23 мая 2012

"Hack the Lab" от Stonesoft

Компания Stonesoft уже не первый год проводит мероприятие под названием "Hack the Lab", в рамках которого участникам предлагается ближе познакомиться с миром хака, взлома и проникновения. В очередном Hack the Lab, проводившемся на прошлой неделе в Хельсинки, в числе других представителей официальной (СМИ) и неофициальной (блоггеры) прессы довелось принять участие и мне.

Первый день двухдневного тренинга начался с общего введения в проблематику хакерства, после чего мы приступили непосредственно к выполнению заданий. В тестовой лаборатории был сымитирован сегмент сети некоей компании, занимающейся приготовлением и доставкой бургеров. Мы же, играя роль хакеров, находились как бы в сети Интернет и знали только адрес публичного web-сервера. Нашей задачей было добыть секретный рецепт бургера, проникнув во внутреннюю сеть компании.

Быть может, более продвинутым коллегам было не так интересно, но мне очень понравилось сканировать порты, выявлять версии используемого программного обеспечения, применять к ним эксплойты и получать доступ к самым различным ресурсам - от базы данных всех кредитных карточек до рабочих станций администраторов сети.

Основное, чему учишься, выполняя взломы под чутким руководством финских коллег, это то что:

  • защита должна быть эшелонированной, так как уязвимость, например, в публичном web-сервере позволяет уже от его имени пробраться глубже внутрь корпоративной сети, где средства защиты в отличие от периметра применяются всё же далеко не всеми.
  • защита обязательно должа включать в себя непрерывный мониторинг событий информационной безопасности, так как любая аномалия в сети - это хороший повод проверить текущее состояние дел и, возможно, успеть предотвратить проникновение.
  • ну, и наконец, идеального программного обеспечения не бывает: ломали мы самые разные системы, пусть даже и умышленно непропатченные для облегчения нашей работы.

Не то чтобы это были вновь открываемые истины, но в ходе Hack the Lab знакомишься с ними как то особенно тесно.

Кстати, все наши взломы и проникновения в режиме реального времени отображались на большом экране, куда было выведено окно логов StoneGate IPS, настроенной на работу в режиме детектирования.

Во второй день нас ждал подробный рассказ о динамических техниках обхода (AET - advanced evasion techniques), с помощью которых злоумышленник может обойти системы предотвращения вторжения и атаковать уязвимый сервер или рабочую станцию внутри сети. Применение AET было нам наглядно продемонстрировано только на примере оборудования от McAfee, но лишь по причине ограниченности времени - по словам специалистов Stonesoft, продукты всех ведущих разработчиков пропускают атаки с применением AET. Кроме того, из-за особенностей самих техник, внедрение "противоядия" от них требует очень серьёзных переработок в ядре самой системы предотвращения вторжения, что, естественно, не может быть выполнено быстро. Именно поэтому, отдельные вендоры предпочитаю просто не обращать внимание на проблему AET и делать вид, что ничего не происходит, используя знаменитую защиту Чубаки:
Tема AET, вообще, очень интересна, хотя и не так проста для понимания. В одном из следующих постов постараюсь к ней обязательно вернуться.

В заключении хочу ещё раз поблагодарить коллег из Stonesoft за приглашение! Кстати, вот впечатления ещё одного участника - Евгения Царёва.
Изображение: https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOjLWfqP1J0w8d29V250FC1qiyBEsBYkyY3hzjCcNUtQqG56I5mBk9oi4dnKAOItQwx-cz9ZbMgeXNniDUkqfne90OTnWfdpM0aS7vdvDSwENLN4yIEzvq5otvqklN-DlVj2LiZ08akc4/s1600/chewbacca_defense.jpg