Взлом Бундестага: возможные предпосылки и методы защиты

  1. Как ИТ-системы могут быть приняты
  2. Возможен ли такой же сценарий взлома, что и взлом в Бундестаге, с Univention Corporate Server?
  3. Передайте хэш
  4. Так какую форму может принять эффективная защита?
  5. Есть ли какие-либо различия между тем, как Active Directory реализуется Samba в UCS и Microsoft Windows?
  6. Вектор атаки: Боковой перескок сервера с локальным администратором.
  7. Вектор атаки: Боковое переключение сервера с хешем пользователя домена.
  8. Вектор атаки: Считывание хэшей через LDAP из службы каталогов Samba.
  9. Вектор атаки: Считывание хэшей через LDAP из OpenLDAP.
  10. Другие элементы стратегии глубокоэшелонированной защиты
  11. Вывод для взлома бундестага

Здесь, в Univention, мы, конечно, также обеспокоены нападением на ИТ-инфраструктуру парламента Германии, более известную как «взлом Бундестага»

Здесь, в Univention, мы, конечно, также обеспокоены нападением на ИТ-инфраструктуру парламента Германии, более известную как «взлом Бундестага». Напомним: кажется, что там были некоторые поддельные электронные письма, в том числе ссылки на вредоносные программы. Некоторые ПК под управлением Windows в сети «Parlakom» бундестага были или могут быть заражены вредоносной программой, которая, как утверждается, искала и копировала определенные конфиденциальные документы Word. Согласно отчету в Tagesspiegel (немецкий) газете, это позволило хакерам получить «административные права на инфраструктуру». Атака была проведена как «продвинутая постоянная угроза» или «атака APT» для краткости: другими словами, сложная, многоэтапная атака на IT-сеть парламента Германии «Парлаком».

Как ИТ-системы могут быть приняты

Существует целый ряд «классических» подходов для захвата ИТ-систем, таких как эксплуатация уязвимостей в программном обеспечении, перехват или угадывание паролей (атаки методом перебора) и взлом паролей. Эти методы хорошо известны, и сравнительно просто уменьшить риск успеха таких атак. Необходимые меры: регулярная, комплексная и быстрая установка обновлений, шифрование конфиденциальных данных и сетевое взаимодействие с использованием самых современных стандартов шифрования, использование достаточно длинных паролей, регистрация неудачных попыток входа в систему и блокировка учетных записей пользователей с помощью слишком много неудачных попыток, использование хэшей с посоленными паролями (соль преобразует два одинаковых пароля в разные хэши), итерация хеш-функций (раундов) и регулярная смена паролей.

Однако существуют также передовые методы взлома, которые не являются такими явными (как атака методом перебора) и не требуют огромных вычислительных усилий для взлома хэшей паролей. Институт SANS опубликовал документ на эту тему с подходящим названием « Зачем взламывать, когда можно передать хеш? ».

Возможен ли такой же сценарий взлома, что и взлом в Бундестаге, с Univention Corporate Server?

Как вы можете прочитать здесь, например, теперь мы знаем, что парламент Германии использует OpenLDAP и Active Directory в качестве центральных служб каталогов. OpenLDAP также является центральной службой каталогов в UCS, а службы Active Directory предоставляются в UCS программным обеспечением с открытым исходным кодом Samba. Следовательно, мы были вынуждены спросить себя, был ли бы тот же тип атаки успешным, если бы использовалась UCS, и какие защитные меры безопасности потребовались бы. Это ставит вопрос о том, существуют ли известные сценарии атак на Active Directory, применяются ли они также для UCS и Samba и какие меры безопасности могут быть реализованы в случае необходимости.

Передайте хэш

Передача хеша является примером метода взлома, который использует уязвимость проекта в протоколе аутентификации, а не конкретную уязвимость безопасности в самом коде. Таким образом, хэш пароля (а не фактический пароль) используется для входа в удаленную систему Windows.

Взлом может произойти следующим образом:

1. Хакер начинает с приобретения прав локального администратора в доменной системе (обычно это клиенты Windows), например, с выявления уязвимости в системе безопасности или с помощью фишинговой электронной почты, как это могло быть в случае взлома в Бундестаге.

2. Затем хэши паролей считываются, как правило, из внутренней памяти, но также, возможно, из локальных файлов. На сегодняшний день известные успешные хаки ограничиваются хешами LM и NTLM.

3. Эти хеши паролей также можно использовать для входа в службы сервера, которые разрешают проверку подлинности NTLM. Также доступны инструменты, которые могут генерировать поддельный билет Kerberos из хеша NTLM.

4. Домен может быть полностью скомпрометирован, если хэш пароля пользователя KRBTGT может быть считан на контроллере AD / Samba, так как он может быть использован для генерирования столько билетов Kerberos, сколько вам нужно (ключевое слово: «золотой билет»).

В общем, это крайне неприятно и позволяет хакеру установить присутствие для себя в Active Directory на длительный период времени. Эти атаки известны как расширенные постоянные угрозы (APT).

В настоящее время неизвестные возможности для непривилегированного пользователя получить доступ к хэшу пароля пользователя KRBTGT на серверах Samba AD DC.
Напротив, привилегированный пользователь может легко получить доступ к хешу пароля пользователя KRBTGT, поскольку система фактически разработана с учетом этого. В Univention Corporate Server для этого требуется доступ с правами root, тогда как администратора домена достаточно для Windows AD DC. Атаки, такие как передача хэша, используют эту функцию, используя другие уязвимости безопасности для получения прав привилегированных учетных записей.

Это может быть дополнено уязвимостями безопасности, такими как MS14-068, которые описывают, как сигнатуры реализации Microsoft Kerberos KDC не проверяются корректно на корректность и, таким образом, позволяют подделывать данные аутентификации, содержащиеся в билетах службы Kerberos. Как далеко как мы знаем Samba не подвержена этой уязвимости.

Общий риск может быть уменьшен только с помощью соответствующих общеорганизационных мер безопасности - здесь оперативное слово «глубокоэшелонированная защита».

Так какую форму может принять эффективная защита?

Основным требованием для прохождения хакерских атак является локальный административный доступ к компьютеру домена. Таким образом, хакеру необходимо сделать как можно более трудным получение доступа к доменным системам. Если это уже произошло, у него не должно быть никакой возможности зачитать действительно важные пароли.
Поскольку шаблоны атак для Microsoft AD и Samba AD в этом отношении идентичны, следует также обратиться к анализам и техническим документам, касающимся хакерских атак на Microsoft AD.

Есть ли какие-либо различия между тем, как Active Directory реализуется Samba в UCS и Microsoft Windows?

Как уже упоминалось, основные возможности атаки ничем не отличаются Как уже упоминалось, основные возможности атаки ничем не отличаются. Чтобы быть совместимым с Microsoft Active Directory, существующий недостаток дизайна также должен быть реализован в Samba. Единственная разница заключается в том, каким образом можно получить доступ к компьютеру домена и какие учетные записи пользователей и хэши можно считывать.
В Microsoft Windows доступ локального администратора является основным требованием для этого типа атаки, чтобы иметь возможность первоначально перехватить хеш NTLM пользователя. Эквивалентом в UCS / Linux будет корневой доступ.

Стандартное кэширование паролей в Microsoft Windows - даже после повторного выхода пользователей из системы - не происходит в системах UCS ни для пользователя root, ни для пользователей домена.

Поскольку для прохождения хэш-атак требуется, чтобы на атакованных системах хэши паролей без соли (как правило, LM или NTLM) были важны, чтобы знать, где хранятся эти хэши (если они есть).

  • На DC UCS все (NTLM) хэши паролей находятся в OpenLDAP и на Samba DC дополнительно в SAM.ldb. По этой причине эти системы требуют особой защиты.
  • В системах UCS, допускающих интерактивные входы пользователей, в / tmp могут быть кэши учетных данных Kerberos.
  • Учетные данные хоста, доступные для чтения для root, находятся во всех системах UCS (/etc/machine.secret, /etc/krb5.keytab).
  • На всех контроллерах домена Windows хеши паролей пользователей домена хранятся в Active Directory - в частности, в файле% SystemRoot% \ NTDS \ Ntds.dit.
  • Локальные пользователи хранятся в базе данных SAM в системах Windows (% SystemRoot% / system32 / config / SAM) - к этому также можно получить доступ через реестр.
  • Кроме того, существуют также инструменты, которые обращаются к хэшам паролей во внутренней памяти Windows и могут их считывать. Это позволяет получить хэш пароля (ранее) зарегистрированного администратора домена на скомпрометированном клиенте, даже если его хэш пароля не хранится локально.

Вектор атаки: Боковой перескок сервера с локальным администратором.

В системах Windows хеш пароля локального администратора обычно может также использоваться для доступа к другим системам Windows, если там используется тот же пароль. UCS или Linux-эквивалент локального администратора - «root», и это не пользователь Samba / Kerberos. Таким образом, невозможно войти в удаленную систему UCS, используя простой хэш. Локально сохраненный хэш пароля корневого пароля засолен, что значительно затрудняет взлом пароля с использованием радужных таблиц. Тем не менее, рекомендуется не использовать одни и те же пароли root во всех системах. Как правило, также практично отключать пароли root и просто использовать вместо этого sudo.

Альтернативно / дополнительно, вы можете использовать SSH-ключи с более сильной, специфичной для хоста парольной фразой.

Вектор атаки: Боковое переключение сервера с хешем пользователя домена.

В отличие от систем Windows, невозможно войти в удаленную систему UCS только с хешем NTLM.

Однако, как и в Windows, в UCS также возможно использовать кеш учетных данных Kerberos пользователя или хоста UCS для аутентификации в Kerberised службах других систем UCS. Ограничение авторизации является решающим (например, через переменные UCR auth / .*/ ограничено и auth / .*/).

Вектор атаки: Считывание хэшей через LDAP из службы каталогов Samba.

В принципе это возможно только через локальный сокет, а не через порт LDAP. Требуется локальный root-доступ. Присоединение дополнительного Samba AD или Microsoft AD DC в качестве средства атаки представляет собой исключение, поскольку контроллеры AD получают все хэши паролей через репликацию DRS. Для этого требуются учетные данные администратора домена, например хеши Kerberos.

Вектор атаки: Считывание хэшей через LDAP из OpenLDAP.

Это защищено списками ACL LDAP. По умолчанию, помимо администраторов домена, все контроллеры домена UCS могут также считывать хэши для репликации LDAP. Начиная с UCS 3.0, доступ к OpenLDAP всегда требовал аутентификации. Однако необходимо проверить, не отключена ли аутентификация вручную по причинам обратной совместимости (ldap / acl / read / anonymous и ldap / acl / read / ips). Репликация выполняется через TLS-зашифрованные соединения.

Другие элементы стратегии глубокоэшелонированной защиты

Без претензий на исчерпывающий характер:

  • Если клиенты и файловые серверы Microsoft Windows объединены в домене UCS, то для этих систем применяются все рекомендации Microsoft, в частности http://blogs.microsoft.com/cybertrust/2012/12/11/new-guidance-to-mitigate. -определенные-злоумышленники-любимые-атаки-пасс-хэш / и https://technet.microsoft.com/en-us/dn785092.aspx. Windows 8.1 и Windows Server 2012 R2 также повышают безопасность локальных служб входа, см. Http://blogs.microsoft.com/cybertrust/2014/07/08/new-strategies-and-features-to-help-organizations- лучше защитить, против миновать-зе-хэш-атак /.
  • Запретить доступ для постоянных пользователей на контроллерах домена. Это уже стандартная конфигурация для многих сервисов UCS (переменные UCR auth // restrict).
  • Кроме того, следует также учитывать целевое разделение различных типов учетных записей.
      Отключение администратора домена «Администратор» и использование персональной учетной записи администратора.
      Введение администраторов домена DC - кто может войти только на контроллеры домена.
      Представление администраторов клиентских доменов - которые могут входить только на рядовые серверы и клиенты
      Администраторы используют только учетные записи администраторов для администрирования, то есть как пользователи, так и администраторы выполняют свою повседневную работу с непривилегированными учетными записями.
  • Регулярная, быстрая и комплексная установка обновлений безопасности.
  • Полное шифрование диска
  • BIOS / UEFI, защищенный паролем
  • Вирусные сканеры с соответствующей отчетностью
  • Межсетевые экраны с соответствующей отчетностью
  • Системы обнаружения вторжений с соответствующей отчетностью
  • Правила брандмауэра: нет связи клиент-клиент; клиенты могут общаться только с необходимыми серверами.
  • Регулярная ротация всех паролей
  • Убедитесь, что, насколько это возможно, используются и принимаются только надежные методы шифрования / хэши.
  • Убедитесь, что локальные пользователи (например, администратор / root) не могут войти в другую систему удаленно, особенно с тем же паролем.
  • Убедитесь, что Windows не кэширует хэши паролей дольше, чем это абсолютно необходимо, особенно после того, как пользователь вышел из системы.

Вывод для взлома бундестага

То же самое относится и к ИТ-безопасности: нет такой вещи, как 100% безопасность - даже в UCS. Однако существует целый ряд мер, которые могут быть приняты, и которые, в случае такой критически важной инфраструктуры, как, например, парламент Германии, безусловно, также должны быть приняты. Действительно ли они были или нет, будет выявлено в результате недавно спровоцированного расследования.

И еще одно ясно: единственная вещь, которая обеспечивает максимальную прозрачность, - это программное обеспечение с открытым исходным кодом, которое может быть проверено на возможные недостатки и бэкдоры как разработчиком, так и пользователем, а также независимыми третьими лицами. Это то, что делает его важным компонентом высокоэффективной, устойчивой стратегии информационной безопасности.

Источник фото «Deutscher Bundestag»: Groman123 / CC BY-SA 2.0

Похожие

Обновление для Windows 7 и 8.1 автоматически устанавливает загрузчик Windows 10
Корпорация Майкрософт выпустила дополнительное обновление, которое «включает дополнительные возможности для уведомлений Центра обновления Windows, когда пользователю доступны новые обновления». Мы обнаружили, что обновление на самом деле является загрузчиком для Windows 10, который уведомит пользователя о возможности загрузки будущей операционной системы Microsoft.
Исправление Windows Meltdown-Spectre: как проверить, не блокирует ли ваш AV патч Microsoft
Антивирусные компании постепенно добавляют поддержку патча Microsoft для Windows для методов атаки Meltdown и Spectre, которые затрагивают большинство современных процессоров. Как Microsoft предупредил на этой неделе он не будет поставлять свои обновления безопасности Windows 3 января клиентам, если они используют сторонний антивирус, если не подтверждено, что AV
Надежный Таро
... ия Таро ! Сказать, что у вас лучшие чтения Таро в Интернете, - довольно смелое утверждение. Однако, если вы посмотрите направо, вы увидите пример чтения Таро, и я надеюсь, что вы покажете, что они достаточно подробны. Это одна из причин, по которой Trusted Tarot является лучшим местом для чтения: мои чтения основаны на многолетнем опыте, и я ничего не храню. Вторая причина в том, что я каждый день перетасовываю карты Таро и загружаю заказ на страницу. Доверенное Таро
Как откалибровать сенсорные экраны
... сенсорные экраны Сенсорные экраны находят применение во множестве встроенных продуктов. Большинство сенсорных устройств требуют калибровки. Вот хороший. Сенсорные экраны резистивного типа обычно используются в экономичных конструкциях. Их конструкция проста, их работа хорошо понятна, а аппаратное и программное обеспечение, необходимое для их поддержки, легко доступно у нескольких производителей. Несмотря на преимущества сенсорных экранов
Как купить на eBay
eBay - это популярный торговый сайт, где частные лица и предприятия могут покупать и продавать новые и подержанные товары. Существует два основных способа покупки на eBay: либо через аукцион, на котором вы делаете ставки, и выигрывает участник, предложивший наибольшую цену, либо с помощью функции «купить сейчас», где установлена ​​цена, и вы покупаете так же, как в любом интернет-магазине. , В этом руководстве мы покажем вам, как что-то купить на eBay, предлагая цену на
IHS Markit: В Индии содержание местного видео-сервиса так же важно, как и цена
В Индии локализованный контент так же важен, как и цены,
Кризис в Йемене от голода умерли 85 000 детей
Image caption Детям до пяти лет больше всего угрожает смерть от недоедания Около 85 000 детей в возрасте до пяти лет вероятно умерли от острого недоедания за три года войны в Йемене, согласно подсчетам международной благотворительной организации Save the Children. В прошлом месяце ООН предупредила, что почти 14 млн жителей Йемена находятся на грани голода. Международная организация пытается восстановить переговоры, чтобы прекратить войну, которая длится три года и
Черное Зеркало Bandersnatch: Как смотреть все концовки
... и / Netflix Нетфликса Черное зеркало: Bandersnatch это интерактивная история, которая позволяет вам решить, что произойдет. Главный герой, Стефан, пытается создать свою собственную интерактивную видеоигру - также называемую Bandersnatch - и по мере того, как вы перемещаетесь по сюжету, ваши решения формируют то, как он реагирует на семейную травму, собственную психическую
10 лучших приложений для взлома Wi-Fi для Android-2018
... считался исключительной сферой «экспертов», стал очень распространенным явлением с ростом технологий и достижений в мобильной области. Телефоны Android наиболее популярны из-за наличия миллионов приложений на рынке. Но возможно ли взломать Wi-Fi с помощью смартфона Android ? Да, это возможно! Android-смартфоны могут запускать тестирование на проникновение и тестирование безопасности
Давайте сделаем A / B тесты - но стоит ли это того? - www.webusability.pl
Измерение влияния изменений в дизайне при прямом переводе на желаемое преобразование, несомненно, является ценным, легкодоступным, недорогим и широко используемым, в том числе такими гигантами, как Amazon или Google. Зачем организовывать исследования для нескольких человек, если мы можем собирать данные из тысяч, не вставая со стола? Что хорошего В A / B тестах мы создаем две версии выбранного элемента страницы и отображаем их случайным образом, отслеживая реакции
Как установить Android на свой iPhone
(Примечание редактора: Дэвид Ван - опытный хакер iPhone и член iPhone Dev Team , Возьмите под свой контроль гаджеты на свой страх и риск - мы не несем ответственности за то, что произойдет, если вы позаботитесь о вашем iPhone, как бы маловероятно это ни было.) Может быть, вы хотите освободить свой iPhone от лап Apple. Может быть, вы просто хотите повозиться с чем-то новым. В любом случае, вы видели

Комментарии

Что вы имеете в виду, когда говорите, что они тасуются вручную?
Что вы имеете в виду, когда говорите, что они тасуются вручную? Trusted Tarot - это первый веб-сайт, который не использует компьютеры для случайного генерирования карт, из которых вы собираетесь выбирать. Каждый день я перетасовываю карты Таро вручную и помещаю их в порядок на странице. Когда вы и все остальные читаете, письма, которые вы выбираете, находятся в том же порядке, что и передо мной. Поскольку карты Таро меняются один раз в день, очень важно подождать 24 часа, прежде чем
КС: Как фильм «Индиана Джонс» без Джорджа Лукаса меняет уравнение?
КС: Как фильм «Индиана Джонс» без Джорджа Лукаса меняет уравнение? Маршалл: Мне нравится быть с Джорджем и получать его вклад, но жизнь меняется, и мы движемся дальше. Он двинулся дальше. Мы очень уважаем первоначальные намерения фильма, конечно, характер Харрисона. Сериализация первоначального замысла. Я бы хотел, чтобы там был Джордж. Я люблю быть рядом с Джорджем и работать с ним, очевидно. Это будет немного по-другому, потому что идеи приходят из другого
Так почему же ваш старый Super NES или Sega Genesis выглядит как мусор на вашем новом HDTV?
Так почему же ваш старый Super NES или Sega Genesis выглядит как мусор на вашем новом HDTV? Это комбинация факторов, но в основном это сводится к следующему: старые игровые приставки были разработаны для работы со старыми телевизорами, в частности с телевизорами с большими электронно-лучевыми трубками (CRT), о которых мы помним до того, как ЖК-телевизоры захватили мир. Резолюции не совпадают Если вы подключаете классическую систему на основе картриджей впервые за многие
Будете ли вы пытать?
Будете ли вы пытать? И ты прав! Тест LD50, то есть тест на токсичность. Этот тест проводят на млекопитающих, то есть на крысах или мышах. Тестируемое вещество вводят в различных дозах приблизительно 30 крысам. Чаще
Что вы берете?
Что вы берете? Будете ли вы загружать бесплатную копию Windows 8 Media Center Pack? Вы уже сделали это? Если да, каков был ваш опыт? Как всегда, если у вас есть комментарии или информация, чтобы поделиться по этой теме, пожалуйста, найдите время, чтобы перейти к TechRepublic Форумы сообщества и позвольте нам услышать от вас.
Йемен уже страдает от голода, не так ли?
Йемен уже страдает от голода, не так ли? Не совсем - хотя страна приближается к этому. В прошлом месяце ООН предупредила, что половина населения страны сталкиваются с условиями, приближенными к голоду. Данное устройство не поддерживает воспроизведение мультимедийных файлов В ООН обеспокоены тем, что 13000000 человек оказались на пороге голода. Для
Так что выбирайте мудро: Frosties или Sugar Puffs?
Так что выбирайте мудро: Frosties или Sugar Puffs?
В связи с этим, что мы можем сделать?
В связи с этим, что мы можем сделать? Не волнуйтесь, я так рад сказать, что без каких-либо файлов резервных копий, вы также можете вернуть это удаление файлов из одного мощного программного обеспечения, имя которого Dr.Fone - Восстановление (iOS) (это полезная программа для восстановления данных iPhone). Это позволяет пользователю восстанавливать файлы непосредственно с устройства iOS без резервного файла.
Что нам нужно, чтобы получить самые простые советы в силу?
Что нам нужно, чтобы получить самые простые советы в силу? Вы просто должны стараться делать хорошие вещи каждый день. Студзиньски добавляет: Обратите внимание, что две награды были фактически примерами умного применения доступных технологий. В Польше мы не ориентируемся на проведение кампании с инновационным элементом. Вместо этого мы сосредотачиваемся на выполнении ежедневной работы и иногда делаем что-то «за вознаграждение». Проект «Мера мира, Квант мира», разработанный
Какая может быть работа, если ты используешь свои личные счета для хозяйственной деятельности других лиц?
Какая может быть работа, если ты используешь свои личные счета для хозяйственной деятельности других лиц? ", - удивляется Иван Канюс. взломы аккаунтов Милиционер советует не пренебрегать правилам безопасности в сети Интернет. Ведь довольно часто недостаток таких знаний и становится причиной того, что чужие люди получают доступ к вашим персональным страницам. "Взломы страниц фиксируем довольно часто. В частности, был случай, когда
Что произойдет, если я не верну деньги в течение первых шести месяцев (отсрочка)?
Что произойдет, если я не верну деньги в течение первых шести месяцев (отсрочка)? После шестимесячного периода отсрочки Barclays Partner Finance инициирует ежемесячный платеж прямым дебетом на оставшийся срок кредита. Проценты будут начисляться по ставке 19,9% годовых по непогашенным остаткам (с задним сроком до первой даты кредита). С этого момента применяются штрафы за несвоевременную оплату и досрочное погашение. Barclays Partner Finance отправит письмо-напоминание примерно за месяц

Есть ли какие-либо различия между тем, как Active Directory реализуется Samba в UCS и Microsoft Windows?
Институт SANS опубликовал документ на эту тему с подходящим названием « Зачем взламывать, когда можно передать хеш?
Возможен ли такой же сценарий взлома, что и взлом в Бундестаге, с Univention Corporate Server?
Так какую форму может принять эффективная защита?
Есть ли какие-либо различия между тем, как Active Directory реализуется Samba в UCS и Microsoft Windows?
Но возможно ли взломать Wi-Fi с помощью смартфона Android ?
Зачем организовывать исследования для нескольких человек, если мы можем собирать данные из тысяч, не вставая со стола?
Что вы имеете в виду, когда говорите, что они тасуются вручную?
КС: Как фильм «Индиана Джонс» без Джорджа Лукаса меняет уравнение?
Так почему же ваш старый Super NES или Sega Genesis выглядит как мусор на вашем новом HDTV?