В этом тексте не будет технических подробностей, рассказов про вредоносный или полезный код – мы предупредили. Это почти даже не про компьютеры. И тем очевиднее отличие «отечественное» понимание пентеста от американского: в США все чаще к тестам на проникновение привлекают не хакеров, а социальных инженеров.
Об этом история Дженни Редклифф (Jenny Radcliffe) – девушки без навыков программирования, зато с даром убеждения, который подарил ей славу «взломщицы человеческих голов». Портал Darknet Diares выложил с ней интервью, а мы заинтересовались и делимся с вами переводом.
Сегодня Дженни – востребованный подрядчик крупных ИБ-компаний, которые ищут уязвимости не только в ИТ-инфраструктуре, но и в персонале. Со стороны кажется, что работа социального инженера простая – заговаривать людям зубы. В реальности это рискованная работа, со стороны похожая на грабеж. Поэтому на заре своей карьеры Дженни никому не рассказывала, чем занимается.
Когда я вырасту и стану суперменом
На непростой путь пентеста Дженни толкнул случай в детстве: когда ей было 10, она забралась в дом к соседу, а тот ее запер. Девочка твердо решила, что если ей удастся выбраться из этой передряги, то она – настоящий супергерой и будет заниматься в жизни чем-то супергеройским.
Взрослея, Дженни «прокачивала» навыки проникновения в здания под руководством своих хулиганистых кузенов. В подростковом возрасте она научилась быстро вскрывать замки и обходить сигнализации. А потом выяснилось, что на этих талантах можно и заработать. Когда Дженни училась в колледже, кузены предложили ей заняться «легальным взломом». Они уже работали в сфере и тестировали на безопасность дома богачей: пытались проникнуть внутрь и, если им это удавалось, выдавали вердикт: как им удалось справиться с охранными системами. Некоторые клиенты предлагали протестировать аналогичным образом не только жилые дома, но и офисы.
Первое самостоятельное задание
Один из заказчиков обратился напрямую к Дженни и предложил провести аудит безопасности представительства лейбористской партии в Ливерпуле. Чтобы доказать незащищенность помещения и уязвимость персонала, ей как тестеру требовалось выкрасть адресную книгу со стола партийного руководителя.
Офис занимал оупен-спейс на восьмом этаже, охранники защищали вход только на первый этаж, сам босс восседал за столом в дальнем конце помещения. Задача была в том, чтобы обойти секьюрити внизу и пробраться к рабочему месту руководителя, когда в офисе никого не будет. В свой первый визит Дженни наплела сотрудникам офиса, будто жаждет попасть на прием к руководству партии. Ей рассказали, что на следующий день запланирована выездная конференция, поэтому все очень заняты. Так Дженни выяснила, что в партийном офисе не будет не только босса, но и никого другого. Нужно ли говорить, что «проникновение» прошло успешно: назавтра Дженни спокойно прошлась по пустующему офису и забрала нужную книгу.
Галантность до добра не доведет
Другое задание Дженни было связано с проверкой защищенности личной почты владельца крупного бизнеса. Она начала, как и положено, со сбора данных. Как правило, много полезного удается почерпнуть из соцсетей. Но не в этот раз. У бизнесмена не было аккаунта в Facebook, он не писал в Twitter, не постил фотки в Instagram. Он также не строил карьеру через Linkedin и не завел себе страничку на Reddit. На сайте Pinterest нашелся аккаунт его секретаря. Но весь компромат на нее заключался в том, что она вязала милые поделки.
Дженни продолжила изучать информацию в СМИ, где обнаружила, что бизнесмен и его жена основали организацию, которая проводила благотворительные обеды. Девушка поняла, что это шанс, и купила билет на ближайшее мероприятие, которое пара устраивала в Лондоне. Целью было знакомство с бизнесменом, обмен телефонами и, если повезет, возможность подсмотреть код разблокировки гаджета.
Чтобы ситуация выглядела максимально естественной, подобраться к бизнесмену девушка планировала, предварительно познакомившись с его женой. Той она представилась журналисткой и сказала, что готовит статью про благотворительность. Взяв у семейной пары небольшое интервью, Дженни отправила свои контакты и пообещала прислать ссылку на публикацию. Дождавшись, когда бизнесмен будет открывать только что полученное сообщение на своем телефоне, сообщник Дженни незаметно снял процесс разблокировки в замедленном режиме. На видео без проблем можно было распознать код, так что «коллега» подал фальшивой репортерше сигнал об успешном завершении этапа операции.
Следующий шаг можно сравнить с методами, которые применяют телефонные мошенники: они подталкивают жертву к активным действиям, загоняя в цейтнот. Дженни связалась с благотворителями и сказала, что короткой беседы оказалось недостаточно, поскольку редакция хочет вынести материал на обложку. Для развернутого и красивого текста нужны фотографии и подробности. И все это срочно до пятницы. С бизнесменом договорились о встрече в офисе.
На встрече цель Дженни была простой – получить доступ к компьютеру и телефону. Когда бизнесмен предложил даме кофе и поднялся с кресла, чтобы, в знак симпатии, налить его самостоятельно, «журналистка» посетовала, что пьет только без кофеина. Бизнесмен как гостеприимный хозяин не смог отказать и отправился на поиски напитка, который Дженни, откровенно говоря, ненавидела. Когда жертва вышла за дверь, Дженни разблокировала оставленный на столе телефон и отправила с него сообщение службе безопасности, а затем продублировала его с корпоративного компьютера. Дело было сделано. Служба безопасности получила доказательства того, что отказ топ-менеджера от соцсетей – не панацея от компрометации и утечки данных.
Биометрию обвели вокруг пальца
Компания, проводившая пентест банка, привлекла Дженни для проверки эффективности работы системы биометрической идентификации. Задача состояла в том, чтобы проникнуть за охраняемый периметр и вставить флешку со специальным ПО в один из корпоративных компьютеров.
Традиционный вариант с пожарной тревогой и эвакуацией персонала из здания Дженни отмела. Понаблюдав за тем, как выглядят и ведут себя сотрудники, проходящие за дверь, снабженную сканером отпечатка пальца, девушка подобрала более подходящий план действий. Она оделась в соответствии с дресс-кодом, но загипсовала себе руку. При этом у нее все же оставалась возможность прикоснуться «больной» рукой к сканеру.
Неуклюже прикладывая палец к сканеру, Дженни сетовала на то, что «тупой замок опять не работает». Наблюдавший за этим охранник попытался помочь и со словами «а вы поплотнее прижать попробуйте» поднажал на больную руку. Это не помогло, а Дженни сделала вид, что от еще одной подобной попытки она потеряет сознание от боли. Сердобольный секьюрити вошел в положение и открыл «сотруднице» дверь своим отпечатком. Так Дженни выполнила свою задачу, а банк провалил пентест.
В гостях у мафии
В проектах по тестированию безопасности организаций для социального инженера самое важное – быть уверенным в собственной защищенности. Поэтому проверять, насколько «чист» заказчик и легитимно задание, необходимо до начала работы.
Дженни поделилась негативным опытом – историей, когда она доверилась старому партнеру и взялась за работу, не проверив все тонкости. Ей предложили «по-быстрому» протестировать защищенность очередного особняка. Задание было срочным и, как ей казалось, вполне рутинным. Девушка приступила к нему, не заручившись документальным подтверждением, в том числе от полиции, что тест законен. Заказчик на словах заверил, что все оформлено как обычно и проблем не возникнет.
Дженни легко проникла в дом и оставила записку с кодовой фразой. Она была угрожающей, но как ей пояснил заказчик, текст сообщал владельцу о том, что тест на безопасность провален. Пентестерша уже выбралась наружу, когда к особняку подъехала охрана, вооруженная до зубов и по виду больше похожая на мафию. Покинуть территорию сада девушка не успела. Обнаружив записку, охранники стали обыскивать территорию, но чудом не нашли пентестершу. Она пролежала на земле несколько часов и только под утро смогла покинуть место «задания». Дженни было очевидно, что ее подставили.
Золотой ключик
К счастью, работа социнженера не ограничивается участием в рискованных пентестах. Крупные корпорации регулярно привлекают такого рода специалистов для участия в переговорах. Тогда задача Дженни – найти «ключик» к потенциальному партнеру своего заказчика. Критерий успешности сделки не прибыль, а количество информации, которую удастся собрать. В перспективе информация об увлечениях, фобиях, идеях-фикс партнера очень пригодится.
Дженни также привлекают, чтобы научиться распознавать уловки социнженеров или самим их использовать. Она создала курс, где рассказывает про 19 «крючков», за которые можно «дергать» жертву и заставлять ее поступать по-твоему. Это востребованная услуга, но Дженни предупреждает, что освоить такие навыки непросто и не всегда приятно.
Чтобы манипулировать людьми, приходится использовать «страхи, которые будят их по ночам». Влезать на эту темную сторону бывает тяжело. В то же время важно знать, что мотивирует, вдохновляет и по-настоящему заботит человека. Шаг за шагом комбинируя эти знания, получается «хакнуть» человека. Ключик к каждому свой, но мало его найти – общение с жертвой напоминает шахматную партию, в которой всегда есть риски проиграть.
Поэтому, обучая клиентов своему мастерству, девушка предупреждает: не заигрывайтесь. Не стоит использовать нечестные психологические уловки просто ради прихоти. А вот в общении с людьми, которые потенциально могут причинить вред, полезно знать об уловках и как они работают, чтобы не поддаваться на манипуляции.