Егор Зайцев, Информзащита: Юридическая подкованность – главный навык для физического пентеста

«Миссия невыполнима», «Бондиана» и другие шедевры шпионского кинематографа могут показаться скукотой по сравнению с буднями специалиста по проведению физических пентестов.

Егор Зайцев, директор департамента противодействия киберугрозам компании Информзащита, автор блога PRO:PENTEST рассказал порталу Cyber Media, что должен уметь специалист по физическому пентесту, какие способы проникновения есть в арсенале атакующих, и как от них защититься.

Cyber Media: Какие навыки нужны специалисту по анализу защищенности, чтобы эффективно проводить физические пентесты?

Егор Зайцев: Если разделить глобально, то нужно понимать основы безопасности и физические уязвимости, обладать техническими навыками, уметь использовать социальную инженерию, иметь навыки маскировки и скрытного проникновения, а также знать правовые аспекты, чтобы не попасть в ловушку. Вот эти пять пунктов будут достаточны, чтобы начать заниматься физическим пентестом.

Cyber Media: Вы говорили о важности понимания границ для такого специалиста. Какие рамки проведения проектов, которых стоит придерживаться исходя из специфики работы и здравого смысла?

Егор Зайцев: Рамки оговаривают до начала проекта, и они зависят от готовности специалиста идти на риск. Если это бизнесовая история, и там работает частное охранное предприятие, мы понимаем, что люди не будут в бизнес-центре палить без веской причины. Поэтому, если вас действительно задержат за руку служба безопасности, вы должны подчиниться и выйти. А если это просто бдительный сотрудник без удостоверения, вы можете спокойно руку вырвать и идти дальше. Он вас задерживать не имеет права.

Если мы говорим про спецобъекты, там работают ФСБ. Если сотрудники вас раскрыли, а они работают оперативно и не издалека, то это будет скрутка буквально за пару секунд. Сделать ничего нельзя и сопротивляться не нужно. С Росгвардией также: если вас поймали или объявили в розыск по какой-то местности, нужно выходить самому и сдаваться.

Обязательно с собой нужно иметь авторизационное письмо — это ваш гарант безопасности. Если вас скрутят и отвезут в участок, письмо позволит связаться с вашим руководством и прояснить всю ситуацию.

У меня был достаточно смешной кейс. Я ковырял отмычками подземный паркинг, внезапно дверь открылась, и вышел человек, сказал, что из службы безопасности, и хватает меня за руку. Я попросил показать документ. Он ничего не смог предъявить. Я молча вырвал руку и ушел. Естественно, он потом сообщил в силовые структуры, начались поиски, но тем не менее человек тоже понимал свои границы – он не стал настаивать.

А когда я этого не знал, попался на пентесте. Ребята-специалисты не очень хотели, чтобы у них проводили физику, возможно, их лишали премии в случае нашего успеха – это, кстати, неадекватно. Они были предупреждены, и я был для них целью, поэтому меня сразу опознали, несмотря на спецодежду.

На одном из контуров защиты человек схватил меня за руку, и я думал, что так и должно быть. А на самом деле можно было руку убрать и пойти дальше. Задерживать никто права не имел. Не пустить куда-то могут, а задерживать нет.

Cyber Media: Что понимается под социальной инженерией в контексте физических пентестов?

Егор Зайцев: По поводу социальной инженерии выделю несколько моментов, которые мы используем в работе:

1. Притворство. Пентестер может притвориться сотрудником компании, подрядчиком, техническим специалистом, посетителем, если это бизнес-центр, чтобы получить доступ к охраняемым зонам. Чтобы выглядеть убедительно мы используем различный реквизит, например, поддельные бейджи сотрудников или униформу.
2. Создание легенды. Мы детально прорабатываем правдоподобную историю, чтобы попасть на объект. Один из кейсов был в бизнес-центре. Мы заметили, что сотрудники подрядной организации, которая привозит воду, с бутылкой на плече спокойно входят, говоря охраннику, что представляют такую-то компанию. Им открывают турникет и запускают без пропуска. Но самое интересное, что такие машины пропускают во внутренние дворы бизнес-центров, жилых комплексов, у которых есть некая маркировка на кузове — тоже беспрепятственное проникновение.
3. Фишинг, вишинг. Казалось бы, причем здесь отправка по почте, либо прозвон по телефону, и как это можно связать с физическим пентестом. На самом деле, напрямую. Через вишинг по телефону мы можем у сотрудника компании выведать нужную информацию, например, как попасть на крышу. Находим с помощью OSINTа сотрудника, ответственного за хозяйственные мероприятия, и говорим: «Мы подрядчики, занимаемся мойкой окон, и нам необходимо попасть на крышу».

Здесь интересный момент, потому что даже по телефону можно узнать, какие версии операционных систем стоят, какие замки установлены, а где находится сервер. И эта информация нам детализируют некоторые нюансы, которые пригодятся нам в дальнейшем для планирования и проведения очных атак.

1. Tailgating. Человек заходит в какое-то помещение, там дверь на автодоводчике, и пока эта дверь доходит, мы можем подбежать ее схватить и за ним проникнуть. Есть также piggybacking. Он похож на tailgating, но в этом случае человек осознанно или неосознанно позволяет пентестеру или злоумышленнику войти вместе с ним, например, придерживая дверь.
2. Dumpster diving. Это поиск информации в мусоре: можно найти разные документы вроде договоров, стикеры с паролем или важной информацией. Этот вектор в российском сегменте не сильно релевантен. Но проверять его стоит, если хотим пентест на высоком уровне. За рубежом ребята в компаниях вообще могут всю документацию просто выкидывать. Но даже если шредером пользовались, то кропотливые люди все восстановят.
3. Также у нас есть quid pro quo — принцип взаимности. Здесь подходит вариант с вербовкой, когда мы человека можем убедить помочь. Например, обсудим с ним компанию, какая она плохая, зарплату не повышают, а денег на ипотеку и трех детей не хватает, и он говорит, что у него так же. На основе этого мы дискредитируем то место, которое мы хотим поломать. Мы предлагаем ему какую-то услугу и просим помочь взамен: дверь открыть или жесткий диск стащить в закрытом контуре, куда у нас нет доступа. И человек может нам просто помочь по договоренности.

Вариаций есть много и это все применимо.

Cyber Media: Если говорить о каких-то компетенциях пентестера, который работает на удаленных проектах. Каких навыков, скорее всего, ему не хватает, чтобы работать на физических?

Егор Зайцев: Как я уже говорил, чтобы работать в сфере физического пентеста, нужен специфический опыт в правовых аспектах. Важно понимать, когда и кто тебя может задержать, где можно понаглеть, а где этого делать вообще нельзя, разграничивать объекты по степени критичности.

У человека, занимающегося физически пенстестом, должен быть очень специфичный скоуп, который нельзя получить в обыденной жизни. Зачем просто так человеку промышленный альпинизм? Для чего пентестеру разбираться в hardware? В принципе вообще незачем. Пентестер-вебер будет вебом заниматься, внутрянщик инфраструктуру учить, сетевик – сети.

У меня в команде несколько человек из разведки. Мы получали этот опыт в спецподразделениях: опыт работы с людьми, общения, проникновения, в том числе на объекты повышенной важности.

Cyber Media: Какие девайсы чаще всего входят в арсенал специалиста, который проводит физический пентест? Какие из них можно использовать «из коробки», а какие требуют донастройки или кастомизации под конкретный проект?

Егор Зайцев: Мы используем в основном Flipper Zero и Proxmark’и: портативная версия и с USB. Раньше могли обходиться только Proxmark, а сейчас обширно используем Flipper: помимо копирования карт и анализа метки, возможно еще удобное запоминание и сразу эмуляция карты.

Есть у нас ИК-пульт, но это больше побаловаться или использовать как отвлекающий маневр. У меня был кейс: я ломал банк, и когда меня уже ловили, отключал экраны в живой очереди, чтобы нагнать паники.

Также используем BadUSB. Закидываем готовый сценарий и подсоединяем наш Flipper к компьютеру жертвы. Когда пользователь запускает систему, у него выполняется некий сценарий: там можно реализовать все что угодно, насколько фантазии хватит.

Используем MouseJack-атаки, когда перехватываем по блютузу мышку. В сериале «Мистер Робот» тюрьму открывали таким образом: у полицейского перехватили управление мышкой и залезли на его компьютер. Когда реализуем такую атаку, мы можем не только мышкой управлять, но и напрямую выполнять сценарии, как это реализуется в атаках с помощью BadUSB: выполнять полезные действия и получать удаленный доступ. Можно перехватывать сигналы, открывать разные шлагбаумы, рулетки — арсенал неограничен. Еще можно глушить Wi-Fi и делать другие штуки, но для этого нужно докупать модули, антенны разной частотности и диапазона действия.

Еще из средств есть слесарный набор, различные отмычки. Прежде чем идти на объект, мы снимаем видео в качестве 4-5к, делаем стоп-кадры интересным для нас моментам, например, где расположены камеры, какие стоят замки. Покупаем такие же модели замков и под них специальные отмычки. Тренируемся их открывать — нужно набить руку, чтобы во время пентеста быстро вскрыть замок.

В арсенале у нас есть portable Wi-Fi, который позволяет выполнять атаки на WPA2, на WPA2-enterprise. Мы покрываем все атаки по вай-фай, но мы также покрываем и другие атаки при необходимости и договоренности, согласно техническому заданию. В идеале, атаки реализуются с отдельных гаджетов на основе Arduino, либо на основе Raspberry Pi. Но также эти работы можно выполнить используя смартфон либо ноутбук. Например, можно провести атаку Evil Twin в кафе, где сотрудники постоянно обедают, собрать их креды и с ними уже выполнять проникновение в инфраструктуру.

Мы используем Raspberry Pi для разных задач: всевозможные аппаратные закладки, в качестве BadUSB. На основе Raspberry Pi Zero можно устанавливать аппаратные бэкдоры, средства скрытого видеонаблюдения. И везде эти одноплатные компьютеры будут играть огромную роль, потому что они маленькие и многофункциональные.

Скрытые камеры и микрофоны. Это не суперпрофессиональное оборудование, естественно, их будет легко обнаружить с помощью средств для поиска жучков. Но такая профессиональная аппаратура стоит дорого, поэтому она мало у кого есть.

Дальше BadUSB. Либо кастомные — мы сами собираем их и программируем, либо уже готовые BadUSB Cactus. Он с AliExpress сразу из коробки сразу прошитый идет, готовый к применению.

Ну и еще дополнительные инструменты: дроны и signal jammers для создания помех различных сигналов. Дроны используются для разведки, видеозаписи или фотосъемки, и атак, связанных с беспроводными сетями. А signal jammers нужны, чтобы сотрудники подключились к поддельной точке: глушим сигнал, создаем точку в зоне видимости, и когда сотрудники доходят до этой зоны, у них происходит автоконнект, мы уже можем стащить их креды или еще что-то интересное сделать.

Cyber Media: Как ставится ТЗ? Выполнить целевое действие любым путем или выполнить целевое действие и попутно какие-то мероприятия еще провести?

Егор Зайцев: Когда заказчики приходят за физическим пентестом, у них нет четкого понимания, что это за услуга. Они примерно понимают, как это делается, по фильмам про хакеров, и фантазируют в ТЗ, которое мы затем корректируем.

Как правило, мы сами предлагаем заказчикам услуги, исходя из того, что можем узнать методом разведки. Например, приходит пресейл на проект, и мы делаем поверхностный OSINT, что можно делать, не затрагивая (или минимально затрагивая) инфраструктуру. На основе этой информации делаем корректировки и даем рекомендации по ТЗ. Например, советуем промышленный альпинизм, потому что в здании огромные окна, и сотрудники открывают их. Можно сделать проход с крыши.

Или, допустим, у вас RFID-карты, которые очень легко скопировать. Ваши айтишники ходят в метро с пропусками напоказ, потому что всем хочется похвастаться, где они работают. И вот скопировать их в час пик не составляет никакого труда. Это для нас золотое дно, потому что это быстрое проникновение внутрь. Мы узнаем, во сколько человек уходит, заходим после него и развиваем атаку.

Cyber Media: Какие рекомендации могли бы дать по противодействию физическому пентесту?

Егор Зайцев: Здесь могут помочь только регулярные проверки по физическому пентесту в совокупности с работами по инфраструктурному взлому. Когда мы имитируем полноценную атаку APT с инсайдером.

Физический пентест в некоторых случаях упрощает задачу атакующим. Проще нанять человека, который выполнит диверсию, чем специалиста, который купит программный продукт, отреверсит его за полгода и найдет там какой-то 0-day. А может, и не найдет. Исследовательская работа своеобразная, ее очень тяжело оценить как по финансовой составляющей, так и по временной. Во многих случаях физический пентест просто по стоимости более целесообразен.

Стоит проводить комплексные проверки, картина будет полнее, яснее и поможет защитить компанию от таких атак. Плюс социальная инженерия. Например, можно найти сотрудника, который проникнет в компанию и подбросит флешку. Заосинтить сотрудницу, заказать ей большой букет цветов с флешкой, на которой написано: «спасибо за проведенное вместе время». И женщина 100% не удержится, воткнет тут же в рабочий ноут, не дожидаясь возвращения домой. И, соответственно, даст Back Connect. Это была рабочая история, и мы ее тоже применяли.

Еще интересный кейс по социальной инженерии, тоже защититься сложно будет. Представим, 8 марта, я в ростовой фигуре стою, в руке куклы зашит Флиппер, и у меня мерч компании, которую мы проверяем. Говорю: «Девчонки, подходите, нужен ваш пропуск, чтобы занести в базу, что вы уже получили подарок». Считываем пропуск – взамен выдаем условные цветочки, шоколадки. Пяти пропусков достаточно на команду, которая будет проникать на объект.

Вообще, сейчас много поддельных устройств, можно, например, рутованные телефоны раздавать, технику, если бюджет позволяет. Мы купим MacBook, iPhone или какое-то другое премиальное «железо». Классная техника, но она будет с сюрпризом: как только их воткнут в сеть, начнется «веселье», а там могут быть еще и модули всякие подшиты.

Cyber Media: Обычные люди все чаще сталкиваются с киберугрозами в «аналоговом» мире. Поддельные точки Wi-Fi, зараженные станции зарядки смартфонов, скиммеры, мошенничество с QR-кодами и т. д. На ваш взгляд, как этот тренд будет развиваться в ближайшие годы?

Егор Зайцев: 100% будет развиваться. С QR-кодами вообще классная тема. Мы хотели поломать компанию: выйти в футболках с QR-кодами и с подарками. И человек должен отсканировать QR, чтобы получить приз. Или просто ходить, маячить перед глазами, человеку рано или поздно просто станет интересно, и он отсканирует код. И если будет уязвимость в каком-нибудь драйвере или приложении, мы сможем получить RCE, а дальше уже выполнять какие-то определенные действия.

Есть еще провода Type-C, в которые зашит сценарий. Их разбрасывают по улице. Когда человек вставляет такой провод в компьютер, то у него начинается выполнение сценария. Такое больше в Европе распространено, а не у нас, но купить такие девайсы можно и в России.

Наверное, будет в тренде взлом IoT-устройств. Много людей, кто делает умные дома, забивают в принципе на архитектуру безопасности — главное, чтобы работало. Это не обкатанный еще рынок у нас в РФ, и через него можно заходить. Слышал кейс, сам не выполнял. Ребята взломали компанию через топ-менеджера, через его дом, где были IoT-устройства. Они поломали и залезли дальше в инфраструктуру.

Сейчас очень сильно подрастает уровень защиты на внешнем периметре: проводятся различные багбаунти, пентесты на регулярной основе, регуляторы обязывают компании организовывать подобные мероприятия. А на физику обращают внимание меньше всего. Тут будут подключаться различные диверсанты, АРТ-группы, которые смогут проводить атаки именно через этот вектор, который проработан слабо.

Cyber Media: Поделитесь наиболее интересными примерами из вашей практики, которые раскрывают специфику физического пентеста.

Егор Зайцев: Был классный кейс, когда мы использовали промышленный альпинизм. Успели и по морозу поползать, и отмычками попользоваться, и поломать уличные сервера. Это непростая задача, когда на улице -20°С, пальцы отваливаются, и нужно с внешним аккумулятором и ноутбуком пытаться что-то поломать. Узнали много интересного, например, что датчики движения можно забайпасить, и что служба безопасности по типу ГБР не быстро реагирует. Наши заказчики поняли, что им есть над чем поработать.

Сейчас большинство компаний, которые имеют критические узлы, и не хотят, чтобы к ним залезли, выстраивают упреждающую защиту. То есть раньше защита строилась так: ставим сигнализацию на дверь сервера. Но если злоумышленник дошел до сервера, это уже импакт. Поэтому нужно ставить упреждающие меры: систему видеонаблюдения, различные датчики, ограждения, которые позволят удорожить проведение атаки внешним злоумышленником. Концепции упреждающей защиты должны придерживаться компании, которые хотят, чтобы взломать их было очень сложно, дорого или вообще нецелесообразно.