Державний торговельно-економічний університет

Цифрова криміналістика, ФІТ-1-5мз

Практична робота № 4
Розуміння вразливостей бездротового зв'язку та інших
поширених технологій

Виконував: Єгунов Павло Юрійович

Київ 2023
Частина 1

Крок 1: Знайдіть інформацію про найефективніші кібератаки.

a. За допомогою зручнішої вам пошукової системи знайдіть інформацію про кожну з

наступних кібератак. Швидше за все, до результатів пошуку потраплять новини та
технічні статті.

Порушення безпеки Home Depot

Витік данних Порушення даних Home Depot коштувало 179 мільйонів доларів.
Витік даних Home Depot був величезним. Це було найбільше порушення даних
роздрібної торгівлі за участю системи торгових точок, про яке коли-небудь
повідомлялося. Було завантажено шкідливе програмне забезпечення, яке дозволило
кіберзлочинцям отримати понад 50 мільйонів номерів кредитних карток клієнтів Home
Depot і близько 53 мільйонів адрес електронної пошти.
Кібератака Home Depot була здійснена з використанням облікових даних, які були
вкрадені в одного з постачальників роздрібної торгівлі. Ці облікові дані
використовувалися для отримання доступу до мережі, потім зловмисники підвищили
привілеї та переміщалися вбік непоміченими, доки не знайшли те, що шукали: POS-
систему. Було завантажено зловмисне програмне забезпечення, яке записувало дані
кредитної картки під час здійснення платежів, і ця інформація мовчки передавалася на
сервери зловмисників. Зараження шкідливим програмним забезпеченням залишалося
непоміченим протягом п’яти місяців з квітня 2014 року по вересень 2014 року.
Home Depot погодилася виплатити 19,5 мільйонів доларів як компенсацію клієнтам, які
постраждали від порушення. Виплата включала витрати на надання послуг кредитного
моніторингу тим, хто постраждав від порушення. Home Depot також виплатив
щонайменше 134,5 мільйона доларів компаніям, що видають кредитні картки, і банкам.
Остання сума розрахунку дозволить банкам і компаніям, що видають кредитні картки,
подавати претензії на суму 2 долари США за скомпрометовану кредитну картку без
необхідності надавати докази понесених збитків. Якщо банки зможуть показати
збитки, їм буде відшкодовано до 60% збитків.
Загальна вартість витоку роздрібних даних становить приблизно 179 мільйонів доларів
США, хоча ця цифра не включає всі юридичні збори, які має сплатити Home Depot, а
також не включає нерозголошені розрахунки. Кінцева вартість витоку роздрібних
даних буде набагато більшою і, ймовірно, перевищить позначку в 200 мільйонів
доларів.
Крім того, є збиток репутації в результаті витоку даних. Після будь-якого порушення
даних клієнти часто переносять свій бізнес в інше місце, і багато споживачів, які
постраждали від порушення безпеки Home Depot, заявили, що більше не будуть там
робити покупки. Було проведено низку досліджень щодо наслідків витоку даних,
причому одне дослідження HiTrust припускає, що компанії можуть втратити до 51%
своїх клієнтів після витоку конфіденційних даних.

Злом цільової кредитної картки

У середині грудня 2013 року, прямо в розпал сезону святкових покупок, керівники
Target дізналися жахливу новину: Target зламали. Це була жорстока іронія, що друга за
величиною мережа дискаунтерів у Сполучених Штатах буквально мала на собі знак
мішені — логотип Target — це червоно-біла яблучка. Хакери влучили в нього стрілою
прямо в центр. Керівники Target дізналися про порушення від чиновників
Департаменту юстиції, які повідомили їх, що вкрадені дані з Target з’являються в
Інтернеті та що почали з’являтися звіти про шахрайські платежі з кредитних карток.
Дуже стурбовані, керівники Target негайно найняли судово-медичну компанію для
розслідування. Target зазнав найбільшого падіння транзакцій у святкові дні з тих пір,
як почав звітувати про статистику. Цільові продажі різко впали протягом сезону, на
який традиційно припадає від 20 до 40 відсотків річних продажів роздрібної торгівлі.
Щоб зупинити кровотечу, Target запропонувала 10-відсоткову знижку на всі види.
Проте збитки були катастрофічні. Прибутки компанії за період святкових покупок
впали на колосальні 46 відсотків. Окрім втрачених прибутків, витрати, пов’язані з
порушенням, до середини лютого 2014 року перевищили 200 мільйонів доларів США.
Ці витрати значно зростуть через вимоги банків щодо відшкодування, регуляторні
штрафи та прямі витрати на обслуговування клієнтів. Було подано близько 90 позовів,
що призвело до величезних рахунків адвокатів. За допомогою троянського коня хакери
отримали облікові дані Fazio для входу в систему Target.

Отримавши доступ до Target, хакери запустили іншу шкідливу програму, яку вони
купили на чорному ринку всього за кілька тисяч доларів. Такі експерти, як директор
McAfee Джим Вокер, охарактеризували шкідливе програмне забезпечення як
«абсолютно нехитре та нецікаве».

Спочатку зловмисне програмне забезпечення було непоміченим, і воно почало збирати

мільйони записів у години пік. Ці дані готувалися для передачі хакерам у Східну
Європу. Але дуже скоро FireEye помітила зловмисне програмне забезпечення та
випустила сповіщення. Команда безпеки Target у Бангалорі помітила тривогу та
повідомила центр безпеки в Міннеаполісі. Але на червоне світло проігнорували.

FireEye позначив аж п’ять різних версій шкідливого програмного забезпечення. У

попередженнях навіть були вказані адреси серверів «майданчика», а помилка хакерів
означала, що код зловмисного програмного забезпечення містив імена користувачів і
паролі для цих серверів, а це означає, що служба безпеки Target могла увійти в систему
та побачити вкрадені дані. На жаль, всі попередження залишилися без уваги. Крім
того, враховуючи те, що було видано кілька сповіщень, перш ніж будь-які дані були
фактично видалені з цільових систем, функція автоматичного видалення зловмисного
програмного забезпечення FireEye могла припинити напад без необхідності будь-яких
дій людини. Однак команда безпеки Target вимкнула цю функцію, віддавши перевагу
остаточному ручному огляду рішень безпеки.

Коли червоні індикатори FireEye люто блимають, хакери почали переміщувати

викрадені дані 2 грудня 2013 року. Зловмисне програмне забезпечення продовжувало
вільно викрадати дані протягом майже двох тижнів. Представники правоохоронних
органів з Міністерства юстиції зв’язалися з Target щодо порушення 12 грудня,
озброївшись не лише повідомленнями про шахрайство з кредитної картки, але й
фактично вкраденими даними, відновленими з серверів дампу, які хакери не стерли.
Наслідки порушення завдали величезної фінансової шкоди Target. Залишається
невідомим, якою була точна вартість порушення, але оцінка в річному звіті Target за
березень 2016 року вказує на суму 291 мільйон доларів. Репутація компанії
постраждала. ІТ-директор подав у відставку. Для клієнтів існував підвищений ризик
майбутнього шахрайства. Для багатьох постраждалих облікових записів довелося
встановити щоденні ліміти витрат і зняття коштів, а також випустити нові кредитні
картки, що спричинило значну втрату часу споживачами під час оновлення інформації
про картки всюди. Цей злом увійшов в аннали історії витоку даних — один для книги
рекордів. Але незабаром це буде затьмарене ще більшими порушеннями.

Вірус Stuxnet
Стакснет, також win32/Stuxnet — комп'ютерний хробак, що вражає комп'ютери, які
працюють на операційній системі Microsoft Windows. У червні 2010 року він був виявлений
білоруською фірмою VirusBlokAda не тільки на комп'ютерах рядових користувачів, але і в
промислових системах, які керують автоматизованими виробничими процесами.
Це перший відомий комп'ютерний хробак, що перехоплює і модифікує інформаційний потік
між програмованими логічними контролерами марки SIMATIC S7 і робочими
станціями SCADA-системи SIMATIC WinCC фірми Siemens[1]. Таким чином, хробак може
бути використаний як засіб несанкціонованого збору даних (шпигунства)
і диверсій у автоматизованих системах керування промислових підприємств,
електростанцій, аеропортів тощо. Цей вірус використовує чотири раніше
невідомі вразливості системи Microsoft Windows, одна з яких — вразливість нульового
дня (zero-day), спрямована на поширення за допомогою USB-flash накопичувачів. Хробак
залишався непоміченим антивірусними програми завдяки наявності справжніх цифрових
підписів (два дійсних сертифікати, випущені компаніями Realtek і JMicron).
Обсяг початкового тексту вірусу становить приблизно 500 КБ коду на мові асемблера, С
і С++.

Злам системи індустрії розваг Sony Pictures Entertainment

Хакерська атака на сервери Sony Pictures Entertainment сталася 24 листопада 2014.

Зловмисники викрали особисті дані співробітників SPE та членів їх сімей, вміст внутрішньої
електронної пошти, інформацію про заробітну плату, копії невиданих фільмів Sony та іншу
інформацію.
Викрадені матеріали опублікувала група хакерів «Guardians of Peace» («GOP»)[1]. Пізніше в
Інтернеті опубліковано особисте листування керівництва компанії про Дженніфер
Лоуренс, Бреда Пітта, Джорджа Клуні, матеріали фільму «Зоряні війни: Пробудження
Сили»[2], сценарій майбутнього фільму про Джеймса Бонда «007 Спектр»[3], а також кадри зі
сцени смерті Кім Чен Іна зі стрічки «Інтерв'ю»
Спецслужби США звинуватили уряд Північної Кореї в організації цієї кібератаки.
Керівництво Північної Кореї всі звинувачення заперечує. Особистості хакерів невідомі, як і
наявність спільників всередині Sony Pictures, які могли надати доступ або інформацію про
комп'ютерної мережі компанії.
Хоча мотиви злому досі не виявлені, його пов'язали із запланованим виходом художнього
фільму «Інтерв'ю», в якому показана спроба замаху на лідера Північної Кореї Кім Чен Ина.
Від хакерів надійшли погрози здійснення терактів, якщо фільм вийде на екрани.
Представники Sony заявили про скасування виходу фільму [5]. Рішення компанії
прокоментував навіть президент Обама, зауваживши, що «Sony зробила помилку» [6][7].
Зрештою Sony Pictures повідомила про вихід стрічки в обмежений прокат у незалежних
кінотеатрах 25 грудня 2014 року

b. Прочитайте статті, знайдені в результатах пошуку на кроці 1а, і підготуйтеся до

обговорення результатів дослідження за всіма аспектами кожної атаки.

Крок 2: Запишіть аналіз кібератаки.

Виберіть одну з ефективних кібератак з кроку 1а і запишіть аналіз атаки, який
включає відповіді на наведені нижче питання.

a. Хто стали жертвами атаки?

Компанія Sony Pictures, рекламодавці, кінотеатри, інвестори, співробітники компанії

b. Які технології та інструменти використовувалися під час атаки?

Атака була здійснена з використанням шкідливих програм Server Message Block (SMB)

c. Коли сталася атака у мережі?

24 листопада 2014 року.

d. На які системи була спрямована атака?

Інструмент для здійснення атак на велику розважальну компанію. Компоненти атаки

включали імплант прослуховування, бекдор, інструмент проксі, інструмент руйнування
жорсткого диска та інструмент руйнівного очищення цілі.

e. Якою була мотивація хакерів у цьому випадку? На які результати вони

розраховували?

Провокація та шантаж компанії

f. Що стало результатом атаки (крадіжка даних, здирство, пошкодження

системи тощо)?

Викрадення інформації, шантаж, провокації.

Частина 2

Крок 1: Шукайте сертифікати.

a. За допомогою зручних вам пошукових систем виконайте пошук найбільш

популярних сертифікатів.

 Технік CompTIA A+
 Cisco Certified Network Associate (CCNA)
 Сертифікований спеціаліст із захисту інформаційних систем (CISSP)
 Сертифікований технік Cisco (CCT)
 CompTIA IT Fundamentals+ (ITF+)
 CompTIA Network +
 CompTIA Security +
 технічний партнер Microsoft (MTA)
 Сертифікований практик із системної безпеки (SSCP)
 Сертифікований партнер Apple (ACA)
 Сертифікований юрист з управління проектами
 Сертифікований етичний хакер
 Сертифікований спеціаліст із захисту інформаційних систем
 Сертифікований системний інженер Microsoft (MCSE)
 Cisco SecureX

b. b. Виберіть три сертифікати з наведеного вище списку і надайте нижче

докладну інформацію про вимоги сертифіката та отриманий рівень знань,
зокрема це сертифікат конкретного постачальника або нейтральний,
кількість іспитів для отримання сертифіката, вимоги до іспиту, теми, що
охоплюються і т.д.

 Cisco Certified Network Associate (CCNA)

Для отримання цього сертифікату необхідно пройти весь лекційний матеріал,

зробити всі практичні роботи та виконати всі необхідні контрольні роботи не менше
ніж на 90 балів. На Курсі можна вивчити всі базові поринципи кібербезпеки,
перевірити теорію на практиці в емуляторі на платформі освіти, освітній курс
захоплює більше ніж кібербезпека, є можливість засвоєння і суміжних сфер
діяльності в ІТ індустрії

 Сертифікований юрист з управління проектами

Курс націлений на підвищення знання з кібербезпеки під іншим кутом, на курсі вчать
методики взлому через хардверні або софтверні засоби. Для проходження курсу
необхідно здати теоретичний матеріал і контрольні
  Сертифікований спеціаліст із захисту інформаційних систем

Курс підвищує знання з кібербезпеки, починаючи з азів, писля завершення навчання

курсант може влаштовуватися на інжинерні посати з кіберзахисту в компанії
світового рівня. Для проходження курсу необхідно здати теоретичний матеріал і
контрольні

Крок 2: Дізнайтеся, які посади за спеціальністю «кібербезпека»

a. Скільки нових вакансій було розміщено за останні два тижні?

Станом на 11 січня згідно сайту Робота.юа в Києві зареєстровано 77 вакансій

b. Який рівень зарплати пропонується для перших десяти позицій?

Зарплата дізнається при влаштуванні, але деякі пропонують 70 000 грн/місяць

c. Назвіть найпоширеніші знання, які вимагають роботодавці.

Оперативне реагування, знання в даній сфері, комунікабельність, досвід роботи, знання

сервісів і методів захисту, Знання основних типів кібератак, засобів їх
реалізації, методів та засобів виявлення, локалізації та протидії
Знання принципів функціонування протоколів та технологій ІБ: IPSec,
VPN. TLS, SSL, HTTPS. SSH, TACACS. Kerberos, Radius. Hash, PKI

d. Які професійні сертифікати потребують роботодавці?

  Сертифікат корпорації Майкрософт із захисту інформації,
інженер з безпеки Azure, адміністратор ідентифікації та доступу,
аналітик із безпеки, експерт із рішень, спеціаліст з рішень 

e. Чи є серед них сертифікати, перелічені на кроці 1а?

Так Сертифікат корпорації Майкрософт

f. Вивчіть мережеві ресурси, які дозволяють офіційно перевірити ваші навички
хакера. Ці інструменти дозволяють новачкам з обмеженим досвідом у галузі
кібербезпеки покращити свої навички у галузі тестування на проникнення.
Приклад - Google Gruyere (дозволяє дізнатися про вразливості та способи
захисту веб-застосунків).

1. picoCTF — это площадка для изучения кибербезопасности. На

ней будущие этичные хакеры могут обучаться и соревноваться в
навыках взлома.
2. OverTheWire підійде всім бажаючим вивчити теорію
інформаційної безпеки та застосувати її практично незалежно від
свого досвіду. Початківцям слід розпочати із завдань рівня
Bandit, оскільки вони необхідні для подальшого вирішення інших
завдань.
3. Hacking-Lab надає завдання CTF для European Cyber Security
Challenge, але вони також проводять на своїй платформі
регулярні змагання, в яких може брати участь кожен. Просто
зареєструйтесь, налаштуйте vpn та виберіть собі завдання до
смаку.
PWNABLE.KR
Цей майданчик фокусується на pwn-завданнях, подібних до CTF, суть
яких полягає в пошуку, читанні та відправці файлів-прапорів, які є в
кожному завданні. Для доступу до вмісту файлів ви повинні
використовувати навички програмування, реверс-інжинірингу або
експлуатації вразливостей, перш ніж зможете надіслати рішення.
4. IO — це варгейм від творців netgarage.org, спільноти, в якій
однодумці діляться знаннями про безпеку, штучний інтелект, VR
та багато іншого. Було створено 3 версії варгейма: IO, IO64 та
IOarm, з них усіх IO є найбільш зрілою. Підключайтеся до IO
через SSH і можете братися за роботу.
5. SmashTheStack складається з 7 різних варгеймів: Amateria, Apfel
(нині офлайн), Blackbox, Blowfish, CTF (нині офлайн), Logic та
Tux. Кожен варгейм містить безліч завдань, починаючи від
 стандартних уразливостей та закінчуючи завданнями на реверс-
інжиніринг.
6. Microcorruption є CTF, в якому вам потрібно «зареверсувати»
вигадані електронні блокуючі пристрої Lockitall. Пристрої Lockitall
захищають облігації, що розміщені на складах, що належать
вигаданій компанії Cy Yombinator. На шляху до крадіжки облігацій
ви познайомитеся з асемблером, дізнаєтесь, як використовувати
відладчик, крок за кроком виконувати код, встановлювати точки
зупинки та дослідити пам'ять.
7. Тут ви можете знайти 26 завдань для перевірки ваших навичок
злому та реверс-інжинірингу. Сайт не оновлювався з кінця 2014
року, але наявні завдання, як і раніше, є цінними навчальними
ресурсами.
8. Hack This Site — безкоштовний сайт з варгеймами для перевірки
та покращення ваших навичок хакінгу. Нам ним можна знайти
безліч хакерських завдань у кількох категоріях, включаючи базові
завдання, реалістичні завдання, програми,
програмування, фрикінг , JavaScript, форензику , стеганографію і
т.д. Також сайт може похвалитися активною спільнотою з
великим каталогом хакерських статей та форумом для
обговорення питань, пов'язаних із безпекою. Нещодавно було
оголошено, що кодова база сайту буде переглянута, тому в
найближчі місяці очікуються великі поліпшення.
9. W3Challs - це навчальна платформа з безліччю завдань у різних
категоріях, включаючи хакінг, варгейми, форензику,
криптографію, стеганографію та програмування. Мета
платформи – надати реалістичні завдання. Залежно від
складності вирішеної задачі ви отримуєте бали. Також є форум,
на якому можна обговорювати та вирішувати завдання з іншими
учасниками.
10. Hacker101 CTF - це гра Capture The Flag, класичне завдання для
хакерів, коли потрібно отримати доступ до системи, а потім
знайти прапор (який зазвичай є рядком). На сайті є кілька рівнів,
а для тих, хто застряг, існують підказки.