Ярослав Москвин, МойОфис: Локпикинг популярен среди хакеров, потому что похож на хакинг в физическом, оффлайновом измерении

Ярослав Москвин, AppSec-инженер МойОфис, рассказал порталу Cyber Media о применении локпикинга в физических пентестах и redteam-проектах, техниках обхода систем контроля и управления доступом.

Cyber Media: Насколько сложно освоить локпикинг и насколько эта техника востребована у специалистов по анализу защищенности, интересна потенциальным заказчикам?

Ярослав Москвин: Освоить совсем не сложно. Все, что нужно — это инструменты и немного практики. И отсутствие проблем с мелкой моторикой, конечно же. Локпикинг востребован в Red Team, поскольку иногда нужно пробраться на территорию или открыть какую-нибудь дверь. Как отдельный от Red Team вид проверок и аудитов это не настолько популярно. А в сообществе это в первую очередь спорт. И он пользуется большой популярностью среди хакеров, так как похож на хакинг в физическом, оффлайновом измерении.

Cyber Media: Какие советы вы могли бы дать новичкам, которые только начинают осваивать локпикинг? С чего начать, на чем можно потренироваться без проблем с этикой и законом, и т.д.

Ярослав Москвин: С этической точки зрения, не стоит проникать куда бы то ни было и ломать замки без разрешения владельца.  Это прежде всего спорт.  Потренироваться без проблем можно, например, с наручниками простой конструкции. Тут даже отмычек не понадобится. В большинстве случаев достаточно шпильки или заколки для волос. Затем уже замки. На различных маркетплейсах достаточно «тренировочных» прозрачных замков. С их помощью можно изучить механизм работы замка и разобраться, как его открыть. 

В плане самих инструментов сложнее. В РФ и многих других странах оборот таких «специальных технических средств» ограничен. Это означает, что на территории нашей страны нельзя производить, покупать или продавать такие специальные технические средства. Однако владеть таковыми не запрещено. Вы можете привезти их с собой из страны с более мягким законодательством, либо принять в дар от друга.

Cyber Media: С какими интересными случаями применения локпикинга или других способов обхода СКУД вы сталкивались в своей практике?

Ярослав Москвин: Интересные случаи, как правило, — это что-то личное. Навык часто выручает в быту! Например, на собеседование в одну компанию пришлось буквально пробираться с использованием навыков социальной инженерии и локпикинга. Менеджер не спешил встречать меня, чтобы проводить на территорию, и я прошел «паровозом» за сотрудником из курилки, а затем зашел на этаж с задней двери. Такое появление на месте сразу настроило разговор на нужный лад. 

Cyber Media: Все большее распространение получают электронные замки, разделяющие территорию организации на зоны доступа. Насколько эффективны такие решения с точки зрения защищенности?

Ярослав Москвин: Разделение на зоны доступа — это правильно и грамотно.  А про  электронные замки скажу, что это зависит от конкретной модели. Не так давно был курьезный случай с электронными замками, оборудованными встроенным сканером отпечатка пальцев. Не нужно было придумывать шпионских трюков с силиконовыми «пальцами» или чего-то подобного. Замок достаточно легко открывался отверткой типа «звездочка» за 2 минуты.  Конечно, таких электронных замков стоит избегать.  

Cyber Media: В некоторых зрелых компаниях можно встретить СКУД с двумя факторами, например, ключ-карта и биометрия (контур лица, отпечаток пальца и т.д.). Насколько такие решения технически устойчивы?

Ярослав Москвин: Такие решения технически более устойчивы, но и дороже в обслуживании и эксплуатации. Например, двойная дверь с буферной зоной, где специалист по безопасности сверяет лицо сотрудника с фотографией в его удостоверении, крайне эффективна. Некоторые зоны контроля оборудуют еще и весами. Поправившийся на 10 кг за два дня сотрудник — вызовет подозрения и, скорее всего, будет досмотрен на предмет проноса или выноса оборудования. 

Часто бывает, что защищенный подобным образом парадный вход остается бесполезен против злоумышленника, который проникает через технический вход, облачившись в синюю спецовку и со стремянкой в руках. Технический персонал, часто легкомысленно пропускают без должного контроля. Чем активно пользуются как злоумышленники, так и ИБ-специалисты при RedTeam. Шутка ли. Спецовка и стремянка — практически ключ от всех дверей, вежливые сотрудники сами проводят вас в ту зону где «лампочка перегорела».

Cyber Media: Какие решения (комплексы решений) для контроля доступа по вашему опыту наиболее эффективны для обеспечения информационной безопасности?

Ярослав Москвин: Как правило, большей части компаний достаточно разделения доступа на зоны и политики «чистого стола». Как бы мы не пытались уберечь данные в офисах, сотрудники службы охраны и люди, которые занимаются уборкой помещений, будут иметь возможность доступа практически в любую комнату. Нужно это учитывать и не давать доступ, в том числе техническому персоналу, в режимные помещения (такие как серверная). Кроме этого, такие помещения должны быть оборудованы несколькими степенями защиты. Например, в качестве второго фактора может выступать поворот ключа с поста охраны, который верифицирует право доступа сотрудника по камере наблюдения и биометрии.

Cyber Media: В рамках проектов по физическому пентесту, насколько часто первыми о нарушителе докладывают обычные сотрудники, а не отдел безопасности?

Ярослав Москвин: Очень часто сотрудники информируют свое начальство о том, что «происходит что-то подозрительное» и уже только потом реагируют отделы безопасности. Но ведь для того, чтобы правильно наладить процессы и повысить степень вовлеченности сотрудников безопасности, и проводятся различные учения, включающие в себя социотехнические исследования,  информирование сотрудников.