Довольно часто человек, так или иначе вовлеченный в направление информационной безопасности, сталкивался с терминами, изначально применяемыми в таких областях как армия, различные службы обеспечения безопасности граждан (к примеру, МЧС, Служба Спасения, Скорая помощь). Вы наверняка тут же вспомнили такие простые слова как атака, нападение, защита, разведка. Даже появлением западного аналога термину межсетевой экран мы обязаны армии - это всем известный firewall, в дословном переводе "огненная_стена" - огнеупорная стена, ограждение.
Но почему же специалисты в области информационной безопасности (далее ИБ) зачастую берут из наработанного годами опыта, методологий, уставов (заявления командиров о том, что "каждая строчка в Уставе написана кровью солдат" имеют под собой достаточно весомое основание) только названия и термины? В данной статье я попытаюсь рассмотреть и применить методы и способы военной разведки в Вооруженных Силах к ИБ, а именно такому аспекту как проведение сетевой разведки сервиса электронной почты, в которой заинтересованы специалисты, проводящие тестирование на проникновение (penetration testing), тестирование защищенности (security testing), а также аналитики ИБ и администраторы ИБ, для которых необходимо понимание методов и способов, которыми могут воспользоваться злоумышленники для сбора информации о сервисе электронной почты и эксплуатации существующих уязвимостей.
Итак, дадим определение понятию военная разведка (далее ВР), необходимое нам для понимания его проецирование на сетевую разведку (далее СР.).
ВР - есть комплекс мероприятий по получению и обработке данных о действующем или вероятном противнике, его военных ресурсах, боевых возможностях и уязвимости, а также о театре военных действий.
На основе этого определения постараемся дать определение СР.
СР - есть комплекс мероприятий по получению и обработке данных об информационной системе (далее ИС) клиента, ресурсов ИС, средств защиты, используемых устройств и программного обеспечения и их уязвимостях, а также о границе проникновения.
Современная ВР в зависимости от масштаба, целей деятельности и характера, поставленных для выполнения задач делится на:
тактическую (оперативную);
стратегическую.
Тактическая разведка обеспечивает действия атакующих (к ним будем относить, как и злоумышленников, так и специалистов, проводящих тестирование) в соприкосновении с противником (целевой системой электронной почты). Она выявляет данные о возможностях противника (его техническом, программном оснащении), уязвимости противника (уязвимостей почтовых серверов, сервисов и почтовых клиентов) и районе действий (границы сегментов сети, используемые каналы связи (тип, пропускная способность), государственная (географическая и коммерческая принадлежность сети и/или сервера)), что облегчает и определяет принятие атакующими оптимальных решений по планированию и проведению атаки на информационные системы (далее ИС).
В ВР все эти сведения добываются опросом местных жителей, допросом пленных и перебежчиков, перехватом информации, передаваемой радиоэлектронными средствами, изучением захваченных у противника документов, техники и вооружения.
Из каких частей складывает любой разведцикл? В своем классическом понимании разведцикл принято делить на пять составных частей:
Планирование и целеуказание;
Сбор - добывание данных;
Обработка разведывательных данных - превращение их в разведывательную информацию;
Анализ и синтез разведывательной информации;
Распространение.
А какие этапы для осуществления несанкционированного взлома используют злоумышленники?
Выбор исследуемой сети/сервера/информационного пространства;
Сканирование, тестирование, сбор информации о цели.
Обработка данных, выбор уязвимой точки для проникновения.
Эксплуатация уязвимости, проникновение в систему.
Далее действия хакера зависят от задачи, поставленной им, будь то изменения информации, кража, повышение полномочий и удержание системы.
Мы видим если не идентичные пункты то уж очень похожие, и, используя термин "сетевая разведка", типовую схемы атаки мы можем упростить до:
Мероприятия сетевой разведки;
Проведение атаки на целевую систему;
Дальнейшие действия хакера в системе.
Данный материал раскрывает лишь первый пункт этого списка, а именно проведение мероприятий сетевой разведки сервиса электронной почты в компании.
Определение границ разведки проходит в несколько этапов.
Возможные пути получения данных:
получение информации от whois-серверов;
просмотр информации DNS серверов исследуемой сети для выявления записей, определяющих маршруты электронной почты (MX записи);
информация об электронной почте, представленные на сайте исследуемой компании. К ней относятся адреса электронной почты для связи, опубликованные вакансии для системных администраторов и администраторов электронной почты, в которых зачастую есть информация о типах используемых почтовых серверов;
информация об электронной почте (адресах) и вакансиях (см. выше) сохранившиеся в поисковых системах (google.com, yandex.ru), так и в базах компаний, запоминающих состояния веб-ресурсов на определенный срок (web.archive.org).
После определения границ атаки атакующие переходят к получению данных о целевой почтовой системе. Для этого используются чаще всего:
сканирование портов (сервисов) на выявленных внешних серверах. Проводится с целью определить:
доступность сервиса из различных подсетей, расположенных по всему миру. Ибо если с одного адреса сервис может быть недоступен (довольно часто блокируют соединения из азиатских сетей как основной источник спама);
выявление почтовых сервисов на нестандартных портах;
получение и анализ информации, выдаваемой почтовыми сервисами при соединении. Banner grabbing - так этот метод принято называть среди специалистов по сетевой разведке.
активная проверка сервиса (smtp, pop3, pop3pw, imap) для определения типа и версии, допуская возможность что администратор системы изменил информацию, выдаваемую сервисами, или сервис не выводит информацию о своем типе и версии.
отправка писем на несуществующие почтовые адреса для получения NDR (non delivery report) и информации о пути прохождения письма.
При этом, возможно определить следующее:
путь прохождения писем;
используются ли внутренние relay-сервера, транслирующие трафик электронной почты с релея в DMZ на внутренние сервера;
тип и версию почтовых серверов;
применяемые системы защиты электронной почты на стороне сервера, таких как антивирусные системы, анти-спамовые системы, системы контент-анализа электронной почты;
объем почтового трафика, проходящего через сервер за промежуток времени.
Главное что при этом возможно определить, уязвим ли сервер к такому абсолютно неизвестному широкой общественности методу атак под названием NDR-attack. NDR-attack представляет из себя комплекс действий направленный на нарушение одного из принципов информационной безопасности - доступности сервиса. Доступность нарушается атакой, во-первых, на сервис электронной почты, а точнее его перегрузку, во-вторых, на канал связи, используемый почтовыми системами.
Мероприятия, относящиеся к социальной инженерии, направленные на получение информации от сотрудников компании и взаимодействий с ними. Ожидаемый результат это раскрытие информации о пути прохождения письма до конечного пользователя почтовой системы. Кроме информации, перечисленной выше, возможно следующее:
IP адрес пользователя почтовой системы;
применяемые системы защиты электронной почты на стороне клиента, таких как антивирусные системы, анти-спамовые системы;
тип и версию почтового клиента;
тип и версию операционной системы пользователя.
Вся эта информация может быть использована для атаки на клиентские машины. Зная тип и версию программного обеспечения, возможность использования уязвимостей и заражение пользователя различным вирусным или шпионским ПО становится очень высока.
2005