2. ЗАО «Перспективный мониторинг»
Аудит информационной безопасности
Расследование инцидентов ИБ
Конкурентная разведка и
социальная инженерия
Тестирование на проникновение Анализ защищённости ПОАнализ трафика
Разработка ПО
3. ЗАО «Перспективный мониторинг»
Статья 272 УК РФ. Неправомерный доступ к компьютерной информации
Статья 273 УК РФ. Создание, использование и распространение вредоносных
компьютерных программ
Статья 274 УК РФ. Нарушение правил эксплуатации средств хранения, обработки или
передачи компьютерной информации и информационно-телекоммуникационных сетей
vs
We are the white hat hackers!
4. ЗАО «Перспективный мониторинг»
ПАО «Уралкалий»
МИРС Пермского края
Росреестр
Правительство Хабаровского края
и др.
Группа компаний «ИнфоТеКС»
Заказчики
5. Проект 1
«Ненадёжный администратор»
Заказчик
Крупная транспортная компания
Постановка задачи
Провести проверку компетентности Администратора ИБ Заказчика и его готовности к отражению
социоинженерных атак
Работы
В рамках проекта была выработана достоверная легенда, собрана необходимая исходная
информация, и совершено несколько звонков Администратору ИБ Заказчика
Результаты
Подготовлены стенограммы записей разговоров с объектом исследования
Проведён анализ стенограмм на предмет нарушения инструкций АИБ
Выводы по результатам анализа переданы Заказчику
6. Проект 2
«На чистую воду»
Заказчик
Провайдер трекинговой информации о грузоперевозках
Постановка задачи
Ряд интернет-сайтов предлагает информацию, распространяемую Заказчиком, на продажу,
очевидно получая её в обход официальных каналов. Необходимо установить, каким образом это
происходит
Работы
В рамках проекта были проведены работы по конкурентной разведке и инструментальному
исследованию указанных заказчиком сайтов
Результаты
Список аффилированных с исследуемыми сайтами лиц
Их персональные данные, контактная информация, социальные связи и т.д.
Конфиденциальные сведения, в частности, обличающие их юридические документы
7. Проект 3
«Плохие новости»
Заказчик
Государственный подрядчик
Постановка задачи
Провести тестирование на проникновение в режиме «чёрного ящика»
Работы
В рамках проекта была проведена фишинг-атака на компанию Заказчика, в ходе которой
сотрудникам были отправлены письма, содержащие ссылку на скрипт, перехватывающий
аутентификационные данные пользователей соответствующих машин
Результаты
Более половины сотрудников прошло хотя бы по одной ссылке
Никто из них не сообщил об инциденте в службу ИБ Заказчика
Исследователями был получен полный доступ к IT-инфраструктуре Заказчика
Действия службы ИБ Заказчика протоколировались, протокол был включён в состав
отчёта
8. Проект 4
«Просьба о помощи»
Заказчик
Крупная IT-компания
Постановка задачи
Провести аудит безопасности веб-ресурса компании в режиме «чёрного ящика»
Работы
В рамках проекта исследователем было оставлено сообщение на форуме с просьбой о помощи по
одному из разработанных компанией продуктов. В сообщении была размещена ссылка на
сторонний ресурс со скриншотом программного продукта. Переход по ссылке приводил к запуску
скрипта, перехватывающего аутентификационные данные пользователя
Результаты
Одним из перешедших по ссылке пользователей стал администратор ресурса, что
привело к получению исследователями полного доступа к ресурсу
9. Проект 5
«Крепкий орешек»
Заказчик
ИБ-интегратор
Постановка задачи
Провести функциональное тестирование и исследование системы визуализации и анализа рисков сетевой
безопасности на предмет наличия программных закладок
Работы
В рамках проекта посредством автоматизированного анализа продукта из 1366 jar-файлов были выделены
отдельные компоненты, отвечающие за критически с точки зрения безопасности функции. Часть таких
компонент была выборочно декомпилирована и проанализирована вручную
Результаты
Недекларированные возможности, могущие нести угрозу конфиденциальности обрабатываемых
системой данных, найдены не были
Однако в исходных кодах серверной части была обнаружена закодированная пара логин-пароль,
позволяющая стороннему лицу пройти localhost-авторизацию без получения соответствующих прав от
администратора системы
Была предложена конфигурация, использование средства в которой обеспечило бы гарантированную
защиту от любых возможных НДВ
10. Проект 6
«Дырявый терминал»
Заказчик
Крупная государственная организация
Постановка задачи
Провести проверку защищённости клиент-серверной системы продаж
Работы
В рамках проекта была проведена обратная разработка клиентского терминала продаж и инструментальное
исследование его web-интерфейса, а также тестирование на проникновение и фаззинг серверной части
Результаты
Была выработана методика фаззинга, позволяющая гарантированно вызывать сбои в работе
сервера
Был найден ряд уязвимостей в клиентском ПО, позволивших:
Менять информацию на терминале
Отправлять на сервер изменённые данные
Клонировать терминалы
11. Проект 7
«Литературные пираты»
Заказчик
Электронное издательство
Постановка задачи
Провести анализ защищённости клиентской части платформы, предоставляющей доступ к электронным
книгам, проверить возможность их кражи
Работы
В рамках проекта была проведена обратная разработка приложения для скачивания и чтения электронных
книг в версиях под Android, iOS и Windows 8.1, а так же проверена возможность перехвата трафика от
сервера с целью получения несанкционированного доступа у контенту
Результаты
Были выявлены и проэксплуатированы три уязвимости клиентского приложения
Получен несанкционированный доступ к распространяемому контенту и данным учетных записей
Обнаружена одна уязвимость серверной части платформы
Предложен комплекс мер, направленных на устранение обнаруженных уязвимостей и усиление
существующей системы защиты
12. Проект 8
«Враг не пройдёт»
Заказчик
Крупная государственная организация
Постановка задачи
Разработать систему обнаружения целенаправленных устойчивых угроз (Advanced
persistent threats) изолированной информационной системе со стороны нарушителей классов
Н4 - Н6
Работы и результаты
В рамках проекта была предложена концепция "мета-SIEM", как надстройки над имеющейся
инфраструктурой информационной безопасности, включающей различные средства
защиты информации. Целью такой системы было нахождения связей между различными
объектами и событиями ИБ, с последующим выявлением фактов формирования APT.
Предлагаемая концепция отличалась от классических SIEM более высоким уровнем
абстракции представления данных, другой логикой их группировки, а также инструментами
анализа и отображения
К сожалению, работы не были завершены
13. Проект 9
«Хранители»
Заказчик
Крупная IT-компания
Постановка задачи
C 10-го ноября 2014-го года по 18 мая 2015-го года провести мониторинг инцидентов ИБ в сети Заказчика,
обеспечить реагирование на их возникновение и разработать соответствующие сигнатуры для
корпоративной системы обнаружения вторжений
Работы
В компании был развёрнут Центр мониторинга
Центр мониторинга был интегрирован с сетевой инфраструктурой Заказчика и инструментальными
средствами анализа защищённости (в частности, сканерами безопасности)
Разработаны и применены протоколы обнаружения и реагирования на инциденты ИБ
Результаты
Выявлено и обработано 29 событий информационной безопасности
Разработано 34 сигнатуры для IDS Заказчика
14. Проект 10
«Беспроводной беспредел»
Заказчик
Крупная IT-компания
Постановка задачи
Проверить офис заказчика на предмет установки на его территории неавторизованных точек
доступа Wi-Fi
Тип работ
Была разработана методика по использованию программно-аппаратной связки из ноутбука,
антенны и специального ПО, с помощью которого по плану здания методом последовательного
обследования всех помещений офиса заказчика была построена карта распределения сигнала и
выявлены все его источники
Результат
В офисном пространстве из 30 комнат, расположенных на двух этажах здания, было
обнаружено порядка 10 легальных и 25 нелегальных Wi-Fi-точек
Была выработана достоверная легенда, собрана необходимая исходная информация, и совершено несколько звонков Администратору. Звонки были записаны и транскрипт записи проанализирован на предмет нарушения инструкций АИБ.
1) Был проведена конкурентная разведка в отношении указанных заказчиком ресурсов. Собраны сведения об аффилированных с ними лицах, их персональные данные, контактная информация, описаны связи и т.д.
2) Было проведено инструментально-аналитическое исследование сайтов, в ходе которого в открытом доступе были обнаружены конфиденциальные сведения, в частности, юридические документы их владельцев.
Была проведена фишинг-атака с рассылкой писем с подставных адресов по тематике увеличения цен на платные парковки и уменьшения пенсий. Переход по находящимся в письмах ссылкам отправлял персонал компании-Заказчика на полный текст статьи, а также загружал на их компьютер скрипт, предоставляющий доступ к их машинам. Более половины сотрудников прошло хотя бы по одной ссылке, никто не сообщил об инциденте в службу ИБ заказчика. Действия группы реагирования на инциденты в ИБ протоколировались и в конечном счёте так же были переданы в составе отчёта Заказчику.
Исследователем было оставлено сообщение на форуме с просьбой о помощи по одному из разработанных компанией продуктов. В сообщение была ссылка на сторонний ресурс со скриншотом программного продукта, активация которой приводила к запуску скрипта, дающего исследователю доступ к машине перешедшего по ссылке. Одним из них стал администратор ресурса, чья аутентификационная информация была получена исследователем.
Посредством автоматизированного анализа продукта были выделены отдельные компоненты отвечающие за критически с точки зрения безопасности функции. Часть таких компонент была выборочно декомпилирована и проанализирована вручную. Недекларированные возможности, могущие нести угрозу конфиденциальности обрабатываемых системой данных, найдены не были. Однако в исходных кодах серверной части была обнаружена закодированная в base64 пара логин-пароль, позволяющая стороннему лицу пройти localhost-авторизацию без получения соответствующих прав от администратора системы. Была предложена конфигурация, использование средства в которой обеспечило бы гарантированную защиту от любых возможных НДВ.
Был проведён реверс клиентского приложения терминала, разработан альтернативный клиент и, с его помощью, успешно проведён фаззинг сервера (сервер упал). Кроме того был найден ряд уязвимостей в клиентском ПО, получена возможность менять информацию на терминале, отправлять на сервер изменённые данные, клонировать терминал и т.д.
Был проведёт реверс 3-х версий приложения под различные ОС, в результате чего:
- выявлены три уязвимости клиентского приложения;
- получен несанкционированный доступ к распространяемому контенту и данным учетных записей в ходе проведения атак;
- в дополнение была обнаружена одна уязвимость серверной части платформы;
- предложен комплекс мер, направленных на устранение обнаруженных уязвимостей и усиление существующей системы защиты
Была предложена концепция "мета-SIEM", предназначенной для сбора и анализа данных, поступающих от других средств ИБ с целью нахождения связей между разными объектами и событиями, позволяя выявить APT. Предлагаемая концепция отличалась от классических SIEM более высоким уровнем абстракции представления данных, другой логикой их группировки, а также инструментах анализа и отображения.
Форензика, инвентаризация
Была разработана методика по использованию программно-аппаратной связки из ноутбука, антенны и специального ПО, с помощью которого по плану здания методом последовательного обследования всех помещений офиса заказчика была построена карта распределения сигнала и выявлены все его источники. Для офисного пространства из ~30 комнат на двух этажах было обнаружено порядка 10 легальных и 25 нелегальных wifi-точек. Информация была передана Заказчику.