Современные продавцы Бруклинского моста или социальная инженерия на Positive Hack Days V

В конце мая традиционно посетил Positive Hack Days V. Контент и спикеры международной хакерской конференции всегда очень специфичны. К ним надо привыкнуть. Порой, ради интересного технического содержания, приходится смириться с навыками презентатора, и даже получается испытать некое особое удовольствие от манеры подачи информации. Иногда, впрочем, не получается )

Из богатой программы конференции Positive Hack Days V особо запомнилось выступление Криса Хаднаги «Социальная инженерия в шутку или всерьез». Оно было настолько ярким, спикер не только профессионален, но и эмоционален, что час доклада пролетел как театральный спектакль с одним актером. При этом выступление было не монологом, а диалогом с залом, который живо реагировал на выступление спикера.

На рисунке Крис в обнимку с Уиллом Смитом, который очень интересуется вопросами социальной инженерии. Он был участником специализированной конференции SECTF DEF CON, которую компания Криса Хаднаги устраивает с завидной периодичностью (следующая будет 23 по счету). Не исключено, что этот интерес актера был вызван подготовкой фильма Фокус, где Уилл играет афериста «восьмидесятого левела». Тем более, что на данных конференциях, судя по выступлению Хаднаги, можно встретить не только социальных инженеров, но и «профессионалов-инструменталистов», которые в классификации свободных художников также называются «щипачи». В фильме актер Уилла Смита эти техники тоже демонстрирует весьма убедительно.

Крис в ходе доклада вспомнил про заслуги социального инженера прошлого, Джорджа Паркера, который умудрился восемь раз продать Бруклинский мост. Практиковался Джордж также при продаже Мэдисон-Сквер-Гарден, Метрополитен-музея, мавзолея Гранта. Да, Статую Свободы он тоже продал. Сдается мне, что тут не без «боевого НЛП» какого-нибудь обошлось, но результат впечатляет.

Конференция SECTF DEF CON является площадкой, на которой в режиме мастер-класса проводятся взломы крупных корпораций исключительно методами социальной инженерии. В изолированной стеклянной кабине сидит хакер, у которого есть только ноутбук с Интернетом и телефон. Порой хватает нескольких звонков, чтобы завладеть корпоративными секретами компании в обход сложных технических механизмов защиты.

А дальше был проведен блиц-опрос поднятием рук. Вопрос был простой: «кто считает, что риск раскрытия чувствительной информации с применением социальной инженерии выше, чем риск взлома корпоративной сети»? Ответ достаточно предсказуем, перевес в сторону угрозы социальной инженерии. И тогда Крис называет еще один факт – взламываемые методами социальной инженерии компании зачастую ничему не учатся! В следующем году на аналогичной конференции их ломают еще раз, а потом еще и еще.

На картинке постер одной из предыдущих конференций SECTF DEF CON, в котором участники соревнований по социальной инженерии разбились на два лагеря: мужчины и женщины. Кто победил? Слабый пол оказался в вопросах социальной инженерии существенно сильней!

Еще один миф. По распространенному мнению наиболее успешный вариант хакера, осуществляющего атаки с применением «человеческого фактора» — это мужчина, который властным голосом от лица нового директора по безопасности просит вас продиктовать по телефону пароль по компьютера, смс с подтверждением банковской транзакции и т.д. и т.п.

Так вот, это заблуждение! Лучшие результаты у модели «глупая запутавшаяся девочка», которой надо помочь разблокировать компьютер, которая забыла в косметичке пароль от системы, которая сейчас прям в трубку разрыдается. Которая может спросить у админа как он, сильный и умный админ, это настроил у себя, а потом спросить все что угодно и просто слушать с карандашом и блокнотом в руках. Никаких взломов межсетевых экранов, никаких вирусов. Все проще.

В том, что социальная инженерия, как инструмент взлома компаний, набирает обороты, нет никаких сомнений. Доказательство может служить изобретение специализированных наборов инструментов для социальных хакеров, например The Social-Engineer Toolkit. Это набор тестов на проникновение методами социальной инженерии. Проведите самооценку или попросите нас провести тест вашей компании. Вы уверены, что никто не проколется?

Бизнес компании Криса Social‐Engineer, Inc специализируется на обучении методом противодействия социальной инженерии и проведении аудитов (тестов на проникновения методами социальной инженерии). Классный бизнес, как мне кажется!

В общем, этот доклад был действительно крутым, и, на мой взгляд, украсил всю конференцию. Мечтается, что пройдет не очень много времени, и все спикеры по информационной безопасности на подобного рода конференциях будут обладать схожим профессионализмом и харизмой. В этом случае посещение таких мероприятий станет не просто хорошим поводом пообщаться и узнать что-то новое, а источником эстетического кайфа!

Спасибо устроителям, Positive Hack Days V удался!