У "рекомендованных" провайдеров клиенты оказались беззащитными перед взломом

Владимир Кондрашов

208 уязвимых сетевых устройств пользователей, которые можно использовать для атаки ARP спуфинга в диапазоне провайдера «Аксон 45» обнаружили украинские исследователи в рамках флешмоба #а27, направленного на исследование сетей провайдеров, которые построили по требованию Госспецсвязи так называемую комплексную систему защиты информации (КСЗИ) и получили Аттестат соответствия системы защиты защищенных узлов доступа.

Кроме уязвимых пользовательских устройств, исследователи обнаружили проблемы с безопасностью в ЖК «Gelios» в столице, незащищенную АТС и несколько интерфейсов веб-почты, передает InternetUA.

КСЗИ как иллюзия защищенности

Напомним, как мы уже писали ранее,  группа украинских ИБ-экспертов на протяжении месяца исследовала сети операторов, провайдеров телекоммуникаций, которые построили по требованию Государственной службы специальной связи и защиты информации так называемую комплексную систему защиты информации (КСЗИ) и имеют Аттестат соответствия системы защиты защищенных узлов доступа. «Построение КСЗИ» на данный момент является обязательным условием для провайдера, предоставляющего услуги доступа к сети Интернет государственным органам и учреждениям и стоит от 300 тысяч гривен, однако, как утверждают авторы исследования, КСЗИ – «иллюзия защищенности, очковтирательство и рассадник коррупции». По словам одного из участников флеш-моба,ИБ-эксперта Андрея Перцюха не имеет цели воздействия на репутацию провайдеров или их клиентов – она просто показывает несостоятельность государственных усилий и органов, которые призваны защищать, но фактически только ухудшают ситуацию.

Уже опубликованные результаты исследования показывают: клиенты, подключившись к защищенному, по мнению ГСССЗИ, провайдеру, во многих случаях игнорируют элементарные правила безопасности. Это касается как бизнес-структур, обычных пользователей, так и госучреждений, для которых подключение к провайдеру с аттестатом соответствия системы защиты ЗУИД является обязательным.

В госучреждениях думают, что если они подключены через защищенного провайдера, который заплатил за КСЗИ, то самим можно безопасностью не заниматься, ведь «правительство приняло меры, эРэНБэО, все обилечено», – комментирует результаты исследования телеком-эксперт Игорь Дядюра. – И это главная проблема. сразу после «обилечивание» и «коммерсантов силовых». Я бы за коммерцию в СБУ/ДСССЗИ лет 10 с конфискацией бы сразу выписывал.

Что нашли у «АКСОН 45»

В четверг, 13 июня, на странице инициатора флешмоба #a27 Александра Галущенко появился отчет о результатах внешнего анализа провайдера ООО «АКСОН 45».

– Открытых сетевых дисков нет. Открытых FTP ресурсов нет. 208 уязвимых устройств пользователей с возможностью удаленного доступа. Возможно использовать для атаки ARP спуфинга в диапазоне, – комментирует результаты исследования Галущенко. –  Эти ребята выглядят достойно. По провайдеру только одно замечание: вход из внешней сети на их сервер LDAP it-tv.org по 80 порту.

В отчете ИБ-специалисты показали несколько «интересных» уязвимостей, демонстрирующих наплевательское отношение клиентов провайдера к безопасности. InternetUA приводит самые интересные примеры с комментариями из отчета.

«Открытый принтер»

1.jpg (52 KB)

2.jpg (69 KB)

– http://212.90.xn--3-guba.xn--u1aa/wcd/abbr.xml – принтер со свободным доступом. Можно посмотреть параметры внутренней сети, по какому пути идут отсканированные документы, MAC-адрес и Bonjour Name. Но самое интересное – имена напечатанных файлов.

3.jpg (81 KB)

Доступ к управлению инфраструктурой ЖК

4.jpg (84 KB)

5.jpg (82 KB)

– http://212.90.40.xn--u1aa.xn--u1aaa:8000/monitor/msh/Gelios/ Жилой комплекс «Gelios» доступ к управлению инфраструктурой здания: насосная, вентиляция, дренаж.

6.jpg (73 KB)

7.jpg (75 KB)

Возможно, служебное приложение для инженеров «Киевстар»

11.jpg (149 KB)

– http://212.90.xn--u1aa.xn--u1aaa:81/ Очень интересный линк. По нему загружается приложение apk, результаты осмотра на рисунке. Похоже, что это служебное приложение для инженеров «Киевстар».

Также обнаружено файловое хранилище пользователя Yaroslav Shuba, электронную регистратуру без шифрования, несколько интерфейсов веб почты и KERIO.

Сегодня, 14 июня, исследователи публикуют отчет о результатах внешнего анализа провайдера «Датагрупп».