Искусство обмана - Кристофер Хэднеги

Понятное дело, многие из этих камер специально размещались для ведения публичных онлайн-трансляций. Например, некоторые из них установлены на дорогах, побережьях и т. п. Можно также найти камеры, явно установленные для личного использования, в частных дворах и домах. Так вот, если такая камера не окажется должным образом защищена, человек, обладающий определенным набором навыков, сможет подключиться к ней и наблюдать за вами — и вы об этом даже не узнаете.

Обычно, когда я добираюсь до этой части повествования, слушатели испытывают нечто среднее между ужасом и любопытством и хотят узнать, что еще можно найти с помощью Google. Я не собираюсь перечислять все проведенные мной «поисковые операции», но могу привести примеры информации, которую обнаружил, пользуясь исключительно Google-поиском.

• Веб-камера парня, который следил за ростом марихуаны на его домашней плантации.

• Личные фото людей с их телефонов.

• Расшаренные папки с музыкой и фильмами.

• Документы с паролями, датами рождения и номерами социального страхования.

• Тысячи номеров кредитных карт, сохраненных в файлах.

• Полностью открытые базы данных SQL.

• Открытый доступ к камерам, установленным на дорогах.

• Открытый доступ к системам энергоснабжения и управления.

• Несколько мест, где можно было найти детскую порнографию.

Этот список можно продолжать и продолжать.

Этот раздел тоже можно было бы превратить в отдельную книгу. Но, прежде чем мы двинемся дальше и перейдем к следующей главе, необходимо упомянуть еще два важных аспекта.

Когда я был маленьким, мне жутко хотелось иметь робота. Мне казалось, что R2D2 стал бы для меня лучшим другом, если бы я мог его где-нибудь достать. Но сейчас речь пойдет о других роботах. А точнее, о файлах robots.txt.

Что же это за файлы такие? Владельцы сайтов используют их, чтобы сообщать веб-паукам, куда тем запрещен путь. Например, в файлах robots.txt нередко встречаются команды Disallow («запретить»), не позволяющие роботу занести папку в кэш. Например, на илл. 2.20 изображен такой файл для сайта https://www.whitehouse.gov/.

А теперь представьте на секундочку, что вы — социальный инженер. Что вы видите на илл. 2.20?

А видите вы не только список существующих папок, но также и в какие из них вас не хотят пускать — то есть какие не должны быть проиндексированы в Google.

Кроме того, файлы вроде mysql и pgpsql указывают технологии, использовавшиеся для создания сайта.

Так вот, если бы объектом атаки был этот сайт (а это не так, повторяю: это не так), мы бы прошлись по каждой из перечисленных папок и проверили их на наличие уязвимостей, позволяющих проникнуть в них без авторизации. Мы бы проверили, насколько эти системные журналы и файлы доступны, нет ли ошибок в настройке серверов.

Было дело, я работал на одну компанию средних размеров. Редко когда слышишь от заказчика: «Делай все, что сможешь, и посмотрим, что у тебя получится, атакуй на полную». Но это был как раз такой случай. Я начал с открытых источников и поиска в Google. Нашел файлы robots.txt, содержащие команду Disallow в папке под названием admin.

Просто ради галочки я набрал www.company.com/admin и тут же разинул рот от удивления: без какой бы то ни было проверки мне дали к ней доступ! В папке хранились приватные файлы гендиректора компании. Судя по всему, он использовал ее, чтобы расшаривать документы, которые могли понадобиться ему в командировках. Там хранились контракты, банковские данные, фотография его паспорта и множество других данных, которые не должны быть доступны никому.

Я нашел контракт, подписанный всего несколько дней назад. Купил доменное имя (оно на два символа отличалась от названия реальной компании, с которой был заключен договор) и создал почтовый ящик на имя человека, который его подписал. А затем послал на адрес гендиректора письмо с прикрепленным зараженным файлом. «Прошу прощения, что делаю это уже после подписания контракта, но возник вопрос по п. 14.1а. Взгляните, пожалуйста, еще раз. Буду ждать ответа!» — было написано в моем письме.

Буквально через 15 минут генеральный директор открыл письмо и приложенный к нему файл. Затем написал на фальшивый адрес, что контракт никак не открывается. Пентест[11], на который должна была уйти минимум неделя, успешно завершился буквально через три часа.

Я позвонил гендиректору, и содержание нашей беседы было примерно следующим:

Я: Здравствуйте, Пол. Это Крис из компании Social-Engineer. Я хотел бы обсудить с вами пентест…

ГЕНДИРЕКТОР: Ха! Уже сдаетесь? Я же говорил, наша компания — крепкий орешек!

Я: Не совсем так, Пол. Дело в том, что в данный момент в моем распоряжении есть ваши паспортные данные, дата рождения, номера кредитных карт, доступ к банкам и удаленный доступ c полномочиями сисадмина. Я хотел уточнить: этого достаточно или вы хотите, чтобы я поработал еще неделю?

ГЕНДИРЕКТОР: Да ладно, я вам не верю! Вы ведь всего пару часов назад приступили! Скажите, какой идиот купился и дал вам удаленный доступ? Мне нужно сказать ему пару ласковых.

Я: Знаете, Пол… (Я запнулся, не зная, уместное ли сейчас время для шуток, а одна, весьма удачная, уже вертелась у меня в голове.) Я бы обошелся с ним помягче, он вообще-то хороший парень.

ГЕНДИРЕКТОР: Мда? И кто же это?

Я: Пол, это вы.

Тут я подробно пересказал ему свои действия, и он быстро все понял. Так что этот пентест был во многом обязан успехом файлу robots.txt и неправильно размещенной папке.

Оксфордский словарь гласит, что приставка «мета» позволяет описывать «отсылку к себе или к общепринятым нормам типа „самореферентность“». То есть метаданные — это в буквальном смысле данные о данных. Отдает фильмом «Начало», вам не кажется?