Era el año 2020, la gente estaba encantada de leer otro artículo sobre lo malo que es abrir cartas de extraños, especialmente con archivos adjuntos, lo peligroso que es insertar unidades flash dudosas en una computadora, cómo en un país lejano los piratas informáticos transfirieron millones de dólares de cuenta a cuenta con solo chasquear los dedos. Los análisis, que decían que 7 de cada 10 bancos pueden ser pirateados por los esfuerzos de dos piratas informáticos en un par de noches, parecían ser comunes para las personas en 2020. En cuanto a los usuarios comunes, ni siquiera estaban asustados: simplemente percibían tales noticias como un universo Marvel separado y ocasionalmente pedían a científicos informáticos familiares que piratearan VK. Y solo los expertos en seguridad entendieron que no todo era tan simple como parece ...
En 2020, la palabra "pentest" ya es familiar para muchos, y todas las empresas maduras realizan ese trabajo regularmente. Algunos incluso han formado un equipo de especialistas y autoevaluaciones todos los días. El número de herramientas de seguridad de la información (SIS) aumenta constantemente, las mejores prácticas de seguridad de la información se distribuyen en Internet de forma gratuita, los procesos de seguridad de la información se construyen de acuerdo con las mejores metodologías. Al mismo tiempo, todavía se piensa en la mente de las personas que nada es un obstáculo para los hackers: si necesitan algo, lo lograrán. Como especialista directo en pruebas de penetración, quiero hablar sobre este fenómeno hoy.
"Lo que fue una hazaña para las generaciones anteriores es un trabajo regular para la próxima"
Hace 10-15 años, la seguridad de la información se asociaba con la diversión: se podía piratear todo y no se conseguía nada. Todo estaba "lleno de agujeros", pero asustó a pocas personas. Los hackers acumularon interés y se jactaron de sus hazañas a los amigos en el bar. Hoy en día, la seguridad de la información ya es un gran negocio, piratear algo puede ser fácil y rápidamente posible solo por accidente, y hacerlo de manera "experta" es costoso.
El umbral para ingresar al área práctica de seguridad de la información se ha vuelto más alto: si antes alguien podía darse el lujo de llegar al cliente que no estaba en la mejor forma física, repita un par de videos vistos en Internet y piratee la organización, por ejemplo, tome un controlador de dominio, ahora esto puede hacerse lejos No en todas partes. Los problemas están comenzando a ocurrir a cada paso y en cada área, en parte, al menos porque se han adoptado las recomendaciones de pentests anteriores. A continuación analizaré los problemas que se pueden encontrar al comenzar a trabajar en una prueba de penetración.
Pruebas internas (o empleado desleal)
Conexión de red
Hagamos una prueba de penetración desde la red interna: ahora ni siquiera puede conectarse a la red de una organización así como así. Llegas a un cliente, sacas una computadora portátil, te conectas con un cable a Ethernet y ... nada. Asume que necesita omitir el control de los dispositivos conectados, y es bueno si necesita encontrar una dirección MAC legítima en algún lugar, pero si se une a un puerto. ¿Qué sucede si la cantidad de MAC en un puerto es limitada? ¿Y si hay 802.1x (Cisco ISE) con certificados y perfiles competentes? Luego, necesita encontrar una cuenta de dominio con un certificado de cliente adicional, o bloquear MITM en el tráfico de otra persona y pretender ser una impresora o proxy a través de un host legítimo. ¿Lo sientes? Esto no es para que golpees rápidamente tus dedos en el teclado, como se muestra en las películas.
Exploración
Comienza a escanear, como de costumbre, las subredes (10.0 / 8, 172.16 / 12, 192.168 / 16), y todos los puertos se cierran o filtran, y luego el acceso se pierde por completo. Estas son nuestras ITU favoritas con una política de segmentación correctamente configurada. Disminuyes la velocidad, usas técnicas de reconocimiento sombrías, pero te expulsan cuando usas exploits: ya es IDS / IPS "llegado", y adiós, acceso no autorizado.
Punto final
Me dirigí al host, pero luego el antivirus lo terminará o SIEM lo quemará, y si obtiene el shell, resultará que tiene derechos limitados, que todos los parches actuales para LPE están enrollados, y además el proceso lsass.exe está aislado. Además, los mecanismos para detectar el comportamiento anómalo del usuario se atornillan, se implementa DLP, aunque mal configurado, pero su PowerShell en ejecución en la estación de trabajo del contador ya se notará.
"Planchar"
Si intenta hackear físicamente la PC de otra persona mientras un empleado está de baja por enfermedad, encontrará que el BIOS está protegido con contraseña, el disco duro está encriptado con un bitlocker junto con un código PIN y un módulo TPM, y no se puede extraer nada de la computadora.
Ataques de dominio
Tengo una cuenta de dominio de Active Directory y está contento de que ahora llevará a cabo sus ataques favoritos en AD: Kerberoasting, AS-REP Roasting, ataques de delegación, pero ese no fue el caso. Todo se proporciona, las contraseñas no son "brutales", Microsoft ATA detecta ataques en el dominio y los hosts obsoletos se separan en un dominio separado, además, la arquitectura se construye utilizando RedForest , y eso es todo, incluso un compromiso del dominio del usuario no traerá el resultado deseado.
Pruebas externas (hacker de Internet)
Está intentando piratear algo en el perímetro exterior, y Anti-DDoS y WAF ya están allí, la aplicación se desarrolla según los principios de SSDLC y se prueba antes de lanzarse en producción. Los datos entre el cliente y el servidor se cifran y cualquier entrada del usuario se valida de varias maneras. A veces, una aplicación se escribe en un marco nuevo y se superpone con un grupo de técnicos empresariales, los desarrolladores mismos han descubierto cómo agregar un módulo en seis meses, ¿a dónde vas con tu fuzzing usando el método de "caja negra" durante una semana?
Pruebas móviles (hacker con teléfono)
Tome una aplicación móvil, aquí la plataforma misma ya protege a los desafortunados desarrolladores de muchos disparos en su pie. El tráfico en forma abierta pronto estará completamente prohibido. Los desarrolladores conscientes han cambiado el énfasis para proteger el lado del servidor, porque si el servidor no implementa "agujeros", entonces no funcionarán en el cliente. Los que fueron más allá, dominaron la Guía de pruebas de OWASP, aprendieron a detectar dispositivos raíz e implementar la fijación de SSL. Y eso es todo, el impacto de otras deficiencias es insignificante.
Wi-Fi (hacker con adaptador de Wi-Fi)
No tiene sentido discutirlo demasiado. O wpa2-enterprise se usa con certificados de cliente o no. Ahora viene wpa3, incluso el tráfico de servicio está encriptado allí, y la clave de sesión está protegida de manera confiable. Al principio, por supuesto, habrá errores en la implementación, pero estos ya no son las deficiencias de todo el protocolo.
Prima
Otro factor adicional: todos los SIG ahora están comenzando a unirse en un ecosistema, y tan pronto como tocas un borde, toda la red comienza a temblar. De un vistazo a la familia de soluciones de Cisco y Microsoft, yo, como pentester, ya estoy asustado por el dolor de los intentos de trabajo oculto en los próximos años. Además, en el mercado aparecen "probadores automáticos", por ejemplo, soluciones PenTera o Cymulate, que pronto comenzarán a tomar parte del pan de los pentesters. Y todavía hay startups de seguridad de la información con Machine Learning, redes neuronales, pseudo-AI por delante. Hasta ahora, todo parece húmedo, pero durante un par de años ...
Alguien dirá que esta es una situación ideal, y siempre habrá agujeros, y responderé que, observando cómo madura la seguridad de la información en las empresas, llego a la conclusión de que en dos años el "costo" del pirateo será bastante alto incluso para especialistas experimentados. ... Creo que en el futuro cercano, piratear un banco de forma remota será tan raro como robarlo físicamente en 2020 (¿conoce muchos casos exitosos recientes?).
¿Con qué terminé? La seguridad se está volviendo más compleja, y quizás en el futuro los problemas de esta área se vuelvan más controlables. ¿Pero deberíamos cerrar los ojos y esperar a que llegue el futuro? No, debemos tomar medidas para construir este mismo futuro.
5 consejos para empresas
- « » .
nmap Nessus, , . , . , , , , . , , .
: 10 , . , , , , . - .
, ( ) - , - . . . - Red Teaming continuous pentest.
, , ? ? , , -- ? Red Teaming , «» , , (3-9 ). - .
, : , . - .
. 100500 - . , , .
- .
. Bug Bounty GitHub CTF, . , — . - .
. , , . , . telegram- twitter. - , «» , . - Estar con la comunidad.
Forme un círculo social profesional: es mucho más eficiente hacer algo juntos que sentarse solos en un armario. Es en las películas que un pirata informático solitario irrumpe en el mundo, pero en realidad hay un APT con funciones y tareas claras para todos: uno escanea, otro explota, el tercer análisis, el cuarto retira dinero. Sea abierto y comparta conocimientos, porque otros ya han hecho lo que está planeando 100 veces y, por el contrario, puede ayudarlos a reducir el tiempo de rutina y liberarlo para la creatividad.
Qué hacer para usuarios habituales
Es poco probable que estés leyendo este artículo, pero aún así. Seguridad bajo control: no espere el clima junto al mar, busque una contraseña normal para usted, tome cursos de sensibilización en seguridad de la información y simplemente siga sus consejos. Confía en mí, no es difícil.
conclusiones
Escribí este artículo no para mostrar cuán bueno es todo en seguridad de la información, sino para asegurarme de que no todo sea tan malo como muchos están acostumbrados a pensar. Las noticias negativas nos permiten desarrollarnos y mejorar, pero respondemos: ¿estamos más seguros que hace 10 años? Bueno, si no lo haces, ¿quién de ustedes puede hackear, por ejemplo, VK: no un usuario, no lanzar XSS, sino solo toda la infraestructura?