ENDEUA

Бизнес-кейсы проектов, выполненных нами

• Пентест функционала криптовалютной биржи

К нам обратилась компания, которая планировала выйти на перспективный рынок криптовалют. Для осуществления этой цели в компании было разработано Web-приложение с функционалом криптовалютной биржи. Перед публикацией приложения в публичном доступе компанией было принято решение выполнить для него аудит информационной безопасности методами тестирования на проникновение по методологии OWASP. С этим запросом они обратились к нам.

Тестирование проводилось в режиме «черный ящик»: на начальном этапе аудиторы имели в своём распоряжении лишь адрес URL тестируемого приложения.

В ходе проведения пентеста были выявлены и подтверждены следующие действия, которые могут совершить злоумышленники:

  • Воспользоваться отсутствием фильтрации входных данных в функционале «комнаты переговоров» и провести атаку XSS на пользователя или администратора. Это было успешно подтверждено при открытии диалога тестовой жертвой (пользователем или администратором, которому было передано сообщение). Функционал скрипта может быть любым, например скрытый «майнинг», поддельная форма аутентификации и т. п., вплоть до полного контроля над компьютером жертвы.
  • Воспользоваться недостатками функционала загрузки файлов в web-приложение и получить доступ к файловой системе сервера (возможность читать, загружать, удалять файлы), выполнять на сервере произвольные команды, выполнять запросы SQL, выполнять соединения с интерфейса сервера к другим системам, т. е. фактически злоумышленник получают полный контроль над сервером и возможность полной компрометации данных.
  • После получения контроля над сервером, воспользоваться недостатками криптографической защиты, в частности, отсутствием контроля целостности данных проведения транзакций в приложении, и вносить изменения в баланс счёта.
  • Обойти проверку при отправке сообщений и выдать себя за другого пользователя или администратора, таким образом, ввести жертву в заблуждение и совершить мошеннические действия.
  • Идентифицировать зарегистрированных пользователей.
  • Совершать атаки на пароли пользователей.
  • Получать несанкционированный доступ к файлам, которые загрузили другие пользователи.

Заказчик получил исчерпывающий отчёт об уязвимостях и способах их устранения. После устранения уязвимостей аудиторами была проведена проверка устранения недостатков, обнаруженных ранее. И только после этого web-приложение было опубликовано в Интернет.

Таким образом, проведение аудита методами тестирования на проникновение избавило заказчика от возможных репутационных и финансовых убытков.

• Внешний тест на проникновение национальной сети аптек

Одна из сетей аптек национального масштаба заказала у нас внешний пентест своей компьютерной сети. Заказчиком был выбран режим «чёрный ящик».

В ходе проекта было обнаружено, что вся критическая инфраструктура ИТ находится за файрволом (межсетевым экраном). Казалось, нет шансов проникнуть. Тогда мы решили проверить точки продаж, и проверили несколько аптек. В одной из них был маршрутизатор Microtik с паролем по умолчанию. У этого типа маршрутизаторов пустые пароли по умолчанию, поэтому маршрутизатор был «скомпрометирован». Маршрутизатор имел OpenVPN, хранил сертификаты локально и позволял сниффинг. Мы перехватили сетевой трафик и нашли конфиденциальную информацию системы учёта продаж и бухгалтерской системы. Затем мы извлекли сертификаты из маршрутизатора, создали ложную точку продаж и соединились с сервером VPN. Мы представились обычной аптекой и таким образом проникли во внутреннюю инфраструктуру заказчика, которая была защищена файрволом и казалась непробиваемой. Мы изучили внутреннюю сеть Active Directory, нашли сервер SQL с доменной аутентификацией и проникли в него, используя пароль, предварительно извлечённый с помощью утилиты mimikatz.

Проект был выполнен с заключением, что проникновение возможно, и уровень информационной безопасности заказчика низкий. Заказчик получил результаты оценки рисков, информацию об уязвимостях и рекомендации о том, как их устранить, а также как усилить безопасность инфраструктуры ИТ.

• Тест на проникновение в режимах «серый ящик» и «белый ящик» телеком-компании

Телеком-компания среднего размера, мотивированная выполнять внешние требования безопасности, запросила у нас построение комплексной системы защиты информации и проведение общей оценки безопасности. В качестве режимов пентеста заказчиком были выбраны «серый ящик» и «белый ящик». Целевые объекты пентеста: внешние сервера, DMZ, Web-приложения, а также внутренние узлы локальной сети. В ходе проекта были обнаружены следующие уязвимости и недостатки:

  • Ошибки конфигурации сети, отсутствие сегментации (отсутствие отдельного VLAN для управляющих интерфейсов устройств iLO, IMPI, IP KVM и т. д.).
  • Слабые пароли в активном сетевом оборудовании.
  • Доступность скрытых ресурсов (ADMIN$, C$, D$ и др.).

В результате эксплуатации уязвимостей были получены документы, содержащие конфиденциальные данные. Таким образом, был смоделирован несанкционированный доступ злоумышленников. Заказчик получил исчерпывающий отчёт об уязвимостях и способах их ликвидации.

• Внутренний пентест большого промышленного производства

Крупному заводу с персоналом до 10 000 сотрудников понадобилось оценить соответствие внутренней инфраструктуры ИТ требованиям безопасности. Завод заказал у нас тест на проникновение в режимах «серый ящик» и «белый ящик». В качестве целевых объектов пентеста были выбраны сервера локальной вычислительной сети. В ходе проекта были обнаружены следующие уязвимости и недостатки:

  • Недостатки в процессах мониторинга событий и реагирования на инциденты безопасности (отсутствие мер предотвращения вторжений и восстановления после инцидентов).
  • Недостатки управления конфигурациями (бесконтрольные тестовые и гостевые узлы в корпоративном домене).
  • Недостатки управления доступом и привилегиями (открыт вход по ssh для стандартной учётной записи для root; единая учётная запись администратора для управления DC, сетевым оборудованием и пользовательскими рабочими станциями).
  • Другие технические уязвимости (разрешено авто-обнаружение прокси для ПО).

В ходе проекта был смоделирован несанкционированный доступ инсайдеров. Заказчик получил исчерпывающий отчёт об уязвимостях и способах их ликвидации.

• Анализ инфраструктуры предприятия розничной торговли

У ритейлера среднего размера были внедрены внутренние и внешние требования информационной безопасности. Данные требования предписывали выполнение полного анализа инфраструктуры предприятия, включая тесты на проникновение в режимах «серый ящик» и «белый ящик». В ходе пентеста были обнаружены следующие уязвимости и недостатки:

  • Уязвимости в веб-приложениях (отсутствие проверок валидности запросов в приложениях, передача данных по незашифрованному каналу HTTP).
  • Недостатки управления привилегиями (доменные учётные записи различных сервисов и приложений имели слишком высокие привилегии).
  • Возможность подделки электронной корреспонденции (отсутствие систем подписи DKIM/DMARC на почтовых серверах).
  • Недостатки процесса мониторинга событий безопасности (отсутствие настройки «auditd» по событиям).
  • Возможность несанкционированного подключения устройств в сети (DHCP snooping, отсутствие port security).

В ходе пентеста в качестве демонстрации уязвимостей был смоделирован несанкционированный доступ к сетевому оборудованию. Заказчик получил полный отчёт об уязвимостях и способах их ликвидации.

• Пентест финансовой организации для соответствия требованиям PCI DSS

Небольшая финансовая организация, подключенная к международным платёжным системам Visa и Mastercard, столкнулась с необходимостью выполнять требования стандарта PCI DSS. Среди них есть требование регулярного проведения внешнего и внутреннего тестирования на проникновение. В результате анализа области охвата инфраструктуры (среды данных держателей карт) с заказчиком были согласованы подробные параметры внешнего пентеста, включая режимы «серый ящик» и «чёрный ящик», а также перечень целевых объектов, которые представляли собой сервисы и веб-приложения, опубликованные в Интернет.

В результате пентеста были обнаружены множественные уязвимости в веб-приложениях (инъекции PHP, межсайтовый скриптинг, прямые ссылки на объекты, отсутствующие механизмы обновления ПО, конфигурации веб-сервера по умолчанию, отсутствие контроля доступа на уровне функций, переполнения буфера, ошибки в коде веб-приложений).

По результатам проекта не было обнаружено реальных путей проникновения, а только потенциальные. Заказчик получил исчерпывающий отчёт о данных путях и способах повышения защищённости инфраструктуры. Отчёт был выполнен в соответствии с требованиями PCI DSS, включая описание методики тестирования на проникновение, которая применялась в ходе работы.

(Названия компаний закрыты по соглашениям о неразглашении)


Другие наши довольные клиенты

 

Отзывы

Команда H-X провела детальное планирование проекта по оценке безопасности нашей инфраструктуры, проявив творческий подход, и хорошо реализовала план. Оценка безопасности дала важную информацию по приоритетам усиления безопасности в компании, стратегическим целям и тактическим задачам.

Дмитрий Днепровский, менеджер информационной безопасности, Intecracy Group

Мы столкнулись с серьёзными вызовами, связанным с требованиями наших клиентов по формальному соответствию международным и отраслевым стандартам информационной безопасности. Команда H-X очень быстро помогла нам оценить и восполнить текущие организационные и технические недостатки, и продолжает помогать.

Артём Савотин, директор, Ameria Ukraine

А насколько защищены вы?
Почитайте больше о тестах на проникновение и проверьте вашу защиту.


О нас и о наших новостях.