Искусство обмана - Кристофер Хэднеги

В процессе пентеста социальный инженер должен помнить, что имперсонация предполагает взаимодействие со всеми органами чувств объекта. То есть если во время фишинга мы работаем только со зрением, а в вишинге — со слухом, то, перевоплощаясь в другого человека, нам приходится взаимодействовать со всеми органами чувств объекта (за исключением, пожалуй, вкусовых рецепторов).

Поэтому крайне важно планировать подобные проверки в соответствии с описанными ниже принципами и шагами.

Сбор информации — важная часть подготовки к заданию. Я часто прошу посетителей моих курсов назвать легенду, которая гарантирует получение доступа в помещение. Подумайте и вы, что бы это могло быть?

Многие предлагают изображать курьера службы доставки вроде UPS. Но вопросы, которые я задаю, заставляют их пересмотреть свое решение: «Отлично, а что потом? Вы часто видите представителей UPS, шныряющих по коридорам без присмотра? Обычно их перемещения по зданию заканчиваются в приемной или в канцелярии».

Сбор данных из открытых источников — основа создания правдоподобной легенды для имперсонации. В ходе одной операции я обнаружил, что из-за строительных работ, проводившихся неподалеку от интересовавшего меня здания, пауки вышли из зимней спячки раньше обычного. Жителей района это беспокоило: проблему даже освещали в местных новостях. Поэтому я выбрал легенду специалиста по борьбе с пауками. Сработало на ура.

Мы уже говорили о разработке легенды, когда обсуждали процесс сбора информации. Но поймите меня правильно: нельзя планировать легенду до проведения сбора данных из открытых источников. Кроме того, после выбора легенды нужно внимательно обдумать все детали: одежду, необходимые инструменты, внешний вид и т. п. Иногда бывает необходимо заранее привести одежду в состояние «бывшей в употреблении». Не упустите детали, которые добавят правдоподобности вашей легенде. Лучше перестраховаться.

Недавно мне с коллегой нужно было найти способ пробраться в несколько офисов одного банка. С помощью открытых источников я узнал, что этот банк только что прошел проверку на соответствие стандартам безопасности данных индустрии платежных карт (PCI compliance test). Мы узнали название проводившей ее компании, подделали их униформу, бейджи и визитки, благодаря чему без проблем прошли в центр проверки банкоматов. Там мы сумели получить доступ к двум компьютерам и даже к идентификационным данным других сотрудников, работавших по соседству.

Но, когда к нам подошел менеджер и попросил назвать наше контактное лицо из компании, мы растерялись. Я заранее об этом не подумал, и из-за такой вот мелочи нас поймали с поличным. Тем не менее к тому моменту мы уже почти полчаса провели в центре проверки банкоматов с неограниченным доступом к нескольким компьютерам и успели проникнуть в Сеть. Но если бы мы продумали и ту деталь, она могла бы обеспечить нам больше времени на территории и повлиять на исход операции.

Определившись с легендой, подробно сформулируйте, что вам нужно будет сделать после проникновения в здание. А также чего вам категорически нельзя делать. Можно ли вам устанавливать удаленное подключение? Подрывать работу сервера? Разрешено ли уносить из офиса какие-либо устройства? Не думайте, что факт вашей связи с заказчиком позволяет вам в роли «плохого парня» делать все что заблагорассудится. Такое заблуждение может дорого вам обойтись.

Поэтому ваша задача — спланировать атаку от начала и до конца, а затем убедиться, что у вас на руках есть все необходимые и заранее проверенные инструменты для достижения поставленных целей.

Когда же план будет готов, не забудьте получить от заказчика то самое письмо, которое позволит вам не угодить за решетку: в нем должны быть прописаны ваши задачи и полномочия. Старайтесь не упустить ничего.

Идеальная подготовка — залог идеального результата.

Самая важная часть любой операции — разъяснение заказчику подробностей проделанной работы и ее результатов. Также необходимо помочь клиенту определиться с направлением дальнейших действий. Прежде чем приступать к атаке, обязательно получите от клиента согласие на аудио- и видеосъемку. Если же вам его не дадут, продумайте, как будете собирать информацию для подготовки отчета.

Я всегда стараюсь представить любую атаку как своего рода историю — чтобы клиент видел, слышал и чувствовал происходящее. Чтобы он понял, что сработало и почему. Практика показывает: полезно хвалить клиентов за корректные действия сотрудников и быть скромнее в отношении собственных достижений.

Цель составления отчета — та же, что и у любого социально-инженерного взаимодействия: чтобы после прочтения отчета клиент почувствовал себя лучше, чем до него. А значит, мы не можем позволить себе хвалиться, стыдить кого-либо и уж тем более кого-то унижать.

Соблюдение этих принципов поможет выдержать нужное направление в процессе атаки. На мой взгляд, коллеги редко уделяют этому аспекту деятельности достаточно времени. Кроме того, я знаю, как часто возникают вопросы о том, какую именно информацию включать или не включать в отчеты. Ниже я приведу некоторые соображения о том, как поступать в случае получения конфиденциальной информации.

Хочу подчеркнуть: я не юрист, так что мои слова не нужно воспринимать как истину в последней инстанции. И уж точно стоит хотя бы раз проконсультироваться в таких вопросах с профильным специалистом.

При работе с клиентами мы в моей компании поступаем следующим образом:

• Еще до того, как приступить к проверке безопасности компании, мы изучаем законы штата и/или страны в отношении аудио- и видеосъемки.

• Получаем письменное согласие на оба типа записи от заказчика.

• Мы НИКОГДА не записываем речь человека без разрешения.

• И, даже получив разрешение, мы впоследствии «обезвреживаем» полученные записи: удаляем все имена, упоминания места работы и любые другие идентифицирующие собеседника слова.