Когда нужно задуматься об обработке видео

В

 ходе одной проверки я, как обычно, записывал происходящее на камеру, спрятанную в планшете. Старательно избегая столкновения с охраной, пробрался в серверную и вдруг наткнулся на пару, которая занималась… не тем, чем принято заниматься на рабочем месте. (Да, да, сексом, если вы до сих пор не догадались.) Это неожиданное столкновение на секунду выбило меня из роли социального инженера: парочка злобно накричала на меня, и я в смятении выбежал из помещения. Лишь позже я понял, что из-за непрофессионального поведения этих влюбленных в моем распоряжении оказалась почти минутная запись полового акта. Очевидно, такую информацию отправлять клиенту не стоило — так что мне пришлось думать, что теперь с ней делать.

Клиент заплатил мне за проверку безопасности компании, сети и сотрудников немалые деньги, а действо, свидетелем которого я невольно стал, было грубым нарушением политики компании. Причем один из этой парочки мог и вовсе оказаться злоумышленником, использующим соблазнение как метод манипуляции. Значит, я все-таки должен был сообщить руководству об этом инциденте, который потенциально мог привести ко взлому систем.

 

СОВЕТ ПРОФИ

В шпионском мире специалиста, который внедряется в коллектив с целью соблазнения одного из сотрудников и получения от него конфиденциальной информации, называют «медовым горшочком» (honeypot). Такое же прозвище присваивают и системе (компьютеру), которую используют для сбора данных у ничего не подозревающих пользователей.

 

Итак, решение было принято. В итоге мужчину — участника событий уволили. Почему не его подругу? Оказалось, что она в компании даже не работала: сотрудник просто провел в серверную совершенно постороннюю женщину и предался там с ней забавам, которые уместны дома или в номере отеля — но никак не на рабочем месте.

Только вам решать, какие из добытых записей в итоге удалять, а какие — нет. Обычно я провожу «чистку», когда человек на записи не совершает ничего противозаконного или нарушающего политику компании: он просто попал в социально-инженерную ловушку, не имея при этом злых намерений. Как я уже говорил, целью своей работы я вижу обеспечение безопасности, а не увольнение людей.

Тем не менее если я обнаруживаю сотрудников, которые смотрят на работе порнографию, занимаются сексом, получают несанкционированный доступ к данным или, не дай бог, каким бы то ни было образом нарушают права детей, рассчитывать на снисхождение с моей стороны им не стоит.

Закупка оборудования

Н

айти «шпионское оборудование» можно в самых разных местах[17]: от Amazon до специализированных магазинов (один из моих любимых — https://spyassociates.com). Выбирай — не хочу. Нужно помнить, что класс оборудования обычно соответствует его цене. Встроенная в пишущую ручку камера за $25 будет давать пикселизованное и дрожащее изображение, а вот имитирующая пуговицу камера, за $600 с функцией записи на DVR, конечно, выдаст совсем иное качество материала.

Поэтому я рекомендую внимательно изучать отзывы и информацию о товаре перед покупкой. Лично я всегда:

• уточняю условия возврата товара, чтобы не пришлось высылать его в другую страну в случае поломки;

• читаю отзывы как о конкретном продукте, так и о компании-производителе, чтобы не зря тратить деньги.

 

ОБРАТИТЕ ВНИМАНИЕ

Скорее всего, вам придется хорошенько поднапрячься с поиском удачных ракурсов для съемки, прежде чем это станет получаться автоматически. Поэтому для упрощения задачи я рекомендую использовать одновременно несколько камер. Какая-то из них точно снимет то, что надо.

Имперсонация: резюме

В

оплощение этого вектора атаки на практике весьма облегчает грамотное планирование. Помните: взломом помещений и прочим редтимингом социальные инженеры не занимаются, а значит, вам надо заранее сформировать представление о системе обеспечения физической безопасности на объекте.

Каждый СИ-пентестер должен четко представлять себе масштаб действий, необходимых для достижения поставленных клиентом целей. Особенно это касается составления раздела отчета, в котором будут описаны способы решения выявленных проблем. Этот раздел будет полезен клиенту лишь в том случае, если вы поймете и опишете не только «что» сработало, но и «почему».

В последнее время все чаще появляются новости о подрывах системы безопасности с использованием зараженных флешек и специальных устройств. Поэтому профессиональный СИ-пентестер просто обязан освоить имперсонацию и предлагать клиентам этот вектор атаки.

Составление отчета

К

огда я только начинал свой профессиональный путь социального инженера, мне поступил заказ: протестировать возможность проникновения на семи складах одной компании. Я справился с задачей на 100 %. На один из складов я даже пробрался дважды, в один и тот же день, использовав разные легенды.

Успех меня окрылил. Я собрал все записи и приготовился отчитаться перед клиентом. Руководитель проекта сказал, что нужно написать отчет, и выслал шаблон документа, в котором было несколько заголовков.

Мне кажется, я сидел, уставившись на эти пустые страницы, несколько часов. Потом начал составлять отчет: что-то писал, удалял, снова пытался начать. Я корпел над документом несколько дней, а когда закончил, был уверен, что создал настоящее произведение искусства.

Мне так и представлялись восторги клиента: как его команда прочтет отчет, восхитится и, когда я приду к ним в офис, под ноги мне в знак признательности полетят розовые лепестки. В таком вдохновленном настроении я отправил документ заказчику и стал ждать похвалы.

Через день зазвонил телефон, и я услышал примерно следующее (имейте в виду, здесь, в книге, я привожу смягченные формулировки):

«Крис, что за вонючую кучу мусора я от тебя получил? Это шутка какая-то? Ты что, тут самый главный весельчак? Неужели ты всерьез думаешь, что такой отчет кто-то примет? Доведи его до ума сейчас же!»

Отчет, который он мне прислал на доработку, был испещрен разноцветными исправлениями и комментариями. Казалось, ни один абзац не избежал редактуры.

На внесение исправлений у меня ушло две недели. Этот отчет смело можно назвать самым неудачным за всю мою СИ-карьеру. Но в то же время он меня многому научил. Я понял, как должен выглядеть хороший отчет и как его нужно готовить. Первая версия моего «шедевра» была посвящена тому, какой я крутой Джеймс Бонд. Который тем не менее забыл упомянуть целый ряд крайне важных для клиента подробностей.

Мне не хочется превращать эту главу в конспект семинара по подготовке отчетов. Но все же несколько основополагающих принципов я назову.

Профессионализм

П

рофессионализмом называется умение действовать в соответствии с профессиональными нормами. Возьмем, к примеру, врача: направляясь к нему, вы рассчитываете на его профессионализм. Но только представьте ситуацию: вы входите в кабинет доктора, а он восклицает: «Матерь божья, чем же питается этот огромный кит?!» Затем он хлопает вас по плечу и улыбаясь заверяет, что это «просто шутка».

Думаю, мало кому понравилось бы такое обращение. Вот и наши клиенты тоже не хотят слышать фразочки типа: «Как я вас обдурил!», «Представляете, он действительно додумался опубликовать эту информацию!» или «Теперь все ваши склады принадлежат нам» (последнюю фразу я, к сожалению, не выдумал, а позаимствовал из горького личного опыта).

Всегда нужно помнить: отчет прочитают многие люди, и больше всего конструктивных изменений произойдет, если при чтении они не будут чувствовать себя пристыженными или униженными. Стиль изложения, подбор выразительных определений и грамотное представление фактов — вот что поможет вам продемонстрировать свой профессионализм.

Правописание и грамматика

П

равописание и грамматика — две мои любимые мозоли. Вектор атаки, не аттаки. Раппорт, а не раппорп. Короче, вы понимаете. Всегда нужно найти время на то, чтобы проверить грамотность ваших отчетов. А еще лучше — отдать их на проверку человеку, профессионализму которого доверяете.

Впрочем, ошибки могут оставаться в документах даже после неоднократных проверок. Бывает. Не нужно стремиться к совершенству, но и отсылать совершенно непроверенный текст тоже не стоит — иначе клиент подумает, что вы относитесь к работе спустя рукава.

Все подробности

Н

екоторые знакомые мне пентестеры предпочитают исключать из отчетов подробности: как именно они организовали сбор данных из открытых источников, какой была цепочка Google-поиска и т. п. Им кажется, что, получив такую информацию, клиент больше не станет обращаться к ним за услугами, потому что все будет знать сам.

На мой взгляд, это просто глупо. Впрочем, то же самое я не раз слышал и о своей книге «Темные воды фишинга», в которой были подробнейшим образом описаны методы и процессы создания фишинговых программ. Но эффект от книги получился прямо противоположным: компании использовали ее для разработки программ информирования сотрудников по вопросам фишинга, а в процессе обращались ко мне за помощью.

Поэтому я уверен: не стоит переживать, что клиенты получат от вас слишком много информации. Большинство заказчиков оценят ваши знания и находки. И наверняка захотят снова обратиться к человеку, который настолько уверен в себе как в профессионале, что не боится раскрыть свои карты.

В то же время, если вы наткнетесь на информацию, не предназначенную для распространения, имеет смысл обсудить с вашим контактным лицом в компании дальнейшие действия по ее представлению или не-представлению в отчете.

Защита

О

писание действий, необходимых для защиты от будущих атак и от выявленных проблем, можно назвать, пожалуй, одной из важнейших частей отчета — хотя о ней говорят незаслуженно редко. Подумайте сами: как вы отнесетесь к ситуации, когда доктор, сообщив об опасной болезни, желает вам удачи и выходит из кабинета со словами: «Увидимся на следующем приеме… надеюсь»? Вот и с клиентами так себя не ведите. Предлагайте им конкретные шаги, которые можно будет предпринять для разрешения выявленных проблем.

Если же вы предложите банальности или чушь, что это даст клиенту? Предположим, в ходе проверки нежелательные действия совершили 80 % сотрудников, подвергшихся вишингу. Как думаете, какие рекомендации по минимизации нежелательных последствий окажутся полезнее для клиента?

 

• 1-й вариант

Социальный инженер рекомендует продолжать проводить тесты и поощрять правильную реакцию на вишинг.

• 2-й вариант

По результатам анализа кампании социальный инженер рекомендует в процессе информирования сотрудников сделать упор на следующие аспекты:

• При использовании одних и тех же легенд женщины-пентестеры добивались большего успеха, чем мужчины. Возможно, стоит подробнее рассказывать сотрудникам о механизмах извлечения информации, действующих независимо от пола звонящего.

• Когда пентестер называл выдуманное имя, лишь 12 % сотрудников попытались его проверить. Еще меньшее количество людей решили не раскрывать информацию после того, как завершить проверку не удалось. Таким образом, очевидно, что необходимо информировать сотрудников о возможных последствиях игнорирования этой меры предосторожности.

При желании мы можем созвониться и обсудить перспективы воплощения этих рекомендаций по мере продолжения тестирования.

 

Второй вариант лучше, это очевидно. Но слишком часто заказчики вместо практических рекомендаций получают явно сформулированные «для галочки» идеи, которые невозможно воплотить в реальной жизни (к сожалению, и моя команда этим тоже иногда грешила).

И хотя я работаю в СИ уже много лет, все равно постоянно себе напоминаю, что нужно выкладываться для каждого клиента на 100 %. В противном случае есть риск стать слишком самонадеянным.

Следующие шаги

Ч

асто, даже получив представление о конкретных мерах защиты, клиенты задаются вопросом: «И что дальше?» Поэтому в финальной части любого отчета крайне важно прописать вероятные шаги, которые предпримет заказчик. Это поможет ему понять, что делать и чего ожидать в будущем.

Конечно, не нужно просто писать: «Увидимся на следующем пентесте». В данном случае стоит руководствоваться принципами, которые я описывал в предыдущем подразделе. Отвечайте на этот вопрос настолько подробно, чтобы в руках у клиента оказались средства, необходимые для дальнейших изменений.

Со многими клиентами у нас заключены договоры на проведение ежемесячных проектов. Но даже это я не считаю поводом расслабляться. Постоянным клиентам тоже хочется вовремя узнавать, нужно ли что-то менять в программах информирования сотрудников, расширять их или адаптировать.

Планомерное выполнение всех описанных шагов поможет вам писать по-настоящему хорошие отчеты, которые принесут клиентам пользу и удовлетворение.

Вопросы СИ-пентестеру

В

 завершение этой главы я хочу ответить на те вопросы о социальной инженерии в пентестинге, которые мне чаще всего задают. Конечно, осветить все нюансы у меня не получится, поэтому я остановлюсь лишь на самых актуальных. Надеюсь, информация окажется полезной как для состоявшихся социальных инженеров, так и для тех, кто только ступил на этот путь.

Как найти заказчиков?

П

ожалуй, по популярности это вопрос № 1. Итак, вы решили, что социальная инженерия — ваш путь. Что делать дальше? Нужно с чего-то начинать, а с чего — непонятно. Часто в социальную инженерию приходят люди, строившие карьеру в других областях. Предположим, на протяжении 10 лет вы развивались в совершенно другой сфере, набирали навыки и опыт, ваша зарплата тоже постепенно росла. Если же вы решите поменять специальность, вам придется увеличивать с условного нуля не только знания, но и зарплату. Поэтому надо быть готовым к тому, чтобы:

• выйти из зоны комфорта;

• начать с малого;

• осваивать неизвестные навыки;

• поначалу получать меньшую зарплату.

Если вы на все это готовы, можете смело начинать карьеру в социальной инженерии. Но (вечно попадаются эти противные но и все портят, да?) не стоит ждать, что компании, уже занявшие свое место на рынке, сами будут выходить с вами на связь и предлагать заказы. Социальных инженеров пока не так много, но вам все равно придется продемонстрировать свои конкурентные преимущества по сравнению с другими кандидатами. А для этого надо приложить усилия.

 

ОБРАТИТЕ ВНИМАНИЕ

Не забывайте, что профессиональные социальные инженеры занимаются не только получением доступа в здания банков или сбором данных с помощью фишинга. Большая часть нашей работы происходит в офисе, и существенная доля времени уходит на составление отчетов. Для профессионала социальная инженерия — это не просто умение находить общий язык с окружающими, быстро соображать или не теряться под давлением обстоятельств. Это серьезная работа.

Подумайте, какая из этих сфер может стать вашей слабой стороной:

• извлечение информации;

• умение убалтывать собеседника;

• высокая скорость мышления;

• умение писать хорошие отчеты;

• профессиональный жаргон.

Нужно учиться видеть свои слабости. Только тогда вы сумеете от них избавиться.

Если будет возможность, перейдите по ссылке https://youtu.be/RGnzf66-a4A и посмотрите мое выступление на конференции DerbyCon7, посвященное этой теме. (Сразу предупреждаю: начинается оно с пранка моего друга Дейва Кеннеди, но потом мы быстро переходим к заявленной теме.)