Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Проверка системы безопасности компании это не только пентесты и фишинговые рассылки, но и шпионские операции с проникновением на территорию заказчика. Этим занимаются самые законспирированные сотрудники Бастион. Мы поймали их в перерыве между проектами, чтобы задать несколько вопросов об этой нестандартной работе.
По понятным причинам, мы не раскрываем настоящие имена наших спецов, так что в этом разговоре они выступят под псевдонимами Алиса и Боб. Они уже не первый год занимаются этой работой, но впервые согласились рассказать о ней широкой публике.
Осторожно, этот пост может спровоцировать приступы паранойи.
Иногда коллеги шутливо называют вас шпионами. Так в чем же на самом деле заключается ваша работа?
Алиса: На самом деле это близко к правде. Мы занимаемся тестированием на проникновение при помощи социальной инженерии.
Боб: Обычно клиентов интересуют адресные выезды с проникновением на объект, на территорию компании. Программа максимум — получить пропуск-вездеход, который открывает все двери, проникнуть в серверную и уйти незамеченным. В процессе мы ищем доступ к любой конфиденциальной информации, устанавливаем, какие СЗИ используют в организации, и проверяем, как сотрудники относятся к информационной гигиене.
По факту, мы подмечаем незаблокированные компьютеры, роемся в документах, заглядываем в столы и мусорные корзины, расспрашиваем сотрудников.
Алиса: Еще один кейс — прийти на собеседование под видом рекрута. Это особенно хорошо работает, если в компании открыта ИБ-шная должность. Так можно выяснить подробности об используемом ПО, СЗИ, структуре сети — очень много конкретной чувствительной и конфиденциальной информации.
Какие еще существуют сценарии? Как социальная инженерия сочетается с другими видами атак?
Боб: Она хорошо сочетается с проверками беспроводных сетей, плюс внутрянка, если найдешь валяющийся без дела кабель.
Алиса: Хочется добавить, что у нас бывает задача распространить usb-накопители с полезной нагрузкой. Самое банальное — просто разложить их по офису. Кто-нибудь их найдет и воткнет в компьютер на работе или дома. Если я вижу незалоченный компьютер, то могу сделать это и сама. Также можно попросить сотрудника распечатать документ с моей флешки.
Боб: Да, есть такое — мы готовим носители так, чтобы они передавали на сервер логин от учетной записи Windows и хэш пароля. Затем спокойно брутим эти хэши в течение двух-трех дней. Если за это время ничего не получилось, обычно это значит, что пароль такой сложный, что за разумное время его не вскрыть.
А это законно?
Алиса: Мы получаем разрешение. Законная социальная инженерия отличается от незаконной тем, что все эти мероприятия согласованы и отражены в договоре с компанией.
Со стороны заказчика только один-два человека в курсе проверки. Это нужно для конспирации. Чем меньше людей знает, тем меньше шанс утечки. Сотрудники не будут специально готовиться и бдительность у них будет на обычном уровне.
Боб: Все верно, но при этом у нас нет строгих протоколов, по которым мы обязаны действовать. Только набор правил.
Нельзя совершать действия, которые тормозят работу сотрудников, мешают им выполнять обязанности. Например, лежит на столе пропуск. Его можно незаметно клонировать и пользоваться копией, но вот красть нельзя.
Нельзя ломать двери и вообще наносить материальный ущерб. Касаемо компьютеров — незапароленные ты просто фотографируешь, можешь воткнуть флешку, но не залезаешь и ничего там не делаешь. Как и в случае с пентестами, — никаких действий, который могут привести к отказу в обслуживании. Просто показываешь, что сотрудник безответственно к этому относится.
Расскажите больше про взаимодействие с заказчиком. Вам помогают, может быть дают наводки?
Боб: Есть два типа работ. В первом случае у тебя ничего нет. Ты знаешь только название юридического лица, даже адрес офиса приходится выяснять самому. Затем самостоятельно ищешь способ проникнуть внутрь.
Второй тип эмитирует работу с сообщником внутри компании. Обычно его выбирают, когда заказчик снимает этаж в бизнес-центре. Периметр охраняет сторонняя организация, а мы не имеем права проверять еще и ее службу безопасности. Тогда заказчик оформляет пропуска на территорию, а дальше мы сами по себе.
Алиса: Еще иногда объясняют, кого избегать внутри офиса, например, просят не приставать к топам и ИБ-шникам, которые не в курсе проверки. Был случай, когда заказчик привез план здания, расстелил на столе и прямо на нем зачеркивал кабинеты, куда ни в коем случае нельзя заходить.
Как вы готовитесь к выездам?
Боб: Можно сказать, что подготовка сводится к поиску подходящей легенды, под которой ты зайдешь на объект.
Для этого нужно хорошо изучить компанию и ее предметную область, а затем придумать такую историю, которая отработает и не развалится даже, если что-то пойдет не так. Например, мы часто выбираем легенды, связанные с надежными контрагентами или партнерами нашего заказчика. К ним высокий кредит доверия. Затем подготавливаем одежду, реквизит и технические средства, которые берем с собой.
Алиса: Бывают случаи, к которым невозможно подготовиться заранее, и приходится действовать по обстоятельствам.
Для одного проекта изначально мы планировали как легенду бухгалтерский аудит. Но, когда я вошла на территорию, то поняла, что тут это не прокатит. Оказалось, что бухгалтерия находится в этом же офисе. Случайно наткнусь на того, кто в теме, и будет масса вопросов, на которые очень сложно ответить.
Пришлось действовать по обстоятельствам и прикинуться сотрудницей подразделения из другого города. Вдобавок, я решила назваться не реальным человеком, а просто Марией, потому что Марии есть в любой большой компании. Подходила и сама представлялась только по имени, чтобы не пришлось называть фамилию.
У вас есть любимые легенды?
Алиса: Когда приходишь якобы от материнской организации. Это очень эффективно. Порой сотрудники чуть ли не боятся начальство из центра. Они выполняют все, что попросишь и задают минимум вопросов.
Боб: Удобно прикинуться сотрудником бизнес или торгового центра, в котором расположен офис. Еще хорошо работает образ мастера по кондиционерам. На обслуживающий персонал никто не обращает внимания.
Вы проникли внутрь, что дальше?
Боб: Если политкорректно, то вешаешь людям лапшу на уши. Знакомишься, врешь с три короба и целенаправленно добиваешься своего. Со времен Митника социальная инженерия совсем не изменилась, разве что появились новые технические средства, которые облегчают работу.
Люди легко вам верят?
Алиса: Когда я только начинала работать, то думала, что один неверный шаг, и меня раскроют. На самом деле это не так, как правило, люди не ожидают подвоха. Вот один случай:
Я шла по офису. Тут из отдельного кабинета выходит женщина с вопросом: «Девушка, вы что-то ищете?».
Я нашлась и отвечаю, что я сотрудница из другого офиса, и мне нужно дождаться встречи. Ищу подходящее место. Никаких вопросов больше не последовало. Она указала мне на стол сотрудника, которого в этот день не было в офисе. Там лежало много бумаг. Я села, воспользовавшись любезностью этой милой дамы, начала просматривать документы.
Другие сотрудники это видели, видели, что я не местная, но никаких действий не предпринимали даже, когда я стала фотографировать все в открытую: договоры, счета. Ничего! Как будто все, так и надо. Если ведешь себя уверенно и невозмутимо, тебе многое позволяют.
Поделитесь парой профессиональных хитростей. Что помогает вам находить общий язык с людьми?
Боб: Я беру с собой шоколадки. С ними можно заглянуть в отдел кадров или бухгалтерию. Это, кстати, и в обычной жизни работает — хороший повод выпить чаю, поболтать и разузнать что-нибудь мимоходом. Однажды я так за 20 минут разговора получил доступ к личным делам сотрудников.
Алиса: Быть девушкой. Серьезно. Иногда заказчики прямо пишут, что на объект должна выехать девушка, и это не просто так. В компаниях с чисто мужским коллективом сотрудники охотнее помогают девушкам, особенно если прикинуться, что ничего не понимаешь и похлопать глазками.
Какая самая глупая уловка в вашей практике, которая сработала?
Боб: Был случай на недавнем проекте.
Алиса: Тогда мы немного обнаглели. Уже четыре часа шлялись по офисному центру и к концу дня у нас было три пропуска на двоих. Я дала пару Бобу и предложила проверить, как отреагируют сотрудники на ресепшн, если отдать им сразу два пропуска. Боб подходит отдавать пропуска, но тут поднимается буча.
Боб: Меня останавливает охрана и девчонки с ресепшн говорят: «Вас тут искали, спрашивали, что это за молодой человек ходит по офису и со всеми общается». А я отвечаю, что все нормально, что я уже пообщался по проекту с… и вспоминаю имя большого начальника, который курирует у них менеджеров проектов.
Я думал, что это не сработает и придется еще как-то выкручиваться, но они сразу же сняли тревогу и перевели тему. Сказали, что подумали, что я никого не нашел и заблудился. Просто назвать имя начальника и сказать, что я с ним разговаривал — очень глупая уловка, но внезапно она сработала.
Алиса: Боб еще потом наехал на них, мол, что у них за процедура прощания такая? Девочки совсем растерялись и сказали, что все хорошо и они рады, что встреча состоялась. И тут он протягивает им два пропуска.
Они уточняют: «Второй за вчерашний день?». Он отвечает, что нет, не за вчерашний. А они: «Ну хорошо...», — и забирают оба.
Это большая оплошность, что они не стали выяснять, откуда у этого непонятного человека два пропуска. Ведь они выдаются по специальной процедуре.
Из офиса мы отправились прямиком в кафе на встречу с ИБ-шником, который курировал проект. Просидели с ним 20 минут, рассказывая про огрехи и то, что нам удалось найти. И только тогда ему начали писать, звонить и бить тревогу. Злоумышленники уже могли бы ехать в другой город с добытыми данными.
Вас когда-нибудь ловили?
Боб: Были ситуации на грани, например, случай, когда я поговорил с техническим директором компании, а потом остался еще немного походить по офису. А у директора появились сомнения на мой счет. Он позвонил в компанию, откуда я якобы приехал, и легенда развалилась. Меня начали искать, и это было жестко.
Ты очень спокойно об этом рассказываешь, но ведь дело может обернуться довольно серьезно?
Боб: Я морально готов к тому, что до момента, когда я раскроюсь, пройдет некоторое время, и со мной могут особо не церемониться. Охрана попадется вспыльчивая… Но реально опасных ситуаций в моей практике еще не было. К тому же, всегда есть телефон для экстренной связи с заказчиком.
Действительно неприятный момент в этой работе, это когда попадаются болтуны. Бывало, мне чуть ли не гостайну выдавали, а ведь я должен доложить, кто и о чем рассказал. Не знаю, что происходит после моих рапортов, но по голове за это не погладят. Впрочем, думаю, лучше так, чем оказаться в ответе за реальный инцидент.
А как вы попали на эту работу?
Боб: У меня давно было желание заниматься чем-то подобным, всегда хотел быть разведчиком и вот нашел способ.
Алиса: А я попала почти случайно. Так совпало, что заказчик хотел, чтобы в проверке объекта в Санкт-Петербурге участвовала девушка. Никто не мог поехать, а я собиралась в Питер по своим делам, и меня уговорили заглянуть туда вместе с Бобом.
И тебе так понравилось, что ты продолжила работать?
Алиса: Точно. Я очень плотно общаюсь с пентестерами и долго не понимала, почему у них так резко меняется настроение. Они могут злиться, а через минуту ликовать, как дети. И вот когда я зашла на объект в первый раз, то поначалу не могла не найти никакой информации. Только через час мне повезло и все это посыпалось мне в руки — тогда я почувствовала этот азарт, чистый адреналин. Если работа может вызывать такие эмоции, это нечто невероятное.
Что нужно, чтобы стать хорошим социальным инженером?
Боб: Нужна хорошая подготовка, понимание того, что и как делать. Многое можно почерпнуть из книг. Стоит ознакомится с рассекреченными методичками ПГУ КГБ, инструкциями ЦРУ и КГБ (ФСБ) по сбору фактов конспирации и дезинформации. Можно почитать Кевина Митника и мемуары бывших оперативных сотрудников спецподразделений. В таких книгах часто романтизируют эту работу, но они все равно полезны.
Алиса: Я считаю, что на первом месте здесь софтскиллы, огромное количество софтскиллов, а еще жизненный опыт и умение влезть в чужую шкуру. Например, я сама работала на ресепшн в начале карьеры, и знаю, как мыслят люди, которые там работают. Я вспоминаю тот свой опыт и говорю им то, что убедило бы меня саму в прошлом.
Очень важна уверенность. Когда у тебя уверенное поведение, как будто ты был здесь сто раз и все знаешь, то не вызываешь подозрений и люди тебе доверяют. И главное, если не можешь быстро найти выход из стрессовой ситуации, то не стоит даже пытаться заниматься социальной инженерией. Нужно быть легким, гибким — очень хорошее слово — гибкий. В данном контексте оно прям подходящее.
Оставляйте вопросы для наших социальных инженеров в комментариях. Если соберется достаточно сообщений, — мы выберем самые интересные и заплюсованные и зададим их нашим социальным инженерам в следующем интервью.