Ранее мы рассматривали программную защиту информации в центрах обработки данных (ЦОД). Теперь будем разбирать проблему физических атак на дата-центры и серверные помещения, а также анализировать способы противодействия.
- Введение
- Всё внимание на проектирование ЦОДа / серверной
- Дверной замок на входе в здание
- Запасной или служебный вход — скрытая опасность
- Злоумышленники и грубый обман
- Выводы
Введение
Физическая безопасность ЦОДов, входящая в комплекс защиты от информационных угроз, многоаспектна. Противопожарные системы, защита от пыли и вредных примесей, контроль прохода сотрудников... Если свести воедино все требования, то получится большой список мер:
- грамотное планирование местоположения ЦОДа,
- управление периметром,
- использование списка сотрудников для авторизованного доступа,
- контроль доступа в здание и к оборудованию,
- реагирование на инциденты (пожары и другие чрезвычайные ситуации),
- RFID-инвентаризация оборудования,
- соответствие стандарту ГОСТ Р ИСО/МЭК 27000-2021 «Системы менеджмента информационной безопасности»,
- резервирование ресурсов (электроэнергия, вода и отопление, вентиляция и кондиционирование),
- применение систем видеонаблюдения и др.
Рисунок 1. Высокий уровень надёжности ЦОДов требует их физической защищённости
Но можно потратить сотни тысяч рублей на физическую безопасность и всё равно подвергнуться риску, если не обращать внимания на изъяны в инфраструктуре, которые создают возможность незаконного проникновения внутрь помещения. Для выявления таких изъянов обычно приглашаются «красные команды» (Red Team), которые среди прочего оценивают эффективность социальной инженерии для получения неавторизованного доступа в защищённые помещения.
Для проверки каждая команда часто использует собственные приёмы, список которых стараются не афишировать, чтобы сохранить фактор неожиданности. Но и проектировщики ЦОДов также делают определённые «профилактические заготовки», чтобы избежать возникновения проблем.
В основу нашего рассказа легла презентация Райана Джонса, консультанта Trustwave SpiderLabs, опубликованная им в далёком 2010 году на конференции YSTS («You sh0t the Sheriff») в Сан-Паулу (Бразилия). Несмотря на давность публикации, актуальность описанных в ней методов сохраняется и поныне, поскольку речь там идёт о «вечных» проблемах.
Всё внимание на проектирование ЦОДа / серверной
Самый главный риск Джонс связывает с выбором проекта коммуникаций в ЦОДе и учётом там трасс для размещения вспомогательного оборудования и средств связи. Крайне важно, чтобы проектированием занималась опытная команда.
Особого внимания требуют зоны подвесных потолков и фальшполов. Из-за них реальные верхние и нижние границы помещения не совпадают с фактическим потолком или полом, чем могут воспользоваться злоумышленники: например, снять потолочную облицовку (плитку) в соседнем помещении и проползти в более защищённое помещение, где установлено оборудование ЦОДа, используя свободное пространство между полом / потолком и фальшстенкой или вентиляционные отверстия.
Рисунок 2. Проёмы в подвесных потолках ЦОДа часто бывают очень просторными
Поскольку в ЦОДах / серверных обычно применяется сложная система приточно-вытяжной вентиляции, предназначенная для подачи свежего воздуха и удаления отработанного, а также для создания избыточного давления, чтобы в помещение ЦОДа не попадали вредные вещества и пыль из открытой атмосферы, проектированием таких систем может заниматься отдельная группа, независимая от основных проектировщиков ЦОДа. Соответственно, они могут применять иные требования по физической безопасности.
Следствием этого становятся, в частности, широкие эксплуатационные проходы в фальшпотолках и фальшполах, которые делаются достаточно прочными для возможности проведения внутренних регламентных работ или чистки. Как рассказывает Джонс, этим иногда пользуются даже сами сотрудники ЦОДов, которые могут вернуться обратно в закрытое помещение через эксплуатационные проходы, если оказывается, что внутри были забыты, например, ключи.
Рисунок 3. Внутри фальшполов иногда устраивают временное складирование
Поэтому рекомендуется устанавливать внутри таких проходов препятствия, снятие которых не может остаться незамеченным. В проходы монтируются съёмные металлические ограждения или проволочные сетки. По мнению Джонса, решительный злоумышленник может всё равно перерезать проволоку и проникнуть внутрь ЦОДа, но установка дополнительных датчиков будет хорошей защитой против подобных инцидентов. Требуется также хранить в строгом секрете детальный план технических проходов.
Рисунок 4. Фальшполы достаточно просторны, чтобы проникнуть через них внутрь помещения
Для заграждений не рекомендуется использовать гипсокартон. Он нередко встречается в подобных случаях и создаёт иллюзию защищённости. Обеспечить полноценную безопасность гипсокартон не может.
Рисунок 5. Даже хаотично расставленные стяжки могут стать хорошим препятствием для проникновения
Дверной замок на входе в здание
По словам Джонса, «вскрытие замка — это очевидный, наиболее распространённый и хорошо понятный трюк. Для злоумышленников это стало почти спортом». Более того, в интернете продаются специальные комплекты для взлома замков. Вскрыть стандартный дверной замок с их помощью сможет практически каждый.
Нередко встречаются кодовые замки. Скрытая установка беспроводных камер — известный трюк для преодоления такого препятствия. Им пользуются и «красные команды», которые изучают защищённость помещений. С помощью видеокамеры часто удаётся подсмотреть код, который набирают при входе в серверную.
Джонс советует использовать только электронные замки, открывающиеся по смарт-карте или по биометрии. Они обеспечивают более высокую защищённость. Но нужно помнить, что на рынке уже есть программы, позволяющие считывать коды со смарт-карт. Незаметно сделать это можно в тех случаях, когда сотрудники оставляют смарт-карты на своих рабочих столах.
Джонс также советует размещать петли и пружинный механизм закрытия двери внутри помещения. При установке снаружи их легко снять.
Рисунок 6. Петли и пружинный механизм надо размещать внутри помещения
Запасной или служебный вход — скрытая опасность
Эксперты «красных команд» первым делом спрашивают, есть ли в компании запасной или служебный вход. Проникнуть внутрь помещения через него обычно бывает гораздо проще, чем через основной, охраняемый. На это указывает реальная практика. Более того, «пособниками» нарушений часто становятся официальные сотрудники, которых злоумышленники используют втёмную.
Например, излюбленный способ незаконного проникновения — представиться монтажником оборудования или (что больше характерно для западных стран) разносчиком пиццы. Нередко хорошо срабатывает вариант выдать себя за грузчика при доставке оборудования или расходных материалов в офис.
«Люди обычно очень любезны. Они даже придерживают для вас дверь, когда вы заносите коробку с бумагой в офис, — рассказывает Джонс. — Когда все остальные приёмы терпят неудачу, лучше всего воспользоваться методом социальной инженерии. Она работает почти всегда».
«Около каждого здания есть место для курения, — продолжает эксперт. — Если там посидеть и поговорить с кем-то, проследить за действиями сотрудников, то удастся быстро примелькаться. А если вы на костылях или разговариваете по телефону, то люди даже придерживают для вас дверь, чтобы помочь войти внутрь. Они не хотят показаться невоспитанными».
Один из способов снизить риск — установить даже на служебном проходе турникет, через который одновременно может войти только один человек. Но часто потребуется ещё и охранник, который будет следить, чтобы у людей были при себе бейджи.
«Следует также не оставлять щелей между дверьми, — отметил Джонс. — Подглядывая через щель, злоумышленник получает много дополнительной информации. Это даёт ему возможность выбрать удачный момент и найти наилучший способ вскрытия двери».
Рисунок 7. Оставлять щель между дверьми в охраняемое помещение недопустимо
Злоумышленники и грубый обман
Джонс отмечает, что подобные эксперименты с использованием методов социальной инженерии — весьма трудная работа для исследователей из «красных команд». Им приходится психологически манипулировать людьми, что «тяжело давит на совесть профессионального исследователя».
В качестве примера он привёл историю проверки в одной энергетической компании, где ему пришлось в течение пяти дней испытывать доброту одной «очень милой женщины». «Я нашёл незанятый стол и подключил свой ноутбук к сетевой розетке. Но у меня возникли проблемы. Заметив это, пожилая женщина, которая сидела недалеко, спросила: «Я могу вам чем-нибудь помочь?». Я сказал, что хотел бы подключить свой ноутбук к сети, но у меня не получается, и сослался на то, что буду работать здесь в течение нескольких дней как стажёр. Женщина обратилась в отдел ИТ-поддержки и попросила помочь подключить стажёра к корпоративной сети. Она была очень милой, мы регулярно болтали. Когда моя «стажировка» закончилась, она принесла мне из дома домашнего печенья и пожелала успехов. Мне было так плохо — я провёл неделю обманывая доброго человека, считай что свою маму», — подытожил Джонс.
Злоумышленники точно не будут столь совестливы, поэтому с рисками компрометации через методы социальной инженерии надо бороться также через обучение сотрудников ИБ-грамотности.
Выводы
Мы рассказали только о самых очевидных способах проверки ЦОДов и серверных на физическую защищённость. Задача обеспечения безопасности является комплексной. Случаи взлома с применением грубой силы встречаются не так часто, но к ним также надо быть готовыми.
