Ключі від кібербезпеки вашої компанії в туалеті

368


Я (Террі Катлер) сертифікований хакер, якому платять компанії за злом їхніх мереж.
Моя компанія, Cyber Locksmiths була найнята виробничим підприємством в 2011 році для спроби виявлення будь-яких вразливостей в системі безпеки, які можуть ховатися в них.
Зовнішня інфраструктура компанії – в тому числі веб-сервера, сервера доменних імен, поштові сервери, точки доступу VPN, периметр брандмауерів, а також будь-які інші програми загальнодоступні з інтернету – як правило, вважаються головними мішенями для атак. В основному там ми й починаємо.
Наші методи включають в себе злом паролів за допомогою клавіатурних шпигунів, сніффер, помилок і дистанційного керування. В цей раз, я намагався атакувати брандмауери системи з усіма можливими інструментами для нашої компанії, але безрезультатно. Мережа була захищена.
І тут я сказав собі: «До біса все. Я йду всередину!» Бачите, компанії, які мають непроникну стіну від зовнішніх атак, часто дивно відкриті від внутрішніх загроз. Хакери здатні використовувати ці уразливості, експлуатую один простий факт: більшість людей ведуть себе досить передбачуваним чином у певній ситуації.
По-перше, я зробив невелику розвідку на Google Earth і Street View, щоб ознайомитись з периметром будівлі і територією компанії. В цей день я вирішив зіграти самого себе і одягнувши добрі джини і сорочка на гудзиках, вирушив туди.
Я сів у своє авто і поїхав на об’єкт. Роблячи все можливе, щоб виглядати неупередженим, я увійшов в головний хол і повідомив реєстратору: «Мені дійсно незручно, і я зазвичай не прошу про це, але міг би я скористатися вашим туалетом? Я мав на увазі, що буду шкодувати при замовленні коктейлю великого розміру!»
Вона посміхнулася (хороший знак) і вже через хвилину я був всередині чоловічого туалету. Я дістав з кишені своїх штанів два USB-накопичувача і поклав їх поверх металевого тримача для туалетного паперу в кожній з кабінок.
Я швиденько показав себе в дзеркалі два піднятих вгору великих пальця і подався через хол до виходу, наділивши при цьому широкою посмішкою реєстратора.
Я поїхав назад у свій офіс для очікування, тому що, як тільки хтось підключить один з моїх USB-накопичувачів в комп’ютер, програма записана на ньому виконає автозапуск і надамо мені віддалене управління комп’ютером.
Це дало б мені миттєвий доступ і можливість обійти авторизацію. Зверніть увагу, що я говорю не про старих добрих днями коледжу, а про отримання зашифрованих облікових даних для власника комп’ютера і зверненні до сервера компанії, імітуючи реальну роботу користувача.
За короткий час, мій комп’ютер ожив: з можливістю зараз же увійти в мережу компанії, я був готовий зайнятися всіма видами свавілля – від вилучення імен користувачів і паролів, до відкриття і взаємодії з файлами на скомпрометованої системі, так само можлива зняття скріншотів поточної діяльності на робочому столі користувача.
Само собою зрозуміло, керівництво компанії було в жах, дізнавшись, як я легко зламав їх систему, використовуючи поведінку людей у певних ситуаціях.
Моя хитрість мала успіх т. к. за великим рахунком всі люди схильні до цікавості. У дев’яти випадках з десяти людині знайшов флешку підключить її до комп’ютера, щоб дізнатися що за вміст на ній.
Захист від сучасних хакерів
Ця історія підкреслює той факт, що безпека включає в себе більше, ніж просто захист брандмауера вашої мережі. Внутрішні загрози реальні – і обов’язково потрібно вести роз’яснення зі службовцями.
Співробітники повинні розуміти, що загрози безпеки можуть бути викликані різними способами і навчені тому, як знизити можливість цих загроз, які можуть ховатися під виглядом чогось несуттєвого.
Хоча загрози безпеки стали більш грізними, пам’ятайте, що і захист безпеки також стали більш потужними і сучасними. Переконайтеся, що ви прийняли необхідні заходи для захисту інфраструктури і ваших даних.