Пентест

Социальная инженерия как часть тестирования на проникновение

будет проводиться

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ КАК ЧАСТЬ ТЕСТИРОВАНИЯ НА ПРОНИКНОВЕНИЕ

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ КАК ЧАСТЬ ТЕСТИРОВАНИЯ НА ПРОНИКНОВЕНИЕ


СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ КАК ЧАСТЬ ТЕСТИРОВАНИЯ НА ПРОНИКНОВЕНИЕ
Тестирование на проникновение (penetration testing) — метод
оценки безопасности компьютерных систем или сетей сред-
ствами моделирования атаки злоумышленника. Для кого-то
это хобби, для кого-то работа, для кого-то это стиль жизни.
На страницах нашего журнала мы постараемся познакомить
тебя с профессией настоящего «этичного хакера», с задачами,
которые перед ним ставятся, и их решениями.
«Человеческий фактор» — одна из самых рас- пространенных угроз информационной безопас- ности. проверка сайта на взлом Для
снижения рисков, связанных с этим обстоятельством, используются различные тех- нические и
административные механизмы защи- ты. Один из них — повышение осведомленности в области ИБ. Сегодня
мы с тобой поговорим о та- кой избитой на первый взгляд штуке, как социаль- ная инженерия, а точнее
— об услуге, основанной на ней. В рамках корпоративных услуг по анализу защищенности она гордо
именуется «оценкой осведомленности пользователей в вопросах ин- формационной безопасности». Как ты
наверняка уже догадался, услуга подразумевает под собой проверку того, насколько хорошо сотрудники
той или иной компании знакомы с информационной безопасностью, то есть общепринятыми норма- ми
безопасного поведения в интернете. Если со- всем все упростить, то можно свести смысл таких работ к
следующему: этичный хакер пытается запудрить мозги пользователю, чтобы тот выпол- нил какое-либо
действие, после чего готовит от-
чет по проделанной работе.
«А при чем тут тестирование на проникновение?» — возможно, спросишь ты. Дело в том, что
социальная инженерия может быть исполь- зована потенциальным атакующим как метод проникновения в
сеть организации. Вспомни Кевина Митника и истории его взломов, мно- гие из которых были построены
исключительно на low tech hacking.
В нынешних реалиях отечественной инду- стрии ИБ подобная услуга оказывается в двух форматах:
• как метод внешнего тестирования на проник- новение наряду с техническими методами;
• как отдельный проект, предназначенный исключительно для оценки осведомленности персонала в
Основная разница заключается в организа- ционных вопросах и в отчетной документации.
социальной инженерии — очень благо- приятная почва для холиваров, потому что порог вхождения в
low tech hacking очень низок. Естественно, «социалка» — это только небольшая
Тестирование на проникновение (penetration testing) — метод
оценки безопасности компьютерных систем или сетей сред- ствами моделирования атаки злоумышленника.
Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни.
На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного
хакера», с задачами, которые перед ним ставятся, и их решениями.
Профессиональный whitehat, специалист по ИБ, еженедельно проводящий множество этичных взломов
крупных организаций, редак- тор рубрики Взлом, почетный член команды @ygoltsev
часть направления low tech hacking и, наверное,
единственная более-менее популярная и вос- требованная в РФ в качестве услуги.
Давай определимся с тем, что именно под- разумевается под «оценкой осведомленности сотрудников».
Этичный хакер, используя канал коммуникации с тестируемыми людьми, пыта- ется на них повлиять:
мотивирует выполнить ка- кое-либо действие, которое потенциально может нанести ущерб компании
заказчика — гипотети- чески (или нет) нарушить конфиденциальность, целостность или доступность
охраняемой ин- формации. Термин «канал коммуникации» в этом случае подразумевает под собой любой
способ общения с тестируемым сотрудником. Если канал коммуникации не обговорен заранее, то по умол-
чанию подразумевается, что это корпоративная электронная почта. Думаю, суть тебе ясна. безопасность и человеческий фактор Давай
перейдем к процессу организации подобных ра- бот, и я более подробно опишу каждый из шагов на пути
к мастерству в этом непростом деле.
На этапе общения с заказчиком и заключения дого- вора этичный хакер получает информацию о том, в
каком именно формате будут проведены работы, или помогает выбрать этот формат. Исследование может
быть как отдельным проектом, так и частью внешнего тестирования на проникновение.
В технической подготовке к проведению подобных работ разницы нет никакой, а в планировании
времени есть. С заказчиком также обсуждается, какой именно канал коммуникации будет использован
для контакта с персоналом: корпоративная почта, социальные сети, телефон или что-то другое.
В нашем примере в качестве канала комму- никации с тестируемыми сотрудниками была выбрана
корпоративная электронная почта.
Следующий вопрос, который должен быть рассмотрен, — это состав фокус-групп, в отношении
которых будет проводиться тестирование. Суще- ствует два основных варианта подбора:
• заказчик сам предоставляет фокус-группы;
• этичный хакер своими силами составляет фокус-группы для рассылки.
Во втором случае заказчик также получает от- вет на вопрос, насколько много информации о его
работниках можно найти в публичных источниках. Следующий момент — список проверок (эмули- руемых
атак), которые предполагается провести в рамках запланированных работ. Бывает, что в организации
заказчика уже внедрена программа security awareness — мероприятия, направленные на повышение
осведомленности сотрудников в во- просах ИБ, неотъемлемую часть которых состав- ляют обучающие
материалы. Тогда этичный хакер знакомится с этими документами и на их основе формирует список атак,
которые будут выполнены в рамках работ. На начальных этапах внедрения подобных программ обучающий
материал обычно содержит основные постулаты безопасной работы в интернете: не открывайте ссылки и
приложения от сомнительных адресатов, не вводите свои учетные данные в сомнительные формы и так
Если учебные материалы далеки от совершенства или вообще отсутствуют (например, специалисты
отдела ИБ только хотят внедрить такую програм- му), то этичному хакеру непременно придется
потрудиться и дать ценные указания на этот счет. В таком случае атаки, которые будут выполнены в
рамках работ, стремятся к некоему негласному стандарту. Сегодня мы рассматриваем ситуацию, когда
программа повышения осведомленности пользователей в вопросах ИБ отсутствует. В таком случае
заказчику будет рекомендован следующий набор атак, отталкиваясь от которых можно соста- вить
• распространение сетевых червей (запуск приложения);
• эксплуатация client-side-уязвимостей (браузеры и так далее).
На то, чтобы обговорить все вопросы с заказ- чиком, уходит одна встреча, которая может за- тянуться
максимум на пару часов.
Вернувшись на свое рабочее место, бе- ремся за дело: проводим «рекон» (от англ. reconnaissance,
разведка) — собираем макси- мум информации о сотрудниках тестируемой компании. проверка на sql уязвимость Нас интересуют:
• адреса электронной почты (обговоренный канал коммуникации);
• новости компании и отрасли.
Основные источники данных:
• поисковики (Google, Bing, Yahoo);
• профессиональные соцсети (LinkedIn, «Мой круг» и так далее);
Обычно этот этап работ занимает от одного дня до трех.
После того как сбор информации завершен, этичный хакер начинает подготовку сценариев для каждой из
эмулируемых им атак. Разработка сценария, как правило, проходит в несколько этапов:
1. Определяемся с типом атаки (например, фи- шинг).
2. Обдумываем то, как будем мотивировать пользователя.
3. Разрабатываем текст письма и оформление.
4. Продумываем техническую часть рассылки.
Как ты наверняка знаешь из книг по low tech hacking, злоумышленники в своих приемах, что- бы
заставить пользователя выполнить те или иные действия, опираются на основные потребности и мотивы
Текст должен разрабатываться с учетом сле- дующих особенностей психики человека:
• интерес (любопытство) пользователя к поднятой теме. Очень распространен интерес к сообщениям
личного, интимного характера (или с намеками на него) или кажущаяся легкость получения выгоды,
приза или льготы;
• вероятность ущемления личных или профес-
сиональных интересов, чувство опасности,
страх, предостережение от угрозы любого характера.
Не стоит забывать и о доверии пользователя к письму — это важный момент. Добиться дове- рия можно,
используя следующие трюки:
• знакомый или авторитетный отправитель, ссылки на такого человека в письме;
Этичный хакер старается максимально приблизить свои тексты к реальности, однако его в данном
случае обременяет та самая этичность, не позволяющая вести себя в каких-то моментах жестоко,
лицемерно и цинично. Не стоит об этом забывать. На разработку сценариев от начала до конца может
уйти несколько дней. Как из- вестно, нет предела совершенству, но в данном случае речь идет о
бизнесе, так что придется ставить себе разумные сроки.
Огромную роль при подготовке сценария игра- ет вовлеченность этичного хакера в проект и про- цесс
подготовки социалки в целом. Мало приду- мать хорошую тему, необходимо уметь правильно подать
«переваренную» информацию о пользователе, полученную, к примеру, из социальных сетей. Правильная
подача во многом приходит с опытом. Для развития этого скилла пентестеру необходимо расширить
свой кругозор и окунуться в увлекательный мир психологии. Прокачивай харизму, будь уверен в себе
и набирайся опыта. Это три вещи, которые порой намного лучше любых технических уловок помогают
заставить открыть pdf’ку даже самого опытного пользователя.
Когда сценарии (тексты и оформление писем) подготовлены, пентестер создает документ, который
описывает соответствие каждого из сценариев фокус-группам тестируемых пользователей, а также
информацию о графике рассылок. Этот документ отправляется заказчику на согласование. Процесс
согласования может занять от одного до нескольких дней в зависи- мости от количества сценариев и
степени вовле- чения заказчика в этот процесс.
После того как сценарии согласованы, наступает момент, когда необходимо реализовать техническую
• подготовить фишинговые страницы;
• подготовить нагрузку («троянское» ПО);
• наладить сбор статистики.
Как правило, в рамках фишинга этичный хакер намеревается утащить у пользователя его кор- поративные
учетные данные. В качестве фишин- говой страницы чаще всего используется стан- дартный шаблон формы
авторизации, известной каждому офисному работнику, — шаблон серви- сов Microsoft, например Outlook
Web Access или Share Point. Увидев перед собой такую страницу, корпоративный пользователь в
большинстве случаев думает, что это легитимное приложение и что он исполняет свои рабочие
обязанности, вводя учетные данные в форму. Естественно, до- менное имя, которое использует этичный
Этичный хакер старается максимально приблизить
свои тексты к реальности, однако его в данном случае
обременяет та самая этичность
не должно подкачать — выглядеть оно должно
Вот несколько советов по организации рас- сылок.
• Никогда не ленись при разработке шаблона и оформления рассылаемого письма, будь внимателен.
• Собирай как можно больше информации о целях, это половина успеха «удачной со- циалки».
• Если тебе что-то кажется подозрительным в созданном письме, исключи это.
• Умело используй SMTP RELAY для подмены адреса отправителя.
• Никогда не забывай о наличии таких штук, как антиспам и антивирус, тестируй все тщательно.
• Собирай как можно больше информации об установленном ПО у тех, кто купился на твою уловку.
• Тщательно все логируй.
• Массовые рассылки неоднозначны — покры- вают всех сразу, результативны, но и более заметны.
После завершения рассылки наступает момент, когда этичный хакер начинает пожинать плоды
своего труда. поиск уязвимостей на сайте Или не пожинать. Зависит от того,
насколько он хорошо все подготовил. Но мы с то- бой отличные хакеры, так что у нас все прошло
замечательно и есть «отстуки». Давай разберем- ся, что именно этичный хакер может использо- вать в
качестве результатов проведенного теста. Естественно, многое зависит от самого сцена- рия и от тех
действий, которые пентестер по- пытался навязать тестируемым. В большинстве случаев мы можем
отследить такие действия пользователя:
• переход по ссылке (злоумышленник мог за- разить компьютер пользователя, эксплуати- руя уязвимость
• скачивание чего-либо с подконтрольного нам ресурса (злоумышленник мог заразить трояном);
• запуск чего-либо, полученного из наших рук (VBScript, Java и подобное) — злоумышлен- ник мог
• ввод данных в форму на подконтрольном нам ресурсе (фишинг).
Все эти события необходимо логировать. Если есть возможность логировать больше — ис- пользуй ее. Не
забывай о том, что тебе необхо- димо иметь возможность выявить, какой именно пользователь выполнил
По результатам сбора и обработки статистики этичный хакер готовит отчет, содержащий ин- формацию о
проведенном тестировании. Наи- более интересные данные оформляются в виде графиков. К примеру,
соотношение полученных учетных данных к количеству разосланных со- общений. Помимо этого, в
зависимости от по- лученного результата этичный хакер готовит описание общей картины, дает
рекомендации, на что стоит обратить внимание и на какие темы ориентироваться в рамках мероприятий,
наце- ленных на повышение осведомленности персо- нала о вопросах ИБ.
Часто заказчик хочет знать, кто именно попался на ту или иную уловку. Я никогда не предостав- ляю
подобную информацию. Во-первых, когда кто-то попался, это нормально. Мы проводим тестирование не
одного человека, а группы лиц. Соответственно, говорим о ней как о едином целом. безопасность веб сервера Во-вторых, будет
несправедливо, если накажут только одного сотрудника, и в лучшем случае его наказание будет
выглядеть как до- полнительное время, проведенное за изучени- ем принципов безопасной работы в

Похожие статьи Pentest