Я хочу, чтобы вы поняли, почему я начинаю своё выступление именно с этого слайда. Я хочу сказать, как мало вы знаете, если считаете, что плохой всегда означает злобный, постылый, а хороший – это всегда приятный и пушистый. Я хочу, чтобы вы вспоминали эту картинку с котятами, когда я начну рассказывать вам действительно ужасные вещи.
Моя презентация называется “Укради всё, убей всех, причини полный финансовый крах, или как я вошёл и плохо себя повёл!» просто потому, что рассказывает о провале системы безопасности.
Подпись на картинке с котятами гласит: «Армия тьмы. Милее, чем вы ожидали». На слайде с названием презентации изображена табличка с надписью «Охранник вернётся через 5 минут».
Я собираюсь объяснить вам, что вопросы физической безопасности и всё связанное с ними являются нашим самым слабым местом, потому что люди противопоставляют двухмерное трёхмерному и простое — сложному, когда подходят к входным дверям. Вы видите, что Джейсон И. Стрит имеет ещё много букв после фамилии, так что давайте я сначала представлюсь. У меня есть дневная работа и ночная работа. Дневная работа состоит в том, что я выполняю обязанности вице-президента по информационной безопасности в финансовой компании Stratagem 1 Solutions. Я работаю в офисной кабинке, окружённый множеством интересных событий. Я наблюдаю за файрволами, слежу за ID системами, я построил нашу собственную инфраструктуру и я нахожу более креативные способы защищать её от тех людей, которые могут «прийти за нами», и моей основной работой является «синяя команда», то есть защита.
Моя ночная работа заключается в исполнении обязанностей CIO – директора по информационным стратегиям, и примерно 3 раза в год я произвожу тестирование на проникновение, в этом заключается моя основная работа. Я выступаю на подобных мероприятиях по всему миру, я написал книгу «Dissecting the Hack: The F0rb1dd3n Network» в жанре документального детектива, я пишу статьи, и всё это я делаю ночью. Днём я реагирую на инциденты, а ночью создаю инциденты для других людей, так удобнее для обеих сторон.
Я люблю смотреть на эти фотографии. В этой бейсбольной кепке и чёрных очках я простоял час перед зданием охраняемого объекта индустриального парка, в воскресенье, при отсутствии прочего движения, и мимо меня дважды прошёл охранник, который даже не поинтересовался, что я здесь делаю на тротуаре и зачем осматриваю охраняемое здание, и не занёс это происшествие в рапорт.
На второй фотографии я изображён в очках, я как раз собирался подавать заявление на работу, здесь я одет в рубашку цвета сообщества хакеров «BlackHat», потому что мне нравится ходить с «предупреждающими наклейками». Я так и не получил эту работу, потому что был недостаточно квалифицирован, зато мне удалось получить их данные. Вот такая у меня была победа.
На следующем слайде вы видите ещё две фотографии, которые тоже мне нравятся.
Футболку с надписью я считаю лучшей, потому что в ней я почти украл машину. Я был в отеле на побережье и парковщик предоставил мне автомобиль, но я объяснил ему, что не могу взять эту машину прямо сейчас, он спросил почему, а я ответил – потому что я украду её. Видимо, он купился на надпись на моей футболке «Я источник неприятностей», и решил отдать мне чужую машину. Ему потребовалось время, чтобы понять, что я имею в виду, так что должен был ему сказать: «Вы должны забрать её обратно, потому что она может понадобиться владельцу».
Следующая рубашка – моя самая любимая. На одном из наиболее охраняемых объектов, которые я видел в жизни, прямо напротив Ground Zero, нулевого уровня Всемирного торгового центра на Манхеттене, через зал к главному лифту, который охраняют 8 охранников, проходит отряд SWAT, эти K9 с их пулемётами, а я на верхних этажах хожу себе такой в рубашке со значком «Компьютерщик вашей компании». Да, эта фотография нравится мне больше всего, и позже я расскажу вам об этой истории немного больше.
У меня есть CISSP (сертификат по информационной безопасности от некоммерческой организации International Information Systems Security Certifications Consortium), и я думаю, что согласно этическому кодексу должен упомянуть, что в своей презентации я использовал цитаты из трактата «Искусство войны» Сунь Цзы, китайского стратега и мыслителя V века.
Итак, моя презентация состоит из таких частей:
Вступление;
Факт – один факт, с которым мы столкнёмся при обсуждении этой темы;
Правила – 2 правила, которые я придумал, занимаясь своей работой;
Итоги – у нас будет целых 3 итога, вытекающих из этих 2-х правил;
Выводы и/или обсуждение.
Итак, почему именно эта тема? Я рассказывал об этом в прошлом году на конференции «36 CHARGE», я говорил о начале социальной инженерии, о вещах, которые вы могли бы сделать, чтобы попытаться попасть в охраняемое здание. Это была первая часть и, честно говоря, я получил некоторую обратную связь после этого, и ко мне обращались со всякими сложными вопросами.
Но я не эксперт в области социальной инженерии, я ничего не знаю о нейролингвистическом программировании (НЛП), не знаю методов распознавания лиц или технологии ниндзя. Однако я имею 100% успех при проникновении в здания, я просто вхожу туда, когда я использую навыки этой самой социальной инженерии. Но поверьте, я в ней не силён, просто такова наша современная безопасность.
Думаю, вы не узнаете от меня ничего нового, так что это скорее образовательная лекция, которая укажет вам начало пути, но надеюсь, что после неё вы вспомните то, что вынудит вас оглядеться вокруг и по-новому взглянуть на вещи, которые вам кажутся известными, и улучшить своё восприятие окружающего.
Но сейчас я не буду говорить о социальной инженерии, так что это весь ущерб, который я смог нанести после того, как ваш охранник позволил мне пройти через входные двери.
Итак, факт №1: я пробрался внутрь! Я сделал эту фотографию, как только открыл дверь и поднялся в зал. Я увидел дверь для служебного персонала, эта была дверь на охраняемую территорию, и я просто через неё прошёл, нажав кнопки 1-3-5.
Я бы мог нажать 5-3-1, или 3-1-5, неважно, я всё равно бы её открыл, потому что нажимал на кнопки, поверхность которых была вытерта от частого использования больше других. Я вернулся оттуда за 10 минут до начала нашей встречи, и никто не узнал, что я был там.
Ещё один весёлый случай был, когда я пошёл устраиваться на другую работу. Я решил быть плохим парнем, и когда я расписывался на ресепшене, то украл у них ручку. Потом я спросил, где у них туалет. Это не потому, что я пью слишком много диетической колы, просто я «теряюсь» в этих больших зданиях и могу бродить часами в поисках этого туалета, попутно осматривая всё здание.
В поисках туалета я неожиданно наткнулся на охраняемую часть территории рабочей зоны и нашёл вход для персонала. Он выглядел так, будто охрана этого объекта хвасталась своими системами безопасности стоимостью миллион долларов, но когда я посмотрел на дверь, то увидел маленькую штучку, стержень, который удерживает защелку двери. Если бы у меня был презерватив, я бы приспособил его, чтобы удержать дверь от закрывания. И тут я вспомнил про украденную ручку, свинтил с неё колпачок и одел на этот стержень, и дверь не защёлкнулась. Когда я вернулся туда через 20 минут после прогулки по «запретной» зоне, колпачок всё ещё был там. Никто не узнал, что я находился на охраняемом объекте, и это было весело!
Так вот, я не слесарь высшей категории, и мне не нужно быть мастером по замкам, чтобы люди пропустили меня через входную дверь. Мне не нужно быть супер ниндзя-кодером, чтобы просто украсть жёсткий диск с данными из вашего компьютера. Вот на этом видео показаны мои навыки мастера-взломщика и уникальная отмычка – обложка от картонной папки. Я просто вставляю лист картона между створками закрытой двери, провожу им снизу вверх, и двери открываются таким простым «ключом».
Дальше на слайде показан другой «ключ» — фальшивое электронное письмо, которое я поместил на планшет iPad. Если вы просто распечатаете его, это будет выглядеть фейком, вам скажут: «вы просто сами его напечатали!», но увидев его на планшете с этими синими гиперссылками, они говорят: «о, это волшебно, это должно быть правдой»!
Я должен был попасть на охраняемый объект в Нью-Йорке, потому что сетевой администратор заметил, что с компьютера заместителя финансового директора компании исходит большой сетевой трафик. Поэтому такой крутой специалист по сетям, как я, должен был попасть на этот объект и разобраться, что там происходит с сетью. Такова была легенда, и я потратил 2 часа в Google Docs, сочиняя это письмо. Итак, здесь сказано, что новый владелец этой компании был очень расстроен этим печальным событием и обратился к другой компании с просьбой, чтобы она выслала своего лучшего сетевого специалиста, то есть меня, для проверки их главного сервера. Ну и второе письмо было адресовано лично мне будто бы от директора по информационной безопасности второй компании, и он писал, что я должен бросить все свои дела и прибыть туда к завтрашнему дню. И что я должен выполнить работу на «отлично», потому что на этот проект смотрит «множество глаз». В общем, я сделал так, чтобы это звучало срочно и политично, чтобы никто особо не удивился моему приходу. Я показал это письмо «сетевому парню», он провел меня в офис, мы 10 минут разговаривали с директором по информационной безопасности. А потом этот парень сопровождал меня по всем рабочим столам с компьютерами, но я свободно мог вставлять свои флешки куда хотел и делать всё, что угодно. Так что я действительно очень полюбил это письмо.
Итак, меня не волнуют ваши кредитные карты, мне плевать на закон Сарбейнза-Оксли, на ISOs, на то, что Лестер получил «Линукс», я просто хочу поиметь вас, испортить вам настроение самым плохим образом, я хочу быть тем худшим, что может с вами случится в самое худшее время. Помните котят?
Так вот каковы 2 моих правила, которые я взял из кинофильма Serenity: «Я хочу безобразничать» и « Давай будем плохими парнями».
Это как красная команда против синей, поэтому не обижайтесь, если я ударю вас ниже пояса. Это как те банкиры, которых похищают и держат в заложниках всю их семью, пока грабителям не откроют двери банка. Это не смешно, такое действительно всё ещё происходит. Это одна из вещей, про которые люди говорят, что в ней нет ничего нового. Концепция того, что мы делаем, взята из фильма «Sneakers» («Тихушники») 1992 года. Это так, как будто бы люди нанимают вас, чтобы вы врывались в какие-то места, чтобы убедиться, что никто не может их взломать.
Сейчас с этим делом стало получше, но всё равно, концепция сохраняется, она не нова, и есть люди, которые разбираются в этом лучше меня.
Ещё одна вещь, которую мы должны понять, это то, что управление – это реагирование, а не предупреждение. Я процитирую слова Дана Эрвина, офицера службы безопасности компании Dow Chemical, сказанные им в 2008 году: «Лучший способ привлечь внимание руководства к плану стихийных бедствий — сжечь здание через улицу».
Приветствую всех присутствующих – я и есть этот огонь! А сейчас мы перейдём к весёлой части выступления, в которой я расскажу о нескольких способах разжигания таких огней.
Надпись на демотиваторе: «Простаки. Даже утята знают, как их распознать»!
Далее на слайдах изображено то, что я называю «используйте плохие факты», потому что я украл этот телефон, я «поимел» этот ноутбук, и 30 ноутбуков в этом офисе не имели противокражных тросиков, потому что руководство считало, что они и так «защищены». Когда я там появился, они как раз оснащали ноутбуки противокражными тросами, и один парень оставил на столе свой ноутбук вместе с тросом и отвёрткой, наверное, чтобы вору было удобно открутить трос, если бы он был подсоединён к ноутбуку. Но так как я был голоден, то украл с его стола только печенье.
Знаете, люди считают, что безопасность не должна быть настолько тщательной, чтобы они использовали противокражные тросы для защиты своих ноутбуков. Потому что вы должны прикрепить его к столу, а это трудно, нужно наклониться, поэтому давайте просто прокинем этот кабель над столом, ведь никто его не станет тянуть. И вы знаете, что большинство охранников действительно не пытаются потянуть за этот трос, чтобы проверить, но я не охранник, я вор, я потяну за него, чтобы попытаться украсть ноутбук.
Некоторые ребята используют кодовый замок, но я уверяю вас, что если этот код 0-0-0-0, я попробую его набрать, если это 1-1-1-1, я тоже попробую, и попробую набрать даже 9-9-9-9. И если ты такой хитроумный, что наберёшь 0-0-0-7, потому что такие, как ты, любят двигать только последнее или только первое колёсико замка, я попробую и этот вариант и всё равно открою замок.
Я собираюсь обшарить все ящики вашего стола и все шкафчики, и стану искать там всякие вещи. Порядочный и честный коллега не станет смотреть на чужой стол, что там лежит, но я не такой. На слайде справа вы видите ноутбук одного парня, он зафиксировал ноутбук совершенно правильно, и думал, что теперь, когда у него есть такой блестящий тросик, то его ноутбук защищён от кражи. Но потом он положил ключи в верхний ящик своего стола и перечеркнул этим всю безопасность.
На следующем слайде показано, почему я украл этот iPod в стиле «ретро», эти ключи от машины и водительское удостоверение. Потому что они валялись без присмотра.
А теперь представьте, что я взял её ключи, спустился на парковку, открыл машину, а потом положил бы ключи на место. И после работы я бы уже поджидал её на заднем сиденье автомобиля с пистолетом в руке. Из водительского удостоверения я бы узнал её домашний адрес, и мог прислать людей, которые убили бы её семью, если бы она не вернулась обратно на работу и не украла бы для меня нужные данные.
Работники должны знать, что их личные вещи принадлежат только им, но их кража может нанести серьёзный удар не только по ним, но и по компании, в которой они работают. Поэтому они сами должны обеспечить безопасность своих вещей. Давайте ещё раз вспомним милых котят с первого слайда.
Посмотрите на следующий слайд, знаете, почему там так много печальных смайликов? Потому что это полный «game over» для владельца этого бумажника – здесь есть пустая чековая книжка, кредитные карты, удостоверение личности и карта социального страхования с подписью владельца.
Когда я собирался украсть свой первый автомобиль, там крутилось слишком много людей, и тогда я пришёл в 2 часа ночи и вскрыл три «Мерседес-Бенц» и один «Бимер» и это заняло у меня меньше чем 60 секунд, как в фильме с Николасом Кейджем. Вы бы видели менеджера по безопасности, когда я пришёл к нему и вывалил на стол 4 ключа от этих автомобилей – выражение на его лице было просто неописуемым.
Кстати, я включил в презентацию этот слайд – эта картина рабочего стола у меня дома.
Поэтому я бы хотел, чтобы служащие принимали контрмеры против воровства, чтобы они запирали ящики на работе, даже если покидают рабочее место на короткое время, не оставляли на столах кошельки, кредитки, чековые книжки, обеспечивали безопасность своего имущества на работе и дома, безопасность своих машин. Я хочу, чтобы они понимали, что нельзя проходить «хвостом» двум человекам по одному пропуску и объясняли другим, что это угрожает их же безопасности. Нельзя никому передавать удостоверение, выданное вам компанией, нельзя оставлять без присмотра свой компьютер, ноутбук и смартфон. Наконец, если вы увидели подозрительного человека, или кого-то, кто не должен быть внутри или снаружи здания, немедленно сообщите об этом охране или полиции.
Вы знаете, что я сделал один раз? Я появился в инвалидном кресте с 4–мя книжками в руках. «Джейсон, ты придурок!», а я весь такой – да, я пытаюсь обокрасть тебя, ты и правда думаешь, что меня волнует моё ущербное положение, потому что я не должен быть в этой коляске? Я – зло, я действительно собираюсь сделать ЭТО, и ты просто пропустишь меня вовнутрь охраняемого объекта с этими 4 книжками.
Я хочу заметить, что вам не нужно самому выталкивать такого инвалида за двери, или открывать перед ним двери, если вы смущаетесь или боитесь его оскорбить. Но если вы увидели что-то подозрительное – скажите об этом. Помните, что любой работник – это часть системы безопасности компании. Если вы считаете что-то подозрительным, не стесняйтесь сообщить об этом охране, это их работа – проверять всех подозрительных посетителей.
Итак, мы выяснили, что значит «укради всё», поэтому сейчас поговорим на тему «убей всех».
На этом слайде изображено фото, сделанное в 2-30 воскресной ночи в рабочей зоне подвала отеля, я ходил там в пижаме и босиком, потому что снял всю свою одежду в ванной комнате гостевой зоны, и думал, что я могу здесь сделать, и как выяснилось, я мог бы сделать очень много. Я зашёл в помещение с механическим оборудованием и увидел, что ни на одном из рубильников нет замков.
Представьте, что у меня что-то вроде OBS, обсессивно-компульсивного расстройства, я псих, и если эти рубильники будут выключены, я их включу, если включены – я их выключу, если там есть красная кнопка, то я нажму её дважды, но не думайте, что я полный придурок. Если там какие-то ядовитые химикаты, то они загорятся, и дым пойдёт в вентиляцию, и может сработать пожарная сигнализация. Но я не настолько ужасный тип, чтобы беспокоить людей в половине третьего ночи, кто же захочет вставать посреди ночи, разбуженный этими звонками тревоги, поэтому я просто приглушу тревогу.
Вот, кстати, как выглядит пожарная сигнализация в этом же подвале – вот эти коробочки, а под ними красные кнопки. Но если вас не разбудят тревожные звонки, то противопожарная система с потолка начнёт брызгать вам в лицо холодной водой, и это в 2-30 ночи! Это очень жестоко! Поэтому я так же перекрою подачу воды в пожарную систему с помощью вот этих кранов, показанных на следующем слайде.
Ещё одно место, которое отлично подходит для убийства людей, это кухня отеля. Этот парень на слайде спросил меня, что я там делаю, но большинство людей бы не спросили.
Сейчас я покажу вам видео, которое снял в одном отеле в Малайзии. Я был одет в ту же рубашку, что и сейчас, вот посмотрите, что там произошло.
На видео показано, что съёмку ведёт быстро идущий человек. Он перемещается по каким-то коридорам с открытыми дверями, наталкивается на кучу столов. Джейсон говорит, что уже хотел украсть один стол, но заметил в аудитории человека и решил не рисковать. Камера движется дальше и оказывается перед дверью в охраняемое помещение. Снаружи двери находится металлический замок. На двери табличка: «Осторожно, опасные химикаты»!
Джейсон: «Я не вошёл туда с «Узи» или «АК-47», я не принёс с собой взрывчатку С-4, я просто пришёл сюда, в это помещение, с ядом. Давайте посмотрим, что я смогу сделать». Далее камера отъезжает от двери, следует по коридору и попадает в помещение кухни.
Я решил осмотреться, что ещё имеется вокруг, и неожиданно наткнулся на кухню. Прямо рядом с этим ядовитым помещением. В кухне был один человек, я сказал ему: «Привет!», но он мне не ответил, придурок. Здесь были холодильники с едой и место приготовления пищи, поэтому, если бы я хотел расправиться со всеми постояльцами отеля, то просто отравил бы все продукты на кухне, тем более, что яд находился в соседнем помещении.
Дальше я прошёл ещё через одну дверь, коридор, и оказался в помещении с механическим оборудованием. Видите, здесь есть 2 парня, поэтому я использую приёмы социальной инженерии. Я спрашиваю их: «Как дела?», они отвечают: «ОК!», и я просто прохожу дальше. Вот ещё двери, коридор, и я вхожу опять на кухню. В этом отеле хорошо защищают информацию, все данные о постояльцах находятся в компьютере, и вы не можете просто так подойти и спросить, кто и где остановился. Но зато на кухне, прямо на стене, висят списки с именами и номерами комнат, и у каждого постояльца свой номер. На сегодня это довольно не технологичный сервис. Дальше я снова использовал социальную инженерию, заглянул в кабинку к главному менеджеру и спросил, что они используют для интернета – сеть WI-Fi или кабель, я был в своей хакерской рубашке, с iPad в руках, то есть не вызывал никаких подозрений.
Скажу вам так: люди не ожидают, что могут произойти плохие вещи, пока они действительно не происходят. На следующем слайде приведены меры против насилия на рабочих местах:
Научите своих людей, чтобы они по одному слову понимали, что происходит на рабочих местах, научите их этому кодовому слову. Я всегда говорю людям, что код «О боже, у него пистолет, мы все умрём!», не самый лучший код в случае опасности. Я советую им использовать слово Periwinkle (барвинок) в таком сочетании: «Где мистер Перивинкл? Мистера Перевинкла вызывают!» и тому подобное. Я надеюсь, что когда-нибудь создадут Институт Перивинкла, потому что это очень смешное слово.
Проверяйте безопасность своего оборудования и своих людей постоянно. Когда я ходил по одному объекту в течение часа, то заметил дверь, которую легко мог взломать. Прямо над ней была камера, и ещё две камеры на парковке, плохо настроенные. И мимо них можно было бы пройти по диагонали, и никто бы вас не заметил, особенно если бы вы изменили угол этой единственной камеры над дверью. Я стал говорить об этом с начальником службы безопасности, он махнул рукой, сказал, что это ерунда, и пригласил меня в свой кабинет. Охраны там не было, он показал мне экраны компьютеров и мониторов, они все были выключены. Он включил их, и одна камера не работала – это была именно та камера над дверью, которая единственная обеспечивала грамотное наблюдение. Я посмотрел ему в глаза и сказал: «Это несерьёзно!». Я думаю, что был не единственным, кто смог это проверить, потому что теперь этот человек уже бывший начальник СБ.
Теперь перейдём к третьей части презентации – полному финансовому краху, и начнём со шпионажа. Посмотрите на эти хмурые смайлики на слайде – это означает, что всё плохо.
Знаете, почему? Потому что я защитник окружающей среды! Вы знаете, как много бедных деревьев бессмысленно умирают каждый день ради тех распечаток, которые вы оставляете возле своего принтера? Так знайте, что они умирают не напрасно, потому что когда я приду, я заберу их все. Я освобожу эти деревья! Я возьму ваши распечатки и унесу с собой, просто чтобы быть уверенным, что вы не забыли про бедные деревья.
Знаете, почему это грустно на самом деле – потому что эти люди всё ещё используют машины для уничтожения бумаг с конфиденциальными данными. Однако всё, что надо было бы измельчить, пропустить через шредер, мы пока что положим в это большое синее ведро.
Это всё конфиденциальная информация, и так делается в округе Колумбия, и в финансовых учреждениях, и в Министерстве обороны, во всех этих охраняемых офисах, куда даже не могут войти уборщики помещений, потому что там сверхсекретные данные. И знаете, что затем делают сотрудники? Ночью они просто выносят это синее ведро с бумагами и ставят его за дверью! Это действительно ужасно, то есть я хочу сказать, ужасно для такого плохого парня, как я. Пойдём дальше.
Если злоумышленник не знает, где находится флеш-драйв вашего обменного сервера, просто оставьте флешку в нужном USB порте. Тем самым вы покажете, откуда нужно скачивать конфиденциальную информацию. А как насчёт вашего финансового сервера, где находятся все аккаунты? 25 сотрудников, которые получают там зарплату, считают, что в этом нет ничего страшного – наклеить бумажку с надписью ACCOUNTING на одном из компьютеров. Чтобы преступник не тратил время на поиски этого сервера, а сразу вставил флешку куда надо.
Если вы хотите организовать прослушку, вам не нужно искать что-то особенное – просто подойдите к этой путанице проводов и используйте тот, что вам нужно.
Вы знаете, как трудно бывает украсть или подделать пароли? Нужно разбираться в Linux, быть технически подкованным, это не про меня. Поэтому я просто подойду к этому столу и прочитаю пароль на стикере.
Обычно я снимаю стикер с паролем и оставляю зажим пустым, чтобы заставить их немного задуматься.
А эта картинка на верхнем слайде одна из моих любимых. Это офис фармацевтической лаборатории, выполняющей биохимические исследования. Это сложные вещи, поэтому покончим с ракетными науками и напишем пароль попроще. И они зачёркивают специальный буквенно-символьный пароль, который был достаточно сложным, и заменяют его вот этим словом Welcome. Действительно, добро пожаловать в мой компьютер!
Существует вещь похуже, чем увидеть меня в пижаме Пепси – это увидеть меня в строгом костюме, потому что он даёт мне возможность совершать действительно ужасные вещи. Потому что если я в этом костюме, значит, я хочу тебя «кинуть».
Рядом с ним моя любимая одежда – это жилетка, которую я называю Wasted Doom, «Бессмысленная гибель», потому что считаю, что это круто звучит.
На этом слайде вы видите мои «игрушки», я рассказывал о них в прошлом году, а сейчас у меня уже есть версия жилетки Wasted Doom 2.0. Я использую вот такие пишущие ручки с видеокамерой и USB, я не оставляю их в своём кармане, а кладу в ваш маленький стаканчик для карандашей и ухожу, а встроенная видеокамера запишет все ваши логины, пароли и ваши разговоры.
У меня есть потрясающий маленький фонарик – видеокамера с 8 ГБ памяти и USB, так что я могу с его помощью украсть ваши данные, кроме того, в мои наручные часы также встроен видеорекордер. С помощью этих устройств я могу делать всё, что хочу. Их предоставило мне одно агентство из 3-х букв, расположенное в округе Колумбия, и единственным условием использования этого оборудования, на создание которого были потрачены миллиарды долларов, было моё обязательство никогда не говорить об этом публично.
Ещё одно устройство, которое я ношу в своей жилетке, выглядит как обычная USB «флешка». Это Spy Keylogger, или клавиатурный шпион, который умеет перехватывать и записывать все манипуляции с клавиатурой компьютера. Его не обнаруживает ни один антивирус, его очень сложно засечь визуально и достаточно просто вставить в любой свободный разъём – существует 2 варианта исполнения, под USB или разъём клавиатуры PS2. Он записывает всё, что вы набираете на клавиатуре. Я нашёл его на сайте Think Geek.
На следующем сайте показана Матрица Рисков.
По вертикали расположена ось вероятности риска при использовании шпионских штучек, доступных для приобретения на сайте Think Geek, а по горизонтали – интенсивность или степень воздействия. Низкая степень риска показана зелёным цветом, средняя – желтым, а красный цвет означает полную катастрофу. Так вот, перехват нажатий клавиатуры компьютера CEO, или главного исполнительного директора, приводит именно к таким последствиям.
Считается, что имеется весьма ограниченная группа людей, которая имеет доступ ко всем показанным здесь шпионским технологиям. Однако представьте себе, оказывается, их может купить любой – вот на этих рекламных листовках показано множество устройств для офисного шпионажа. Вы думаете, что только хакеры могут красть данные? Совсем не обязательно!
Если я действительно ненавижу своего босса, я ненавижу свою работу, я хочу украсть целую кучу секретов компании, что я сделаю? Я воспользуюсь этими флаерами, которые кидают в мой почтовый ящик, и увижу, что могу использовать этот клавиатурный перехватчик, чтобы украсть информацию с компьютера босса, я использую видеорекордер для записи секретов и аудиорекордер для записи конфиденциальных переговоров и встреч. Это не трудно. Я всегда говорю – это легко сделать, если вы можете проделать это сами! Люди защищаются от серьёзных угроз, приходящих извне, но не учитывают рисков, связанных с угрозами внутри самой компании.
На следующем слайде показано подключение адаптеров для Pony Express в филиале одного из банков на западном побережье. У меня было 4 филиала, 4 попытки, 4 успеха. После 4-й попытки они, наконец, сказали мне остановиться. Причина, почему мне удалось это проделать, почему мне удалось беспрепятственно проникнуть в эти филиалы, заключалась в следующем.
Я пришёл к ним одетый в синюю куртку DEFCON, на мне была рабочая одежда, на ней были предупреждающие нашивки, и я сказал им, что меня прислали из главного офиса. Я сказал, что у нас было падение напряжения в сети, и мне нужно проверить, не повлияло ли это на производимые вами операции, поэтому вставьте этот прибор в вашу сеть, так что вы сможете снимать показания и передавать их в главный офис, чтобы они поняли, что происходит. И кстати, мне нужно зайти и убедиться, что все компьютеры работают правильно, на них не повлияли скачки напряжения и что ИБП находятся в нормальном состоянии.
У меня было фальшивое имя, фальшивая компания-поставщик оборудования, фальшивый номер телефона компании, но мне всё сошло с рук. Если бы я ворвался к ним в маске с дробовиком в руках, они бы знали, как нужно действовать, их этому обучали. Но они не предусмотрели вариант такого помешанного, как я. Они провели меня через кассовую зону, через задние комнаты, мимо хранилища с деньгами, мимо большого сейфа. Представьте, какой ущерб я мог бы им нанести! Но всё, что я сделал, это подключил мой маленький адаптер Pony Express. Справа на слайде вы видите ИБП, куда я подключился, для этого мне пришлось попросить менеджера встать из-за своего стола.
Поэтому я хочу рассказать вам о контрмерах против внутреннего шпионажа:
В первую очередь нужно научить своих работников не нажимать на фишинговые ссылки в письмах, не заходить на вредоносные сайты, не говорить, что этот тупой пользователь зашёл туда, не называть их глупыми, а научить, что так делать нельзя. Это всё равно, что я нанимаю сотрудника, у которого нет водительских прав, а потом даю ему ключи от машины и говорю: «Пойди, пригони мой «Бентли» сюда!», он едет и разбивает машину. Но идиот – это не тот парень, который вёл машину, а тот, кто дал ему эти ключи! Если вы даёте сотрудникам технологии, то должны научить их пользоваться ими. Вы должны научить своих сотрудников понимать, что они собираются сделать. Вы должны усилить своих работников. Когда я говорю «усилить», то не имею в виду профсоюзы, или то, что они должны вооружиться бейсбольными битами, хотя это было бы прикольно.
Нужно, чтобы ваши сотрудники знали, что они является частью команды безопасности вашей компании, от генерального директора и до курьера, чтобы они понимали, как много от них зависит. Они должны знать, что соблюдение безопасности – это их работа и их долг, что от них требуется соблюдать безопасность.
У меня на работе есть парень, который еженедельно пересылает мне по 15 писем из своей почты, которые он считает фишинговыми или просто странными, чтобы я их проверил на вредоносность. И я каждый раз говорю ему «замечательно, спасибо», потому что 16-е письмо может быть действительно опасным и не будет ложной тревогой. Нужно сделать так, чтобы люди замечали, что кто-то без значка находится в неположенном месте, и останавливали его и спрашивали, что он тут делает. Нужно говорить людям, что они поступили правильно. Чтобы это порождало конкуренцию, чтобы сотрудники говорили: «эта чёртова Сюзанна всегда получает кредит, потому что делает такие вещи!», значит, остальные тоже должны так поступать, они должны отлавливать тех, у кого нет значка. Это не значит, что они должны останавливать кого-то силой, для этого есть охрана.
У вас есть огромный человеческий потенциал для обеспечения безопасности, поэтому просто научитесь его правильно использовать! И как только вы перестанете говорить «тупые пользователи» и начнёте говорить «мои коллеги по департаменту информационной безопасности», вы выиграете!
Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).
Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?
Моя презентация называется “Укради всё, убей всех, причини полный финансовый крах, или как я вошёл и плохо себя повёл!» просто потому, что рассказывает о провале системы безопасности.
Подпись на картинке с котятами гласит: «Армия тьмы. Милее, чем вы ожидали». На слайде с названием презентации изображена табличка с надписью «Охранник вернётся через 5 минут».
Я собираюсь объяснить вам, что вопросы физической безопасности и всё связанное с ними являются нашим самым слабым местом, потому что люди противопоставляют двухмерное трёхмерному и простое — сложному, когда подходят к входным дверям. Вы видите, что Джейсон И. Стрит имеет ещё много букв после фамилии, так что давайте я сначала представлюсь. У меня есть дневная работа и ночная работа. Дневная работа состоит в том, что я выполняю обязанности вице-президента по информационной безопасности в финансовой компании Stratagem 1 Solutions. Я работаю в офисной кабинке, окружённый множеством интересных событий. Я наблюдаю за файрволами, слежу за ID системами, я построил нашу собственную инфраструктуру и я нахожу более креативные способы защищать её от тех людей, которые могут «прийти за нами», и моей основной работой является «синяя команда», то есть защита.
Моя ночная работа заключается в исполнении обязанностей CIO – директора по информационным стратегиям, и примерно 3 раза в год я произвожу тестирование на проникновение, в этом заключается моя основная работа. Я выступаю на подобных мероприятиях по всему миру, я написал книгу «Dissecting the Hack: The F0rb1dd3n Network» в жанре документального детектива, я пишу статьи, и всё это я делаю ночью. Днём я реагирую на инциденты, а ночью создаю инциденты для других людей, так удобнее для обеих сторон.
Я люблю смотреть на эти фотографии. В этой бейсбольной кепке и чёрных очках я простоял час перед зданием охраняемого объекта индустриального парка, в воскресенье, при отсутствии прочего движения, и мимо меня дважды прошёл охранник, который даже не поинтересовался, что я здесь делаю на тротуаре и зачем осматриваю охраняемое здание, и не занёс это происшествие в рапорт.
На второй фотографии я изображён в очках, я как раз собирался подавать заявление на работу, здесь я одет в рубашку цвета сообщества хакеров «BlackHat», потому что мне нравится ходить с «предупреждающими наклейками». Я так и не получил эту работу, потому что был недостаточно квалифицирован, зато мне удалось получить их данные. Вот такая у меня была победа.
На следующем слайде вы видите ещё две фотографии, которые тоже мне нравятся.
Футболку с надписью я считаю лучшей, потому что в ней я почти украл машину. Я был в отеле на побережье и парковщик предоставил мне автомобиль, но я объяснил ему, что не могу взять эту машину прямо сейчас, он спросил почему, а я ответил – потому что я украду её. Видимо, он купился на надпись на моей футболке «Я источник неприятностей», и решил отдать мне чужую машину. Ему потребовалось время, чтобы понять, что я имею в виду, так что должен был ему сказать: «Вы должны забрать её обратно, потому что она может понадобиться владельцу».
Следующая рубашка – моя самая любимая. На одном из наиболее охраняемых объектов, которые я видел в жизни, прямо напротив Ground Zero, нулевого уровня Всемирного торгового центра на Манхеттене, через зал к главному лифту, который охраняют 8 охранников, проходит отряд SWAT, эти K9 с их пулемётами, а я на верхних этажах хожу себе такой в рубашке со значком «Компьютерщик вашей компании». Да, эта фотография нравится мне больше всего, и позже я расскажу вам об этой истории немного больше.
У меня есть CISSP (сертификат по информационной безопасности от некоммерческой организации International Information Systems Security Certifications Consortium), и я думаю, что согласно этическому кодексу должен упомянуть, что в своей презентации я использовал цитаты из трактата «Искусство войны» Сунь Цзы, китайского стратега и мыслителя V века.
Итак, моя презентация состоит из таких частей:
Вступление;
Факт – один факт, с которым мы столкнёмся при обсуждении этой темы;
Правила – 2 правила, которые я придумал, занимаясь своей работой;
Итоги – у нас будет целых 3 итога, вытекающих из этих 2-х правил;
Выводы и/или обсуждение.
Итак, почему именно эта тема? Я рассказывал об этом в прошлом году на конференции «36 CHARGE», я говорил о начале социальной инженерии, о вещах, которые вы могли бы сделать, чтобы попытаться попасть в охраняемое здание. Это была первая часть и, честно говоря, я получил некоторую обратную связь после этого, и ко мне обращались со всякими сложными вопросами.
Но я не эксперт в области социальной инженерии, я ничего не знаю о нейролингвистическом программировании (НЛП), не знаю методов распознавания лиц или технологии ниндзя. Однако я имею 100% успех при проникновении в здания, я просто вхожу туда, когда я использую навыки этой самой социальной инженерии. Но поверьте, я в ней не силён, просто такова наша современная безопасность.
Думаю, вы не узнаете от меня ничего нового, так что это скорее образовательная лекция, которая укажет вам начало пути, но надеюсь, что после неё вы вспомните то, что вынудит вас оглядеться вокруг и по-новому взглянуть на вещи, которые вам кажутся известными, и улучшить своё восприятие окружающего.
Но сейчас я не буду говорить о социальной инженерии, так что это весь ущерб, который я смог нанести после того, как ваш охранник позволил мне пройти через входные двери.
Итак, факт №1: я пробрался внутрь! Я сделал эту фотографию, как только открыл дверь и поднялся в зал. Я увидел дверь для служебного персонала, эта была дверь на охраняемую территорию, и я просто через неё прошёл, нажав кнопки 1-3-5.
Я бы мог нажать 5-3-1, или 3-1-5, неважно, я всё равно бы её открыл, потому что нажимал на кнопки, поверхность которых была вытерта от частого использования больше других. Я вернулся оттуда за 10 минут до начала нашей встречи, и никто не узнал, что я был там.
Ещё один весёлый случай был, когда я пошёл устраиваться на другую работу. Я решил быть плохим парнем, и когда я расписывался на ресепшене, то украл у них ручку. Потом я спросил, где у них туалет. Это не потому, что я пью слишком много диетической колы, просто я «теряюсь» в этих больших зданиях и могу бродить часами в поисках этого туалета, попутно осматривая всё здание.
В поисках туалета я неожиданно наткнулся на охраняемую часть территории рабочей зоны и нашёл вход для персонала. Он выглядел так, будто охрана этого объекта хвасталась своими системами безопасности стоимостью миллион долларов, но когда я посмотрел на дверь, то увидел маленькую штучку, стержень, который удерживает защелку двери. Если бы у меня был презерватив, я бы приспособил его, чтобы удержать дверь от закрывания. И тут я вспомнил про украденную ручку, свинтил с неё колпачок и одел на этот стержень, и дверь не защёлкнулась. Когда я вернулся туда через 20 минут после прогулки по «запретной» зоне, колпачок всё ещё был там. Никто не узнал, что я находился на охраняемом объекте, и это было весело!
Так вот, я не слесарь высшей категории, и мне не нужно быть мастером по замкам, чтобы люди пропустили меня через входную дверь. Мне не нужно быть супер ниндзя-кодером, чтобы просто украсть жёсткий диск с данными из вашего компьютера. Вот на этом видео показаны мои навыки мастера-взломщика и уникальная отмычка – обложка от картонной папки. Я просто вставляю лист картона между створками закрытой двери, провожу им снизу вверх, и двери открываются таким простым «ключом».
Дальше на слайде показан другой «ключ» — фальшивое электронное письмо, которое я поместил на планшет iPad. Если вы просто распечатаете его, это будет выглядеть фейком, вам скажут: «вы просто сами его напечатали!», но увидев его на планшете с этими синими гиперссылками, они говорят: «о, это волшебно, это должно быть правдой»!
Я должен был попасть на охраняемый объект в Нью-Йорке, потому что сетевой администратор заметил, что с компьютера заместителя финансового директора компании исходит большой сетевой трафик. Поэтому такой крутой специалист по сетям, как я, должен был попасть на этот объект и разобраться, что там происходит с сетью. Такова была легенда, и я потратил 2 часа в Google Docs, сочиняя это письмо. Итак, здесь сказано, что новый владелец этой компании был очень расстроен этим печальным событием и обратился к другой компании с просьбой, чтобы она выслала своего лучшего сетевого специалиста, то есть меня, для проверки их главного сервера. Ну и второе письмо было адресовано лично мне будто бы от директора по информационной безопасности второй компании, и он писал, что я должен бросить все свои дела и прибыть туда к завтрашнему дню. И что я должен выполнить работу на «отлично», потому что на этот проект смотрит «множество глаз». В общем, я сделал так, чтобы это звучало срочно и политично, чтобы никто особо не удивился моему приходу. Я показал это письмо «сетевому парню», он провел меня в офис, мы 10 минут разговаривали с директором по информационной безопасности. А потом этот парень сопровождал меня по всем рабочим столам с компьютерами, но я свободно мог вставлять свои флешки куда хотел и делать всё, что угодно. Так что я действительно очень полюбил это письмо.
Итак, меня не волнуют ваши кредитные карты, мне плевать на закон Сарбейнза-Оксли, на ISOs, на то, что Лестер получил «Линукс», я просто хочу поиметь вас, испортить вам настроение самым плохим образом, я хочу быть тем худшим, что может с вами случится в самое худшее время. Помните котят?
Так вот каковы 2 моих правила, которые я взял из кинофильма Serenity: «Я хочу безобразничать» и « Давай будем плохими парнями».
Это как красная команда против синей, поэтому не обижайтесь, если я ударю вас ниже пояса. Это как те банкиры, которых похищают и держат в заложниках всю их семью, пока грабителям не откроют двери банка. Это не смешно, такое действительно всё ещё происходит. Это одна из вещей, про которые люди говорят, что в ней нет ничего нового. Концепция того, что мы делаем, взята из фильма «Sneakers» («Тихушники») 1992 года. Это так, как будто бы люди нанимают вас, чтобы вы врывались в какие-то места, чтобы убедиться, что никто не может их взломать.
Сейчас с этим делом стало получше, но всё равно, концепция сохраняется, она не нова, и есть люди, которые разбираются в этом лучше меня.
Ещё одна вещь, которую мы должны понять, это то, что управление – это реагирование, а не предупреждение. Я процитирую слова Дана Эрвина, офицера службы безопасности компании Dow Chemical, сказанные им в 2008 году: «Лучший способ привлечь внимание руководства к плану стихийных бедствий — сжечь здание через улицу».
Приветствую всех присутствующих – я и есть этот огонь! А сейчас мы перейдём к весёлой части выступления, в которой я расскажу о нескольких способах разжигания таких огней.
Надпись на демотиваторе: «Простаки. Даже утята знают, как их распознать»!
Далее на слайдах изображено то, что я называю «используйте плохие факты», потому что я украл этот телефон, я «поимел» этот ноутбук, и 30 ноутбуков в этом офисе не имели противокражных тросиков, потому что руководство считало, что они и так «защищены». Когда я там появился, они как раз оснащали ноутбуки противокражными тросами, и один парень оставил на столе свой ноутбук вместе с тросом и отвёрткой, наверное, чтобы вору было удобно открутить трос, если бы он был подсоединён к ноутбуку. Но так как я был голоден, то украл с его стола только печенье.
Знаете, люди считают, что безопасность не должна быть настолько тщательной, чтобы они использовали противокражные тросы для защиты своих ноутбуков. Потому что вы должны прикрепить его к столу, а это трудно, нужно наклониться, поэтому давайте просто прокинем этот кабель над столом, ведь никто его не станет тянуть. И вы знаете, что большинство охранников действительно не пытаются потянуть за этот трос, чтобы проверить, но я не охранник, я вор, я потяну за него, чтобы попытаться украсть ноутбук.
Некоторые ребята используют кодовый замок, но я уверяю вас, что если этот код 0-0-0-0, я попробую его набрать, если это 1-1-1-1, я тоже попробую, и попробую набрать даже 9-9-9-9. И если ты такой хитроумный, что наберёшь 0-0-0-7, потому что такие, как ты, любят двигать только последнее или только первое колёсико замка, я попробую и этот вариант и всё равно открою замок.
Я собираюсь обшарить все ящики вашего стола и все шкафчики, и стану искать там всякие вещи. Порядочный и честный коллега не станет смотреть на чужой стол, что там лежит, но я не такой. На слайде справа вы видите ноутбук одного парня, он зафиксировал ноутбук совершенно правильно, и думал, что теперь, когда у него есть такой блестящий тросик, то его ноутбук защищён от кражи. Но потом он положил ключи в верхний ящик своего стола и перечеркнул этим всю безопасность.
На следующем слайде показано, почему я украл этот iPod в стиле «ретро», эти ключи от машины и водительское удостоверение. Потому что они валялись без присмотра.
А теперь представьте, что я взял её ключи, спустился на парковку, открыл машину, а потом положил бы ключи на место. И после работы я бы уже поджидал её на заднем сиденье автомобиля с пистолетом в руке. Из водительского удостоверения я бы узнал её домашний адрес, и мог прислать людей, которые убили бы её семью, если бы она не вернулась обратно на работу и не украла бы для меня нужные данные.
Работники должны знать, что их личные вещи принадлежат только им, но их кража может нанести серьёзный удар не только по ним, но и по компании, в которой они работают. Поэтому они сами должны обеспечить безопасность своих вещей. Давайте ещё раз вспомним милых котят с первого слайда.
Посмотрите на следующий слайд, знаете, почему там так много печальных смайликов? Потому что это полный «game over» для владельца этого бумажника – здесь есть пустая чековая книжка, кредитные карты, удостоверение личности и карта социального страхования с подписью владельца.
Когда я собирался украсть свой первый автомобиль, там крутилось слишком много людей, и тогда я пришёл в 2 часа ночи и вскрыл три «Мерседес-Бенц» и один «Бимер» и это заняло у меня меньше чем 60 секунд, как в фильме с Николасом Кейджем. Вы бы видели менеджера по безопасности, когда я пришёл к нему и вывалил на стол 4 ключа от этих автомобилей – выражение на его лице было просто неописуемым.
Кстати, я включил в презентацию этот слайд – эта картина рабочего стола у меня дома.
Поэтому я бы хотел, чтобы служащие принимали контрмеры против воровства, чтобы они запирали ящики на работе, даже если покидают рабочее место на короткое время, не оставляли на столах кошельки, кредитки, чековые книжки, обеспечивали безопасность своего имущества на работе и дома, безопасность своих машин. Я хочу, чтобы они понимали, что нельзя проходить «хвостом» двум человекам по одному пропуску и объясняли другим, что это угрожает их же безопасности. Нельзя никому передавать удостоверение, выданное вам компанией, нельзя оставлять без присмотра свой компьютер, ноутбук и смартфон. Наконец, если вы увидели подозрительного человека, или кого-то, кто не должен быть внутри или снаружи здания, немедленно сообщите об этом охране или полиции.
Вы знаете, что я сделал один раз? Я появился в инвалидном кресте с 4–мя книжками в руках. «Джейсон, ты придурок!», а я весь такой – да, я пытаюсь обокрасть тебя, ты и правда думаешь, что меня волнует моё ущербное положение, потому что я не должен быть в этой коляске? Я – зло, я действительно собираюсь сделать ЭТО, и ты просто пропустишь меня вовнутрь охраняемого объекта с этими 4 книжками.
Я хочу заметить, что вам не нужно самому выталкивать такого инвалида за двери, или открывать перед ним двери, если вы смущаетесь или боитесь его оскорбить. Но если вы увидели что-то подозрительное – скажите об этом. Помните, что любой работник – это часть системы безопасности компании. Если вы считаете что-то подозрительным, не стесняйтесь сообщить об этом охране, это их работа – проверять всех подозрительных посетителей.
Итак, мы выяснили, что значит «укради всё», поэтому сейчас поговорим на тему «убей всех».
На этом слайде изображено фото, сделанное в 2-30 воскресной ночи в рабочей зоне подвала отеля, я ходил там в пижаме и босиком, потому что снял всю свою одежду в ванной комнате гостевой зоны, и думал, что я могу здесь сделать, и как выяснилось, я мог бы сделать очень много. Я зашёл в помещение с механическим оборудованием и увидел, что ни на одном из рубильников нет замков.
Представьте, что у меня что-то вроде OBS, обсессивно-компульсивного расстройства, я псих, и если эти рубильники будут выключены, я их включу, если включены – я их выключу, если там есть красная кнопка, то я нажму её дважды, но не думайте, что я полный придурок. Если там какие-то ядовитые химикаты, то они загорятся, и дым пойдёт в вентиляцию, и может сработать пожарная сигнализация. Но я не настолько ужасный тип, чтобы беспокоить людей в половине третьего ночи, кто же захочет вставать посреди ночи, разбуженный этими звонками тревоги, поэтому я просто приглушу тревогу.
Вот, кстати, как выглядит пожарная сигнализация в этом же подвале – вот эти коробочки, а под ними красные кнопки. Но если вас не разбудят тревожные звонки, то противопожарная система с потолка начнёт брызгать вам в лицо холодной водой, и это в 2-30 ночи! Это очень жестоко! Поэтому я так же перекрою подачу воды в пожарную систему с помощью вот этих кранов, показанных на следующем слайде.
Ещё одно место, которое отлично подходит для убийства людей, это кухня отеля. Этот парень на слайде спросил меня, что я там делаю, но большинство людей бы не спросили.
Сейчас я покажу вам видео, которое снял в одном отеле в Малайзии. Я был одет в ту же рубашку, что и сейчас, вот посмотрите, что там произошло.
На видео показано, что съёмку ведёт быстро идущий человек. Он перемещается по каким-то коридорам с открытыми дверями, наталкивается на кучу столов. Джейсон говорит, что уже хотел украсть один стол, но заметил в аудитории человека и решил не рисковать. Камера движется дальше и оказывается перед дверью в охраняемое помещение. Снаружи двери находится металлический замок. На двери табличка: «Осторожно, опасные химикаты»!
Джейсон: «Я не вошёл туда с «Узи» или «АК-47», я не принёс с собой взрывчатку С-4, я просто пришёл сюда, в это помещение, с ядом. Давайте посмотрим, что я смогу сделать». Далее камера отъезжает от двери, следует по коридору и попадает в помещение кухни.
Я решил осмотреться, что ещё имеется вокруг, и неожиданно наткнулся на кухню. Прямо рядом с этим ядовитым помещением. В кухне был один человек, я сказал ему: «Привет!», но он мне не ответил, придурок. Здесь были холодильники с едой и место приготовления пищи, поэтому, если бы я хотел расправиться со всеми постояльцами отеля, то просто отравил бы все продукты на кухне, тем более, что яд находился в соседнем помещении.
Дальше я прошёл ещё через одну дверь, коридор, и оказался в помещении с механическим оборудованием. Видите, здесь есть 2 парня, поэтому я использую приёмы социальной инженерии. Я спрашиваю их: «Как дела?», они отвечают: «ОК!», и я просто прохожу дальше. Вот ещё двери, коридор, и я вхожу опять на кухню. В этом отеле хорошо защищают информацию, все данные о постояльцах находятся в компьютере, и вы не можете просто так подойти и спросить, кто и где остановился. Но зато на кухне, прямо на стене, висят списки с именами и номерами комнат, и у каждого постояльца свой номер. На сегодня это довольно не технологичный сервис. Дальше я снова использовал социальную инженерию, заглянул в кабинку к главному менеджеру и спросил, что они используют для интернета – сеть WI-Fi или кабель, я был в своей хакерской рубашке, с iPad в руках, то есть не вызывал никаких подозрений.
Скажу вам так: люди не ожидают, что могут произойти плохие вещи, пока они действительно не происходят. На следующем слайде приведены меры против насилия на рабочих местах:
- обучайте менеджмент и персонал распознаванию опасных признаков насилия на рабочем месте;
- столкнувшись с угрозой, наймите дополнительную охрану и обеспечьте сотрудников достаточными указаниями и инструкциями;
- убедитесь, что все сотрудники / жертвы знают, что если они сообщат о насилии на рабочем месте, домогательствах и/или угрозах, это не повлияет на их статус работы;
- придумайте кодовое слово, которое администраторы на ресепшене смогут использовать для оповещения коллег о потенциально опасном человеке, прибывшем в зону ресепшена;
- проводите регулярные тренинги для обучения руководителей и супервайзеров по распознаванию признаков насилия и минимизации потенциально насильственных ситуаций на рабочем месте;
- проводите плановые проверки безопасности и поддерживайте функциональность рабочих мест, включая аварийные выходы, сигналы тревоги, обеспечении освещения, камеры слежения, металлодетекторы.
Научите своих людей, чтобы они по одному слову понимали, что происходит на рабочих местах, научите их этому кодовому слову. Я всегда говорю людям, что код «О боже, у него пистолет, мы все умрём!», не самый лучший код в случае опасности. Я советую им использовать слово Periwinkle (барвинок) в таком сочетании: «Где мистер Перивинкл? Мистера Перевинкла вызывают!» и тому подобное. Я надеюсь, что когда-нибудь создадут Институт Перивинкла, потому что это очень смешное слово.
Проверяйте безопасность своего оборудования и своих людей постоянно. Когда я ходил по одному объекту в течение часа, то заметил дверь, которую легко мог взломать. Прямо над ней была камера, и ещё две камеры на парковке, плохо настроенные. И мимо них можно было бы пройти по диагонали, и никто бы вас не заметил, особенно если бы вы изменили угол этой единственной камеры над дверью. Я стал говорить об этом с начальником службы безопасности, он махнул рукой, сказал, что это ерунда, и пригласил меня в свой кабинет. Охраны там не было, он показал мне экраны компьютеров и мониторов, они все были выключены. Он включил их, и одна камера не работала – это была именно та камера над дверью, которая единственная обеспечивала грамотное наблюдение. Я посмотрел ему в глаза и сказал: «Это несерьёзно!». Я думаю, что был не единственным, кто смог это проверить, потому что теперь этот человек уже бывший начальник СБ.
Теперь перейдём к третьей части презентации – полному финансовому краху, и начнём со шпионажа. Посмотрите на эти хмурые смайлики на слайде – это означает, что всё плохо.
Знаете, почему? Потому что я защитник окружающей среды! Вы знаете, как много бедных деревьев бессмысленно умирают каждый день ради тех распечаток, которые вы оставляете возле своего принтера? Так знайте, что они умирают не напрасно, потому что когда я приду, я заберу их все. Я освобожу эти деревья! Я возьму ваши распечатки и унесу с собой, просто чтобы быть уверенным, что вы не забыли про бедные деревья.
Знаете, почему это грустно на самом деле – потому что эти люди всё ещё используют машины для уничтожения бумаг с конфиденциальными данными. Однако всё, что надо было бы измельчить, пропустить через шредер, мы пока что положим в это большое синее ведро.
Это всё конфиденциальная информация, и так делается в округе Колумбия, и в финансовых учреждениях, и в Министерстве обороны, во всех этих охраняемых офисах, куда даже не могут войти уборщики помещений, потому что там сверхсекретные данные. И знаете, что затем делают сотрудники? Ночью они просто выносят это синее ведро с бумагами и ставят его за дверью! Это действительно ужасно, то есть я хочу сказать, ужасно для такого плохого парня, как я. Пойдём дальше.
Если злоумышленник не знает, где находится флеш-драйв вашего обменного сервера, просто оставьте флешку в нужном USB порте. Тем самым вы покажете, откуда нужно скачивать конфиденциальную информацию. А как насчёт вашего финансового сервера, где находятся все аккаунты? 25 сотрудников, которые получают там зарплату, считают, что в этом нет ничего страшного – наклеить бумажку с надписью ACCOUNTING на одном из компьютеров. Чтобы преступник не тратил время на поиски этого сервера, а сразу вставил флешку куда надо.
Если вы хотите организовать прослушку, вам не нужно искать что-то особенное – просто подойдите к этой путанице проводов и используйте тот, что вам нужно.
Вы знаете, как трудно бывает украсть или подделать пароли? Нужно разбираться в Linux, быть технически подкованным, это не про меня. Поэтому я просто подойду к этому столу и прочитаю пароль на стикере.
Обычно я снимаю стикер с паролем и оставляю зажим пустым, чтобы заставить их немного задуматься.
А эта картинка на верхнем слайде одна из моих любимых. Это офис фармацевтической лаборатории, выполняющей биохимические исследования. Это сложные вещи, поэтому покончим с ракетными науками и напишем пароль попроще. И они зачёркивают специальный буквенно-символьный пароль, который был достаточно сложным, и заменяют его вот этим словом Welcome. Действительно, добро пожаловать в мой компьютер!
Существует вещь похуже, чем увидеть меня в пижаме Пепси – это увидеть меня в строгом костюме, потому что он даёт мне возможность совершать действительно ужасные вещи. Потому что если я в этом костюме, значит, я хочу тебя «кинуть».
Рядом с ним моя любимая одежда – это жилетка, которую я называю Wasted Doom, «Бессмысленная гибель», потому что считаю, что это круто звучит.
На этом слайде вы видите мои «игрушки», я рассказывал о них в прошлом году, а сейчас у меня уже есть версия жилетки Wasted Doom 2.0. Я использую вот такие пишущие ручки с видеокамерой и USB, я не оставляю их в своём кармане, а кладу в ваш маленький стаканчик для карандашей и ухожу, а встроенная видеокамера запишет все ваши логины, пароли и ваши разговоры.
У меня есть потрясающий маленький фонарик – видеокамера с 8 ГБ памяти и USB, так что я могу с его помощью украсть ваши данные, кроме того, в мои наручные часы также встроен видеорекордер. С помощью этих устройств я могу делать всё, что хочу. Их предоставило мне одно агентство из 3-х букв, расположенное в округе Колумбия, и единственным условием использования этого оборудования, на создание которого были потрачены миллиарды долларов, было моё обязательство никогда не говорить об этом публично.
Ещё одно устройство, которое я ношу в своей жилетке, выглядит как обычная USB «флешка». Это Spy Keylogger, или клавиатурный шпион, который умеет перехватывать и записывать все манипуляции с клавиатурой компьютера. Его не обнаруживает ни один антивирус, его очень сложно засечь визуально и достаточно просто вставить в любой свободный разъём – существует 2 варианта исполнения, под USB или разъём клавиатуры PS2. Он записывает всё, что вы набираете на клавиатуре. Я нашёл его на сайте Think Geek.
На следующем сайте показана Матрица Рисков.
По вертикали расположена ось вероятности риска при использовании шпионских штучек, доступных для приобретения на сайте Think Geek, а по горизонтали – интенсивность или степень воздействия. Низкая степень риска показана зелёным цветом, средняя – желтым, а красный цвет означает полную катастрофу. Так вот, перехват нажатий клавиатуры компьютера CEO, или главного исполнительного директора, приводит именно к таким последствиям.
Считается, что имеется весьма ограниченная группа людей, которая имеет доступ ко всем показанным здесь шпионским технологиям. Однако представьте себе, оказывается, их может купить любой – вот на этих рекламных листовках показано множество устройств для офисного шпионажа. Вы думаете, что только хакеры могут красть данные? Совсем не обязательно!
Если я действительно ненавижу своего босса, я ненавижу свою работу, я хочу украсть целую кучу секретов компании, что я сделаю? Я воспользуюсь этими флаерами, которые кидают в мой почтовый ящик, и увижу, что могу использовать этот клавиатурный перехватчик, чтобы украсть информацию с компьютера босса, я использую видеорекордер для записи секретов и аудиорекордер для записи конфиденциальных переговоров и встреч. Это не трудно. Я всегда говорю – это легко сделать, если вы можете проделать это сами! Люди защищаются от серьёзных угроз, приходящих извне, но не учитывают рисков, связанных с угрозами внутри самой компании.
На следующем слайде показано подключение адаптеров для Pony Express в филиале одного из банков на западном побережье. У меня было 4 филиала, 4 попытки, 4 успеха. После 4-й попытки они, наконец, сказали мне остановиться. Причина, почему мне удалось это проделать, почему мне удалось беспрепятственно проникнуть в эти филиалы, заключалась в следующем.
Я пришёл к ним одетый в синюю куртку DEFCON, на мне была рабочая одежда, на ней были предупреждающие нашивки, и я сказал им, что меня прислали из главного офиса. Я сказал, что у нас было падение напряжения в сети, и мне нужно проверить, не повлияло ли это на производимые вами операции, поэтому вставьте этот прибор в вашу сеть, так что вы сможете снимать показания и передавать их в главный офис, чтобы они поняли, что происходит. И кстати, мне нужно зайти и убедиться, что все компьютеры работают правильно, на них не повлияли скачки напряжения и что ИБП находятся в нормальном состоянии.
У меня было фальшивое имя, фальшивая компания-поставщик оборудования, фальшивый номер телефона компании, но мне всё сошло с рук. Если бы я ворвался к ним в маске с дробовиком в руках, они бы знали, как нужно действовать, их этому обучали. Но они не предусмотрели вариант такого помешанного, как я. Они провели меня через кассовую зону, через задние комнаты, мимо хранилища с деньгами, мимо большого сейфа. Представьте, какой ущерб я мог бы им нанести! Но всё, что я сделал, это подключил мой маленький адаптер Pony Express. Справа на слайде вы видите ИБП, куда я подключился, для этого мне пришлось попросить менеджера встать из-за своего стола.
Поэтому я хочу рассказать вам о контрмерах против внутреннего шпионажа:
- Поскольку большинство информации хранится на бумажных носителях, компании должны уничтожить в шредере все документы перед тем, как их выбрасывать.
- Не распечатывайте важную информацию без необходимости. После печати поместите её в защищённый конверт или поместите в место, недоступное для третьих лиц.
- Информация, свободно лежащая на столе, может быть скопирована, сфотографирована или украдена.
- Храните все важные документы в закрытых шкафчиках. Запирайте шкафчик, когда вы им не пользуетесь.
- Компании должны инвестировать средства в технологии, предотвращающие копирование важной конфиденциальной информации.
- Компании могут устанавливать контроль доступа к программному обеспечению с указанием уполномоченных лиц, которым разрешено распечатывать конкретные страницы определённых документов. Это предотвратит халатное отношение к печати документов, подвергающее компанию ненужным рискам.
- Шифрование печати — это еще один метод защиты конфиденциальной информации компании. При печати документа конфиденциальная информация скрывается в специальных полях, где происходит шифрование. Зашифрованную информацию могут увидеть только лица, обладающие полномочиями на просмотр такой информации.
В первую очередь нужно научить своих работников не нажимать на фишинговые ссылки в письмах, не заходить на вредоносные сайты, не говорить, что этот тупой пользователь зашёл туда, не называть их глупыми, а научить, что так делать нельзя. Это всё равно, что я нанимаю сотрудника, у которого нет водительских прав, а потом даю ему ключи от машины и говорю: «Пойди, пригони мой «Бентли» сюда!», он едет и разбивает машину. Но идиот – это не тот парень, который вёл машину, а тот, кто дал ему эти ключи! Если вы даёте сотрудникам технологии, то должны научить их пользоваться ими. Вы должны научить своих сотрудников понимать, что они собираются сделать. Вы должны усилить своих работников. Когда я говорю «усилить», то не имею в виду профсоюзы, или то, что они должны вооружиться бейсбольными битами, хотя это было бы прикольно.
Нужно, чтобы ваши сотрудники знали, что они является частью команды безопасности вашей компании, от генерального директора и до курьера, чтобы они понимали, как много от них зависит. Они должны знать, что соблюдение безопасности – это их работа и их долг, что от них требуется соблюдать безопасность.
У меня на работе есть парень, который еженедельно пересылает мне по 15 писем из своей почты, которые он считает фишинговыми или просто странными, чтобы я их проверил на вредоносность. И я каждый раз говорю ему «замечательно, спасибо», потому что 16-е письмо может быть действительно опасным и не будет ложной тревогой. Нужно сделать так, чтобы люди замечали, что кто-то без значка находится в неположенном месте, и останавливали его и спрашивали, что он тут делает. Нужно говорить людям, что они поступили правильно. Чтобы это порождало конкуренцию, чтобы сотрудники говорили: «эта чёртова Сюзанна всегда получает кредит, потому что делает такие вещи!», значит, остальные тоже должны так поступать, они должны отлавливать тех, у кого нет значка. Это не значит, что они должны останавливать кого-то силой, для этого есть охрана.
У вас есть огромный человеческий потенциал для обеспечения безопасности, поэтому просто научитесь его правильно использовать! И как только вы перестанете говорить «тупые пользователи» и начнёте говорить «мои коллеги по департаменту информационной безопасности», вы выиграете!
Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).
Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?
Комментарии (6)
qnok
28.07.2018 01:54Он показал так много средств скрытной слежки. А вот в России их покупать нельзя (из Китая), т.к. это уголовно-наказуемое деяние. Поэтому мы все в безопасности от их использования. Наверное…
jeConf
28.07.2018 04:16Где-то уже было:
— Вы подвергаете посетителей вашего ресторана огромной опасности.
— Как это?
— На ваших солонках нет кодовых замков.
— Ну и что?
— Любой злодей может засыпать туда свой белый порошок.
Seboreia
Cuter — милее/привлекательнее, а не острее