Co wartościowego można znaleźć w typowym biurze?

Wraz z początkiem 2022, ten artykuł został przeniesiony tutaj i zaktualizowany. Poniższy tekst jest wersją archiwalną.

A więc, po nieco przydługim wstępie omawiającym niezbędne kwestie formalne, przechodzimy w końcu do konkretów. I aby już nie przedłużać, zacznijmy od klasyfikacji tego, co wartościowego można znaleźć w typowym dzisiejszym biurze.

W miarę publikowania nowych artykułów, będziemy dodawać do nich linki poniżej.

Dane dostępowe

Typowe biuro to prawdziwa kopalnia różnego rodzaju danych dostępowych, zarówno na komputerach, jak i poza nimi:

• hasła do sieci Wi-fi: prywatnej i dla gości - sieć prywatna najczęściej jest skonfigurowana na komputerach (nawet jeżeli są one na stałe podłączone kablem LAN), zaś nazwa i hasło do sieci dla gości jest częstym składnikiem biurowych tablic korkowych
• hasła pracowników do Windows (często zarazem hasła AD) - zapisywane na karteczkach w okolicach monitora, także hashe haseł w samym Windows
• hasła AD użytkowników uprzywilejowanych, którzy logowali się na poszczególnych komputerach przed ich ostatnim restartem
• hasła i klucze pracowników do kolejnych serwerów i aplikacji webowych, kont hostingowych, pocztowych, FTP itd.
• profile VPN umożliwiające połączenie się z siecią firmową z zewnątrz, ale również profile VPN do systemów firm zewnętrznych
• klucze ssh, w tym do serwerów firm zewnętrznych
• zalogowane sesje do różnych stron w przeglądarkach
• zapisane hasła w przeglądarkach
• otwarte dostępy do menedżerów haseł typu KeePass
• uwierzytelnione sesje do programów typu Dropbox, Evernote, Slack, Teams itp.
• uwierzytelnione dostępy subskrypcyjne lub aktywacyjne do programów typu Adobe Photoshop, AutoCAD, Office 365 itp.
• podłączone udziały sieciowe SMB, lub dane dostępowe do nich (zależnie od systemu operacyjnego)

Pliki na komputerach

• różne przypadkowe dokumenty przechowywane lokalnie (kopie załączników przesyłanych pocztą, współtworzonych, drukowanych lub skanowanych na tym komputerze)
• zdjęcia - firmowe jak i prywatne
• często różne dane prywatne pracowników (ilościowo przede wszystkim muzyka i różne dokumenty drukowane na firmowej drukarce)
• poczta - profile programów typu Outlook, Windows Live Mail, Thunderbird itd.
• profile przeglądarek (pliki cookies, listy odwiedzanych stron, pliki cache, ustawienia)
• bazy danych mniejszych programów ERP, np. Insert GT/Nexo, Comarch Optima, Symfonia, WA-PRO itd.
• specjalistyczne programy - np. CAD lub przemysłowe (w tym ich wersje instalacyjne)
• specjalistyczne zestawy SDK o ograniczonym dostępie
• pliki projektowe (w dziedzinie tego, czym zajmuje się firma):
  • kod źródłowy
  • pliki graficzne
  • pliki CAD (dwg, dxf i wiele innych)
  • inne projekty produktów firmy - np. pliki Word, Excel, Publisher
• bardziej ogólnie - kluczowa wiedza:
  • kluczowe algorytmy, które można na nowo zaimplementować w konkurencyjnym produkcie
  • algorytmy i kody do generowana kluczy licencyjnych, rozbrajania jakichś zabezpieczeń itp.
  • ogólna znajomość słabości firmy i jej produktów
  • wcześniejszy dostęp do narzędzi (np. SDK), które atakujący (lub jego klient) mógłby oficjalnie dostać dużo później
  • wiedza o osobach i praktykach w firmie, sposobach komunikacji itp., np. pod kątem późniejszego skutecznego podłożenia faktury z lewym numerem konta
  • wiedza nt. strategii i/lub przyszłych produktów, ich wycen, mocnych i słabych stron itp. - np. pod kątem uzyskania lub odzyskania przewagi konkurencyjnej
  • wiedza potrzebna do manipulacji giełdowych - np. fałszywych informacji o problemach firmy, uwiarygodnionej prawdziwymi danymi

Z czego warto spisywać numery seryjne i po co?

Na etapie planowania wstępnego warto sporządzić możliwie dokładną mapkę atakowanych pomieszczeń - niezbędne minimum to podział atakowanego budynku na piętra, po czym w ramach pięter na strefy zamknięte. Mapka ta powinna na tyle dobrze odwzorowywać proporcje, na ile potrafimy to zrobić - będzie to bowiem niezbędne, aby potem móc stopniowo nanosić na nią kolejno zdobywane informacje, np.:

• lokalizacje biurek i krzeseł (co do których wiemy, iż są w danym miejscu, ale nie wiemy, czyje to stanowisko pracy)
• lokalizacje konkretnych stanowisk pracy
• lokalizacje innych elementów, również niezwiązanych z pracą - które jednak wyłączają możliwość jednoczesnego ulokowania tam czyjegoś stanowiska
• zaobserwowane numery gniazdek, przede wszystkim sieci LAN

Jeśli uda nam się spisać odpowiednio duży procent stanowisk i gniazdek, wówczas puste miejsca i braki w numeracji wskażą nam, ile jeszcze osób (poza zaobserwowanymi) może pracować w danym pomieszczeniu.

Natomiast już w trakcie adekwatnego ataku, warto fotografować wszelkie tabliczki znamionowe, naklejki z numerami seryjnymi i innymi informacjami z poniższych urządzeń, jednocześnie nanosząc ich fizyczną lokalizację na posiadaną mapkę:

• lokalne serwery i urządzenia NAS typu QNAP, Synology, Asustor, Thecus - bądź inne z dołączonymi etykietami zawierającymi np. adresy MAC, domyślne hasła, czy po prostu numery seryjne
• laptopy, stacje dokujące, komputery stacjonarne, serwery - generalnie wszystko, na czym da się odnaleźć kolorowe naklejki Microsoft z 25-znakowymi kluczami produktu
• sprzęt sieciowy: modemy 3G/4G, routery, switche zarządzalne - ich numer seryjny powinien znajdować się na tabliczce znamionowej (z nazwą producenta i modelu, kodami kreskowymi itp.)
• telefony i faksy (analogowe i cyfrowe - na cyfrowych warto dodatkowo spróbować zajrzeć do menu i spisać ustawienia sieciowe)

Po co nam takie informacje? W przypadku sprzętu sieciowego i urządzeń NAS, w 95% domyślne hasła do paneli administracyjnych są funkcją od numeru seryjnego urządzenia, bądź któregoś z zapisanych w nim na stałe adresów MAC - wystarczy tylko podejrzeć te numery oraz znać schemat tworzenia hasła (a ten można najczęściej znaleźć w Internecie na podstawie marki i modelu).

Warte uwagi rzeczy poza komputerami

• urządzenia mobilne: tablety, convertible, rzadziej także telefony i zegarki - te pozostawiane w biurach najczęściej są używane do wspomagania "konsumpcji treści", powiadamiania i przypominania o różnych wydarzeniach, oraz zarządzania ad hoc kalendarzem osobistym (podłączonym z Google Calendar lub Microsoft Exchange), a telefony również do odbierania połączeń przychodzących na numery wspólne-zespołowe
• nośniki danych - płyty, karty pamięci (SD, MicroSD i kilkanaście innych formatów)
• karty SIM
• karty magnetyczne
• dokumenty w formie papierowej
• karteczki z notatkami, numerami, PIN-ami, hasłami itp.
• przedmioty osobiste - zdjęcia, ramki, okładki, breloki do kluczy, drobne zabawki itp.
• faksy - używane coraz rzadziej, ale tam gdzie są przez cały czas używane, często zawierają bardzo istotne informacje, np. płatnościowe
• telefony IP, np. Cisco - sprawdzają się w roli testerów portów w sieciach LAN zabezpieczonych standardem IEEE 802.1X

Co można podłożyć w ramach ataku

• pliki od razu w docelowej formie (np. będące spreparowanymi dowodami na poczet późniejszego jawnego wejścia - typu pornografia dziecięca - albo zawierające delikatnie sfałszowane dane, tak aby ofiara się nie zorientowała) - na dysk któregoś z atakowanych komputerów, na znaleziony nośnik, lub bezpośrednio na jakiś udział zdalny
• zakolejkowane zadania w buforze wydruku - "nieplanowany" wydruk wyjeżdżający z drukarki w połowie dnia będzie dużo bardziej wiarygodny, niż znaleziony rano
• program, który po uruchomieniu w odpowiednich warunkach coś ściągnie, usunie, zaszyfruje itp.
• wirusa, który po uruchomieniu będzie monitorował schowek i podmieniał w nim dane, np. rozpoznane numery kont bankowych na inne
• program DLP, monitorujący aktywność komputera i mający nas w przyszłości powiadomić o czymś, czego szukamy, a zostanie wykryte na komputerze dopiero po adekwatnym ataku na biuro
• program, którego celem będzie dyskredytacja konkretnej osoby - np. koparkę kryptowalut, kopiącą na serwerze firmowym na konto o nazwie sugerującej nazwisko lub pseudonim któregoś z administratorów
• program typu keylogger - bądź fizyczny keylogger i ew. pluskwa (zależnie od typu sprzętu i okoliczności)
• urządzenia typu Bash Bunny (podłączone do komputera) lub LAN Turtle (podłączone do wolnego portu LAN) z odpowiednim payloadem, dobranym do indywidualnych potrzeb
• pen drive - np. z którymś z w/w programów

Przy czym podkładanie rozwiązań sprzętowych wprowadza sporą komplikację - trzeba bowiem:

• albo je jakoś odebrać w niedalekiej przyszłości (co wiąże się z kolejną wizytą w biurze - gdzie atak mógł zostać w międzyczasie wykryty i została wdrożona cicha obserwacja gości - a wówczas sama siła legitymacji może okazać się niewystarczająca)
• albo je tam zostawić na zawsze (co pomijając sam koszt tych urządzeń, prowadzi do tego, iż wcześniej czy później zostaną znalezione i rozpoznane jako biorące udział w jakimś ataku - i choćby jeżeli po czasie ciężko go będzie skojarzyć z nami, to na urządzeniu mogą zostać np. ślady biologiczne)

Co w kolejnych artykułach?

W najbliższych dwóch artykułach planujemy skupić się na klasyfikacji zagrożeń przy ataku na biuro, potem zaś planujemy rozwijać poszczególne opisane wyżej tematy. W miarę pojawiania się kolejnych tekstów, będziemy je linkować do tego artykułu - możesz więc go traktować jako swoisty spis treści.

Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. jeżeli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeżeli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.

Niniejszy artykuł jest częścią cyklu artykułów specjalistycznych, przeznaczonych dla tzw. podmiotów uprawnionych. Tutaj znajdziesz pełne wyjaśnienie.

Wraz z początkiem 2022, ten artykuł został przeniesiony tutaj i zaktualizowany. Powyższy tekst jest wersją archiwalną.