Один из центров обработки данных на своем горьком опыте убедился в том, что баги действительно могут стать угрозой. Причем в этом контексте мы говорим о настоящих багах – жуках с шестью лапами и усиками, а не о компьютерных багах. Разберем случай, как одна фирма, занимающаяся тестами на проникновение смогла взломать физическую безопасность ЦОДа менее, чем за неделю, выдавая себя за компанию по борьбе с насекомыми.
История, о которой рассказала корреспондент издания Data Center Knowledge Мария Крылова, произошла в прошлом году. Фирма NetSPI из Миннеаполиса, проверяющая объекты на физическую уязвимость, была нанята компанией, владеющей несколькими колокейшн-центрами для проведения теста физического проникновения на ее объект. Задача заключалась в том, чтобы с помощью социальной инженерии проникнуть в машинный зал и получить доступ к сети дата-центра.
Это был высокозащищенный объект, на всех дверях которого установлены сканеры сетчатки глаза и ридеры бейджей. Помещения были оборудованы карманами-ловушками: вы проходите через дверь в маленькую комнату, ожидая, пока первая дверь закроется, прежде чем вы сможете открыть вторую и пройти дальше. Это означает, что недоброжелатель не может просто проследовать за кем-то в здание. Более того, на объекте постоянно работают всего два сотрудника плюс охранник, т.е. посторонний человек будет сразу на виду. Дополнительное ограничение задания состояло в том, что на подготовку к физическому проникновению давалась всего одна неделя.
Обычно в подготовку входит глубокое исследование: сбор данных о всех внешних посетителях, которым разрешен вход, поиск копий офисных документов, получение образцов электронной почты. Помимо этого осуществляется связь с сотрудниками компании через социальные сети или другие каналы. Задействуется веб-сайт самой компании, а также Google, LinkedIn и прочие ресурсы, производится изучение всей информации об объекте и людях, которые там работают.
Также проводилась и физическая разведка – тестировщики сидели в машине возле здания и наблюдали за тем, как сотрудники и клиенты входят и выходят в здание. Как правило это занимает несколько недель. Но заказчик дал только неделю.
Первая мысль заключалась в том, что центр обработки данных проводит экскурсии для потенциальных клиентов. На эти визиты можно даже записаться через веб-сайт. Но от идеи пришлось отказаться, поскольку персонал имеет опыт безопасности в данной сфере и вероятность задержания (и даже травмирования тестировщика) будет высокой.
Правда стоит отметить, что заказчик пошел навстречу, предоставив некоторую справочную информацию, которую NetSPI обычно находит самостоятельно. Это имена сотрудников, их контакты, имена поставщиков, данные о том, как происходит общение с контрагентами, как выглядят подписи электронной почты, фирменный бланк компании и какая терминология при этом используется.
Использование социальной инженерии для взлома физической безопасности
Время шло и на проникновение на объект оставалось всего пара дней. Но после просмотра списка поставщиков было замечено, что компания пользуется услугами известной национальной сети по борьбе с вредителями. Один из сотрудников тестировщиков даже пользовался услугами этой компании для обработки своего дома и сохранил всю переписку. В результате на основе переписки было составлено поддельное электронное письмо, которое выглядело так, как будто оно отправлено одним сотрудником дата-центра другому сотруднику.
В составленном электронном письме говорилось, что компания по борьбе с вредителями приедет в пятницу и просила подготовиться ко встрече, дабы уложиться в график. На следующий день был получен ответ: «Отлично, приходите». Они не распознали, что электронное письмо было мошенническим.
Следующие пару дней команда “взломщиков” провела в бегах. Были изготовлены аутентичные рубашки, арендован грузовик нужной марки, модели и цвета, на который нанесли наклейку с фирменным логотипом. Затем в хозяйственном магазине напрокат взяли лестницу, сумки для инструментов и оборудование, которое может использоваться для борьбы с вредителями. На всё про всё было потрачено менее 200 долларов.
В результате “взломщики” выглядели законно и в назначенный час остановились у ворот здания, окруженного двухметровым забором. Охранник уже был предупрежден, открыл ворота и попросил пришедших предъявить удостоверение личности. Они просто показали свои настоящие водительские права и зашли на проходную. Затем парень, которому были адресованы электронные письма встретил визитеров, отсканировал сетчатку и провел их по всему зданию.
Все серверы находились внутри клетей и доступ к оборудованию напрямую не разрешался. На просьбу открыть ограждения был дан отрицательный ответ, но сотрудник позволил залезть в ниши над потолочной плиткой, чтобы проверить пространство на наличие вредителей. В это время там можно было легко установить микрофоны, видеокамеры и даже подключить к кабелям стороннее устройство.
Ничего подобного, безусловно, не делалось, поскольку целью эксперимента была проверка взаимодействия с людьми, а не взлом сети. Однако если бы если стояла задача провести так называемую Red Team операцию (дружественную атаку), то дело не ограничилось бы только проверкой социальной инженерии, поскольку была возможность осуществить куда более широкий круг хакерских мероприятий.
Команда провела на объекте пару часов, гуляла по зданию, заглядывала внутрь потолков, под фальшпол и во все закоулки здания. В конце концов “борцы с багами” покинули центр обработки данных и сели в грузовик. Но чуть позже решили, что хотят продвинуться в этом направлении дальше и снова позвонили контактному лицу – сказали, что есть некоторые документы, которые они должны подписать и спросили, есть ли принтер, которым можно воспользоваться. Сотрудник снова впустил их внутрь и дал данные доступа к Wi-Fi.
Гостевая Wi-Fi сеть была довольно хорошо сегментирована, например, не было прямого доступа к данным клиентов, но всё же это была еще одна точка проникновения в сеть. В гостевой сети не оказалось доступа к принтеру, поэтому сотруднику было отправлено электронное письмо со вложенными файлами с тем, чтобы он мог их открыть и распечатать. Нужно ли говорить, что при желании вложения могли нести вредоносное ПО.
На этом операция завершилась и никто на объекте не заметил ничего необычного.
Анализ физической безопасности
У заказчика теста были хорошо сформулированные политики безопасности для сотрудников и клиентов, но не для подрядчиков. Кроме того, ему не помешало бы усилить некоторые элементы управления электронной почтой. Команда NetSPI подделала электронное письмо от одного сотрудника другому, зарегистрировав новое доменное имя, очень похожее на настоящее. Если бы сотрудники дата-центра внимательно посмотрели бы на адрес, то увидели бы в домене лишнюю букву.
Визуально подвох легко пропустить, но существуют инструменты безопасности электронной почты, которые могут помочь получателям определить подлинность переписки. Кроме того, существуют сервисы, которые ищут самозахваты доменных имен, предупреждая о том, что кто-то регистрирует похожее по звучанию доменное имя.
Справедливости ради нужно сказать, что эти элементы управления могут замедлить действия атакующего, но не могут его остановить – если злоумышленник достаточно сосредоточен и предан делу, он в конечном итоге попадет в почтовые ящики сотрудников. Поэтому самым важным выводом из этого кейса следует введение надежной политики в отношении подрядчиков. Предпочтительно нужна отдельная система отслеживания посещений поставщиков, включающая проверку учетных данных, которые гораздо сложнее подделать.
Наконец, кто-то, вероятно, должен был позвонить поставщику средств борьбы с вредителями напрямую, чтобы подтвердить визит.
Это трудоемкие шаги, но когда вы говорите о высокозащищенном месте, где применяются сканеры сетчатки глаз и карманы-ловушки для людей, то вам, вероятно, следует потратить дополнительное время на проверку личности всех, кто входит в здание.
Важно заметить, что после такой проверки на надо наказывать сотрудников, попавшихся на аферу – это будет худшее, что вы можете сделать в данный момент. Тесты на проникновение не должны быть карательными, их цель – найти недостатки в средствах управления, в обучении и улучшить безопасность.
Если компания уволит сотрудников, которые пропустили “злоумышленников”, но одновременно получили очень ценный опыт, то сотрудники возьмут этот опыт на свою следующую работу и вы не получите пользы. Сейчас это будут именно те люди, которые лучше всего обучены тому, как распознавать социальную инженерию. Проявите преданность сотрудникам, сделайте их защитниками безопасности и в следующий раз, когда что-то подобное произойдет, они сразу же поднимут красные флажки и будут знать, как правильно реагировать на ситуацию.
===
Каждый хостер, безусловно, уделяет особое внимание вопросам физической безопасности своих ЦОДов, но мало кто освещает их публично, поэтому мы, как дата-центр благодарим автора за раскрытие темы и описание ситуации.
Материал подготовлен дата-центром ITSOFT
