суббота, 31 октября 2015 г.

Как я за Stuxnet и Zeus в лаборатории Информзащиты гонялся

Я прошу прощения за дерганный стиль изложения, реже пишешь - хуже получается.

В прошлом году узнал об открытии совместного курса Информзащиты и Group-IB: "БТ16. Компьютерная криминалистика". В анонсе было сказано, что в курсе рассматриваются основные приемы и методы компьютерной криминалистики, слушатели приобретают практические навыки поиска цифровых следов в компьютерных системах, фиксации этих следов в качестве доказательств по гражданским и уголовным делам, анализа собранных материалов с целью выявления источника атаки и восстановления работоспособности системы, а также документирования противоправных действий злоумышленников.
( http://itsecurity.ru/catalog/komputernaja-kriminalistika/ ).

Порадовало, что курс имеет, в основном, практическую направленность. Деятельность Group-IB мне всегда нравилась, поэтому я загорелся желанием посетить этот тренинг. За последние год-два была пара кейсов, когда важно было довести до ума инцидент - определить источник угрозы. Я этого не сделал, о чем сейчас жалею.

Итак, прошел год, звезды сошлись, работодатель согласился оплатить обучение, на мили Аэрофлота был купил билет до Москвы и забронирована гостиница.

Перед тренингом я ничего специально не изучал: у меня был только личный опыт расследования инцидентов. За неделю до начала обучения я узнал, что тренинг ведется двумя преподавателями - 3 дня от Информзащиты, 2 для от Group-IB. Чуть смутился, ну да ладно.

С момента последнего посещения Информзащиты мало что изменилось: строгая пропускная система на Образцова, сытные обеды, вкусный чай и печеньки. В столовой был замечен Алексей Лукацкий, которого еще на прошлой неделе и интересом слушали в Казани. Нас встретил Заведующий лабораторией Информзащиты, преподаватель опытный и умелый. Изучали юридические основы проведения экспертиз,
тонкости судопроизводства, работу с понятыми и следователями. По итогам трехдневной сессии мы:
- поработали с Tableau Disk Duplicator для создания образа диска;
- поработали с Paraben Commander;
- создали своё собственное заключение по проведенной экспертизе и разобрали ошибки;
- остальное - по мелочи (whois, arp, tracert, брут паролей, брут паролей с использованием видеокарты).

Для себя я открыл тот факт, что, формально, экспертом в подобных делах может быть любой специалист с профильным образованием. Второй факт: при желании, организация сама может серьезно помочь правоохранительным органам в расследовании инцидента, если ограничит распространение информации, обеспечит сохранность доказательств, проявит оперативность.

В четверг утром в аудитории уже сидел преподаватель из Group-IB. Он начал со своей довольно стандартной презентации (Carberp, ДБО и т.д.). По этому материалу у меня давно накопилось несколько вопросов, преподаватель их без проблем пояснил.

Дальше началось веселье - практика. Надо сказать, что многое из изученного вполне доступно в Интернет - утилиты, методология, образы зараженных систем, и может быть изучено самостоятельно. Однако, здесь, в аудитории, было элемент соперничества с другими студентами, отличный комментарий от преподавателя, и образы систем, которых не найдёшь в паблике.

Интереснее всего было поработать с образом, который был заражен Stuxnet. С помощью открытых и бесплатных утилит (подборку можно выпросить у преподавателя) мы изучили дамп памяти, если я правильно помню заметили подозрительный процесс lsass.exe, извлекли связанные с ним библиотеки и скормили антивирусу. Оказался тот самый, высокотехнологичный, американо-израильский вирус. Приятно:)

После тренинга всё равно остались тёмные пятна: работа с провайдерами и работа с Dark Web'ом. Ну, видимо, это на самостоятельное изучение.

В Казани конференции по ИБ не самые весёлые, поэтому, видимо, тренинг очень понравился. Много практики, набор полезных утилит на флешке, контакты в LinkedIn и позитивные эмоции. 

пятница, 27 июня 2014 г.

OSINT. Сбор информации на основе открытых источников

Получил предложение подготовить сборник материалов по OSINT. 

Википедия дает следующее определение. Разведка на основе открытых источников (англ. Open source intelligence) — одна из разведывательных дисциплин в американской разведке. Включает в себя поиск, выбор и сбор информации, полученной из общедоступных источников и её анализ.

Известно, что каждый Penetration Test необходимо начинать со сбора информации. Пока OSINT мне видится таким расширенным Information Gathering, хотя блоги по этой тематике содержат также статьи по классическому Intelligence.

Материалы представляют собой статьи, методики, видеоматериалы. От известного всем Google Hacking до... трудно сказать до чего, до похода в организацию в качестве соискателя на какую-нибудь должность. Сейчас накопился сорокастраничный документ на английском языке. Однако статей о том, как связать результаты поиска гораздо меньше.

Дальнейший текст составлен на основе статьи The Subtle Art of OSINT (http://krypt3ia.wordpress.com/2012/01/11/the-subtle-art-of-osint/).

OSINT - это акроним Open Source Intelligence (англ. - разведка на основе открытых источников), который вошел в обиход в эпоху Интернета и простоты доступа к данным.

OSINT используется как в частном секторе, так и в военных и разведывательных службах в течении многих лет, подходы и источники информации были отобраны и упорядочены специалистами из Лэнгли (там находится штаб-квартира главной американской разведывательной организации).

Ныне OSINT доступен всем при помощи нескольких Интернет утилит или приложений, которые можно установить на свои компьютеры дома. Суть всего процесса OSINT во-первых в том, что обязательным является наличии стороны, для которой исследование будет представлять реальную ценность. Во-вторых - это "Анализ", который является ключевым для проведения оценки информации, полученной из открытых источников.

Сегодня компании используют OSINT называя его, однако, "конкурентной разведкой". Можно получить аналитическую информацию по заданной теме исследуя множество медиа и онлайн источников. Эта информация может быть экстраполирована в значимые сведения о компании, лицах, группах или странах, которые они возглавляют. Большинство таких подходов к сбору информации (harvesting) привязаны к онлайн движкам упреждающего анализа (Silobreaker.com и Basistech), которые якобы могут "предсказать будущие действия", как они утверждают. Однако, базовая идея OSINT  - это сбор информации для последующего анализа отчетов об Объекте.

Анализ может также привезти к упреждающему анализу поведения и прогнозу, однако все зависит от целей аналитика.

Анализ данных и погрешность/предвзятость

Перед тем как обозначить инструменты и методы OSINT, следует рассказать о "Анализе". Может так случится, что большая часть усилий будет потрачена на сбор информации, которая скорее сбивает с толку или попросту является "дезинформацией". Необходимо уметь отсеивать факты, комментарии и другую информацию, а затем взять то, что было собрано и тщательно проанализировать на предмет ключевой информации. Необработанная информация должна быть проанализирована и аналитик должен решить что верно, а что нет, а также назначить каждому источнику информации свой вес.

Ключ - не быть предвзятым в своем мышлении при проведении OSINT анализа. Примером может служить принятый за чистую монету репортаж Fox News. Всем известно, что Fox скорее отличается своими выдающимися репортерами, нежели объективностью информации. Однако ключевая информация может оказаться правдой. По крайней мере, чтобы создать полную картину об Объекте, необходимо сравнивать и сопоставлять, каждой собранной информации назначать свой вес. 

Важно сохранять широкий кругозор, и не позволять своему мышлению зацикливаться и плыть по течению. В противном случае, собранная информация, скорее всего будет не корректной. 

Распутывая клубок

OSINT может быть связан как с лицами, так и с организациями. В тоже время, люди на деле могут являться частью движения или группы, что сопоставимо реальной компании, таким образом макро и микро исследования очень связаны. 

Для подтверждения информации может пригодиться и непосредственное взаимодействие с Объектом. Процесс OSINT живой, и аналитик должен быть готов к такому взаимодействию. Надо следовать подсказкам, задавать вопросы, вести подробные записи, чтобы потом воспользоваться их содержимым. Ключевым является проверка данных и источников, подобно хорошим детективам и репортерам.

Google
Google Search может предоставить много информации для OSINT. Хотя надо стать адептом "Google Hacking", чтобы использовать все возможности Google, т.е. научиться владеть ключами и запросами, которые позволяют получить более детальные результаты. Написано много книг по этой теме, вот несколько базовых запросов, которые могут быть полезны:
  • site:.gov | .mil inurl:/FOUO/ filetype:pdf
  • site:.mil | .gov "FOUO" filetype:pdf
  • site:.mil | .gov FOUO filetype:pdf
  • site:.mil | .gov //SIGINT filetype:pdf
  • Типы файлов могут быть различными: .xls .pdf .txt и т.д.
Тот же подход использует пентестер для поиска уязвимостей, доступных документов, позволяющих получить доступ к их системам.

Можно использовать Google Alerts для автоматизированного поиска по ключевым словам. Сервис информирует по почте о результатах при каждом новом обнаружении роботами. Удобно то, результат приходит прямо в руки и нет необходимости осуществлять ручной поиск. Поиск применим не только для строк, но и для целых выражения (например в случае поиска плагиата).

Кэш

Google Cache предоставляет архивную информацию активных сайтов, архивы отключенных сайтов доступны на сайтах типа Wayback Machine (http://archive.org/web/), созданный для поиска информации по сайтам, владельцы которых не хотят больше публиковать свою информацию.

Поиск по социальным сетям

Twitter, Facebook, Tumbler и прочие социальные сети - это отличный источник информации, где люди, компании и организации выкладывают множество информации, которую не следовало бы размещать. Представленные ниже сайты собирают подобную информацию с помощью поисковых систем и предлагают ее (иногда в графической форме).


  • Silobreaker.com
  • recordedfuture.com
  • Socialmention.com
  • addictomatic.com
  • whostalking.com
  • SamePoint.com
  • newsnow.co.uk

WHOIS и подобные инстументы... ROBTEX

Лицо может попробовать скрыть факт владения доменом. Это мера может оказаться запоздалой, так как по информации о домене можно сказать довольно многое. Есть много соответствующих инструментов, они легко находятся Google'ом. Часть из них предоставляет связанную информацию, например Robtex.

Robtex хорош тем, что предоставляет информацию о домене, о IP-адресе, на котором находится ресурс, о владельце домена, а также о том, какие еще домены используют это же серверное пространство.


InfoSniper

InfoSniper - это поисковик с "геолокацией" для IP адресов и доменов, который может указать где сервер находится физически. Такой поиск становится важным в случае расследований, где важна юрисдикция.

Maltego

Maltego - это метапоисковая система и графическая\релационная утилита для анализа базы данных, которую называют швейцарским ножом для сбора данных и OSINT. С помощью каждодневных обновлений, можно получить множество данных, которые могут быть обработаны вплоть до готового результата.




Maltego и "Реляционное отображение". Отличная штука в Maltego - это наличие маппинга информации в соответствии с ее весом. Это позволяет смотреть на карту и видеть связи между данными, кто с кем взаимодействует и контактирует, как данные соотносятся между собой. Это то, к чему необходимо привыкнуть и использовать в OSINT. 

Paterva "Casefile"

Новый продукт компании Paterva, что-то вроде "Maltego Light", однако есть одно серьезное преимущество. Это цифровая белая доска или "доска убийств" как в фильмах о полиции. Можно прикрепить имена и фотографии, создать "case" файлы. 

 

Сервисы перевода

Думаю для русскоговорящей аудитории они в представлении не нуждаются.

Итог

Анализ - это ключевой фактор, без должного внимания, хороших заметок ("case" файлов или карт) можно закончить с большим объемом информации, который на деле нельзя будет интерпретировать. 

Важно хорошо понимать цель, над которой идет работа, без которой сбор информации будет бесполезным.

В общем, балуемся с инструментами и собираем информацию о целях, экстраполируем в действенные данные.


понедельник, 15 июля 2013 г.

Своя LMS для тренинга по ИБ. Часть II

Описание


Сегодня о LMS ATutor. Тренинг необходимо было реализовать довольно оперативно, поэтому времени искать и строить систему для тренинга было не много.

Как обошел стороной moodle я не знаю, но в итоге остановился на Atutor. Система не поддерживает доменную аутентификацию - что в современных корпоративных системах конечно большой минус. Однако в нашем случае критичным было не наличие доменной аутентификации, а простота использования.

ATutor поддерживает гостевой доступ, что для сотрудников с низким уровнем компьютерной грамотности оказалось очень кстати. Для того чтобы пройти обучение требовалось пройти по прямой ссылке на курс, изучить видео и текстовые материалы и запустить итоговое тестирование.

Перед началом итогового тестирования сотрудник вводит свой HR ID, чего оказалось вполне достаточно для дальнейшего трекинга статуса тренинга. Основная проблема конечно - донести до всех сотрудников, что он должен использовать свой табельный номер, а не ФИО или логин.

Интерфейс системы достаточно простой, что снова можно назвать скорее преимуществом системы, чем ее недостатком.








В каждой стране мы создали тренинг по следующей схеме: 

  1. Видео (русский, английский, французский и испанский переводы).
  2. Текст (субтитры к этим роликам).
  3. Вопросы (ко всем темам SANS подготовил по 3 вопроса).


Для первого года обучения, этого, я думаю, достаточно.

Установка и настройка тренинга

Я разворачивал тренинг под OS Windows. Веб-сервер и СУБД в составе XAMPP. У меня были какие-то проблемы с совместимостью версий XAMPP и ATutor, поэтому в конечном счете я остановился на определенном сочетании и дальше использовал только его.

Редактирование модулей выглядит примерно так:



ATutor позволяет выгружать результаты тестирования в web и CSV формате, для дальнейшего анализа достаточно.

Итог

Тренинг успешно провели, однако гостевой доступ "подарил" нам кучу проблем, многим сотрудникам, кто ввел данные не правильно, пришлось проходить тестирование заново.

В некоторых странах тренинг менеджеры вооружились ATutor для своих целей, что хорошо, так как унифицированный подход к обучение упростит сам процесс и позволит сосредоточиться на тренингах.

Дальше про moodle.


четверг, 20 июня 2013 г.

Своя LMS для тренинга по ИБ. Часть I

Я уже писал о тренинге по информационной безопасности. Я все больше убеждаюсь в том, что пользователи - это последний и в то же время первый эшелон безопасности. Один сотрудник может обрушить все, что создавалось годами. Осведомленный и обученный персонал может заменить целую плеяду средств защиты информации.

Понятно, что осведомленность можно повышать разными путями, но наиболее простой, измеримый процесс - обычный Security Awareness Training.

Подготовка тренинга по ИБ была одной из первых моих задач в FINCA International. Тогда ее нужно было решить оперативно, в этом году есть возможность заняться этой задачей более обстоятельно. О специфики тренинга читайте ниже.

Интересно также было предоставить компании тренинг систему, которую можно было бы использовать в общем образовательном процессе.

Задача

Подготовить систему проведения тренинга по ИБ. 

У нас уже есть лицензия на одну из популярнейших систем тренинга - SANS, однако ее оказалось недостаточно.

Требования

Компания международная и деятельность её направлена на развивающиеся страны. Отсюда следующие проблемы и требования:



1. Тренинг должен быть многоязычным.

Едва ли можно найти готового поставщика подобных услуг с материалами тренинга на кыргызском, армянском, грузинском, испанском и дари.


2. Тренинг должен быть простым в использовании.

Большинство тренинг систем - это красивый флеш, интерактив, задания для обучающихся, диалоги и т.д. Уровень грамотности наших сотрудников объективно в районе среднего. В некоторых регионах - ниже среднего. Поэтому на первом нашем уровне зрелости тренинг должен быть максимально простым в изучении.

3. Локальная версия тренинг системы.

SANS тренинг требует доступа в Интернет и наличия персональной электронной почты. Не всем сотрудникам Интернет и почта нужны. Локальная версия тренинга - решение проблемы. Руководители, головной офис, IT занимаются с SANS, бренчи в локальной системе.

4. Синхронизация с доменом

Домены есть в каждом подразделении, желания плодить учетные записи ни у кого нет, поэтому от всех subsidiaries было пожелание: использовать синхронизацию с AD. Иначе: прохождение тренинга в режиме Guest.

5. Возможность проводить финальный опрос по принципу несколько случайных вопросов из определенного заранее подготовленного банка.

6. Система генерации отчетов.

7. Тренинг должен быть подготовлен для трех основных групп:

  1. Management Team
  2. IT Staff
  3. Personnel


Концепция системы

SANS продает свой тренинг вместе с локальной копией всех видео роликов, текстов и вопросов. Дополнительно идут шаблоны почтовых рассылок, плакатов. Поэтому за основу мы взяли:

  1. Видео (русский, английский, французский и испанский переводы).
  2. Текст (субтитры к этим роликам).
  3. Вопросы (ко всем темам SANS подготовил по 3 вопроса).
Таким образом:

Реализация Learning Management System: Локальная
Аутентификация: LDAP
Язык тренинга: Перевод на локальный язык текстовых материалов и вопросов + наиболее распространенный в этом регионе язык из доступных видео материалов (например в Евразии - это русский)
Формат: 3 группы материалов для изучения руководителями, IT и персоналом
Критерий прохождения тренинга: 80% правильных ответов на 10-15 вопросов в зависимости от группы

Реализация

Наиболее популярная платформа для построения тренингов - это Moodle. Однако по какой-то причине в первый год я воспользовался Atutor. В следующей части я расскажу что можно сделать на Atutor. В последующих частях - опишу создание более зрелой системы на Moodle. В прошлом году мы смогли обучить около 9 тысяч человек из 25 стран и команд по всему миру. В этом году хотелось бы повторить успех:)


PS Обновленная система еще на стадии построения, поэтому если будут предложения от моей скромной по численности аудитории - буду только рад:)

PSS Еще раз: Moodle и Atutor подходят для любых тренингов, поэтому комментарии приветствуются от всех, кому приходится заниматься обучением:)




вторник, 18 июня 2013 г.

IT & Security Forum 2013 (ITSF 2013)

На прошлой неделе я посетил IT & Security Forum 2013 в Казани. 

Регистрация

О мероприятии я узнал 2 года назад, тогда посетить его не довелось. В этом году решил зарегистрироваться заранее: в апреле. Получил приглашение буквально за несколько дней до мероприятия. Не знаю почему так долго обрабатывалось.

Организация

Здесь все на отличном уровне - могу только подтвердить слова своих коллег по цеху.
Я не особо рассчитывал, что у меня будет время на вечернюю программу, поэтому про нее ничего сказать не могу. Чуть-чуть жалею, что не смог послушать Бутусова.

Всю информацию можно было получить на официальном сайте  http://www.itsecurityforum.ru/, и твиттер @itsfkzn. Сайт мне особенно понравился.

Начало

Первая половина первого дня конференции была в общем зале. Я послушал выступления IBM и CheckPoint. Выступление IBM было с уклоном на общее развитие индустрии, ценообразование. Очень понравились слайды про технический предел развития микропроцессоров, отличные и понятные графики (в том числе от Nvidia). Нам об этом еще в универе твердили. Выступление было живым, с переводчиком, но чуть скомканным. Выступающий Почетный сотрудник IBM смотрел в экран и не говорил в микрофон, а переводчик как мог пытался подогнать терминологию. Организаторы обещали расшарить презентации, обязательно скачайте их - особенно эту информацию было бы не плохо распространять на том же физфаке КГУ (ныне институт физики КФУ).

CheckPoint начал бодро, с заманчивого слайда "Год хактивизма", однако свалился на типовой доклад о своих продуктах. В качестве "страшилок" использовали зарубежные примеры. Презентация очень понравилась с точки зрения оформления - это явно не PowerPoint,  скорее какой-то Flash, я не особо в этом разбираюсь. Тоже рекомендую скачать.

Дальше я перечислю отзывы по тем выступлениям, на которых мне довелось побывать..

Безопасность ЦОДов и виртуализации - Алексей Лукацкий, Cisco 

Рекламный блок. К своему стыду только там узнал, что существуют полноценные виртуальные маршрутизаторы, на которые можно возложить управление сетевым трафиком ЦОДов.

Технологии RSA по защите финансовых организаций от киберугроз - Александр Чигвинцев, RSA

Рекламный блок. Были интересные вопросы из зала и комментарии на них по поводу интеграции anti-fraud решения RSA с многими популярными Core Banking и Internet Banking решениями в России.

Уязвимости систем ДБО в 2011—2012 году - Евгения Поцелуевская, Positive Technologies

Возлагал большие надежды на это выступление, на его практическую часть. Однако Евгения выступала одна, а Дмитрий Евтеев сидел и отмалчивался. В итоге из практической части была продемонстрирована работа эксплоита в духе: эксплоит запущен, деньги украдены. Дмитрий сказал, что он будет показывать что-то интересное в других выступлениях Позитива, но на них я, к сожалению, не попал.

Обеспечение информационной безопасности объектов ТЭК - Иван Шашуров, Круглый стол НПО ВС

Здесь мне очень понравилось. Особенно опыт сотрудника ЕЭС России (кажется). Он рассказывал о своих шишках набитых на внедрении ИБ в собственных системах. Повествование получилось довольно жизненное - обязательно скачайте презентацию! Самой темой безопасности ТЭК мне не довелось заниматься, только на уровне доступных в интернете статей и исследований, однако Иван Шашуров собрал полный зал специалистов и, если бы не время, могла бы получиться ооочень продолжительная дискуссия.

Альтернативный курс ИБ для современного безопасника, эксперт - Алексей Лукацкий

Отличное выступление Алексея Викторовича. Почти все его мысли встречались так или иначе в предыдущих его заметках, презентациях. Но здесь он свел их вместе воедино. Особенно понравился призыв его к коллегам заниматься обучением в ВУЗах России. Я уже провел две лекции в КФУ, а вы? :) 

Дети в Интернете: актуальные подходы по безопасному использованию цифрового пространства - Екатерина Старостина, МТС

Просто очень важная тема. Дети пропадают, правительство пытается через пень-колоду блокировать нежелательные для детей сайты. Екатерина рассматривала варианты как помочь родителям и самим детям решить этот вопрос более эффективно.

Политика информационной безопасности: как сделать правильно и полезно - Алексей Волков, Северсталь

Ох я жалею, что не попал на его второе выступление. Очень энергично, профессионально, живо и с полным погружением. Хотя слайды и были "перегружены", оно так и надо было. Разбирали живую и действующую политику ИБ по пунктам: откуда, что и как.

Summary

Я очень доволен, что смог попасть на ITSF 2013. Для Казани такие мероприятия безусловно полезны. Очень важно иметь возможность общаться с вендорами в неформальной обстановке, перенимать опыт у коллег из Москвы и из-за рубежа , общаться.

Пожелания организаторам: создание некой Junior секции для молодых специалистов и студентов: то же выступление Лукацкого было бы полезно не только 30-40 летним зубрам, но и будущим выпускникам; специалисты Positive могли бы продемонстрировать свои pentest скилы. Я понимаю, что это очень затратное для организаторов мероприятие, однако Junior можно не приглашать в рестораны и на базы отдыха :)

Rustam Abdullin
Regional Business Security Analyst - Eurasia & MESA
FINCA International