A PR-AUDIT Kft. színeiben, a magyar piacon is ritkának számító, átfogó social engineering – a munkatársak viselkedését, biztonságtudatosságát próbára tevő – vizsgálat lefolytatására nyílt lehetőségünk a biztosítási piac egyik vezető szereplőjénél. A vizsgálat során számos, ritkának számító támadási módszer alkalmazhattunk, ezért gondoltuk, hogy egy bejegyzést ezek, valamint az eredmények ismertetése feltétlenül megér.
Elvégzett vizsgálatok
- Információgyűjtés szakasz: a vizsgálat célja annak felderítése, hogy publikus információkból milyen támadási vektort jelentő információk gyűjthetőek össze.
- Phising: a támadás során a felhasználót egy hamis weblapon (OWA bejelentkezési felület) próbáltuk rávenni arra, hogy adják meg felhasználónevüket és jelszavukat.
- Felhasználói hozzáférés megszerzése a felhasználótól telefonon: telefonhívás keretében megkísérelt adatgyűjtés
- Telephelyek fizikai védelmének megkerülése: a vizsgált vállalat telephelyeire való fizikai behatolás megkísérlése, a fizikai kontrollok megkerülése és az eszközök elhelyezése adatgyűjtés céljából
- Elhagyott DVD, pendrive felhasználása: „kártékony” programmal fertőzött adathordozót (pendrive) egy közeli helyen, vagy az épületen belül „elveszítése”
Felhasznált eszközök bemutatása
- gophish (https://getgophish.com): A phishing kampányok koordinálására használt eszköz, valamint az elkészített fake OWA weboldal
- Pendrive – ok: Három fajta pendrive-ot készítettünk elő, melyek látszólag egy figyelemfelkeltő álnévre keresztelt állományt tartalmaztak. A fájlok tényleges tartalma:
- Egy Windows parancsikon (Word ikonnal), mely megnyitáskor a PR-AUDIT IP címén üzemelő webszerverhez csatlakozik. A lekért URL query stringjében szerepel a fájlt megnyitó felhasználó munkaállomása, illetve neve. Ezeket, illetve a megnyitás időpontját a webszerveren naplózzuk.
- Egy .NET program (Word ikonnal), mely megnyitáskor feldob egy hibaüzenetet, hogy a fájl sérült, és nyit egy Internet Explorert, amelyben megnyitja az általunk előkészített weboldalt. Ez az előzőhöz hasonlóan naplózza a felhasználónevet, munkaállomást, illetve időpontot, majd átirányítja a böngészőt a Microsoft sérült dokumentumok helyreállításával foglalkozó weboldalára.
- Az előzővel majdnem azonos működés; a különbség az, hogy az Internet Explorer rögtön a Microsoft oldalával nyílik meg, a felhasználónév, illetve munkaállomás nevének küldése egy másik TCP kapcsolaton történik
- Hamis access point (AP) : Egy TP-LINK TL-WR703N router, melyen OpenWRT fut, indulás után monitor módba kapcsolja a WiFi interfészt, és PCAP fájlokba gyűjti a lehallgatott forgalmat.
- Preparált egér : Két Genius egér, melyek elektronikáját kicseréltük egy-egy Teensy 2.0 lappal. Az egér USB HID billentyűzetként működik, és miután a rendszer felismerte, nyit egy futtatási dialógus ablakot (Win + R), és megnyitja a már említett, a felhasználó és a munkaállomás nevét naplózó weboldalt, amely átirányítja a felhasználót egy oldalra, ami szerint nem található driver az egérhez.
- LAN – tapping: Egy Kali Linux-ot futtató Raspberry Pi B+, mely két Ethernet interfésszel rendelkezik. Induláskor a rendszer felépít egy bridge-et a két interfész között, és a tcpdump program segítségével tárolja a keresztülmenő forgalmat. Az eszközt egy számítógép, nyomtató, router, stb., és a hálózat közé elhelyezve lehallgatható a forgalom.
A vizsgálat időtartama
A vizsgálat felkészülés valamint black-box felderítés szakasza 1 hónapot vett igénybe. Ebben az időtartamba beletartozott az eszközök, valamint a phishing kampány előzetes tesztelése a biztonsági osztály bevonásával, figyelembe véve, hogy ezen vizsgálatok tekintetében nincs lehetőség másodszor próbálkozni, nagyon gyorsan elterjed a felhasználók között a híre.
A tényleges vizsgálatok (telephely, phishing és telefonos vizsgálatok) 9 nap alatt kerültek lefolytatásra. Első körben a kevésbe “hangos” vizsgálatok, majd a legvégén a “leghangosabb” minden felhasználóra kiterjedő phishing.
Az egyes vizsgálatok eredményei
Phishing
A felhasználók biztonságtudatosságának, becsapós e-mailekre való reagálásának tesztelése céljából a gophish (https://getgophish.com) szoftver segítségével elindítottunk el több phishing kampányt. A kampány lényege az volt, hogy a felhasználókat egy becsapós e-maillel egy általunk előkészített Outlook Web Access-re hasonlító felületre irányítsuk, és megszerezzük a jelszavukat.
Az eredményeket az alábbi táblázat szemlélteti (a program külön nyomon követi a levél megnyitását, a linkre kattintást, valamint a jelszavak megadását).
Mindenki | Megnyit | Kattint | Jelszót ad meg | |
CEG1 | 294 | 248 | 128 | 105 |
CEG2 | 40 | 29 | 11 | 7 |
CEG3 | 18 | 11 | 4 | 4 |
CEG4 | 106 | 14 | 45 | 37 |
Összesen | 458 | 302 | 188 | 153 |
A phishing támadás viszonylag hamar, kb. fél órán belül felismerésre került, és a Szervezet munkatársai e-mailes értesítőt kaptak a folyamatban lévő támadásról. Ezzel kapcsolatban két fontos megjegyzés:
- A támadásról szóló értesítés után ugyan jelentősen csökkent a beérkező felhasználónév/jelszó párosok száma, de nem szűnt meg teljesen.
- A Szervezet munkatársainak elmondása alapján a támadás azért keltette fel a figyelmet, mert a phishing oldal nem engedte ténylegesen bejelentkezni a felhasználókat, és emiatt hívták a helpdesket. Egy dedikált támadó létrehozhat olyan phishing weboldalt, ami látszólag működik, így a támadás valószínűleg tovább észrevétlenül maradhat.
Felhasználói hozzáférés megszerzése a felhasználótól telefonon
A vizsgálat során telefonon keresztül kerestük meg a felhasználókat valamint a központi helpdesket, hogy adják meg felhasználónevüket valamint jelszavukat, a levelezésük zavartalan működésének biztosításának érdekében.
Telefonos adathalászatunk nem vezetett ilyen látványos eredményre, csak egy felhasználó adta meg nevét, jelszavát. A vizsgálat rámutatott, hogy a felhasználók részben tisztában voltak azzal, hogy nem adhatnak meg olyan adatokat, amely a cég feltérképezhetőségét elősegíthetné vagy személyes azonosító adatot tartalmaz.
Telephelyek fizikai védelmének megkerülése
Az első telephelyre való bejutás apró nehézségekbe ütközött már a portán, ahol bár nem volt a beléptetés során semmilyen fizikai akadály, kollégánkat a biztonsági őr nem engedte átsurranni és kérdőre vonta, hogy kihez jött. Ezt a problémát munkatársunk pillanatok alatt megoldotta azzal, hogy közölte, hogy az egyik vezetőhöz siet, és egy álnevet mondott be. Ugyan a portás egyből feltelefonált, az álnév mégis megtévesztette, hiszen semmilyen igazoló okmányt nem kért, így a bejutás sikeres volt. A lépcsőház szabadon járható volt, minden szintre bepillantást nyerhettünk. Kollégánk az egyik emeleten egy kisebb, épp ebédelni induló társaság mellett észrevétlenül besurrant az egyébként beléptetőkártyás rendszert használó ajtón. Itt felmérte az éppen az emeleten tartózkodó alkalmazottak számát azzal a trükkel, hogy több embert megkérdezett, hogy tesztelheti-e (preparált) egerét a számítógépükön, mert az övén nem működik. Erre mindenki igennel válaszolt. Miután befejeződött a létszámfelmérés, az üres irodákban is csatlakozott az otthagyott számítógépekre egerével, valamint elhelyezte a LAN tapping eszközt is.
A konyhában kihelyezésre került a WiFi AP is egy pendrive-val együtt. A következő emeleten az „elromlott egér” története már nem volt akkora siker, mert egy nagyobb nyitott iroda rész volt, és mivel többen is hallották, hogy mi a probléma, valaki megjegyezte, hogy a gépekhez semmilyen USB eszközt nem lehet csatlakoztatni, munkatársunkat pedig az IT osztályra küldte, hogy ott kérhet egy működő egeret. Az IT részlegen szakemberünket egy kis kérdezősködés után elláták egy új egérrel, de még az ottani gépen is volt lehetőségünk a fertőzött egeret a helpdesk egyik illetőjével „leteszteltetni”. Ezután még egy pár pendrive elhelyezése után, munkatársunk elhagyta az épületet. A kihelyezett eszközök majdnem mindegyikét 4 órán belül megtalálták és leadták az IT osztályon.
A második telephelyen már nagyobb gondot okozott a bejutás, mivel a bejáratnál szigorú kártyás beléptetés, és forgóvillás beengedőkapu segítségével szűrik az illetéktelen személyeket, így egy másik pontot kellett keresni a belépéshez. Ezt a mélygarázson keresztül meg is tehettük, ahol csak egy sorompó mellett kellett elsétálni. A parkolóból bevezető ajtón kollégánk úgy jutott be, hogy megvárta, míg valaki kijön, majd amikor az említett illető visszament kártyája használatával, utána ő is besurrant. Rövid terepszemle után előhúzta „nem működő” egerét. Itt szintén nagyobb, nyitott terepen kellett operálni, így kisebb célközönség állt rendelkezésre, de ők is mind kérdés nélkül bedőltek neki. Miután az egeres trükköt eljátszotta, akivel csak lehet, a központi nyomtatót vette célba, aminek a jelszavát viszonylag gyorsan kitalálta, így bármit fénymásolhatott, valamint itt helyezte el a LAN tapping eszközt, amellett, hogy egy pár pendrive is elhagyásra került.
Szakemberünk egy másik szinten a nyitott irodákban két embert szintén átejtett az egeres trükkel, valamint elhelyezett egy WiFi AP-t a tárgyalóban és egy pendrive-ot is elhagyott a kávéfőzőnél.
A vizsgálatot végző szakértő a telephelyeken akadály nélkül mozoghatott, az előre elkészített „csali” adathordozókat a közös terekben, irodákban volt lehetősége elhelyezni. A vizsgálatnak nem volt célja bármilyen eszköz, információ eltulajdonítása a bejutást követően, melyet egy támadó a nyitva talált irodákban megtehetett volna.
A vizsgálat lefolytatását nehezítő kontrollok
A teljes képhez hozzátartozik, hogy a vizsgálat rámutatott több olyan hatékonyan alkalmazott kontrollra is, melyek jelenléte több támadást ellehetetlenített vagy jelentősen megnehezített. Ezek az alábbiak:
- Telepített végpont védelmi megoldás, mely megakadályozta az USB-s tárolóeszközök használatát, csatlakoztatását a munkaállomásokhoz.
- Szoftver – jelen esetben driver a preparált egérhez – telepítése rendszergazdai jogosultsághoz kötött, mely megakadályozta az eszköz használatát.
- Az egyik telephelyen alkalmazott beléptetési rend, mely szerint kizárólag a fogadó személy kíséretében lehetett belépni a portaszolgálaton. A teljes képhez hozzátartozik, hogy a jól működő kontroll a garázson keresztül könnyedén kijátszható volt.
Eredmények összefoglalása
A vizsgálatok egyértelműen megmutatták, hogy a vállalat munkatársai nem alkalmazzák az alapvető biztonságtudatossági paradigmákat. Ennek egyik legegyértelműbb jele volt, hogy a megtévesztő levelek kiküldését követő kb. háromnegyed óra alatt a felhasználók több, mint 30%-a adta meg a felhasználónevét és jelszavát. (A szerk.: A phishing e-mail üzenetek árulkodó jeleiről készítettünk egy ismeretterjesztő kiadványt, aminek alkalmazásával hozzájárulhat Ön is vállalata IT biztonságtudatosságához.) A kiadványt az alábbi linken érheti el: Phishing e-mail üzenetek jelei – avagy figyeljünk a részletekre
Nem lebecsülendő annak a kockázata, hogy egy teljesen black-box megközelítéssel, publikusan elérhető információkkal dolgozó támadó is rövid idő alatt számos (esetünkben 27 db) tartományi felhasználó jelszavát gyűjthette össze.
Szintén a megfelelő szintű biztonságtudatosság hiányának egyértelmű jele, hogy a fizikai vizsgálatok során a telephelyekre – irodaépületbe és iroda-helyiségekbe – történő bejutás és szabad mozgás minden esetben sikeres volt. Az irodaszinteken a mozgás zavartalanul történhetett, valamint a felhasználók teljesen gyanútlanul, a vizsgálatot végző szakértő által átadott eszközt számos esetben csatlakoztatták a munkaállomásukhoz.
A teljes kép érdekében szükségesnek tartjuk kiemelni, hogy a vizsgálatok során elvégzett social engineering jellegű tesztjeink arra is rámutattak, hogy a felhasználók biztonságtudatossági oktatása bizonyos mértékben működik, hiszen az elhelyezett pendrive-ok, hamis access pointok, illetve LAN tapping eszközök a megtalálás után rögtön leadásra kerültek.
A beszámolóból kitűnően látszik, hogy munkatársaink támadásainak sikeressége merőben nem a technológiai hiányosságokból eredt, hanem az alkalmazottak biztonságtudatosságának alacsony szintjéből. Természetesen egy nagyobb vállalkozásnál nem lehet reális, hogy mindenki ismer mindenkit, de a biztonsági paradigmák gyakorlati alkalmazása nagy mértékben hozzájárul az ilyen támadások szűréséhez, ezért javasoljuk, hogy törekedjen Ön is vállalata biztonságtudatossági szintjének a lehető legerősebbé tételére. (Ehhez ajánljuk figyelmébe termékeinket és szolgáltatásainkat, melyekről bővebb információt a http://www.praudit.hu/ oldalon talál.)