Log цифровой крепости

  • Каким должен быть нормальный отчёт по пентесту

    Пентест заканчивается не получением Domain Admin, не запуском сканера и не красивым скриншотом. Пентест заканчивается отчётом, по которому заказчик должен понять:

    • что именно проверили;
    • что удалось взломать;
    • почему это стало возможным;
    • к каким последствиям может привести атака;
    • что и в каком порядке необходимо исправлять.

    Можно качественно провести техническую часть и полностью испортить результат плохим отчётом. Например, оставить в документе комментарии вроде «добавить скрин», не указать охват инфраструктуры, смешать все площадки в один список и приложить скриншоты без дат и контекста.

    Именно такие проблемы превращают результат пентеста в недоказуемый набор утверждений.

    В первую очередь — соответствие техническому заданию

    Отчёт как минимум должен подтверждать выполнение ТЗ.… Читать далее…

  • Сотрудник уволился, а его учётная запись продолжает работать

    Одна из постоянных проблем информационной безопасности — учётные записи уволившихся сотрудников.

    Сотрудник может не работать в организации уже несколько месяцев, а его учётная запись в домене, VPN или информационной системе всё ещё остаётся активной. Иногда кадровая служба не передала информацию, иногда администратор забыл заблокировать доступ, а иногда вообще непонятно, кто за это отвечает.

    Процесс увольнения должен запускать автоматическое отключение доступов. Источником события должна быть кадровая система, а не письмо или устная просьба администратору.

    При увольнении необходимо не просто заблокировать учётную запись в Active Directory, но и закрыть VPN, почту, SSO, облачные сервисы, сертификаты, токены, мобильные сессии и доступ к отдельным информационным системам.… Читать далее…

  • Инфраструктуру ломают не уязвимости

    Её ломают исключения.

    Антивирус есть — но на этом сервере отключили.

    MFA есть — но для этой учётной записи неудобно.

    Сегментация есть — но подрядчику открыли доступ «временно».

    Пароли меняются — кроме сервисных.

    Резервные копии изолированы — но сервер бэкапов всё-таки в домене.

    У каждого исключения всегда есть нормальное объяснение.

    А потом злоумышленник собирает все эти «нормальные объяснения» в один маршрут до контроллера домена.

    ИБ строит защиту по правилам.

    А атакующий идёт по исключениям.

    И если в вашей организации исключений больше, чем правил, то у вас не система безопасности.

    У вас инструкция по обходу собственной защиты.

  • Компрометация домена не должна означать компрометацию всей организации

    Из моего опыта пентестов и общения с пентестерами: если атакующий проник во внутреннюю сеть, закрепился и получил локальные административные права, путь до полной компрометации Active Directory часто оказывается неожиданно коротким.

    Причём ему необязательно узнать пароль администратора предприятия. Хеша пароля, Kerberos-билета, прав репликации или другой привилегированной учётной записи может быть вполне достаточно.

    И вот здесь начинается главный вопрос: что произойдёт после компрометации домена?

    Если все серверы находятся в одном домене, администраторы используют одни и те же учётные записи, а сервер резервного копирования доступен из общей сети, то компрометация AD быстро превращается в компрометацию всей организации.… Читать далее…

  • Камеры — в отдельную сеть

    В 2024 году Akamai зафиксировала реальную эксплуатацию IP-камер AVTECH AVM1203.

    Через уязвимость CVE-2024-7029 злоумышленники выполняли команды на камере, загружали вредоносный код и заражали устройство вариантом ботнета Mirai. После запуска камера подключалась к другим устройствам по Telnet и пыталась распространять заражение дальше.

    Уязвимая модель к тому моменту уже была снята с производства, но продолжала использоваться по всему миру, в том числе на объектах транспорта и критической инфраструктуры.

    Поэтому камеры и видеорегистраторы нельзя держать в одной сети с компьютерами и серверами.

    Для видеонаблюдения нужен отдельный VLAN. Камерам разрешается обращаться только к видеорегистратору. Доступ к управлению — только из административного сегмента.… Читать далее…

  • От МФУ до администратора домена

    Во время недавнего пентеста специалисты Sprocket Security нашли Canon imageRUNNER с открытым VNC без пароля.

    Через экран управления они изменили адрес FTP-сервера и запустили проверку подключения. МФУ отправило на сервер пентестеров сохранённые логин и пароль доменной учётной записи.

    У учётки оказалось больше прав, чем требовалось для работы принтера. Через BloodHound нашли путь повышения привилегий и за несколько минут получили права администратора домена.  

    Это не единичный случай. Rapid7 изучила результаты 136 пентестов: в 97 случаях специалисты получили административный доступ к МФУ, а в 31 успешно забрали учётные данные через pass-back-атаку и получили доступ к Active Directory.… Читать далее…

  • Российский корневой сертификат: почему информационная кампания не поможет

    Западные CA уже не раз отказывали российским сайтам в выпуске сертификатов. Теперь еще и отзывают. Пока это выглядит как точечные истории, но санкционная логика работает в одну сторону — давление только растёт. Рано или поздно это может стать системным, и тогда обычный пользователь увидит на привычном сайте страшное предупреждение браузера. Дальше он этот сайт просто закроет.

    Когда об этом заходит разговор, первая мысль у всех одна: надо провести кампанию, дать людям инструкцию, пусть поставят российский корневой сертификат сами. Идея понятная, но я в неё не верю.

    Дело не в том, что пользователи ленивые.… Читать далее…

  • Когда хакеру даже не нужен эксплойт

    Когда люди слышат слово «взлом», большинство представляет что-то сложное.

    Неизвестные уязвимости.

    Хитрые скрипты.

    Специальное программное обеспечение.

    Профессиональных хакеров в тёмных комнатах перед несколькими мониторами.

    На практике всё часто выглядит намного проще.

    Иногда злоумышленнику даже не нужно искать уязвимости.

    Достаточно открыть настройки обычного МФУ.

    Одна из самых удивительных вещей, которые регулярно встречаются в инфраструктурах организаций, — использование привилегированных учётных записей для настройки функций сканирования.

    Логика обычно выглядит так:

    Нужно настроить сканирование документов в сетевую папку.

    Администратор создаёт подключение.

    Проверяет.

    Работает.

    На этом задача считается выполненной.

    А какая именно учётная запись используется для доступа к папке — вопрос второстепенный.… Читать далее…

  • Система безопасности просто показала проблему

    Есть одна закономерность, которую я наблюдаю практически постоянно.

    Появляется новое средство защиты.

    WAF. Антивирус. EDR. IDS. IPS. Контроль приложений. Любой другой инструмент безопасности.

    И через некоторое время обязательно находится человек, который говорит:

    — Эта штука всё ломает.

    Иногда это администратор. Иногда разработчик. Иногда руководитель проекта.

    Но смысл всегда один:

    — До вас всё работало нормально.

    На самом деле это одна из самых интересных иллюзий в информационной безопасности.

    Очень часто система безопасности ничего не ломает.

    Она просто показывает проблему, которая существовала задолго до её появления.

    Проблему, которую никто раньше не замечал.

    Или не хотел замечать.… Читать далее…

  • Внутренний сервер тоже нужно защищать от брутфорса

    Очень часто можно услышать фразу:

    «Этот сервер не доступен из Интернета, значит всё нормально».

    На первый взгляд логика понятна. Если злоумышленник не может подключиться к серверу извне, то и опасаться вроде бы нечего.

    Но современная информационная безопасность давно перестала ограничиваться только защитой периметра.

    Любая сеть должна проектироваться исходя из того, что однажды злоумышленник всё-таки окажется внутри.

    Неважно каким способом.

    Через заражённое письмо, украденную VPN-учётную запись, скомпрометированный ноутбук подрядчика, уязвимость в каком-либо сервисе или обычную ошибку пользователя.

    После получения первоначального доступа начинается следующий этап атаки — изучение инфраструктуры.

    Злоумышленник ищет серверы, сетевое оборудование, базы данных, веб-интерфейсы, SSH, RDP и другие сервисы управления.… Читать далее…