Oczami Cyberprzestępcy
 
Czy kiedykolwiek zastanawiało Cię, jak cały incydent bezpieczeństwa wygląda od tej drugiej strony? Spójrzmy na to, co tak naprawdę widzi Cyberprzestępca, próbujący skompromitować komputer, serwer czy wykraść dane. Zobaczmy jakie są jego możliwości i ograniczenia. Spójrzmy choć przez chwilę jego oczami..
 
 
Czy wystarczającym zabezpieczeniem jest posiadanie komputerów i serwerów za systemem zapory sieciowej? Czy dane są bezpieczne na serwerach niedostępnych z sieci Internet? Jak ważne może być hasło zwykłego użytkownika? Jeden z naszych klientów chciał to sprawdzić..

Wszystko odbyło się za zgodą klienta i bez wiedzy użytkowników końcowych. W celu zachowania poufności, niektóre nazwy w wydrukach zostały zmienione.

Uzyskanie dostępu do wnętrza sieci
 
Wcale to nie musi być trudne. Aby tego dokonać, nie potrzebowaliśmy się włamywać do super zabezpieczonego, działającego na brzegu sieci system typu firewall. Wystarczyło śledzenie zgłaszanych podatności, odczekanie na tą, która była dla nas interesująca, poproszenie starych dobrych znajomych o exploita, zapoznanie się z tym co robi firma i wysłanie wiadomości e-mail do kilku adresów, jakie udało nam się znaleźć na stronie www. Po niecałej godzinie..
 
 
Do konsoli oprogramowania działającego w naszym systemie GNU/Linux zgłosiły się 2 komputery. System chroniący sieć na to zezwolił, gdyż to nie my próbowaliśmy nawiązać połączenie do tych komputerów. W tym przypadku, to zainfekowane komputery same do nas nawiązał połączenie.
 
One były ich inicjatorami, zatem system firewall nie miał nic przeciwko. W tak nawiązanym połączeniu otrzymaliśmy otwartą drogę do reszty serwerów i usług znajdujących się wewnątrz sieci firmowej.

Do czego mamy dostęp i co możemy
 
Warto zastanowić się nad tym co jest cenne dla Cyberprzestępcy. Nie robi tego dla sportu, więc raczej nie zależy mu na siłowaniu się z dobrze zabezpieczonymi serwerami. Najczęściej chce po prostu wykraść dane, do których mają dostęp zwykli użytkownicy i wybierze najprostszą drogę do tego celu.
 
PowerShell'a systemu Microsoft Windows 7 Ultimate jest nasz. Zatem możemy bardzo dużo, między innymi:
  • wykraść lub usunąć dane, a nawet wgrać i wykonać własne pliki/skrypty,
  • zaszyfrować dane i wykonywać ataki na komputery, serwery oraz usługi w środku sieci,
  • uruchomić moduł Keyloggera, który będzie zapisywał wszystkie znaki wpisywane na klawiaturze,
  • robić zdjęcia zawartości pulpitu,
  • wyświetlać różne komunikaty, nawet takie które proszą o wprowadzenie danych,
  • nawet zmienić tapetę..
 
Użytkownicy nie byli świadomi tego, że ktoś ma dostęp do ich komputerów i wykonuje na nich jakieś prace. Nic nie psuliśmy, ale udało nam się pobrać przykładowy plik i zrobić kilka zdjęć pulpitu.

Zapytajmy grzecznie o podanie hasła
 
Tak.. jesteśmy leniwi. Zamiast szukania luk w systemie i eskalowania uprawnień, wcześniej spróbujemy po prostu grzecznie poprosić użytkownika o hasło. Aby się zapowiedzieć, w oddzielnym okienku wyświetlimy użytkownikowi komunikat o rozłączeniu z domeną i dopiero prośbę o ponowne uwierzytelnienie.
 
 
Komunikat błędu wygląda bardzo realnie, a podanie danych do uwierzytelnienia do domeny wydaje się być w tym przypadku dość uzasadnione. Widać, że wystarczy pomysł.. wystarczy wiedzieć jak poprosić.
 
 
I w ten sposób mamy hasło do domeny, które w przypadku tego użytkownika jest także hasłem do poczty e-mail, sieci bezprzewodowej, systemu VPN, danych na wewnętrznych serwerach plików i kto wie jeszcze czego.
 
Mając dostęp do wewnętrznego komputera, mamy także otwartą drogę to wielu innych ataków, które mogą polegać na unieruchamianiu usług, a także przechwytywaniu i pośredniczeniu w transmisji innych użytkowników.

Morał, wnioski i odpowiedzi na pytania u samej góry pozostawiamy otwarte.

Zainteresowanych poprawą swojego bezpieczeństwa informatycznego This email address is being protected from spambots. You need JavaScript enabled to view it.. 

Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.