Но почему же специалисты в области информационной безопасности (далее ИБ) зачастую берут из наработанного годами опыта, методологий, уставов (заявления командиров о том, что «каждая строчка в Уставе написана кровью солдат» имеют под собой достаточно весомое основание) только названия и термины? В данной статье я попытаюсь рассмотреть и применить методы и способы военной разведки в Вооруженных Силах к ИБ, а именно такому аспекту как проведение сетевой разведки сервиса электронной почты, в которой заинтересованы специалисты, проводящие тестирование на проникновение (penetration testing), тестирование защищенности (security testing), а также аналитики ИБ и администраторы ИБ, для которых необходимо понимание методов и способов, которыми могут воспользоваться злоумышленники для сбора информации о сервисе электронной почты и эксплуатации существующих уязвимостей.
Итак, дадим определение понятию военная разведка (далее ВР), необходимое нам для понимания его проецирование на сетевую разведку (далее СР.).
ВР — есть комплекс мероприятий по получению и обработке данных о действующем или вероятном противнике, его военных ресурсах, боевых возможностях и уязвимости, а также о театре военных действий.
На основе этого определения постараемся дать определение СР.
СР — есть комплекс мероприятий по получению и обработке данных об информационной системе (далее ИС) клиента, ресурсов ИС, средств защиты, используемых устройств и программного обеспечения и их уязвимостях, а также о границе проникновения.
Современная ВР в зависимости от масштаба, целей деятельности и характера, поставленных для выполнения задач делится на:
тактическую (оперативную);
стратегическую.
Тактическая разведка обеспечивает действия атакующих (к ним будем относить, как и злоумышленников, так и специалистов, проводящих тестирование) в соприкосновении с противником (целевой системой электронной почты). Она выявляет данные о возможностях противника (его техническом, программном оснащении), уязвимости противника (уязвимостей почтовых серверов, сервисов и почтовых клиентов) и районе действий (границы сегментов сети, используемые каналы связи (тип, пропускная способность), государственная (географическая и коммерческая принадлежность сети и/или сервера)), что облегчает и определяет принятие атакующими оптимальных решений по планированию и проведению атаки на информационные системы (далее ИС).
В ВР все эти сведения добываются опросом местных жителей, допросом пленных и перебежчиков, перехватом информации, передаваемой радиоэлектронными средствами, изучением захваченных у противника документов, техники и вооружения.
Из каких частей складывает любой разведцикл? В своем классическом понимании разведцикл принято делить на пять составных частей:
Планирование и целеуказание;
Сбор — добывание данных;
Обработка разведывательных данных — превращение их в разведывательную информацию;
Анализ и синтез разведывательной информации;
Распространение.
А какие этапы для осуществления несанкционированного взлома используют злоумышленники?
Выбор исследуемой сети/сервера/информационного пространства;
Сканирование, тестирование, сбор информации о цели.
Обработка данных, выбор уязвимой точки для проникновения.
Эксплуатация уязвимости, проникновение в систему.
Далее действия хакера зависят от задачи, поставленной им, будь то изменения информации, кража, повышение полномочий и удержание системы.
Мы видим если не идентичные пункты то уж очень похожие, и, используя термин «сетевая разведка», типовую схемы атаки мы можем упростить до:
Мероприятия сетевой разведки;
Проведение атаки на целевую систему;
Дальнейшие действия хакера в системе.
Данный материал раскрывает лишь первый пункт этого списка, а именно проведение мероприятий сетевой разведки сервиса электронной почты в компании.
Определение границ разведки проходит в несколько этапов.
Возможные пути получения данных:
получение информации от whois-серверов;
просмотр информации DNS серверов исследуемой сети для выявления записей, определяющих маршруты электронной почты (MX записи);
информация об электронной почте, представленные на сайте исследуемой компании. К ней относятся адреса электронной почты для связи, опубликованные вакансии для системных администраторов и администраторов электронной почты, в которых зачастую есть информация о типах используемых почтовых серверов;
информация об электронной почте (адресах) и вакансиях (см. выше) сохранившиеся в поисковых системах (google.com, yandex.ru), так и в базах компаний, запоминающих состояния веб-ресурсов на определенный срок (web.archive.org).
После определения границ атаки атакующие переходят к получению данных о целевой почтовой системе. Для этого используются чаще всего:
сканирование портов (сервисов) на выявленных внешних серверах. Проводится с целью определить:
доступность сервиса из различных подсетей, расположенных по всему миру. Ибо если с одного адреса сервис может быть недоступен (довольно часто блокируют соединения из азиатских сетей как основной источник спама);
выявление почтовых сервисов на нестандартных портах;
получение и анализ информации, выдаваемой почтовыми сервисами при соединении. Banner grabbing — так этот метод принято называть среди специалистов по сетевой разведке.
активная проверка сервиса (smtp, pop3, pop3pw, imap) для определения типа и версии, допуская возможность что администратор системы изменил информацию, выдаваемую сервисами, или сервис не выводит информацию о своем типе и версии.
отправка писем на несуществующие почтовые адреса для получения NDR (non delivery report) и информации о пути прохождения письма.
При этом, возможно определить следующее:
путь прохождения писем;
используются ли внутренние relay-сервера, транслирующие трафик электронной почты с релея в DMZ на внутренние сервера;
тип и версию почтовых серверов;
применяемые системы защиты электронной почты на стороне сервера, таких как антивирусные системы, анти-спамовые системы, системы контент-анализа электронной почты;
объем почтового трафика, проходящего через сервер за промежуток времени.
Главное что при этом возможно определить, уязвим ли сервер к такому абсолютно неизвестному широкой общественности методу атак под названием NDR-attack. NDR-attack представляет из себя комплекс действий направленный на нарушение одного из принципов информационной безопасности — доступности сервиса. Доступность нарушается атакой, во-первых, на сервис электронной почты, а точнее его перегрузку, во-вторых, на канал связи, используемый почтовыми системами.
Мероприятия, относящиеся к социальной инженерии, направленные на получение информации от сотрудников компании и взаимодействий с ними. Ожидаемый результат это раскрытие информации о пути прохождения письма до конечного пользователя почтовой системы. Кроме информации, перечисленной выше, возможно следующее:
IP адрес пользователя почтовой системы;
применяемые системы защиты электронной почты на стороне клиента, таких как антивирусные системы, анти-спамовые системы;
тип и версию почтового клиента;
тип и версию операционной системы пользователя.
Вся эта информация может быть использована для атаки на клиентские машины. Зная тип и версию программного обеспечения, возможность использования уязвимостей и заражение пользователя различным вирусным или шпионским ПО становится очень высока.