White hat. Случаи из практики

1. White hat
Случаи из практики
Максим Авдюнин
ЗАО «Перспективный мониторинг»

2. ЗАО «Перспективный мониторинг»
Аудит информационной безопасности
Расследование инцидентов ИБ
Конкурентная разведка и
социальная инженерия
Тестирование на проникновение Анализ защищённости ПОАнализ трафика
Разработка ПО

3. ЗАО «Перспективный мониторинг»
Статья 272 УК РФ. Неправомерный доступ к компьютерной информации
Статья 273 УК РФ. Создание, использование и распространение вредоносных
компьютерных программ
Статья 274 УК РФ. Нарушение правил эксплуатации средств хранения, обработки или
передачи компьютерной информации и информационно-телекоммуникационных сетей
vs
We are the white hat hackers!

4. ЗАО «Перспективный мониторинг»
ПАО «Уралкалий»
МИРС Пермского края
Росреестр
Правительство Хабаровского края
и др.
Группа компаний «ИнфоТеКС»
Заказчики

5. Проект 1
«Ненадёжный администратор»
Заказчик
Крупная транспортная компания
Постановка задачи
Провести проверку компетентности Администратора ИБ Заказчика и его готовности к отражению
социоинженерных атак
Работы
В рамках проекта была выработана достоверная легенда, собрана необходимая исходная
информация, и совершено несколько звонков Администратору ИБ Заказчика
Результаты
 Подготовлены стенограммы записей разговоров с объектом исследования
 Проведён анализ стенограмм на предмет нарушения инструкций АИБ
 Выводы по результатам анализа переданы Заказчику

6. Проект 2
«На чистую воду»
Заказчик
Провайдер трекинговой информации о грузоперевозках
Постановка задачи
Ряд интернет-сайтов предлагает информацию, распространяемую Заказчиком, на продажу,
очевидно получая её в обход официальных каналов. Необходимо установить, каким образом это
происходит
Работы
В рамках проекта были проведены работы по конкурентной разведке и инструментальному
исследованию указанных заказчиком сайтов
Результаты
 Список аффилированных с исследуемыми сайтами лиц
 Их персональные данные, контактная информация, социальные связи и т.д.
 Конфиденциальные сведения, в частности, обличающие их юридические документы

7. Проект 3
«Плохие новости»
Заказчик
Государственный подрядчик
Постановка задачи
Провести тестирование на проникновение в режиме «чёрного ящика»
Работы
В рамках проекта была проведена фишинг-атака на компанию Заказчика, в ходе которой
сотрудникам были отправлены письма, содержащие ссылку на скрипт, перехватывающий
аутентификационные данные пользователей соответствующих машин
Результаты
 Более половины сотрудников прошло хотя бы по одной ссылке
 Никто из них не сообщил об инциденте в службу ИБ Заказчика
 Исследователями был получен полный доступ к IT-инфраструктуре Заказчика
 Действия службы ИБ Заказчика протоколировались, протокол был включён в состав
отчёта

8. Проект 4
«Просьба о помощи»
Заказчик
Крупная IT-компания
Постановка задачи
Провести аудит безопасности веб-ресурса компании в режиме «чёрного ящика»
Работы
В рамках проекта исследователем было оставлено сообщение на форуме с просьбой о помощи по
одному из разработанных компанией продуктов. В сообщении была размещена ссылка на
сторонний ресурс со скриншотом программного продукта. Переход по ссылке приводил к запуску
скрипта, перехватывающего аутентификационные данные пользователя
Результаты
 Одним из перешедших по ссылке пользователей стал администратор ресурса, что
привело к получению исследователями полного доступа к ресурсу

9. Проект 5
«Крепкий орешек»
Заказчик
ИБ-интегратор
Постановка задачи
Провести функциональное тестирование и исследование системы визуализации и анализа рисков сетевой
безопасности на предмет наличия программных закладок
Работы
В рамках проекта посредством автоматизированного анализа продукта из 1366 jar-файлов были выделены
отдельные компоненты, отвечающие за критически с точки зрения безопасности функции. Часть таких
компонент была выборочно декомпилирована и проанализирована вручную
Результаты
 Недекларированные возможности, могущие нести угрозу конфиденциальности обрабатываемых
системой данных, найдены не были
 Однако в исходных кодах серверной части была обнаружена закодированная пара логин-пароль,
позволяющая стороннему лицу пройти localhost-авторизацию без получения соответствующих прав от
администратора системы
 Была предложена конфигурация, использование средства в которой обеспечило бы гарантированную
защиту от любых возможных НДВ

10. Проект 6
«Дырявый терминал»
Заказчик
Крупная государственная организация
Постановка задачи
Провести проверку защищённости клиент-серверной системы продаж
Работы
В рамках проекта была проведена обратная разработка клиентского терминала продаж и инструментальное
исследование его web-интерфейса, а также тестирование на проникновение и фаззинг серверной части
Результаты
 Была выработана методика фаззинга, позволяющая гарантированно вызывать сбои в работе
сервера
Был найден ряд уязвимостей в клиентском ПО, позволивших:
 Менять информацию на терминале
 Отправлять на сервер изменённые данные
 Клонировать терминалы

11. Проект 7
«Литературные пираты»
Заказчик
Электронное издательство
Постановка задачи
Провести анализ защищённости клиентской части платформы, предоставляющей доступ к электронным
книгам, проверить возможность их кражи
Работы
В рамках проекта была проведена обратная разработка приложения для скачивания и чтения электронных
книг в версиях под Android, iOS и Windows 8.1, а так же проверена возможность перехвата трафика от
сервера с целью получения несанкционированного доступа у контенту
Результаты
 Были выявлены и проэксплуатированы три уязвимости клиентского приложения
 Получен несанкционированный доступ к распространяемому контенту и данным учетных записей
 Обнаружена одна уязвимость серверной части платформы
 Предложен комплекс мер, направленных на устранение обнаруженных уязвимостей и усиление
существующей системы защиты

12. Проект 8
«Враг не пройдёт»
Заказчик
Крупная государственная организация
Постановка задачи
Разработать систему обнаружения целенаправленных устойчивых угроз (Advanced
persistent threats) изолированной информационной системе со стороны нарушителей классов
Н4 - Н6
Работы и результаты
В рамках проекта была предложена концепция "мета-SIEM", как надстройки над имеющейся
инфраструктурой информационной безопасности, включающей различные средства
защиты информации. Целью такой системы было нахождения связей между различными
объектами и событиями ИБ, с последующим выявлением фактов формирования APT.
Предлагаемая концепция отличалась от классических SIEM более высоким уровнем
абстракции представления данных, другой логикой их группировки, а также инструментами
анализа и отображения
К сожалению, работы не были завершены

13. Проект 9
«Хранители»
Заказчик
Крупная IT-компания
Постановка задачи
C 10-го ноября 2014-го года по 18 мая 2015-го года провести мониторинг инцидентов ИБ в сети Заказчика,
обеспечить реагирование на их возникновение и разработать соответствующие сигнатуры для
корпоративной системы обнаружения вторжений
Работы
 В компании был развёрнут Центр мониторинга
 Центр мониторинга был интегрирован с сетевой инфраструктурой Заказчика и инструментальными
средствами анализа защищённости (в частности, сканерами безопасности)
 Разработаны и применены протоколы обнаружения и реагирования на инциденты ИБ
Результаты
 Выявлено и обработано 29 событий информационной безопасности
 Разработано 34 сигнатуры для IDS Заказчика

14. Проект 10
«Беспроводной беспредел»
Заказчик
Крупная IT-компания
Постановка задачи
Проверить офис заказчика на предмет установки на его территории неавторизованных точек
доступа Wi-Fi
Тип работ
Была разработана методика по использованию программно-аппаратной связки из ноутбука,
антенны и специального ПО, с помощью которого по плану здания методом последовательного
обследования всех помещений офиса заказчика была построена карта распределения сигнала и
выявлены все его источники
Результат
 В офисном пространстве из 30 комнат, расположенных на двух этажах здания, было
обнаружено порядка 10 легальных и 25 нелегальных Wi-Fi-точек

15. Спасибо за внимание!
Максим Авдюнин
ЗАО «Перспективный мониторинг»