Tři ukázky napadení IT s trojím ponaučením

Konference AEC Security 2018 měla byznysovou a IT část, která obsahovala i živé ukázky hackingu odborníky z firmy AEC, které obsahovaly i ponaučení, jak se bránit. Technické ukázky hackingu byly uvedeny jedním z nejznámějších hesel Murphyho zákonů – cokoliv se může pokazit, také se pokazí.“

První ukázkou napadení bylo nakažení firemní sítě malwarem (škodlivým softwarem). Ponaučením je, že firma musí mít nasazenou investigaci s možnou detekcí a přijmout opatření proti omezení nebezpečí dalšího útoku na minimum. Existují různé mechanismy, jak zabránit šíření malwaru za předpokladu, že máme visibilitu, tj. možnost zjištění, že malware v síti je. Dále je nutné poučit zaměstnance.

Druhou ukázkou byl průnik přes web – web defacement, kdy hacker umístí na web jiný obsah. Zde je ponaučením, že systém IDS/IPS (Intrusion Detection/Prevention System) byl (v ukázce) pouze v detekčním režimu (IDS), nikoliv ochranném (IPS), a také chyběl WAF (Web Application Firewall), který by útok zastavil. Také nebyl zajištěn bezpečný vývoj webu. To se dalo zjistit kontrolou HTML kódu, ve kterém nesmí být nic navíc. A bohužel bylo…

Třetí ukázkou byla kompromitace domény, kdy hacker napřed převzal přes lokální stanici se standardními právy uživatele na základě dávkového souboru .bat (batch), který spouští cyklické úlohy. Zjistil, že jej lze přepsat, a tím se dostal do celé sítě. Tak získal hash (hashdump), a pak už ani nemusel znát hesla. Tím se dostal do celé sítě, kterou převzal, a bylo „game over…“ Ponaučením je, že sice existují útoky, které neumíme přesně detekovat, avšak máme indikátory. Naučme se je vnímat, snížíme tím riziko. Zde bylo konkrétní chybou, že dávkový soubor byl založen pod administrátorským právem a mohl pod ním běžet. Mohl zde zafungovat skener zranitelnosti s analýzou práv. Proto by se také vůbec neměl používat ani doménový administrátor.

Pro identifikaci napadení je třeba zajistit některé základní schopnosti organizace: