SlideShare a Scribd company logo

Как взломать телеком и остаться в живых

Q
qqlan

Документ представляет собой подробный анализ уязвимостей и рисков безопасности в телекоммуникационных сетях, акцентируя внимание на атаках как со стороны абонентов, так и снаружи. Обсуждаются специфические особенности инфраструктуры телекомов, включая сложные сети и разнообразие используемых приложений, а также трудности, возникающие при расследовании инцидентов. Автор делится примерами атак и рекомендациями по защите сетей от потенциальных угроз.

Technology
1 of 71
Downloaded 63 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
Как взломать телеком и остаться в живых Сергей Гордейчик Positive Technologies CTO
Аз есмъ Сергей Гордейчик, Positive Technologies, CTO Автор сценария и режиссер Positive Hack Days Научный редактор портала SecurityLab.Ru Автор курса «Безопасность Web-приложений», автор курса и одноименной книги «Безопасность беспроводных сетей» Участник WASC, RISSPA http://sgordey.blogspot.com
О чем пойдет речь? Что необычного в телекомах? Атаки на абонентов/Атаки от абонентов Периметр… Просто периметр Партнеры и подрядчики Технологические сети
Что необычного?
Специфика телекомов Огромные, огромные сети Объединение различных услуг (ШПД, беспроводной доступ, хостинг, мобильная связь) Огромное количество приложений и систем на периметре Экзотика внутри, экзотика снаружи Множество периметров Большая часть сетей – «чужие» Сложности при расследовании инцидентов
Сколько периметров у телекома? Интернет Абоненты Партнеры Офис Тех. сеть
…и немного больше… Мобильная связь Тех сеть ШПД Мобильная тех Проводной ШПД сеть Беспроводной ШПД VOIP Хостинг Интернет TV Хостинг ...
…и еще больше… Владивосток Москва Рим Пномпень
Атаки на абонентов
Почему абоненты? $ абонентов = $ телекомов DOS = - $$ - репутация - $$ PWN (100 000 PC) = Botnet Персональные данные!
Широкополосный доступ Громадные несегментированные сети Огромное количество оконечных устройств • Разнообразные SOHO-железки • Поставил и забыл • Стандартные баги настройки Учебник по небезопасности сетевых устройств  Протоколы управления SNMP/Telnet/HTTP/UPnP в Inet  Ненадежные/пустые пароли  Web-атаки на стороне клиента (Pinning, CSRF) Огромное количество пользователей • 1 из 1000 при 10 000 000 = 10 000 • Тривиальные пароли
Широкополосный доступ. Атака Сбор информации • Сканирование сети • Ошибки устройств доступа (BRAS) • Сбор информации внутренних форумов и т. д. • Ошибки платформ самообслуживания Неправильное имя или пароль vs Неправильное имя пользователя Подготовка сценариев • Захват устройств • Подбор паролей $profit$
Такое тоже бывает
Pick a task…
Примеры рисков Доступ к порталу самообслуживания •Вывод денег  Подбор пароля или кража router cfg (vpn/pppoe)  Перевод денег с ШПД на мобильный (интеграция!)  Монетизация через PRS •Это бесит!!!  Подбор пароля или кража router cfg (vpn/ppoe)  Закупка всего, что есть  Счет =0 Массовый взлом router/PC Массовое изменение настроек
Атаки на клиентов мобильных сетей Подделка Caller ID •Доступ к сервисам •Монетизация через PRS •Прямой вывод денег •Голосовые ящики •Порталы самообслуживания/USSD Internet SS7 Taget GSM SIP-GW Tech FAKE ID Systems unauthorized access
Атаки на клиентов мобильных сетей Mobile Malware Перехват GSM – НЕ ROCKET SCIENCE! • Атаки на A5/1 • MITM, переелючение в A5/0 • Downgrade UMTS -> GSM Трафик, SMS, одноразовые пароли... • Доступ к сервисам • Монетизация через PRS • Прямой вывод денег • Голосовые ящики • Порталы самообслуживания/USSD
Хостинг Локальная сеть для colocation/dedicated • Атаки сетевого/канального уровня, атаки на сетевую инфраструктуру • ARP Spoofing, IP Spoofing… old school • Внутрисегментные атаки IPv6 Атака на инфраструктуру (DNS…) Виртуальный хостинг (проникнув на один сайт...)
Pentester Tips & Tricks || ||
Pentester Tips & Tricks Только ищем уязвимости Все демонстрации только на себе Избегаем охраняемой законом информации Капризный заказчик… З: Докажи! Зайди на портал! P: Нет, спасибо, вот пароль – заходите сами…
Атаки ОТ абонентов
Почему ОПЯТЬ абоненты? Абоненты ВНУТРИ периметра (одного из) Многие атаки со стороны абонента осуществляются проще Кол-во абонентов современных телекомов достаточно велико
Общие проблемы Ошибки сетевого разграничения доступа Внутрисегментные атаки Защита оконечного оборудования Web-приложения для абонентов
Ошибки сетевого разграничения доступа Не всегда прямой путь – самый интересный :) C:>tracert -d www.ru Tracing route to www.ru [194.87.0.50] over a maximum of 30 hops: 1 * * * Request timed out. 3 10 ms 13 ms 5 ms 192.168.5.4 4 7 ms 6 ms 5 ms 192.168.4.6
Через тернии к level 15 #sh run Using 10994 out of 155640 bytes ! version 12.3 ... ! username test1 password 7 <removed> username antipov password 7 <removed> username gordey password 7 <removed> username anisimov password 7 <removed> username petkov password 7 <removed> username mitnik password 7 <removed> username jeremiah password 7 <removed>
Ошибки сетевого разграничения доступа GPRS/EDGE/3G традиционно «за NAT» Других клиентов «не видно» Это не всегда так… GPRS: платежные терминалы, банкоматы и др., где не всегда: • стоит МСЭ; • установлены обновления; • что-нибудь настроено.
Анекдот На том же GGSN – SNMP private
Анекдот Адаптивный портал (captive portal) «На вашем счету закончились деньги» •Linux •Apache •MySQL •PHP
Внутрисегментные атаки Абоненты ШПД и хостинга
Web-порталы и сервисы для абонентов Много-много ресурсов • Форумы, знакомства, видеоконвертеры, онлайн-игры, статистика, интернет- магазины, фотохостинг, файловый хостинг, онлайн-радио… Много-много дыр • Старые приложения и CMS, SQLi, LFI и далее по списку… Single-Sign-On или те же пароли… Часто стоят в ДМЗ, рядом с «нормальными» серверами
Web-порталы и сервисы для абонентов Игровой сервер games.* Proxima CMS, path traversal + SQLi +ошибки настройки = root На узле расположено еще 20 сайтов • Онлайн-трансляции • Фирменное десктоп-приложение •…
Pentester Tips & Tricks Часто ресурсы в абонентских сетях – абонентские Согласование, согласование, согласование Многие системы работают на честном слове Они падают постоянно, но раз вы в сети… Избегаем(!) охраняемой законом информации Капризный заказчик…
Периметр… Просто периметр
Периметр? Огромные, огромные сети! •Use clouds Много-много «чужих» ресурсов Будьте готовы к экзотике Корпоративные Web-приложения Властелины сети
Много-много чужих ресурсов Достаточно большое количество узлов на периметре принадлежит партнерам/абонентам Нередко эти узлы «перемешаны» с узлами заказчика Но игнорировать их нельзя • Давайте представим, что мы уже level 15/root/admin на этом узле и попали в этот сегмент
Много-много чужих ресурсов SQLi на портале мобильного контента (Oracle, sys) private на VoIP-шлюзе Обслуживаются партнерами Ломать нельзя  Фактически расположены в плоской ДМЗ с серверами заказчика Включая Front-End биллинга
Экзотика Чего только не найдешь на периметре • Технологическое «железо» • VoIP • Old school МСЭ • Web-камеры •Экзотические системы управления: ELOM, кондиционеры(!), UPS(!), etc. Помним про исторические атаки (X-mas scan, UNIX RPC, Finger…) Не игнорируем экзотику
Экзотика nc –P 20 xxx.xxx.xxx.xxx 8080 Точка доступа • Ненадежный пароль к Web • Включение Telnet • Компиляция tcpdump/nc и т. д. под платформу • Использование для перехвата трафика/туннеля Web-камера • LFI в Web-интерфейсе • Получение файлов конфигурации • Получение пароля доступа к системе управления • Получение доступа к системе управления
Путешествие в Gattaca
Смотрим видео!
Паутина Очень много Web. Правда-правда Часто доступны корпоративные («Enterprise») Web-приложения • Терминальные сервисы (Citrix) • Системы электронной почты • Системы helpdesk • Слабо готовы для работы в «диком Интернете»
Система техподдержки Нашли и использовали Path Traversal ManageEngine ServiceDesk Plus Получили «зашифрованный» пароль для интеграции с AD Пароль подошел к VPN Пароль подошел к AD (Enterprise Admin) Пароль подошел к Cisco ACS Тут-то нам и пошла удача
VPN Много VPN, хороших и разных Пароли, IPSec Aggressive Mode…
The Lords of the Rings Администратор – властелин сети Большая сеть – много администраторов Феодализм • Правила – для слабых • Корпоративная ИТ-инфраструктура VS «моя инфраструктура» • Системы удаленного доступа • Увлекательные Web-серверы и тестовые приложения
Все животные равны, но…
The Lords of the Rings TCP:1337 (SSL) – Web-сервер отдела системного администрирования Трансляция радио (ShoutCast Server со стандартным паролем) Расположен на рабочей станции администратора Со всеми вытекающими…
Pentester Tips & Tricks Старайтесь ничего не упустить на периметре Помните про чужие узлы Согласование, согласование, согласование Не игнорируйте сетевую экзотику. Иногда сетевая камера может стать путем к ядру сети! Особое внимание к Web Помним про админов
Партнеры и подрядчики
Подрядчики? Требования доступа к системам (VPN) Стандартные учетные записи (чтобы не забыть) Отсутствует управление обновлениями Сотрудники
Подрядчики… Подрядчик в технологической сети • Беспроводной интерфейс на ноутбуке • Общая папка «everyone» • В папке инсталлятор системы управления xDSL- модемами/оконечными маршрутизаторами • С «прошитым» паролем SA в СУБД • У кого еще такая система? Приложение для дилеров, продажа и активация пакетов связи • «Толстое» приложение – клиент • «Вышитый» пароль для доступа • … as SYSDBA
Подрядчики бывают разные….. OMG?! HAVE I PWND THAT?
Pentester Tips & Tricks Подрядчиков нельзя ломать  Согласование, согласование, согласование Многие сценарии эффективно демонстрировать «белым ящиком» Давайте предположим, что я подрядчик Но ты же не подрядчик …Капризный заказчик…
Технологические сети
Что-то особенное? Высокая динамика изменений в сети • Появление новых устройств • Работы подрядчиков • Изменение конфигураций Использование стандартных компонентов и протоколов • Угрозы, характерные для IP • Ошибки конфигурации • Уязвимости платформ Некоторые ошибки могут приводить к сбоям и способствовать мошенничеству
Технологические сети – прежде всего сети! Уязвимости оборудования Тестовые системы, системы подрядчиков ЗАБЫТЫЕ(!) системы Системы управления сетью
Забытые системы Ненастроенный коммутатор Uptime – 2 года!
Системы управления сетью Просто клад •Топология сети •Конфигурация устройств •Пароли и ключи VPN/WiFi/SNMP/RADIUS/VPN… «Они за файрволом» + Пароль на Web - Обновления ОС, СУБД, Web + Стандартные пароли СУБД + Файловые(!) шары
Тяжелый случай Найден WPA- PSK для AP Где стоят эти точки?!!
Резервирование вообще полезная штука Особенно по сети!
VoIP – лакомый кусочек! Управление Хищение вызовами (fraud) персональных данных Доступ в сеть предприятия VoIP Атака на… Искажение и подмена инфраструктуру информации шлюзы протоколы i[P]Phone Прослушивание И многое другое… вызовов
VOIP 1. Доступ VOIP Wi-Fi (No WPA, «тормозит») 2. Ближайший CISCO Call Manager a) SQLi, CVE-2008-0026 https://www.example.org/ccmuser/personaladdressbookEdit.do?key='+UNION+ALL+SELECT+'','','',user,'',password+from+app licationuser;-- b) Собираем хэши runsql select user,password from applicationuser c) Восстанавливает пароли из хэшей Компьютер нарушителя 3. Level 15 во всей сети 1 WEP ТОП ТОП 2 КЛВС Вне офиса Компании «А» PSTN IP PBX Компания «А» 3 SQL injection CVE-2008-0026
Мобильные сети – все тривиально Безопасность только на периметре Какие-то непонятные железки? • 3G SoftSwitch – Solaris 10 с CVE-2007-0882 (telnet -f)
Платформы самообслуживания WEB/USSD/WAP Интерфейсы с платежными системами Возможность вывода денег Отсутствие аутентификации (Caller ID) Слабая аутентификация (PIN-код?) Уязвимости приложений (Web, SQL Injection, XSS)
VAS-платформы Чье-то приложение «в сети» оператора Вредоносный контент, WAP-provisioning Широкий доступ с мобильной станции (WAP/HTTP): • Уязвимости Web-приложений • Уязвимости платформ Платформы для создания сервисов
Вместо заключения
Forensic Nightmare Огромные сети делают крайне сложным расследование инцидентов Много векторов, много железок, много администраторов Два-три «хопа» во внутренней сети – и концов не найдешь
Кто здесь?
В попытках найти концы…
Кому-то печаль…
Кому-то радость
Спасибо за внимание! Сергей Гордейчик gordey@ptsecurity.com http://sgordey.blogspot.com http://ptresearch.blogspot.com http://phdays.com

More Related Content

PPTX
From ERP to SCADA and back
qqlan
 
PPT
Как собрать самому хакерский планшет
Positive Hack Days
 
PDF
Pt infosec - 2014 - импортозамещение
qqlan
 
PDF
CodeFest 2012 - Пентест на стероидах
Sergey Belov
 
PDF
Безопасная IP-телефония Asterisk: закрытие уязвимостей
SkillFactory
 
PDF
SibirCTF 2016. Практические методы защиты веб-приложений
Denis Kolegov
 
PPT
Ics presentations as
alexnetu
 
PPTX
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 
From ERP to SCADA and back
qqlan
 
Как собрать самому хакерский планшет
Positive Hack Days
 
Pt infosec - 2014 - импортозамещение
qqlan
 
CodeFest 2012 - Пентест на стероидах
Sergey Belov
 
Безопасная IP-телефония Asterisk: закрытие уязвимостей
SkillFactory
 
SibirCTF 2016. Практические методы защиты веб-приложений
Denis Kolegov
 
Ics presentations as
alexnetu
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 

What's hot (10)

PPTX
Certifi-Gate: атака в теории и на практике
Positive Hack Days
 
PDF
Опыт расследования инцидентов в коммерческих банках
Айдар Гилязов
 
PDF
Offzone | Another waf bypass
Дмитрий Бумов
 
ODP
MUM Построение сети доступа на основе технологий DHCP + Radius на Mikrotik
Naim Shafiev
 
PPTX
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Positive Hack Days
 
PPTX
современная практика статического анализа безопасности кода веб приложений
Sergey Belov
 
PPTX
МЭ и СОВ Рубикон
cnpo
 
PPTX
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Mikhail Egorov
 
PPT
Портирование C++ приложений на FLASCC: опыт Unreal Engine 3. Павел Наказненко...
Unigine Corp.
 
PPTX
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
 
Certifi-Gate: атака в теории и на практике
Positive Hack Days
 
Опыт расследования инцидентов в коммерческих банках
Айдар Гилязов
 
Offzone | Another waf bypass
Дмитрий Бумов
 
MUM Построение сети доступа на основе технологий DHCP + Radius на Mikrotik
Naim Shafiev
 
Device Fingerprint — лекарство от мошенничества. Все дело в дозировке
Positive Hack Days
 
современная практика статического анализа безопасности кода веб приложений
Sergey Belov
 
МЭ и СОВ Рубикон
cnpo
 
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Mikhail Egorov
 
Портирование C++ приложений на FLASCC: опыт Unreal Engine 3. Павел Наказненко...
Unigine Corp.
 
Пост-эксплуатация веб-приложений в тестах на проникновение
beched
 
Ad

Similar to Как взломать телеком и остаться в живых (20)

PPT
Как взломать телеком и остаться в живых. Сергей Гордейчик
Positive Hack Days
 
PPTX
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
PDF
Антон Карпов - Обзорная лекция по безопасности
Yandex
 
PDF
Защищенные сети без границ – подход Cisco
Cisco Russia
 
PDF
Практика исследования защищенности российских компаний.
Cisco Russia
 
PPTX
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Alexey Kachalin
 
PPTX
Тестирование Сетевой Безопасности
SQALab
 
PDF
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Cisco Russia
 
PDF
От SS7 к IP — эволюция безопасности сетей связи
Positive Hack Days
 
PDF
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
UISGCON
 
PPT
Positive Hack Days. Павлов. Мастер-класс: Анализ защищенности сетевой инфраст...
Positive Hack Days
 
PDF
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Positive Hack Days
 
PPTX
Алексей Лукацкий (Cisco) - Безопасность внутренней сети
Expolink
 
PDF
Типовые атаки на корпоративную информационную систему (КИС)
Альбина Минуллина
 
PPTX
Как взламывают сети государственных учреждений
Dmitry Evteev
 
PDF
Rabovoluk presentation yaroslav-2
kuchinskaya
 
PDF
безопасный удалённый доступ
Expolink
 
PDF
Безопасность новых информационных технологий
Cisco Russia
 
DOC
Pentest Report Sample
Training center "Echelon"
 
PDF
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
Cisco Russia
 
Как взломать телеком и остаться в живых. Сергей Гордейчик
Positive Hack Days
 
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
Антон Карпов - Обзорная лекция по безопасности
Yandex
 
Защищенные сети без границ – подход Cisco
Cisco Russia
 
Практика исследования защищенности российских компаний.
Cisco Russia
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Alexey Kachalin
 
Тестирование Сетевой Безопасности
SQALab
 
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Cisco Russia
 
От SS7 к IP — эволюция безопасности сетей связи
Positive Hack Days
 
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
UISGCON
 
Positive Hack Days. Павлов. Мастер-класс: Анализ защищенности сетевой инфраст...
Positive Hack Days
 
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Positive Hack Days
 
Алексей Лукацкий (Cisco) - Безопасность внутренней сети
Expolink
 
Типовые атаки на корпоративную информационную систему (КИС)
Альбина Минуллина
 
Как взламывают сети государственных учреждений
Dmitry Evteev
 
Rabovoluk presentation yaroslav-2
kuchinskaya
 
безопасный удалённый доступ
Expolink
 
Безопасность новых информационных технологий
Cisco Russia
 
Pentest Report Sample
Training center "Echelon"
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
Cisco Russia
 
Ad

More from qqlan (20)

PDF
D1 t1 t. yunusov k. nesterov - bootkit via sms
qqlan
 
PDF
Kaspersky SAS SCADA in the Cloud
qqlan
 
PPTX
Миссиоцентрический подход к кибербезопасности АСУ ТП
qqlan
 
PDF
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...
qqlan
 
PDF
Best of Positive Research 2013
qqlan
 
PDF
Web-style Wireless IDS attacks, Sergey Gordeychik
qqlan
 
PDF
G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...
qqlan
 
PPTX
SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]
qqlan
 
PPTX
SCADA StrangeLove Kaspersky SAS 2014 - LHC
qqlan
 
PDF
Firebird Interbase Database engine hacks or rtfm
qqlan
 
PDF
SCADA StrangeLove 2: We already know
qqlan
 
PDF
Internet connected ICS/SCADA/PLC
qqlan
 
PDF
SCADA deep inside:protocols and software architecture
qqlan
 
PDF
Techniques of attacking ICS systems
qqlan
 
PDF
Positive Technologies Application Inspector
qqlan
 
PPTX
Database honeypot by design
qqlan
 
PDF
Positive Technologies Application Inspector
qqlan
 
PPTX
Black Hat: XML Out-Of-Band Data Retrieval
qqlan
 
PDF
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
qqlan
 
PDF
Positive Technologies - S4 - Scada under x-rays
qqlan
 
D1 t1 t. yunusov k. nesterov - bootkit via sms
qqlan
 
Kaspersky SAS SCADA in the Cloud
qqlan
 
Миссиоцентрический подход к кибербезопасности АСУ ТП
qqlan
 
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...
qqlan
 
Best of Positive Research 2013
qqlan
 
Web-style Wireless IDS attacks, Sergey Gordeychik
qqlan
 
G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...
qqlan
 
SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]
qqlan
 
SCADA StrangeLove Kaspersky SAS 2014 - LHC
qqlan
 
Firebird Interbase Database engine hacks or rtfm
qqlan
 
SCADA StrangeLove 2: We already know
qqlan
 
Internet connected ICS/SCADA/PLC
qqlan
 
SCADA deep inside:protocols and software architecture
qqlan
 
Techniques of attacking ICS systems
qqlan
 
Positive Technologies Application Inspector
qqlan
 
Database honeypot by design
qqlan
 
Positive Technologies Application Inspector
qqlan
 
Black Hat: XML Out-Of-Band Data Retrieval
qqlan
 
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
qqlan
 
Positive Technologies - S4 - Scada under x-rays
qqlan
 

Как взломать телеком и остаться в живых

  • 1. Как взломать телеком и остаться в живых Сергей Гордейчик Positive Technologies CTO
  • 2. Аз есмъ Сергей Гордейчик, Positive Technologies, CTO Автор сценария и режиссер Positive Hack Days Научный редактор портала SecurityLab.Ru Автор курса «Безопасность Web-приложений», автор курса и одноименной книги «Безопасность беспроводных сетей» Участник WASC, RISSPA http://sgordey.blogspot.com
  • 3. О чем пойдет речь? Что необычного в телекомах? Атаки на абонентов/Атаки от абонентов Периметр… Просто периметр Партнеры и подрядчики Технологические сети
  • 5. Специфика телекомов Огромные, огромные сети Объединение различных услуг (ШПД, беспроводной доступ, хостинг, мобильная связь) Огромное количество приложений и систем на периметре Экзотика внутри, экзотика снаружи Множество периметров Большая часть сетей – «чужие» Сложности при расследовании инцидентов
  • 6. Сколько периметров у телекома? Интернет Абоненты Партнеры Офис Тех. сеть
  • 7. …и немного больше… Мобильная связь Тех сеть ШПД Мобильная тех Проводной ШПД сеть Беспроводной ШПД VOIP Хостинг Интернет TV Хостинг ...
  • 8. …и еще больше… Владивосток Москва Рим Пномпень
  • 10. Почему абоненты? $ абонентов = $ телекомов DOS = - $$ - репутация - $$ PWN (100 000 PC) = Botnet Персональные данные!
  • 11. Широкополосный доступ Громадные несегментированные сети Огромное количество оконечных устройств • Разнообразные SOHO-железки • Поставил и забыл • Стандартные баги настройки Учебник по небезопасности сетевых устройств  Протоколы управления SNMP/Telnet/HTTP/UPnP в Inet  Ненадежные/пустые пароли  Web-атаки на стороне клиента (Pinning, CSRF) Огромное количество пользователей • 1 из 1000 при 10 000 000 = 10 000 • Тривиальные пароли
  • 12. Широкополосный доступ. Атака Сбор информации • Сканирование сети • Ошибки устройств доступа (BRAS) • Сбор информации внутренних форумов и т. д. • Ошибки платформ самообслуживания Неправильное имя или пароль vs Неправильное имя пользователя Подготовка сценариев • Захват устройств • Подбор паролей $profit$
  • 15. Примеры рисков Доступ к порталу самообслуживания •Вывод денег  Подбор пароля или кража router cfg (vpn/pppoe)  Перевод денег с ШПД на мобильный (интеграция!)  Монетизация через PRS •Это бесит!!!  Подбор пароля или кража router cfg (vpn/ppoe)  Закупка всего, что есть  Счет =0 Массовый взлом router/PC Массовое изменение настроек
  • 16. Атаки на клиентов мобильных сетей Подделка Caller ID •Доступ к сервисам •Монетизация через PRS •Прямой вывод денег •Голосовые ящики •Порталы самообслуживания/USSD Internet SS7 Taget GSM SIP-GW Tech FAKE ID Systems unauthorized access
  • 17. Атаки на клиентов мобильных сетей Mobile Malware Перехват GSM – НЕ ROCKET SCIENCE! • Атаки на A5/1 • MITM, переелючение в A5/0 • Downgrade UMTS -> GSM Трафик, SMS, одноразовые пароли... • Доступ к сервисам • Монетизация через PRS • Прямой вывод денег • Голосовые ящики • Порталы самообслуживания/USSD
  • 18. Хостинг Локальная сеть для colocation/dedicated • Атаки сетевого/канального уровня, атаки на сетевую инфраструктуру • ARP Spoofing, IP Spoofing… old school • Внутрисегментные атаки IPv6 Атака на инфраструктуру (DNS…) Виртуальный хостинг (проникнув на один сайт...)
  • 19. Pentester Tips & Tricks || ||
  • 20. Pentester Tips & Tricks Только ищем уязвимости Все демонстрации только на себе Избегаем охраняемой законом информации Капризный заказчик… З: Докажи! Зайди на портал! P: Нет, спасибо, вот пароль – заходите сами…
  • 22. Почему ОПЯТЬ абоненты? Абоненты ВНУТРИ периметра (одного из) Многие атаки со стороны абонента осуществляются проще Кол-во абонентов современных телекомов достаточно велико
  • 23. Общие проблемы Ошибки сетевого разграничения доступа Внутрисегментные атаки Защита оконечного оборудования Web-приложения для абонентов
  • 24. Ошибки сетевого разграничения доступа Не всегда прямой путь – самый интересный :) C:>tracert -d www.ru Tracing route to www.ru [194.87.0.50] over a maximum of 30 hops: 1 * * * Request timed out. 3 10 ms 13 ms 5 ms 192.168.5.4 4 7 ms 6 ms 5 ms 192.168.4.6
  • 25. Через тернии к level 15 #sh run Using 10994 out of 155640 bytes ! version 12.3 ... ! username test1 password 7 <removed> username antipov password 7 <removed> username gordey password 7 <removed> username anisimov password 7 <removed> username petkov password 7 <removed> username mitnik password 7 <removed> username jeremiah password 7 <removed>
  • 26. Ошибки сетевого разграничения доступа GPRS/EDGE/3G традиционно «за NAT» Других клиентов «не видно» Это не всегда так… GPRS: платежные терминалы, банкоматы и др., где не всегда: • стоит МСЭ; • установлены обновления; • что-нибудь настроено.
  • 27. Анекдот На том же GGSN – SNMP private
  • 28. Анекдот Адаптивный портал (captive portal) «На вашем счету закончились деньги» •Linux •Apache •MySQL •PHP
  • 29. Внутрисегментные атаки Абоненты ШПД и хостинга
  • 30. Web-порталы и сервисы для абонентов Много-много ресурсов • Форумы, знакомства, видеоконвертеры, онлайн-игры, статистика, интернет- магазины, фотохостинг, файловый хостинг, онлайн-радио… Много-много дыр • Старые приложения и CMS, SQLi, LFI и далее по списку… Single-Sign-On или те же пароли… Часто стоят в ДМЗ, рядом с «нормальными» серверами
  • 31. Web-порталы и сервисы для абонентов Игровой сервер games.* Proxima CMS, path traversal + SQLi +ошибки настройки = root На узле расположено еще 20 сайтов • Онлайн-трансляции • Фирменное десктоп-приложение •…
  • 32. Pentester Tips & Tricks Часто ресурсы в абонентских сетях – абонентские Согласование, согласование, согласование Многие системы работают на честном слове Они падают постоянно, но раз вы в сети… Избегаем(!) охраняемой законом информации Капризный заказчик…
  • 34. Периметр? Огромные, огромные сети! •Use clouds Много-много «чужих» ресурсов Будьте готовы к экзотике Корпоративные Web-приложения Властелины сети
  • 35. Много-много чужих ресурсов Достаточно большое количество узлов на периметре принадлежит партнерам/абонентам Нередко эти узлы «перемешаны» с узлами заказчика Но игнорировать их нельзя • Давайте представим, что мы уже level 15/root/admin на этом узле и попали в этот сегмент
  • 36. Много-много чужих ресурсов SQLi на портале мобильного контента (Oracle, sys) private на VoIP-шлюзе Обслуживаются партнерами Ломать нельзя  Фактически расположены в плоской ДМЗ с серверами заказчика Включая Front-End биллинга
  • 37. Экзотика Чего только не найдешь на периметре • Технологическое «железо» • VoIP • Old school МСЭ • Web-камеры •Экзотические системы управления: ELOM, кондиционеры(!), UPS(!), etc. Помним про исторические атаки (X-mas scan, UNIX RPC, Finger…) Не игнорируем экзотику
  • 38. Экзотика nc –P 20 xxx.xxx.xxx.xxx 8080 Точка доступа • Ненадежный пароль к Web • Включение Telnet • Компиляция tcpdump/nc и т. д. под платформу • Использование для перехвата трафика/туннеля Web-камера • LFI в Web-интерфейсе • Получение файлов конфигурации • Получение пароля доступа к системе управления • Получение доступа к системе управления
  • 41. Паутина Очень много Web. Правда-правда Часто доступны корпоративные («Enterprise») Web-приложения • Терминальные сервисы (Citrix) • Системы электронной почты • Системы helpdesk • Слабо готовы для работы в «диком Интернете»
  • 42. Система техподдержки Нашли и использовали Path Traversal ManageEngine ServiceDesk Plus Получили «зашифрованный» пароль для интеграции с AD Пароль подошел к VPN Пароль подошел к AD (Enterprise Admin) Пароль подошел к Cisco ACS Тут-то нам и пошла удача
  • 43. VPN Много VPN, хороших и разных Пароли, IPSec Aggressive Mode…
  • 44. The Lords of the Rings Администратор – властелин сети Большая сеть – много администраторов Феодализм • Правила – для слабых • Корпоративная ИТ-инфраструктура VS «моя инфраструктура» • Системы удаленного доступа • Увлекательные Web-серверы и тестовые приложения
  • 46. The Lords of the Rings TCP:1337 (SSL) – Web-сервер отдела системного администрирования Трансляция радио (ShoutCast Server со стандартным паролем) Расположен на рабочей станции администратора Со всеми вытекающими…
  • 47. Pentester Tips & Tricks Старайтесь ничего не упустить на периметре Помните про чужие узлы Согласование, согласование, согласование Не игнорируйте сетевую экзотику. Иногда сетевая камера может стать путем к ядру сети! Особое внимание к Web Помним про админов
  • 49. Подрядчики? Требования доступа к системам (VPN) Стандартные учетные записи (чтобы не забыть) Отсутствует управление обновлениями Сотрудники
  • 50. Подрядчики… Подрядчик в технологической сети • Беспроводной интерфейс на ноутбуке • Общая папка «everyone» • В папке инсталлятор системы управления xDSL- модемами/оконечными маршрутизаторами • С «прошитым» паролем SA в СУБД • У кого еще такая система? Приложение для дилеров, продажа и активация пакетов связи • «Толстое» приложение – клиент • «Вышитый» пароль для доступа • … as SYSDBA
  • 52. Pentester Tips & Tricks Подрядчиков нельзя ломать  Согласование, согласование, согласование Многие сценарии эффективно демонстрировать «белым ящиком» Давайте предположим, что я подрядчик Но ты же не подрядчик …Капризный заказчик…
  • 54. Что-то особенное? Высокая динамика изменений в сети • Появление новых устройств • Работы подрядчиков • Изменение конфигураций Использование стандартных компонентов и протоколов • Угрозы, характерные для IP • Ошибки конфигурации • Уязвимости платформ Некоторые ошибки могут приводить к сбоям и способствовать мошенничеству
  • 55. Технологические сети – прежде всего сети! Уязвимости оборудования Тестовые системы, системы подрядчиков ЗАБЫТЫЕ(!) системы Системы управления сетью
  • 56. Забытые системы Ненастроенный коммутатор Uptime – 2 года!
  • 57. Системы управления сетью Просто клад •Топология сети •Конфигурация устройств •Пароли и ключи VPN/WiFi/SNMP/RADIUS/VPN… «Они за файрволом» + Пароль на Web - Обновления ОС, СУБД, Web + Стандартные пароли СУБД + Файловые(!) шары
  • 58. Тяжелый случай Найден WPA- PSK для AP Где стоят эти точки?!!
  • 59. Резервирование вообще полезная штука Особенно по сети!
  • 60. VoIP – лакомый кусочек! Управление Хищение вызовами (fraud) персональных данных Доступ в сеть предприятия VoIP Атака на… Искажение и подмена инфраструктуру информации шлюзы протоколы i[P]Phone Прослушивание И многое другое… вызовов
  • 61. VOIP 1. Доступ VOIP Wi-Fi (No WPA, «тормозит») 2. Ближайший CISCO Call Manager a) SQLi, CVE-2008-0026 https://www.example.org/ccmuser/personaladdressbookEdit.do?key='+UNION+ALL+SELECT+'','','',user,'',password+from+app licationuser;-- b) Собираем хэши runsql select user,password from applicationuser c) Восстанавливает пароли из хэшей Компьютер нарушителя 3. Level 15 во всей сети 1 WEP ТОП ТОП 2 КЛВС Вне офиса Компании «А» PSTN IP PBX Компания «А» 3 SQL injection CVE-2008-0026
  • 62. Мобильные сети – все тривиально Безопасность только на периметре Какие-то непонятные железки? • 3G SoftSwitch – Solaris 10 с CVE-2007-0882 (telnet -f)
  • 63. Платформы самообслуживания WEB/USSD/WAP Интерфейсы с платежными системами Возможность вывода денег Отсутствие аутентификации (Caller ID) Слабая аутентификация (PIN-код?) Уязвимости приложений (Web, SQL Injection, XSS)
  • 64. VAS-платформы Чье-то приложение «в сети» оператора Вредоносный контент, WAP-provisioning Широкий доступ с мобильной станции (WAP/HTTP): • Уязвимости Web-приложений • Уязвимости платформ Платформы для создания сервисов
  • 66. Forensic Nightmare Огромные сети делают крайне сложным расследование инцидентов Много векторов, много железок, много администраторов Два-три «хопа» во внутренней сети – и концов не найдешь
  • 71. Спасибо за внимание! Сергей Гордейчик gordey@ptsecurity.com http://sgordey.blogspot.com http://ptresearch.blogspot.com http://phdays.com