[an error occurred while processing this directive] [an error occurred while processing this directive]
[an error occurred while processing this directive]
Свободные мысли о свободном софте
[an error occurred while processing this directive]
Logo CitForum CITForum на CD Форумы Газета Море(!) аналитической информации!
[an error occurred while processing this directive]
[an error occurred while processing this directive]
[an error occurred while processing this directive]
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
[an error occurred while processing this directive] [an error occurred while processing this directive]
[an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive]

22.06.2018

Google
WWW CITForum.ru
[an error occurred while processing this directive]

Новости мира IT:

Архив новостей

[an error occurred while processing this directive] [an error occurred while processing this directive]
[an error occurred while processing this directive]
Пятнадцатая техническая конференция «Корпоративные базы данных-2010»
Москва, 22–23 апреля
С Новым годом!

Генеральный спонсор
Техническая конференция
Корпоративные базы данных – 2008
Москва, 24–25 апреля
При поддержке РФФИ

Спонсор
[an error occurred while processing this directive] [an error occurred while processing this directive]
На правах рекламы
2005 г.

Экспертное заключение по проведению теста на проникновение в информационную систему ОАО "Алемнефтегаз"1

Компания "Digital Security"

Оглавление

1. Введение

2. Техническое задание

3. Модель нарушителя

4. Анализ защищенности информационных ресурсов

4.1 Пассивный сбор сведений

4.2 Активный сбор сведений

4.3 Анализ уязвимостей сетевых служб

4.4 Запуск реверсивной троянской программы

5. Выводы

6. Рекомендации

1. Введение

Тест на проникновение в информационную систему из глобальной сети Интернет является эффективным способом, который позволяет оценить защищенность информационной системы и обнаружить не только отдельные уязвимости, но и проверить надежность существующих механизмов защиты в целом. Тест на проникновение максимально приближен к реальности и позволяет аудиторам смоделировать большую часть угроз информационной безопасности, воздействующих на информационную систему.

В данном экспертном заключении приводятся результаты теста на проникновение в информационную систему ОАО «Алемнефтегаз», выполненного специалистами компании Digital Security.

2. Техническое задание

Согласно Техническому заданию по проведению теста на проникновение в информационную систему ОАО «Алемнефтегаз» (далее – Заказчика), специалистам компании Digital Security были предоставлены следующие данные об информационной системе:

  1. Перечень IP-адресов хостов, образующих внешний периметр информационной системы Заказчика (подсеть 168.192.200.0/28).
  2. Перечень адресов корпоративной электронной почты в домене alemneftegaz.ru, представляющий собой репрезентативную выборку по сотрудникам из различных структурных подразделений.

Согласно Техническому заданию по проведению теста на проникновение в информационную систему Заказчика, применялась следующая методика, позволяющая наиболее полно смоделировать действия потенциального нарушителя:

  1. Пассивный сбор сведений об информационной системе Заказчика из открытых источников.
  2. Активный сбор сведений об информационной системе Заказчика (подключение к хостам внешнего периметра).
  3. Проверка возможности проникновения в информационную систему Заказчика при помощи использования уязвимостей сетевых служб, запущенных на хостах внешнего периметра.
  4. Проверка возможности проникновения в информационную систему Заказчика при помощи реверсивной троянской программы.

Согласно Техническому заданию, о ходе выполнения работ по тесту на проникновение в информационную систему Заказчика регулярно сообщалось представителям отдела информационной безопасности Заказчика. Сотрудникам отдела информационных технологий, ответственным за администрирование информационной системы, не было сообщено о факте выполнения таких работ.

3. Модель нарушителя

В качестве потенциального нарушителя информационной безопасности ОАО «Алемнефтегаз» рассматривается лицо или группа лиц, состоящих или не состоящих в сговоре, которые в результате умышленных или неумышленных действий могут реализовать разнообразные угрозы информационной безопасности, направленные на информационные ресурсы и нанести моральный и/или материальный ущерб интересам ОАО «Алемнефтегаз».

В качестве угроз информационной безопасности рассматриваются базовые угрозы нарушения конфиденциальности и целостности информации, а также угроза отказа в обслуживании инфраструктуры информационной системы.

Сводная характеристика вероятного нарушителя приведена в таблице 3.1.

3.1. Характеристика вероятного нарушителя
Классификация Характеристика
По мотиву нарушения информационной системы Нарушение угрозы целостности, конфиденциальности, доступности в корыстных или иных целях
По уровню информированности и квалификации нарушителя Нарушитель обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем
Нарушитель обладает достаточными знаниями для сбора информации, применения известных эксплоитов и написания собственного программного обеспечения для осуществления атаки
Нарушитель не является авторизованным пользователем информационной системы
По месту действия Без непосредственного (физического) доступа на территорию объекта (внешний нарушитель). Нарушитель действует удаленно, через сеть Интернет

4. Анализ защищенности информационных ресурсов

Перед началом работ по проведению теста на проникновения был составлен примерный «профиль информационной системы» – приблизительное описание корпоративных сервисов, предоставляемых информационной системой сотрудникам ОАО «Алемнефтегаз» и пользователям глобальной сети Интернет. Такая предварительная оценка позволяет сразу же выделить основные направления, подлежащие анализу в первую очередь.

Было сделано предположение, что типовые корпоративные сервисы данной информационной системы – это система электронной почты, корпоративный сайт или портал, система доступа удаленных клиентов, а также служебные подсистемы – например, службы DNS, NTP и – ключевой компонент – подсистема средств защиты.

4.1 Пассивный сбор сведений

Пассивный сбор сведений об информационной системе проводился при помощи общедоступных сетевых сервисов – службы DNS, службы WHOIS, а также программ traceroute, tracepath и т.п., web-интерфейс к которым предоставляют многие сайты (таким образом, IP-адрес потенциального нарушителя остается неизвестным для атакуемой системы).

Утилита host позволяет получить перечень всех доменных имен исследуемой зоны alemneftegaz.ru:

sms% host –l -t any alemneftegaz.ru

alemneftegaz.ru name server ns1.alemneftegaz.ru.

alemneftegaz.ru name server ns2.alemneftegaz.ru.

alemneftegaz.ru has address 168.192.200.11

alemneftegaz.ru mail is handled by 10 mail.alemneftegaz.ru.

alemneftegaz.ru mail is handled by 20 mold.alemneftegaz.ru.

alemneftegaz.ru has SOA record ns1.alemneftegaz.ru. root.alemneftegaz.ru. 2005073101 1800 900 2592000 900

mail.alemneftegaz.ru is an alias for ns2.alemneftegaz.ru.

www.alemneftegaz.ru is an alias for ns1.alemneftegaz.ru.

telcom-gw.alemneftegaz.ru has address 168.192.200.1

gate.alemneftegaz.ru has address 168.192.200.10

ns1.alemneftegaz.ru has address 168.192.200.11

ns2.alemneftegaz.ru has address 168.192.200.12

realsecure.alemneftegaz.ru has address 168.192.200.13

mold.alemneftegaz.ru has address 168.192.200.14

sms%

Анализ доменных имен хостов, находящихся в зоне alemneftegaz.ru, позволяет сделать предположение о функциональном назначении хостов, имеющих записи в базе DNS. Таким образом, не проводя активного сканирования всех портов для каждого из исследуемых хостов, существует возможность получить сведения об информационной системе.

Предположительно, хост 168.192.200.1 – это шлюз провайдера телекоммуникационных услуг, хост 168.192.200.10 является корпоративным шлюзом ОАО «Алемнефтегаз», 168.192.200.11 – сервером DNS и WWW, 168.192.200.12 – вторичным сервером DNS, на 168.192.200.13 установлен сенсор системы обнаружения вторжений ISS RealSecure, 168.192.200.14 – резервный почтовый сервер, 168.192.200.15 – широковещательный адрес.

Информация, полученная при помощи программ traceroute и tracepath, позволяет составить примерную карту сети и сделать предположения об установленных межсетевых экранах и правилах фильтрации сетевого трафика.

При отправке пакетов UDP:

14       ..................................................
15       168.192.200.1       134.135 ms       136.745 ms       117.957 ms
16       * * *
17       * * *
18       * * *
19       * * *
20       * * *

При отправке пакетов ICMP:

14       ..................................................
15       168.192.200.1       134.135 ms       136.745 ms       117.957 ms
16       168.192.200.4       112.163 ms       117.184 ms       125.641 ms
17       168.192.200.11       134.106 ms       134.150 ms       135.251 ms

Предположительно, не обнаруженный в базе DNS хост 168.192.200.4 является маршрутизатором, который контролирует демилитаризованную зону.

Путем отправки «случайных» пакетов с адресов специалистов компании Digital Security на хосты из заданного диапазона была предпринята попытка пассивного определения удаленной ОС при помощи программы p0f.

4.2 Активный сбор сведений

Во время активного сбора информации было проведено сканирование хостов всего диапазона при помощи программы nmap. Для снижения риска обнаружения «нарушителей» средствами предположительно установленной в исследуемой подсети ISS RealSecure сканирование проводилось в течение длительного времени, с большими интервалами между сканированием отдельных портов.

Были определены версии программного обеспечения сетевых служб на исследованных хостах. Проведенное сканирование показало корректность исходных предположений о профиле информационной системы.

После этого была выполнена проверка достоверности полученной информации. С большой долей уверенности можно было утверждать, что сокрытие или изменение версий программного обеспечения сетевых служб администраторами информационной системы не проводилось.

4.3 Анализ уязвимостей сетевых служб

Поиск уязвимостей в программном обеспечении сетевых служб не дал положительных результатов, были предприняты лишь контрольные запуски эксплоитов на службы SMTP и WWW для проверки чувствительности сенсора ISS и возможного блокирования IP-адреса, с которого производился запуск эксплоита, средствами маршрутизатора или межсетевого экрана. Подсистема защиты никак не отреагировала на активные попытки атаки, адрес «нарушителя» заблокирован не был.

4.4 Запуск реверсивной троянской программы

Следующим этапом выполнения теста на проникновение являлась рассылка троянской программы пользователям информационной системы согласно согласованному перечню адресов электронной почты. Необходимо отметить, что при помощи популярных поисковых систем (www.yandex.ru, www.google.com) потенциальный нарушитель может получить адреса электронной почты сотрудников ОАО «Алемнефтегаз», которые по тем или иным причинам оказались опубликованы в сети Интернет, и использовать эту информацию для более эффективной атаки при помощи троянской программы.

Специалистами компании Digital Security была разработана троянская программа, позволяющая в случае ее запуска на компьютере пользователя получить удаленный (через Интернет) доступ к ресурсам данного компьютера и корпоративной сети с правами пользователя, запустившего программу.

Троянская программа является реверсивной – то есть, самостоятельно инициирующей запросы к своему управляющему серверу (установленному в демилитаризованной зоне информационной системы компании Digital Security), который сообщает ей последовательность команд для выполнения на компьютере пользователя, а в ответ получает результат выполнения этих команд. Это позволяет использовать троянскую программу в сетях с трансляцией сетевых адресов (NAT).

Троянская программа обходит распространенные средства защиты в типовой конфигурации, используемые в корпоративных сетях – персональные межсетевые экраны, системы обнаружения вторжений, прокси-серверы с авторизацией доступа и т.п.

Троянская программа в полной мере использует особенности архитектуры ОС Windows, установленной на рабочей станции пользователя, что позволяет существенно уменьшить объем исполняемого модуля и обеспечить высокий уровень функциональных возможностей программы.

Троянская программа была разослана пользователям в виде сжатого в ZIP-архив и прикрепленного к письму исполняемого файла. Письмо было якобы отправлено одним сотрудником ОАО «Алемнефтегаз» другому и содержало предложение запустить трехмерную версию компьютерной игры «Тетрис».

Замаскированную таким образом троянскую программу в течение двух рабочих дней после рассылки запустили 8 из 20 пользователей, чьи адреса электронной почты находились в перечне, предоставленном специалистам компании Digital Security. Одна из рабочих станций (адрес 10.100.3.64, маска подсети 255.255.254.0), которая, судя по времени работы (uptime), не выключалась по окончании рабочего дня, была выбрана в качестве исходной точки для организации атаки.

Далее троянская программа загрузила со своего управляющего сервера код эксплоита для службы RPC (для ОС Windows 2000 и Windows XP) и провела атаку на контроллер домена (адрес 10.100.1.10, маска подсети 255.255.254.0), в котором находилась данная рабочая станция, а также другие серверы и рабочие станции, перечень которых был получен с контроллера домена.

Контроллер домена оказался уязвим к данной атаке, вследствие чего специалистами Digital Security был получен полный административный доступ к командной строке контроллера домена. Чтобы зафиксировать факт проникновения, троянская программа получила команду создать в домене пользователя dsadmin с привилегиями администратора домена. Далее при помощи программы pwdump, загруженной троянской программой на рабочую станцию, с которой проводилась атака, была получена база паролей пользователей домена (более 1200 учетных записей). Дальнейший подбор этих паролей показал, что пароли большей части учетных записей как рядовых пользователей, так и администраторов информационной системы Заказчика являются слабыми и могут быть получены атакой по словарю и перебором за короткое время.

Уязвимыми к данной атаке оказались также сервер, на котором была развернута СУБД Oracle (адрес 10.100.1.13), сервер доступа RAS (адрес 10.100.1.17), резервный контроллер домена (адрес 10.100.1.11), файловый сервер (адрес 10.100.1.15), а также более 60 рабочих станций. По приблизительным оценкам (на основе информации, полученной с контроллера домена), в информационной системе Заказчика 12 серверов и не менее 400 рабочих станций. Как правило, столь значительное количество уязвимых хостов говорит об отсутствии сервера обновлений Windows Update, который должен быть развернут в информационной системе.

Далее специалистами Digital Security была предпринята попытка использовать скомпрометированные пароли администраторов информационной системы для доступа к коммутаторам Cisco, на которых была собрана локальная вычислительная сеть информационной системы Заказчика. Комбинация логина cisco и пароля surepka (от одной из административных учетных записей) позволила получить доступ уровня 15 (максимально возможный) к консоли управления каждого из 6 коммутаторов сети (с адресами 10.100.1.1, 10.100.3.1, 10.100.5.1, 10.110.1.1, 10.110.3.1, 10.110.5.1).

5. Выводы

  1. Внешний периметр информационной системы Заказчика защищен достаточно надежно: регулярно выполняется установка обновлений программного обеспечения сетевых служб, конфигурация служб соответствует требованиям информационной безопасности. Тем не менее, сетевые службы предоставляют потенциальному нарушителю достоверную служебную информацию, что может быть использовано при организации атак на внешний периметр.
  2. Система обнаружения вторжений установлена в конфигурации по умолчанию, её настройка неэффективна и не обеспечивает адекватный уровень реакции на явно выраженную сетевую активность нарушителя.
  3. Общая архитектура информационной системы Заказчика, конкретные технические решения по обеспечению информационной безопасности и низкая квалификация пользователей информационной системы не обеспечивают требуемый уровень защиты, что позволило специалистам компании Digital Security осуществить успешный запуск троянской программы.
  4. Уровень защищенности серверов и рабочих станций информационной системы Заказчика – низкий. Отдельно необходимо отметить низкий уровень защиты критически важных серверов: контроллера домена и сервера СУБД, в которой хранится важная для бизнеса информация.
  5. Анализ скомпрометированной базы паролей пользователей показал низкую стойкость паролей как обычных пользователей, так и администраторов системы.

6. Рекомендации2

  1. Включить скрытие служебной информации, предоставляемой сетевыми службами пользователям.
  2. Выполнить тонкую настройку системы обнаружения вторжений.
  3. Развернуть в информационной системе сервер обновлений Windows Update, включить автоматическое обновление на всех серверах и рабочих станциях.
  4. Развернуть в информационной системе сетевую систему обнаружения вторжений, которая позволила бы протоколировать подозрительную сетевую активность и оперативно реагировать на подобные инциденты.
  5. Разработать парольную политику, включающую в себя требования по стойкости паролей, правила хранения и периодической замены ключевых фраз. Недопустимо использование единого пароля для администрирования всех ресурсов информационной системы. К паролям административных учетных записей должны предъявляться особые требования по стойкости.
  6. Разработать и реализовать на практике программу обучения пользователей вопросам информационной безопасности.

Примечания:

1 Название компании, по заказу которой выполнялся данный тест на проникновение, а также сетевые адреса уязвимых хостов являются вымышленными.

2 В данном отчете приводятся только примерные рекомендации по устранению обнаруженных уязвимостей и недостатков информационной системы Заказчика

[an error occurred while processing this directive]
[an error occurred while processing this directive]
[an error occurred while processing this directive] [an error occurred while processing this directive]

Планирование сроков проекта и вопросы осуществления лидерством проекта рассматриваются на сайте по управлению проектами.

[an error occurred while processing this directive]
[an error occurred while processing this directive]
[an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive]

Размещение рекламы — тел. +7 495 6608306, ICQ 232284597

[an error occurred while processing this directive] [an error occurred while processing this directive]
[an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive]

Редакция рекомендует:

Последние комментарии:

Что мы знаем об iPhone 4G? (7)
16 июля, 20:25

Подписка на новости CITForum.ru

Новые публикации:

7 июля

  • Управление параллелизмом с низкими накладными расходами для разделенных баз данных в основной памяти

  • Рекурсивные запросы в Oracle

  • Жесткий диск WD10EARS с сектором 4 КБ. Подготовка к эксплуатации в Linux.

    Обзоры журнала Computer:

    Газета:

  • Московские пробки - исследование IBM

  • От Osborne до iPad: эволюция портативных компьютеров

    19 мая

  • Прозрачный механизм удаленного обслуживания системных вызовов

  • Система моделирования Grid: реализация и возможности применения

    Газета:

    Майкл Стоунбрейкер:

  • Ошибки в системах баз данных, согласованность "в конечном счете" и теорема CAP

  • Дискуссия по поводу "NoSQL" не имеет никакого отношения к SQL

    29 апреля

  • Материалы конференции "Корпоративные Базы Данных-2010"

  • Разные облики технологии баз данных (отчет о конференции)

    14 апреля

  • MapReduce: внутри, снаружи или сбоку от параллельных СУБД?

  • Научные вызовы технологиям СУБД

    Обзоры журнала Computer:

    31 марта

  • Рационализация согласованности в "облаках": не платите за то, что вам не требуется

  • Взаимные блокировки в Oracle

  • Архитектура среды тестирования на основе моделей, построенная на базе компонентных технологий

  • Объектное представление XML-документов

    Газета:

  • Microsoft для российских разработчиков: практика с элементами фундаментальности

    10 марта

  • HadoopDB: архитектурный гибрид технологий MapReduce и СУБД для аналитических рабочих нагрузок

  • Классификация OLAP-систем вида xOLAP

  • BGP. Три внешних канала. Балансировка исходящего и входящего трафиков

    Газета:

  • Что мы знаем об iPhone 4G?

    17 февраля

  • MapReduce и параллельные СУБД: друзья или враги?

  • Объектно-ориентированное программирование в ограничениях: новый подход на основе декларативных языков моделирования данных

  • Системологический подход к декомпозиции в объектно-ориентированном анализе и проектировании программного обеспечения

    Газета:

  • Эволюция Wine

    3 февраля

  • Дом на песке

  • Реальное переосмысление "формальных методов"

  • Интервью с Найджелом Пендзом

    Газета:

  • iPad. Первый взгляд на долгожданный планшет от Apple

  • Я не верю в iPad [an error occurred while processing this directive]

    20 января

  • SQL/MapReduce: практический подход к поддержке самоописываемых, полиморфных и параллелизуемых функций, определяемых пользователями

  • Данные на лету: как технология потокового SQL помогает преодолеть кризис

    Обзоры журнала Computer:

    2 декабря

  • Сергей Кузнецов. Год эпохи перемен в технологии баз данных

    18 ноября

  • Генерация тестовых программ для подсистемы управления памятью микропроцессора

  • Сравнительный анализ современных технологий разработки тестов для моделей аппаратного обеспечения

    Все публикации >>>


    [an error occurred while processing this directive]
  • [an error occurred while processing this directive] [an error occurred while processing this directive]
    Купить сотовые телефоны в М.Видео
    Отличные цены на сотовые телефоны. Бесплатная доставка. Заказ в интернет-магазине и по телефону (495) 644-28-51
    www.mvideo.ru [an error occurred while processing this directive]

    Регистрация доменов в зонах .ru, .com, .net. Компания Rusonyx.

    IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

    [an error occurred while processing this directive]
    Информация для рекламодателей PR-акции, размещение рекламы — тел. +7 495 6608306, ICQ 232284597 Пресс-релизы — pr@citforum.ru
    Послать комментарий
    Информация для авторов

    Редакция раздаёт котят!

    Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
    Copyright © 1997-2000 CIT, © 2001-2009 CIT Forum
    Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...
    [an error occurred while processing this directive]


    [an error occurred while processing this directive] [an error occurred while processing this directive] реклама:
    Производство и продажа серверов | забронировать гостиницу Санкт Петербурга | платный хостинг | IBM Rational. Аналитика и инструменты
    [an error occurred while processing this directive] [an error occurred while processing this directive]