Безопасность windows систем или недоучки на выезде.

Discussion in 'Безопасность и Анонимность' started by avonar, 22 May 2015.

  1. avonar

    avonar Member

    Joined:
    19 May 2008
    Messages:
    21
    Likes Received:
    13
    Reputations:
    15
    Безопасность windows систем или недоучки на выезде. Пост для конкурса.

    Сегодня я хочу рассказать вам о костыльном способе организации безопасности windows в корпоративной среде и поделиться парочкой своих наблюдений.
    "Зеленым" этот пост вряд ли будет интересен, потому что здесь не будет какой-то глубокой проработки методик атаки и защиты, а будут банальные рекомендации + способ реализации.

    Банальные рекомендации, которые должен усвоить сисадмин с молоком матери:
    1)используйте сложные пароли, используйте разные пароли.
    2)Всегда делайте бекапы и храните их отдельно. Отдельно, в другом здании, в другом городе, в другой стране. Чем дальше, тем выше шанс, их сохранить. Вы можете разнести их в разные комнаты, досконально продумать и оптимизировать систему бекапа, но вам только посочувствуют, когда их уничтожит пожар.

    Не верь никому.
    Все знают, что нельзя пользователей делать локальными администраторами. Тем не менее иногда это приходится делать и упаси боже, если администратор зайдет по удаленке к этому компьютеру или просто локально залогинится.
    Дело тут вот в чем:
    1) Винда хранит пароли последних сессий в файлике и, если этот файлик достать, можно будет узнать пароль, залогиненого юзера.
    2) Винда хранит пароли в оперативной памяти, в СЮРПРИЗ незашифрованном виде.
    Это все дело можно вытащить с помощью отличной утилиты mimikatz.

    К счастью, есть один способ относительно безопасного управления таким компьютером:
    DameWare - утилита для удаленного управления помогает авторизоваться по доменной учетной записи, не насрав при этом в память пролями.

    Существует несколько радикальный способ обойти доменные и антивирусные проблемы:
    Была у меня одна организация, в которой все было организовано приблизительно следующим образом:
    Был базовый образ с виндой, он разливался на все компьютеры компании. Компьютеров было очень много и разных, в том числе поэтому, они не были в домене. Для централизованного управления, была самописная утилита, которая автоматически выполняла необходимые действия на всех компьютерах, с несколько расширенными возможностями. Впрочем, управлять компьютерами приходилось редко, и вот почему:

    Думаю ни для кого, особенно в нашей стране, не удивительно, что зачастую старое оборудование начинают использовать в качестве тонких клиентов.
    Замечательность этого подхода базируется на том, что локальные компьютеры вам нафиг не нужны(в большинстве).
    И вы можете защитить их замечательной утилитой shadow defender. Суть такая, что оно фиксирует все изменения на жестком диске компьютера и откатывает их при следующей загрузке. Этот день сурка позволяет избежать большого количества неприятных ситуаций,
    а нормальная антивирусная защита, с нормально настроенным фаерволом, позволит избежать неприятных ситуаций на терминальном сервере.


    Касательно корпоративной безопасности и безопасности видноус вообще, очень хочу поделиться своими мыслями:
    Teamwiever.
    В некотором смысле опасная штука.
    С недавнего времени, туда запилили поиск ближайших контактов и устройств. Т.к. обычно тимвьюивер стоит именно на компьютере администратора, а самым сладким для злоумышленника является компрометация компьютера админа\сетевого админа, следуюет всегда руками вводить пароль при подключении. Вас могут скомпрометириовать через имейл или похожим образом.
    Злоумышленник так же может получить точное количество компьютеров с тимвьювером в сети, благодаря этой функции. Безумно интересно, кстати, зачем ее запилили. Мне кажется, для определения коммерчское ли использование у вас и, если коммерческое, поиметь с вас деньжат, но это мои умозаключения, мало имеющие отношение к реальности.

    HTTPS.
    Если вы зашли на какой-то сайт и подконнектились по HTTPS, не спешите радоваться. Во-первых, обращайте внимание на желтый треугольник рядом с адресом сайта, существует риск просроченного сертификата, конечно. Но не исключено, что вам действительно подменили сертификат, серьезно,даже керио умеет это делать без проблем.
    HTTPS НЕ шифрует весь траффик, если вы зашли на сайт и на нем находятся девочки анимешки с другого сайта, то вас без проблем могут спалить за просмотром девочек анимешек, тоже касается каких-то фреймов, вы понимаете о чем я.

    VPN.
    Не каждый впн такой уж впн. Обращайте внимание на то, шифруется ли ваше соединение, хотя если вы знаете по какой причине вам понадобилось его шифровать, то скорее всего вам не стоит объяснять этот пункт и рассказывать чем отличается GRE от IPSEC.
    Тем не менее, стоит быть осторжнее с его повсеместным примением. Если вы открыли админку на IP адрес вашего впн, то любой кто купит его сможет долбиться на ваш сервер, при определенных условиях, возможно получить контроль над вашим сервером, вы понимаете.
    WI-FI.
    Если вы используете, эту замечаительную технологию, не забывайте отключать SSID, отключать доступ до важных элементов сети через вафлю, и обязательно отключайте WPS. Помните, что опытныму нарушителю будет смешно смотреть на ваши, "скрытые сети", "фильтрации по мак", "пароль".
    Если вы поставили вайфай, то вы поставили хрупкую деревянную дверку, которую может открыть верзила с тпором(БРУТ ключа) и домушник отверткой со скрекой(wps, sniff).
    По этой причине используйте длинные пароли, символов 12 и лучше, если не будут автоматически сгенерированы.
    Теоретически, можно перехватить так называемое "рукопожатие", когда пароль передается в открытом или хешированном виде и тогда вас уже не спасет ничего. Ничего кроме запрета рандомным клиентам wi-fi на доступ ко ключевым корпоративным ресурсам.

    БАНК.
    Если вы хотите использовать какой-то ПК под банк клиент или работу с банками вообще то вы не должны брезговать типичными правилами:
    1)Не использовать этот ПК для любых других целей не связанных с банками.
    2)Не забывайте указывать свой IP адрес как единственный, с которого может осуществляться взаимодействие, используйте рутокены.
    3)Для очень многих задач, на самом деле, существуют узкие утилиты, например, у kaspersky`ого есть возможность безопасных платежей.
    Советую смотреть в эту сторону.

    В обычной ситуации с ненаправленной атакой, мне кажется, хватит касперского в качестве антивруса, серьезно, не стоит его недооценивать. Хотя переоценивать тоже не стоит, поэтому я бы иногда поглядывал на сетевой траффик с этого ПК, основная опасность это утечка информации и удаленный контроль. Ну и заблокировал бы все, что не нужно, даже с помощью виндового фаерволла, и четко бы знал, что если заблокированный траффик появился в сети, то стоит обратить на него внимание.
    Огорчающий факт: компьютеры, которые мне встерчались и работаюли с банками,были самыми менее защищенными, в них открыто все что можно, лиж бы все работало. Я верю, где-то это организовано не так, но таких я пока не встречал, а хотел бы.
    И да, мой первый пост.
    -----------------------------------------------------------------------------------------------------------
    Господа, я решил немножко добавить про сети, тема топика windows, но я буду рассказывать только про access уровень(уровень доступа), так что всё честно. Расскажу про несколько атак и как от них защититься.

    Самая главная атака, которую пробуют всегда и везде и, если я правильно понимаю, с которой начинают:
    Arp-spoofing. Эта атака разновидность Man In The Middle. Использует недостаток arp протокола, про него можно прочитать в Вики. Недостаток заключается в том, что не существует никаких проверок реальности ARP ответов, более того, если внезапно на устройство приходит arp ответ, то arp таблица будет обновлена.
    От атаки можно защититься более подробно здесь.

    Если вы читали сети для самых маленьких, и знаете как работает свитч, это хорошо.
    Дело в том, что свитч в памяти хранит mac адреса которые висят на интерфейсах. Если пакет на неизвестный мак, то свитч отправляет его на все порты, запоминает его и затем пользуется только этим портом для мака из памяти. Если зафлудить свитч, то он будет работать как хаб, т.е. каждый новый пакет будет уходить на все порты. Таким способом можно слушать пакеты, которые вам не предназначены, не перехватывая их. Данная атака пресекается ограничением маков на один порт.

    CDP.
    Однажды я на собеседовании пытался объяснить человеку, что cdp нужно отключать, если его использование не планируется. Этот человек только посмеялся надо мной и, наверное, оставил cdp включенным везде, в том числе на внешку. Не очень понимаю почему некоторые люди не стисняются показывать оборудование, которое они используют. На работу меня так и не взяли, оно и к лучшему. Проблема же заключается не только в том, что мы показывает оборудование и даем возможность подготовить атаку на конкретно нашу версию IOS(кстати, руководства по безопасности требуют отключения по этой же причине). Пакеты, которые приходят с CDP устройство обрабатывает своими самыми умными мозгами, поэтому флуд может привести к отказу на обслуживание.

    DTP.
    на старых коммутаторах по умолчанию включен DTP.
    Dynamic Trunk Protocol (DTP) — проприетарный протокол Cisco, который позволяет коммутаторам динамически распознавать настроен ли соседний коммутатор для поднятия транка и какой протокол использовать (802.1Q или ISL). Включен по умолчанию.
    Эта штука позволяет перевести Acess порт в Trunk, таким образом можно добраться до Vlan`ов, которые вам совершенно не предназначены и мутить там свои темные делишки.
     
    #1 avonar, 22 May 2015
    Last edited: 29 May 2015
  2. NiggaTron

    NiggaTron Member

    Joined:
    27 May 2015
    Messages:
    21
    Likes Received:
    10
    Reputations:
    6
    Статья больше похожа на мануал для совсем начинающих, под корпаративные среды - не пойдет однозначно, судя по статье автор не представляет как строится безопасность корпаративной инфраструктуры. Но, в целом неплохо, правда писать стоит более развернуто, все же не уникальный текст на заказ пишете, а статью.
     
  3. Impala

    Impala New Member

    Joined:
    18 Jan 2014
    Messages:
    4
    Likes Received:
    3
    Reputations:
    0
    Честно говоря неоднозначное впечатление оставляет.
    Да читать было интересно, подача материала идёт как бы из собственных уст, что ценно, в то же время всё обобщенно. Хочется углубиться в тематику, только сама тема выбрана обширная. Удалить пару заезженных моментов, переименовать в советы для начинающих сис админов - тогда да, будет выглядеть цельным материалом. имхо, конечно.
     
  4. avonar

    avonar Member

    Joined:
    19 May 2008
    Messages:
    21
    Likes Received:
    13
    Reputations:
    15
    Господа, про недоучек написано не просто так. Я не настоящий сварщик, да и поближе к начинающим. Хотел рассказать про некоторые мелочи, на которые "бывалые" админы не обращают совершенно никакого внимания.
    В какую конкретно тематику вы хотели бы углубиться, готов некоторые моменты расписать более подробно?
    Я целиком осознаю, что описанный мной подход неправославный, да и корпоративная безопасность в нормальной ситуации очень обширная тема и должна организовываться с другого конца, буду рад ссылкам по данной теме. Если вы читая статью думали "ну зачем писать и без того очевидные\известные вещи", то прошу, прочитайте пост про безопасность в АСУТП http://habrahabr.ru/post/170221/ много где не решаются даже элементарнейшие проблемы, хотелось бы заострить внимание читателя на них.
     
    #4 avonar, 5 Jun 2015
    Last edited: 5 Jun 2015
  5. likepro

    likepro Banned

    Joined:
    9 May 2015
    Messages:
    22
    Likes Received:
    6
    Reputations:
    0
    Хочется внести свои 5 копеек как говориться)
    Относительно протокола CDP и его отключения, во первых есть конкретное исключение когда он необходим, это касается IP телефонии Cisco поскольку она передает через него свою служебную инфу ( мб поэтому у вас возникло недопонимание с админом на собеседовании)
    Ну и нюанс его отключают только на интерфейсах конечных пользователей или которые смотрят на провайдера.
     
  6. dondy

    dondy Member

    Joined:
    5 Jun 2015
    Messages:
    563
    Likes Received:
    61
    Reputations:
    5
  7. avonar

    avonar Member

    Joined:
    19 May 2008
    Messages:
    21
    Likes Received:
    13
    Reputations:
    15
  8. Alex_gan

    Alex_gan Member

    Joined:
    24 Feb 2016
    Messages:
    93
    Likes Received:
    66
    Reputations:
    4
    Хочу добавить про Банк - Клиент. Описанных процедур для безопасности клиента недостаточно. Например есть способы прокинуть USB порт на удаленную машину, тем самым подписать вашим токеном левые платежки и т.п.

    Дополнительно к сказанному.
    1) Используйте двухфакторную авторизацию. Т е в дополнение к токену подключите смс авторизацию ПРИ ОПЛАТЕ ПЛАТЕЖА. Почему именно при оплате? Потому что злоумышленник может подделать платежку выгружаемую из 1С. Бухгалтер не обратит внимание на реквизиты и сумму и совершенно свободно отправит деньги в неизведанные дали.
    Авторизация через смс позволит проверить как минимум сумму перед подписью.

    2) Сейчас активно внедряются траст скрины. Это токен с экранчиком. Его отличие в том что клиенту на экран выводятся реквизиты документа и подпись ЭЦП происходит при физическом нажатии на кнопку. Сломать такую схему весьма проблематично.

    3) Не надо делать удаленный доступ к компу бухгалтеру что бы он "работал из дома". Лучше ноут ему купить. Вы же не знаете откуда он будет работать и что там с его компом происходит. Более того для удаленной работы необходимо что бы токен был постоянно воткнут в комп, а на компе был открыт удаленный доступ. Следовательно это серьёзная дырка в безопасности.

    4) Ну и самое главное настройку всего этого добра должен делать человек которому вы довер
    Вообщем и целом, если у кого то есть вопросы по безопасности при работе с банковскими системами, могу предметно проконсультировать.
     
  9. likepro

    likepro Banned

    Joined:
    9 May 2015
    Messages:
    22
    Likes Received:
    6
    Reputations:
    0

    С радостью прочту все чем готовы поделиться на данную тему, ибо я там 0...
     
  10. Alex_gan

    Alex_gan Member

    Joined:
    24 Feb 2016
    Messages:
    93
    Likes Received:
    66
    Reputations:
    4
    Задавайте вопросы. Что конкретно вас интересует? С сочинениями на заданную тему у меня всегда была беда :)
     
  11. likepro

    likepro Banned

    Joined:
    9 May 2015
    Messages:
    22
    Likes Received:
    6
    Reputations:
    0
    Вопрос можно ли скопировать юсб ключ?
     
  12. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,227
    Likes Received:
    2,606
    Reputations:
    230
    Есть варианты.
    Один и тот же USB ключ можно отформатировать GPT партицией, тогда можно запускать инсталлятор Windows 8/10 в режиме UEFI.
    И одновременно на ней, иметь запасной парашют, инсталлятор Arch Linux.

    USB flash - суть заманчивое поле экспериментов.
     
  13. Alex_gan

    Alex_gan Member

    Joined:
    24 Feb 2016
    Messages:
    93
    Likes Received:
    66
    Reputations:
    4
    Подозреваю что речь идет все таки о eToken.

    Нет, их нельзя скопировать.
    Зато можно пробросить USB порт с удаленного компьютера, и если Токен не вытащен, то благополучно им воспользоваться. Вот поэтому во всех инструкция пишут что Токен надо втыкать в комп только на время работы с Банк-Клиент.
    Не все следуют инструкциям...

    А вообще методов обхода eToken предостаточно.
    Особенно, если платежи делают через экспорт из 1С/Сбис.
    Можно подделать платежку и подсунуть в банк-клиент. Если бухгалтер не очень внимателен он может не заметить это.
    Можно внести изменения в существующую платежку, например в счет получателя. Опять же бухгалтер вряд ли заметит.
    Видел и более экзотичные и сложные способы. Например подмена аплетов Банк - Клиента. В итоге клиент видит одно, а в банк уходит совсем другое. Клиент даже не видит этих нелегальных платежей...

    Вот поэтому банки начинают использовать двухканальную аутенфикацию. Или хотя бы онлайн оповещения о совершенных платежах, что позволяет клиенту вовремя отозвать платеж.
     
    avonar, likepro and altblitz like this.
  14. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,227
    Likes Received:
    2,606
    Reputations:
    230
    Для персонального онлайн-банкинга используется персональный кард-ридер с привязкой к банк-карде.
    Нужно иметь три разных ключа (генерируемых на одну сессию) одновременно, чтобы войти в свой аккаунт у банка.

    Для корпоративного - возможно, что есть иные варианты.
    Но тетё Фросе никак нельзя доверять служебный код.
     
    #14 altblitz, 4 Mar 2016
    Last edited: 4 Mar 2016
  15. Alex_gan

    Alex_gan Member

    Joined:
    24 Feb 2016
    Messages:
    93
    Likes Received:
    66
    Reputations:
    4
    Извините, что такое "персональный кард-ридер"? Что такое карт-ридер я знаю. И как организовать с помощью ридера и смартфона что то типа POS терминала тоже. Но первый раз слышу что бы он привязывался к конкретной карте. Где почитать об этой технологии?

    На данный момент в банкинге для физ лиц. основная схема аутенфикации это пароль на вход + одноразовый пароль отправленный через смс.
    Сужу по онлайн банкингу таких банков как ВТБ24, Сбер, Альфа и др менее крупных.

    Так как физики все больше пользуются мобильным банкингом, то для доступа к счетам достаточно взломать лишь одно устройство (смартфон).
    В связи с этим вангую, что следующая волна взломов придется на мобильный банкинг для физ. лиц. Доходы поменьше, зато и взломать существенно проще. Если поставят на поток, то и прибыль не ниже чем при взломе юриков.

    Для защиты корпоративного сегмента всяких средство полно. Начиная от кучи вариантов получения одноразовых паролей, заканчивая такими устройствами как траст скрин.
    Проблема в том что люди о своей безопасности не думают. От слова совсем.
     
  16. likepro

    likepro Banned

    Joined:
    9 May 2015
    Messages:
    22
    Likes Received:
    6
    Reputations:
    0


    Про подмену платежек, это что-то типо принцип mitm атак?
     
  17. Alex_gan

    Alex_gan Member

    Joined:
    24 Feb 2016
    Messages:
    93
    Likes Received:
    66
    Reputations:
    4
    По сути дела да.
     
  18. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,227
    Likes Received:
    2,606
    Reputations:
    230
    Персональный кард-ридер привязан к персональной банк-карде.
    Название банка, эмитента карды сегодня можно выложить в публичный доступ.
    Потому что он теперь с другим названием на биржах. И права клиентов защищает достойно. Как всегда.

    [​IMG]
     
    Ferdinand, chuchundra and Alex_gan like this.
  19. Alex_gan

    Alex_gan Member

    Joined:
    24 Feb 2016
    Messages:
    93
    Likes Received:
    66
    Reputations:
    4
    Спасибо.
    Для тех кто будет читать это пост после нас ссылка на описание технологии:
    https://old.sngb.ru/ru/bank_karty/securecode/

    По сути эта железка является генератором одноразовых паролей. Ни чем не отличаясь от одноразовых паролей на бумажке, или ОТП Токене.
    Хотя это определённо лучше, нежели 3D secure который высылает одноразовый пароль смс.

    Кроме того тут есть и иная проблема. Надо таскать с собой эту железку, которая еще и денег дополнительно стоит. Это не очень удобно. Поэтому пользоваться ей будут не многие.
     
    Ferdinand, chuchundra and altblitz like this.
  20. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,227
    Likes Received:
    2,606
    Reputations:
    230
    Есть такое.
    При оплате услуг и покупок в инете, ясно виден переход на страницу https и 3ds в названии сайта, как и написано в статье.

    > нежели 3D secure который высылает одноразовый пароль смс.
    Высылает не каждый банк.
    Для работы одних - достаточно железяки сделанный банком. Есть одна интересная особенность в генерации кода у них.
    Для других банков - потребуется подтвердить сгенерированный TAN code в SMS.
     
    #20 altblitz, 6 Mar 2016
    Last edited: 6 Mar 2016
Loading...