Thursday, November 13, 2008

Верить нельзя доверять

Когда проводишь работы по аудиту, никогда не уверен в том, как выполнишь работу, оценивают которую обычно, увы, не по качеству отчета и полноте охвата анализа ИС заказчика, а по результатам теста на проникновение (когда его купил клиент).
Но речь ниже пойдет не о полезности тех или иных видов аудита, а о повышении вероятности проникновения в сеть заказчика.
Итак, выезжаем к клиенту, сеть которого является неприступной. Бьемся о бесчисленные системы блокировок и ограничений и ничего не можем сделать - объем мозга недостаточен. Самое время заняться социальной инженерией. Разного рода забавы в стиле "инженер техподдержки" и "новый администратор" оставим на совсем черный день. Попробуем что-нибудь околотехническое.
Давайте не будем возить на аудиты свою флешку. Многие люди будут недоумевать, когда узнают об ее отсутствии и... начнут приносить материалы на своих носителях. Естественно, в 99% случаев это usb-брелоки и еще в 80%, носители принадлежащие техническому персоналу.
Работы будем выполнять под Linux с работающим udev.
Немного подкорректируем файл настроек подсистемы:
/etc/udev/local.rules
-----------
KERNEL=="sd*", BUS=="usb", ACTION=="add", SYMLINK="usbdevices/usbflash"
KERNEL=="sd*", BUS=="usb", ACTION=="add", RUN+="/bin/sh -c '/bin/dd if=/dev/usbdevices/usbflash of=/tmp/`date +%F_%R`_dump'"
-----------
Перезагрузим демон.
#/etc/init.d/udev restart

Благдаря этому нехитрому файлику, носители, которые клиенты доверчиво "суют" в компьютер чужаку, в бакграунде побитно копируются на ноутбук в директорию /tmp в формате год-месяц-день_час:минута_dump. Пока аудитор из под кривой ОС руками смонтирует флешку, пока скопирует файл в жутком mc, на диске сохраняется образ флешки, включающий в себя, в том числе, удаленные ранее файлы, среди которых могут оказаться так нужные для проведния пентеста данные.

Вывод:
Будьте аккуратны со своими носителями, "не суйте их куда попало" не только во время проведения у Вас аудита, но и в обычной жизни.

3 comments:

Sergey Soldatov said...

Традиционное, уже банальное, дополнение в копилку контрмер: если на флешке сождено хранить что-то важное - шифруйте это. Вариантов масса: TrueCrypt, PGP, ...

Igor Gots said...

За Н-цать лет существования флешек ни разу не видел брелока с шифрованым контентом.

Sergey Soldatov said...

Согласен, но поскольку технические средства делать шифрованные контейнеры сущестуют, вопрос переходит в плоскость Awareness Training.