Отзывы о банках


InfoBank.by – Все банки Беларуси  >  Взламываем банк, или Один день из жизни пентестера

Взламываем банк, или Один день из жизни пентестера

Размер шрифта:    Уменьшить шрифт  Восстановить исходный рзмер  Увеличить шрифт 
1561

Профессиональные «взломщики» банков тестируют возможные действия злоумышленников
Фото: Fotolia/Sergey

О том, что банки периодически взламывают злоумышленники, известно давно. Но как именно это происходит? Чтобы узнать это, мы обратились к специалисту по информационной безопасности, в чьи задачи входит, в частности, взлом банковских систем для выявления уязвимостей. Итак, попробуем взломать банк вместе...

Взлом для борьбы со взломщиками

Тестирование на проникновение (пентестинг) — это, по сути, моделирование действий злоумышленника с целью получения несанкционированного доступа к объекту тестирования.

Сегодня мы займемся проектом по пентестингу для банка evilBank, проведя основные манипуляции «в прямом эфире». Если вы не так много знали о том, как происходит тестирование на проникновение, мы расскажем, чем занимаются банковские пентестеры на практике, описав один условный рабочий день «этичного» хакера. Все схемы и находки взяты из реальных проектов по тестированию на проникновение.

Начало

Итак, приступим. Для начала попытаемся понять, что мы знаем о ресурсах компании. Пока ничего. Система для нас представляет своего рода черный ящик. Пришло время это исправить. Первым делом идем в банк, открываем счет и подключаем ДБО. Готово!

Теперь осмотримся вокруг на предмет доступных для изучения и анализа ресурсов банка. Здесь сразу интересна сама система ДБО. Далее, для поиска других ресурсов, смотрим, какие еще поддомены прописаны для evilbank.com. Так, после перебора порядка 100 тысяч разных популярных и не очень имен находим интересный поддомен — admin.evilbank.com. Оказывается, что система ДБО построена на популярной программной платформе, которая, конечно, обладает собственным административным интерфейсом.

Попробовав наугад пару логин/пароль, мы попадаем внутрь — быстрые взломы до сих пор не редкость. Сочетание двух простых конфигурационных ошибок (простой пароль и административный интерфейс, доступный из Интернета) дает возможность выполнить произвольный код на сервере ДБО. Дело в том, что разработчиками платформы была предусмотрена возможность выполнения различных команд и скриптов в контексте операционной системы. Так мы получаем доступ к банковской сети.

Теперь, когда мы собираемся атаковать инфраструктуру банка, нам понадобятся учетные записи его сотрудников. Для их получения воспользуемся таким классическим методом, как фишинг. Чтобы реализовать подобную схему, нам потребуется зарегистрировать домен, похожий на оригинал, а именно — ev1lbank.com.

Далее необходимо выбрать цели для атаки. Обычно социальные сети (такие как Linkedin или «ВКонтакте») предоставляют огромные возможности для сбора информации о пользователях компаний. Так, например, легко можно узнать, кто работает в определенной организации, найти рабочие почтовые адреса и должности потенциальных жертв. Когда мы обнаружили адреса для рассылки, имеет смысл подготовить несколько таргетированных сценариев фишинга. Довольно популярными схемами до сих пор являются сообщения от известного сообщества в соцсетях с вредоносным контентом или различные предложения от любимых жертвой сервисов. После того как мы успешно проводим фишинговую атаку, в нашем распоряжении оказываются несколько учетных записей.

Проникновение

Пришло время пробираться внутрь сети. Для этого воспользуемся административным интерфейсом, к которому у нас уже есть доступ. Получив его, мы, скорее всего, окажемся в DMZ-зоне (демилитаризованная зона), в которой в принципе не должно быть обычных пользователей. Однако все равно имеет смысл осмотреться на предмет того, какие «машины» присутствуют в доступном нам сегменте. Нам повезло! Оказывается, в банке никто не задумывался о какой бы то ни было сегментации, поэтому мы можем попробовать атаковать Windows-пользователей.

Также параллельно мы запускаем сканирование доступных сетевых ресурсов. Это действие также дает нам неплохой улов: несколько машин с SSH (протокол удаленного управления), FTP-сервер, веб-интерфейс системы мониторинга, несколько баз данных, какой-то веб-портал, криптосервис, а также несколько Windows-компьютеров со специфичными портами вроде RDP (Remote Desktop Protocol — протокол удаленного рабочего стола) и SMB (Server Message Block — сетевой протокол, служащий для удаленного доступа к файлам, принтерам и т. п.).

А теперь проверим, что там с протоколом Netbios. Ага, отлично: нашлась пара учетных записей, состоящих из логина и хеша пароля (код, вычисляемый из пароля, из которого нельзя восстановить пароль, но который можно подобрать путем перебора. — Прим. ред.). Ставим хеши паролей на словарный перебор, поскольку с высокой вероятностью пароли не будут слишком сложными и перебор не займет много времени.

Пока выполняется перебор, займемся сервисами. Первым делом стоит повнимательнее взглянуть на обнаруженный нами Apache tomcat. Данный веб-сервер позволяет загружать на него Java-приложения в виде War-файлов и выполнять их в реальном времени. Проэксплуатировав такую особенность, мы можем выполнить произвольный код на данном сервере, если эта возможность не отключена. И мы видим, что возможность есть. Благодаря ей мы получили доступ еще к Linux-серверу с правами веб-сервера. Этого достаточно, чтобы получить пароли для подсоединения к базам данных.

Другое интересное поле — криптографический сервис. Недолгие поиски в Интернете приводят нас к демоверсии данного приложения. Заодно мы понимаем, что оно используется системой ДБО для подписи платежных сообщений.

Что же, отличная цель. После того как мы развернули сервис, быстро понимаем, что при его создании полностью игнорировались правила безопасной разработки. Так, уязвимость переполнения буфера была найдена в функции обработки одного из сообщений от клиента сервиса. В итоге был написан эксплоит, позволяющий выполнять произвольный код на криптосервисе.

Существуют два основных вектора эксплуатации данного сервиса:

1. Мы можем заставить криптосервис подписывать любые платежи, которые мы ему отправим.
2. Мы можем использовать криптосервис для эскалации атаки вглубь сети.
Попробуем подключиться к FTP-серверу. Нам снова везет: на нем забыли настроить какую бы то ни было аутентификацию. Итак, что же интересного можно найти? Различные логи (причем достаточно свежие), включая логи пользовательских операций в ДБО, выгрузки информации о пользователях (включая данные карт) и т. д. Бережно собираем все находки и анализируем логи на предмет строк подключения к базам данных и другой ценной информации вроде паролей.

Получив некоторое количество логинов и паролей из файлов с FTP-сервера, пробуем найти учетные записи для подключения к другим узлам в сети. Перебор нескольких записей позволяет нам подключиться к одному из хостов с правами пользователя и доступом ко всем его файлам.

Кроме того, мы пробуем найденные учетные записи для доступа к Windows-компьютерам, но, к сожалению, ничего не выходит. И это наталкивает нас на мысль, что нужно проверить, не нашлись ли пароли от учетных записей, собранных в процессе атаки на Windows-пользователей.

Как и следовало ожидать, большинство паролей было подобрано успешно, поскольку многие из них попросту не менялись никогда и выглядели шаблонно (например, время года + год).

Используя эти учетные записи, мы подключаемся к нескольким Windows-машинам. На них стоят антивирусы, поэтому утилиты, позволяющие «вытаскивать» из памяти пароли и прочую аутентифицирующую информацию «из коробки», работать не будут. Но это не проблема, поскольку существует большое количество различных способов их обхода. Для простоты берем классический инструмент Procdump из пакета утилит Sysinternals и делаем «снимок» памяти процесса, отвечающего за авторизацию и хранящего в памяти данные обо всех подключавшихся пользователях. Повторяем эту операцию на всех доступных машинах. Когда у нас набралось несколько таких «снимков», мы локально анализируем их, получаем хеши паролей и отправляем их на перебор.

Пока хеши перебираются, посмотрим еще немного на Windows-сегмент. В частности, попробуем подключиться к различным разделяемым ресурсам, воспользовавшись обнаруженными учетными записями. Как известно, разделяемые ресурсы — кладезь различной информации. Мы обнаруживаем базу данных приложения для хранения паролей KeePass. После ее расшифровки мы получили пароли от большинства внутренних систем, а также парочку интересных файлов, включая защищенный архив с разными полезными данными и пароль от архива в папке рядом.

Пока мы занимались такими увлекательными делами, наши пароли, собранные с Windows-машин, были подобраны успешно почти для всех пользователей. Что неудивительно. В итоге, проведя несколько итераций подключения к машинам под разными пользователями и сбор «снимков» памяти, мы в конечном итоге добрались до машины, на которую заходил доменный администратор. Несложно догадаться, что так мы получаем доступ к контроллеру домена. А это, по сути, конец пентеста. Обладая правами доменного администратора, мы можем подключаться к разделяемым ресурсам, удаленным рабочим столам или даже попытаться выкачать всю почту с Exchange-сервера.

Итог

Как мы видим, большое количество реально работающих атак завязано на человеческом факторе. Сюда можно отнести как различные ошибки конфигурирования сетей и сервисов, какие-то забытые и уже неиспользуемые ресурсы, так и подверженность людей социальной инженерии. При этом не стоит забывать и про уязвимости в программных продуктах. Ситуация с безопасностью даже в известных банках продолжает удивлять и расстраивать.

Несмотря на известные всем меры безопасности и работу специалистов, простые правила защиты по-прежнему игнорируются. И результатом работы пентестеров в подавляющем большинстве случаев является взлом банковских систем. Стоит задуматься о том, что квалификация злоумышленников порой не уступает профессионализму «этичных» хакеров, и они не ограничены при этом рамками договора.

Тем не менее в качестве профилактики можно посоветовать своевременное обновление ПО, регулярные аудиты собственных ресурсов и, конечно, повышение уровня осведомленности сотрудников.


Источник: banki.ru

Понравилось? Отправь друзьям!


Оставить комментарий
  
Комментариев нет
Смотрите также

Наши сервисы:
Только в этом разделе — самые актуальные и выгодные курсы покупки и продажи доллара, евро и российского рубля, а также — наиболее распространенных цветных валют. Теперь вам не нужно искать обменники на карте или в интернете. Для вашего удобства анимированная карта встроена в наш раздел. Но и это еще не все — в разделе вы легко найдете  кросс - курсы обмена валют, курсы обмена по карточкам, курсы валют от Нацбанка и несколько простейших графиков, чтобы отследить изменения на валютном рынке.
Накопили определенную сумму в белорусских рублях или долларах? Сомневаетесь, в какой банк ее отнести, чтобы получить наилучший процент? Подозреваете, что процентный доход в вашем банке не самый лучший? Тогда наш калькулятор создан для вас. Просто введите вашу сумму, валюту вклада и срок, на который хотите разместить средства, наше приложение само подберет вам лучшие депозиты во всех банках Беларуси. Вам останется только пойти в банк.
Нужен кредит? Не знаете, какой банк выбрать? Кредитный калькулятор поможет в любой ситуации. Вам нужно просто ввести сумму, которую вы хотите взять, назвать срок кредитования и время, за которое вы хотите получить кредит.  Наш калькулятор выберет для вас самую НИЗКУЮ ставку, рассчитает график платежей, перечислит особенности, на которые стоит обратить внимание. И, конечно же, произведет расчет переплаты и полной процентной ставки.  С Кредитным калькулятором от Infobank.by брать кредиты стало выгоднее!
Никто не хочет потерять сбережения на очередной девальвации! Но что делать, когда доходность рублевых депозитов выше, чем долларовых? Ответ прост — держать деньги на вкладе в белорусских рублях, а когда курс доллара начнет расти, перевести вклад в валюту. Когда же это сделать? Чтобы ответить на этот вопрос, мы создали Калькулятор валютных рисков рублевого вклада. Он проводит сравнение доходности по рублевому и валютному вкладу, а также — анализирует динамику вашего дохода в зависимости от изменения курса доллара! 
Когда нас обижают хулиганы, мы пишем заявление в милицию? А что делать, если обидел банк? Как достучаться до его руководства в Минске, если вы живете в небольшом белорусском городке? Ведь банк большой, клиентов у него много и услышать ваш крик о помощи  или вашу жалобу руководитель банка просто не сможет. Выскажите свое мнение в нашем разделе «Отзывы о банках». Подробно опишите, где и когда вы столкнулись с трудностями, поставьте оценку банку (не стесняйтесь!) и ждите реакции. Она обязательно будет! А может быть, вы хотите похвалить банк или его сотрудников, тогда вам снова в наши «Отзывы»!!!
Депозиты приносят существенный доход их владельцам, а также помогают сберечь деньги от посторонних глаз. Но, согласитесь, не всегда есть время, чтобы зайти в банк и снять нужную сумму, если она вдруг понадобится. К тому же, по депозитам, чаще всего, предусмотрено понижение процентного дохода в случае досрочного снятия части средств. Обидно? Конечно! Но к счастью банки предлагают сберегательные карточки, проценты по которым практически не уступают ставке по  депозитам, а деньги доступны 24 часа 7 дней в неделю. Выбрать сберегательную карточку вам поможет наш уникальный сервис.
 
Банки, как и люди, очень по-разному относятся к новым клиентам. Если вы решили оформить депозит или карточку, перевести деньги родным, оплатить коммунальные платежи в незнакомом банке, вам не нужно «покупать кота в мешке». Достаточно заглянуть на страницы проекта «Потребительский опыт», и узнать, чего же стоит ожидать от сотрудников того или иного банка. Наши корреспонденты уже проникли во многие банковские отделения и делятся с вами своими впечатлениями…
 


сундук