C 15 октября обновляется нерегулярно, но по велению разума...
Не укради.
Что это значит? Не отбирать у ближнего своего денег, или имущества его, и не присваивать себе чужого путём нечестной торговли, или мошенничества.
Седьмая заповедь. wiki
Конечно, первая ошибка — это использование чужих наработок. Трудно созидать, когда лично участвовал в рейдерском захвате. Но пройдемся по фактам.
Получив инструкцию, о том, что нужно запустить систему в исходном варианте (т.е. не отформатировать системные диски, не переустановить операционные системы) «товарищи» начали собирать… Но. Кривизна ли рук тому виной или страх. Получилось вот что.
От страха, что их будут взламывать, сменили IP-адрес (зачем убивали время и мучали провайдера — непонятно). Таким образом потеряли контроль над несколькими он-лайн сервисами. Пусть. В принципе восстановимо. Но настроили gateway вот таким образом.
Поясним для несведущих. Простейший сканер портов говорит нам, что на входе стоит роутер MikroTik (порт 2000) и на нём открыт порт управления 8291. Понимаем, что такие ляпы могут допустить не сильно квалифицированные «специалисты» и на основе этого запускаем можно запустить перебор паролей для учётной записи admin (стандартная для MikroTik).
Ещё мы понимаем, что удалённый доступ есть ко всей сети предприятия. И кто, и как им может воспользоваться… Опять же пояснение: удалённо попадая на Gateway, мы можем перенастроить в сети почти всё (DHCP, прокинуть VPN, затереть логи etc).
Дальше интереснее. В сети был настроен локальный домен. Все же понимают, как важна синхронизация времени на устройствах сети для функционирования AD, GPO etc. Естественно и нормально время получать шлюзом (123 порт, если кто забыл), а DC будет брать его с Gateway и раздавать (синхронизировать) OS введённым в домен.
А что же мы видим на открытых портах шлюза? Ничего про 123|udp. Зато 53 (tcp|udp) открыты — получите флуд по DNS! А ещё это прекрасная цель (дыра) для DDoS-атаки.
Приоткроем карты. Как можно получить (узнать) новый IP-адрес пациента?
Навскидку нам известно с десяток сравнительно честных способов. Например, просто ждём, когда сервис из внутренней сети (умельцы же запускают потихоньку что-то) постучится на наш сайт или онлайн ресурс. Вуа-ля – готово! Другой вариант: ждём включения WiFi в офисе, звоним в мессенджер (WatsApp, Viber, Telegram etc. Мало кто настраивает в них конфиденциальность) сотруднику или просто человеку, получившему доступ к офисному WiFi — даже долго разговаривать не нужно — в логах остаётся IP-адрес (WebRTC таки). И снова «Вуа-ля!» Третий вариант: кидаем в мессенджер сотруднику ссылку на наш ресурс. Тут даже ждать нечего. Мессенджер (особенно установленный на компе или запущенный через вэб-интерфейс) сам создаст предпросмотр сайта в сообщении и мы увидим (на web-ресурсе, конечно) откуда к нам пришли. Ещё вариант: звоним на SIP-номер организации с Asterisk и смотрим в CLI с самым подробным уровнем логирования (VERBOSE).
И это только самые простые. За использование человеческого фактора (например, позвонить знакомому сотруднику провайдера и так далее) мы даже не брались. Позвонить лояльному сотруднику и попросить зайти на сайт с определением IP. Вариантов, как вы понимаете масса.
А теперь перейдём к простому. Телефония.
Есть много способов организовать связь в офисе. И самая большая глупость в заданном регионе — пытаться работать на сотовых телефонах. Нет, конечно, дополнительный номер сотового нужен для особо «экономичных» клиентов, но и его лучше приземлять по SIP (PJSIP etc). А иначе начинается:
- Алло, алло! Смольный? Смольный?!?!? СМОЛЬНЫЙ!!!!
- Да не к'ичите, батенька, Ленин на п'оводе!
- Ленин, слезь нахрен с провода - не слышно ничерта!
Вот и сейчас. Не хватило опыта работы с Asterisk и IP-телефонами — сломали исходящую связь. Входящую смогли настроить только на одном операторе (один номер, хорошо хоть многоканальный: 5 линий). GoIP обратно вернуть не смогли, SIM-карту заблокировали (а нечего передавать чужое имущество без разрешения в чужие руки!)
Надеюсь, никому не нужно разъяснять подробнее, почему неправильно пользоваться личными телефонами для звонков по работе… Дело даже не в «безопасности», а в отсутствии формального контроля и самой возможности контроля (администрирования etc). Хаос не стремится к упорядочиванию, а самоорганизация возможна только в сложных системах. А описываемую систему сложной назвать нельзя. Если только её не рассматривать как часть более крупного механизма. – «И тут Остапа понесло» на около-философские размышления. Простите, вернёмся к фактам.
«Затык» случился в сбросе IP-телефонов к заводским настройкам. Ну, хорошо: не умеете читать умные ресурсы или работать отверткой и программатором, так хотя бы перебор по словарю попробовали бы. Web-морда телефона блокирует на известный интервал после известного количества попыток входа и блокирует по IP, коих в локальной сети сколько? А если маску расширить? Писать скрипты мы, видимо, тоже не умеем и пользоваться специализированным софтом. А софт такой остался: «потушенная» виртуалка с Kali. Кого нужно научить сбрасывать пароль root’a в Linux, имея физический доступ? В очередь!
В очередь, сукины дети, в очередь!
Полиграф Шариков
Теперь самое интересное. Базы 1С.
Так исторически сложилось, что в этой организации на базу покушались несколько раз. Что там пытаются найти всякие нечистоплотные граждане — для меня лично загадка. Ну, да ладно. Уровень паранойи, при настройке защиты БД зашкаливал, но общая атмосфера в организации и недостаток финансирования сказались не лучшим образом даже на этом. Как должно было быть:
- оператор БД (гл. бухгалтер или генеральный директор — не важно) в самой базе не имеет прав администратора;
- для обновления используется отдельная учётная запись (конечно привязанная к доменной авторизации), все действия в которой тщательно логируются и запускается 1С только в режиме Конфигуратора;
- БД лежит на web-сервере (OS Debian) доступ к ней только с определенного IP-адреса локальной сети (ибо БД файловая);
- сервер приложений на базе Windows для удобства и скорости работы;
- 1С для работы запускается только в режиме «Тонкого клиента»;
- резервное копирование баз по расписанию, хранилище зашифровано (раздел монтируется с ключом, ключ после монтирования перемещается на зашифрованный раздел перед выключением ключ возвращается «на родину». Если выключить некорректно, амба).
Реализовано было, конечно, не всё. Так как меньше года назад во время «обыска» вынесли все HDD с серверов. Правда на дисках вместо БД оказалось гей-порно (даже в HD), вероятно, поэтому HDD вернули уже через месяц. Но месяц надо было на чём-то работать, а потом вновь перебирать всю систему, когда диски вернули. Даже частичная реализация защиты БД 1С не дала возможности злоумышленникам запустить актуальную версию 1С. Они, конечно, смогли найти неактуальный и незашифрованный архив забытый на сервере SAMBA (с виндового клиента просто виделся в сети) и на этом потуги в области восстановления БД закончились.
Занавес. Конец первого акта. Все в буфет!
Второй акт.
Тут будет ссылка. В отдельной записи расскажем о приключениях вэб-мастера и его друзей…