Positive Technologies посмотрела на «облачные» вычисления глазами пентестера

На днях компания Positive Technologies в рамках образовательной программы «Практическая безопасность» провела вебинар, посвящённый технологии «облачных» вычислений. В ходе мероприятия были рассмотрены возможности использования «облачных» сервисов для тестов на проникновение, а также потенциальные сценарии применения «облаков» злоумышленниками.

Термином «облачные вычисления» (cloud computing) называют технологию распределённой обработки данных, в которой компьютерные ресурсы и мощности предоставляются пользователю как интернет-сервис. В качестве предоставляемого таким способом сервиса может выступать программное обеспечение (Software as a Service), вычислительная платформа (Platform as a Service), аппаратное обеспечение (Hardware as a Service), рабочее место (Workplace as a Service), данные (Data as a Service), безопасность (Security as a Service) и др.

В рамках вебинара «AB}USE their Clouds. Облачные вычисления глазами пентестера» было рассмотрено использование модели предоставления виртуальной инфраструктуры сети как сервиса – IaaS (Infrastructure as a Service) – в качестве инструмента пентестера. Пентест, или penetration test, является тестом на проникновение, когда специалист устраивает псевдоатаку на информационный ресурс, выявляя слабые места в его защите. В данном контексте «облачные» вычисления могут быть использованы для анонимности и сокрытия следов, сканирования портов, «роботизации» сбора информации, подбора паролей, нагрузочного тестирования и т. д.

Специалист группы тестирования на проникновение компании Positive Technologies Юрий Гольцев начал вебинар с темы, посвящённой тому, какие возможности для анонимности и сокрытия следов предоставляют «облачные» вычисления. Так, многие «облачные» провайдеры предоставляют тестовый доступ, которым может воспользоваться любой желающий. Чтобы быть анонимным, надо скрыть свою личность при получении доступа к данному сервису. Большинству провайдеров для верификации личности требуется только платёжная информация и, возможно, номер мобильного телефона. Также при работе с сервисом IaaS все данные по желанию подписчика могут быть автоматически уничтожены после завершения работы сервера.

Говоря об использовании IaaS для сканирования портов, Юрий Гольцев подчеркнул, что в работе пентестера очень важно не пропустить ни единого участка инфраструктуры. И если сканирование TCP-портов занимает достаточно мало времени, то для сканирования UDP-сервисов требуется огромное количество времени, и сложно не пропустить абсолютно ничего. Но, используя «облачные» вычисления, можно параллельно сканировать один и тот же хост с 20-40 серверов и не пропустить ни одного участка, что говорит о качестве тестирования. Также было отмечено, что в любой момент можно сменить IP-адреса систем для обхода IPS – системы предотвращения вторжений (Intrusion Prevention System).

В связи с недавними утечками персональных данных через поисковые системы (см. новость раздела «Информационная безопасность» от 9 августа 2011 г.) очень актуальной стала защита от этих утечек, а также роботизация сбора информации с поисковых систем и социальных сетей. Если грубо собирать информацию, например, с такого поисковика, как Google, то через определённое количество запросов поисковая машина забанит IP-адрес, с которого отправляются запросы, пояснил Юрий Гольцев. С сервисом IaaS можно этого избежать, буквально в пару кликов изменив IP-адрес системы, и автоматизировать весь процесс. В итоге будет осуществляться сбор информации по поисковым системам и социальным сетям с передачей на сервер, который будет изменять IP-адреса и выполнять всю операцию по программной организации.

Использование сервиса IaaS также позволяет значительно ускорять подбор паролей. В случае с онлайн-брутфорсом существенно понижается вероятность блокирования системой IPS по IP-адресу. Кроме того, при переборе паролей с одного IP-адреса IPS устанавливает время задержки, после смены IP-адреса сервером эти задержки обнуляются. То есть при использовании «облачных» вычислений за более существенно короткий промежуток времени можно осуществить большее количество операций по перебору паролей. Также можно достаточно быстро обойти диапазон, например, из тысячи машин: это может быть тысяча роутеров какого-либо провайдера, предоставляющего доступ. В таком случае каждый инстанс, т. е. виртуальный сервер, с уникальным IP-адресом будет подключаться к сервису, к которому подбирается пароль, допустим, с одним паролем. Он обойдёт тысячу адресов, потом другой сервер будет подключаться к этим IP-адресам уже с другим паролем. В данном случае отпадает блокирование по IP, а также существенно увеличивается скорость перебора паролей.

Взлом паролей посредством генерации радужных таблиц (rainbow tables) с помощью «облачных» вычислений уникален тем, что, помимо вычислительных мощностей, «облачный» провайдер предоставляет возможность условно неограниченного кластера для хранения данных. Например, для генерации радужной таблицы для подбора пароля длиной 8 символов понадобится 418 Тбайт места. На локальной машине это очень сложно осуществить, в данном случае логично использовать Storage as a Servise – хранение данных как сервис. Юрий Гольцев привёл расчёт стоимости и времени подбора восьмизначного пароля, состоящего из цифр, больших и маленьких латинских букв. Если радужную таблицу генерируют 20 серверов, то для подбора такого пароля потребуется $318 тыс. и 18 месяцев ожидания. (В случае если бы такую таблицу делали на домашнем компьютере, понадобилось бы 1290 лет.) Докладчик отметил, что злоумышленники вполне могут обладать указанной суммой денег. Поэтому стоит обратить внимание на политику паролей и, например, увеличить длину с 8 символов до 9, что существенно затруднит взлом.

Что касается офлайн-брутфорса, то специалисты компании Positive Technologies провели эксперимент, подсчитав, сколько будет стоить взлом пароля таким образом «из облака». Так, для пароля, включающего маленькие латинские буквы и цифры длиной 10 символов, потребуется порядка $5,5 тыс. и 110 дней.

Далее было рассмотрено «нагрузочное тестирование», то есть определение производительности и времени отклика системы в ответ на внешний запрос, с использованием «облачных» вычислений. Как рассказал Юрий Гольцев, для эффективной DoS-атаки было необходимо порядка 60 серверов. Чтобы получить это количество инстансов, например у провайдера Amazon, необходимо 3 аккаунта, для регистрации которых нужна кредитная карта и номер мобильного телефона. Для того чтобы анонимизировать себя, было использовано 3 карты pre-paid, которые никак не привязаны к личности, и также 3 SIM-карты. Для того чтобы вывести из строя веб-сайт, распределяющий свою нагрузку на два сервера, потребовалось создать около 40 тыс. подключений по 20 тыс. на каждый инстанс, после чего веб-сайт перестал отвечать на запросы. Данная атака обошлась в 1150 рублей, таким образом, каждый, обладающий этой суммой, может отправить практически любой веб-сайт в накаут.

Если рассматривать сам сервис IaaS, то здесь также есть уязвимые места. Так, при подключении к этому сервису, предоставляется возможность выбрать систему, на которой будет работать сервер, либо создать свою. Существует стандартная конфигурация Amazon Machine Image (AMI), также пользователи могут публиковать свои AMIs и использовать чужие. Как отметил Юрий Гольцев, загвоздка здесь заключается в том, что никто не проверяет конфигурации перед тем, как их использовать. Например, у провайдера Amazon есть порядка 40 тыс. различных AMIs. Компания Positive Technologies провела эксперимент, создав свою конфигурацию и открыв её для общего пользования. В неё входил Linux и удобный набор софта, а также соглашение о том, что при использовании образа пользователей на сервер Positive Technologies будет передаваться статистика о запусках. Докладчик сообщил, что никто не обратил внимания при использовании данной конфигурации на эту сноску, в итоге компания получила более 1000 «отстуков» за месяц от неизвестных пользователей, которые запускали данную конфигурацию. Стоит отметить, что на месте Positive Technologies мог быть злоумышленник, занимающийся отнюдь не сбором статистики.

В заключении Юрий Гольцев рассказал, что делать тому, на кого проводится атака «из облака» на инфраструктуру, веб-сайт, почтовый аккаунт и т. д. В первую очередь необходимо понять, с каких IP-адресов идёт атака, узнать точное время атаки и собрать необходимую информацию для передачи провайдеру. Далее необходимо обратиться в службу abuse провайдера. После передачи всей необходимой информации об атаке с пострадавшим связываются, но докладчик посетовал, что дальше чаще всего ничего не происходит: провайдер благодарит за обращение, и неизвестно, ведутся ли поиски злоумышленника.

Таким образом, дешевая вычислительная мощность, анонимность и сложность расследования инцидентов, характерные для «облачных» вычислений, весьма привлекательны для киберпреступников. Преступная активность может приводить к блокированию адресного пространства «облачных» провайдеров и недоступности реализованных с их использованием сервисов.

Подробности

Positive Technologies – одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании: разработка системы контроля защищенности и соответствия стандартам MaxPatrol и сканера безопасности XSpider; предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.

Positive Technologies проводит вебинары в рамках образовательной программы «Практическая безопасность», направленной на повышение осведомленности специалистов о существующих угрозах, методах и подходах к анализу защищенности, а также об управлении соответствием стандартам и контроле эффективности средств защиты.

Автор: Светлана Черемисина.

Тематики: Интернет, Интеграция, Маркетинг, Оборудование, ПО, Web, Безопасность

Ключевые слова: информационная безопасность