L'année était 2020, les gens étaient ravis de lire un autre article sur à quel point il est mauvais d'ouvrir des lettres d'étrangers, en particulier avec des pièces jointes, à quel point il est dangereux d'insérer des clés USB douteuses dans un ordinateur, comment dans un pays lointain des pirates ont transféré des millions de dollars d'un compte à l'autre en un claquement de doigts. L'analyse, selon laquelle 7 banques sur 10 peuvent être piratées par les efforts de deux pirates informatiques en quelques soirées, semblait être courante pour les gens en 2020. Quant aux utilisateurs ordinaires, ils n'avaient même pas peur: ils percevaient simplement ces nouvelles comme un univers Marvel séparé et demandaient parfois à des informaticiens familiers de pirater VK. Et seuls les experts en sécurité ont compris que tout n'était pas aussi simple qu'il y paraît ...
En 2020, le mot «pentest» est déjà familier à beaucoup, et toutes les entreprises matures effectuent ce travail de manière régulière. Certains ont même formé une équipe de spécialistes et se testent tous les jours. Le nombre d'outils de sécurité de l'information (SIS) est en constante augmentation, les meilleures pratiques de sécurité de l'information sont diffusées gratuitement sur Internet, les processus de sécurité de l'information sont construits selon les meilleures méthodologies. Dans le même temps, les gens pensent toujours que rien n'est un obstacle pour les pirates informatiques: s'ils ont besoin de quelque chose, ils y parviendront. En tant que spécialiste des tests de pénétration directe, je veux parler de ce phénomène aujourd'hui.
"Ce qui était un exploit pour les générations précédentes est un travail régulier pour les suivantes"
Il y a 10 à 15 ans, la sécurité de l'information était associée au plaisir: vous pouviez tout pirater et vous n'en aviez rien. Tout était "plein de trous", mais cela effrayait peu de monde. Les hackers ont suscité l'intérêt et se sont vantés de leurs exploits auprès des amis du bar. Aujourd'hui, la sécurité de l'information est déjà une grosse affaire, le piratage de quelque chose ne peut être facilement et rapidement possible que par accident, et le faire «de manière experte» coûte cher.
Le seuil pour entrer dans le domaine pratique de la sécurité de l'information est devenu plus élevé: si plus tôt quelqu'un pouvait se permettre de venir au client pas dans la meilleure forme physique, répétez quelques vidéos regardées sur Internet et piratez l'organisation, par exemple, prenez un contrôleur de domaine, maintenant cela peut être fait loin pas partout. Des problèmes commencent à survenir à chaque tournant et dans chaque domaine, en partie, du moins parce que les recommandations des pentests précédents ont été adoptées. Ci-dessous, j'analyserai les problèmes qui peuvent être rencontrés lors du démarrage du travail sur un test de pénétration.
Tests internes (ou employé déloyal)
Connexion réseau
Faisons un test de pénétration du réseau interne: maintenant vous ne pouvez même plus vous connecter à la prise réseau d'une organisation comme ça. Vous venez chez un client, sortez un ordinateur portable, connectez-vous avec un fil Ethernet et ... rien. Vous supposez que vous devez contourner le contrôle des périphériques connectés, et c'est bien si vous avez besoin de trouver une adresse MAC légitime quelque part, mais si elle se lie à un port? Que faire si le nombre de MAC sur un port est limité? Et s'il y a 802.1x (Cisco ISE) avec des certificats et un profilage compétent? Ensuite, vous devez trouver un compte de domaine avec un certificat client en plus, ou planter MITM dans le trafic de quelqu'un d'autre et prétendre être une imprimante ou un proxy via un hôte légitime. Tu le sens? Ce n'est pas à vous de frapper rapidement vos doigts sur le clavier, comme le montrent les films.
Balayage
Vous commencez à analyser, comme d'habitude, les sous-réseaux (10.0 / 8, 172.16 / 12, 192.168 / 16), et tous les ports sont fermés ou filtrés, puis l'accès disparaît complètement. Ce sont nos UTI préférées avec une politique de segmentation correctement configurée. Vous ralentissez, utilisez des techniques de reconnaissance louches, mais vous êtes expulsé lorsque vous utilisez des exploits: c'est déjà IDS / IPS «arrivé», et adieu les accès non autorisés.
Point final
Je me suis dirigé vers l'hôte, mais alors l'antivirus vous terminera, ou le SIEM vous brûlera, et si vous avez le shell, il s'avère qu'il a des droits limités, et tous les correctifs actuels pour LPE sont déployés, et en plus le processus lsass.exe est isolé. De plus, les mécanismes de détection du comportement anormal des utilisateurs sont vissés, DLP est implémenté, bien que mal configuré, mais votre PowerShell en cours d'exécution sur le poste de travail du comptable sera déjà remarqué.
"Le fer"
Si vous essayez physiquement de pirater le PC de quelqu'un d'autre pendant qu'un employé est en congé de maladie, vous constaterez que le BIOS est protégé par mot de passe, le disque dur est crypté avec un bitlocker en conjonction avec un code PIN et un module TPM, et rien ne peut être extrait de l'ordinateur.
Attaques de domaine
J'ai un compte de domaine Active Directory et vous êtes heureux de pouvoir maintenant effectuer vos attaques préférées sur AD: Kerberoasting, AS-REP Roasting, attaques de délégation, mais ce n'était pas le cas. Tout est fourni, les mots de passe ne sont pas "brutaux", les attaques sur le domaine sont détectées par Microsoft ATA, et les hôtes obsolètes sont séparés dans un domaine séparé, en plus, l'architecture est construite en utilisant RedForest , et c'est tout, même un compromis sur le domaine de l'utilisateur n'apportera pas le résultat souhaité.
Test externe (Internet Hacker)
Vous essayez de pirater quelque chose sur le périmètre extérieur, et Anti-DDoS et WAF sont déjà là, l'application est développée sur les principes de SSDLC et testée avant d'être mise en production. Les données entre le client et le serveur sont cryptées et toute entrée utilisateur est validée de plusieurs manières. Parfois, une application est écrite sur un nouveau framework et est superposée à un tas de technologies d'entreprise, les développeurs eux-mêmes viennent de trouver comment ajouter un module en six mois, où allez-vous avec votre fuzzing en utilisant la méthode de la «boîte noire» pendant une semaine?
Test mobile (hacker avec téléphone)
Prenons une application mobile, ici la plateforme elle-même protège déjà les futurs développeurs de nombreux coups de pied dans le pied. Le trafic sous forme ouverte sera bientôt complètement interdit. Les développeurs conscients ont mis l'accent sur la protection du côté serveur, car si le serveur n'implémente pas de «trous», ils ne fonctionneront pas dans le client. Ceux qui sont allés plus loin ont maîtrisé le guide de test OWASP, appris à détecter les périphériques root et à implémenter l'épinglage SSL. Et c'est tout, l'impact des autres lacunes est insignifiant.
Wi-Fi (pirate avec adaptateur Wi-Fi)
Il ne sert à rien d'en discuter trop. Soit wpa2-enterprise est utilisé avec les certificats clients, soit non. Maintenant, wpa3 est en route, même le trafic du service y est chiffré et la clé de session est protégée de manière fiable. Au début, bien sûr, il y aura des erreurs de mise en œuvre, mais ce ne sont plus les lacunes de l'ensemble du protocole.
Prime
Un autre facteur supplémentaire: tous les SIG commencent maintenant à s'unir en un seul écosystème, et dès que vous touchez un bord, tout le Web commence à trembler. En regardant simplement la famille de solutions Cisco et Microsoft, en tant que pentester, je suis déjà effrayé par toute la douleur des tentatives de travail clandestin des années suivantes. Par ailleurs, des «auto-testeurs» apparaissent sur le marché, par exemple les solutions PenTera ou Cymulate, qui vont bientôt commencer à prélever une partie du pain des pentesters. Et il y a encore des startups de sécurité de l'information avec le Machine Learning, les réseaux neuronaux, la pseudo-IA à venir. Jusqu'à présent, tout semble humide, mais depuis quelques années ...
Quelqu'un dira que c'est une situation idéale, et il y aura toujours des trous, et je répondrai que, en regardant comment la sécurité de l'information mûrit dans les entreprises, j'arrive à la conclusion que dans deux ans le «coût» du piratage sera assez élevé même pour des spécialistes expérimentés ... Je pense que dans un proche avenir, pirater une banque à distance sera aussi rare que la voler physiquement en 2020 (connaissez-vous de nombreux cas récents de succès?).
Avec quoi ai-je fini? La sécurité devient de plus en plus complexe et, peut-être, à l'avenir, les problèmes dans ce domaine deviendront plus contrôlables. Mais devrions-nous simplement fermer les yeux et attendre l'avenir à venir? Non, nous devons prendre des mesures pour construire cet avenir même.
5 conseils pour les entreprises
- « » .
nmap Nessus, , . , . , , , , . , , .
: 10 , . , , , , . - .
, ( ) - , - . . . - Red Teaming continuous pentest.
, , ? ? , , -- ? Red Teaming , «» , , (3-9 ). - .
, : , . - .
. 100500 - . , , .
- .
. Bug Bounty GitHub CTF, . , — . - .
. , , . , . telegram- twitter. - , «» , . - Soyez avec la communauté.
Former un cercle social professionnel: il est beaucoup plus efficace de faire quelque chose ensemble que de s'asseoir seul dans un placard. C'est dans les films qu'un hacker solitaire fait irruption dans le monde, mais en réalité il y a un APT avec des rôles et des tâches clairs pour tout le monde: l'un scanne, un autre exploite, le troisième analyse, le quatrième retire de l'argent. Soyez ouvert et partagez vos connaissances, car d'autres ont déjà fait ce que vous prévoyez 100 fois et, inversement, vous pouvez les aider à réduire le temps consacré à la routine et à le libérer pour la créativité.
Que faire pour les utilisateurs réguliers
Il est peu probable que vous lisiez cet article, mais quand même. Sécurité sous contrôle: n'attendez pas la météo en bord de mer, trouvez un mot de passe normal pour vous-même, suivez des cours de sensibilisation à la sécurité de l'information et suivez simplement leurs conseils. Croyez-moi, ce n'est pas difficile.
conclusions
J'ai écrit cet article non pas pour montrer à quel point tout est bon dans la sécurité de l'information, mais pour m'assurer que tout n'est pas aussi mauvais que beaucoup sont habitués à le penser. Les nouvelles négatives nous permettent de nous développer et de devenir meilleurs, mais répondez: nous sommes plus en sécurité qu'il y a 10 ans? Eh bien, si vous ne le faites pas, qui d'entre vous peut pirater, par exemple, VK: pas un utilisateur, pas lancer XSS, mais juste toute l'infrastructure?