СОИБ. Анализ. Новые угрозы ИБ нарушения контролируемой зоны компании

На состав актуальных угроз ИБ компании оказывают влияние не только новые ИТ технологии, но и новые технологии в смежных областях – миниатюризации и робототехники.  Наверное, все слышали об угрозах ИБ, связанных с очками Google Glass. Cегодня другая история.

Традиционно, проводные каналы связи внутри контролируемой зоны считаются доверенными. Беспроводные каналы – спорная тема. Из-за наличия технологий подключения Wi-Fi / bluetooth сверхдальнего действия до 2 км. (за счет направленных антенн, чувствительного приемника) в вашей корпоративной беспроводной сети могут перехватывать информацию далеко за границами КЗ. 


Но кроме применения криптографии, можно было принять некоторые организационные мери и существенно снизить риски: уменьшить мощность передачи сигнала на точках доступа, размещать точки доступа в помещениях, использовать средства, контролирующие местоположение беспроводных клиентов, использовать надежные протоколы безопасности wi-fi и т.п. Кроме того ответная передача информации или атака на клиентов корпоративной беспроводной сети с дальнего расстояния затруднена, в связи с низкой чувствительностью приемников на клиентах.

Риски вторжения в беспроводные сегменты нашей корпоративной сети существенно увеличились с появлением бытовых квадрокоптеров. Злоумышленник может сразу взять квадрокоптер с Linux и wi-fi на борту за 26 тыс. руб. и установить на него несколько утилит аналогичных набору kali linux либо специализированных утилит для квадрокоптеров типа snoopy.

Либо можно взять самый дешевыйквадрокоптер с подходящим радиусом полета и грузоподъемностью (от 1 до 5 тыс. руб) и прикрепить к нему wi-fi pineapple за 3 тыс. руб. для перехвата wi-fi, Ubertooth One за 3.3 тыс. руб. для перехвата bluetoоth и считыватель RFID дальнего действия за 6 тыс. руб.


Стоимость такой целенаправленной атаки на компанию резко снижается (10 – 25 тыс. руб.) Все это приводит к тому, что глубоко в границах нашей контролируемой зоны может перехватываться трафик или даже выполняться активные атаки из внутренних сегментов корпоративной сети.


При этом, не стоить надеяться что угроза не актуальна, если у вас не используются корпоративные беспроводные сети. На ноутбуках и смартфонах в половине случаев будет включен wi-fi, а в настройках имеется несколько профилей публичных wi-fi сетей, на смартфонах часто остается включенным Bluetooth и NFC. Кроме того есть угроза перехвата информации с беспроводной гарнитуры телефона, о которой недавно писал Алексей Лукацкий.

Из возможных мер защиты могу назвать:
·        Использование защищенных корпоративных беспроводных сетей (WPA 2 Enterprise, 802.1X authentication, encryption)
·        В особых случаях, использование шифрования трафика от клиента до сегмента приложений/сервисов
·        Использование беспроводных средств обнаружения вторжений, WIPS. (Например, Airmagnet уже выпустили сигнатуры для обнаружения wi-fi дронов-квадрокоптеров)
·        Использование NAC для контроля подключающихся в сеть устройств
·        Использовать корпоративные политики настроек wi-fi, bluetooth, nfc.
·        Использовать мобильные комплексы для поиска wi-fi нарушителей (как это делали на олимпиаде 2012 в Лондоне)
·        Использовать средства перехвата квадрокоптеров






Комментарии

Александр Бодрик написал(а)…
Непонятно, почему квадрокоптер является более эффективным вектором атаки чем направленные антены (до 2-ух км).

Ведь вряд ли мы сможем эффективно управлять квадрокоптером на расстоянии свыше 2-ух км.

В сочетании с более высокими издержками на квадрокоптеры направленные антены кажутся более эффективными для атаки Wi-Fi
pushkinist написал(а)…
2Александр Бодрик:
потому что задача квадрокоптера не подключиться к существующей сети и что-то там пытаться снифать, его функция - доставить фейковую точку доступа, к которой будут подключаться корпоративные устройства и через которую потом пойдет незащищенный трафик до внутренних ресурсов.
Сергей Борисов написал(а)…
2Александр Бодрик: опыт показывает, что со сверхдальних расстояний можно перехватывать часть пакетов и отправлять пакеты часть из которых не страшно потерять (например, деаутентификации)
Но стабильное соединение установить не получится (по крайне мере на дешевом оборудовании).

И ещё такое ограничение - добить добить издалека до мощной AP легко. Но на смартфонах и ноутбуках мощность передатчика гораздо ниже.

Так-же можно понижать мощность передатчика на AP и создавать большие сложности для удаленных атак
tomato написал(а)…
Ссылка ведет на UHF RFID reader, Ну и чего дрон там снифать будет? Карты для СКУД на 125KHz все используют, слышать их с метра уже большим успехом считается (про габариты и вес забудем пока). При текущих технологиях дроны пока как угроза не актуальны (разве что ножницы или эми присобачить для вывода из строя CCTV).
Сергей Борисов написал(а)…
2tomato: В общем вы правы. По перехвату RFID меток с квадрокоптера большие сложности.
Я скорее добавил его не как готовое решение, а идею про возможный вектор атак.
Перехват RFID со считывателя в рюкзаке - активно применяется.
Демо-образец http://www.bishopfox.com/resources/tools/rfid-hacking/attack-tools/
презентация с blackhat
http://www.youtube.com/watch?v=1fszkxcJt7U

Думаю кто-то додумается как это совместить с квадрокоптером.
По ссылке, которую я привел - считыватель с дальним радиусом действия. Указано - до 4,5 метра. Даже если 1 метр. Можно так удачно расположить квадрокоптер на козырьке над входом, что метра будет хватать для перехвата всех proximity пропусков.
Далее клонирование и использование очень просто.
Сергей Борисов написал(а)…
2tomato: На счет неактуальности угрозы в целом, не согласен.
Дроны уже очень распространены даже в России. Используются в основном для видеонаблюдения.

Но не вижу никаких технических сложностей использовать их для приведенных векторов атак
tomato написал(а)…
О демо с blackhat я был в курсе, когда писал о неактуальности угрозы.
_При_текущих_технологиях_ угрозы дронов я считаю не актуальными, потому что те же векторы атак используют (причем гораздо эффективнее дронов) более традиционные нарушители, новых векторов дроны _пока_ не привносят, при этом имеют гораздо меньшую вероятность успеха.

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3