Анализ безопасности ИТ инфраструктуры вузов на примере НИУ ВШЭ

Размещено на http://www.allbest.ru/

Анализ безопасности ИТ инфраструктуры вузов на примере НИУ ВШЭ

ВВЕДЕНИЕ

информационный безопасность аудит

В последнее время тема информационной безопасности становится все более и более критичной, как для крупных компаний-разработчиков, так и для обычных людей. Интернет давно стал частью нашей жизни, и мы доверяем ему огромный объем информации, которая, при попадании в руки злоумышленника, может нанести большой ущерб как лично человеку, опубликовавшую данную информацию, так и окружающим его людям. Университеты в контексте информационной безопасности выступают в роли фирм: они так же собирают данные о своих студентах, хранят их, заключают с ними договоры о коммерческом обучении.

Для проверки качества информационной безопасности прибегают к внешнему аудиту. По итогам данной проверки безопасности специалисты готовят специальный отчет, в котором прописаны все найденные уязвимости, к чему они могут привести и как можно защититься от них. Анализ безопасности является критически важным для любой крупной компании. НИУ ВШЭ - крупнейший российский университет, поэтому он должен быть передовым не только в плане обучения, но и в плане безопасности как своих ресурсов, так и в плане безопасности пользовательских данных.

Объектом исследования является информационная безопасность. Предметом исследования является анализ качества уровня информационной безопасности в высших учебных заведениях на примере Высшей Школы экономики. Актуальность выбранной темы обусловлена следующими факторами:

· увеличением количества хакерских атак на различные организации. Согласно последним отчетам крупнейших компаний, занимающихся информационной безопасностью, количество кибератак с каждым годом растет [1].

· повышенному интересу к персональным данным как со стороны злоумышленником, так и со стороны государства. За последние 2 года были приняты законы, ужесточающие правила хранения данных: GDPR [2], пакет Яровой [3][4].

· Необходимостью совершенствовать методы защиты информации и персональных данных. Каждый год находят сотни новых уязвимостей, которые могут быть использованы для компрометации серверов и данных, расположенных на них [5].

Проведение анализа информационной безопасности с теоретической точки зрения позволит сформировать понимание о текущем состоянии безопасности университетов в России, так как Высшая школа Экономики является наиболее современным и передовым университетом, поэтому если будут обнаружены какие-либо проблемы с безопасностью этого вуза, то с большой долей уверенности можно сказать, что у большинства высших учебных заведений в стране могут быть найдены подобные проблемы в безопасности. Помимо теоретического значения, аудит имеет и очевидное практическое значение: показать, какие небезопасные технологии применяются на данный момент при разработке сервисов внутри НИУ ВШЭ, какие уязвимости присутствуют в сервисах, какие есть так называемые «точки входа» для хакеров. Стоит отметить, что с точки зрения степени научной проработанности выбранная тема исследования является слабо проработанной, поскольку предпосылки для проведения аудита информационной безопасности появились совсем недавно. Существует множество исследований, посвященных информационной безопасности крупных организаций и предприятий, однако безопасности университетов уделяется достаточно мало внимания, поскольку считается, что выгода от успешной атаки учебного заведения значительно меньше, чем от атаки на большую компанию. Исходя из вышесказанного, новизна работы заключается в тестировании на проникновения именно университета, поскольку часть процессов, протекающих в этом заведении, отличается от процессов, протекающих в компаниях.

Резюмируя вышесказанное, можно сформулировать цель работы - провести аудит информационной безопасности НИУ ВШЭ. В основу исследования ложится гипотеза о том, что в безопасности университета есть уязвимости и инфраструктура университета уязвима для хакерских атак.

В рамках данной работы для достижения поставленной цели было выделено несколько задач:

1. Исследовать лучшие практики проведения аудита безопасности ИТ систем, выбор методологии определения уязвимостей.

2. Собрать всю возможную информацию об университете из открытых источников, определить стек технологий.

3. Просканировать сайты и, используя полученную ранее информацию, определить уязвимости.

4. Составить рекомендации по улучшению безопасности в случае обнаружения уязвимостей в системе.

В соответствии с поставленными задачами, первая глава исследования будет посвящена объекту исследования, а также анализу проведенных аудитов, и их результатов. Вторая глава будет посвящена сбору информации об инфраструктуре университета. В ней будет показан первый большой этап проведения аудита. В третьей главе будет показана эксплуатация найденных уязвимостей. Кроме того, будут даны объяснения, почему они критические, к чему может привести дальнейшая эксплуатация этих уязвимостей.

В качестве основных источников информации в работе использовались многочисленные статьи независимых специалистов по информационной безопасности, специалистов крупнейших компаний, специализирующихся на проведении аудитов информационной безопасности, Крупнейших международных организаций, занимающихся классификацией уязвимостей и созданием программного обеспечения для работы с ними. Теоретической базой данного исследования является учебная и справочная литература по темам информационной безопасности, проведению аудитов и безопасному программированию. Основные определения и правила проведения аудита будут опираться на нормативные документы Российской Федерации, новостные статьи и иные интернет-ресурсы.

ГЛАВА 1. АУДИТ БЕЗОПАСНОСТИ

1.1 Введение в предметную область

Бесспорно, появление компьютеров и их массовое распространение среди обычных людей сильно повлияло на образ жизни. Компании используют компьютеры для ведения учета на предприятии, коммуникации с людьми, управлением производством и так далее. Почти все аспекты деятельности компаний были переведены в цифровой формат, что упростило работу с данными. Для контроля за процессами в предприятии используется различное программное обеспечение для различных целей, например, SAP для управления предприятием, Microsoft Office для создания таблиц, отчетов, презентаций, документов. Разное программное обеспечение может иметь разные уязвимости, которое может привести к различным проблемам.

Особые опасения, с точки зрения информационной безопасности, вызывает тот факт, что для доступа к информации в любое время используется интернет. Проблема заключается в том, что каждая компания имеет свой сайт, который, при неправильных настройках безопасности, в худшем случае может дать полный контроль над своей инфраструктурой, а. в лучшем нанести небольшой финансовый ущерб. Кроме того, доступ в интернет есть почти у каждого, поэтому потенциально угрозу может предоставлять любой из посетителей сайта компании, а если учесть количество серверов, которые могут использоваться для захода на сайт, то количество злоумышленников становится в сотни тысяч раз больше. Большинство сайтов требует регистрации для использования полного функционала предоставляемых услуг, например, онлайн покупок. Эти данные называются персональными.

Понятие персональных данных в России регулируется федеральным законом №152 «О персональных данных». Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) [6]. Персональные данные представляют собой большую ценность для пользователей. Согласно отчетам крупнейшим компаниям по кибербезопасности, стоимость персональных данных на черном рынке с каждым годом повышается. Если учесть, что большинство компаний по-прежнему не уделяют должного внимания к безопасности своей инфраструктуры, то можно убедиться, что количество различных утечек большое и растет с каждым годом. Даже крупнейшие компании допускают небрежное отношение к данным своих клиентов, например, Facebook. Передовая it компания была связана с несколькими скандалами, возникшими из-за нарушений правил хранения и использования персональных данных. Крупнейший скандал связан с передачей данных своих пользователей компании Cambridge Analytics без согласия пользователей [7]. Другой крупный скандал, касающийся уже проблем с хранением данных, связан с тем, что Facebook хранил пароли от Instagram (который принадлежит Facebook) своих пользователей в незашифрованном виде [8].

Персональные данные и контроль над финансами компании являются главными целями для злоумышленников. Для борьбы с ними используются различные методы защиты, начиная с безопасной разработки приложений, заканчивая установкой специального программного обеспечения, предотвращающего возможные атаки, например, WAF. WAF или web application firewall фильтрует входящий и исходящий трафик веб-приложения, что обеспечивает защиту от нескольких видов атак, например SQL-injection, Cross-site scripting (XSS), file inclusion. Для проверки безопасности своих веб-приложений компании прибегают к аудиту информационной безопасности, в частности, к тестированию на проникновение. Аудит информационной безопасности -- системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определёнными критериями и показателями безопасности. Аудит бывает двух видов: внутренний и внешний. Основное различие этих двух видов аудита в том, что внешний - это разовое мероприятие, а внутренний - непрерывная деятельность, утверждающаяся руководством организации, и выполняется отделом безопасности IT отдела. Ввиду сложности выполнения такой работы компании часто прибегают к аналогу аудита- пентесту. Пентест или тестирование на проникновение - комплекс мероприятий, имитирующий хакерскую атаку на фирму. Тестирование на проникновение делится на два типа: внешний и внутренний. Внешний пентест выполняется сторонней фирмой. Как правило -- это так же, как и внешний аудит, разовое мероприятие. Внутренний также часто называют blue and red team. Условно говоря, отдел безопасности делится на две команды: синюю и красную. Синяя команда является защищающейся стороной, ее задача предотвратить атаки красной команды и защитить информацию, задача красной команды - найти проблемы в безопасности и получить доступ к данным. Через некоторое время команды меняются ролями, что позволят улучшить качество защиты, ведь команда красных знала, в чем были проблемы и будет пытаться усилить их защиту. Задача пентестеров - найти хотя бы одну уязвимость и через нее получить доступ к фирме. К услугам пентестеров или аудиторов целесообразно обращаться только устоявшимся крупным фирмам, поскольку им необходимо понимать, где у них могут быть проблемы, чтобы, в случае атак, они понесли минимальные убытки.

1.2 Классификация уязвимостей

С точки зрения информационной безопасности выделяют три типа проблем, связанных с безопасностью приложений: недостаток, уязвимость и атака. Недостатком называют проблему в программном обеспечении, при эксплуатации которой состояние системы не изменяется. Уязвимостью называется проблема в приложении, при которой состояние системы изменяется. Атака - процесс эксплуатации уязвимости. Иногда данные классы могут пересекаться. Ярким примером можно назвать переполнение буфера в Linux команде “ls”, которая выводит список папок в директории. Переполнение буфера (Buffer Overflow)-- запись или чтение программой данных за пределами выделенного для этого в памяти буфера. В контексте данной проблемы переполнение буфера позволяет исполнять любые другие команды, доступные пользователю. Если пользователю доступны все команды, то состояние системы не изменяется, и данную проблему можно назвать недостатком. Приведем другой пример. Допустим у пользователя, который администрирует веб-приложение ограниченный список команд в терминале, тогда недостаток становится уязвимостью, поскольку переполнение в этом случае даст доступ к командам, которые не были предусмотрены изначально. Атакой будет называться процесс эксплуатации этой уязвимости. Очевидно, что данная ситуация искусственная и в реальности вряд ли будет встречаться, однако она хорошо демонстрирует разницу в классификации проблем программ. Поскольку нам интересны только уязвимости, то будут описаны только классификации уязвимостей. Основной целями проводимого аудита будут веб-приложения, поэтому будут использоваться классификации уязвимостей, относящиеся к веб-приложениям: OWASP [9] и WASC [10].

1.2.1 OWASP

OWASP - The Open Web Application Security Project, международная некоммерческая благотворительная организация, которая сосредоточена на улучшении безопасности программного обеспечения. Все продукты данной организации бесплатны для скачивания, использования и распространения. Любой может стать членом данной организации. Она на регулярной основе проводит различные встречи участников в разных странах, включая Россию, где читаются доклады о последних трендах в мире уязвимостей. (ССЫЛКА) Кроме создания свое открытого программного обеспечения для анализа безопасности веб-приложений, данная организация занимается классификацией уязвимостей. Данная классификация известна под названием OWASP top ten. Согласно заявлению компании «The OWASP Top 10 важный документ для безопасности веб-приложения. Он представляет общее согласие о самых критических угрозах безопасности к веб-приложениям. Среди участников проекта множество экспертов по безопасности со всего мира, которые поделились своими знаниями, чтобы создать этот список. Мы убеждаем все компании принять этот документ осведомленности в своей организации и начать процесс обеспечения, чтобы их веб-приложения минимизировали эти риски. Принятие The OWASP Top 10 является, возможно, самым эффективным первым шагом к изменению культуры разработки программного обеспечения в Вашей организации в ту, которая предоставляет безопасный кодекс». Данный документ обновляется 1 раз в несколько лет, поэтому последняя доступная версия датирована 2017 годом. В нем доступны 10 наиболее популярных и опасных классов веб уязвимостей [11]:

1. Инъекции. Данная уязвимость возникает при отсутствии валидации или фильтрации вводимой пользователем информации; вредоносная информация встраивается напрямую в запрос или команду, например, SQL-запрос.

Пример атаки:

Допустим приложение использует следующую функцию:

«Querry = “SELECT * FROM customers WHERE id ='” + request.getParameter(“id”)+” '”)»

Злоумышленник может влиять на запрос. Например, если подставить «' or '1'='1», то это изменит запрос и результат выдачи. Очевидно, что это простейший пример. В худших случаях данная уязвимость может привести к исполнению произвольного кода на сервере, и, как следствие, компрометации всего сервера.

2. Неправильная настройка аутентификации. Данная уязвиvость возникает если приложение позволяет допускает автоматизированные атаки, например метод грубой силы, когда атакующий перебирает все возможные пароли. Кроме того, отсутствие проверки сложности пароля может привести к этой уязвимости (например, пароли вида «admin/admin»).

Пример атаки:

Допустим у злоумышленника есть список пользователей системы. В больших компаниях это чаще всего сочетание имени и фамилии. Если отсутствует проверка на сложность пароля, количество попыток ввода и нет защиты от автоматического перебора, то имея список самых популярных паролей [12] и мощный компьютер, можно в течение дня получить доступ к аккаунтам всех пользователей системы.

3. Доступность чувствительной информации. Данная уязвимость возникает при несоблюдении правил хранения персональных данных, утвержденных законами РФ, GDPR. Ярким примером может служить хранение персональных данных, логинов/паролей, бэкапов и их передача в незашифрованном виде по протоколам, которые можно перехватить, например, HTTP, FTP, SMTP.

4. Внедрение внешней сущности (XXE). Если на сайте предусмотрена возможность загрузки пользователем XML файлов то злоумышленник может встроить внешнюю сущность, которая нарушит работу парсера и позволит совершать действия, не предусмотренные изначально. Неправильные настройки обработки DTD в XML парсере также ведут к этой уязвимости. К уязвимости может привести использование SAML для Single sign on (SSO). Поскольку SAML использует XML для идентификации личности, то он так же может быть уязвим.

5. Неправильные настройки доступа. Управление доступом обеспечивает политику безопасности, таким образом, что пользователи не могут совершать действия, которые не предусмотрены его роли. При неправильных настройках доступа может произойти доступ к несанкционированному чтению, модификации и удалению данных. Распространенные уязвимости контроля доступа включают в себя:

· Обход проверок контроля доступа путем изменения URL-адреса, внутреннего состояния приложения или HTML-страницы или простого использования пользовательского средства атаки API.

· Разрешение изменения первичного ключа на запись другого пользователя, разрешение просмотра или редактирования чужой учетной записи.

· Повышение привилегий. Злоумышленник действует как пользователь без входа в систему или как администратор при входе в систему как пользователь.

6. Неправильная конфигурация системы безопасности. Уязвимость возникает при недостаточном количестве внимания безопасности. Обработка ошибок показывает трассировки стека или другие чрезмерно информативные сообщения об ошибках пользователям.

* Для модернизированных систем последние механизмы безопасности отключены или не настроены надежно.

* Параметры настройки безопасности в серверах приложений, среды разработки приложения (например, Django, ASP.NET), библиотеки, базы данных, и т.д. находятся в режиме отладки или выдают избыточную информацию об ошибках.

* Сервер не посылает заголовки безопасности или директивы, или они не собираются обеспечить безопасность данных.

7. Межсайтовый скриптинг(XSS). Уязвимость возникает при отсутствии фильтрации ввода пользовательских данных, в результате чего пользователь может вставить произвольный javascript код, что позволит влиять на выдачу пользователю, подменяя содержимое сайта, воруя его данные и так далее. Существует 3 типа XSS: stored, reflected и DOM. Stored возникает, если злоумышленник может сохранить вредоносный код на сайте и его активирует другой пользователь. Reflected - возникает, когда злоумышленник дает ссылку на сайт, и в ссылке использует эту XSS уязвимость, то есть она не хранится на сайте и происходит активация только при переходе по вредоносной ссылке. DOM возникает из-за изменения злоумышленником DOM объекта. Такой уязвимости могут быть подвержены JavaScript фреймворки.

8. Небезопасная десериализация. При такой уязвимости злоумышленник может изменять логику приложения или получить произвольное исполнение кода, если какие-либо классы приложения позволяют это сделать. Она возникает, если у атакующего есть возможность изменять десериализованные объекты. Наиболее часто это встречается в:

· Remote- and inter-process communication (RPC/IPC)

· Wire protocols, web services, message brokers

· Базы данных, кэш серверы, файловые системы

· HTTP cookies, API authentication tokens

9. Использование ПО с изместными уязвимостями. Данная проблема в безопасности возникает либо из-за того, что используемое программное обеспечение не обновлялось длительное количество времени и в нем нашли различные уязвимости, либо из-за того, что разработчики не проверили уязвимо ли доступное програмнное обеспечение. Чаще всего проблема касается каких-либо гоотовых решений, например почтовый/ftp сервера, различные CMS.

10. Недостаточное логирование и мониторинг. Проблема логгирования довольно важна для злоумышленников. Они полагаются на недостаточное логгирование и слабый мониторинг, что позволяет им действовать свободнее. Проблема возникает когда:

· Важные события, такие как удачные/неудачные авторизации не логгируются

· Предупреждения и /или ошибки записываются в непонятном формате или неинформативны

· Логи приложения и API не мониторятся на предмет успешных/неуспешных подключений

· Логи хранятся только локально

· Приложение не может в режиме реального времени обнаружить атаку и предупредить администратора о ней.

OWASP top 10 является приоритетной методологией, которую используют компании, поэтому и в нашем исследовании мы будем придерживаться её. Несмотря на это, стоит упомянуть о других методологиях классификации веб-уязвимостей.

1.2.2 WASC

The Web Application Security Consortium (WASC) является некоммерческой организацией, состоящей из международной группы экспертов, специалистов-практиков в отрасли и представителей организаций, которые производят открытый исходный код и широко согласованные стандарты безопасности на основе передового опыта для Всемирной паутины. Будучи активным сообществом, WASC облегчает обмен идеями и организует несколько отраслевых проектов. WASC постоянно публикует техническую информацию, статьи, руководящие принципы обеспечения безопасности и другую полезную документацию. Предприятия, учебные заведения, правительства, разработчики приложений, специалисты по безопасности и поставщики программного обеспечения во всем мире используют наши материалы для решения проблем, связанных с безопасностью веб-приложений. Данная организация разработала свою классификацию угроз [13]. Она отличается от OWASP тем, что некоторые классы атак расписаны подробнее, например, инъекции разделены на SQL инъекцию, SSL инъекцию и так далее. WASC может быть полезен начинающим специалистам по безопасности, так как он более подробен, чем OWASP и четко разграничивает разные виды уязвимостей. Несмотря на эти плюсы, предпочтение все равно отдают OWASP, поскольку его сообщество шире и в клад в развитие безопасности больше. Кроме того, обновления классификаций выходят чаще, чем в WASC.

Еще одним важным вкладом в развитие безопасности можно считать проект WASC «Distributed Open Proxy Honeypots». Благодаря этому проекту любой исследователь может подключиться к honeypot и посмотреть наиболее частые атаки, применяемые в настоящее время. Honeypot-- ресурс, представляющий собой приманку для злоумышленников. Задача Honeypot -- подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Honeypot собирает небольшое количество информации, после анализа которой строится статистика методов, которыми пользуются взломщики, а также определяется наличие каких-либо новых решений, которые впоследствии будут применяться в борьбе с ними.

ГЛАВА 2. ЭТАПЫ АУДИТА

2.1 Разведка

Перед тем, как проводить тестирование на проникновение, необходимо определить, с чем мы имеем дело. Для этого первым делом собирают всю возможную информацию о компании, аудит которой будет проводиться. Перечень информации в каждом случае уникален, однако есть перечень необходимого минимума. Самая важная информация - диапазон ip-адресов. Чаще всего у компании несколько адресов и важно определить их правильно, поскольку заключается договор именно с данным конкретным предприятием, и атака ip-адресов, не принадлежащих ей, будет уже уголовным преступлением. Кроме ip-адресов атакующего также интересуют поддомены сайта, поскольку могут быть поддомены вида: dev.example.com или beta.example.com, которые показывают, что есть какие-то прототипы. Кроме того, на разных поддоменах могут находиться разные сервисы, например, почтовый клиент, ftp-клиент и так далее. Немаловажным фактором успешного аудита является сбор информации с сайта и поддоменов: электронные адреса и телефоны сотрудников, ссылки на GitHub, headhunter или иные сайты по подбору персонала, различные файлы, в числе которых могут быть важные и секретные, которые остались в открытом доступе из-за неправильных настроек сервера. Не стоит забывать и про структуру HTML кода, поскольку в нем могут содержаться говорящие названия выпускаемых продуктов, могут быть ссылки на другие адреса и так далее. Многое из этой информации может пригодиться для социальной инженерии, которая также часто применяется при проведении аудита. Социальная инженерия - это метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам. Пентестеры же используют этот метод на этапе разведки, чтобы втереться в доверие к сотрудникам, как действующим, так и бывшим, разузнать побольше о компании, выведать ее проблемные места.

Выделяют 2 вида разведки: активная и пассивная. Отличие состоит в том, что в случае пассивной разведки сайт не знает, что пентестер взаимодействует с ним, а в случае активной знает. Пассивную разведку также называют OSINT - разведка по открытым источникам. Как раз в этот вид разведки включат сбор информации в интернете, поиск ссылок на компанию, сотрудников и их github, определение стека технологий по вакансиям, размещенных на различных поисковых сайтах, поиск поддоменов и так далее. Для получения этой информации используется разное программное обеспечение. По словам сами пентестеров, главный инструмент разведки на этом этапе - google. Этот поисковик, как и многие другие имеет Dorks: возможности поиска определенных элементов среди всех сайтов. Рассмотрим самые безобиднее: логические операторы (Где живет Вася OR Петя), фразы в кавычках будут искаться дословно (“именно это я хочу найти”), можно убирать ненужные результаты выдачи при помощи знака минус (Кузьминов -ректор). В последнем случае нам будут выведены все результаты о Кузьминове, но не будет упоминаний ректора Высшей школы экономики. Есть и Dorks, которые помогают искать информацию о сайте, например, «site:example.com» выведет нам все поддомены сайта example.com, filetype: позволяет искать файлы определенных расширений, например pdf, doc и другие важные документы, которые могут быть в открытом доступе, inurl: позволяет нам искать определенные запросы в адресе сайта, например, запрос «inurl:"RootFolder=" Allitems "confidential" | "classified" | "passwords" | username» показывает нам уязвимые директории. Существует база наиболее популярных DORK [14]

Для разведки чаще всего используют Dorks «site:», «filetype:», «email “example.com”». они позволяют извлечь почти всю информацию из сайта: его поддомены, то есть все возможности, откуда можно попробовать атаковать сайт; позволяет получить все документы, электронные адреса компании. Очевидно, что у крупных компаний очень много электронных адресов, документов и поддоменов огромное количество, поэтому для сбора информации используют специальное программное обеспечение. Главным инструментом является FOCA. Это open-source программное обеспечение, которое использует Dorks вместо пользователя и выводит нужную ему информацию в удобном виде. Кроме того, FOCA позволяет скачивать любые документы, находящие в открытом доступе на сайте. У этой программы есть аналоги для поиска доменов, например, searchdns.netcraft.com, virustotal.com/#/home/search, community.riskiq.com/home. Эти сайты, как и FOCA, не позволяют определить ip адрес сайта, для этой цели используются другие аналоги. Наиболее популярным аналогом является сайт dnsdumpster.com. Он не только определяет все поддомены сайта, их расположение, но и определить их ip адрес, страну, где расположены сервера, хосты, карту сайта, его поддоменов. Это все позволяет составить картину о сайте, структуре компании. Стоит отметить, что использование FOCA и других программ переводит разведку из пассивной в активную категорию, поскольку происходит взаимодействие с сайтом. Для пассивной разведки стоит использовать веб-аналоги: google, shodan.io и другие. Активную разведку также называют этапом сканирования.

2.2 Сканирование

Этап сканирования включает в себя активный автоматизированный сбор информации. Пентестеры сканируют весь диапазон ip-сети предприятия, так как в этой сети могут быть домены, отличные от основного сайта, кроме того в ней могу находиться различные устройства интернета вещей, SKADA (программный пакет, предназначенный для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления), АСУ ТП и другие устройства. Чаще всего главной целью пентестеров является основной сайт. Для сбора информации с сайта используются либо специализированные расширения для браузеров google chrome/firefox, либо программы типа harvester, которые позволяют собирать информацию о всех email-адресах на сайте. Для получения информации о структуре сайта они пытаются понять, какие папки есть в директории сайта, так как при неправильной настройке доступа, у них будет возможность получить доступ к данным, которые там хранятся. Первым делом просматривается файл robots.txt. Этот файл есть у каждого сайта, так как в нем находится список директорий, которые не должны индексироваться поисковиками. То есть, если на сайте example.com в robots.txt прописано «Disallow: /admin.php», это что поисковик не будет выдавать «example.com/admin.php». Часть директорий в этом файле может быть открытой для просмотра, но закрытой для поисковиков. Это может произойти из-за неверного понимания принципа работы этого файла. Исследовав этот файл, пентестеры запускают программу для поиска директорий. Чаще всего это dirb/dirbuster. Принцип работы программы прост: используя заранее созданный словарь наиболее популярных названий директорий, файлов программа делает запрос к ним, если ответ отличается от «404 Not Found», то выводится информация о директории и код доступа к ней. Наиболее ценными являются ответы с кодом 200 - файл доступен, то есть его можно открыть. Наиболее частные же ответы - 403 (необходима авторизация), 302 (перенаправление на другую страницу). Очевидно, что из-за специфики работы программы, можно настроить обработчик страниц, который на все запросы будет выдавать код 200, а при открытии страницы будет писаться, что нет доступа, либо такой адрес не существует. В таком случае, либо пишут свои программы, способные обходить это, либо ищут вручную. Отдельная ценность данных программ в том, что они могут обнаружить .git архив расположенный в директории сайта. Если это произошло, то используя специальную программу (ссылка на двс риппер) можно скачать этот репозиторий и получить исходный код сайта.

После того, как получена почти вся необходимая информация, пентестеры запускают сканеры уязвимостей. Самые популярные - Acunetix и BurpSuit. Данные программы сканируют сайт, на предмет различных проблем, например, наличие XSS уязвимостей, наличие SQL-инъекций, передача паролей в незашифрованном виде, возможность украсть CSRF-токенов, проблемы с cookies и так далее. Кроме того, данные программы позволяют не только сканировать сайты, но и перехватывать запросы, адресованные к нему с компьютера пентестера, что позволяет изменять запросы налету, что помогает обойти различные ограничения. Многие сайты настраивают защиту только на Frontend, забываю про фильтрацию данных на Backend сайта, и такая функция позволяет использовать это. Например, если есть возможность загрузить файл, и можно загружать только изображения и фильтрация идет только по расширению, о при помощи этой особенности сканеров можно изменить расширение прямо во время отправки файла и изменить расширение фотографии на расширение своего файла, например php и исполнять свои команды на сервере. Еще один сканер, который так же применяется профессиональными командами, это Nessus, который является многофункциональным, и, порой, незаменимым его основные плюсы в том, что он сам составляет подробные отчеты об уязвимостях, найденных на сайте и не только на нем: Nessus может обнаружить в сети вирусы, червей, malware, различные бэкдоры, распознать botnet. Nessus поддерживает виртуализацию, работает на почти всех ОС: Windows, OS X, Linux, Solaris, FreeBSD, Cisco iOS, IBM iSeries, поддерживает любой тип баз данных: Oracle, SQL Server, MySQL, DB2, Informix/DRDA, PostgreSQL, MongoDB.

2.3 Эксплуатация

По результатам предыдущего этапа сканеры выдают отчет, о результатах проведенного сканирования. Наиболее полный отчет выдают сканеры Acunetix и Nessus: такие отчеты уже могут быть предоставлены клиенту, как результат проведения пентеста, однако это считается плохим результатом, поскольку часть ошибок сканер мог просто не увидеть. Из-за многообразия уязвимостей для разного программного обеспечения каждый случай эксплуатации стоит рассматривать отдельно. В приоритете для пентестеров получить RCE - remote code execution. Это самая критическая уязвимость, позволяющая выполнять произвольный код. К RCE можно прийти при помощи всех уязвимостей, которые были классифицированы в 1 главе в разделе OWASP. Однако часто бывает, что сканеры веб уязвимостей не находят никаких проблем. В этом случае пытаются пробовать эксплуатировать уязвимости сервисов, которые есть в веб-приложении. Часто компании не обновляют свои CMS (Wordpress), почтовые и ftp клиенты. У устаревших версий программного обеспечения есть уязвимости, которые можно обнаружить несколькими способами. Первый способ: проверить наличие на специальных сайтах, например, vulners.com/exploitdb.com. На этих сайтах находятся базы данных уязвимостей к различным версиям программного обеспечения, описания этих уязвимостей и иногда выложен PoC - Proof of concept, который показывает, как именно работает. Также там бывает выложен готовый модуль для Metasploit. Metasploit - программа-аналог сайтов, которые были указаны ранее. Она не только хранит список уязвимостей, но также имеет готовые модули для проведения атаки. В основном пентестеры и хакеры используют данный инструмент для проведения атаки на сервисы приложения. После проведения атаки и получения RCE, существует последняя задача - получение root доступа. Чаще всего приложения запускаются без прав суперпользователя, что ограничивает количество команды, доступное им. Для получения этих прав злоумышленники используют различные техники повышения привилегий. Техники различаются в зависимости от типа операционной системы и ее версии.

2.4 Анализ предыдущих исследований

Обычно в открытый доступ не выкладывают данные исследования, поскольку уязвимости быстро не закрываются + они могут содержать важную информацию, которая не должна быть доступна в открытом доступе. Несмотря на это, в специальном репозитории [15] собраны различные публичные отчеты о проведении аудита безопасности. В качестве образца будет использоваться отчет, сделанный компанией PricewaterhouseСoopers, поскольку это крупнейшая из представленных компаний, которая предоставляет услуги аудита.

В данном исследовании применена вся методология, которая была описана выше. Исследователи собирали информацию о компании, роде ее деятельности. Кроме того, были исследованы внутренние процессы компании, взаимоотношения сотрудников, их ролей. Были определены ключевые позиции. Это было сделано для социальной инженерии, при помощи которой пентестеры могли проникнуть в систему. Вся полученная информация использовалась для проведения теста на проникновение. На ее основании были составлены графики взаимодействия сотрудников между собой, чтобы наглядно продемонстрировать слабые места в безопасности. На основе собранных данных было проведено сканирование, в результате которого были найдены критические уязвимости, которые привели к исполнению произвольного кода и компрометации части системы. Все эти проблемы с безопасностью отражены в первой части отчета. Во второй части указаны конкретные рекомендации по исправлению ситуации.

ГЛАВА 3. ПРАКТИЧЕСКАЯ ЧАСТЬ

3.1 Разведка

Первым делом определим, диапазон ip-адрессов Высшей Школы Экономики. Этом можно сделать на специализированном сайте [16]:

Для получения дополнительной информации о компании можно воспользоваться утилитой whois [17], которая позволяет получить информацию о домене и его владельце [18]:

1. sergeykuzminov$ whois hse.ru

2. % IANA WHOIS server

3. % for more information on IANA, visit http://www.iana.org

4. % This query returned 1 object

5. refer: whois.tcinet.ru

6. domain: RU

7. organisation: Coordination Center for TLD RU

8. address: 8 Marta street 1, bld 12

9. address: Moscow 127083

10. address: Russian Federation

11. contact: administrative

12. name: .RU domain Administrative group

13. organisation: Coordination Center for TLD RU

14. address: 8 Marta street 1, bld 12

15. address: Moscow 127083

16. address: Russian Federation

17. phone: +7 495 730 29 71

18. fax-no: +7 495 730 29 68

19. e-mail: ru-adm@cctld.ru

20.

21. contact: technical

22. name: Technical Center of Internet

23. organisation: Technical Center of Internet

24. address: 8 Marta street 1, bld 12

25. address: Moscow 127083

26. address: Russian Federation

27. phone: +7 495 730 29 69

28. fax-no: +7 495 730 29 68

29. e-mail: ru-tech@tcinet.ru

30. whois: whois.tcinet.ru

31. status: ACTIVE

32. remarks: Registration information: http://www.cctld.ru/en

33. created: 1994-04-07

34. changed: 2018-09-24

35. source: IANA

36. % By submitting a query to RIPN's Whois Service

37. % you agree to abide by the following terms of use:

38. % http://www.ripn.net/about/servpol.html#3.2 (in Russian)

39. % http://www.ripn.net/about/en/servpol.html#3.2 (in English).

40. domain: HSE.RU

41. nserver: mx1.hse.ru. 92.242.59.113

42. nserver: mx.hse.ru. 92.242.58.5

43. nserver: ns1.plusinfo.ru.

44. nserver: ns2.plusinfo.ru.

45. state: REGISTERED, DELEGATED, VERIFIED

46. org: National Research University Higher School of Economics

47. registrar: RU-CENTER-RU

48. admin-contact: https://www.nic.ru/whois

49. created: 1997-08-18T19:30:32Z

50. paid-till: 2019-08-31T21:00:00Z

51. free-date: 2019-10-02

52. source: TCI

Самое главное, что мы узнали, это главный ip-адрес (212.8.235.7) и диапазон ip-адресов, зарезервированных для Высшей Школы Экономики. Рассмотрим другую информацию о вузе. Например, о стеке технологий, которые используются. Судя по вакансиям Back-end и Front-end разработчиков, в Front-end'e используются PHP, Java-script, Node.js, Angular.js, Ajax, jQuery [19]. В качестве back-end'a MySQL и No-SQL, python, java-script, Cython, R, C [20]; Данные знания могли бы помочь при проведении профессионального пентеста, так как зная стек технологий, можно предположить, какие есть уязвимости. В нашем же исследовании это не будет использоваться, но, тем не менее, необходимо включать это в отчет. Определим поддомены при помощи специального сайта [21]. Как было описано в главе 2, сайты используются для пассивного сканирование, поскольку чем меньше взаимодействий с системой со стороны взломщика, тем меньше шансов, что его обнаружат. Список поддоменов с ip-адресами и будет являться списком тех сервисов, в которых будут искаться уязвимости:

Hostname	IP Address
mooc.hse.ru	92.242.58.168
ruz-old.hse.ru	92.242.59.253
online.hse.ru	92.242.58.216
kavtaradze.hse.ru	185.165.123.206
www.kavtaradze.hse.ru	185.165.123.206
alumni.hse.ru	212.8.235.7
lk.hse.ru	92.246.150.136
skpk.hse.ru	82.179.218.19
ischool.hse.ru	92.242.59.168
miem.hse.ru	212.8.235.7
mail-miem.hse.ru	92.242.57.7
edu.ikm.hse.ru	193.106.92.33
bb1.edu.ikm.hse.ru	193.106.92.33
www.edu.ikm.hse.ru	193.106.92.33
design.hse.ru	92.242.57.81
portfolio.hse.ru	92.242.57.81
dev2.hse.ru	92.242.58.182
ws1.hse.ru	92.242.59.164
mailperm.hse.ru	178.161.140.5
wwsss17.hse.ru	95.161.151.28
socinfo2018.hse.ru	95.161.151.28
asavfilial.hse.ru	92.242.58.163
atd-lab.ioe.hse.ru	92.242.58.235
avlync.hse.ru	92.242.58.47
belab.hse.ru	92.242.59.63
bpm.hse.ru	92.242.58.205
confhall.hse.ru	92.242.59.209
cp2.hse.ru	92.242.58.12
crm.hse.ru	92.242.58.133
disk.hse.ru	92.242.59.91
distant-irec.hse.ru	92.242.59.166
do.hse.ru	92.242.59.206
events-files-bpm.hse.ru	92.242.59.244
exchange.hse.ru	92.242.58.10
album.hse.ru	92.242.58.80
hsbi.hse.ru	90.156.201.73
d3.hse.ru	92.242.59.144
ecsocman.hse.ru	92.242.59.144
kc.hse.ru	91.201.52.218
icef-info-tech.hse.ru	92.242.58.232
icef-pdc.hse.ru	92.242.58.184
icinga.hse.ru	92.242.58.153
icinga2.hse.ru	92.242.58.155
intconf.hse.ru	92.242.59.214
ipips.ioe.hse.ru	92.242.58.234
fintech.inc.hse.ru	212.24.33.71
new.inc.hse.ru	212.24.33.71
itclubhse.hse.ru	92.242.58.142
knowledgebase.hse.ru	92.242.59.183
www.kc.hse.ru	91.201.52.194
social.alumni.hse.ru	92.242.59.189
www.social.alumni.hse.ru	92.242.59.189
lmsstand.hse.ru	92.242.59.227
lync2013-1.hse.ru	92.242.58.48
mail2.hse.ru	92.242.59.116
www.mail2.hse.ru	92.242.59.116
me.hse.ru	92.242.58.202
icef-info.hse.ru	92.242.58.169
mief.hse.ru	92.242.59.208
icef-alumni.hse.ru	92.242.59.208
mlk.hse.ru	92.242.58.132
www.moda.hse.ru	92.242.58.203
app-ek.hse.ru	92.242.58.203
forum.hse.ru	92.242.58.203
ms-frontend.hse.ru	92.242.58.6
ms-frontend1.hse.ru	92.242.58.7
ms-frontend2.hse.ru	92.242.58.8
ms-frontend3.hse.ru	92.242.58.9
msdn.hse.ru	92.242.59.171
mx1.hse.ru	92.242.59.113
olymp5.hse.ru	92.242.59.141
olymp6.hse.ru	92.242.59.141
olymp7.hse.ru	92.242.59.141
olymp8.hse.ru	92.242.59.141
priem.hse.ru	92.242.59.141
wifi.mief.hse.ru	92.242.59.195
myfiles.mief.hse.ru	92.242.59.195
newdesign.ipamm.hse.ru	92.242.59.207
award.inc.hse.ru	212.24.33.70
zhp.inc.hse.ru	212.24.33.70
13k.inc.hse.ru	212.24.33.79
14k.inc.hse.ru	212.24.33.79
sun.inc.hse.ru	212.24.33.79
inc.hse.ru	212.24.33.80
umnik.inc.hse.ru	212.24.33.80
cmd-journal.hse.ru	92.242.58.196
opac.hse.ru	92.242.58.226
photobank.hse.ru	92.242.59.156
calendar.perm.hse.ru	178.161.140.13
distant.perm.hse.ru	178.161.140.13
priem1.hse.ru	92.242.59.136
olymp1.hse.ru	92.242.59.136
priem2.hse.ru	92.242.59.137
olymp2.hse.ru	92.242.59.137
priem3.hse.ru	92.242.59.138
olymp3.hse.ru	92.242.59.138
priem4.hse.ru	92.242.59.139
olymp4.hse.ru	92.242.59.139
rd.hse.ru	92.242.59.174
repec.hse.ru	92.242.59.222
rowe.ioe.hse.ru	92.242.59.241
ruz2018.hse.ru	92.242.58.221
sg.hse.ru	92.242.59.219
share.hse.ru	92.242.59.223
siplync.hse.ru	92.242.58.45
solo.hse.ru	92.242.59.197
statdoc.hse.ru	92.242.59.205
mba.hse.ru	195.208.1.104
test-online.hse.ru	92.242.58.207
testbpm.hse.ru	92.242.58.197
testlk.hse.ru	92.242.58.236
trueconf.hse.ru	92.242.59.94
vacademia.hse.ru	92.242.59.58
video.hse.ru	92.242.59.153
wclync.hse.ru	92.242.58.46
workspace.hse.ru	92.242.59.198
ws2.hse.ru	92.242.58.176
ws3.hse.ru	92.242.58.177
wst1.hse.ru	92.242.58.179
zeus2.hse.ru	92.242.58.173

Стоит отметить следующие найденные поддомены:

· mail.hse.ru

· mail2.hse.ru,

· ftp.hse.ru,

· mantis.hse.ru,

· opac.hse.ru

· dev2.hse.ru,

Мы обратили внимание на эти поддомены, так как в них есть ключевые слова, которые могут указывать на то, что данный поддомен отвечает за важную часть инфраструктуры сайта. Например, поддомен ftp.hse.ru может отвечать за передачу данных по протоколу ftp, поддомен mail.hse.ru может отвечать за почтовый клиент и так далее. Данные разделы системы обладают наиболее критичными данными, поэтому в первую очередь будет проверяться безопасность данных точек входа. Из-за критической информации, которая находится на этих поддоменах, можно сказать, что если есть уязвимости в них, то нет смысла искать их в других, менее значимых разделах системы. В рамках данного исследования мы будем рассматривать каждый из данных поддоменов и выявлять все проблемы в разделе безопасности.

3.2 Поиск уязвимостей

Поддомен mail.hse.ru перенаправляет на mail2.hse.ru. Как можно предположить из названия, на данном поддомене находится почтовый сервер организации. Открыв исходный код страницы, можно увидеть, что версия почтового сервера ранее 2006 года:

Благодаря базе данных известных уязвимостей [22], в которую загружается вся информация о программном обеспечении, содержащие разного рода уязвимости, можно определить, что наша версия почтового клиента имеет 2 критические уязвимости: XSS [23] и возможность RCE [24]. Поскольку данные уязвимости являются критичными, а вторая позволяет получить полный контроль над системой, то нет смысла искать на данных поддоменах что-либо другое.

Поддомен ftp.hse.ru является поддоменом для передачи файлов по протоколу FTP [25]. Существует несколько сервисов для реализации данного протокола, Высшая Школа Экономики использует FreeNAS - открытое программное обеспечение. Из проблем с безопасностью, которые можно отметить, есть две критические. Во-первых, передача данных осуществляется по протоколу http, а не https, что ведет к угрозе атаки «человек посередине» [26]. Другая проблема связана с устаревшей версией FreeNAS. Если обратиться к базе данных уязвимостей, то можно найти две критические уязвимости [27] [28] в данном программном обеспечении. Для решения этих проблем, необходимо обновление сервиса до актуальной версии и установка SSL-сертификата [29].

Поддомен mantis.hse.ru - один из ключевых поддоменов. На нем располагается багтрекер. При помощи данного сервиса собираются все слабые места в работе инфраструктуры, неточности работы, мелкие недочеты. При получении доступа к багтрекету, злоумышленник получит огромное количество полезной информации, необходимой для проведения успешной атаки. В отличие от ftp.hse.ru, обмен данными идет по защищенному протоколу, кроме того, сайт не выдает никакой информации о версии сервиса., поэтому сложно предположить, какая версия сервиса используется. В ходе написания курсовой работы прошлого года была определена версия сервиса, поскольку защита была хуже. Сайт в футере выдавал следующую надпись «Copyright © 2000 - 2011 MantisBT Group». Если посмотреть в базе данных уязвимостей все возможные для данной версии приложения, то можно найти критическую уязвимость [30], благодаря которой можно украсть данные для входа и получить доступ к сервису. В описание проблемы также указано, как эксплуатировать данную уязвимость. Можно предположить, что версия багтрекера не была обновлена, поскольку остальные сервисы Высшей Школы Экономики используют устаревшие версии программного обеспечения.

На поддомене opac.hse.ru расположена электронная библиотека университета. В большинстве случаев, на таких ресурсах можно найти либо XSS уязвимость, либо SQL-injection, которые являются критичными. Из-за них у злоумышленника появляется возможность красть данные не только обычных пользователей, но и администраторов, что даст доступ в систему. В ходе прошлогоднего исследования была найдена XSS уязвимость на данном поддомене:

Информация была передана ДИТу и они ее попытались исправить: при написание тега <script>, он удаляется. К сожалению, это плохой способ избавления от XSS уязвимостей, поскольку он не решает проблему, а только затрудняет ее поиск. Запрос вида <scr<script>ipt>alert(`xss')</scr</script>ipt> будет валидным и будет вызывать срабатывание уязвимости:

Кроме того, общение клиента с сервером идет по протоколу http, а не https, что может стать причиной атаки «человек посередине», которая упоминалась в исследовании ранее. Если провести сканирование директорий (сканирование проводилось программой dirb [31]), то можно обнаружить следующие директории и файлы:

Наиболее важный файл - phpinfo.php, Данная файл является конфигурационным и содержит полную информацию о системе и версии языка php, на которой написан сервис. Поскольку он полностью выдает весь стек используемых технологий, версию и операционную систему сервера, и другое большое количество чувствительной информации. Данная проблема по классификации OWASP попадает в раздел misconfiguration, поскольку такой чувствительный файл, необходимый только для разработчиков оказался в свободном доступе.

Последний важный поддомен - dev2.hse.ru. Разумно предположить, что он посвящен разработке систем. Получив доступ к нему, злоумышленник может получить полную информацию о состоянии системы, получить исходные коды всех приложений, что позволит ему в итоге получить полный контроль над всей системой. Порталы для разработчиков являются чуть ли не главной целью злоумышленников, поэтому защита данных порталов должна быть на высоком уровне, ведь утечка данных с него несет огромные риски для предприятия. При попытки открыть сайт требуется браузерная аутентификация:

При отказе от авторизации, показывается информация о сервере:

«Apache/1.3.42 Server at dev2.hse.ru Port 80». Версия сервера очень сильно устарела, поскольку текущая версия: 2.4.33. Обратившись к базе данных уязвимостей [32], можно увидеть большой список уязвимостей:

3.3 Рекомендации по улучшению безопасности

Согласно нашему исследованию, главная проблема безопасности Высшей Школы экономики - использование устаревшего программного обеспечения. Это очень частая проблема в компаниях, так как обновление систем требует большого количества денег. Кроме того, часть программного обеспечения требует время для переобучения, так как может кардинально отличаться. Несмотря на эти недостатки, с точки зрения информационной безопасности, необходимо обновиться до последних версий соответствующего программного обеспечения или перейти на аналоги сервисов.

Наиболее часто встречающаяся уязвимость - XSS [32]. Проэксплуатировав ее, атакующий может делать следующие вещи:

· Маскироваться под пользователя

· Считывать любые действия пользователя и изменять их

· Читать любую информацию, к которой имеет доступ пользователь

· Узнавать логин и пароль жертвы

· Встраивать майнеры

· Исполнять свой код от имени жертвы

<...