Иpа Винклеp "Пpофессия: пpомышленный шпион"

Диpектоp по технологиям Национальной Ассоциации Компьютеpной безопасности. Ее адpес winkler@ncsa.com. Эта статья появилась в майском выпуске 1996 года "InfoSecurity News".

Название компании и имена служащих изменены. Кpоме того, изменены некотоpые детали, котоpые могут помочь установить истинное название компании.


Начальник сидел и молчал, после того как я показала ему полную документацию по пpоизводству самого пеpспективного пpодукта, котоpый сейчас pазpабатывается их компанией. Он пpодолжал молчать, когда я положила на стол гpафик pазpаботки основных пpодуктов компании. Он откинулся в кpесле, когда я выложила на стол несколько документов, описывающих позицию компании в многомиллионном контракте. Наконец, начальник заговоpил: "Я думаю, мы должны быть счастливы, что вы не pаботаете на наших конкуpентов"

Я укpала все это и кое-что еще, маскиpуясь под служащего по контpакту. Вы думаете, что это компания со слабой безопасностью? Нет. В этой оpганизации пpоводится в жизнь великолепная пpогpамма пеpиметpа безопасности, включающая сильные меpы по упpавлению доступом и механизмы физической безопасности. Тем не менее, администpатоp безопасности, подозpевал, что они могут быть уязвимы к хоpошо скооpдиниpованной атаке служащих. Он вызвал меня для того, чтобы пpовеpить сколько инфоpмации сможет укpасть

шпион.

Я была у них всего тpи дня. Я укpала все, что у них было.

Начало

Недавно на конфеpенции я познакомилась с Генpи, администpатоpом безопасности Zed Technologies, большой высокотехнологичной фиpмы с ежегодным объемом пpодаж свыше 5 миллиаpдов доллаpов. Генpи знал о моем опыте с области тестиpования на пpоникновение и попpосил меня встpетиться позже, чтобы обсудить возможность пpотестиpовать их безопасность.

Генpи был кpайне озабочен откpытой сpедой в Zed - типичной для большинства фиpм, пpоводящих исследования. Как и многие большие компании, Zed имела много служащих-контpактников и обслуживающего пеpсонала. Эти люди имели доступ к pазличной инфоpмации и отбиpались столь стpого как постоянные служащие. Генpи беспокоился о потенциальном ущеpбе, котоpый они могут пpинести. Чтобы пpовеpить это, он попpосил меня выполнить тестиpование на пpоникновение, в ходе котоpого я поступлю на pаботу в компанию как служащий-контpактник, но должна укpасть столько инфоpмации, сколько смогу.

Мне было дано pазpешение делать все, что угодно, но не наносить вpеда компании и людям. Сотpудник гpуппы инфоpмационной безопасности должен находиться поблизости, всякий pаз, когда я выполняю незаконные действия, чтобы обеспечить локализацию инцидента в случае успешной компpометации. Мне также будут выданы деньги для найма сообщников вне оpганизации.

Чтобы имитиpовать pеальный шпионаж, я хотела осуществить полномасштабную атаку на компанию, используя как технические, так и нетехнические сpедства. В частности я выбpала 5 категоpий атаки: анализ откpытых источников, выдавание себя за другого, использование доступа для злоупотреблений, хакерские действия изнутри организации и координация действий с внешними сообщниками.

Сбор информации

До моего разговора с Генри я ничего не знала о Zed Technologies. И мне нужно было познакомиться с ней, чтобы украсть оттуда важную информацию.

Информация из библиотек Интернета обеспечила меня огромным количеством информации. Из архивов новостей я установила наиболее перспективные направления исследований в компании, финансовые затраты на проекты компании и объем потенциальных продаж. Я также узнала имя руководителя исследовательской группы, работающей над проектом, и получила краткую информацию о выпускаемых компанией продуктах и людях, участвовавших в их разработке.

Из других открытых источников я установила имена руководителей подразделений компании, финансовое состояние компании и разнообразную общую информацию о компании и ее политике организации работы сотрудников. Поиск в Интернетовских телеконференциях строки с названием компании выявил десятки служащих компании. Письма служащих в группы новостей компьютерной тематики рассказали мне об оборудовании и программных средах, использующихся в компании. Письма в нетехнические группы помогли мне выявить области интересов служащих, посылавших эти письма. Другие источники в Интернете дали мне дополнительную информацию о сотрудниках и их интересах.

В результате выполнения команд host с параметром - доменным именем компании в Интернет я получила список всех компьютерных систем, а также информацию об их ОС. В результате этого я установила IP-адреса компании, типы систем, используемых в компании и приблизительное число используемых компьютеров.

Газета компании, которую я выписала и получила, также помогла мне. В ней руководство компании описывало шесть главных проектов компании и приводил имена большого числа сотрудников, работающих над этими проектами. Эта информация оказалась очень полезной при дальнейших действиях.

Наглая ложь

Так как у меня было только три дня на проведение шпионских действий, я была вынуждена действовать более нагло, чем это обычно делает промышленный шпион. Я попыталась применить тактику выдавания себя за другого: я решила представиться как администратор по информационной безопасности.

Перед прибытием на место, я сделала бизнес-карту, которая выглядела точно так же, как карта, сделанная в Zed Technologie, в которой было указано мое имя и должность - администратор информационной безопасности. В местном магазине мне сделали карты менее чем за день, используя реальную бизнес-карту как образец.

По прибытии я занялась формальностями как любой временный рабочий. Я заполнила некоторые бумаги, в которых я указала ложную информацию, включая свой номер социального страхования, адрес и телефонный номер. Кадровик дал мне пропуск и показал мне мою комнату для работы. Я была удивлена, когда обнаружила, что мое имя уже добавлено в телефонный справочник компании.

Не уверенная в результате моих хитростей, я начала свою работу с звонка исследователю, работающему над самым перспективным проектом компании. Я сказала ему, что я только что устроилась на работу и мне была поставлена задача - защиты секретов компании. Поэтому я должна установить, что хуже всего защищено и где эта информация хранится. После нескольких мирнут разговора исследователт рекомендовал мне обратиться к Стенли, руководителю группы, работающей над проектом. Я позвонила Стенли и назначила встречу с ним.

Играть роль агента конкурирующей корпорации - волнующая работа, и я беспокоилась о том, что я смогу сказать или сделать, если меня поймают. Я почти надеялась, что кто-то должен начать задавать мне вопросы, чтобы проверить, правду ли я говорю, и я готовилась к такой беседе, чтобы проверить свои способности как шпиона. Но я так и не смогла их проверить. Ни один работник не заинтересовался мной.

Встретившись со Стенли я снова заявила, что я недавно взятый на работу администратор по информационной безопасности. Я дала ему свою бизнес-карту и заявила, что мне поставлена задача защитить информацию компании. Я попросила его детально описать мне, какая информация является критической и какие люди имеют к ней доступ.

Стенли сказал мне, что самя критическая - это информация о технологии изготовления продуктов, помимо большого числа других видов важной информации. Я спросила его, есть ли источник, из которого можно взять полную информацию о технологии производства. В ответ он показал мне книгу с копиями заметок с рабочих совещаний группы и список рассылки, члены которого получают эти заметки. Я явно попросила его дать мне копию этих заметок. Стенли не только дал мне копии всех заметок из книги, но даже добавил меня в это список рассылки.

Стенли помог мне еще раз: он сказал мне, что начальник отдела взаимодействия с государственными организациями и коммерческий менеджер проекта скомпилировали информацию и рекомендовал мне поговорить с ними. После беседы со Стенли я вернулась в свою комнату и назначила встречу с Марком, начальником, о котором говорил Стенли.

При встрече с Марком я снова использовала свою фальшивую бизнес-карту и ложь о работе в отделе информационной безопасности. Вы не поверите, но моя работа стала становиться скучной после того, как я стала играть роль администратора безопасности, беседующего с людьми об обработке и хранении критической информации. Я должна была продолжать играть свою роль и говорить о массе ненужных мне деталей. Но мое терпение было вознаграждено. Марк и я в конце концов дошли до сделанных его отделом документов, и я узнала о типах документов, местах хранения файлов в сети, группе ответственных за архивацию файлов и имя человека, ответственного за их хранение. Марк даже упомянул один документ, содержащий спецификацию технологии продукта.

Затем я вернулась в мою комнату и стала просматривать заметки о рабочих совещаниях, которые Стенли дал мне. Помимо массы критической информации я обнаружила настоящее скоровище в сообщении от Марка. В нем он указывал местоположение черновиков документов, переданных правительству США. В следующем предложении он давал пароль для доступа к этому документу.

Я не могла поверить своим глазам. В этих двух предложениях мне были даны ключи к документу, который содержал всю информацию о технологии производства для проекта, который был мне наиболее интересен. Я вернулась на свой компьютер, и вскоре получила доступ и скопировала документ. Так я украла информацию, стоящую миллион долларов для компании.

Но дальше мое удивление еще более возросло; в той же директории, где я только что нашла это сокровище, находились аналогичные документы о двух других приоритетных проектах компании. В этот момент времени, менее чем за день, я скомпрометировала три самых перспективных проекта Zed Technologies, и могла теперь сама производить эти продукты.

Вдохновленная таким успехом, я начала сканировать другие файловые системы, которые не были защищены паролями. Я пыталась получить доступ только в те файловые системы, в которых, как я полагала после встреч с Марком и Стенли, может находиться критическая информация. Мне не были нужны лишние документы. За несколько часов я скопировала более 125 Мб данных.

На следующий день я встретилась со Стивеном, коммерческим менеджером второго по величине критичности проекта. Теперь исчезли все мои опасения относительно своей поимки. Пора было сосредоточиться на типах информации, которую используют и создают коммерческие менеджеры.

После объяснений, что мне нужно увидеть то, за что я отвечаю как член группы информационной безопасности, я попросила Стивена кратко показать процесс его доступа к файлам. Я попыталась подглядеть пароль, который он использовал, но не смогла из-за неудобного положения. Стивен подчеркнул мне важность ежеквартальных коммерческих отчетов, которые, как он сказал, содержат очень критическую информацию, такую как детали производства. Пока он говорил, я заметила, что в его комнате нет замка на двери. Также я увидела на его столе коробку для дискет с надписью "коммерческие отчеты".

Я вернулась в мою комнату и сразу же попыталась получить доступ к файловой системе Стивена. Я использовала несколько типовых комбинаций в качестве пароля и обрадовалась, когда одна из них оказалась правильной и я получила доступ к его файлам. Как оказалось, каждый коммерческий менеджер отвечает за несколько проектов, поэтому файлы Стивена содержали информацию о большом числе проектов.

Мое веселье возросло, когда я обнаружила, что все коммерческие менеджеры используют одну и ту же файловую систему для хранения своих файлов. Мне даже не понадобились диски со стола Стивена. У меня оказались коммерческие отчеты всех проектов, которые меня интересовали. Я выиграла джек-пот.

Позднее я узнала, что скомпрометировала все основные проекты компании, кроме одного. И для этого мне понадобилось только полтора дня. Никто не сообщил ни о каких подозрительных признаках. Моя легенда не была никем проверена. Настоящий промышленный шпион вылетел бы на ближайшем самолете из этого города.

Вечерние поиски

Атака с выдаванием себя за другого была, тем не менее, только одним из методов, которые я использовала. Как вы помните, я получила пропуск в компании. После моего первого дня работы в Zed Technologies я пообедала и вернулась в мою комнату с моим пропуском.

Несколько уборщиков ходили по зданию, когда я начала искать незапертые шкафы, комнаты и ящики на столах. Я осмотрела компьютеры, которые не были защищены с помощью устройств блокировки рабочих станций, требуемых согласно руководящим документам компании. Было невозможно избежать встреч с уборщиками, поэтому я решила не скрывать свое присутствие. Это было рискованно, но хуже было бы, если бы я пыталась спрятаться.

В первом помещении, которое я наметила, размещались юридический отдел и отдел по лицензированию. Там я получила документы о завершенных проектах, включая достоинства и недостатки каждой потенциальной лицензии. Я также нашла хороший материал об идущих судебных процессах, включая описание позиции компании. Наконец, я нашла практически готовую заявку на патент, которая еще не была отослана.

Я прошла во второе помещение, в котором находились разработчики. Я нашла отчеты о проблемах с продуктами и другие критические бумаги, находившиеся на столах. В незапертом шкафу я нашла технологическую информацию о еще двух проектах, в которые могли принести сотни миллионов долларов инвестиций и потенциальных продаж.

В одной комнате, куда я вошла, был настоящий бардак. Бумаги лежали повсюду, и два компьютера были оставлены без устройств блокировки. Два монитора были выключены, но я просто включила один и обнаружила, что сотрудник все еще работает в программе электронной почты. К счастью для меня, он сохранял письма. Я просмотрела их и нашла сообщение, содержащее основной график разработки, один из самых критических документов компании.

Поиск после работы может показаться старомодным и чересчур простым, но он дал мне огромное количество критической информации. Шпионаж включает использование простых, но эффективных методов. Эта вечерняя работа продемонстрировала выгоды просмотра незащищенной информации. Я не вскрывала никакие замки и не оставила никаких признаков своего присутствия.

Хакерство изнутри

Я принесла с собой в Zed Technologies лэптоп Sun, специально сконфигурированный для хакерства изнутри в компании на основе той информации, которую я узнала из открытых источников. Я поставила на лэптопInternet Scanner фирмы Internet Security Systems Inc. и большое число хакерских средств, которые проникают в систему через уязвимые места, обнаруженные сканнером. Когда я пришла в свою комнату в Zed, я отключила офисную ПЭВМ от ЛВС и подключила к ней свой Sun.

Сначала я запустила сканнер на главные компьютерные системы, и он обнаружил известные уязвимые места на нескольких экспортируемых файловых системах, которые, как я знала, содержат критическую информацию. Оставалось только выполнить попытку подбора паролей для выявленных идентификаторов пользователей. Три идентификатора почти сразу же были скомпрометированы.

Я смонтировала экспортируемые файловые системы на моей ПЭВМ и попыталась скопировать критические директории в мою систему. Я смогла скопировать почти все, но была несколько разочарована, когда доступ к некоторым файлам оказался ограничен. Затем я подключилась к удаленному компьютеру, используя один из скомпрометированных с помощью сканнера идентификаторов и скопировала одну из хакерских программ на этот компьютер. Я не очень-то надеялась на эту программу, но все равно попыталась ее запустить.

Я буквально подпрыгнула в кресле, когда получила подсказку "#" - я получила доступ как root. Теперь меня ничего не сдерживало кроме объема диска на моем компьютере, и я скопировала все, что сочла важным. Я использовала несколько люков в ОС и перешла к исследованию других компьютеров.

Таким образом я получила свыше 200 Мб информации, считавшейся крайне критической. Уязвимое место, которое я использовала, было только недавно выявлено, но информация об изменениях в ОС для его заделывания уже была доступна. Компания просто поленилась установить заплатку. Теперь они узнали это лучше.

Хакерство с помощью друзей

В ходе операции по выдаванию себя за администратора информационной безопасности, я узнала о том, что Zed Technologies использует смарт-карты для аутентификации внешнего доступа. Я получила копию формы, используемой для заявки на получение смарт-карты, подделала подпись администратора информационной безопасности на ней и передала секретарю на утверждение. Тот же трюк я использовала, чтобы получить пейджер. Они были нужны мне для моей последней атаки, когда я должна была координировать свои действия с сообщниками.

Я послала смарт-карту и прилагавшееся к нему ПО своим сообщникам ночным курьером, дав им удаленный доступ к Novell-овской сети компании. По телефону я сообщила им свой идентификатор и пароль для сети Sun, к которой я получила доступ как сотрудник-контрактник. Я дала им номер модема, который я получила спросив одного из системных администраторов. Теперь мои помощники могли также скомпрометировать сеть Sun.

В ходе сбора информации я установила, что в компании используется большое число Sun и PC-совместимых компьютеров. Поэтому я достала соответствующие хакерские средства и передала их сообщникам. Теперь они могли их использовать.

Они начали сперехвата файла паролей в сети Sun и запуска на него программы угадывания паролей Crack. Они вскрыли приблизительно 10 процентов паролей. Факсом они сообщили мне список скомпрометированных идентификаторов, когда я сообщила о приоритетах в поиске, используя оперативный справочник служащих компании для установления личности пользователей, имеющих данные илентификаторы.

Затем я факсом сообщила им наиболее приоритетные идентификаторы, а также список ключевых слов, которые являлись признаком критической информации. Они просмотрели мой список и хакерским способом вошли и в другие компьютеры Zed. Система удаленного доступа, предназначенная для предотвращения неавторизованного доступа, не смогла предотвратить неавторизованное использование ее авторизованными пользователями.

Один сообщник сосредоточился на компрометации ПЭВМ. Используя смарт-карты, он получил доступ к внутренней сети по телефонным линиям. Он просканировал машины на наличие уязвимых мест в нескольких зонах, которые, как я сказала ему, были самыми важными. Он перехватил большое количество информации в этих зонах.

Координация действий с сообщником внутри организации была причиной успеха этой атаки. Даже, если посторонний сможет пройти через механизмы периметра безопасности, что маловероятно, он не знает, где искать критическую информацию. Более чем террабайт информации имеется на машинах компании, и только гигабайт из них можно считать критическим. И лишь мегабайт содержит по-настоящему важную информацию, описывающую технологию производства, разработанную в результате исследовательских проектов. Компьютерный доступ не столь уж важен; доступ к конкретной информации - вот, что важно.

Результаты

После трех дней я уволилась с работы в Zed Technologies. Я получила более чем 300Мб критической информации. Я имела информацию, в деталях описывающую технологию производства пяти самых лучших продуктов компании, которые должны были принести миллиарды прибыли. Я также получила большое количество информации почти обо всех проектах компании, которая, будучи дана конкуренту, могла привести к очень большим потерям. Из-за объема полученной информации было очень вероятно, что я также получила информацию о производстве большинства других проектов, но только детальный просмотр данных мог сказать мне это наверняка.

Кстати , никто не сообщил ни о чем необычном. Несмотря на мои наглые методы, никто не заметил, как я скомпрометировала основные проекты компании.

Примечательно, что я использовала те самые методы, которые используются при атаках промышленными шпионами. Я даже не устанавливала радиомикрофонов и не подключалась к телефонным линиям. Я не пыталась завербовать сотрудников. Я не рылась в мусорных корзинах. Я потратила мало времени и денег; реальная атака планировалась бы и выполнялась в течение месяцев, и в это были бы вложены миллионы.

Хотя многие читатели думают, что Zed Technologies была ленивой компанией с низким уровнем безопасности, на самом деле все наоборот. Тот факт, что они решили провести этот тест, свидетельствует о том, что компания заинтересована в настоящей защите своей критической информации. К несчастью Zed сосредоточилась на защите только своего периметра. Как только атакующий получал статус сотрудника организации, меры защиты становились бесполезными, и их информация подвергалась риску.