Все дело в метаданных, детка

О

ксфордский словарь гласит, что приставка «мета» позволяет описывать «отсылку к себе или к общепринятым нормам типа „самореферентность“». То есть метаданные — это в буквальном смысле данные о данных. Отдает фильмом «Начало», вам не кажется?

Сейчас объясняю попроще. Метаданными называют информацию об объектах поиска. И в этих данных часто прячутся очень интересные факты, зачастую попадающие туда ненамеренно.

Представьте, что я провожу безобидный поиск в Google: ищу файлы с расширением.doc, в которых содержится информация о паролях. И вот я натыкаюсь на маленький документик с названием Final Password Policy («Политика в отношении паролей, финальная версия»). Что скажут мне метаданные? Давайте посмотрим на илл. 2.21.

 

 

 

Метаданные позволяют узнать время и место создания файла, имя последнего человека, который его сохранял, имя и должность его создателя, сколько раз его редактировали и др. Возможно, вы сейчас думаете: «Ну и что?»

Подобные документы способны предоставить социальному инженеру огромный объем информации. Только представьте, как в руки ему попадает документ о новой кадровой политике! Метаданные показали бы, когда этот документ в последний раз изменяли (в данном случае — месяц назад), кто его написал и когда его опубликовали. И конечно же, само содержание кадровой политики было бы внутри документа. Как думаете, открыл бы кто-нибудь файл, приложенный к фишинговому e-mail, отправленному от лица автора этого документа с пометкой о внесении изменений?

Посмотрите на илл. 2.22.

Сначала вы наверняка подумали: «Хм, мы что, будем тут устраивать фишинг по поводу купона на острый соус?». Нет. Обратите внимание на метаданные, изображенные на скриншоте 2.23.

 

 

 

Натыкаясь в интернете на безобидное на первый взгляд фото, не забывайте о метаданных — они сообщат, на какую камеру, когда и во сколько был сделан снимок, и даже выдадут GPS-координаты места, где этот снимок был сделан. Введите координаты в Google-карты и… см. илл. 2.24.

На карте мы видим парковку у ресторана Pepe’s, в котором, кстати говоря, активно используют изображенный на фотографии соус.

 

 

 

Получается, кто-то сделал фотографию на смартфон. На смартфоне не был отключен GPS, а приложению камеры не запретили прикреплять метаданные к файлу с фотографией. И когда этот человек загрузил фото в социальную сеть, эта информация оказалась доступна всем желающим.

Понимаете, к чему я клоню? А теперь представьте, что это информация не о вашем приятеле, который сходил в ресторан, а о:

• генеральном директоре крупной коммунальной компании, через которого планируют провести атаку национального масштаба;

• секретарше миллиардера, владеющей информацией о банковских счетах начальника и полномочиями по передаче средств;

• вашей пятнадцатилетней дочери, которая решила выложить в Сеть свои эротические фотографии.

 

Ну как? Вне зависимости от того, какой сценарий вам не понравился больше, понятно, что эта информация быстро становится опасной, если попадает в открытый доступ.

Однажды меня с моей командой наняли для проведения сбора данных из открытых источников и реализации атаки на высокопоставленного сотрудника организации, связанной с обороной. Перед нами не стояла задача его подставить, но необходимо было проверить, легко ли он решится на действия, совершать которые не следует. Чтобы в дальнейшем возможно было провести просветительскую работу, мы должны были записывать любые звонки сотрудника и регистрировать ссылки, по которым он перешел.

Нам не пришлось особенно стараться, чтобы найти его страницы в социальных сетях. Его Twitter оказался настоящей золотой жилой: он не просто активно там писал, но и использовал для этого свой новенький iPhone со включенным GPS. Почему это так важно? Благодаря геолокации постов сотрудника в Twitter мы составили график его передвижений в течение дня. Буквально за несколько часов мы узнали:

• где он любит пить кофе каждое утро;

• в какой спортзал ходит перед тем, как вернуться с работы домой;

• два его любимых ресторана;

• адрес его дома;

• как он ненавидит пробки.

 

Мы нашли еще много полезных данных в открытых источниках, однако именно эта информация определила вектор будущих атак. Во-первых, мы создали домен, который на одну букву отличался от адреса официальной страницы его спортклуба. Затем набросали электронное письмо, где сообщили, что в клубе якобы проводится обновление пользовательских аккаунтов, в ходе которого выяснилось: его кредитка не работает. Мы предложили ему «прямо сейчас войти в систему и самостоятельно обновить информацию о карте», подталкивая тем самым к быстрым действиям.

Конечно, мы знали, что по ссылке сотрудник увидит ошибку 404. Так что мы дождались, когда он перейдет по указанному адресу, и уже после этого позвонили. Диалог состоялся примерно такой:

 

СИ: Добрый день. Это мистер Смит?

Объект: Да, это я. А кто спрашивает?

СИ: Меня зовут Сара, я администратор спортклуба Cold’s Gym. Сегодня мы отправили вам e-mail об обновлении системы, к которому прилагалась ссылка, к сожалению неработающая. И теперь мы обзваниваем клиентов, чтобы принести извинения за доставленные неудобства. Я могу сейчас выслать вам рабочую ссылку или же сразу обновить информацию по вашей карте. Как вам будет удобнее?

Объект: Все в порядке, Сара, сейчас скажу номер карты.

СИ: Спасибо, мистер Смит! И ждем вас сегодня на тренировку!

 

Эта атака сработала, потому что мы говорили о близких ему темах, и говорили убедительно. Просмотр открытых источников, один фишинговый e-mail — и мы заполучили клик по ссылке, номер кредитки и возможность простроить еще пять дополнительных векторов атаки.

Метаданные — мощный и очень полезный источник информации для социального инженера. Так что я настоятельно рекомендую анализировать их по каждому документу, который попадет вам в руки в процессе сбора данных из открытых источников.

Может показаться, что это слишком сложная задача, особенно если в вашем распоряжении окажется большой объем файлов. Лично я люблю использовать инструменты вроде FOCA (http://www.elevenpaths.com/labstools/foca/index.html) и Maltego (https://www.paterva.com/web7/), которые значительно облегчают задачу.

И несмотря на свое обещание не слишком углубляться в технологические дебри, я все же должен хотя бы коротко рассказать вам об этих полезных инструментах.

Орудия труда

И

так, в первой главе я сообщал, что не буду подробно описывать инструменты, потому что они слишком быстро обновляются и меняются.

Однако даже среди них есть образцы стабильности. Например, было бы нечестно не упомянуть четыре инструмента, которые я неизменно использовал в работе на протяжении последних пяти-десяти лет. И хотя эти инструменты существуют уже давно, их интерфейс и функционал постоянно меняются и модифицируются. Я мог бы разобрать их актуальную на сегодня функцию, но к моменту публикации книги эта информация наверняка устареет. Так что лучше просто укажу сайты этих замечательных продуктов, где вы сможете найти необходимые руководства и узнать о самых горячих обновлениях. Обещаю провести для вас короткий, но необходимый для формирования полной картины экскурс.

SET

П

омню, как однажды в разговоре со своим добрым другом Дэвидом Кеннеди я поделился мечтой: найти инструмент, который позволил бы мне в ходе подготовки фишинга автоматически создавать зараженные файлы, собирать личные данные или клонировать любую веб-страницу. Дэйв тогда ответил: «Думаю, я могу его создать».

С момента нашего разговора не прошло и 24 часов, а у Дэвида уже был готов прототип. И с тех пор Дэйв занимается SET (Social Engineers Toolkit, или «Набором инструментов для социального инженера») так, словно это дело всей его жизни. Он регулярно выпускает обновления (иногда кажется, что буквально каждый день). За последнее время в SET появились такие встроенные функции, что на их фоне оригинальная идея кажется просто ничтожной. Этот поразительный инструмент был скачан больше 2 млн раз.

Скачать SET, а также изучить прилагающуюся к нему инструкцию можно на сайте https://www.trustedsec.com/social-engineer-toolkit-set/.

IntelTechniques

Э

то скорее не отдельный инструмент, а целый ряд эффективнейших поисковых систем, которые объединил в одну программу мой друг Майкл Баззелл.

Майкл — признанный эксперт сразу в нескольких областях, но двумя из них он буквально живет и дышит. Первая — это поиск людей в интернете. А вторая — умение прятаться от тех, кто ищет тебя в интернете. Именно Майкл посоветовал мне открывать компании-однодневки в Мексике, если я вздумаю что-либо покупать через Amazon: чтобы невозможно было проследить мои передвижения через операции по кредиткам.

Майкл собрал удивительную коллекцию инструментов для поиска буквально везде: в социальных сетях, по номерам телефонов, IP-адресам и с помощью реверсивного поиска изображений. Взять все эти инструменты можно на сайте https://inteltechniques.com/menu.html, и я советую вам задержаться на нем подольше, чтобы подробно все изучить.

FOCA

F

OCA — это аббревиатура от английского выражения Fingerprinting Organizations with Collected Archives (мощный инструмент для извлечения и анализа метаданных; поиск цифровых отпечатков организаций через коллективные архивы). Этот инструмент, тут же притянувший к себе внимание всего интернета, представила на конференции DEF CON 18 небольшая группа хакеров из Бразилии еще в 2010 году.

В всем мире до сих пор не появилось достойных аналогов FOCA. За последние годы проект переживал взлеты и падения. В какой-то момент я даже перестал им пользоваться, потому что казалось, будто его прекратили обновлять, а связаться с создателями не представлялось возможным (создавался инструмент не на основе открытых источников).

Но потом проект перешел в руки ребят из компании Eleven Paths. Они обновили программу и презентовали ее на своем сайте https://www.elevenpaths.com/labstools/foca/index.html. К сожалению, программа разработана только для Windows. Но даже если вы используете другую операционную систему, имеет смысл настроить виртуальную машину.

FOCA обрабатывает файлы и извлекает из них полезные метаданные поразительно быстро. В общем, настоятельно советую ознакомиться.

Maltego: праматерь

З

десь я рискую произвести впечатление, будто создатели Maltego подкупили меня, ну да ладно. Дело в том, что я просто обожаю этот инструмент. Правда. То, что сделали его разработчики из Paterva, встретишь не часто: они выпустили небольшую бесплатную версию (тоже, кстати, шикарную), а коммерческую версию продолжают постоянно обновлять, так что проект не стоит на месте, он развивается и остается полезным.

Так что же такое Maltego? Это инструмент для хранения и визуальной систематизации данных из онлайн-источников. С помощью Maltego можно отслеживать, анализировать и выявлять связи между информацией, поступившей из разных публичных источников.

Maltego существенно облегчает мой труд, пользоваться этой программой легко и приятно. Кроме того, разработчики сняли отличные тренировочные видео и составили обучающие курсы. И вишенка на торте: Maltego подходит для любых операционных систем.

Вы можете сами познакомиться с этим инструментом и скачать его с сайта Paterva: https://www.paterva.com/web7/downloads.php#tab-2. Рекомендую начать с версии Maltego Classic.

Резюме

Н

ет сомнений в том, что знания — сила. И нет лучшего способа, чем сбор данных из открытых источников, чтобы сформировать эти знания об объекте воздействия. Если вы будете следовать описанным в этой главе принципам, тренироваться и оттачивать перечисленные навыки, то научитесь находить в интернете даже мельчайшие крупицы важной информации.

Итак, представим, что вы собрали всю необходимую информацию из открытых источников, а затем аккуратнейшим образом ее систематизировали и задокументировали. Кажется, вы нашли все необходимое для определения вектора атаки. Пришло время перейти к подготовке легенды. Как анализировать собранные данные, чтобы найти в них главные индикаторы коммуникативного стиля объекта воздействия? Об этом поговорим в следующей главе.