В докладе о зловредах и не только:
- группах риска;
- методах распространения;
- возможных последствиях;
- связи индивидуальной и корпоративной безопасности;
- митигации рисков;
- разберем конкретные примеры из QA-практики.
2. ДЕНИС ЖЕВНЕР
• SQA;
• Wireless, telecom, embedded;
• Open Source evangelist;
• Beer professional;
• Old good paranoic :)
3. AGENDA
• Загадочная история тестировщицы Марии;
• Как Мария могла бы сэкономить?;
• Слезы опыта в компании К;
• Приобретения;
• Wanna Cry (Wanna Decryptor);
• Медок домашний;
• Выводы;
• Трое из ларца: Petya A, NotPetya,
Petya/Mischa;
• Полезности;
4.
5. ЗАГАДОЧНАЯ ИСТОРИЯ ТЕСТИРОВЩИЦЫ МАРИИ
Нашла заказ на фриланс бирже;
Установила и протестировала desktop приложение;
Описала баги при установке и интеграции в
контекстное меню explorer;
Отправила заказчику красивый отчет с описанием
всего;
Проверила что деньги зашли на WM счет;
Выключила компьютер и пошла баинькать;
Утром решила вывести деньги, и…
6. КАК МАРИЯ МОГЛА БЫ СЭКОНОМИТЬ?
Разделить окружения: на тестовом бегают тесты,
на «банковском» - ходим в банки;
Использовать песочницу при тестировании;
Использовать виртуальные машины для
тестирования;
Разделять учетные записи и права доступа;
Не доверять незнакомым бинарникам.
7. СЛЕЗЫ ОПЫТА В КОМПАНИИ К
Более 200 ПК в сети;
Сеть разделена на несколько сегментов;
Регулярные централизованные обновления;
Доменные учетные записи;
Каждый пользователь – администратор на своем ПК;
Регулярное централизованное резервное копирование;
Настроенный «железный» межсетевой экран;
Аптайм серверов в среднем от 1 мес.;
Блокировки некоторых ресурсов на уровне ISP (VK,
mail.ru, etc);
8. ПРИОБРЕТЕНИЯ
Использование сервисов информирования о угрозах
Работа с пользователями по поводу ИБ;
Регулярное резервное копирование на оффлайн
носитель;
Регулярные принудительные обновления, в т.ч. серверов;
Понижение локальных прав пользователей;
«Белые списки» устанавливаемого ПО;
9. WANNA CRY (WANNA DECRYPTOR)
Использование уязвимости EternalBlue (Microsoft
Security Bulletin MS17-010);
Способен сканировать сеть и заражать соседей;
«Умное» шифрование: почта, документы, БД и т.д.;
Передача данных через Tor;
10. МЕДОК ДОМАШНИЙ
Домашняя локалка с выходом в интернет;
Подключение к ISP через единый шлюз;
Доступные локально медиа серверы и сервисы;
«Зоопарк» домашних ОС;
Каждый пользователь сам следит за своим ПО;
Отсутствуют централизованные обновления, резервных копий, антивируса и
т.д.;
11. ВЫВОДЫ
Угрозу может представлять даже доверенное ПО;
Использование сертифицированного ПО для
предприятий, в т.ч. и для работы из дому;
Аппаратное разделение сети на сегменты;
Настройка межсетевого экрана и маршрутизации
между сегментами;
Отключение всех неиспользуемых сервисов;
Внешний и внутренний аудит компонентов сети;
Резервное копирование на оффлайн носитель;
Регулярные обновления;
12. ТРОЕ ИЗ ЛАРЦА: PETYA A, NOTPETYA,
PETYA/MISCHA
Интересное:
Использование знакомых уязвимостей EternalBlue и EternalRomance;
Использование оригинального Petya/Mischa кода + «багфикс»;
Использование Mimikatz для распространения по сети;
Использование доверенной M.E.Doc как основной источник заражения;
Странное:
Использование руткита Telebot для произвольной загрузки исполняемых
файлов и сбора информации;
Отправка данных на сервера M.E.Doc;
Не только шифрование, но и сбор данных (логины/пароли M.E.Doc, код
ЄДРПОУ и т.д.);
«Багфикс» «старого» Petya включал необратимое шифрование данных;
Использование одного кошелька и одного e-mail для связи;
Отчет компании ESET