среда, 23 июля 2014 г.

СОИБ. Анализ. Новые угрозы ИБ нарушения контролируемой зоны компании

На состав актуальных угроз ИБ компании оказывают влияние не только новые ИТ технологии, но и новые технологии в смежных областях – миниатюризации и робототехники.  Наверное, все слышали об угрозах ИБ, связанных с очками Google Glass. Cегодня другая история.

Традиционно, проводные каналы связи внутри контролируемой зоны считаются доверенными. Беспроводные каналы – спорная тема. Из-за наличия технологий подключения Wi-Fi / bluetooth сверхдальнего действия до 2 км. (за счет направленных антенн, чувствительного приемника) в вашей корпоративной беспроводной сети могут перехватывать информацию далеко за границами КЗ. 


Но кроме применения криптографии, можно было принять некоторые организационные мери и существенно снизить риски: уменьшить мощность передачи сигнала на точках доступа, размещать точки доступа в помещениях, использовать средства, контролирующие местоположение беспроводных клиентов, использовать надежные протоколы безопасности wi-fi и т.п. Кроме того ответная передача информации или атака на клиентов корпоративной беспроводной сети с дальнего расстояния затруднена, в связи с низкой чувствительностью приемников на клиентах.

Риски вторжения в беспроводные сегменты нашей корпоративной сети существенно увеличились с появлением бытовых квадрокоптеров. Злоумышленник может сразу взять квадрокоптер с Linux и wi-fi на борту за 26 тыс. руб. и установить на него несколько утилит аналогичных набору kali linux либо специализированных утилит для квадрокоптеров типа snoopy.

Либо можно взять самый дешевыйквадрокоптер с подходящим радиусом полета и грузоподъемностью (от 1 до 5 тыс. руб) и прикрепить к нему wi-fi pineapple за 3 тыс. руб. для перехвата wi-fi, Ubertooth One за 3.3 тыс. руб. для перехвата bluetoоth и считыватель RFID дальнего действия за 6 тыс. руб.


Стоимость такой целенаправленной атаки на компанию резко снижается (10 – 25 тыс. руб.) Все это приводит к тому, что глубоко в границах нашей контролируемой зоны может перехватываться трафик или даже выполняться активные атаки из внутренних сегментов корпоративной сети.


При этом, не стоить надеяться что угроза не актуальна, если у вас не используются корпоративные беспроводные сети. На ноутбуках и смартфонах в половине случаев будет включен wi-fi, а в настройках имеется несколько профилей публичных wi-fi сетей, на смартфонах часто остается включенным Bluetooth и NFC. Кроме того есть угроза перехвата информации с беспроводной гарнитуры телефона, о которой недавно писал Алексей Лукацкий.

Из возможных мер защиты могу назвать:
·        Использование защищенных корпоративных беспроводных сетей (WPA 2 Enterprise, 802.1X authentication, encryption)
·        В особых случаях, использование шифрования трафика от клиента до сегмента приложений/сервисов
·        Использование беспроводных средств обнаружения вторжений, WIPS. (Например, Airmagnet уже выпустили сигнатуры для обнаружения wi-fi дронов-квадрокоптеров)
·        Использование NAC для контроля подключающихся в сеть устройств
·        Использовать корпоративные политики настроек wi-fi, bluetooth, nfc.
·        Использовать мобильные комплексы для поиска wi-fi нарушителей (как это делали на олимпиаде 2012 в Лондоне)
·        Использовать средства перехвата квадрокоптеров






7 комментариев:

Александр Бодрик комментирует...

Непонятно, почему квадрокоптер является более эффективным вектором атаки чем направленные антены (до 2-ух км).

Ведь вряд ли мы сможем эффективно управлять квадрокоптером на расстоянии свыше 2-ух км.

В сочетании с более высокими издержками на квадрокоптеры направленные антены кажутся более эффективными для атаки Wi-Fi

pushkinist комментирует...

2Александр Бодрик:
потому что задача квадрокоптера не подключиться к существующей сети и что-то там пытаться снифать, его функция - доставить фейковую точку доступа, к которой будут подключаться корпоративные устройства и через которую потом пойдет незащищенный трафик до внутренних ресурсов.

Сергей Борисов комментирует...

2Александр Бодрик: опыт показывает, что со сверхдальних расстояний можно перехватывать часть пакетов и отправлять пакеты часть из которых не страшно потерять (например, деаутентификации)
Но стабильное соединение установить не получится (по крайне мере на дешевом оборудовании).

И ещё такое ограничение - добить добить издалека до мощной AP легко. Но на смартфонах и ноутбуках мощность передатчика гораздо ниже.

Так-же можно понижать мощность передатчика на AP и создавать большие сложности для удаленных атак

tomato комментирует...

Ссылка ведет на UHF RFID reader, Ну и чего дрон там снифать будет? Карты для СКУД на 125KHz все используют, слышать их с метра уже большим успехом считается (про габариты и вес забудем пока). При текущих технологиях дроны пока как угроза не актуальны (разве что ножницы или эми присобачить для вывода из строя CCTV).

Сергей Борисов комментирует...

2tomato: В общем вы правы. По перехвату RFID меток с квадрокоптера большие сложности.
Я скорее добавил его не как готовое решение, а идею про возможный вектор атак.
Перехват RFID со считывателя в рюкзаке - активно применяется.
Демо-образец http://www.bishopfox.com/resources/tools/rfid-hacking/attack-tools/
презентация с blackhat
http://www.youtube.com/watch?v=1fszkxcJt7U

Думаю кто-то додумается как это совместить с квадрокоптером.
По ссылке, которую я привел - считыватель с дальним радиусом действия. Указано - до 4,5 метра. Даже если 1 метр. Можно так удачно расположить квадрокоптер на козырьке над входом, что метра будет хватать для перехвата всех proximity пропусков.
Далее клонирование и использование очень просто.

Сергей Борисов комментирует...

2tomato: На счет неактуальности угрозы в целом, не согласен.
Дроны уже очень распространены даже в России. Используются в основном для видеонаблюдения.

Но не вижу никаких технических сложностей использовать их для приведенных векторов атак

tomato комментирует...

О демо с blackhat я был в курсе, когда писал о неактуальности угрозы.
_При_текущих_технологиях_ угрозы дронов я считаю не актуальными, потому что те же векторы атак используют (причем гораздо эффективнее дронов) более традиционные нарушители, новых векторов дроны _пока_ не привносят, при этом имеют гораздо меньшую вероятность успеха.