История проблемы
Основной проблемой для финансового сообщества было обеспечение безопасности
безналичных банковских платежей и электронной торговли на рынке ценных бумаг.
В результате дискуссий было решено создать единое «электронное законодательство»,
в основу которого должен был лечь закон об электронной цифровой подписи (ЭЦП).
На базе этого закона предполагалось создать законы об электронной коммерции,
электронной торговле, он должен был содействовать регламентированию использования
платежных Интернет-карт.
В подготовке законопроекта независимо друг от друга участвовали пять думских
комитетов, каждый из которых представил собственный вариант закона. Помимо этого
существовал еще ряд проектов, подготовленных отдельными депутатами, а также
вариант, предложенный Правительством.
Анализ представленных законопроектов позволяет выделить три различных по степени
сложности подхода к требованиям, предъявляемым к ЭЦП.
Первый, самый общий, основан на признании в отношении электронной подписи тех
же требований, что и в отношении обычной, включая уникальность, возможность
верификации подписи и «подконтрольность» использующему ее лицу.
Второй, наряду с этим, предполагает, что подпись должна быть связана с передаваемыми
данными таким образом, что в случае их изменения подпись становится недействительной.
Третий подход выдвигает наиболее детализированные требования к электронной подписи,
в частности предусматривает использование в ЭЦП криптографической технологии
открытого ключа.
В конечном итоге за основу был взят третий подход, а все законопроекты, кроме
правительственного, Правительством были отвергнуты. Именно этот вариант, согласованный
пятнадцатью ведомствами (прежде всего ФАПСИ и Министерством связи), был принят
Думой, одобрен Советом Федерации и подписан Президентом, получив статус федерального
закона1.
Суть нового закона об ЭЦП можно свести к следующему:
- Электронная цифровая подпись в электронном документе признается равнозначной
собственноручной подписи в документе на бумажном носителе, то есть закон уравнивает
юридическую силу цифровой подписи и традиционной собственноручной подписи
на бумаге. При этом на информацию с электронной цифровой подписью распространяются
все традиционные процессуальные функции подписи, в том числе удостоверение
полномочий подписавшей стороны, а также роль подписи в качестве судебного
доказательства. - Участник информационной системы может быть владельцем любого количества
сертификатов ключей подписей. При этом электронный документ с ЭЦП имеет юридическое
значение в рамках отношений, указанных в сертификате ключа подписи. - Средства, используемые при создании ключей электронных цифровых подписей
для информационных систем общего пользования, должны быть сертифицированы
соответствующим федеральным органом, в противном случае они признаются недействительными. - В сертификате ключа подписи должна содержаться следующая информация:
- уникальный регистрационный номер сертификата ключа подписи, даты начала
и окончания срока действия сертификата ключа подписи, находящегося в реестре
удостоверяющего центра; - ФИО или псевдоним владельца сертификата ключа подписи;
- открытый ключ электронной цифровой подписи;
- наименование средств электронной цифровой подписи, с которыми используется
данный открытый ключ электронной цифровой подписи; - наименование и местонахождение удостоверяющего центра, выдавшего сертификат
ключа подписи; - сведения об отношениях, при осуществлении которых электронный документ
с электронной цифровой подписью будет иметь юридическое значение.
- уникальный регистрационный номер сертификата ключа подписи, даты начала
- В качестве удостоверяющего центра с правом выдачи сертификатов ключей подписей
должно выступать юридическое лицо, обладающее всеми необходимыми материальными
и финансовыми возможностями, позволяющими ему нести гражданскую ответственность
перед пользователями сертификатов ключей за убытки, которые могут быть понесены
ими вследствие недостоверности сведений, содержащихся в сертификатах ключей
подписей. В функции удостоверяющего центра входит: - При изготовлении сертификатов ключей подписей (рис. 2)
удостоверяющим центром оформляются (в форме документов на бумажных носителях)
два экземпляра сертификата ключа подписи, которые заверяются собственноручными
подписями владельца сертификата ключа подписи и уполномоченного лица удостоверяющего
центра, а также печатью удостоверяющего центра. Один экземпляр сертификата
ключа подписи выдается владельцу сертификата ключа подписи, второй остается
в удостоверяющем центре. - Уполномоченный федеральный орган исполнительной власти ведет единый государственный
реестр сертификатов ключей подписей, которыми удостоверяющие центры, работающие
с участниками информационных систем общего пользования, заверяют выдаваемые
ими сертификаты ключей подписей; обеспечивает возможность свободного доступа
к этому реестру и выдает сертификаты ключей подписей соответствующих уполномоченных
лиц удостоверяющих центров.
Стоит отметить, что несмотря на то что закон об ЭЦП является важной вехой в
развитии электронного бизнеса и одним из необходимых условий для вступления
России в ВТО, он призван стать лишь техническим дополнением к другим законопроектам,
рассматриваемым Госдумой: «Об электронном документе», «Об электронной торговле»,
«О предоставлении электронных и финансовых услуг» и др.
Тем не менее принятие этого закона многие восприняли как знак того, что государство
наконец поворачивается лицом к проблемам электронного бизнеса. Если еще совсем
недавно Россия не страдала от избытка внимания государства к вопросам электронной
коммерции, то сейчас времена круто изменились.
В Госдуму уже внесено несколько
законопроектов, имеющих то или иное отношение к Сети: «О предоставлении электронных
финансовых услуг», «Об электронной торговле», «О сделках, совершаемых при помощи
электронных услуг» и, наконец, «Об Интернет». Последний проект должен регулировать
использование сети Интернет федеральными органами государственной власти.
Итак, сегодня российские законодатели резко активизировали свою работу в области
регулирования деятельности в российском сегменте Сети. Пока не ясно, как это
отразится на Рунете, однако определенные разногласия существуют уже сегодня.
Так, если необходимость закона об ЭЦП никем не подвергалась сомнению — без него
цифровая подпись не имела бы юридической силы и была бы равнозначна устной договоренности, —
то закон «Об Интернет», по мнению многих, является абсолютно излишней законодательной
инициативой.
«Это все равно, что принять закон о телефоне», — считает член российской гильдии
адвокатов и председатель Третейского суда АДЭ Александр Глушенков.
С этим утверждением трудно не согласиться, тем более что во многих странах,
в том числе и в США, где электронная коммерция развита как нигде, Интернет-сообщество
всеми силами стремится ограничить государственное регулирование сети Интернет,
утверждая, что вполне способно решать многие свои проблемы самостоятельно.
Работа с верба-ow при взаимодействии с цукс мгту банка россии
Каждая кредитная организация (банк), отправляет отчетность в центральный банк. Так же отправляются различные данные по счетам клиентов, подозрительным платежам и прочей информацией. Так данные передаются в федеральные службы, например Федеральную налоговою службу, службу валютного контроля. Данный обмен часто происходит по каналам центрального банке.
Что бы защитить передаваемые данные от перехвата и искажения между кредитной организацией и центральным банком, используются средства криптографической защиты информации. В данной статье я опишу как происходит генерация ключей шифрования и взаимодействие с центром управления ключевыми системами Центрального банка Российской Федерации. Данная статья будет полезна всем кто работает и занимается криптографией в коммерческих банках.
Сразу хочу заметить, что обмен данными кредитной организации и центрального банка в разных городах нашей страны, может отличаться, так как в каждом регионе есть свой территориальный орган центрального банка, порой даже использующий отличающееся программное обеспечение. Данная статья описывает процесс получения и генерации ключей, только в Москве и работе с ЦУКС МГТУ БР.
Данная статья НЕ содержит какой либо секретной информации, так как вся информация по сути весит на сайте центрального банка и FTP сервере центрального банка. Так же много всего есть на форумах. Вся информация в данной статье носит только публичный характер.
Что бы защитить обмен данными между кредитной организацией и ЦБ используется средства криптографической защиты информации Верба-OW. При обмене данными используют код аутентификации (КА) (это аналог электронной подписи) и ключ шифрования (КШ) (приватный ключ). У обеих сторон имеются справочники с кодами аутентификации и открытыми ключами, и стороны используют эти справочники что бы зашифровать друг на друга сообщения.
Ниже я опишу алгоритм взаимодействия с ЦУКС ЦБ:
При получении и оформлении ключей взаимодействуют два подразделения — от кредитной организации это информационная безопасность – администратор СКЗИ, а от Банка России это Центр управления ключевыми системами Центрального банка Российской Федерации.
Ежегодно происходит плановая смена ключей два раза. Каждый раз Банк России присылает в кредитную организацию письмо уведомление.
Первый раз смена происходит весной, меняются КШ и КА, для обмена с федеральными службами (ФС), при этом кредитная организация ничего не генерирует, а только получает дискеты с ключами в Банке России. Как правило это дискеты с ключами шифрования в двух экземплярах, а так же дискета со справочником открытых ключей — КА.
Ответственный администратор средств криптографической защиты информации кредитной организации, получив дискеты вырабатывает иммитовставки на справочниках КА, устанавливает все это хозяйство пользователям, согласно инструкции полученной в ЦУКС ЦБ и ведет учет СКЗИ в журналах СКЗИ.
Второй раз смена ключей происходит осенью для обмена с Банком России, при которой каждая кредитная организация генерирует свой собственный КА и КШ. Так же осенью кредитная организация генерирует КА для федеральных служб. Всего по сути осенью генерируются ключи на двух носителях, один для федеральных служб -КА, другой для Банка России — КШ и КА. При генерации обязательно делаются копии ключевых носителей, на всякий случай.
Генерация ключей происходит с использованием СКЗИ Верба-OW и с использованием лицензионной дискеты и номером и серией ключа, о которых сообщает ЦУКС ЦБ. Ежегодно данная серия меняется.
Как правило номера имеют примерно такое значение:
2025-941044 — открытый КШ для Банка России(на первом носителе)
2025-941044-01 — КА для Банка России (на первом носителе)
2025-941044-02 — КА для федеральных служб (на втором носителе)
Ниже снимки экрана при генерации ключей в Вербе:
Генерация КШ и КА для ЦБ
Генерация КА для ФС
Затем делается транспортная дискета в двух экземплярах, на которую помещаются открытый КШ, и два КА для ЦБ и ФС. Как правило это файлы с расширениями .lfx и .pub и названия у них соответствует номеру ключа. Данные файлы лежат в директории HD1, дискеты на которую СКЗИ Верба записывала ключ. Так же печатаются карточки КШ и КА, это такие одно страничные листки с байтами ключа и полями для подписи и печати.
На данной карточке проставляют свои подписи руководители кредитной организации, а так же проставляется печать кредитной организации. Руководители кредитной организации которые проставляют свою подпись, а также сама печать, должны обязательно присутствовать в списке первых и вторых лиц кредитной организации, которые указаны на карте подписей и оттиска печати этой кредитной организации. Данную карточку можно запросить обычно в бухгалтерии, так же копия этой карты хранится в ЦУКС ЦБ, и её при смене руководителей следует актуализировать и направлять в ЦУКС ЦБ.
После этого доверенное лицо приходит в ЦУКС ЦБ, передает туда транспортную дискету с открытыми ключами, карточки регистрации ключей и получает от ЦУКС ЦБ, их справочники открытых ключей и один экземпляр карточки регистрации ключей с их печатью и подписью. Затем Администратор СКЗИ кредитной организации выдает ключи пользователям и ведет учет.
Карта регистрации ключей
Дельные советы для администраторов СКЗИ кредитных организаций:
Что бы соблюсти все законы и требования по средствам криптографической защиты информации необходимо все ключевые носители ставить на поэкземплярный учет в том числе и дискеты. Открытые ключи следует хранить не менее пяти лет.
Все журналы выдачи, ключи и пароли следует хранить в сейфе.
Так же сейф нужен тем сотрудникам которые используют СКЗИ, для хранения своих ключевых носителей.
Если у вас выдается ключ каждому сотруднику, который шлет информацию, а так и должно по идее быть, то рекомендую использовать не дискеты в качестве ключевых носителей, а токены, они безопаснее и долговечнее, а так же их легче учитывать, единственное нужно будет копировать ключи с дискеты на токены, но это сделать можно с помощью Вербы-OW.
Генерацию и работу с ключами следует делать на отдельной автономной станции, не подключенной к сети. Данная станция должна находится в защищенном помещении, иметь систему аппаратной защиты от несанкционированного доступа (НСД). В качестве защиты от НСД, могу порекомендовать СЗИ НСД Аккорд-АМДЗ – это аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК – серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа – http://www.accord.ru/amdz.html.
Советую создать регламент и инструкцию, с пошаговыми действиями и снимками экрана, так как ключи меняются редко, через год процедуру забываешь, а потом можно накосячить, а косячить тут нельзя, так как Банк России в случае нарушений, может оштрафовать кредитную организацию, причем на кругленькую сумму, плюс к тому инициировать проверку.
§
Бывает так, что работать специалистом в сфере информационной безопасности, это не только сидение за своим компьютером и выполнение стандартных или рутинных задач. Иногда приходится анализировать информацию, в том числе решать аналитические головоломки, так сказать продумывать действия врага на шаг вперед.
В крупных компаниях работают некоторые сотрудники которые не только, нарушают политики безопасности, случайным образом, но и порой нарушают закон, сотрудничают с мошенниками и подделывают документы.
Утро понедельника началось как обычно начинается рабочая неделя, делаю отчеты по вирусным атакам и заношу в общую статистику.
Сутра начальник поставил важную задачу, сегодня после 20:00, нужно будет созвониться с другим сотрудником из СБ, и снять данные с компьютера вероятного злодея.
Потом еще ответил на пару писем в почте. К полдню запустил сканирование сканерами уязвимостей Xspider и Nessus на несколько ресурсов, а сам пошел обедать. Надо сказать кормят у нас не дорого, и при этом неплохо.
Хорошенько поев, и придя на свое место, дали мне задание отследить некоторых сотрудников кто куда ходил в интернет. Сижу и думаю, а чего за ними следить, запустил свой баш скрипт, скачал логи и разложив по папочкам отправил по почте начальнику, пускай там их руководители сами решают, куда можно, куда нельзя ходить, а тратить рабочее время и ресурсы это не по мне. Вообще бывает, так люди просят, но при этом не могут объяснить что им действительно надо.
Потом разбирался с новым программным обеспечением и средствами криптографической защиты информации, установил на сервер парочку программ и дописал технический регламент по СКЗИ.
К вечеру выяснилось, что данные злодея нужно будет снимать ночью, когда все уйдут, негласно и при этом не оставив следов. Собрав с собой диски с программным обеспечением по снятию образов, и другие инструменты, стал ждать часа икс, параллельно, сходив в кафе. Где-то в полночь поступила команда от нашего наблюдающего, что все сотрудники покинули офис и мы выдвинулись к объекту. Зашли через вход, охрана нас впустила, потом тихо поднялись на этаж. И зашли в помещение, где находился комп предполагаемого злодея. После этого провели фото и видео фиксацию всех вещей, что бы зафиксировать что, где и как лежит, а то бывает так возьмешь что-то подвинешь, а потом не помнишь как лежало.
Паролей у меня не было, но это не мешало, пришлось перезагрузить компьютер и потом загрузиться с живого диска, слил все файлы, за 20 минут. После этого я придумал сделать небольшой саботаж, что бы выглядело, так как будто неполадки в сети питания, и компьютер перегрузился в связи с этим. Это свело бы все подозрения предполагаемого злодея на нет. Потом отнесли все данные к себе и поехали домой.
§
В данной статье речь пойдет о доверии между людьми. Доверие между людьми это уверенность, в поступке другого человека определенным образом. С точки зрения психологии, доверие это открытые, положительные взаимоотношения между людьми, содержащие уверенность в порядочности и доброжелательности другого человека, с которым доверяющий находится в тех или иных отношениях. В данной статье я решил описать более философский, нежели практический взгляд, надеюсь он заставит многих людей, читающих данную статью задуматься.
С точки зрения информационной безопасности лучше вообще никому не доверять, но тогда невозможно будет наладить работу в компании и корпоративное общение, поэтому приходится идти на компромисс. Если скажем в одном отделе и подразделении работают 6 человек, это не значит, что следует всем им давать доступ к одному информационному ресурсу. Доступ следует давать тем кому он необходим в рамках работы и кому можно информацию эту доверить.
Доверять или нет, каждый человек решает сам, на основе предполагаемых угроз и рисков в своей голове. Но к сожалению очень часто многие угрозы остаются не учтены. Приведу пример с ключами от квартиры. Соседка говорит вам, что вы можете оставить копию своих ключей от квартиры ей и в случае чего, она всегда сможет открыть вам дверь. Некоторые кто живет один кстати так делают. У меня был такой случай, и я ключи не оставил, не только потому что не доверяю человеку, но и потому что человек не бдителен и сам иногда забывает закрыть свою дверь или вообще оставляет ключи в замке с другой стороны своей двери (старость не радость).
Отсюда вырисовывается что доверие строится не только на том злодей человек или нет, но и на других факторах:
Отдельно расскажу про лояльность. Люди склонны так рассуждать в тех условиях в которых живут и эти условия формируют у них мышление. Сейчас пошла мода предлагать так называемые услуги в обучении этическому хакингу, тесты на проникновение и многие сидят и спрашивают, что такое тесты на проникновение, кто такой этический хакер и что такое этичность вообще. Помню в России один преподаватель курсов CEH: Certified Ethical Hacking сказал, что это тот человек, который не нарушает закон. По закону он прав.
Но что такое закон? Закон по сути это набор норм и правил в стране, который люди обязаны соблюдать, но мир огромен и если я буду дизсамблировать коммерческую программу в России, мне ничего не сделают, а вот в США за это уже посадят в тюрьму, а в каких нибудь тропических момбасах, можно не нарушая закона, вообще несанкционированный доступ получать, если канал в интернет есть.
В Китае военные хакеры занимаются взломом и кибер-шпионажем, и при этом для Китая они этичны, так как защищают интересы своего государства, они патриоты и служат своей стране и народу, но для другого государства они представляют угрозу.
Поэтому полностью этичных людей не бывает, так же как и законопослушных, люди всегда враждебно настроены против какой-то социальной группы лиц. Мошенник против государства и простых граждан. Полицейский против мошенников. Простые граждане против друг друга. Все они нарушают те или иные законы или этику. К примеру простой гражданин просматривает фильм в интернете, за который должен по идее платить, а так это нарушение авторских прав и должно повлечь за собой ответственность, так как это тоже самое, что и воровство.
Так же отдельно по поводу закона хочу привести еще одну догму, если человек хороший, этичный и не нарушает закон, это не значит, что он закон никогда не нарушит. Практически все свои привычные действия человек осуществляет находясь в привычной для него среде, как только среда обитания меняется и появляются новые факторы оказывающие влияние на мозг человека, человек начинает менять свои суждения, стереотипы и порой даже меняется сам по себе. Это значит, что любой человек может нарушить закон и кому-то навредить. Приведу пример: хороший, доброжелательный сотрудник работает в компании никому пароль свой не сообщает, у него захватывают в заложники семью и говорят, ты нам доступ к серверу с данными или деньгами, мы тебе семью живой. В результате человека могут запугать и он доступ возможно даст причем от страха не сообщит в правоохранительные органы. Это вполне адекватная реакция инстинкта самосохранения и выживания заложенная, еще с рождения и можно сказать приобретенная на генетическом уровне. Из данного примера вырисовывается ситуация, что завербовать и сделать инсайдером можно практически любого человека, зная его слабые психологические стороны. Если не смогут подкупить, то смогут запугать или по печени дать.
На мой взгляд гибкое понимание того как устроен человек позволяет избегать сложных ситуаций, не совершать необдуманных поступков и очень хорошо выставлять уровни доверия внутри любой организации.
§
Недавно в новостях пронеслась буря статей по поводу того, что правительство хочет прикрыть анонимный доступ к Wi-Fi. Конечно тут есть смысл, государство хочет четко контролировать кто куда лезет и кто кому пишет.
Вычислить человека через общедоступный WLAN представляет трудность, это могут в принципе сделать спецслужбы, но при условии, что там будут работать грамотные опера или специалисты имеющие технические знания в области сетей и криминалистики, в принципе я знаю как это можно сделать, так как сам являюсь специалистом по беспроводным технологиям и знаю как их защищают и взламывют, так же знаком с методами расследования. Но это требует аналитики и времени это работа в поле и каждого троля искать довольно накладно и не выгодно.
По факту постановление говорит о компаниях которые предоставляют услуги связи, любая кафешка на деле может эти услуги не предоставлять, хотя иметь открытую точку доступа. Или арендовать её у провайдера, вобщем все равно эти постановления можно обойти.
Что касается идентификации вопрос очень спорный. Система фильтрации да и вообще защита беспроводных сетей стандарта 802.11 abgn, ломается элементарно. Правительство хочет осуществлять фильтрацию по мак адресу, а он элементарно подделывается и виден в эфире, так это по сути 2 уровень OSI модели. Аутентифиакция на портале скорее всего будет привязываться к мак адресу. На практике же внедрить общий доступ в кафе по паспорту очень не удобно.
Ничего из этого постановления не получится. Получится только обязать провайдеров брать паспотрные данные за предоставление услуг связи, что они и так давно уже делают.
§
На сегодняшний день, очень многие крупные компании и государственные организации прибегают к возложению ряда работ по внедрению и поддержке IT решений, в том числе и по внедрению решений в области информационной безопасности на интеграторов и подрядчиков.
Как правило компании прибегают к аутсорсу и работам аутсайдеров в связи с выгодой, так как у заказчика есть определенный срок, внедрить какое-то решение своими силами и в данные временные рамки не представляется возможным. Так же не представляется возможным внедрение своими силами в связи с нехваткой специалистов, не достаточной квалификации и не выгодностью найма новых специалистов по проекту. Время поджимает, а конкурентное преимущество на рынке нужно наращивать.
Выгодно это бывает и директорам и руководителям, так как бывает за договора с интеграторами они получают своего рода откат в кругленькую сумму денег и соответственно поддерживают бизнес отношения с другими своими коллегами из других компаний.
В компании которая хочет, что бы информация была на хорошем уровне защищенности и которая пользуется услугами интеграторов для внедрения новых ИТ решений, обязательно должна быть группа специалистов, которые достаточно компетентны в той технологии которую внедряют интеграторы. Эта группа специалистов должна пройти должное обучение по технической части и соответственно должна контролировать работу интегратора и подстраивать оборудование и программное обеспечение под себя.
Почему это жизненно важно с точки зрения информационной безопасности объясню ниже:
1. Интеграторы работают по принципу воткнул и забыл, то есть они вам ставят к примеру роутер или устанавливают сервер, но не настраивают его безопасным образом, а просто ставят конфигурацию по умолчанию, что бы все работало. Как правило это ведет к лишним не нужным сервисам, которые несут в себе угрозу несанкционированного доступа.
2. Интеграторы очень часто используют и оставляют пароли по умолчанию, к различным сервисам, и так же понятно что эти пароли нужно менять, после того как работы выполнены, так как интегратор не должен иметь доступа туда как по договору, так и на деле. Часто бывает так что пароли ставят 12345678, к информационным ресурсам хранящим, серьезную информацию. Так же на момент внедрения, данные ресурсы становятся наиболее уязвимы, в этот промежуток времени возрастает шанс взлома и установки программ типа Trojan и Backdoor, для последующего несанкционированного снятия информации.
По верхним двум пунктам, интеграторы так поступают по двум причинам — лень и не компетентность в сфере ИБ.
А теперь приведу показательный пример из собственной жизни.
Работал я некоторое время инженером в одной организации, контора не большая, но с хорошим блатным названием, скажу лишь что она звучит серьезно. Информация там не секретная, но могли проскочить данные, которые не следует знать каждому на улице. И была там точка одна, которая имела связь с головным офисом, построена была так что канал шел к провайдеру через шлюз с сетевым экраном, а потом через не мощный роутер с Wi-Fi функцией.
На тот момент должность у меня была инженер, но так как я увлекался ИБ, и много изучал в этой сфере, всегда хотел улучшить информационную безопасность в компании в которой я работаю.
Пришел я значит в эту серверную комнату, администратор мне начал показывать шлюз и как что работает, потыкавшись 10 минут, увидел, что правила на сетевом экране шлюза стоят в политике – разрешить все внутрь и изнутри. То есть по сути шлюз с сетевым экраном стоит, но ничего не контролирует и не блокирует, спросив у администратора почему так, тот мне сказал, что сам в этом не разбирается, а вот интегратор, чего-то пришел 2 месяца назад, копался там целый час, у него ничего не получалось и решил оставить так, лишь бы работало. Но это еще только цветочки.
Потом выяснилось, что между шлюзами ГО и офиса отсутствует VPN, хотя его можно было легко поднять, технология позволяла и все ПО лицензионное стояло. На роутере включен Wi-Fi доступ, который не нужен вообще, но он еще и открытый и без пароля и вещает на полную мощность. То есть можно было не только перехватывать все данные между ГО и дочерним офисом, сидя с ноутбуком около здания, но и влезть в сеть и атаковать сетевой экран на прямую, тем более что ОС шлюза не часто обновлялась. В принципе туда бы залез даже студент, не имея приватного хакерского софта.
Конечно же я все исправил и настроил VPN, и даже политику написал, но после этого случая, сделал вывод, что интеграторов и аутсорсеров, следует контролировать в любом случае.
§
Качнул в сетях файлы тыренных паролей о которых, так везде писали в начале сентября. Посмотрел и делаю вывод, что возможно эти утечки были давно, однако в паблик попали недавно.
Лично мне это пригодится, так как теперь можно занести эти пароли в свои вордлисты и использовать так скажем, для аудита. Так как порой пароли попадаются уникальные, которых нет ни в одном вордлисте, но так как теперь он в паблике, это значит, что такой пароль следует считать не безопасным.
Вообще делаю вывод, что скоро аутентификация перейдет на токены и сертификаты, с развитием GPU и появлением таких утилит, как oclhashcat, pyrit и т.п. перебирать пароли стало намного легче. Вот например сегодня добрутфорсил пароль к сети одного банка, в котором провожу тестирование на проникновение, перебрал более полторы миллиарда паролей, но пароль так и не подошел, а жаль, я уж надеялся, что удастся пролезть, причем хэндшэйки я перехватывал, как деаутентификацией клиентов, так и подставной точкой доступа. На все ушло времени порядка 3 дней.
§
Недавно сдал экзамен на сертифкацию Сертифицированного этического хакера или как его там называют Certified Ethical Hacker.
Что могу сказать о самой программе. Материал по обучению довольно обширный всего более 4000 листов, которые представляют из себя скрины слайдов и текста на английском. В общем из обучения вынес для себя некоторые новые вещи, много вещей знал до этого. Само обучение мне не очень понравилось, так как уложить 4000 страниц в пять дней просто не реально и тренер больше пролистывал, на каждой теме мало останавливались. Но не страшно я потом все это дело прочитал
А вот экзамен я считаю полный отстой. ОН сложный, но сложен он не тем, что заумные задачи, а тем что есть плохо сформулированные вопросы и ответы, а уж человеку у которого английский не родной язык в двойне сложно. Создалось впечатление, что либо там писали пьяные, либо далекие, либо специально завалить хотят. В частности были такие вопросы, когда из четырех вариантов ответа, два правильных, а выбрать нужно один, собственно какой выбирать не понятно. У меня были дополнительные тесты, которые решал в инете и качнул себе на мобилу, тесты эти почти точ в точ с экзаменов и там были ляпы те же. Тем кто хочет сдать данный экзамен, могу сказать одно без подготовки по этим вопросам, не здадут, так как там был вопрос даже про законодательство в США и некоторые организационные вещи например N-tier model или многоуровневая модель ИТ. Некоторые вопросы не освещались в учебном материале. Кстати такие же отзывы я встречал на английских форумах.
Но несмотря на это, экзамен я сдал на 92% из 70% меньше чем за полтора часа из данных 4 часов, это 125 вопросов. Парень в центре удивился, сказал, что то вы быстро))
§
В данной статье я затрону очень важный момент по организации работ по тестированию на проникновение(пентест). Статья будет полезна всем тем кто оказывает такие услуги и тем кто хочет эту услугу заказать.
Начну с самого основного. Многие компании по информационной безопасности предлагают сейчас тест на проникновение на рынке ИБ. В основном предлагают сделать пентест по трем вариантам black box, grey box и white box. Это стандартные сценарии которыми пользуются и в других странах.
Вот в чем различия между этими методами:
Black box — проводится тестирование при котором не известно ничего о компании, только её название.
Grey box — проводится когда есть частичная информации о компании, когда кроме названия есть например пул IP адресов, которые можно просканировать или список E-mail адресов.
White box — проводится когда есть полная информация о компании, это полная схема сети, доступ в офис или даже к коммуникационному оборудованию.
Посмотрев законодательство и услуги на западе и у нас, и опираясь на собственный опыт, могу точно сказать, что в коммерческой среде, по информационной безопасности возможно использовать только два метода — grey box и white box.
Почему нельзя использовать Black box в коммерции? Все очень просто, исполнитель коим является аудитор или пентестер(компания или частный консультант) просто напросто рискует понести уголовную и другую ответственность если будет проводить тестирование на проникновение по методу Black box, потому что юридически он никак не защищен, так как в договоре и в других договорных документах, имеющих юридическую силу не прописаны границы тестирования до конца. К примеру там не прописывается точный пул IP адресов или точный адрес компании, эту информацию во время разведки берут из баз данных WHOIS, но эти базы данных не имеют какой либо юридической силы и ни кто не застрахован от сбоев или не актуализации в тех же WHOIS.
Что бы более лучше понять все риски приведу два примера:
Первый из моей практики. Как то раз я предложил провести тестирование безопасности в компании в которой я работал. ИТ департамент согласился и админ написал мне на листке IP адреса в DMZ зоне. На следующий день были выходные и я занялся работой. Выявил один сервер начал проводить атаку на ДНС. Точно не помню что именно делал, но на следующий день, порт вдруг стал не доступен. Выяснил что он скорее всего фильтруется, но никто его фильтровать не мог, так как админы все отдыхали и никаких IPS не было. Я почувствовал не ладное и прекратил тестирование, переключился на WI-FI, через который кстати и проник в сеть в конце.
Когда пришел на работу выяснилось, что админ ошибся циферкой в IP адресе, чей был сервер не знаю, но это вполне реальный пример из жизни, за который можно было получить по голове, даже не имея злого умысла.
Приведу второй реальный вариант. Очень часто работы по тестированию на проникновение заказывают крупные банки и холдинги. Как правило это крупная компания, которая входит в группу компаний с распределенными уставными капиталами(например Газпром, ВТБ и прочие). Так как компания крупная она может не только арендовать недвижимость, но и иметь собственную. Так же в этих компаниях часто многие работы делают аутсорсеры – например ЧОП, всякие уборщицы ,столовые и даже некоторый IT персонал. Крупная компания может сдавать им в аренду свой офис, а так же сдавать в аренду недвижимость примыкающую к основному офису другим частным не связанным с ней юридическим лицам. Два разных не связанных между собой юридических лица, находящихся в одном и том же здания часто используют одни и те же телекоммуникации и даже сетевое оборудование. Возможно сети не связаны между собой, но они реально договорившись между собой, могут использовать внешний IP адрес зарегистрированный на компанию Заказчика услуг по тестирования на проникновения. В результате можно просканировать пул IP адресов найденный в базе WHOIS или даже прописанный в ТЗ незнающим специалистом и атаковать маршрутизатор или сервер, который по факту и юридически, компании заказчику не принадлежит, так же как и не принадлежит информация хранящаяся на серверах или проходящая через маршрутизатор на периметре сети. Не смотря на соблюдение этических норм результат может быть плачевен — незаконный доступ к информации, блокировка информации и прочие статьи УК РФ.
Из приведенных примеров ясно, что использовать Black box в коммерции нельзя. Единственные кто могли бы использовать Black box, это те, кого несмотря на случайный взлом не той компании освободят от ответственности, но если учесть что по закону даже правохранительные органы должны запрашивать разрешение на прослушку и доступ к частной жизни, то даже они не могут в принципе по закону без риска для себя, использовать данный метод.
На мой взгляд наилучшим сценарием является метод Grey box, когда дается некоторая информация о компании, к примеру периметр сети, доменные имена и она прописывается в договоре, границах тестирования и других документах являющихся юридически значимыми. В такой ситуации ответственность с исполнителя услуг по тестированию на проникновение в случае чего, можно будет снять.
Хочу сказать что наше законодательство пока что плохо заточено под подобного рода услуги и даже на западе где такие услуги появились еще в 90-е годы, не все так гладко.
§
