Комментарии 7
Я работал в большой немецкой компании и там как-то раз наняли такого-же специалиста, для тестирования системы безопасности.Нужно было войти в базу, к которой был ограниченный доступ и только из внутренней сети, и чего-нибудь там маленько поменять.
Чувак переоделся уборщиком, сделал фальшивый пропуск(не работающий на вход, конечно), утром пришел к выходу из курилки, как раз когда в коридоре убиралась уборщица, показал ей пропуск через стеклянную дверь и она открыла ему изнутри - пропуска у уборщиков частенько глючили и они пропускали друг друга по своему пропуску, хотя это конечно было строжайше запрещено, но работать-то как-то надо...
Дальше чувак прошел в переговорку, сделал вид что, типа убирается, а сам позвонил замдиру(телефон которого взял из телефонной книги, которая лежала в переговорке) под видом службы безопасности. Звонок был по внутренней линии, замдир ничего не заподозрил, плюс он не так давно подхватил вирус и имел серьезные разговоры со службой безопасности, так что все прошло гладко - пароль и логин о базы с привилегированным доступом чувак получил.
Потом переоделся в строгий костюм + плюс какой-то типа бейджик службы безопасности, подошел к рандомной сотруднице, по юному виду явно стажерке, ввел с ее компьютера логин и пароль к базе и вуаля!
Все заняло 15 минут
Я бесконечно рад за Дженни, реализовавшую свою страсть к проникновению на защищаемые объекты, столь социально одобряемым способом. Но, кто все эти люди, заказывающие пентест? Которые платят по сути за истину "ишак нагруженный золотом откроет любые ворота". Я уж не говорю, о такой востребованной услуге как пентест верности жены/мужа. Что нам докажет успех пентестера? Ну есть N+1 способ это сделать. Предположим мы его закрыли, кстати как - если инструкции нарушаются и люди подвержены внушению, жалости, когнитивным искажениям? Но пусть, осталось еще N способов. Хорошо, гоняем пентестера до упаду и в какой то момент получаем "ну на смогла я". Свидетельство ли это надежной защиты? Нет конечно...
Глава "В гостях у мафии" для меня звучит как история, когда социнженер сам попал под приемы социнженерии :-)
Как стать пентестером, если ты ноль в IT – четыре истории из жизни «взломщицы человеческих голов»