SlideShare a Scribd company logo

Как взломать телеком и остаться в живых. Сергей Гордейчик

Positive Hack Days, profile picture
Positive Hack Days

Документ описывает уязвимости и угрозы, связанные с телекомуникационными сетями, уделяя особое внимание атакам как на абонентов, так и от них. Автор, Сергей Гордейчик, делится опытом в области безопасности, включая различные типы атак, ошибки конфигурации сетей и методы защиты. Основное внимание уделяется сложностям, возникающим из-за масштабов и разнообразия телекоммуникационных систем, а также аспектам, влияющим на безопасность данных и конфиденциальность пользователей.

Technology
Related topics:
Information Security Penetration-Testing
1 of 71
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
Как взломать телеком и остаться в живых Сергей Гордейчик Positive Technologies CTO
Азм есмъ Сергей Гордейчик, Positive Technologies, CTO Автор сценария и режиссёр Positive Hack Days Научный редактор SecurityLab.Ru Автор курсов «Безопасность Web- приложений», < и книги > «Безопасность беспроводных сетей» Участник WASC, RISSPA http://sgordey.blogspot.com
О чем пойдет речь ? Что необычного в телекомах ? Атаки на абонентов / Атаки от абонентов Периметр… Просто периметр Партнеры и подрядчики Технологические сети
Что необычного?
Специфика телекомов Огромные, огромные сеть Объединение различных услуг (ШПД, Wireless , хостинг , Mobile) Огромное количество приложений и систем на периметре Экзотика внутри, экзотика снаружи Множество периметров Большая часть сетей – «чужие» Сложности Forensic
Сколько периметров у телекома? Интернет Абоненты Партнеры Офис Тех сеть
… и немного больше… Мобильные Проводной ШПД Беспроводной ШПД VOIP Хостинг ... Тех сеть ШПД Мобильная тех сеть Интернет TV Хостинг
… и еще больше… Владивосток Москва Рим Пномпень
Атаки на абонентов
Почему абоненты? $ абонентов = $ телекомов DOS = - $$ - репутация - $$ PWN (100 000 PC) = Botnet Персональные данные!
Широкополосный доступ Громадные несегментированные сети Огромное количество оконечных устройств Разнообразные SOHO -железки Поставил и забыл Стандартные баги настройки Учебник по Network device insecurity Протоколы управления SNMP/Telnet/HTTP/UPnP в Inet Слабые / пустые пароли Web attacks via client (Pinning, CSFR) Огромной количество пользователей 1 из 1000 при 10 000 000 = 10 000 Тривиальные пароли
Широкополосный доступ - атака Сбор информации Сканирование сети Ошибки устройств доступа (BRAS) Сбор информации внутренних формумов и т.д. Ошибки платформ самообслуживания Неправильное имя или пароль vs Неправильное имя пользователя Подготовка сценариев Захват устройств Подбор паролей $profit$
Такое тоже бывает
Pick a task…
Примеры рисков Доступ к порталу самообслуживания Вывод денег Подбор пароля или кража router cfg ( vpn/pppoe) Перевод денег с ШПД на мобильный (интеграция!) Монетизация через PRS Это бесит!!! Подбор пароля или кража router cfg ( vpn/ppoe) Закупка всего что есть Счет =0 Массовый взлом router/PC Массовая переконфигурация
Атаки на клиентов мобильных сетей Подделка Caller ID Доступ к сервисам Монетизация через PRS Прямой вывод денег Голосовые ящики Порталы самообслуживания /USSD SS7 Internet Taget GSM SIP-GW Tech Systems FAKE ID unauthorized access
Атаки на клиентов мобильных сетей Mobile Malware Перехват GSM - НЕ ROCKET SCIENCE! Атаки на A5/1 MITM, перевод в A5/0 Downgrade UMTS -> GSM Трафик, SMS, одноразовые пароли... Доступ к сервисам Монетизация через PRS Прямой вывод денег Голосовые ящики Порталы самообслуживания /USSD
Хостинг Локальная сеть для colocation/dediacated Атаки сетевого / канального уровня , атаки на сетевую инфраструктуру ARP Spoofing, IP Spoofing… old school Внутрисегментные атаки IPv6 Атака на инфраструктуру ( DNS… ) Виртуальный хостинг (проникнув на один сайт...)
Pentester Tip & Tricks || ||
Pentester Tip & Tricks Только ищем уязвимости Все демонстрации только на себе Избегаем охраняемой законом информации Капризный заказчик… З: Докажи! Зайди на портал! P: Нет , спасибо, вот пароль – заходите сами…
Атаки ОТ абонентов
Почему ОПЯТЬ абоненты? Абоненты ВНУТРИ (одного из) периметра Многие атаки со стороны абонента осуществляются проще Кол-во абонентов современных телекомов достаточно велико
Общие проблемы Ошибки сетевого разграничения доступа Внутрисегментные атаки Защита оконечного оборудования Web- приложения для абонентов
Ошибки сетевого разграничения доступа C:\>tracert -d www.ru Tracing route to www.ru [194.87.0.50] over a maximum of 30 hops: 1 * * * Request timed out. 3 10 ms 13 ms 5 ms 192 . 168 .5.4 4 7 ms 6 ms 5 ms 192 . 168 .4.6 Не всегда прямой путь самый интересный :)
Через тернии к level 15 #sh run Using 10994 out of 155640 bytes ! version 12.3 ... ! username test1 password 7 <removed> username antipov password 7 <removed> username gordey password 7 <removed> username anisimov password 7 <removed> username petkov password 7 <removed> username mitnik password 7 <removed> username jeremiah password 7 <removed>
Ошибки сетевого разграничения доступа GPRS/EDGE/3G традиционно «за NAT » Других клиентов «не видно» Это не всегда так… GPRS - платежные терминалы, банкоматамы и др, где и не всегда: Стоит МСЭ Есть патчи Что-нибудь настроено
Анекдот На том же GGSN – SNMP private
Анекдот Captive Portal «На вашем счету закончились деньги» Linux Apache MySQL PHP
Внутрисегментные атаки Абоненты ШПД и хостинга
Web- порталы и сервисы для абонентов Много-много ресурсов Форумы, знакомства, видео конвертеры, онлайн-игры, статистика, интернет-магазины, фотохостинг, файловый хостинг, онлайн-радио… Много - много дыр Старые приложения и CMS, SQLi, LFI и далее по списку… Single-Sign-On или те же пароли… Часто стоят в ДМЗ, рядом с «нормальными» серверами
Web- порталы и сервисы для абонентов Игровой сервер games.* Proxima CMS , path traversal + SQLi + ошибки настройки = root На узле расположено еще 20 сайтов Online -трансляции Фирменное десктоп-приложение …
Pentester Tip & Tricks Часто ресурсы в абонентских сетях - абонентские Согласование, согласование, согласование Многие системы работают на честном слове Они падают постоянно, но раз вы в сети… Избегаем !!! охраняемой законом информации Капризный заказчик…
Периметр… Просто периметр
Периметр ? Огромные , огромные сети! Use clouds Много-много «чужих» ресурсов Будьте готовы к экзотике Enterprise Web- приложения Властелины сети
Много-много чужих ресурсов Достаточно большое количество узлов на периметре принадлежит партнёрам / абонентам Нередко эти узлы «перемешаны» с узлами заказчика Но игнорировать их нельзя Давайте представим что мы уже level 15/root/admin на этом узле и попали в этот сегмент
Много-много чужих ресурсов SQLi на портале мобильного контента ( Oracle, sys) private на VoIP- шлюзе Обслуживаются партнёрами Ломать нельзя  Фактически расположены в плоской ДМЗ с серверами заказчика Включая Front-End биллига
Экзотика Чего только не найдешь на периметре Технологическое «железо» VoIP Old-school firewalls Web- камеры Экзотические системы управления ( ELOM, кондиционеры ! , UPS ! ) Помним про исторические атаки ( X-mas scan, UNIX RPC, Finger…) Не игнорируем экзотику
Экзотика nc –P 20 xxx.xxx.xxx.xxx 8080 Точка доступа Слабый пароли к Web Включение Telnet Компиляция tcpdump/nc и т.д. под платформу Использование для перехвата трафика / туннеля Веб-камера LFI в веб-интерфейсе Получение файлов конфигурации Получение пароля доступа к системе управления Получение доступа к системе управления
Путешествие в Gattaca
Смотрим видео!
Паутина Очень много Web . Правда-правда Часто доступны « Enterprise » Web- приложения Терминальные сервисы ( Citrix) Системы электронной почты Системы helpdesk Слабо готовы для работы в «диком интернет»
Система техподдержки Нашли и использовали Path Traversal ManageEngine ServiceDesk Plus Получили «зашифрованный» пароль для интеграции с AD Пароль подошел к VPN Пароль подошел к AD (Enterprise Admin) Пароль подошел к Cisco ACS Тут-то нам и пошла удача
VPN Много VPN – хороших и разных Пароли, IPSec Aggressive Mode …
Lords of Rings Администратор – властелин сети Большая сеть – много администраторов Феодализм Правила – для слабых Корпоративная ИТ-инфраструктура VS «моя инфраструктура» Системы удаленного доступа Увлекательные веб-серверы и тестовые приложения
Все животные равны, но…
Lords of Rings TCP:1337 (SSL) - Web -сервер отдела системного администрирования Трансляция радио ( ShoutCast Server со стандартным паролем ) Расположен на рабочей станции администратора Со всеми вытекающими…
Pentester Tip & Tricks Старайтесь ничего не упустить на периметре Помните про чужие узлы Согласование, согласование, согласование Не игнорируйте сетевую экзотику. Иногда сетевая камера может стать путем к ядру сети! Особенное внимание на Web Помним про Админов
Партнеры и подрядчики
Подрядчики ? Требования доступа к системам ( VPN) Стандартные учетные записи ( чтобы не забыть) Отсутствует патчменеджмент Сотрудники
Подрядчики… Подрядчик в технологической сети Беспроводной интерфейс на ноутбуке Общая папка everyone В папке инсталлятор системы управления xDSL- модемами / оконечными маршрутизаторами С «прошитым» паролем SA в СУБД У кого еще такая система? Приложение для дилеров, продажа и активация пакетов связи «Толстое» приложение – клиент «Вышитый» пароль для доступа … as SYSDBA
Подрядчики бывают разные….. OMG?! I PWNd THAT?
Pentester Tip & Tricks Подрядчиков нельзя ломать  Согласование, согласование, согласование Многие сценарии эффективно демонстрировать «белым ящиком» Давайте предположим, что я подрядчик Но ты же не подрядчик … Капризный заказчик…
Технологические сети
Что-то особенное? Высокая динамика изменений в сети Появление новых устройств Работы подрядчиков Изменение конфигураций Использование стандартных компонентов и протоколов Угрозы, характерные для IP Ошибки конфигурации Уязвимости платформ Некоторые ошибки могут приводить к сбоям и fraud
Технологические сети прежде всего – сети! Уязвимости оборудования Тестовые системы, системы подрядчиков !!!ЗАБЫТЫЕ!!! системы Системы управления сетью
Забытые системы Не сконфигурированный switch Uptime 2 года!
Системы управления сетью Просто клад Топология сети Конфигурация устройств Пароли и ключи VPN/WiFi/SNMP/RADIUS/VPN… «Они за файрволом» + пароль на Web Патчи ОС, СУБД, Web + стандартные пароли СУБД + Файловые (!) шары
Тяжелый случай Найден WPA-PSK для AP Где стоят эти точки???!!!
Резервирование вообще полезная штука Особенно по сети сети!
VoIP - лакомый кусочек! VoIP Доступ в сеть предприятия Управление вызовами (фрод) Искажение и подмена информации Прослушивание вызовов Хищение персональных данных И многое другое… Атака на… Инфраструктуру Шлюзы Протоколы i[P]Phone
VOIP Доступ VOIP Wi-Fi ( No WPA, «тормозит») Ближайший CISCO Call Manager SQLi, CVE-2008-0026 Собираем ХЭШи восстанавливает пароли из ХЭШей Level 15 во всей сети 2 3 runsql select user,password from applicationuser https://www.example.org/ccmuser/personaladdressbookEdit.do?key='+UNION+ALL+SELECT+'','','',user,'',password+from+applicationuser;-- 1
Мобильные сети – все тривиально Безопасность только на периметре Какие-то непонятные железки ? 3G SoftSwitch – Solaris 10 с CVE-2007-0882 ( telnet - f )
Платформы самообслуживания WEB/USSD/WAP Интерфейсы с платежными системами Возможность вывода денег Отсутствие аутентификации ( Caller ID) Слабая аутентификация (Pin?) Уязвимости приложений ( Web, SQL Injection, XSS)
VAS - платформы Чье-то приложение «в сети» оператора Вредоносный контент, WAP-provisioning Широкий доступ с мобильной станции ( WAP/HTTP): Уязвимости Web -приложений Уязвимости платформ Платформы для создания сервисов
Вместо заключения
Forensic Nightmare Огромные сети делают крайне сложным расследование инцидентов Много векторов, много железок, много администраторов Два-три «хопа» во внутренней сети и концов не найдешь
Кто здесь?
В попытках найти концы…
Кому-то печаль…
Кому-то радость
Спасибо за внимание! Сергей Гордейчик [email_address] http://sgordey.blogspot.com http://ptresearch.blogspot.com

More Related Content

PPTX
Евгений Кутя - Информационная безопасность
GAiN@ESD
 
PPTX
Безопасность для сайта
Maksym Balaklytskyi
 
PDF
Развитие решений безопасности Juniper
Sergii Liventsev
 
PPTX
Смотрим в HTTPS
Denis Batrankov, CISSP
 
PDF
Решения по безопасности Juniper
Sergii Liventsev
 
PDF
Cisco TALOS – интеллектуальная платформа для анализа угроз
Cisco Russia
 
PDF
Использование технологий компании Cisco
Cisco Russia
 
PPTX
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Denis Batrankov, CISSP
 
Евгений Кутя - Информационная безопасность
GAiN@ESD
 
Безопасность для сайта
Maksym Balaklytskyi
 
Развитие решений безопасности Juniper
Sergii Liventsev
 
Смотрим в HTTPS
Denis Batrankov, CISSP
 
Решения по безопасности Juniper
Sergii Liventsev
 
Cisco TALOS – интеллектуальная платформа для анализа угроз
Cisco Russia
 
Использование технологий компании Cisco
Cisco Russia
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Denis Batrankov, CISSP
 

What's hot (15)

PDF
IBM Proventia IPS
Петр Королев
 
PPTX
Отличие NGFW и UTM
Denis Batrankov, CISSP
 
PDF
Palo Alto Traps - тестирование на реальных семплах
Vladyslav Radetsky
 
PPTX
Решения для защиты корпоративных и коммерческих цод
Denis Batrankov, CISSP
 
PPTX
Защита корпорации на платформе Palo Alto Networks
Denis Batrankov, CISSP
 
PPTX
Zero Trust Networking with Palo Alto Networks Security
Denis Batrankov, CISSP
 
PPTX
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Denis Batrankov, CISSP
 
PDF
Expose the underground - Разоблачить невидимое
Denis Batrankov, CISSP
 
PDF
Ярослав Воронцов - Security
DataArt
 
PDF
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Expolink
 
DOCX
Dissertaziya
Ekaterina Vedenyapina
 
PPT
Новые угрозы безопасности
Denis Batrankov, CISSP
 
PPTX
Визуализация взломов в собственной сети
Denis Batrankov, CISSP
 
PDF
проблемы недоверенной среды и противодействия современным атакам на клиентов дбо
Expolink
 
PDF
Надежная защита от утечек информации в условиях современных тенденций ИТ
BAKOTECH
 
IBM Proventia IPS
Петр Королев
 
Отличие NGFW и UTM
Denis Batrankov, CISSP
 
Palo Alto Traps - тестирование на реальных семплах
Vladyslav Radetsky
 
Решения для защиты корпоративных и коммерческих цод
Denis Batrankov, CISSP
 
Защита корпорации на платформе Palo Alto Networks
Denis Batrankov, CISSP
 
Zero Trust Networking with Palo Alto Networks Security
Denis Batrankov, CISSP
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Denis Batrankov, CISSP
 
Expose the underground - Разоблачить невидимое
Denis Batrankov, CISSP
 
Ярослав Воронцов - Security
DataArt
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Expolink
 
Dissertaziya
Ekaterina Vedenyapina
 
Новые угрозы безопасности
Denis Batrankov, CISSP
 
Визуализация взломов в собственной сети
Denis Batrankov, CISSP
 
проблемы недоверенной среды и противодействия современным атакам на клиентов дбо
Expolink
 
Надежная защита от утечек информации в условиях современных тенденций ИТ
BAKOTECH
 
Ad

Similar to Как взломать телеком и остаться в живых. Сергей Гордейчик (20)

PDF
Как взломать телеком и остаться в живых
qqlan
 
PDF
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Aleksey Lukatskiy
 
PDF
Архитектура защищенного периметра
Cisco Russia
 
PDF
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
PDF
Защита и контроль приложений
Cisco Russia
 
PDF
Как превратить свою сеть в систему информационной безопасности
Cisco Russia
 
PDF
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia
 
PDF
ITSF 2014 ICS Security
Ilya Karpov
 
PDF
Визуализация взломов в собственной сети PAN
Альбина Минуллина
 
PDF
Информационная безопасность Интернета вещей: от кофеварки до атомной электрос...
Cisco Russia
 
PPT
Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP
Positive Hack Days
 
PDF
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Konstantin Matyukhin
 
PPTX
Мегафон - Решения для Бизнеса
Expolink
 
PDF
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Cisco Russia
 
PPTX
Безопасность для сайта
Maksym Balaklytskyi
 
PPTX
Как взломать вашу компанию в 3 клика
Vitaliy Yakushev
 
PDF
Обнаружение атак - из конца 90-х в 2018-й
Aleksey Lukatskiy
 
PDF
Сеть как средство защиты и реагирования на угрозы
Cisco Russia
 
PPTX
From ERP to SCADA and back
qqlan
 
PDF
Анатомия внешней атаки
Aleksey Lukatskiy
 
Как взломать телеком и остаться в живых
qqlan
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Aleksey Lukatskiy
 
Архитектура защищенного периметра
Cisco Russia
 
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Защита и контроль приложений
Cisco Russia
 
Как превратить свою сеть в систему информационной безопасности
Cisco Russia
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia
 
ITSF 2014 ICS Security
Ilya Karpov
 
Визуализация взломов в собственной сети PAN
Альбина Минуллина
 
Информационная безопасность Интернета вещей: от кофеварки до атомной электрос...
Cisco Russia
 
Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP
Positive Hack Days
 
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Konstantin Matyukhin
 
Мегафон - Решения для Бизнеса
Expolink
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Cisco Russia
 
Безопасность для сайта
Maksym Balaklytskyi
 
Как взломать вашу компанию в 3 клика
Vitaliy Yakushev
 
Обнаружение атак - из конца 90-х в 2018-й
Aleksey Lukatskiy
 
Сеть как средство защиты и реагирования на угрозы
Cisco Russia
 
From ERP to SCADA and back
qqlan
 
Анатомия внешней атаки
Aleksey Lukatskiy
 
Ad

More from Positive Hack Days (20)

PPTX
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Positive Hack Days
 
PPTX
Как мы собираем проекты в выделенном окружении в Windows Docker
Positive Hack Days
 
PPTX
Типовая сборка и деплой продуктов в Positive Technologies
Positive Hack Days
 
PPTX
Аналитика в проектах: TFS + Qlik
Positive Hack Days
 
PPTX
Использование анализатора кода SonarQube
Positive Hack Days
 
PPTX
Развитие сообщества Open DevOps Community
Positive Hack Days
 
PPTX
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Positive Hack Days
 
PPTX
Автоматизация построения правил для Approof
Positive Hack Days
 
PDF
Мастер-класс «Трущобы Application Security»
Positive Hack Days
 
PDF
Формальные методы защиты приложений
Positive Hack Days
 
PDF
Эвристические методы защиты приложений
Positive Hack Days
 
PDF
Теоретические основы Application Security
Positive Hack Days
 
PPTX
От экспериментального программирования к промышленному: путь длиной в 10 лет
Positive Hack Days
 
PDF
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Hack Days
 
PPTX
Требования по безопасности в архитектуре ПО
Positive Hack Days
 
PDF
Формальная верификация кода на языке Си
Positive Hack Days
 
PPTX
Механизмы предотвращения атак в ASP.NET Core
Positive Hack Days
 
PDF
SOC для КИИ: израильский опыт
Positive Hack Days
 
PDF
Honeywell Industrial Cyber Security Lab & Services Center
Positive Hack Days
 
PDF
Credential stuffing и брутфорс-атаки
Positive Hack Days
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Positive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Positive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Positive Hack Days
 
Аналитика в проектах: TFS + Qlik
Positive Hack Days
 
Использование анализатора кода SonarQube
Positive Hack Days
 
Развитие сообщества Open DevOps Community
Positive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Positive Hack Days
 
Автоматизация построения правил для Approof
Positive Hack Days
 
Мастер-класс «Трущобы Application Security»
Positive Hack Days
 
Формальные методы защиты приложений
Positive Hack Days
 
Эвристические методы защиты приложений
Positive Hack Days
 
Теоретические основы Application Security
Positive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
Positive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Hack Days
 
Требования по безопасности в архитектуре ПО
Positive Hack Days
 
Формальная верификация кода на языке Си
Positive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Positive Hack Days
 
SOC для КИИ: израильский опыт
Positive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Positive Hack Days
 
Credential stuffing и брутфорс-атаки
Positive Hack Days
 

Как взломать телеком и остаться в живых. Сергей Гордейчик

  • 1. Как взломать телеком и остаться в живых Сергей Гордейчик Positive Technologies CTO
  • 2. Азм есмъ Сергей Гордейчик, Positive Technologies, CTO Автор сценария и режиссёр Positive Hack Days Научный редактор SecurityLab.Ru Автор курсов «Безопасность Web- приложений», < и книги > «Безопасность беспроводных сетей» Участник WASC, RISSPA http://sgordey.blogspot.com
  • 3. О чем пойдет речь ? Что необычного в телекомах ? Атаки на абонентов / Атаки от абонентов Периметр… Просто периметр Партнеры и подрядчики Технологические сети
  • 5. Специфика телекомов Огромные, огромные сеть Объединение различных услуг (ШПД, Wireless , хостинг , Mobile) Огромное количество приложений и систем на периметре Экзотика внутри, экзотика снаружи Множество периметров Большая часть сетей – «чужие» Сложности Forensic
  • 6. Сколько периметров у телекома? Интернет Абоненты Партнеры Офис Тех сеть
  • 7. … и немного больше… Мобильные Проводной ШПД Беспроводной ШПД VOIP Хостинг ... Тех сеть ШПД Мобильная тех сеть Интернет TV Хостинг
  • 8. … и еще больше… Владивосток Москва Рим Пномпень
  • 10. Почему абоненты? $ абонентов = $ телекомов DOS = - $$ - репутация - $$ PWN (100 000 PC) = Botnet Персональные данные!
  • 11. Широкополосный доступ Громадные несегментированные сети Огромное количество оконечных устройств Разнообразные SOHO -железки Поставил и забыл Стандартные баги настройки Учебник по Network device insecurity Протоколы управления SNMP/Telnet/HTTP/UPnP в Inet Слабые / пустые пароли Web attacks via client (Pinning, CSFR) Огромной количество пользователей 1 из 1000 при 10 000 000 = 10 000 Тривиальные пароли
  • 12. Широкополосный доступ - атака Сбор информации Сканирование сети Ошибки устройств доступа (BRAS) Сбор информации внутренних формумов и т.д. Ошибки платформ самообслуживания Неправильное имя или пароль vs Неправильное имя пользователя Подготовка сценариев Захват устройств Подбор паролей $profit$
  • 15. Примеры рисков Доступ к порталу самообслуживания Вывод денег Подбор пароля или кража router cfg ( vpn/pppoe) Перевод денег с ШПД на мобильный (интеграция!) Монетизация через PRS Это бесит!!! Подбор пароля или кража router cfg ( vpn/ppoe) Закупка всего что есть Счет =0 Массовый взлом router/PC Массовая переконфигурация
  • 16. Атаки на клиентов мобильных сетей Подделка Caller ID Доступ к сервисам Монетизация через PRS Прямой вывод денег Голосовые ящики Порталы самообслуживания /USSD SS7 Internet Taget GSM SIP-GW Tech Systems FAKE ID unauthorized access
  • 17. Атаки на клиентов мобильных сетей Mobile Malware Перехват GSM - НЕ ROCKET SCIENCE! Атаки на A5/1 MITM, перевод в A5/0 Downgrade UMTS -> GSM Трафик, SMS, одноразовые пароли... Доступ к сервисам Монетизация через PRS Прямой вывод денег Голосовые ящики Порталы самообслуживания /USSD
  • 18. Хостинг Локальная сеть для colocation/dediacated Атаки сетевого / канального уровня , атаки на сетевую инфраструктуру ARP Spoofing, IP Spoofing… old school Внутрисегментные атаки IPv6 Атака на инфраструктуру ( DNS… ) Виртуальный хостинг (проникнув на один сайт...)
  • 19. Pentester Tip & Tricks || ||
  • 20. Pentester Tip & Tricks Только ищем уязвимости Все демонстрации только на себе Избегаем охраняемой законом информации Капризный заказчик… З: Докажи! Зайди на портал! P: Нет , спасибо, вот пароль – заходите сами…
  • 22. Почему ОПЯТЬ абоненты? Абоненты ВНУТРИ (одного из) периметра Многие атаки со стороны абонента осуществляются проще Кол-во абонентов современных телекомов достаточно велико
  • 23. Общие проблемы Ошибки сетевого разграничения доступа Внутрисегментные атаки Защита оконечного оборудования Web- приложения для абонентов
  • 24. Ошибки сетевого разграничения доступа C:\>tracert -d www.ru Tracing route to www.ru [194.87.0.50] over a maximum of 30 hops: 1 * * * Request timed out. 3 10 ms 13 ms 5 ms 192 . 168 .5.4 4 7 ms 6 ms 5 ms 192 . 168 .4.6 Не всегда прямой путь самый интересный :)
  • 25. Через тернии к level 15 #sh run Using 10994 out of 155640 bytes ! version 12.3 ... ! username test1 password 7 <removed> username antipov password 7 <removed> username gordey password 7 <removed> username anisimov password 7 <removed> username petkov password 7 <removed> username mitnik password 7 <removed> username jeremiah password 7 <removed>
  • 26. Ошибки сетевого разграничения доступа GPRS/EDGE/3G традиционно «за NAT » Других клиентов «не видно» Это не всегда так… GPRS - платежные терминалы, банкоматамы и др, где и не всегда: Стоит МСЭ Есть патчи Что-нибудь настроено
  • 27. Анекдот На том же GGSN – SNMP private
  • 28. Анекдот Captive Portal «На вашем счету закончились деньги» Linux Apache MySQL PHP
  • 30. Web- порталы и сервисы для абонентов Много-много ресурсов Форумы, знакомства, видео конвертеры, онлайн-игры, статистика, интернет-магазины, фотохостинг, файловый хостинг, онлайн-радио… Много - много дыр Старые приложения и CMS, SQLi, LFI и далее по списку… Single-Sign-On или те же пароли… Часто стоят в ДМЗ, рядом с «нормальными» серверами
  • 31. Web- порталы и сервисы для абонентов Игровой сервер games.* Proxima CMS , path traversal + SQLi + ошибки настройки = root На узле расположено еще 20 сайтов Online -трансляции Фирменное десктоп-приложение …
  • 32. Pentester Tip & Tricks Часто ресурсы в абонентских сетях - абонентские Согласование, согласование, согласование Многие системы работают на честном слове Они падают постоянно, но раз вы в сети… Избегаем !!! охраняемой законом информации Капризный заказчик…
  • 34. Периметр ? Огромные , огромные сети! Use clouds Много-много «чужих» ресурсов Будьте готовы к экзотике Enterprise Web- приложения Властелины сети
  • 35. Много-много чужих ресурсов Достаточно большое количество узлов на периметре принадлежит партнёрам / абонентам Нередко эти узлы «перемешаны» с узлами заказчика Но игнорировать их нельзя Давайте представим что мы уже level 15/root/admin на этом узле и попали в этот сегмент
  • 36. Много-много чужих ресурсов SQLi на портале мобильного контента ( Oracle, sys) private на VoIP- шлюзе Обслуживаются партнёрами Ломать нельзя  Фактически расположены в плоской ДМЗ с серверами заказчика Включая Front-End биллига
  • 37. Экзотика Чего только не найдешь на периметре Технологическое «железо» VoIP Old-school firewalls Web- камеры Экзотические системы управления ( ELOM, кондиционеры ! , UPS ! ) Помним про исторические атаки ( X-mas scan, UNIX RPC, Finger…) Не игнорируем экзотику
  • 38. Экзотика nc –P 20 xxx.xxx.xxx.xxx 8080 Точка доступа Слабый пароли к Web Включение Telnet Компиляция tcpdump/nc и т.д. под платформу Использование для перехвата трафика / туннеля Веб-камера LFI в веб-интерфейсе Получение файлов конфигурации Получение пароля доступа к системе управления Получение доступа к системе управления
  • 41. Паутина Очень много Web . Правда-правда Часто доступны « Enterprise » Web- приложения Терминальные сервисы ( Citrix) Системы электронной почты Системы helpdesk Слабо готовы для работы в «диком интернет»
  • 42. Система техподдержки Нашли и использовали Path Traversal ManageEngine ServiceDesk Plus Получили «зашифрованный» пароль для интеграции с AD Пароль подошел к VPN Пароль подошел к AD (Enterprise Admin) Пароль подошел к Cisco ACS Тут-то нам и пошла удача
  • 43. VPN Много VPN – хороших и разных Пароли, IPSec Aggressive Mode …
  • 44. Lords of Rings Администратор – властелин сети Большая сеть – много администраторов Феодализм Правила – для слабых Корпоративная ИТ-инфраструктура VS «моя инфраструктура» Системы удаленного доступа Увлекательные веб-серверы и тестовые приложения
  • 46. Lords of Rings TCP:1337 (SSL) - Web -сервер отдела системного администрирования Трансляция радио ( ShoutCast Server со стандартным паролем ) Расположен на рабочей станции администратора Со всеми вытекающими…
  • 47. Pentester Tip & Tricks Старайтесь ничего не упустить на периметре Помните про чужие узлы Согласование, согласование, согласование Не игнорируйте сетевую экзотику. Иногда сетевая камера может стать путем к ядру сети! Особенное внимание на Web Помним про Админов
  • 49. Подрядчики ? Требования доступа к системам ( VPN) Стандартные учетные записи ( чтобы не забыть) Отсутствует патчменеджмент Сотрудники
  • 50. Подрядчики… Подрядчик в технологической сети Беспроводной интерфейс на ноутбуке Общая папка everyone В папке инсталлятор системы управления xDSL- модемами / оконечными маршрутизаторами С «прошитым» паролем SA в СУБД У кого еще такая система? Приложение для дилеров, продажа и активация пакетов связи «Толстое» приложение – клиент «Вышитый» пароль для доступа … as SYSDBA
  • 52. Pentester Tip & Tricks Подрядчиков нельзя ломать  Согласование, согласование, согласование Многие сценарии эффективно демонстрировать «белым ящиком» Давайте предположим, что я подрядчик Но ты же не подрядчик … Капризный заказчик…
  • 54. Что-то особенное? Высокая динамика изменений в сети Появление новых устройств Работы подрядчиков Изменение конфигураций Использование стандартных компонентов и протоколов Угрозы, характерные для IP Ошибки конфигурации Уязвимости платформ Некоторые ошибки могут приводить к сбоям и fraud
  • 55. Технологические сети прежде всего – сети! Уязвимости оборудования Тестовые системы, системы подрядчиков !!!ЗАБЫТЫЕ!!! системы Системы управления сетью
  • 56. Забытые системы Не сконфигурированный switch Uptime 2 года!
  • 57. Системы управления сетью Просто клад Топология сети Конфигурация устройств Пароли и ключи VPN/WiFi/SNMP/RADIUS/VPN… «Они за файрволом» + пароль на Web Патчи ОС, СУБД, Web + стандартные пароли СУБД + Файловые (!) шары
  • 58. Тяжелый случай Найден WPA-PSK для AP Где стоят эти точки???!!!
  • 59. Резервирование вообще полезная штука Особенно по сети сети!
  • 60. VoIP - лакомый кусочек! VoIP Доступ в сеть предприятия Управление вызовами (фрод) Искажение и подмена информации Прослушивание вызовов Хищение персональных данных И многое другое… Атака на… Инфраструктуру Шлюзы Протоколы i[P]Phone
  • 61. VOIP Доступ VOIP Wi-Fi ( No WPA, «тормозит») Ближайший CISCO Call Manager SQLi, CVE-2008-0026 Собираем ХЭШи восстанавливает пароли из ХЭШей Level 15 во всей сети 2 3 runsql select user,password from applicationuser https://www.example.org/ccmuser/personaladdressbookEdit.do?key='+UNION+ALL+SELECT+'','','',user,'',password+from+applicationuser;-- 1
  • 62. Мобильные сети – все тривиально Безопасность только на периметре Какие-то непонятные железки ? 3G SoftSwitch – Solaris 10 с CVE-2007-0882 ( telnet - f )
  • 63. Платформы самообслуживания WEB/USSD/WAP Интерфейсы с платежными системами Возможность вывода денег Отсутствие аутентификации ( Caller ID) Слабая аутентификация (Pin?) Уязвимости приложений ( Web, SQL Injection, XSS)
  • 64. VAS - платформы Чье-то приложение «в сети» оператора Вредоносный контент, WAP-provisioning Широкий доступ с мобильной станции ( WAP/HTTP): Уязвимости Web -приложений Уязвимости платформ Платформы для создания сервисов
  • 66. Forensic Nightmare Огромные сети делают крайне сложным расследование инцидентов Много векторов, много железок, много администраторов Два-три «хопа» во внутренней сети и концов не найдешь
  • 71. Спасибо за внимание! Сергей Гордейчик [email_address] http://sgordey.blogspot.com http://ptresearch.blogspot.com