По словам Джима Стикли, сегодняшние преступники не крадут деньги - это было так вчера. Он проник в крупные и мелкие финансовые учреждения, но ему нужны конфиденциальные данные, чтобы продемонстрировать, насколько они уязвимы для громкого взлома.
Джим Стикли получил свой первый компьютер в 12 лет, а к 16 годам он болтал с другими компьютерными "ботаниками" на сайтах объявлений. Будучи хакером, Стикли сказал, что его первая попытка поиграть в систему была с бесплатными кодами - кодами. это исключило бы его телефонное и компьютерное время от накопления обвинений, которые навлекли бы на себя гнев его родителей.
«Я рано начал изучать телефонные системы. В конце концов, я получил в руки множество старых руководств по PacBell и понял, как работают системы», - сказал Стикли, ныне технический директор TraceSecurity, консалтинговой компании по безопасности, расположенной в Луизиане и Калифорнии.
Узнайте больше о приемах и тактике социальной инженерии.
Став взрослым, Стикли направил свой компьютер и хакерские увлечения в законную карьеру в области сетевой безопасности, но вскоре понял, что аппаратное и программное обеспечение - лишь часть уравнения безопасности.
«Когда я проводил время, тестируя сеть для компаний, я видел, как все эти люди приходят и уходят. Вы бы видели, как парень по доставке воды или кто-то еще просто приходил и бродил вокруг», - вспоминал он. «Меня осенило, что я мог бы просто войти и украсть все данные, которые они платили мне за защиту в сети».
Поэтому, когда Стикли основал Trace Security, он решил сделать акцент на защите сети и проверке безопасности окружающих ее людей. Когда компания только открылась, это было непросто.
«Десять лет назад это был совершенно другой мир. Когда мы впервые начали говорить с людьми о социальной инженерии, это было похоже на продажу льда эскимосам. Никто не хотел его. Никого это не заботило. Никто не понимал его ценности».
Но теперь организации, особенно финансовые учреждения, которые хотят оценить риск, понимают важность человеческого фактора безопасности. Стикли и его команда регулярно проводят «занятия социальной инженерией», когда физически грабят банки и «крадут» потенциально уязвимые объекты и информацию.
Стикли, который говорит, что грабить банки «удивительно легко», объясняет, как он это делает и почему его никогда не ловят.
ОГО: Как часто вы «грабите банки» в качестве эксперимента социальной инженерии для клиентов? Лично я прошел более 1000 локаций, и меня не поймали. Они охватывают весь спектр от очень маленьких общинных банков всего с двумя филиалами до очень крупных финансовых учреждений; мы говорим о нескольких миллиардах активов по размеру.
Стикли:
Но, независимо от размера, все схватки проходят очень похоже. Вы можете подумать: «У них больше денег, они ДОЛЖНЫ быть более искушенными». Но это не так, когда дело доходит до социальной инженерии. Когда вы говорите о сетях и подобных вещах, безусловно. Когда у вас намного больше денег, у вас есть намного более крутые игрушки. Но, похоже, это не тот случай, когда мы говорим о социальной инженерии.
«Если вы можете выйти из банка с большим сервером, в этом есть что-то действительно забавное».
Джим Стикли, TraceSecurity
Вы можете тренироваться. У вас может быть сильная политика. Кроме того, вы мало что можете сделать. У вас может быть охрана, но это все равно сводится к обучению и политике, потому что мы попали в объекты с охраной и без охраны. Это действительно не имеет значения.
С чего начать работу с социальной инженерией?
Все они дошли до того, чтобы попытаться выяснить, по какому пути мы можем попасть в учреждение. Я считаю, что это упрощает то, что чем больше банк, чем больше мест, тем легче мне попасть, потому что сотрудники не будут знать столько людей, и они не будут разговаривать с таким количеством людей напрямую. Так что это дает мне намного больше места. В операциях с одним или двумя филиалами есть вероятность, что они знают всех и со всеми общаются. На самом деле, на мой взгляд, это сложнее.
Если я собираюсь ограбить финансовое учреждение, часто они говорят, что хотят, чтобы мы украли их ленты с резервными копиями, что часто является основной целью, потому что около 70 процентов финансовых учреждений не шифруют свои ленты с резервными копиями. Это огромное количество. Часто они хотят, чтобы мы просто отметили их и доказали, что мы могли их украсть. В таких случаях у нас есть наклейки, которые мы берем и помечаем все, что мы могли украсть.
Кроме того, в наших карманах есть камеры, которые могут фотографировать все, что мы делаем. Потом, если есть сомнения, мы все записываем. Когда вы имеете дело с конфиденциальной информацией, у вас должен быть очень надежный отчет обо всем, что вы сделали.
Какое помещение вы используете, чтобы попасть в ограбленные банки?
Если вы хотите попасть в учреждение, первое, что я делаю, это выясняю, какую уловку я собираюсь использовать. Есть несколько, которые действительно хорошо работают. Мой фаворит - пожарный инспектор.
Проблема с тем, чтобы стать пожарным инспектором, заключается в том, что вам приходится преодолевать множество юридических лазеек. Вы не можете выдавать себя за федерального офицера. За это можно сесть в тюрьму. Поэтому мы должны связаться с местной пожарной службой и отделением полиции, получить разрешение и заставить их понять, что мы собираемся делать с частной собственностью.
Мы должны пройти много подготовительных работ, чтобы заняться пожарным инспектором. Так что я буду использовать это на более крупных объектах, где, как мне кажется, мне будет труднее всего попасть. Если мне кажется, что я никуда не денусь с другими путями, а люди параноидальны и подозрительны, тогда я иду с рутиной пожарного инспектора. .
Причина, по которой я работаю пожарным инспектором, заключается в том, что никто не может запретить пожарному инспектору проникнуть в ваше здание. Вы должны впустить их. У меня есть значки. У нас есть значки для каждого штата США. Это настоящие значки, которые я сделал. Раньше я ходил на уровень города и делал значки для каждого города. Но я обнаружил, что большинство людей не смотрят, они просто смотрят на шик. Люди просто видят значок и то, что вы в форме, и они хороши. Они ничего не ставят под сомнение.
Дело в том, что любой может надеть форму и заниматься такими вещами. Это может случиться, и вы хотите, чтобы эти организации понимали, что они могут сделать, чтобы справиться с этим должным образом. Вы хотите убедиться, что люди образованы и понимают, что такое законы, что им следует делать, а чего не следует делать. Вы никому не говорите, что они должны запретить пожарному инспектору зайти на территорию. Очевидно, им нужно войти. Но есть вещи, которые сотрудники должны делать, например, постоянно сопровождать их. Убедитесь, что сотрудники понимают, на что смотрит инспектор, и убедитесь, что они понимают, что они берут, а что нет. Это все, что они могут сделать для обеспечения того, чтобы пожарный инспектор выполнял свою работу, но и сотрудник тоже выполняет свою работу.
Что вы будете делать после того, как станете пожарным инспектором?
Когда мы появляемся в качестве пожарного инспектора в униформе и говорим, что собираемся провести инспекцию, наша цель - заставить человека, который ходит с нами, оставить нас одних. Мы не хотим, чтобы они оставались с нами, потому что в противном случае мы ничего не сможем украсть. Если они смотрят на нас, это очень затрудняет работу. Но если они уйдут, давайте начнем бесцельно идти самостоятельно, тогда я украду все, что не прибито.
Захожу с сумкой. Я не знаю, что они думают в этой сумке, но меня никто никогда не спрашивает, что там. Когда я приезжаю туда, там всегда пусто, и моя цель - заполнить этот мешок вещами к тому времени, когда я выйду из этого учреждения.
Что вы воруете?
Я все украду. Я украду сотовые телефоны людей, если они оставят их на столе. Я по-прежнему буду использовать любой документ, который выглядит так, как будто в нем есть конфиденциальная информация. Очевидно, я собираюсь взять те кассеты с резервными копиями или любой другой диск, который валяется; Я украду все, что кажется мне чем-то ценным.
Еще я сделаю вот что: в моей маленькой сумке есть беспроводное устройство. И моя цель - иметь возможность разместить свое беспроводное устройство там, где у них есть доступ ко всему их сетевому оборудованию. Я подключаю к нему свое беспроводное устройство и теперь нахожусь в их внутренней сети. Я могу выйти из своего фургона, подключиться к своему беспроводному устройству и обойти внутренний брандмауэр, любые внешние IDS, которые у них есть, и провести там остаток дня, взламывая все остальное и выполняя дополнительные атаки.
Если день прошел действительно хорошо и я начинаю напиваться, тогда я выбираю действительно большие вещи. Вот что я стараюсь делать на серверах или большом оборудовании. Это всегда интереснее, потому что если вы выйдете с большим сервером, в этом есть что-то действительно забавное. Просто чтобы нам было ясно, каждый раз, когда у нас есть задание, где мы что-то крадем, у клиента должен быть сотрудник, который нас сопровождает, и они ждут в машине. Таким образом, у нас очень мало времени, когда мы фактически контролируем предметы, которые мы крадем. Мы хотим, чтобы цепочка поставок была у нас очень короткой. Когда мы идем с вещами к сотруднику в машине, они часто бывают очень шокированы, потому что часто кажется настолько невообразимым, что вы можете унести сервер незамеченным.
Значит, даже если вы этичный профессиональный грабитель банков, вы на самом деле не воруете деньги?
О боже, нет. Деньги такие 1990-е. Теперь это так устарело. Подумайте об этом: если вы хотите украсть 1 миллион долларов, у вас, а у меня есть довольно большая сумка или вилочный погрузчик. Просто невозможно украсть настоящие деньги. Единственные люди, которые сейчас действительно крадут наличные из банка с сумкой, - это тупицы. Любой, кто знает, что происходит, любой настоящий преступник знает, что теперь все деньги в цифровом формате.
Что говорят клиенты, когда вам удается это сделать?
Большинство людей хеджируют свои ставки, когда мы встречаемся с ними заранее и говорим, что они думают, что у них все хорошо. Я думаю, они знают, что так сложно все остановить. Так что иногда они шокированы, особенно если это помолвка, в которой нам удалось сбежать с большим количеством вещей.
Но в большинстве случаев они справляются с этим хорошо, потому что именно для этого они наняли нас - они хотят выяснить, где у них проблемы и как они могут их решить. Они бы предпочли, чтобы мы это сделали, а не то, чтобы это случилось по-настоящему и в итоге попало в СМИ.
Джим Стикли получил свой первый компьютер в 12 лет, а к 16 годам он болтал с другими компьютерными "ботаниками" на сайтах объявлений. Будучи хакером, Стикли сказал, что его первая попытка поиграть в систему была с бесплатными кодами - кодами. это исключило бы его телефонное и компьютерное время от накопления обвинений, которые навлекли бы на себя гнев его родителей.
«Я рано начал изучать телефонные системы. В конце концов, я получил в руки множество старых руководств по PacBell и понял, как работают системы», - сказал Стикли, ныне технический директор TraceSecurity, консалтинговой компании по безопасности, расположенной в Луизиане и Калифорнии.
Узнайте больше о приемах и тактике социальной инженерии.
Став взрослым, Стикли направил свой компьютер и хакерские увлечения в законную карьеру в области сетевой безопасности, но вскоре понял, что аппаратное и программное обеспечение - лишь часть уравнения безопасности.
«Когда я проводил время, тестируя сеть для компаний, я видел, как все эти люди приходят и уходят. Вы бы видели, как парень по доставке воды или кто-то еще просто приходил и бродил вокруг», - вспоминал он. «Меня осенило, что я мог бы просто войти и украсть все данные, которые они платили мне за защиту в сети».
Поэтому, когда Стикли основал Trace Security, он решил сделать акцент на защите сети и проверке безопасности окружающих ее людей. Когда компания только открылась, это было непросто.
«Десять лет назад это был совершенно другой мир. Когда мы впервые начали говорить с людьми о социальной инженерии, это было похоже на продажу льда эскимосам. Никто не хотел его. Никого это не заботило. Никто не понимал его ценности».
Но теперь организации, особенно финансовые учреждения, которые хотят оценить риск, понимают важность человеческого фактора безопасности. Стикли и его команда регулярно проводят «занятия социальной инженерией», когда физически грабят банки и «крадут» потенциально уязвимые объекты и информацию.
Стикли, который говорит, что грабить банки «удивительно легко», объясняет, как он это делает и почему его никогда не ловят.
ОГО: Как часто вы «грабите банки» в качестве эксперимента социальной инженерии для клиентов? Лично я прошел более 1000 локаций, и меня не поймали. Они охватывают весь спектр от очень маленьких общинных банков всего с двумя филиалами до очень крупных финансовых учреждений; мы говорим о нескольких миллиардах активов по размеру.
Стикли:
Но, независимо от размера, все схватки проходят очень похоже. Вы можете подумать: «У них больше денег, они ДОЛЖНЫ быть более искушенными». Но это не так, когда дело доходит до социальной инженерии. Когда вы говорите о сетях и подобных вещах, безусловно. Когда у вас намного больше денег, у вас есть намного более крутые игрушки. Но, похоже, это не тот случай, когда мы говорим о социальной инженерии.
«Если вы можете выйти из банка с большим сервером, в этом есть что-то действительно забавное».
Джим Стикли, TraceSecurity
Вы можете тренироваться. У вас может быть сильная политика. Кроме того, вы мало что можете сделать. У вас может быть охрана, но это все равно сводится к обучению и политике, потому что мы попали в объекты с охраной и без охраны. Это действительно не имеет значения.
С чего начать работу с социальной инженерией?
Все они дошли до того, чтобы попытаться выяснить, по какому пути мы можем попасть в учреждение. Я считаю, что это упрощает то, что чем больше банк, чем больше мест, тем легче мне попасть, потому что сотрудники не будут знать столько людей, и они не будут разговаривать с таким количеством людей напрямую. Так что это дает мне намного больше места. В операциях с одним или двумя филиалами есть вероятность, что они знают всех и со всеми общаются. На самом деле, на мой взгляд, это сложнее.
Если я собираюсь ограбить финансовое учреждение, часто они говорят, что хотят, чтобы мы украли их ленты с резервными копиями, что часто является основной целью, потому что около 70 процентов финансовых учреждений не шифруют свои ленты с резервными копиями. Это огромное количество. Часто они хотят, чтобы мы просто отметили их и доказали, что мы могли их украсть. В таких случаях у нас есть наклейки, которые мы берем и помечаем все, что мы могли украсть.
Кроме того, в наших карманах есть камеры, которые могут фотографировать все, что мы делаем. Потом, если есть сомнения, мы все записываем. Когда вы имеете дело с конфиденциальной информацией, у вас должен быть очень надежный отчет обо всем, что вы сделали.
Какое помещение вы используете, чтобы попасть в ограбленные банки?
Если вы хотите попасть в учреждение, первое, что я делаю, это выясняю, какую уловку я собираюсь использовать. Есть несколько, которые действительно хорошо работают. Мой фаворит - пожарный инспектор.
Проблема с тем, чтобы стать пожарным инспектором, заключается в том, что вам приходится преодолевать множество юридических лазеек. Вы не можете выдавать себя за федерального офицера. За это можно сесть в тюрьму. Поэтому мы должны связаться с местной пожарной службой и отделением полиции, получить разрешение и заставить их понять, что мы собираемся делать с частной собственностью.
Мы должны пройти много подготовительных работ, чтобы заняться пожарным инспектором. Так что я буду использовать это на более крупных объектах, где, как мне кажется, мне будет труднее всего попасть. Если мне кажется, что я никуда не денусь с другими путями, а люди параноидальны и подозрительны, тогда я иду с рутиной пожарного инспектора. .
Причина, по которой я работаю пожарным инспектором, заключается в том, что никто не может запретить пожарному инспектору проникнуть в ваше здание. Вы должны впустить их. У меня есть значки. У нас есть значки для каждого штата США. Это настоящие значки, которые я сделал. Раньше я ходил на уровень города и делал значки для каждого города. Но я обнаружил, что большинство людей не смотрят, они просто смотрят на шик. Люди просто видят значок и то, что вы в форме, и они хороши. Они ничего не ставят под сомнение.
Дело в том, что любой может надеть форму и заниматься такими вещами. Это может случиться, и вы хотите, чтобы эти организации понимали, что они могут сделать, чтобы справиться с этим должным образом. Вы хотите убедиться, что люди образованы и понимают, что такое законы, что им следует делать, а чего не следует делать. Вы никому не говорите, что они должны запретить пожарному инспектору зайти на территорию. Очевидно, им нужно войти. Но есть вещи, которые сотрудники должны делать, например, постоянно сопровождать их. Убедитесь, что сотрудники понимают, на что смотрит инспектор, и убедитесь, что они понимают, что они берут, а что нет. Это все, что они могут сделать для обеспечения того, чтобы пожарный инспектор выполнял свою работу, но и сотрудник тоже выполняет свою работу.
Что вы будете делать после того, как станете пожарным инспектором?
Когда мы появляемся в качестве пожарного инспектора в униформе и говорим, что собираемся провести инспекцию, наша цель - заставить человека, который ходит с нами, оставить нас одних. Мы не хотим, чтобы они оставались с нами, потому что в противном случае мы ничего не сможем украсть. Если они смотрят на нас, это очень затрудняет работу. Но если они уйдут, давайте начнем бесцельно идти самостоятельно, тогда я украду все, что не прибито.
Захожу с сумкой. Я не знаю, что они думают в этой сумке, но меня никто никогда не спрашивает, что там. Когда я приезжаю туда, там всегда пусто, и моя цель - заполнить этот мешок вещами к тому времени, когда я выйду из этого учреждения.
Что вы воруете?
Я все украду. Я украду сотовые телефоны людей, если они оставят их на столе. Я по-прежнему буду использовать любой документ, который выглядит так, как будто в нем есть конфиденциальная информация. Очевидно, я собираюсь взять те кассеты с резервными копиями или любой другой диск, который валяется; Я украду все, что кажется мне чем-то ценным.
Еще я сделаю вот что: в моей маленькой сумке есть беспроводное устройство. И моя цель - иметь возможность разместить свое беспроводное устройство там, где у них есть доступ ко всему их сетевому оборудованию. Я подключаю к нему свое беспроводное устройство и теперь нахожусь в их внутренней сети. Я могу выйти из своего фургона, подключиться к своему беспроводному устройству и обойти внутренний брандмауэр, любые внешние IDS, которые у них есть, и провести там остаток дня, взламывая все остальное и выполняя дополнительные атаки.
Если день прошел действительно хорошо и я начинаю напиваться, тогда я выбираю действительно большие вещи. Вот что я стараюсь делать на серверах или большом оборудовании. Это всегда интереснее, потому что если вы выйдете с большим сервером, в этом есть что-то действительно забавное. Просто чтобы нам было ясно, каждый раз, когда у нас есть задание, где мы что-то крадем, у клиента должен быть сотрудник, который нас сопровождает, и они ждут в машине. Таким образом, у нас очень мало времени, когда мы фактически контролируем предметы, которые мы крадем. Мы хотим, чтобы цепочка поставок была у нас очень короткой. Когда мы идем с вещами к сотруднику в машине, они часто бывают очень шокированы, потому что часто кажется настолько невообразимым, что вы можете унести сервер незамеченным.
Значит, даже если вы этичный профессиональный грабитель банков, вы на самом деле не воруете деньги?
О боже, нет. Деньги такие 1990-е. Теперь это так устарело. Подумайте об этом: если вы хотите украсть 1 миллион долларов, у вас, а у меня есть довольно большая сумка или вилочный погрузчик. Просто невозможно украсть настоящие деньги. Единственные люди, которые сейчас действительно крадут наличные из банка с сумкой, - это тупицы. Любой, кто знает, что происходит, любой настоящий преступник знает, что теперь все деньги в цифровом формате.
Что говорят клиенты, когда вам удается это сделать?
Большинство людей хеджируют свои ставки, когда мы встречаемся с ними заранее и говорим, что они думают, что у них все хорошо. Я думаю, они знают, что так сложно все остановить. Так что иногда они шокированы, особенно если это помолвка, в которой нам удалось сбежать с большим количеством вещей.
Но в большинстве случаев они справляются с этим хорошо, потому что именно для этого они наняли нас - они хотят выяснить, где у них проблемы и как они могут их решить. Они бы предпочли, чтобы мы это сделали, а не то, чтобы это случилось по-настоящему и в итоге попало в СМИ.
