Ознакомительная версия. Доступно 18 страниц из 88
ВЕСТИ ДОКУМЕНТАЦИЮ ИЛИ НЕ ВЕСТИ — ВОТ В ЧЕМ ВОПРОС
Прежде чем мы погрузимся в изучение процесса поиска информации, я хочу взять небольшую паузу и изложить свои мысли по поводу документирования процесса и результатов деятельности социального инженера.
Вопрос даже не в том, нужно ли вести письменные отчеты. И так понятно, что делать это необходимо. Но что именно документировать и в каком объеме?
Вспомните, что я говорил в начале этой главы: продираясь через 10 йоттабайт собранных в Сети данных, вы узнаете об объектах воздействия очень многое. И если природа не наградила вас фотографической памятью, никакой уровень интеллекта не позволит вам запомнить все детали. На самом деле даже специалисты с фотографической памятью не смогут составить полноценный отчет о деятельности, полагаясь только на свои воспоминания.
Я не скажу, что конкретно вам нужно записывать, потому что в каждой ситуации задействовано слишком много различных факторов. Например, в начале своего профессионального пути в сфере СИ, работая в гордом одиночестве, я придумал особую систему использования блокнотов: она позволяла собирать по каждому клиенту отдельные папочки, в которые были сложены заметки. В каждой такой заметке я выделял несколько разделов: личную информацию, данные о компании, семье, активности в социальных сетях и т. п. Любой новый блок полезной информации, обнаруженный в процессе исследования открытых источников, я помещал в соответствующий раздел соответствующего документа. В результате писать финальные отчеты мне стало намного легче. Применял я и другие приемы: например, определенными цветами выделял информацию, которая могла пригодиться в ходе атаки. Один цвет — для данных, которые были просто полезны, другой — для информации, которая оказалась ключевой.
Когда у меня появилась своя команда и над проектами стали работать несколько человек одновременно, оказалось, что неудобно то и дело передавать друг другу бесчисленные блокноты. Тогда я нашел решение, позволявшее всей команде вести общие заметки.
Сначала мы использовали решения вроде Google-диска, я опробовал разнообразные облачные приложения и инструменты.
Однако все эти решения имели свои недостатки.
• Мне нужно было собирать номера социального страхования, банковские данные и другую приватную информацию о жизни объектов. И что бы я делал в случае взлома? (Например, в 2013 году взломали систему безопасности программы Evernote и 50 млн пользователей пришлось менять пароли.)
• Я не мог напрямую контролировать использование таких программ или управление хранящимися в них данными.
• Стоило мне упомянуть в общении с клиентами слово «облако», как многие из них тут же отвечали решительным «нет!».
Так я понял, что необходимо создать собственные серверы. Мы закупили место на проверенных и защищенных серверах. Создали собственный защищенный VPN-сервер и установили ПО, которое выбрали сами. Все это оградили стеной файерволов, роутеров и VPN.
Теперь я мог контролировать собранную информацию управлять ею, обновлять, передавать и обеспечивать ее максимальную защищенность. Короче говоря, по ночам можно было спать спокойно и не бояться, что данные моих клиентов кто-то похитит.
Возможно, вы найдете другое решение. Главное — относиться к хранению, управлению, обновлению, передаче и обеспечению собранных данных о клиентах с максимальной серьезностью.
Не связанные с использованием технологий методы сбора данных из открытых источников
Сюда я отношу любые действия социального инженера, не предполагающие использование компьютера. Вы можете подсмотреть, как компьютером пользуется ваш объект, но сами, как социальный инженер, к гаджетам притрагиваться не должны: информация собирается без использования техники. В этом разделе можно было бы описать огромное количество самых разных методов — для удобства назовем их навыками наблюдения. Ниже я объясню, что это такое, и приведу некоторые примеры.
Навыки наблюдения
На первый взгляд может показаться, что наблюдать очень просто. Тем не менее успешно использовать наблюдение в работе удается далеко не каждому, особенно сегодня, когда все стали зависимы от соцсетей. Да и маркетологи из кожи вон лезут, обучая нас не обращать внимания на детали. В 2015 году Эмили Драго из Университета Элон провела исследование под названием «Влияние технологий на личное общение». Его результаты показали, что развитие гаджетов связано со снижением качества общения в реальной жизни. 62 % участников исследования пользовались мобильными телефонами во время живого общения, хотя прекрасно понимали, что это не помогает вести беседу.
ЗАМЕТКА
Результаты исследования «Влияние технологий на личное общение» (на английском) можно найти на сайте университета https://www.elon.edu/docs/e-web/academics/communications/research/vol6no1/02DragoEJSpring15.pdf.
Мы живем в век эмодзи, мемов, сообщений из 280 символов и постов в социальных сетях. Темпы развития технологий восхищают. Однако эти самые технологии и создали условия, в которых люди разучились наблюдать за собеседником. Поэтому мы и начали разбор темы сбора информации с методов, не предполагающих использование технологий.
Возможно, сейчас вы задаетесь вопросами:
• Что означает термин «навыки наблюдения»?
• Как эти навыки можно у себя развить?
• Что это даст?
Давайте обсудим каждый из них и посмотрим, что вам удастся заметить и понять.
Что включают в себя навыки наблюдения?
Ниже описаны несколько сценариев, отражающих применение навыков наблюдения в жизни.
Сценарий первый
Ваша задача — пробраться в канцелярию крупной медицинской клиники. Причем сделать это при свете дня. Взламывать замки, пробираться через заборы и влезать в окна нельзя. Нужно проверить, позволят ли вам сотрудники рецепции и охраны пройти в помещение с ограниченным доступом. Иными словами, надо проникнуть в клинику и попасть в те ее отделения, где позволено находиться только персоналу.
Вот какие данные вы можете собрать из открытых источников с помощью наблюдения:
• Одежда. Этому простому фактору обычно уделяют мало внимания, а зря. Еще в первой главе я говорил, что социальным инженерам нужно подтолкнуть объект воздействия к принятию необдуманных решений. Поэтому если при попытке проникнуть в здание, куда все сотрудники приходят в повседневной одежде, вы нарядитесь в костюм-тройку, то обязательно привлечете к себе всеобщее внимание. Так что нужно понимать, как будут одеты окружающие, и выглядеть соответствующе.
• Входы и выходы. Точки входа и выхода нужно найти заранее, до того как вы попадете на территорию объекта. Существует ли место для курения, через которое можно проникнуть в здание? Все ли входы охраняются одинаково? Когда охранники сдают смену, какие входы остаются без охраны или без должного внимания со стороны охраны?
Ознакомительная версия. Доступно 18 страниц из 88