много администраторов Два-три «хопа» во внутренней сети – и концов не найдешь
  67. 67. Кто здесь?
  68. 68. В попытках найти концы…
  69. 69. Кому-то печаль…
  70. 70. Кому-то радость
  71. 71. Спасибо за внимание!Сергей Гордейчикgordey@ptsecurity.comhttp://sgordey.blogspot.comhttp://ptresearch.blogspot.comhttp://phdays.com
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×