Разберем  эпизод  5 сезона 3 популярного сериала «Мистер Робот»  (runtime-error.r00) с  точки зрения кибербезопасности (англ. оригинал статьи см.  Mr. Robot Rewind: What you need to know about your HSM security )

 В этой серии показано, как хакеры могут использовать «плохие» методы обеспечения  информационной безопасности в компании для получения доступа к HSM  (hardware security module) путем кражи учетных данных пользователя.

HSM, hardware security module  (аппаратный модуль безопасности, АМБ) – это устройство (обычно в виде платы PCI или внешнее устройство), со специальным криптопроцессором, предназначенное для создания и защиты криптографических ключей в течение всего цикла их жизни – от генерации до уничтожения. Все операции зашифровывания и расшифровывания поступающих извне данных происходят ВНУТРИ устройства. Таким образом, криптографические ключи НИКОГДА не покидают защищенный периметр внутри устройства, в котором они были созданы.

Итак, в 5-ом эпизоде Анжела (PR-менеджер вымышленной корпорации E Corp) делает несанкционированный бэкап HSM  с целью кражи закрытых ключей.

Эта серия вышла на экраны 8 ноября 2017 года, Ryan Kazanciyan (технический консультант сериала и Chief Security Architect компании Tanium) запланировал этот эпизод вместе со сценаристом Kor Adana намного раньше:

«Я с нетерпением ожидал выхода этого эпизода  в эфир, вообще,  это мой любимый сезон сериала.  Пересматривая  свои рабочие заметки, я с удивлением вспомнил, что мы впервые приступили к  работе  над сценами для “eps3.4_runtime-err0r.r00”  аж в январе 2017. Атака на корпоративный HSM  - это наиболее технически сложный взлом, который  мы изобразили в фильме и снятие этого эпизода стало полезным в плане кибербезопасности».

В данном контексте, HSM представляет собой физическое устройство, на котором хранятся криптографические ключи и сертификаты организации наряду с другими важными активами.

Уполномоченным сотрудникам компании просто загрузить туда данные, а вот извлечь оттуда их посторонним лицам очень сложно.

 

 

 

 

 

 

 

 

 

 

Действительно, большинство HSM дают возможность авторизованному персоналу использовать сохраненный ключ без актива, находящегося  вне устройства. Значит HSM - это одни из наиболее хорошо защищенных устройств в корпоративной сети.  Правда, это зависит от того, следует ли компания передовым практикам безопасности HSM, только в корпорации E Corp все очень даже плохо в этом плане…

Анжела получает доступ к серверу CSAT компании. Она приносит с собой портативное устройство для резервного копирования HSM, которое ей выдали в Dark Army («Темная армия», китайская группировка, нанимающая хакеров) с целью клонировать один из HSM корпорации E Corp на это устройство.

Для выполнения этой задачи ей требуется устройство ввода PIN-кода (PED - PIN entry device) и «красный»  USB-ключ, чтобы авторизоваться для  операции клонирования. В конце концов,  Анжела находит PED  в одном из ящиков серверной стойки, а USB-ключ  просто лежал в сумке. С помощью этих двух элементов девушка запускает инструменты на флэшке для завершения резервного копирования.  Затем она уходит с резервной копией HSM компании и USB-ключом, т.е. с устройствами, с помощью которых Dark Army сможет теперь «подписывать»  вредоносное ПО так, как если бы это было законное программное обеспечение E Corp.

По мнению Криса Харриса (Chris Harris),  директора отдела продаж в Gemalto, корпорация E Corp совершила  две критические ошибки:

1) Токены для аутентификации не хранились в безопасном месте (сумка рядом со столом сотрудника  - не защищенное место, а уж оставить их в устройстве ввода PIN-кода является «кошмарным грехом»).

2) Не применялась многопользовательская аутентификация (например, GEMALTO SafeNet Luna HSM). В «идеальном мире» Анжела была бы остановлена на первом этапе, ей потребовалось бы сотрудничество с группой доверенных лиц, которые хранят свои токены аутентификации в надежном месте, например, в сейфе или в другом защищенном месте.

Вопросы и  выводы, которые следуют из фильма:

Скажем откровенно, компаниям крайне важно защитить свои ключи. Однако, как это сделать на практике? Реально, корпорации воздерживаются от использования облачных платформ для хранения данных, таких как AWS S3, поскольку можно неправильно сконфигурировать их  и тем самым раскрыть важные секреты компании.  Хакеры могут использовать открытые ключи и сертификаты, например, чтобы подписывать вредоносное программное обеспечение.  Это дает вредоносному ПО дополнительные преимущества против  систем защиты, основанных на подписи кода.

Организации не должны оставлять свои активы «на произвол судьбы». Вместо этого они должны защищать свои закрытые ключи на аппаратном устройстве HSM. Но этого мало, необходимо убедиться в том, что PED и токены аутентификации хранятся в защищенном месте и используется “MofN” (многопользовательская аутентификация).

А в Вашей компании следуют рекомендациям по безопасности HSM, чтобы избежать атаки? 

Отправить статью в социальные сети, на печать, e-mail и в другие сервисы: