Компания Х использует корпоративное сетевое приложение "Защищённый контур", позволяющее "безопасно" обмениваться корпоративной информацией (в том числе хранить персональные данные клиентов и информацию, отнесённую к коммерческой тайне). Вам предстоит проанализировать само приложение на уязвимости, а также настройки ОС на серверах, где это приложение функционирует.
Компания разработчик поставляет уже настроенный сервер в виде OVA (md5 = 5935192d257a003b85584a84dec83367), который (по их заверениям) вполне безопасен и может использоваться "из коробки" (т.е. достаточно импортировать в среду виртуализации и можно запускать в боевой среде).
По информации, полученной от разработчика, цитата: "приложение содержит механизмы безопасности и может использоваться при построении ИСПД до 4 УЗ включительно и систем, обрабатывающих коммерческую тайну".
Документация на приложение разработчиком не предоставлена, поскольку, цитата: "интерфейс интуитивно понятный, обучающих материалов для пользователей не требуется".
Исходные коды так же не предоставлены.
Вас, как специалиста, попросили выполнить анализ данного приложения с точки зрения его реальной защищённости.
Цитата:
Логин/пароль пользователя в ОС OVA - system/system (после первого запуска необходимо сменить пароль).
Все файлы приложения располагаются в каталоге /opt/sk
Приложение предназначено для работы в ОС Linux x86_64
Приложение настроено в качестве сервиса systemd - sk.service
Приложение запускается на порту 8888 и использует протокол HTTP для своей работы, взаимодействие с приложением осуществляется через веб-интерфейс (посредством веб-браузера с хоста)
При импорте настроек виртуального образа в гипервизор, отличный от Virtual Box, может потребоваться дополнительная настройка сетевого интерфейса виртуального образа с помощью утилиты ip
При первом старте в приложении регистрируется пользователь с логином admin, пароль генерируется автоматически и записывается в файл /opt/sk/password.txt
Подготовьте отчёт о:
- Найденных несоответствиях системы требованиям нормативных документов*
- Найденных "слабостях" (которые могут привести к уязвимостям) и предложение по необходимым мерам для их устранения (если такие меры возможно принять).
Формат отчёта - свободный, но обязательно должен включать указанные выше два пункта.
Примечание*: в части документов нужно:
- ПДн: реализация мер по обеспечению безопасности в части ИАФ, УПД
- КТ: "разрешение или запрет доступа к информации, составляющей коммерческую тайну" посредством механизмов разграничения доступа, встроенных в приложение (механизмы ОС и сторонних сервисов рассматривать не нужно)
Важно: вы можете использовать любые техники из пройденных на предыдущих курсах: от сканирования портов, подбора паролей, анализа бинарных (исполняемых) файлов до попыток "уронить" приложение, выполнить произвольный код и т.д.
Важно: если в части документации нужно рассматривать только само приложение, то в части поиска слабостей вы можете рассматривать и окружение приложения (ОС и сервисы).
Подсказка 1
Попробуйте пройтись по CWE TOP 25 2020, не обращая внимания на то, что мы ещё не прходили (SQL, CSRF, XML и т.д.).
Подсказка 2
Перечень мер защиты, которые необходимо реализовать приведён в 21 приказе ФСТЭК России
- Подготовлен отчёт
- Найдено не менее 2х слабостей системы, ведущих к реальным уязвимостям, которые вы проэксплуатировали (т.е. нужно: слабость -> уязвимость -> описание процесса эксплуатации -> полученный результат).