Проверка системы безопасности компании предполагает не только пентесты и фишинговые рассылки, но и шпионские операции, предполагающие проникновение на территорию заказчика.
Именно этим и занимаются самые скрытные сотрудники Бастиона.
Мы встретились с ними в перерывах между проектами, чтобы задать несколько вопросов об этой индивидуальной работе.
По понятным причинам мы не раскрываем настоящие имена наших специалистов, поэтому в этом разговоре они будут выступать под псевдонимами Алиса и Боб.
Эту работу они ведут уже несколько лет, но впервые согласились рассказать о ней широкой публике.
Будьте осторожны, этот пост может спровоцировать приступы паранойи.
Иногда коллеги в шутку называют вас шпионами.
Так в чем же на самом деле заключается ваша работа? Алиса : На самом деле это близко к истине.
Мы проводим тестирование на проникновение с использованием социальной инженерии.
Бин: Обычно клиенты заинтересованы в целевом посещении сайта или территории компании.
Программа-максимум — получить вездеход, открывающий все двери, проникнуть в серверную и уйти незамеченным.
В процессе мы ищем доступ к любой конфиденциальной информации, устанавливаем, какие системы информационной безопасности используются в организации, проверяем, как сотрудники относятся к информационной гигиене.
Фактически, мы замечаем незаблокированные компьютеры, роемся в документах, заглядываем в столы и мусорные баки и допрашиваем сотрудников.
Алиса: Другой случай – прийти на собеседование под видом новобранца.
Особенно хорошо это работает, если в компании есть открытая позиция по информационной безопасности.
Таким образом вы сможете узнать подробности об используемом программном обеспечении, информационной безопасности, структуре сети – много специфической секретной и конфиденциальной информации.
Какие еще сценарии существуют? Как социальная инженерия сочетается с другими типами атак?
Бин: Он хорошо подходит для проверки беспроводных сетей, а также для внутреннего тестирования, если вы обнаружите завалявшийся кабель.Алиса: Хочу добавить, что у нас иногда возникает задача по раздаче USB-накопителей с полезной нагрузкой.
Чаще всего их просто расставлять по офису.
Кто-нибудь их найдет и подключит к своему компьютеру на работе или дома.
Если я увижу разблокированный компьютер, я смогу сделать это сам.
Вы также можете попросить сотрудника распечатать документ с моей флешки.
Бин: Да, есть такое — готовим носитель, чтобы он передавал на сервер логин от учетной записи Windows и хэш пароля.
Затем мы спокойно брутируем эти хэши в течение двух-трех дней.
Если за это время ничего не происходит, это обычно означает, что пароль настолько сложен, что его невозможно взломать за разумное время.
Это законно?
Алиса: Получаем разрешение.Легальная социальная инженерия отличается от нелегальной тем, что все эти действия согласовываются и отражаются в договоре с компанией.
Со стороны заказчика о проверке знают только один или два человека.
Это необходимо для секретности.
Чем меньше людей знают, тем меньше вероятность утечки.
Сотрудники не будут проходить специальную подготовку и их бдительность будет на обычном уровне.
Бин: Все так, но при этом у нас нет строгих протоколов, по которым мы обязаны действовать.
Просто набор правил.
Нельзя предпринимать действия, которые замедляют работу сотрудников или мешают им выполнять свои обязанности.
Например, на столе лежит пропуск.
Вы можете незаметно клонировать его и использовать копию, но не сможете его украсть.
Вы не должны ломать двери или наносить материальный ущерб в целом.
Что касается компьютеров, то вы просто фотографируете незащищенные паролем, можете подключить флэшку, но не заходите и ничего там не делаете.
Как и в случае с пентестами, никаких действий, которые могли бы привести к отказу в обслуживании, не происходит. Вы просто показываете, что сотрудник безответственно относится к этому.
Расскажите подробнее о вашем взаимодействии с клиентом.
Они помогают вам, может быть, дают советы? Бин: Есть два типа работы.
В первом случае у вас ничего нет. Вы знаете только название юридического лица; вам даже придется узнать адрес офиса самостоятельно.
Тогда вы самостоятельно ищете способ проникнуть внутрь.
Второй тип имитирует работу с сообщником внутри компании.
Обычно его выбирают, когда заказчик арендует этаж в бизнес-центре.
Периметр охраняет сторонняя организация, и мы не имеем права проверять ее службу безопасности.
Дальше вопросы клиента переходят на территорию, а дальше уже мы сами.
Алиса: Также иногда объясняют, кого следует избегать внутри офиса, например, просят не приставать к топ-менеджерам и специалистам по информационной безопасности, не знающим о проверке.
Был случай, когда заказчик принес план здания, разложил его на столе и прямо на нем зачеркнул помещения, в которые ни при каких обстоятельствах нельзя заходить.
Как вы готовитесь к поездкам?
Бин: Можно сказать, что подготовка сводится к поиску подходящей легенды, под которой вы войдете на объект. Для этого нужно хорошо изучить компанию и ее тематику, а затем придумать историю, которая сработает и не развалится, даже если что-то пойдет не так.Например, мы часто выбираем легенды, связанные с надежными подрядчиками или партнерами нашего заказчика.
У них высокий уровень доверия.
Затем готовим одежду, реквизит и технику, которую берем с собой.
Алиса: Бывают случаи, к которым невозможно подготовиться заранее, и приходится действовать по обстоятельствам.
Для одного проекта мы изначально планировали бухгалтерский аудит как легенду.
Но когда я вошел на территорию, то понял, что здесь не получится.
Оказалось, что в этом же офисе находится бухгалтерия.
Случайно наткнусь на знающего человека, и возникнет масса вопросов, на которые очень сложно ответить.
Пришлось действовать по обстоятельствам и прикинуться сотрудником подразделения из другого города.
Кроме того, я решила называть себя не реальным человеком, а просто Марией, потому что Марии есть в каждой большой компании.
Она подошла и представилась только по имени, чтобы не пришлось называть фамилию.
Есть ли у вас любимые легенды?
Алиса: Когда ты приходишь якобы из головной организации.Это очень эффективно.
Иногда сотрудники чуть ли не боятся своего начальства из центра.
Они делают все, что вы просите, и задают минимум вопросов.
Бин: Удобно прикинуться сотрудником делового или торгового центра, в котором находится офис.
Также хорошо работает образ специалиста по кондиционерам.
На обслуживающий персонал никто не обращает внимания.
Вы проникли внутрь, что дальше?
Бин: Если это политкорректно, то вы обманываете людей.Вы встречаете кого-то, говорите большую ложь и целенаправленно достигаете своей цели.
Со времен Митника социальная инженерия ничуть не изменилась, разве что появились новые технические инструменты, облегчающие работу.
Легко ли люди доверяют вам?
Алиса: Когда я только начинал работать, я думал, что один неверный шаг и меня обнаружат. На самом деле это не так; как правило, люди не ждут подвоха.Вот один случай: Я прошел через офис.
Тут из отдельного кабинета выходит женщина с вопросом: «Девушка, вы что-то ищетеЭ» Я нашел себя и ответил, что я сотрудник из другого офиса, и мне нужно дождаться встречи.
Я ищу подходящее место.
Больше вопросов не было.
Она указала мне на стол сотрудницы, которой в тот день не было в офисе.
Там было много бумаг.
Я сел, воспользовавшись добротой этой милой дамы, и стал просматривать документы.
Другие сотрудники это видели, видели, что я не местный, но никаких действий не предприняли даже тогда, когда я начал все открыто фотографировать: договоры, счета-фактуры.
Ничего! Как будто все так и должно быть.
Если вы ведете себя уверенно и спокойно, вам многое позволено.
Поделитесь парочкой профессиональных приемов.
Что помогает вам общаться с людьми? Бин: Я беру с собой шоколадки.
Вы можете отнести их в отдел кадров или бухгалтерию.
Кстати, это работает и в повседневной жизни — хороший повод попить чаю, поболтать и что-то вскользь узнать.
Однажды всего за 20 минут разговора я получил доступ к личным делам сотрудников.
Алиса: Будь девушкой.
Серьезно.
Иногда клиенты прямо пишут, что на сайт должна прийти девушка, и это не просто так.
В компаниях с полностью мужским коллективом сотрудники охотнее помогают девушкам, особенно если они делают вид, что ничего не понимают, и хлопают глазами.
Какой самый глупый трюк, который вы когда-либо использовали, сработал?
Бин: На недавнем проекте произошел инцидент. Алиса: Потом мы немного обнаглели.Мы уже четыре часа бродили по офисному центру и к концу дня между нами было три прохода.
Я дал парочку Бобу и предложил проверить, как отреагируют сотрудники стойки регистрации, если выдадите им два пропуска одновременно.
Боб подходит, чтобы передать пропуска, но тут вспыхивает бунт. Бин: Меня останавливает охрана, а девушки с ресепшена говорят: «Вас здесь искали, спрашивали, кто этот молодой человек, ходит по офису и со всеми разговаривает».
А я отвечаю, что все хорошо, что я уже говорил о проекте с.
и помню имя большого начальника, который курирует их менеджеров проектов.
Я думал, что это не сработает и придется как-то выкручиваться, но они сразу подняли тревогу и сменили тему.
Они сказали, что думали, что я никого не нашел и заблудился.
Просто назвать имя босса и сказать, что я разговаривал с ним, было очень глупым трюком, но внезапно это сработало.
Алиса: Позже Боб напал на них, сказав: какая у них процедура прощания? Девушки совсем растерялись и сказали, что все хорошо и они рады, что встреча состоялась.
А затем он вручает им два пропуска.
Уточняют: «Второй вчераЭ» Он отвечает, что нет, не на вчерашний день.
А они: «Ну, ладно…» и берут обоих.
Большая ошибка, что не выяснили, откуда у этого странного человека два пропуска.
Ведь они выдаются по особой процедуре.
Из офиса мы сразу направились в кафе на встречу со специалистом по информационной безопасности, курировавшим проект. Мы сидели с ним минут 20, рассказывая о недостатках и о том, что нам удалось найти.
И только тогда ему начали писать, звонить и бить тревогу.
С полученными данными злоумышленники уже могли отправиться в другой город.
Вас когда-нибудь ловили?
Бин: Были ситуации на грани, например, тот случай, когда я разговаривал с техническим директором компании, а потом еще немного посидел в офисе.И у директора были сомнения во мне.
Он позвонил в компанию, откуда я якобы родом, и легенда развалилась.
Меня начали искать, и это было тяжело.
Вы очень спокойно об этом говорите, но дело может оказаться совсем серьёзным?
Бин: Я морально готов к тому, что пройдет какое-то время, прежде чем я откроюсь, и со мной могут не церемониться.Охрана будет вспыльчивая.
Но по моему опыту, по-настоящему опасных ситуаций еще не было.
Кроме того, всегда имеется номер телефона для экстренной связи с клиентом.
Самый неприятный момент в этой работе — это когда натыкаешься на болтунов.
Бывало, что мне чуть не выдали государственную тайну, но мне приходилось докладывать, кто что рассказал.
Не знаю, что будет после моих докладов, но за это тебя по головке не погладят. Однако я думаю, что так лучше, чем нести ответственность за реальный инцидент.
Как вы получили эту работу?
Бин: У меня давно было желание заняться чем-то подобным, я всегда хотел быть скаутом, и теперь нашел способ.Алиса: И я попал туда почти случайно.
Так совпало, что заказчик хотел, чтобы девушка поучаствовала в проверке объекта в Санкт-Петербурге.
Никто не мог поехать, но я собирался в Питер по своим делам, и меня уговорили заглянуть туда с Бобом.
И вам настолько понравилось, что вы продолжили работать?
Алиса: Точно.Я очень тесно общаюсь с пентестерами и долгое время не понимал, почему у них так резко изменилось настроение.
Они могут злиться, а через минуту могут радоваться, как дети.
И когда я впервые зашёл на сайт, то сначала не мог не найти никакой информации.
Лишь через час мне повезло и все это попало мне в руки – тогда я почувствовал этот азарт, чистый адреналин.
Если работа может вызывать такие эмоции, это что-то невероятное.
Что нужно, чтобы стать хорошим социальным инженером?
Бин: Нужна хорошая подготовка, понимание, что и как делать.Из книг можно многому научиться.
Стоит ознакомиться с рассекреченными инструкциями ПГУ КГБ, инструкциями ЦРУ и КГБ (ФСБ) по сбору фактов конспирации и дезинформации.
Вы можете прочитать Кевина Митника и мемуары бывших спецназовцев.
Эти книги часто романтизируют произведение, но они все равно полезны.
Алиса: Я считаю, что здесь на первое место выходят soft skills, огромное количество soft скиллов, а также жизненный опыт и умение влезть в чужую шкуру.
Я, например, сам работал на ресепшене в начале своей карьеры и знаю, как думают люди, которые там работают. Я помню этот опыт и рассказываю им то, что убедило бы меня в прошлом.
Уверенность очень важна.
Когда ты ведешь себя уверенно, как будто ты был здесь сто раз и все знаешь, тогда ты не вызываешь подозрений и люди тебе доверяют. И самое главное, если вы не можете быстро найти выход из стрессовой ситуации, то не стоит даже пытаться заниматься социальной инженерией.
Нужно быть легким, гибким – очень хорошее слово – гибким.
В данном контексте это вполне уместно.
Оставляйте вопросы нашим социальным инженерам в комментариях.
Если мы соберем достаточно сообщений, мы выберем наиболее интересные и недооцененные и передадим их нашим социальным инженерам в следующем интервью.
Тэги: #информационная безопасность #шпионаж #Интервью #мошенники #личный опыт #пентест #социальная инженерия #тестирование на проникновение #шпионские штучки #промышленный шпионаж #аудиты компаний
-
Uber Запустился В Санкт-Петербурге
19 Oct, 24 -
Как Каменщик Дядя Толя Учил Программистов
19 Oct, 24 -
Заблуждения Программистов О Времени Unix
19 Oct, 24 -
Интернет-Магазин И Другие Обновления
19 Oct, 24 -
Доктор Философии В Фотографиях
19 Oct, 24 -
Когда Лучше Всего Рассылать Спам?
19 Oct, 24 -
Символ Рубля С Использованием Css
19 Oct, 24
