25 мая на международном киберфестивале Positive Hack Days прозвучали доклады пентестеров УЦСБ. Данила Урванцев и Влад Дриев поделились с профессиональным сообществом практическими кейсами и рекомендациями, которые будут полезны при анализе защищенности цифровой инфраструктуры.
Свое выступление специалист по анализу защищенности Аналитического центра УЦСБ Данила Урванцев посвятил выявлению многоэтапных SQL-инъекций. Данила продемонстрировал примеры внедрения SQL-кода, которые выполняются после определенной последовательности действий, а также рассказал о методах анализа таких инъекций при помощи инструмента sqlmap.
«Сложность некоторых уязвимостей заключается в том, что они могут выполняться не здесь и сейчас, а выполняют определенный код через какое-то время или после какого-то события, то есть иметь отложенный вариант реализации. В докладе делюсь опытом нашей команды по выявлению таких уязвимостей, рассказываю об инструментах SQLmap и возможностях Python для таких целей», — прокомментировал Данила Урванцев.
«Если бизнес-логика какого-то процесса имеет несколько этапов, то проверять при проведении анализа защищенности нужно каждый из этапов. Обязательно анализировать время ответа, код ответа, обращение во внешний сервис и длину ответа. А для разработчиков программных продуктов важно на каждом из этапов следить за тем, чтобы пользовательский код был приведен к приемлемому формату также на всех этапах пути, а не только на первом»,— подчеркнул Данила.Доклад старшего специалиста по анализу защищенности Владислава Дриева «IP-камера: инструкция по применению» заставил аудиторию в зале задуматься, а так ли безобидны с точки зрения кибербезопасности камеры в офисах и установлены ли на их корпоративных камерах антивирусы.
«Видеокамеры — это один из недооцененных инструментов при пентестах. В докладе я постарался наглядно показать, как можно достаточно быстро проэксплуатировать камеры при проведении поиска уязвимостей в корпоративной сети. Важно не забывать, что такое, казалось бы, простое периферийное устройство может стать причиной компрометации вашей инфраструктуры, достаточно простой точкой входа и закрепления для хакера», — рассказал Влад Дриев.
В своем докладе Влад рассмотрел четыре кейса из собственной практики проведения пентестов для бизнеса, которые показывают основные уязвимости в защищенности видеокамер:
«Для специалистов по информационной безопасности могу дать следующие рекомендации: обязательно меняйте дефолтные пароли на видеокамерах, обновляйте софт и железо – особенно в тех случаях, когда модель снята с производства и ПО не обновляется. И, конечно, проводите пентесты», — подчеркнул Влад в конце своего выступления.