Sicness27 мар 2010 в 16:14

Социальная инженерия: «Дорожное яблоко»

4 мин

27K

Информационная безопасность *

+45

Комментарии 65

differentlocal 27 мар 2010 в 16:41

Человек, работающий за windows-машиной с включенным автораном CD, да еще толкающий в этот CD что не попадя — не достоин называться системным администратором. :)

gene4000 28 мар 2010 в 06:38

Недостоин, но называется. Сколько таких специалистов?

andoriyu 28 мар 2010 в 07:13

вы путаете системного администратора и эникейщика…

naum 28 мар 2010 в 11:30

Вы путаете специалиста и не специалиста…

gene4000 28 мар 2010 в 11:39

Думал, что заключив слово «специалист» в кавычки, я буду слишком прямолинеен.

TDz 27 мар 2010 в 16:41

Была такая шутка что при цене китайских флешек проще рассыпать их в холлах бизнесцентров чем рассылать спам

timoor 27 мар 2010 в 18:51

Когда автор стал описывать метод доставки яблока, я почемуто представил именно кучу флешек в разных местах организации.
Хотя практичнее было бы использовать целевого пользователя, заведомо любопытного.
Появление кучи флешек в одно и то же время в одном и том же месте вызовет подозрение, т.к. нашедшие нверняка могут оказаться из одного кабинета или обменятся информацией о находке в курилке/столовой

alienator 27 мар 2010 в 21:34

Да ладно. Это админы специально сливают такой метод, чтобы на флешках экономить :)

Goodkat 28 мар 2010 в 00:29

lleo использовал этот трюк в одной из своих книг :)

conturov 27 мар 2010 в 21:30

Пару лет назад кажется была такая история в европе. Массово находили инфицированные флешки.

Napolsky 27 мар 2010 в 22:27

так оно и правильно.
А вообще, приведенный в статье пример лишний раз подчеркивает, что в любой системе безопасности самым слабым звеном остается «человеческий фактор». Так что соц. инженерия еще долго будет рулить

Mid 28 мар 2010 в 09:04

собственно она будет рулить вечно :) И рулила всегда и везде, не обязательно в сфере высоких технологий, где угодно. Сходите на базар, там половина продавцов социнжинеры))

Usmekhaiouschiysia 28 мар 2010 в 14:51

Ничего страшного, рулить она будет только пока машины не поработят человечество.

Mid 29 мар 2010 в 13:05

т.е. вы считаете, что машину нельзя обмануть? Терминатора смотрели?

StrangeAttractor 28 мар 2010 в 13:27

Живу в Европе третий год. Ни разу не находил флэшки. Один мой друг нашёл, но не инфицированную (что удивительно, т.к. подавляющее большинство встречавшихся мне за эти годы флэшек юзеров инфицированы авторанами). Что я делаю не так? Хочу халявную инфицированную флэшку на 32 гига, обещаю что сразу вставлю такую в компьютер с автораном, XP и без антивируса :-)

НЛО прилетело и опубликовало эту надпись здесь

StrangeAttractor 29 мар 2010 в 01:39

Странный вывод. Вообще-то я не демонстрировал никакой логики т.к. не делал никаких заключений, просто констатировал факты что я такого не встрияал и что был бы рад.

Grady 27 мар 2010 в 21:30

ссылочка Ваша — не пашет!!!

alexsrdk 27 мар 2010 в 21:36

Что за наивная охрана? Приходит незнакомый человек, даёт непонятный диск и просит передать человеку. Даже после объяснений, что это безвредный эксперимент охрана должна была как минимум отказаться.
А вот вариант с подбрасыванием на подоконник мне понравился больше.

nekt 27 мар 2010 в 23:09

Зачем охране знать про это? Можно прийти и сказать что «Вот я такой хороший нашел диск. Передайте его пожалуйста в компанию А. Бо название этой компании написано на диске.»

Sicness 28 мар 2010 в 07:57

Говорю же, организация знакомая, со всеми людьми там в хороших отношениях ;)
В противном случае так бы не «шутил» )

Grady 27 мар 2010 в 21:37

да, идея эксперимента примерно ясна…
да! все не особо парятся над возможностью заражения с внешних носитетелей, ну и что??? интереса статья не вызвала.

Stmf 27 мар 2010 в 22:24

>>>По идее, кто бы ни нашел бы диск на территории организации из персонала, диск обязательно должен быть передан системному администратору для дальнейших разбирательств (на что и рассчитано).

Было бы интересно посмотреть на статистику, много ли таких перцев наберется. Уверен, что 100% нашедших опробуют сие чудо у себя на компьютере.

Vokabre 28 мар 2010 в 00:23

Я бы тоже опробовал, да и все мы, только не у всех перцев найдётся линукс либо виртуалка для экспериментов :)

НЛО прилетело и опубликовало эту надпись здесь

postoronim 27 мар 2010 в 22:26

Странно, что охранник, которому подсунули диск, вас не заломал и не отвел за угол интеллигентно подискутировать об искусстве :)

WasD 28 мар 2010 в 06:18

Почему странно?

AirLight 27 мар 2010 в 22:38

детсад, гыыы)))

pavlino 27 мар 2010 в 22:46

Эта ситуация чем-то напомнила сериал «Музыкальный блог Доктора Ужасного», в частности, гениальные планы главного «злодея»)

atomicxp 28 мар 2010 в 00:40

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Chamie 28 мар 2010 в 11:51

Что делает? Блокирует автораны?

atomicxp 28 мар 2010 в 12:13

Это содержимое noautorun.reg файла. После его запуска Windows не воспринимает авторановские файлы на чём бы они не были. Впрочем не смотря на это пользователю ничто не мешает запустить «Дорожное яблоко» вручную. И здесь уже надо контроль на запись в реестр и тому подобное, антивирусы это умеют. Однако опять же если пользователю нужна программа и ему не охота разбираться в сообщениях, он и дальше разрешит изменения.

НЛО прилетело и опубликовало эту надпись здесь

binom248 29 мар 2010 в 09:47

нормальный сисадмин:
1. включает показ расширений
2. пользуется файловыми менеджерами типа FAR, Total Commander и т.п.
3. ещё у него включен показ скрытых файлов
4. автозапуск чего-либо, естественно, отключен

НЛО прилетело и опубликовало эту надпись здесь

breadfan 29 мар 2010 в 12:55

у пользователя прав может не быть на запись

НЛО прилетело и опубликовало эту надпись здесь

StrangeAttractor 28 мар 2010 в 13:33

Очень хотелось бы так везде делать, но ведь юзеры тупые будут вставлять диски с презентациями как минимум и орать что не работает. Хотя орать в итоге всё равно будут мне, со временем может приучу. Заодно «парадокс системного админимтратора» немного подвинется — будут люди иногда ко мне обращаться. Спасибо за идею.

woopler 28 мар 2010 в 01:24

что за бред?

Marfapr 28 мар 2010 в 06:02

примерно так же я у друга интернет своровал… пришел к нему с дискеткой, сказал, что у меня винда просить какой-то там файл, можно, типа, у тебя его копирнуть. Кинул на дискету все .pwl файлы, дома их разобрал и сидел в инете за его счет

romx 28 мар 2010 в 06:29

Кажется вы этим еще и гордитесь.

Marfapr 28 мар 2010 в 06:30

конечно, гордится-то больше нечем

mephisto 28 мар 2010 в 08:22

И после этого вы можете называть себя его другом?

OmeZ 28 мар 2010 в 08:23

видимо после этого он называет себя матерым хакером )

Softovick 28 мар 2010 в 06:22

Похоже антивирусы нужны не только компьютерам…
По всей видимости скоро появятся услуги НЛП человека, для защиты от подобных явлений. Вот только как там будет с обновлениями, не понятно…

OmeZ 28 мар 2010 в 08:20

который убедит самого кулхацкера засунить CD к себе ж в комп )

alienator 28 мар 2010 в 12:04

Или засунуть CD к себе в ж

gene4000 28 мар 2010 в 06:29

Спасибо. Простая интересная идея. Удивительно как много людей оставляют комментарий «бред», видимо даже не попытавшись представить, как много зависит от человеческого фактора и каких масштабов могут быть проблемы, если этим фактором пренебрегать.

breadfan 29 мар 2010 в 12:57

в этом случае вину можно свалить на пользователя, кивнув на внутренние инструкции не приносить КД и не запускать вирус.jpg.exe

НЛО прилетело и опубликовало эту надпись здесь

egorinsk 28 мар 2010 в 10:07

Безопасный способ передачи сообщения — запускать программу, которая, в свою очередь запускает невидимый (задвинутый за экран например, или находящийся в отдельном виртуальном экране) Internet Explorer с адресом, в котором содержится информация. Наверняка то уж бразер в списке разрешенных программ.

Также информацию можно попробовать передавать через DNS вызовом gethostbyname() или запуском nslookup.

Также можно передавать информацию пингами, вызывая команду ping, она обычно в белом списке фаерволлов.

gag_fenix 28 мар 2010 в 11:59

Добрый самаритятнин нашел диск:

НЛО прилетело и опубликовало эту надпись здесь

nsinreal 29 мар 2010 в 14:34

Вы действительно думаете, что такому человеку не хватит глупости запустить скрипт под рутом?

НЛО прилетело и опубликовало эту надпись здесь

Sicness 29 мар 2010 в 19:00

Можно попытаться соблазнить чувака на запуск и под рутом. Например оформив в виде deb пакета типа рульный скринсейвер или подобную приятность. И на значительный процент людей сработает.

НЛО прилетело и опубликовало эту надпись здесь

Sicness 29 мар 2010 в 19:26

Я думаю deb пакеты все же _устанавливаются_ от рута.
И думаю что не редко люди позволяют на свою рабочую машину ставить всякую фигню.
Да я и не только о сис админах. Статья так же справедлива для смертных :)

Sicness 29 мар 2010 в 18:58

Позвольте :)
В том яблоке программа работала в пользовательском окружении. То есть, для шутки под Linux далеко не обязательно иметь рута ;)
Не приятно шутить и автозапускаться для пользователя вполне можно и от прав пользователя.

НЛО прилетело и опубликовало эту надпись здесь

Sicness 30 мар 2010 в 06:27

> равильный *ксоид собирает все из сырцов и не запускает левые непонятные бинари =))
Это не совпадает принципам убунтологии (я говорил о deb пакетах). Там этого делать не желательно. А это самый популярный дистрибутив на сегодня. Они не правильные *ксойды?

НЛО прилетело и опубликовало эту надпись здесь

ATimofeev 28 мар 2010 в 17:43

А что, когда два года назад заметку в журнал Х не взяли вы решили, что со временем она станет полезнее и умнее?

breadfan 29 мар 2010 в 12:58

Выживают только параноики: О)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий