В докладе о зловредах и не только: - группах риска; - методах распространения; - возможных последствиях; - связи индивидуальной и корпоративной безопасности; - митигации рисков; - разберем конкретные примеры из QA-практики.

1. Денис Жевнер
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ QA
ИНЖЕНЕГРА
Херсон 2017

2. ДЕНИС ЖЕВНЕР
• SQA;
• Wireless, telecom, embedded;
• Open Source evangelist;
• Beer professional;
• Old good paranoic :)

3. AGENDA
• Загадочная история тестировщицы Марии;
• Как Мария могла бы сэкономить?;
• Слезы опыта в компании К;
• Приобретения;
• Wanna Cry (Wanna Decryptor);
• Медок домашний;
• Выводы;
• Трое из ларца: Petya A, NotPetya,
Petya/Mischa;
• Полезности;

5. ЗАГАДОЧНАЯ ИСТОРИЯ ТЕСТИРОВЩИЦЫ МАРИИ
Нашла заказ на фриланс бирже;
Установила и протестировала desktop приложение;
Описала баги при установке и интеграции в
контекстное меню explorer;
Отправила заказчику красивый отчет с описанием
всего;
Проверила что деньги зашли на WM счет;
Выключила компьютер и пошла баинькать;
Утром решила вывести деньги, и…

6. КАК МАРИЯ МОГЛА БЫ СЭКОНОМИТЬ?
Разделить окружения: на тестовом бегают тесты,
на «банковском» - ходим в банки;
Использовать песочницу при тестировании;
Использовать виртуальные машины для
тестирования;
Разделять учетные записи и права доступа;
Не доверять незнакомым бинарникам.

7. СЛЕЗЫ ОПЫТА В КОМПАНИИ К
Более 200 ПК в сети;
Сеть разделена на несколько сегментов;
Регулярные централизованные обновления;
Доменные учетные записи;
Каждый пользователь – администратор на своем ПК;
Регулярное централизованное резервное копирование;
Настроенный «железный» межсетевой экран;
Аптайм серверов в среднем от 1 мес.;
Блокировки некоторых ресурсов на уровне ISP (VK,
mail.ru, etc);

8. ПРИОБРЕТЕНИЯ
 Использование сервисов информирования о угрозах
 Работа с пользователями по поводу ИБ;
 Регулярное резервное копирование на оффлайн
носитель;
 Регулярные принудительные обновления, в т.ч. серверов;
 Понижение локальных прав пользователей;
 «Белые списки» устанавливаемого ПО;

9. WANNA CRY (WANNA DECRYPTOR)
Использование уязвимости EternalBlue (Microsoft
Security Bulletin MS17-010);
Способен сканировать сеть и заражать соседей;
«Умное» шифрование: почта, документы, БД и т.д.;
Передача данных через Tor;

10. МЕДОК ДОМАШНИЙ
 Домашняя локалка с выходом в интернет;
 Подключение к ISP через единый шлюз;
 Доступные локально медиа серверы и сервисы;
 «Зоопарк» домашних ОС;
 Каждый пользователь сам следит за своим ПО;
 Отсутствуют централизованные обновления, резервных копий, антивируса и
т.д.;

11. ВЫВОДЫ
 Угрозу может представлять даже доверенное ПО;
 Использование сертифицированного ПО для
предприятий, в т.ч. и для работы из дому;
 Аппаратное разделение сети на сегменты;
 Настройка межсетевого экрана и маршрутизации
между сегментами;
 Отключение всех неиспользуемых сервисов;
 Внешний и внутренний аудит компонентов сети;
 Резервное копирование на оффлайн носитель;
 Регулярные обновления;

12. ТРОЕ ИЗ ЛАРЦА: PETYA A, NOTPETYA,
PETYA/MISCHA
Интересное:
 Использование знакомых уязвимостей EternalBlue и EternalRomance;
 Использование оригинального Petya/Mischa кода + «багфикс»;
 Использование Mimikatz для распространения по сети;
 Использование доверенной M.E.Doc как основной источник заражения;
Странное:
 Использование руткита Telebot для произвольной загрузки исполняемых
файлов и сбора информации;
 Отправка данных на сервера M.E.Doc;
 Не только шифрование, но и сбор данных (логины/пароли M.E.Doc, код
ЄДРПОУ и т.д.);
 «Багфикс» «старого» Petya включал необратимое шифрование данных;
 Использование одного кошелька и одного e-mail для связи;
Отчет компании ESET

13. ПОЛЕЗНОСТИ
• Онлайн вирус-сканеры;
• Виртуальные машины;
• Песочница;
• Антивирусы;
• Заморозка ОС;
• Сетевые сканеры;
• Специализированные ОС;
• Шифрование диска/файлов;
• Использование защищенного соединения;
• Port knocking;