Как эксперт по социальной инженерии получил доступ к чрезвычайно конфиденциальной информации с помощью небольшой рубашки, тарелки с печеньем и коробки Linksys.
Клиенты часто просят Криса Никерсона, основателя Lares, консалтинговой компании по безопасности из Колорадо, эксперта в области социальной инженерии провести тестирование на проникновение для своей локальной безопасности. Никерсон возглавляет команду, которая проводит оценку рисков безопасности методом, который он называет Red Team Testing. Посмотрите, как Никерсон и его команда совершают ограбление алмазов в этом видео.
Никерсон и его команда недавно взяли на себя такое упражнение для клиента, которого он описывает как «розничную компанию с большим колл-центром». По словам Никерсона, после некоторой подготовительной работы команда смогла легко получить доступ к сети и базе данных компании. Прочтите, чтобы узнать, как они это сделали, и какие уроки вы можете извлечь для укрепления защиты вашей организации. (Чтобы узнать больше о методах социальной инженерии, также см. Социальная инженерия: восемь общих тактик).
Крис Никерсон: Тестирование уязвимостей системы безопасности на месте требует наибольшего объема памяти и сбора разведданных, потому что вам нужно начать с получения информации о вашей цели. Когда я собираю информацию, мне нравится находить праздники или события, связанные со временем. В этом конкретном упражнении в этом районе проходили большие скачки. В городе, где располагалась компания, поехать на эти скачки было большим событием. Все в городе и вокруг него собрались и вышли из офиса, чтобы отправиться в него. Это было идеальное время для меня, чтобы зайти и сказать, что у меня назначена встреча.
Я сказал, что должен встретиться с кем-то, кого мы назовем Нэнси. Я знал, что Нэнси не будет в офисе, потому что в ее профиле MySpace было написано, что она готовится к гонке. Затем в ее профиле в Twitter было написано, что она одевается, чтобы пойти на мероприятие. Так что я знал, что ее нет в офисе.
Перед тем, как пойти в офис, я пошел в комиссионный магазин и купил рубашку Cisco за 4 доллара. Затем я вошел и сказал: «Привет. Я новый представитель Cisco. Я здесь, чтобы увидеться с Нэнси». Дежурный на стойке регистрации в этой ситуации сказал: «Ее нет за своим столом».
Я сказал: «Да. Я знаю. Я переписывался с ней взад и вперед. Она сказала мне, что она на встрече, и встреча заканчивается».
Это было как раз во время обеда, и я сказал: «Раз уж я жду, есть ли где-нибудь здесь, где я могу пойти за едой?» Я прекрасно знал, что после осмотра местности ближайший объект находился примерно в пяти милях от меня, потому что они были как бы заперты.
Секретарша сказала: «В четырех или пяти милях вниз по дороге есть McDonalds. Но у нас здесь хороший кафетерий. Если хотите, можете просто поесть там».
Разрешение пойти в кафетерий дало мне полный доступ к помещению, потому что единственное, что охранялось, - это дверь. Кафетерий ведет прямо в остальную часть здания.
Я пошел в кафетерий и поел. Пока был там, делал сброс USB-ключа. Я кладу на них файлы с такими названиями, как «Расчет заработной платы» или «Стратегия 2009». На USB-накопителях были руткиты. Многие из них содержат руткит с автозапуском. У других была Hacksaw, небольшая технология, которую можно использовать с приводом U3. Вы подключаете его к машине, и, если машина автоматически запускается на компакт-диске, на котором она запущена, она просто начинает сбрасывать все пароли, имена пользователей и все такое. Он также вставит крючок в машину, чтобы начать отправку этой информации по электронной почте на адрес электронной почты, который вы дадите ему для контакта. Так что даже после того, как я ушел, я все еще мог фильтровать информацию. Для включения требуется всего около 30 секунд.
Когда я делаю такое упражнение, я кладу USB-накопители в те места, где находятся люди, где они могут что-то забыть: например, в ванной комнате на раковине. Еще одна хорошая зона - возле кофеварки. Области, где люди, естественно, кладут вещи, где они могут не забыть забрать их обратно. Я никогда не сбрасывал USB-ключ без успеха.
Тем временем я попросил еще одного из моих парней войти через дымящуюся дверь сзади. Он тусовался, ждал, выкурил сигареты с людьми, которые выходили покурить во время перерыва, а когда они закончили, дверь открылась, и он просто вошел внутрь. Еще одно упражнение, доказывающее, что попасть внутрь действительно не так уж и сложно.
В конце концов, как только он вошел, я попросил его прийти и забрать меня в кафетерий. Это было так, что на магнитофонных записях показалось, что кто-то пришел, чтобы вытащить меня из кафетерия, чтобы сопроводить на любое собрание, которое я собирался посетить. Мы прошли и нашли внутри этой гигантской кубической фермы площадью 100 000 квадратных футов несколько мест, которые были широко открыты, и просто сели.
Вокруг нас никого не было. Итак, мы начали тянуть за ключи. Мы использовали такие вещи, как Ophcrack, чтобы начать взламывать пароли Windows и выгружать их в Linux. Мы начали подключать наши машины к сети, чтобы мы могли начать тестирование на проникновение и взломать активные серверы в среде. Мы устанавливаем такие вещи, как маршрутизаторы WRT 54G: маленькие голубые беспроводные блоки Linksys. Мы взяли их, воткнули под куб, поставили на них Unix и открыли WRT. Благодаря этому у меня была точка беспроводного доступа, в которую я мог попасть не только со стоянки, но и по маякам и звонкам домой, поэтому у меня был Unix-бокс, который находится внутри их сети.
Спустя некоторое время вошла полная команда людей. Большая часть работы, которая выполнялась на этом предприятии, была посменной, и это было время смены смены. Поскольку мы сделали домашнее задание правильно, мы оказались на двух из трех кубиков, которые были свободны, поэтому не было никаких конфликтов или вопросов.
Все сели вокруг нас. Я объявил себя инженером Cisco, который работал над телефонной системой. Многие из них отвечали шутками и говорили что-то вроде «Дорогая, пожалуйста, не чините это. Я не хочу сегодня отвечать на звонки».
Я понял одну вещь: печенье - это ключ к сердцу каждого. Когда я выполняю упражнения, изображающие из себя техника или VAR, мне нравится приносить печенье. Я выполнил это упражнение и начал раздавать печенье всем в районе. Мы все смеялись, прекрасно проводили время. Тем временем мы взламывали всю их сеть.
В конце концов, мы показали клиенту уязвимость их физического доступа и показали им некоторые смешанные методы, которые использовали для проникновения. Мы смогли продемонстрировать, как с помощью социальной инженерии мы смогли взломать SQL Сервер и сбросить всю базу данных с информацией об аккаунтах каждого. Такое нарушение могло стоить им несколько миллиардов долларов. И у нас был доступ ко всему этому из-за этих уязвимостей. Мы носили пуговицы и шляпки, чтобы они могли посмотреть, как это делается.
Компаниям необходимо провести общую кампанию по повышению осведомленности о социальной инженерии. Вам нужно сказать сотрудникам, что искать и как это искать. Компании должны учить сотрудников, что дело не в том, что компания не доверяет людям внутри организации, а в том, что есть люди, которые пытаются делать это каждый день. Это просто хорошая техника осознания.
Если кто-то приходит поработать в вашей среде, вы, вероятно, должны знать, кто они. Если вы думаете о своей компании как о своем доме, вы поступаете иначе. Вы не позволите кому-то просто войти в ваш дом. Это та философия, которую компании должны привнести в корпоративную культуру.
Клиенты часто просят Криса Никерсона, основателя Lares, консалтинговой компании по безопасности из Колорадо, эксперта в области социальной инженерии провести тестирование на проникновение для своей локальной безопасности. Никерсон возглавляет команду, которая проводит оценку рисков безопасности методом, который он называет Red Team Testing. Посмотрите, как Никерсон и его команда совершают ограбление алмазов в этом видео.
Никерсон и его команда недавно взяли на себя такое упражнение для клиента, которого он описывает как «розничную компанию с большим колл-центром». По словам Никерсона, после некоторой подготовительной работы команда смогла легко получить доступ к сети и базе данных компании. Прочтите, чтобы узнать, как они это сделали, и какие уроки вы можете извлечь для укрепления защиты вашей организации. (Чтобы узнать больше о методах социальной инженерии, также см. Социальная инженерия: восемь общих тактик).
Крис Никерсон: Тестирование уязвимостей системы безопасности на месте требует наибольшего объема памяти и сбора разведданных, потому что вам нужно начать с получения информации о вашей цели. Когда я собираю информацию, мне нравится находить праздники или события, связанные со временем. В этом конкретном упражнении в этом районе проходили большие скачки. В городе, где располагалась компания, поехать на эти скачки было большим событием. Все в городе и вокруг него собрались и вышли из офиса, чтобы отправиться в него. Это было идеальное время для меня, чтобы зайти и сказать, что у меня назначена встреча.
Я сказал, что должен встретиться с кем-то, кого мы назовем Нэнси. Я знал, что Нэнси не будет в офисе, потому что в ее профиле MySpace было написано, что она готовится к гонке. Затем в ее профиле в Twitter было написано, что она одевается, чтобы пойти на мероприятие. Так что я знал, что ее нет в офисе.
Перед тем, как пойти в офис, я пошел в комиссионный магазин и купил рубашку Cisco за 4 доллара. Затем я вошел и сказал: «Привет. Я новый представитель Cisco. Я здесь, чтобы увидеться с Нэнси». Дежурный на стойке регистрации в этой ситуации сказал: «Ее нет за своим столом».
Я сказал: «Да. Я знаю. Я переписывался с ней взад и вперед. Она сказала мне, что она на встрече, и встреча заканчивается».
Это было как раз во время обеда, и я сказал: «Раз уж я жду, есть ли где-нибудь здесь, где я могу пойти за едой?» Я прекрасно знал, что после осмотра местности ближайший объект находился примерно в пяти милях от меня, потому что они были как бы заперты.
Секретарша сказала: «В четырех или пяти милях вниз по дороге есть McDonalds. Но у нас здесь хороший кафетерий. Если хотите, можете просто поесть там».
Разрешение пойти в кафетерий дало мне полный доступ к помещению, потому что единственное, что охранялось, - это дверь. Кафетерий ведет прямо в остальную часть здания.
Я пошел в кафетерий и поел. Пока был там, делал сброс USB-ключа. Я кладу на них файлы с такими названиями, как «Расчет заработной платы» или «Стратегия 2009». На USB-накопителях были руткиты. Многие из них содержат руткит с автозапуском. У других была Hacksaw, небольшая технология, которую можно использовать с приводом U3. Вы подключаете его к машине, и, если машина автоматически запускается на компакт-диске, на котором она запущена, она просто начинает сбрасывать все пароли, имена пользователей и все такое. Он также вставит крючок в машину, чтобы начать отправку этой информации по электронной почте на адрес электронной почты, который вы дадите ему для контакта. Так что даже после того, как я ушел, я все еще мог фильтровать информацию. Для включения требуется всего около 30 секунд.
Когда я делаю такое упражнение, я кладу USB-накопители в те места, где находятся люди, где они могут что-то забыть: например, в ванной комнате на раковине. Еще одна хорошая зона - возле кофеварки. Области, где люди, естественно, кладут вещи, где они могут не забыть забрать их обратно. Я никогда не сбрасывал USB-ключ без успеха.
Тем временем я попросил еще одного из моих парней войти через дымящуюся дверь сзади. Он тусовался, ждал, выкурил сигареты с людьми, которые выходили покурить во время перерыва, а когда они закончили, дверь открылась, и он просто вошел внутрь. Еще одно упражнение, доказывающее, что попасть внутрь действительно не так уж и сложно.
В конце концов, как только он вошел, я попросил его прийти и забрать меня в кафетерий. Это было так, что на магнитофонных записях показалось, что кто-то пришел, чтобы вытащить меня из кафетерия, чтобы сопроводить на любое собрание, которое я собирался посетить. Мы прошли и нашли внутри этой гигантской кубической фермы площадью 100 000 квадратных футов несколько мест, которые были широко открыты, и просто сели.
Вокруг нас никого не было. Итак, мы начали тянуть за ключи. Мы использовали такие вещи, как Ophcrack, чтобы начать взламывать пароли Windows и выгружать их в Linux. Мы начали подключать наши машины к сети, чтобы мы могли начать тестирование на проникновение и взломать активные серверы в среде. Мы устанавливаем такие вещи, как маршрутизаторы WRT 54G: маленькие голубые беспроводные блоки Linksys. Мы взяли их, воткнули под куб, поставили на них Unix и открыли WRT. Благодаря этому у меня была точка беспроводного доступа, в которую я мог попасть не только со стоянки, но и по маякам и звонкам домой, поэтому у меня был Unix-бокс, который находится внутри их сети.
Спустя некоторое время вошла полная команда людей. Большая часть работы, которая выполнялась на этом предприятии, была посменной, и это было время смены смены. Поскольку мы сделали домашнее задание правильно, мы оказались на двух из трех кубиков, которые были свободны, поэтому не было никаких конфликтов или вопросов.
Все сели вокруг нас. Я объявил себя инженером Cisco, который работал над телефонной системой. Многие из них отвечали шутками и говорили что-то вроде «Дорогая, пожалуйста, не чините это. Я не хочу сегодня отвечать на звонки».
Я понял одну вещь: печенье - это ключ к сердцу каждого. Когда я выполняю упражнения, изображающие из себя техника или VAR, мне нравится приносить печенье. Я выполнил это упражнение и начал раздавать печенье всем в районе. Мы все смеялись, прекрасно проводили время. Тем временем мы взламывали всю их сеть.
В конце концов, мы показали клиенту уязвимость их физического доступа и показали им некоторые смешанные методы, которые использовали для проникновения. Мы смогли продемонстрировать, как с помощью социальной инженерии мы смогли взломать SQL Сервер и сбросить всю базу данных с информацией об аккаунтах каждого. Такое нарушение могло стоить им несколько миллиардов долларов. И у нас был доступ ко всему этому из-за этих уязвимостей. Мы носили пуговицы и шляпки, чтобы они могли посмотреть, как это делается.
Компаниям необходимо провести общую кампанию по повышению осведомленности о социальной инженерии. Вам нужно сказать сотрудникам, что искать и как это искать. Компании должны учить сотрудников, что дело не в том, что компания не доверяет людям внутри организации, а в том, что есть люди, которые пытаются делать это каждый день. Это просто хорошая техника осознания.
Если кто-то приходит поработать в вашей среде, вы, вероятно, должны знать, кто они. Если вы думаете о своей компании как о своем доме, вы поступаете иначе. Вы не позволите кому-то просто войти в ваш дом. Это та философия, которую компании должны привнести в корпоративную культуру.
