Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 56
Проснулись. Еще Кевин Митник пользовался социальной инженерией больше, чем чистым хакингом.
Еще профессор Мориарти пользовался социальной инженерией больше, чем чистым грабежом, воровством или убийством;)
Немцы тоже в свое время проводили социальный инжиниринг — разбрасывали детские игрушки. В свистульку дунул — челюсть оторвало, наручные часы завел — рук нет. Выжили самые осторожные и послушные. Неестественный отбор работает и тут.
от отцов, что видели: и эти сверкающие глянцем красивые игрушки, и детей из тех кому повезло и оторвало всего лишь губы и нос. По слухам, из прельстившихся выживших было немного, да и выживших был недолгий век. Возможно и Борис Николаевичу не гранатой руку оторвало — иначе как объяснить что РГД-33 так тихо бахнула: самые тонкие пальцы у десятилетнего пацана, и больше ничего не задело, никто рядом тоже не пострадал
Это не самые страшные деяния немцев… Они каким только инжинирингом не занимались.
Насколько я помню он даже писал как позвонил хостеру, представился сотрудником компании N, и попросил пароль от сервера компании N.
Лучше поздно, чем насовсем. В любом случае, от этого сообщество только выиграет. Например, на сайте канадского Учреждения Безопасности Коммуникаций представлено внушительное количество довольно интересных документов, от исследований до руководств (здесь — Guidance), которые можно использовать в своей компании.
Проверка с раскиданными флешками и дисками — один из классических методов аудита безопасности уже несколько лет как.
В контексте сразу вспоминается недавняя статья про Stuxnet, где атака тоже начиналась с зараженного ноутбука подрядчика. Вот уж где синтез знания психологии и железа в остром кибероружии…
Правило 95% работает всегда:)
В контексте сразу вспоминается недавняя статья про Stuxnet, где атака тоже начиналась с зараженного ноутбука подрядчика. Вот уж где синтез знания психологии и железа в остром кибероружии…
Правило 95% работает всегда:)
Американцы вновь открыли Америку.
Человеческий фактор — бесконечная колыбель глупых, порой идиотских ошибок и поступков.
Странно, что документ выпускают не британские ученые
Капитан Очевидность — всегда прав.
А что плохого в том, что я подключу чужую флешку к своему компьютеру? Ну, худшее, что может быть — это пожгу USB-порт. Ну ядро на ошибки фс матюгнётся.
А что ещё?
А что ещё?
А если флешка заражена вредоносным ПО?
А у amarao стоит Linux — ему это не страшно.
Не панацея.
Если «флешка» является USB-хабом, в который воткнуты флешка, мышь и клавиатура, то можно разных дел наделать.
Если «флешка» является USB-хабом, в который воткнуты флешка, мышь и клавиатура, то можно разных дел наделать.
Ага, а если флешка не USB а FireWire — то она может просто считать всю оперативку и послать её на спутник :).
А если там нихром и петарда — то вообще взорваться может!
ithappens.ru/story/5385
ithappens.ru/story/5385
То каким образом это ПО запустится?
Или вы предполагаете, что я, найдя флешку, и увидев там что-то вида ./some_cool_porn.deb запущу её на установку?
… Или же речь идёт о том, что я запущу прямо исполняемый файл? ./some_cool_porn?
Что за бред.
Или вы предполагаете, что я, найдя флешку, и увидев там что-то вида ./some_cool_porn.deb запущу её на установку?
… Или же речь идёт о том, что я запущу прямо исполняемый файл? ./some_cool_porn?
Что за бред.
>То каким образом это ПО запустится?
usb очень хороший протокол.
никто немешает сделать прошивку для usb устройства, которая при подключении будет определяться, как клавиатура и слать сканкоды «alt-f2 /media/*/runporn.sh»
usb очень хороший протокол.
никто немешает сделать прошивку для usb устройства, которая при подключении будет определяться, как клавиатура и слать сканкоды «alt-f2 /media/*/runporn.sh»
Вы не запустите, а большинство офисных работников — запустят, если там будут Пляшущие свинки
Если вы работаете, к примеру, в DHS, или CIA, и у организации, подкинувшей «флешку» есть достоверные разведданные о типах и версиях установленных в вашей конторе ОС, то вы, вероятно, ничего себе не пожгете, а «флешка», будучи воткнутой в ваш компьютер для начала определит тип ОС, в которой оказалась, а затем применит соответствующую неопубликованную 0-day уязвимость в вашей ОС для установки «полезной нагрузки» а-ля Stuxnet. Как-то так.
2.6.39-2-amd64 #1 SMP Wed Jun 8 11:01:04 UTC 2011 x86_64 GNU/Linux
М… Я так и не понял, кто именно запустит код с уязвимостью. Допустим, лежит файл, кто его запускать-то будет?
М… Я так и не понял, кто именно запустит код с уязвимостью. Допустим, лежит файл, кто его запускать-то будет?
Я так думаю, что имелась в виду не простоая флешка, а целый компьютер внутри кортпуса флешки — благо такое возможно.
Этот компьютер будет отвечать на уровне USB протокола так чтобы используя 0-day уязвимость в драйверах Linux заставить исполнить произвольный код заражения.
Этот компьютер будет отвечать на уровне USB протокола так чтобы используя 0-day уязвимость в драйверах Linux заставить исполнить произвольный код заражения.
То есть вы полагаете, что в драйвере usb, scsi и mass-storage обязательно есть дырка? А если её нет? Трагедия?
Область атаки очень узкая получается.
Область атаки очень узкая получается.
не просто узкая, а сверх-узкая. Причём как по времени существования так и по окну применимости.
Есть 2 уровня ниже драйверов. BIOS. Чипсет.
биос? Чипсет? Каким образом с ними будет осуществляться взаимодействие при запущенной ос? (уточняю: каким образом программа в ППЗУ получит управление?)
Она уже получила управление. Задолго до старта ОС. И передает его ОС только на определенных условиях и на определенные промежутки времени. Если захочет.
Каким образом? Вот таким, например: www.rbcdaily.ru/2011/07/01/cnews/562949980556623 ))) И этот способ не единственный.
>То есть вы полагаете, что в драйвере usb, scsi и mass-storage обязательно есть дырка? А если её нет? Трагедия?
где-то всегда есть дырка. в каком-то поганом драйвере лампочки на usb-вебкамере найдется.
или еще лучше:
— ищем любую remote уязвимость в любой юзерспейсовой программе из штатного набора
— льем в usb устройство прошивку, которая изображает usb-cdc с сетевым интерфейсом
— суем туда же dhcp сервер
радостный network manager при обнаружении новой железки бегом бросается искать там dhcp, после все ремоут уязвимости могут быть проэксплуатированы.
а еще по тому же самому dhcp можно подсунуть левые роуты и вообще начинается праздник жизни.
где-то всегда есть дырка. в каком-то поганом драйвере лампочки на usb-вебкамере найдется.
или еще лучше:
— ищем любую remote уязвимость в любой юзерспейсовой программе из штатного набора
— льем в usb устройство прошивку, которая изображает usb-cdc с сетевым интерфейсом
— суем туда же dhcp сервер
радостный network manager при обнаружении новой железки бегом бросается искать там dhcp, после все ремоут уязвимости могут быть проэксплуатированы.
а еще по тому же самому dhcp можно подсунуть левые роуты и вообще начинается праздник жизни.
Вдобавок: «Если кто-то имеет физический доступ к вашему компьютеру — это уже не ваш компьютер.»
А если вспомнить ещё и про способность интеловской EFI при выключенном компьютере давать удаленный доступ по сети. то получается: «Если кто-то имеет физический доступ к вашей сети — это при определённых условиях может привести к тому что это уже не ваша сеть.»
А если вспомнить ещё и про способность интеловской EFI при выключенном компьютере давать удаленный доступ по сети. то получается: «Если кто-то имеет физический доступ к вашей сети — это при определённых условиях может привести к тому что это уже не ваша сеть.»
но всё-равно, как мне кажется, это узкая дырочка. А вот ниже упомянутые макровирусы, способные выбраться из песочницы своего контейнера — дырища.
>А если вспомнить ещё и про способность интеловской EFI при выключенном компьютере давать удаленный доступ по сети
щтоу?
щтоу?
Ну естественно при выключенном — кнопкой, а не обесточенном компе.
В EFI есть «модуль» для поддержки TCP/IP стека, а возможность удалённого управления «выключенным» компом даже была одной из маркетологовых заманух.
В EFI есть «модуль» для поддержки TCP/IP стека, а возможность удалённого управления «выключенным» компом даже была одной из маркетологовых заманух.
tcp/ip стэк можно куда угодно засунуть. практическая польза-то какая?
«Удалённый доступ „Администратора сети“».
К компу… даже выключенному сотрудником… конечно ради проведения регламентных или ремонтных работ…
К компу… даже выключенному сотрудником… конечно ради проведения регламентных или ремонтных работ…
ну а теперь с маркетингового на русский переведите, что это все-таки значит.
потенциальный сетевой бэкдор. по версии маркетологов им управляет админ, по версии специалистов — им управляет кто сможет.
Встраивается ли сейчас ВЕЗДЕ эта фича — не знаю.
Встраивается ли сейчас ВЕЗДЕ эта фича — не знаю.
>потенциальный сетевой бэкдор
это не бекдор а пример FUD и маркетоидного буллшита.
потомучто вообще непонятно как он активируется, кто к нему получает доступ (на каком основании) и какие вещи может делать.
это не бекдор а пример FUD и маркетоидного буллшита.
потомучто вообще непонятно как он активируется, кто к нему получает доступ (на каком основании) и какие вещи может делать.
Почитайте там, в конце концов.
ru.wikipedia.org/wiki/Extensible_Firmware_Interface
en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface
В зависимости от конфигурации может всё. Активируется и управляется админом: «By contrast, he said, UEFI has much better support for basic net protocols — which should mean that remote management is easier from the „bare metal“ upwards.»
ru.wikipedia.org/wiki/Extensible_Firmware_Interface
en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface
В зависимости от конфигурации может всё. Активируется и управляется админом: «By contrast, he said, UEFI has much better support for basic net protocols — which should mean that remote management is easier from the „bare metal“ upwards.»
08.03.2011 www.opennet.ru/opennews/art.shtml?num=29834
В USB-драйвере caiaq найдена уязвимость, позволяющая инициировать переполнение буфера и выполнение кода злоумышленника через подключение специально сконфигурированного USB-устройства к работающему под управлением Linux компьютеру. Используя данную уязвимость, злоумышленник может воспользоваться имеющимися в продаже недорогими программируемыми USB-платами для организации выполнения своего кода c правами ядра Linux в любой системе к USB-порту которой он может получить доступ.
Ага, спасибо.
Ок, теоретическая возможность показана. Теперь следующий момент — нужно попасть на нужную версию нужного ПО нужного человека. Всё-таки мне кажется, это слишком узкая область.
Ок, теоретическая возможность показана. Теперь следующий момент — нужно попасть на нужную версию нужного ПО нужного человека. Всё-таки мне кажется, это слишком узкая область.
Одно дело, когда ты — Неуловимый Джо, и самое ценное у тебя на винте — это архив откровенных фоток жены (девушки, друга — нужное подчеркнуть). А другое дело — если ты директор ЦРУ и у тебя на рабочем компе хранятся личные дела агентов-нелегалов. Тут специально для тебя в флэшку не то что микрокомпьютер а целый термоядерный реактор засунут.
Можно уточнить, почему в компьютер с данными агентов-нелегалов втыкается флешка?
Затем же, зачем и в компьютер, управляющий атомной станцией.
Ну а вообще — ценные данные могут быть не только у ЦРУшников. Простой главбух может периодически таскать домой отчеты на флэшке — чтобы дома досводить дебит с кредитом. А у него там на компе могут быть и базы 1С, и данные по клиентам, и ключи к клиент-банкам — вобщем золотое дно. А главбухи, особенно наши, российские, куда как менее трепетно относятся к ИБ.
Ну а вообще — ценные данные могут быть не только у ЦРУшников. Простой главбух может периодически таскать домой отчеты на флэшке — чтобы дома досводить дебит с кредитом. А у него там на компе могут быть и базы 1С, и данные по клиентам, и ключи к клиент-банкам — вобщем золотое дно. А главбухи, особенно наши, российские, куда как менее трепетно относятся к ИБ.
1) автозапуск
2) зараженные документы
кто удержится чтобы не кликнуть на
зарплаты_сотрудников_за_2011.doc
=)
2) зараженные документы
кто удержится чтобы не кликнуть на
зарплаты_сотрудников_за_2011.doc
=)
Кто запустит автозапуск? Не, я реально не понимаю.
доки я обычно strings'ом читаю — так быстрее.
доки я обычно strings'ом читаю — так быстрее.
Вы возможно, но сотрудники подобных гос организаций вряд ли пользуются линухом.
Сотрудники пользуются айпадами: lenta.ru/news/2011/04/15/six/ )))) И уязвимостей искать не надо )))
… и головой
все таки рассчитано на массовость
сколько в общей массе — народу — не фига не понимающих в комп.безопасности?
сколько в общей массе — народу — не фига не понимающих в комп.безопасности?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Наибольшая угроза — сотрудники компании