QA Fest 2017. Денис Жевнер. Вы думали ваши секреты в безопасности? Вы ошибались
- 1. Первый в Украине фестиваль тестирования Денис Жевнер ВЫ ДУМАЛИ ВАШИ СЕКРЕТЫ В БЕЗОПАСНОСТИ. ВЫ ОШИБАЛИСЬ. Киев 2017
- 2. Киев 2017 ДЕНИС ЖЕВНЕР • SQA; • Wireless, telecom, embedded; • Open Source evangelist; • Beer professional; • Old good paranoic :)
- 3. Киев 2017 AGENDA • Загадочная история тестировщицы Марии; • Как Мария могла бы сэкономить?; • Слезы опыта в компании К; • Приобретения; • Wanna Cry (Wanna Decryptor); • Медок домашний; • Выводы; • Трое из ларца: Petya A, NotPetya, Petya/Mischa; • Полезности;
- 4. Киев 2017
- 5. Киев 2017 ЗАГАДОЧНАЯ ИСТОРИЯ ТЕСТИРОВЩИЦЫ МАРИИ Нашла заказ на фриланс бирже; Установила и протестировала desktop приложение; Описала баги при установке и интеграции в контекстное меню explorer; Отправила заказчику красивый отчет с описанием всего; Проверила что деньги зашли на WM счет; Выключила компьютер и пошла баинькать; Утром решила вывести деньги, и…
- 6. Киев 2017 КАК МАРИЯ МОГЛА БЫ СЭКОНОМИТЬ? Разделить окружения: на тестовом бегают тесты, на «банковском» - ходим в банки; Использовать песочницу при тестировании; Использовать виртуальные машины для тестирования; Разделять учетные записи и права доступа; Не доверять незнакомым бинарникам.
- 7. Киев 2017 СЛЕЗЫ ОПЫТА В КОМПАНИИ К Более 200 ПК в сети; Сеть разделена на несколько сегментов; Регулярные централизованные обновления; Доменные учетные записи; Каждый пользователь – администратор на своем ПК; Регулярное централизованное резервное копирование; Настроенный «железный» межсетевой экран; Аптайм серверов в среднем от 1 мес.; Блокировки некоторых ресурсов на уровне ISP (VK, mail.ru, etc);
- 8. Киев 2017 ПРИОБРЕТЕНИЯ Использование сервисов информирования о угрозах Работа с пользователями по поводу ИБ; Регулярное резервное копирование на оффлайн носитель; Регулярные принудительные обновления, в т.ч. серверов; Понижение локальных прав пользователей; «Белые списки» устанавливаемого ПО;
- 9. Киев 2017 WANNA CRY (WANNA DECRYPTOR) Использование уязвимости EternalBlue (Microsoft Security Bulletin MS17-010); Способен сканировать сеть и заражать соседей; «Умное» шифрование: почта, документы, БД и т.д.; Передача данных через Tor;
- 10. Киев 2017 МЕДОК ДОМАШНИЙ Домашняя локалка с выходом в интернет; Подключение к ISP через единый шлюз; Доступные локально медиа серверы и сервисы; «Зоопарк» домашних ОС; Каждый пользователь сам следит за своим ПО; Отсутствуют централизованные обновления, резервных копий, антивируса и т.д.;
- 11. Киев 2017 ВЫВОДЫ Угрозу может представлять даже доверенное ПО; Использование сертифицированного ПО для предприятий, в т.ч. и для работы из дому; Аппаратное разделение сети на сегменты; Настройка межсетевого экрана и маршрутизации между сегментами; Отключение всех неиспользуемых сервисов; Внешний и внутренний аудит компонентов сети; Резервное копирование на оффлайн носитель; Регулярные обновления;
- 12. Киев 2017 ТРОЕ ИЗ ЛАРЦА: PETYA A, NOTPETYA, PETYA/MISCHA Интересное: Использование знакомых уязвимостей EternalBlue и EternalRomance; Использование оригинального Petya/Mischa кода + «багфикс»; Использование Mimikatz для распространения по сети; Использование доверенной M.E.Doc как основной источник заражения; Странное: Использование руткита Telebot для произвольной загрузки исполняемых файлов и сбора информации; Отправка данных на сервера M.E.Doc; Не только шифрование, но и сбор данных (логины/пароли M.E.Doc, код ЄДРПОУ и т.д.); «Багфикс» «старого» Petya включал необратимое шифрование данных; Использование одного кошелька и одного e-mail для связи; Отчет компании ESET
- 13. Киев 2017 ПОЛЕЗНОСТИ • Онлайн вирус-сканеры; • Виртуальные машины; • Песочница; • Антивирусы; • Заморозка ОС; • Сетевые сканеры; • Специализированные ОС; • Шифрование диска/файлов; • Использование защищенного соединения; • Port knocking;