Комментарии 11
>Через секунду она расстроится, удивится или ничего не поймет, но это будет совершенно неважно, потому что хакеры уже начали продвижение вглубь внутренней сети вашей компании и этот процесс необратим.
Ужасы какие-то рассказываете, ей-богу.
Блокировка бинарей с флешек включается одной галкой в любом более-менее корпоративном антивирусе. Блокировка бинарей в пользовательских профилях - чуть затейливей, но в целом тоже минут на 10 задачка. А дальше корень ФС отключается на запись для непривилегированых пользователей (кто вообще это выдумал-то), и у пользователя просто не остаётся возможности выполнить что-то, что он сам записал к себе на диск.
Ну и вообще "необратимый процесс" внедрения с непривилегированным токеном - это только в очень кривых руках он будет необратимым. По уму даже сбежавшие креды саппорта не должны быть чем-то необратимым.
А дальше корень ФС отключается на запись для непривилегированых пользователей (кто вообще это выдумал-то), и у пользователя просто не остаётся возможности выполнить что-то, что он сам записал к себе на диск.
Ну надо бы еще запрет на запуск программ из пользовательского профиля. А вообще статьи, по умолчанию подразумевающие, что в корпоративной среде все сидят исключительно на Windows, - это временно :)
99,9% российских секретарш под властью эмоций и любопытства вставляют флешку в компьютер
Это какая-то очень древняя информация :)
Так как даже 17-летняя лаборантка на кафедре точно не сделает этого, потому как в еще в школе ей рассказали про то, что это делать «низзя» (если и не учителя — то товарищи/подруги)
И вообще, использование флешек для переноса данных как-то уходит в прошлое, причем, по моим наблюдениям, флешками продолжат пользоваться исключительно старые, видавшие всякое и поэтому сильно продвинутые пользователи (и админы :)
По ощущениям, не стоит-таки говорить за всех 17-летних лаборанток, но есть надежды, что ситуация сильно лучше, чем автор поста написал. Но и далеко-далеко не идеальная. Как мне кажется, суть статьи в том, что методы социнженерии довольно обширны: флешки "случайно" оставляют в кафе (если, напр., атакуемая компания сидит в БЦ) с наклейками на них с надписью компании, их приносят на переговоры и отдают "с презентацией", дарят (в надежде когда-нибудь, вероятно, найти на них корп данные) и т.д. Таких способов можно, наверное, не одну и не две сотни придумать. А дальше - дело техники. И да, неверное говорить, что "чем крупнее компания, тем у нее все сильно лучше с ИБ". Есть масса случаев, когда провалы на местах ну настолько банальные, детские и от того дикие, что только остается диву даваться. Хотя, казалось бы, и бумажек тонна написана, и профили злоумышленников / модели атак зафиксированы и даже ФСТЭК вроде как пройден...
По ощущениям, не стоит-таки говорить за всех 17-летних лаборанток,
В статье названа цифра 99,9% По факту — это и есть «за всех» :)
Лаборанток же я перевидал множество, причем большей частью это были гуманитарии по образованию.
Но, тем не менее — поколение сменилось и старые стереотипы больше не работают.
Кстати, второй подобный стереотип относится к людям старшего возраста.
Там тоже сменилось поколение и нынешние 60-70 летние довольно неплохо «секут» в вопросах ИБ.
оставляют в кафе (если, напр., атакуемая компания сидит в БЦ) с наклейками на них с надписью компании, их приносят на переговоры и отдают «с презентацией», дарят
Утерянные флешки обычно возвращают администрации кафе, так как в наше время опасение узнать лишнее уже превалирует перед желанием халявы.
Тем более что подставе с бросанием кошелька под ноги прохожего уже лет сто (если не намного больше) и все люди, которых есть смысл «атаковать» — уже давно в курсе подобных методов.
приносят на переговоры и отдают «с презентацией»
Уже сам факт такого подарка в наше облачное время вызывает подозрения.
Максимум, вставят в специальный комп для показа презентаций в переговорке (не подключенный ни к чему более, кроме проектора, и то — подключенный к проектору через VGA -вход :)
Есть масса случаев, когда провалы на местах ну настолько банальные, детские и от того дикие, что только остается диву даваться
Вот как раз конкретный рассказ о таких конкретных случаях и был бы очень ценным.
в двух частях ГИБ писали примерно об этом. Ссылка на первую часть (в конце статьи переход на вторую):
Ссылка на первую часть
«Любопытные сотрудники фармкомпании начали вставлять USB-накопители в свои рабочие ПК»
Конкретный рассказ не должен упоминать название фармкомпании, но должен включать информацию о том, в каком примерно году это происходило.
Когда исполнитель пришел в офис, на посту охраны ему сказали, что на него не заказан временный пропуск. Он показал фотографии письма, охрана позвонила в компанию и сообщила о «кандидате». Затем, после непродолжительного разговора со спустившейся сотрудницей отдела кадров, оказалось, что найденный на LinkedIn HR специалист не работает уже около двух лет. Пришлось сослаться на какую-то ошибку на сайте или в почте и вежливо попрощаться.
О, это вам крупно повезло. Попробуйте таким макаром попасть на военный завод :)
Парень работал в компании уже месяц, а в офисе был всего три раза, поэтому ничем помочь начинающему “клинеру” не смог.
Или просто счел ваши вопросы подозрительными и на контакт не пошел.
С ней можно было долго разговаривать, так как посетителей все равно не было.
Да. Именно что с «ней» :) Ну так от завстоловой по первому разу ничего особенного не требуется.
Зато, в случае чего-то, именно она первой вспомнит об этом разговоре… (а до этого еще и подругам расскажет)
если говорить про места общения с сотрудниками, то лучше всего для этого подходят курилки:
1981 год, учебка, курсанты — будущие рядовые, даже не сержанты.
Инструктаж: в курилке быть особенно бдительными, на важные темы не трепаться.
(потом в своем личном деле прочел характеристику — «умеет хранить военную тайну».
Стало быть, в курилках были «засланные казачки»)
Но где находятся входы и выходы, какие лестницы ведут на нужный этаж и как добраться до грузового лифта
Забавный план на приведенном фото — в нем без «поллитры» не разобраться. Это точно реальный план? По идее, он должен быть таким до первого пожарного инспектора :)
В разведке все средства хороши — комбинируйте онлайн с офлайном и пишите свои идеи в комментариях!
В юном возрасте мои сверстники через дыру в бетонном трехметровом заборе проникали на территорию склада с сельхозтехникой (оптовый склад с отдельной ж/д станцией), дырка же в заборе была со стороны школьного двора и кроме пацанов о ней никто не знал.
Целью были «крылья» от какой-то техники, оторвав которое можно было получить отличный девайс для катания с горки (отличная горка тоже была :)
Мне тоже хотелось получить такие крутые санки (слово «боб» (бобслей) было бы точнее) — но меня тормозило хорошее воспитание (не воровать!).
Закончилось все печально — с началом нового зимнего сезона буквально все юные «пентестеры» были выловлены и переданы в детскую комнату милиции, с возмещением ущерба родителями.
С тех пор я не доверяю спящим вахтерам, равно как и охранникам, якобы тупящим в мобилу :)
Первоочередная цель не рассказать что-то интересное, а прорекламировать себя.
Представим, что мы пишем книгу о промышленном шпионаже, которую надо будет продать этому очаровательному юноше с фотоматериалов к данной статье. В нагрузку ему ещё и сериал надо будет сунуть. Успешно это представив, мы производим опрос заказчиков RT, которые охотно делятся с нами своими капиталистическими болями, основанными на недокументированных возможностях мира промышленного шпионажа.
Написав загрузчик ментального вируса, мы немедленно делаем вид, что это просто шутка, и уходим из проекта на несколько столетий, чтобы вернуться к жатве. Однако выясняется, что за это время вирус мутировал и присоединился к основному генетическому массиву компании, поэтому первоначальный план атаки требуется модифицировать, т.к. простое нажатие на кнопку не работает. Но сам участок генетического кода нам известен, ведь мы же всё-таки его автор.
Разумеется, заказчики RT хотят, чтобы таких драматических поворотов в сюжете не было, и поэтому боязливо сидят по офшорам, утверждая в качестве экономической безопасности МСФО и SSL того самого сайта-стенгазеты.
Продать третий абзац элементарно, а второй практически невозможно.
Red team по-русски: как тренировать киберзащиту в новых реалиях