Интернет на кончиках пальцев. Аудит утечек конфиденциальной информации средствами конкурентной разведки

[Lexx 313]

Интернет на кончиках пальцев.

Аудит утечек конфиденциальной информации средствами конкурентной разведки

Андрей Масалович

Президент консорциума «Инфорус»

am@inforus.biz

Джонни Лонг (Johnny Long), один из самых успешных хакеров и автор дюжины книг, обычно начинает свои статьи со слов «Я Джонни. Я хакер».

Так вот, меня зовут Андрей Масалович и я не хакер. Вот уже более десяти лет я не разрабатываю и практически не применяю троянов, снифферы и подобную нечисть. Моя специализация - интернет-аналитика, а в частности, методы конкурентной разведки в Интернете и приемы аудита утечек конфиденциальной информации.

Понятие «конфиденциальной информации» размыто, и в Положениях о конфиденциальности различных фирм обретает тысячу лиц, однако, при некотором обобщении, конфиденциальной принято считать следующую информацию:

1. Данные о сотрудниках, персональные данные граждан. Данные о частной жизни руководства.

2. Планы текущей деятельности.

3. Данные о партнерах, клиентах и др. юридических лицах.

4. Данные об организации управления компанией.

5. Планы стратегического развития и маркетинга.

6. Данные о финансовой и экономической деятельности.

7. Организация системы безопасности.

8. Состав и организация компьютерного обеспечения.

9. А также любые сведения, способные представить угрозу репутации фирмы.

Конфиденциальные данные в соответствии с этим перечнем (точнее, их возможные утечки) и являются предметом нашей с вами сегодняшней охоты.

Сегодня наша задача – проверить «на прочность» портал крупного металлургического комбината. Работать предстоит методами конкурентной разведки (КР), т.е. в рамках закона и этических норм. А значит взламывать коды, подбирать пароли и соблазнять секретарш – запрещено. Из оружия – только Google, экран Интернет-эксплорера, да специализированная версия поисковой системы Avalanche (боевой Avalanche – это такой «интернет-внедорожник», что-то вроде Land Rover Defender. По уровню комфорта – табуретка на колесах, зато для передвижения по Интернету ему не нужно ни дорог, ни освещения. Встроенные средства анализа структуры адресного пространства позволяют ему легко вторгаться в глубинный невидимый Интернет, куда нет прямых линков, и куда не доходят роботы) .

Шаг первый – осматриваем портал снаружи. Дорогой дизайн, имидж лидера, добротное программирование. Все двери бронированы, все форточки закрыты. Но есть и первый улов: комбинат расположен в небольшом городке, а значит, является градообразующим, а значит, берет на себя функции обеспечения социальной инфраструктуры и, в частности, доступа в Интернет. И вот на главном сервере (там же, где и хранилище данных стратегического объекта!) поселяются форум, чат, открытый FTP c музыкой и пиратским софтом, и наспех сработанная админка. А вот и наш первый невольный помощник – модератор молодежного форума, написавший в своей ветке «А у меня на работе прямо сейчас 27 Gb новой музыки!». И достаточно послать ему всего одно сообщение «А я Маша с Уралмаша, и у меня нет музыки, зато есть архив с фотками, только я там не одетая. Давай меняться?» - и человек с правами системного администратора, находясь в контуре корпоративной сети, и ни секунды не раздумывая, своей рукой распакует наш архив и запустит трояна-невидимку (программы для таких целевых атак часто создаются из старых известных вирусов методами размывания кода, и никому в голову не придет, что и Нортон, и Касперский могут не узнать, к примеру, новый клон древнего Back Orifice).

Но мы не хакеры, мы специалисты по КР, поэтому идем дальше. Теперь наш путь лежит в раздел портала, посвященный взаимоотношениям с инвесторами. Каждая крупная фирма (ОАО и не только) подпадает под действие требований о раскрытии информации, а поскольку не очень четко представляет себе границы этих требований, то превращает соответствующий раздел портала в филиал архива текущего документооборота. Вдобавок никто (ну практически никто) не читал последнего списка уязвимостей OWASP, где в первой десятке Top-2007 под номером А4 (A4 - Insecure Direct Object Reference) красуется неустранимая проблема Интернета – по одной ссылке можно понять структуру других ссылок. Т.е. видя на сайте документы с адресами http://длинный-адрес/docs/027.pdf и http://тот-же-адрес/docs/349.pdf , мы на самом деле получаем доступ не к двум официальным страницам, а к трем с половиной сотням внутренних документов. И встроенный в Avalanche диапазонный робот скачает нам их все и сложит в одну папку для просмотра.

А есть и более серьезная и сложная всеобщая уязвимость А10 (A10 - Failure to Restrict URL Access). С пугающей регулярностью удается находить путь в закрытые паролем секретные разделы, куда не ведет ни одной ссылки, и которые никак не обозначены в структуре сайта. Я хорошо помню свое первое знакомство с этой необычной «дверью в незнаемое». Много лет назад, увлеченный поиском примеров новых применений нечеткой логики (fuzzy logic), которой тогда занимался, я вдруг обнаружил у себя на экране какие-то чертежи неких умных боеголовок, способных распознавать, преследовать и поражать сложные цели. Внизу экрана красовались надписи Strictly Confidential и Patent Pending, а в адресной строке – длинный незнакомый адрес, который начинался с www.pentagon.mil (не сочиняю, часть документов до сих пор хранится там же). Хорошо, что уже тогда была привычка работать через прокси (кстати, очень неплохой прокси можно соорудить из Google всего одной командой). Попытка воссоздать маршрут, приведший простого аналитика в хранилище из фильма Mission Impossible, показала, как жгучее желание узнать больше позволяло шаг за шагом угадывать возможные компоненты адресов искомых документов.

Чтобы понять, как именно может выглядеть и использоваться уязвимость A10, давайте рассмотрим один пример. Пусть в закрытом десятком уровней запароленных папок разделе хранятся отчеты об инцидентах в защищенной инфраструктуре конторы, по серьезности не уступающей МВД (я описываю реальный пример). Инцидентами принято называть сбои, приведшие к утрате работоспособности системы, а причины, их вызвавшие, называются критическими уязвимостями. Таким образом подобные отчеты – это фактически краткое руководство для «гостей из сумрака» по эффективному выведению из строя региональных и отраслевых сетей. Поэтому отчеты хранятся в закрытых разделах, и прямых ссылок туда нет. Но три года назад фирма пиарила свою новую услугу и разместила ссылку на один из таких отчетов (на тот момент совершенно безобидный). И ссылка имела следующий вид:

http://длинный-такой...rt-February.doc

Давно уже нет ни той ссылки, ни того отчета, но вам сейчас предстоит трижды удивиться:

• Опытный специалист в состоянии вычислить адрес той самой волшебной папки с секретными документами. Вы не ошиблись, в данном случае он будет следующим:
  

http://длинный-такой.../Report-May.doc

• Искомые документы будут действительно храниться по этому адресу (при разработке крупных проектов у программистов и заказчиков накапливается невообразимая взаимная усталость, и однажды запущенная система не переделывается годами).
  
• Синтезировав правильную ссылку и обратившись по ней в закрытую папку, мы безо всяких ограничений скачаем из нее секретный документ. FTP-сервер – это не Windows, и пересылать файлы – его основная работа (и ему неважно, открыта ли папка сверху или запаролена).
  

Следующий момент – один из самых забавных. Вам не доводилось наблюдать, как конфиденциальные документы выскакивают по запросу «Конфиденциально», а сов.секретные – по запросу «Строго конфиденциально»?

А мы продолжаем движение по порталу. Одним из простых волшебных слов (например, запросом по слову «конфликт») находим раздел портала, отведенный профкому. Структура адресного пространства там тоже регулярна (и очень часто там также присутствует сквозная нумерация документов), а вот с точки зрения утечек улов ожидается еще богаче. Документы профкома – это списки сотрудников по цехам (с телефонами и персональными данными), финансовые и экономические показатели предприятия, штатное расписание (с зарплатами и премиями) – и т.д., и т.п. И все это – в одном линке от открытого доступа. И уязвимость А4 никто не отменял. Вы можете вспомнить хоть одного активиста, который бы слышал словосочетание «OWASP Top-2007 A4» ? Познакомьте...

На десерт остается раздел на FTР-сервере, посвященный отладке новых версий программ, обеспечивающих взаимодействие между подразделениями (связь с регионами и филиалами, удаленными офисами и складами и т.п.). Его не так просто отыскать, но он того стоит. При опытной отладке компонентов распределенных систем (как правило, сложных в освоении, сырых и плохо документированных), доведенные до отчаяния общением со злыми пользователями программисты создают одни и те же грабли: открытые разделы на FTP, логины и пароли типа «test-test» и «guest-guest», выкладывают для скачивания полные дистрибутивы и комплекты документации, а для себя (ну, и для нас) еще держат под рукой программу удаленного администрирования Radmin, а к ней - файл с трогательным названием LicenseKey.txt .

Подобная уязвимость, кстати, два года существовала на портале одного из ИТ-лидеров России и полностью не ликвидирована до сих пор. Хотите на пять минут почувствовать себя суперхакером? Угадайте имя этого лидера и наберите его по-ангийски в поисковой строке Google, а через пробел допишите FileWatcher. Так получилось, что Google застукал другой поисковик – FileWatcher в момент, когда тот потрошил дырки на ftp-сервере нашего признанного лидера. И теперь Google хранит полный список адресов открытых папок, который он вам покажет по указанной команде. Умело им распорядившись, можно добраться вплоть до паролей системных аминистраторов.

Все вышеописанное – это зарисовка возможного сценария первого часа работы по аудиту утечек конфиденциальной информации типичной фирмы. А полностью аудит занимает неделю. Необходимо проверить наличие других уязвимостей (в списке OWASP их около 300, а на деле еще больше), необходимо погонять Google на предмет т.н. GoogleDorks («чурки Гугла» - модное сейчас направление, эксплуатирующее типичные ляпы пользователей, коих в базах специалистов сейчас около 200). Надо проверить сайты партнеров (даже на портале фирмы krupnosoft.com попадаются строго конфиденциальные документы партнеров). Надо проверить блоги и социальные сети, профессиональные форумы, электронные СМИ и отраслевые базы данных. Ситуация с утечками в Интернете близка к катастрофической и, возможно, она касается и вашей фирмы.

Вообще-то подобный эеспресс-аудит применительно к своей компании стоит проводить регулярно, и желательно силами собственных специалистов. Для этого их необходимо обучить основным примам эффективного поиска. Не случайно учебный курс «Конкурентная разведка в Интернете» стал сейчас самым востребованным семинаром Москвы (за полтора года прошло уже около 80 семинаров). Конечно, если сравнить Интернет с плаванием, станет понятно, что за два дня не стать олимпийским чемпионом (и даже перворазрядником). Но вполне можно научиться плавать. Увы, большинство пользователей Интернета сейчас не в состоянии элементарно держаться на воде.