О конфиденциальности корпоративных сетей. Часть 3
Статья с упоминанием разработок компании "Аладдин Р.Д."
В статье приводятся данные о сборе web-браузерами информации: о пользователях корпоративных АРМ, об используемом в корпоративных сетях программном обеспечении (ПО), средствах защиты информации, аппаратных средствах, структуре сетей и иной информации. Указывается на отсутствие законодательного регулирования сбора телеметрической информации производителями ПО.
Ключевые слова: защита информации, информационная безопасность, телеметрическая информация, web-браузеры, приложения для браузеров, сбор информации о пользователях
Авторы статьи
Георгий Георгиевич Петросюк, директор департамента информационных технологий ФГБУ (petrosyukgg@nrczh.ru)
Иван Сергеевич Калачев, начальник отдела департамента информационных технологий ФГБУ "Национальный исследовательский центр "Институт имени Н. Е. Жуковского (kalachevis@nrczh.ru)
Андрей Юрьевич Юршев, кандидат технических наук, ведущий эксперт направления "Защита АСУ ТП" ГК "ИнфоВотч" (ay@infowatch.com)
В предыдущих статьях мы кратко рассмотрели возможности ряда производителей операционных систем, офисного прикладного программного обеспечения, аппаратного обеспечения и некоторых средств защиты информации собирать телеметрическую информациюо пользователях и ИТ-инфраструктуре корпоративных сетей.
В настоящей статье мы попытаемся рассказать о возможностях производителей, наверное, наиболее широко используемого класса программного обеспечения – интернет-браузеров. Ведь без Интернета сегодня не обходится практически ни одна организация, ни один владелец домашнего ПК, смартфона или простого "кнопочного" телефона, которые тоже, в большинстве своем, уже поддерживают работу в Интернет. А самым популярным способом получения информации в глобальной сети, как вы знаете, является "сёрфинг" посредством использования интернет-браузера.
Для начала зададимся вопросами:
- какие угрозы безопасности корпоративных сетей возникают в случае, если информация об их структуре доступна посторонним лицам;
- стоит ли вообще обращать внимание на сбор и отправку телеметрических данных об использовании приложений производителям программного обеспечения;
- обеспечивает ли общепризнанный набор организационно-технических ИБ-мер безопасность корпоративных сетей, подключенных к Интернету, или это нам только кажется?
Чтобы ответить на первый вопрос, предлагаем ознакомиться с отчётом компании InfoWatch "Утечки данных. Россия. 2017 год" (рис. 1). Из него следует, что более 50 %, утечек конфиденциальной информации в России происходят через сеть Интернет (а в мире – и того больше). При этом в отчете отмечается, что количество скомпрометированных в мире данных в результате действий внешних нарушителей в 2017 году составило почти 60 % от общего числа таких инцидентов!
Как можно использовать данные, полученные в следствии таких утечек? Приведём лишь пару способов.
Это, в первую очередь, проведение целевых атак, в том числе методами социальной инженерии, как, например, "фишинг" (рассылка писем по известным корпоративным адресам от имени популярных брендов, банков, социальных сетей и пр. со ссылками на поддельные сайты (и не только) с целью кражи пользовательских данных, которые впоследствии могут быть использованы злоумышленниками для доступа к банковским счетам и учетным записям пользователей или с целью заражения АРМ вредоносным ПО.
Подобные действия могут привести, помимо хищений денежных средств, к опасным для корпоративных сетей последствиям. Ведь поддельными могут быть письма и от партнеров, и от вышестоящих организаций, и даже органов государственной власти. Пример такого "совсем свежего" фишинга можно увидеть на рис. 2. Как вы можете догадаться, в приложении ссылка на файл с вредоносным программным обеспечением, а именно – с вирусом-шифровальщиком. Это ли не угроза корпоративной сети!
А если "утекли" не только данные пользователей (ФИО, почтовые адреса, клиенты и пр.), но и данные об их внутренних корпоративных IP-адресах, IP-адресах серверов, типах и версиях используемого программного и аппаратного обеспечения и средств защиты, иные данные о структуре сети? Ведь исчерпывающая информация, раскрывающая детали корпоративной сети и используемых в ней средствах информационной безопасности, позволяет хакерам подобрать или разработать инструменты для взлома, наметить перспективные векторы атак. Аналогичная информация тщательно собирается хакерами на обязательном первом этапе любой целенаправленной атаки на корпоративные сети – разведке!
Другим результатом утечки пользовательских данных из корпоративной сети может стать "доксинг" (от англ. dropping dox) в отношении ключевых сотрудников организаций, предполагающий шантаж под угрозой публикации нежелательной информации, собранной о человеке в Интернете (из закрытых страниц социальных сетей, анонимных учётных записей сайтов знакомств и пр.), с целью получения конфиденциальной информации об организации, идентификаторов доступа к корпоративным ресурсам или выполнения каких-либо иных злонамеренных действий в отношении самой организации (не секрет, например, что существуют базы данных не только на руководителей ИТ-подразделений и подразделений информационной безопасности крупных организаций, но и на их системных и сетевых администраторов).
Также стоит отметить, что, по опыту компании Positive Technologies2, зачастую и одного IP-адреса нужного ресурса достаточно для успешного "взлома" всей корпоративной сети.
Стоит учитывать и мнение компании Group-IB о том, что в настоящее время еще одной серьёзной угрозой для банков и корпораций стали "прогосударственные" хакеры. Их цель – слежка за финансовыми потоками, сбор компромата на интересующих их клиентов банков и сотрудников корпораций (для подкупа или для "вербовки"?), а также нарушение работоспособности внутренней инфраструктуры организаций.
Последнее особенно актуально для стран, выдвигающих взаимные обвинения о нападении в кибер-пространстве и вводящие различные санкционные списки – диверсии (в том числе и на производственных предприятиях) могут использоваться как ответная мера! Все же, наверное, помнят прошлогодние атаки вирусов-шифровальщиков WannaCry, NotPetya, BadRabbit, за которыми как раз и стоят "прогосударственные" хакеры.
Инструменты этих хакеров и уровень их технической подготовленности сейчас уже значительно превосходит инструментарий привычных атакующих – cybercrime. Эксплойы из утечек АНБ США и ЦРУ стали активно использоваться для проведения целенаправленных атак и уже включены в основной набор инструментов для проведения тестов на проникновения финансово мотивированных и некоторых "прогосударственных" хакеров, а грамотное планирование позволяет им успешно осуществлять целенаправленные атаки на корпоративные сети организаций. И количество таких атак постоянно увеличивается.
Учитывая вышесказанное, можно сделать вывод, что при обеспечении информационной безопасности корпоративных сетей вопросам конфиденциальности сведений о них стоит уделять не последнее внимание.
Для ответа на вопрос, обеспечиваем ли мы безопасность корпоративных сетей, подключённых к Интернету, перейдем к рискам, возникающим при использовании интернет-браузеров, и посмотрим, сколько же полезной для проведения целенаправленной атаки информации, мы "добровольно" отдаём разработчикам этого ПО и прочим "третьим лицам".
Начнём мы наш экскурс в мир браузеров с Chrome от уже бывшей "корпорации добра" как самого распространённого в мире продукта этой категории – доля его использования составляет около 60 %.
Давно известно, что после установки и начала использования данного браузера с настройками по умолчанию на серверы Google осуществляется передача всех поисковых запросов и адресов всех открытых в сеансе вкладок. Но это далеко не всё: происходит также утечка следующих пользовательских данных:
- содержимого закладок;
- данных об установленных расширениях и настройках браузера;
- данных для автоматического заполнения форм (логин – пароль).
Этот браузер также очень активно использует web-сервисы Google (рис. 3), в том числе и для проверки правописания ("Браузер отправляет введенные пользователем слова на серверы Google". Интересно, входят ли данные банковских карт и другая конфиденциальная информация в эти "слова"?), и для защиты от "фишинговых" сайтов, и для проверки загружаемых из web-ресурсов файлов (а мы же знаем, что в настоящее время в корпоративных сетях используется множество внутренних web-ресурсов!). Он проверяет без нашего разрешения и уведомления корпоративные системы на наличие вредоносного "на его взгляд" или несовместимого с Chrome программного обеспечения, при этом по умолчанию отсылая отчёт о проверке на серверы Google (рис. 4), а после проверки предлагает нам удалить это "вредоносное" или "несовместимое" с ним ПО (рис. 5).
А что же он предлагает нам удалить? Как оказалось, одним из самых вредоносных ПО браузер считает антивирус Касперского! (и не только его). Получается, что безопасность Chrome превыше безопасности всей системы! Вот так!
Фактически же получается, что в браузере Google Chrome разработчиками реализован функционал сбора телеметрической и поведенческой информации о пользователях и об инфраструктуре корпоративных сетей (включая и локальные IP-адреса вычислительных сетей организаций), практически совпадающий с аналогичным функционалом операционных систем и прикладного программного обеспечения Microsoft. То есть выходит, что объем информации о корпоративных сетях наших предприятий, которым Google владеет, если и меньше, чем у Microsoft, то, наверное, ненамного. Ведь Chrome анализирует все окружение и поведение пользователя и, как следствие, знает, какое ПО установлено на конкретном АРМ и какие уязвимости в нём не закрыты, какие средства защиты установлены, какие привычки характерны для пользователя при работе в Интернете и т. д. Таким образом, Google фактически является владельцем "цифрового паспорта" всей организации!
Так допустимо ли использование данного браузера в корпоративной среде, во всяком случае, в конфигурации "по умолчанию"?
Но у Google есть и добровольные помощники: о них – чуть ниже. Не отстает от Google Chrome в части сбора информации о посетителях интернет-ресурсов и второй по популярности в России Яндекс.Браузер (15,41 % Российской аудитории). Он разработан на том же ядре, что и Google Chrome, и включает в себя идентичные инструменты, с той лишь разницей, что пользовательские данные передаются им на серверы Яндекс.
К сожалению, до конца не ясно, на каких условиях бывшая "корпорация добра" позволяет использовать "исходники" своих ядер сторонним разработчикам, но в лицензионном соглашении с конечным пользователем Яндекс.Браузера есть примечательный пункт 7.2. (рис. 6), из которого следует, что данные пользователей могут быть переданы в тех или иных случаях третьим лицам при условии, что "Вы выразили согласие" (ведь большинство из нас, если смотреть правде в глаза, ставит "галочки" "Я согласен", не читая условий, которые за этими "галочками" прячутся). Перечень же собираемых Яндекс.Браузером данных даже несколько шире. К перечисленным выше собираемым Google Chrome данным добавляются:
- местоположение компьютера;
- произнесенные фразы!!! (для активации и работы голосового помощника);
- файлы cookie;
- открытые видео- и аудиофайлы;
- иные сведения.
Таким образом, Яндекс.Браузер расширил, по сравнению с Google Chrome, перечень собираемой информации о пользователях так, как посчитал нужным. Ну, во всяком случае, это отображено в лицензионном соглашении.
Третий по популярности в России – Mozilla Firefox – в конфигурации "по умолчанию" также собирает большое количество телеметрической информации о своих пользователях и пользовательском аппаратном обеспечении (рис. 7), при этом кратко поясняя, что передаётся на серверы Mozilla (рис. 8).
О собираемых им параметрах в телеметрии можно узнать, если на вкладке "about:config" вбить в строку поиска "telemetry" (часть параметров представлена на рис. 9). И все это происходит "автоматически".
Разумеется, сбор телеметрической и технической информации о пользователе и конфигурации его рабочего места производится с целью "улучшения качества" браузера, однако фактически в Mozilla получают данные о сети организации, в которой он установлен.
При этом он еще и передает эту информацию в Google (вот почему это – упомянутый ранее помощник Google) (рис. 10 и часть параметров на рис. 11), при этом как и Microsoft, и Google, не делая различий между внешними и внутренними посещаемыми пользователем web-ресурсами.
А это означает, что Google узнаёт об инфраструктуре вычислительных сетей организаций, обрабатываемой в них информации и о пользователях этих сетей как посредством своего Chrome, так и с помощью "помощника" Mozilla Firefox.
Идём дальше. На сегодняшний день сложно найти браузер, вокруг которого не была бы создана целая "индустрия" приложений, увеличивающих функциональные возможности браузеров – обычно такие приложения называются расширениями или дополнениями. Назначением таких программ является повышение удобства использования браузера или предоставление новых возможностей пользователю при взаимодействии с тем или иным интернет-ресурсом.
На деле же такие приложения, помимо выполнения явно заявленных функций, могут также осуществлять сбор статистики об активности пользователя в сети Интернет или являются троянами, тайно ворующими данные пользователей или проявляющими скрытую "майнинговую" или вирусную активность.
Например, расширение популярного файлообменника mega.nz, призванное облегчить пользователю работу с сервисом, на самом деле являлось трояном, ворующим пароли пользователей и пересылая все собранные данные на сервер в Украине.
Или популярное расширение Ghostery, призванное по заявлению разработчиков, «выявлять и блокировать системы слежения в сети, защищая ваши данные, ускоряя загрузку страниц и убирая отвлекающие элементы", на самом деле, в соответствии с политикой конфиденциальности, тоже собирает такие данные, как IP-адрес, установленные web-браузер и операционная система, статистика использования.
Так как подобные приложения тесно интегрированы с экосистемами браузеров, то вполне резонно также причислить их и к касте "помощников Google". Они, как и браузеры, также присваивают каждому пользователю уникальный идентификатор и аккумулируют пользовательские данные для их дальнейшего анализа и корреляции с данными из "третьих источников" и, возможно, для дальнейшей их монетизации (возможно, даже для продажи).
Только в отличие от браузеров, такие расширения далеко не всегда имеют лицензионные соглашения (если вообще имеют), в котором прописаны хоть какие-то обязательства по защите собираемых данных, да и разрабатываются они порой программистами-одиночками по принципу as-is.
Все собранные таким образом "разведданные" в полном соответствии с лицензионными соглашениями (или без них) могут передаваться сторонним лицам или организациям. Не исключено, что кто-то из таковых решит воспользоваться ими для проведении целенаправленных атак на наши организации и их сотрудников.
Хотелось бы также обратить внимание и на следующее: все современные браузеры поддерживают технологию WebRTC, которая для обеспечения своей работы использует локальный IP-адрес устройства, находящегося в корпоративной сети, что также позволяет любому внешнему web-сайту определять внутреннюю адресацию корпоративной сети. При этом поддержка данной технологии активирована по умолчанию во всех браузерах, а вот отключить её средствами самого браузера зачастую затруднительно или попросту невозможно.
Вот и получается, что первый этап любой целенаправленной атаки – этап "глубокой" разведки – с помощью браузеров и расширений к ним успешно осуществляется "по умолчанию", автоматически, практически у всех разработчиков этих программных продуктов.
Таким образом, вся информация, необходимая для проникновения в корпоративные сети и, как следствие, осуществления в них деструктивных действий, уже имеется в распоряжении множества разработчиков и поставщиков соответствующего ПО (а также, бог знает, у кого еще!), а обычный интернет-серфинг, либо просто установка интернет-браузера или расширения к нему на АРМ и подключение даже к внутренним web-ресурсам, может раскрыть посторонним внутреннюю структуру корпоративной сети и информацию о её пользователях.
Думается, что ответ на заданный в начале статьи вопрос – "Обеспечивает ли общепризнанный набор организационно-технических ИБ-мер безопасность корпоративных сетей, подключенных к Интернету, или это нам только кажется?" – очевиден. Далеко не во всём! Тогда зададимся другим вопросом: нужна ли, по крайней мере, некоторым нашим организациям и предприятиям такая забота? Не повлияет ли она на фоне последних мировых событий на безопасность критических информационных ресурсов?
Конечно, следует отметить, что разработчики браузеров никогда не скрывали, что именно телеметрия стала средством монетизации самих обозревателей. Именно поэтому все браузеры бесплатные: они "живут" за счёт «продажи» информации о действиях пользователя (и не только). Но позволительно ли предоставлять возможность разработчикам браузеров и расширений к ним собирать и продавать информацию о пользователях и инфраструктуре корпоративных сетей, в особенности, учитывыя тот факт, что большинство из них – иностранные компании? Можем ли мы доверять им безопасность наших организаций или будем расплачиваться за "бесплатность" созданием самим себе угроз безопасности?
Ну, и как уже стало привычным констатировать в наших публикациях, законодательного ответа на такую "заботу" со стороны разработчиков web-браузеров и их расширений нет – всё же делается в рамках лицензионного соглашения, принимаемого пользователем!
Что же касается возможных методов и средств защиты от "произвола" разработчиков, то о них мы предполагаем поговорить в одной из следующих статей.
Все части статьи "О конфиденциальности корпоративных сетей"