Юрий Гольцев
ст.73 журнал хакер - Haker_05.15
ст.73 журнал хакер - Haker_05.15
INTRO
«Человеческий фактор» — одна из самых рас-
пространенных угроз информационной безопас-
ности. Для снижения рисков, связанных с этим
обстоятельством, используются различные тех-
нические и административные механизмы защи-
ты. Один из них — повышение осведомленности
в области ИБ. Сегодня мы с тобой поговорим о та-
кой избитой на первый взгляд штуке, как социаль-
ная инженерия, а точнее — об услуге, основанной
на ней. В рамках корпоративных услуг по анализу
защищенности она гордо именуется «оценкой
осведомленности пользователей в вопросах ин-
формационной безопасности». Как ты наверняка
уже догадался, услуга подразумевает под собой
проверку того, насколько хорошо сотрудники той
или иной компании знакомы с информационной
безопасностью, то есть общепринятыми норма-
ми безопасного поведения в интернете. Если со-
всем все упростить, то можно свести смысл таких
работ к следующему: этичный хакер пытается
запудрить мозги пользователю, чтобы тот выпол-
нил какое-либо действие, после чего готовит от-
чет по проделанной работе.
В ПЕНТЕСТЕ
«А при чем тут тестирование на проникнове-
ние?» — возможно, спросишь ты. Дело в том,
что социальная инженерия может быть исполь-
зована потенциальным атакующим как метод
проникновения в сеть организации. Вспомни
Кевина Митника и истории его взломов, мно-
гие из которых были построены исключительно
на low tech hacking.
В нынешних реалиях отечественной инду-
стрии ИБ подобная услуга оказывается в двух
форматах:
• как метод внешнего тестирования на проник-
новение наряду с техническими методами;
• как отдельный проект, предназначенный
исключительно для оценки осведомленности
персонала в вопросах ИБ.
Основная разница заключается в организа-
ционных вопросах и в отчетной документации.
Тема социальной инженерии — очень благо-
приятная почва для холиваров, потому что порог
вхождения в low tech hacking очень низок. Есте-
ственно, «социалка» — это только небольшая
часть направления low tech hacking и, наверное,
единственная более-менее популярная и вос-
требованная в РФ в качестве услуги.
Давай определимся с тем, что именно под-
разумевается под «оценкой осведомленности
сотрудников». Этичный хакер, используя канал
коммуникации с тестируемыми людьми, пыта-
ется на них повлиять: мотивирует выполнить ка-
кое-либо действие, которое потенциально может
нанести ущерб компании заказчика — гипотети-
чески (или нет) нарушить конфиденциальность,
целостность или доступность охраняемой ин-
формации. Термин «канал коммуникации» в этом
случае подразумевает под собой любой способ
общения с тестируемым сотрудником. Если канал
коммуникации не обговорен заранее, то по умол-
чанию подразумевается, что это корпоративная
электронная почта. Думаю, суть тебе ясна. Давай
перейдем к процессу организации подобных ра-
бот, и я более подробно опишу каждый из шагов
на пути к мастерству в этом непростом деле.
ВВОДНАЯ ИНФОРМАЦИЯ
На этапе общения с заказчиком и заключения дого-
вора этичный хакер получает информацию о том,
в каком именно формате будут проведены работы,
или помогает выбрать этот формат. Исследование
может быть как отдельным проектом, так и частью
внешнего тестирования на проникновение.
В технической подготовке к проведению по-
добных работ разницы нет никакой, а в плани-
ровании времени — есть. С заказчиком также
обсуждается, какой именно канал коммуникации
будет использован для контакта с персоналом:
корпоративная почта, социальные сети, телефон
или что-то другое.
В нашем примере в качестве канала комму-
никации с тестируемыми сотрудниками была
выбрана корпоративная электронная почта. Сле-
дующий вопрос, который должен быть рассмо-
трен, — это состав фокус-групп, в отношении
которых будет проводиться тестирование. Суще-
ствует два основных варианта подбора:
• заказчик сам предоставляет фокус-группы;
• этичный хакер своими силами составляет
фокус-группы для рассылки.
Во втором случае заказчик также получает от-
вет на вопрос, насколько много информации о его
работниках можно найти в публичных источниках.
Следующий момент — список проверок (эмули-
руемых атак), которые предполагается провести
в рамках запланированных работ. Бывает, что в ор-
ганизации заказчика уже внедрена программа
security awareness — мероприятия, направленные
на повышение осведомленности сотрудников в во-
просах ИБ, неотъемлемую часть которых состав-
ляют обучающие материалы. Тогда этичный хакер
знакомится с этими документами и на их основе
формирует список атак, которые будут выполнены
в рамках работ. На начальных этапах внедрения
подобных программ обучающий материал обычно
содержит основные постулаты безопасной работы
в интернете: не открывайте ссылки и приложения
от сомнительных адресатов, не вводите свои учет-
ные данные в сомнительные формы и так далее.
Если учебные материалы далеки от совершенства
или вообще отсутствуют (например, специалисты
отдела ИБ только хотят внедрить такую програм-
му), то этичному хакеру непременно придется
потрудиться и дать ценные указания на этот счет.
В таком случае атаки, которые будут выполнены
в рамках работ, стремятся к некоему негласному
стандарту. Сегодня мы рассматриваем ситуацию,
когда программа повышения осведомленности
пользователей в вопросах ИБ отсутствует. В таком
случае заказчику будет рекомендован следующий
набор атак, отталкиваясь от которых можно соста-
вить обучающий материал:
• фишинг;
• распространение сетевых червей (запуск
приложения);
• эксплуатация client-side-уязвимостей (брау-
зеры и так далее).
На то, чтобы обговорить все вопросы с заказ-
чиком, уходит одна встреча, которая может за-
тянуться максимум на пару часов.
СЕТЕВАЯ РАЗВЕДКА
Вернувшись на свое рабочее место, бе-
ремся за дело: проводим «рекон» (от англ.
reconnaissance, разведка) — собираем макси-
мум информации о сотрудниках тестируемой
компании. Нас интересуют:
• адреса электронной почты (обговоренный
канал коммуникации);
• структура организации;
• сфера деятельности;
• новости компании и отрасли.
Основные источники данных:
• поисковики (Google, Bing, Yahoo);
• профессиональные соцсети (LinkedIn, «Мой
круг» и так далее);
• веб-сайт компании.
Обычно этот этап работ занимает от одного
дня до трех.
РАЗРАБОТКА СЦЕНАРИЯ
После того как сбор информации завершен,
этичный хакер начинает подготовку сценариев
для каждой из эмулируемых им атак. Разработ-
ка сценария, как правило, проходит в несколько
этапов:
1. Определяемся с типом атаки (например, фи-
шинг).
2. Обдумываем то, как будем мотивировать
пользователя.
3. Разрабатываем текст письма и оформление.
4. Продумываем техническую часть рассылки.
Как ты наверняка знаешь из книг по low tech
hacking, злоумышленники в своих приемах, что-
бы заставить пользователя выполнить те или
иные действия, опираются на основные потреб-
ности и мотивы человека.
Текст должен разрабатываться с учетом сле-
дующих особенностей психики человека:
• интерес (любопытство) пользователя к подня-
той теме. Очень распространен интерес к со-
общениям личного, интимного характера (или
с намеками на него) или кажущаяся легкость
получения выгоды, приза или льготы;
• вероятность ущемления личных или профес-
сиональных интересов, чувство опасности,
страх, предостережение от угрозы любого
характера.
Не стоит забывать и о доверии пользователя
к письму — это важный момент. Добиться дове-
рия можно, используя следующие трюки:
• знакомый или авторитетный отправитель,
ссылки на такого человека в письме;
• актуальная тема.
Этичный хакер старается максимально при-
близить свои тексты к реальности, однако его
в данном случае обременяет та самая этичность,
не позволяющая вести себя в каких-то моментах
жестоко, лицемерно и цинично. Не стоит об этом
забывать. На разработку сценариев от начала
до конца может уйти несколько дней. Как из-
вестно, нет предела совершенству, но в данном
случае речь идет о бизнесе, так что придется ста-
вить себе разумные сроки.
Огромную роль при подготовке сценария игра-
ет вовлеченность этичного хакера в проект и про-
цесс подготовки социалки в целом. Мало приду-
мать хорошую тему, необходимо уметь правильно
подать «переваренную» информацию о пользо-
вателе, полученную, к примеру, из социальных
сетей. Правильная подача во многом приходит
с опытом. Для развития этого скилла пентестеру
необходимо расширить свой кругозор и окунуться
в увлекательный мир психологии. Прокачивай ха-
ризму, будь уверен в себе и набирайся опыта. Это
три вещи, которые порой намного лучше любых
технических уловок помогают заставить открыть
pdf’ку даже самого опытного пользователя.
Когда сценарии (тексты и оформление пи-
сем) подготовлены, пентестер создает доку-
мент, который описывает соответствие каждого
из сценариев фокус-группам тестируемых поль-
зователей, а также информацию о графике рас-
сылок. Этот документ отправляется заказчику
на согласование. Процесс согласования может
занять от одного до нескольких дней в зависи-
мости от количества сценариев и степени вовле-
чения заказчика в этот процесс.
ТЕХНИЧЕСКАЯ ЧАСТЬ
После того как сценарии согласованы, наступает
момент, когда необходимо реализовать техниче-
скую часть проекта:
• подготовить домены;
• подготовить фишинговые страницы;
• подготовить эксплойты;
• подготовить нагрузку («троянское» ПО);
• наладить сбор статистики.
Как правило, в рамках фишинга этичный хакер
намеревается утащить у пользователя его кор-
поративные учетные данные. В качестве фишин-
говой страницы чаще всего используется стан-
дартный шаблон формы авторизации, известной
каждому офисному работнику, — шаблон серви-
сов Microsoft, например Outlook Web Access или
Share Point. Увидев перед собой такую страницу,
корпоративный пользователь в большинстве
случаев думает, что это легитимное приложение
и что он исполняет свои рабочие обязанности,
вводя учетные данные в форму. Естественно, до-
менное имя, которое использует этичный хакер,
Этичный хакер старается максимально приблизить свои тексты к реальности, однако его в данном случае обременяет та самая этичность
не должно подкачать — выглядеть оно должно
максимально легитимно.
Вот несколько советов по организации рас-
сылок.
• Никогда не ленись при разработке шаблона
и оформления рассылаемого письма, будь
внимателен.
• Собирай как можно больше информации
о целях, это половина успеха «удачной со-
циалки».
• Если тебе что-то кажется подозрительным
в созданном письме, исключи это.
• Умело используй SMTP RELAY для подмены
адреса отправителя.
• Никогда не забывай о наличии таких штук,
как антиспам и антивирус, тестируй все
тщательно.
• Собирай как можно больше информации
об установленном ПО у тех, кто купился
на твою уловку.
• Тщательно все логируй.
• Массовые рассылки неоднозначны — покры-
вают всех сразу, результативны, но и более
заметны.
СТАТИСТИКА
После завершения рассылки наступает момент,
когда этичный хакер начинает пожинать плоды
своего труда. Или не пожинать. Зависит от того,
насколько он хорошо все подготовил. Но мы с то-
бой отличные хакеры, так что у нас все прошло
замечательно и есть «отстуки». Давай разберем-
ся, что именно этичный хакер может использо-
вать в качестве результатов проведенного теста.
Естественно, многое зависит от самого сцена-
рия и от тех действий, которые пентестер по-
пытался навязать тестируемым. В большинстве
случаев мы можем отследить такие действия
пользователя:
• переход по ссылке (злоумышленник мог за-
разить компьютер пользователя, эксплуати-
руя уязвимость в его браузере);
• скачивание чего-либо с подконтрольного
нам ресурса (злоумышленник мог заразить
трояном);
• запуск чего-либо, полученного из наших рук
(VBScript, Java и подобное) — злоумышлен-
ник мог заразить трояном;
• ввод данных в форму на подконтрольном нам
ресурсе (фишинг).
Все эти события необходимо логировать.
Если есть возможность логировать больше — ис-
пользуй ее. Не забывай о том, что тебе необхо-
димо иметь возможность выявить, какой именно
пользователь выполнил действие.
РЕПОРТ
По результатам сбора и обработки статистики
этичный хакер готовит отчет, содержащий ин-
формацию о проведенном тестировании. Наи-
более интересные данные оформляются в виде
графиков. К примеру, соотношение полученных
учетных данных к количеству разосланных со-
общений. Помимо этого, в зависимости от по-
лученного результата этичный хакер готовит
описание общей картины, дает рекомендации,
на что стоит обратить внимание и на какие темы
ориентироваться в рамках мероприятий, наце-
ленных на повышение осведомленности персо-
нала о вопросах ИБ.
OUTRO
Часто заказчик хочет знать, кто именно попался
на ту или иную уловку. Я никогда не предостав-
ляю подобную информацию. Во-первых, когда
кто-то попался, это нормально. Мы проводим
тестирование не одного человека, а группы лиц.
Соответственно, говорим о ней как о едином
целом. Во-вторых, будет несправедливо, если
накажут только одного сотрудника, и в лучшем
случае его наказание будет выглядеть как до-
полнительное время, проведенное за изучени-
ем принципов безопасной работы в интернете.
Будь этичным!