Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad
ТУК НЕ СЕ ПРЕДЛАГАТ ХАКЕРСКИ УСЛУГИ ! ×
kernel

Някой реално използва ли социално инженерство в работата си?

Recommended Posts

Има ли реализация този вид тест? Как се подготвяте за него? Може ли да споделите някакви примери?

Ето едно интересно видео

Както и презентацията към него:

 

Share this post


Link to post
Share on other sites

На мен ми се налага често да го ползвам от гледна точка на redteam операцийте(а ето го и любимото ми видео за redteaming)

 

Други места където го практикувам:

- phishing drills - създаване на fake уебсайтове за фишинг кампанията.

- product security testing - когато се опитвам да изкопча някаква техническа документация за propriatery продукт;

В предишната ми работа трябвваше задължително да поддържаме по няколко fake акаунти в социалните мрежи(в повечето случай женски).

А как да си тренираме този скилл? Моя подход е да се опитвате ежедневно да прониквате в колкото се може повече сгради с ограничен достъп - помнете че охраната няма право да ви пипа, а само да ви ескортира до изхода ако бъде хванати(естествено ако ви хванат с флашка в ръка в сървърно помещение ще има други последици).  Примерът е за чиста проба тест на физическата сигурност на дадена фирма.

Бенефита от този скилл поне за мен е, че винаги след опит за социално инжЕнерство има интерсни историй за разправяне.

  • Like 1

Share this post


Link to post
Share on other sites

В днешно време рядко технологията се оказва проблемът за най-големите атаки, които се случват.

Най-често хората, които в голямата си част  са тъпи и неграмотни, се оказват перфектен инструмент за постигане на целите. 

  • Like 5

Share this post


Link to post
Share on other sites

@kernel има доста реализация. Продава се като "продукт" и се ползва за анализа на компетентността на работниците в определени зони, сфери или компании.

В момента SANS и няколко други компании предлагат готови продукти за анализа на момента, като основното в тях са фалшифи имейли и ескалация от тях.

 

Относно подготвянето, SET (social engineering toolkit) заедно с BeEF toolkit са нещо като стандартните програми за ползване. Сам можеш да се подготвиш като ги пробваш и тестваш върху себе си и собстени акаунти. Мисля, че Кали разполагаше с вградени примери, но честно казано не помня с точност. 

 

@d3k4z колкото и да ми се иска да е вярно, видеото е доста преиначено. Типовете от Big4, в частност Делойт,  рядко правят такива проекти, и дори когато ги правят, никога не изглеждат така. Последните проекти бяха горе доло стандартен спам с клик рейт и процент реализирани експлойти, и от там се "краде" някаква информация и се показва до какво точно може да доведе липсата на техническа култура при работниците. За мен лично това е загуба на време, понеже извода е, че хората са необразовани, а това така или иначе си го знаем.

Освен това, декарз, трябва да разграничиш physical social engineering и "standard" social engineering. Физическата фаза рядко се ползва, освен в определени случаи, като в повечето такива най-много да сложиш един два кейлогера и да висиш и да чакаш пароли.

От друга страна имаш доста по-голям ROI (return of investment) от страна на "спама", понеже ти показва нивото на всеки работник и до каква степен трябва да се образова. Същото не може да бъде постигнато от физически тест. 

 

Ако 

  • Like 1

Share this post


Link to post
Share on other sites

@Nedi колкото и да ми се иска , не си прав (Hack.ERS са 1ви на Cyberlympics последните няколко години,и аз съм я държал тая купа), работил съм в най-големия им cyber отдел в Амстердам, там бях инволвнат в първите RedTeam assignments, имали сме обучения от военните им X части относно ин/ексифилтрация и мога с 2те ръце да потвърдя че всичко показано в клипа се прави. Нищо не е крадено - Мръзнал съм в студа и дъжда с камера за да снимам периметъра по reconnaissance частите, влизали сме в сгради на клиенти преоблечени като чистачи, клиенти, техници от IPS доставчика, дистрибутори, търговци и т.н. - докато работих там тези операций се наричаха  CovOps.  Ръководителя и главния мастър майнт Ари Д. е с дългогодишен опит в армията и частния сектор(бтв: грък е).

Дали хората са образовани или не, зависи от матуритета на компанията. Само една компания ни е засичала но там бяха само военни и дори Renaissance частта не ни се получи, но при всички други имахме 100% успеваемост спрямо целта на drill-a.

Такъв тип физическите тестове се правят от компаний които имат какво да крият, операцийте траят по няколко месеца и обикновено не са само в 1 държава. Но такива клиенти са малко.

По време на Covert operation - в частност на тези в които съм участвал, клиента не му пука нивото на всеки работник. Защо? Това са компании които имат вече установени процеси за сигурност и се проверяват постоянно. Такива упражнения не се правят за да провери maturity и awareness на персонала (за това е СПАМА) а за да се запушат пролуки в всички layers от сигурността(като се започне от физическата, entry-points, към сегментация на инфраструктура и мрежи, low hanging fruits, данни).  Примерно: почти винаги задачите ми са да се направи транзакция от сметката на компанията до сметката на моя директор (мога да се похваля с 90% успеваемост), клиента не го интересува как ще го направя(ето тук ти се отключва креативността и нещата показвани във видеото) и от къде(хубваво е да се возиш 1st class до най-отдалечения им клон), него го интересува дали е възможно и най-бързо да запуши дупката. PS: а пък и по-време на таква операция се чувстваш бесмъртен защото дори да те хваната(което ест не е препоръчително) имаш GetOutOfJailLetter - обикновено от директорите или CISO-то.

 

 

  • Like 3

Share this post


Link to post
Share on other sites

Имам конкретен въпрос към d3k4z.

Не знам дали сте запознати с т.н. компанни "амеби". На практика те са силно децентрализирани. Липсват офиси. За списъци на персонала и дума не може да става. "Деловодство" е забранена дума.

Визирам развойни звена с няколко хиляди служители, които са пръснати по целия свят. Те ползват свои комуникационни протоколи, които нямат нищо общо със всичко, което някой някога е виждал. Единственият идентефикатор (за да избегнат т.н. "bata hacking") е пулсовата вълна на сътрудника.

Не ползват стандартни телефони. Обичайно е да комуникират посредством SSB трансивъри и/или други подобни устройства.

Някои от сътрудниците (като се замисля повечето) са на практика незабележими.

Разплащанията никога не се извършват посредством банкови преводи. 

Използват обществен транспорт. Избягват публични изяви.

Какво може да се направи в случай, че трябва да се получи информация за подобна структура?

На практика е невъзможно да се локализира, а и дори да се направи какво бихме могли да получим като информация?

Моля да ме извините за наивните въпроси, но те са продиктувани от предходния Ви пост, който изчетох много внимателно.

 

Edited by Avatara

Share this post


Link to post
Share on other sites

Здрасти @Avatara, до сега не бях чувал за тези видове компаний но ще се опитам да направя кратък анализ на ситуацията.

Малко ми е трудно да си представя, компания с 1000+ служители и никакви списъци или поне някакъв VPN или Mail service все пак да върви някаква комуникация по между им.

Не съм запознат какво е "пулсовата вълна"- може ли да разясниш? Но предполагам е термин радио комуникационна дисциплина.

В основата на ред тийминга е процеса по извличане на knowledge от масиви от данни и информация(от каквито и да било източници), а от малкото топ левел информация която си ми представил ми е малко трудно да правя каквито и да е предположения как и посредством какво може да се извлече нещо от такъв вид организаций. Все пак това очевидно са компании коит се опитват да позиционират операцийте си под радарите. Но да не забравяме че дори NSA си имаха Сноудън а CIA също не ги подмина вълната на whistle blowing-а.

1. Трябва да се идентифицират всички(или колкото се може повече) комуникационни канали < --- за да може да се започне от някъде

2.  Щом използват радио комуникация --> следва че същата тази може да бъде прихваната(малко съм си играл с baseband технологий и не съм запознат със всички, за сега познанията ми са лимитирани до това проектче https://d3k4z.gitbooks.io/instruktsii-i-kod/content/openbts-setup.html ), а тъй като използват собствени протоколи(in-house developed) това не винаги е сигнал за добра сигурност на протокола.  < --- но пак, трябва ти прихваната комуникацията
Но грешки и недоглеждания се правят

Имам въпрос към теб също: По какъв повод разбра за съществуването на такива организаций?

  • Like 1

Share this post


Link to post
Share on other sites

Здравейте d3k4z,

Много благодаря за изчерпателният отговор.

За първи път чух за съществуването на организации (структури, агенции) "амеби" преди седем години. За моя изненада се оказа, че не става дума за изключения, а за добре отработени практики. Изключително са популярни в Китай, Япония (доколкото разбрах основно става дума за развойни звена към nagi), Австралия, Нова Зеландия, Колумбия (просто не знам какво да кажа за достиженията на тази държава в областта на нанотехнологиите),  Република Корея (там ги наричат съвременните do-sul) и др..

В това до колко са ефективни и какво са в състояние да направят се убедих лично. Визирам конкретен проект, който можеше да ми коства много, но точно такъв тип структура (по-късно разбрах, че наброява над 4000 специалиста от различни държави) ми оказа неоценимо съдействие.

Всъщност забавно е, че компания като New Line Sinema (и не само) също работят на подобен принцип. С цел икономии не поддържат централен офис, а се събират само за конкретен проект. Още по-забавни са Intel, но да не се отклоняваме. 

Въпросът с използваните, къстомизирани протоколи за сигурност също се оказа интересен. 

Преди години в един от информационните ни бюлетини се появи кратко съобщение, касаещо периодичните появи на неидентефициран трафик в internet. По късно разбрах какво е "квантова система за преобразуване на информационни масиви" и всичко се напасна. Подобен тип технология (използване на n-на брой канали) за предаване на едно съобщение не е нещо ново. В армията се използват от 70-те години на миналия век при реализиране на обмен използваш отражение от луната или от метеоритни потоци (това е нещо добре познато на радиолюбителите и в него няма нищо загадъчно). Всеки, който има представа от радиолокация, знае, че съвременните радари ползват подобен принцип (за да се избегне "прихващане"). Много прилича на това, което правят torent-тракерите (разбиване на нещо на малки части, които се обединяват), но е доста по-съвършено.

Определено проблемът с инсайдерите е сериозен. Идеята на "амебите" е справяне с този проблем по възможно най-елементарния начин (и с най-малко разходи). Няма как да се случи, защото обектът ще бъде незабавно локализиран, а и доколкото успях да разбера, всеки работи в твърде ограничен "ареал". Представете си, че съм счупил чаша на малки парченца и съм Ви дал само едно и Ви помоля да възстановите цялата чаша. Лично аз не бих се справил с подобна задача.

Пулсовата вълна е промяната в систолното налягане в момента, в който лявата сърдечна камера се свива. Фламандският кардиологичен институт (иезуитите са невероятни, когато става дума за технология и наука) не се занимава само с предкамерно мъждене. Там никога не забравят, че ЕКГ не е равнинен, а пространствен вектор (нещо като пространствена осморка) и не само това.  Та братята йезуити от много години са установили, че пулсовата вълна има седем базови параметъра, които са уникални (по уникални дори от ДНК). Между впрочем пулсовата диагностика (Виетнам, Китай, Малайзия, Индонезия, Япония, Корея и др.) е много сериозна наука. Космонавтите понякога ползват "щипки" (защипват меката част на ухото), когато трябва да се прави  холтер анализ (контролира се промяната на светопродивомостта в тази част на тялото).  Хубавото е, че за разлика от другите методи за биометрично разпознаване (ретина, отпечатък, ДНК, анализ на гласа и пр.) тук може да се разбере дали обекта е жив и в какво състояние се намира (в смисъл дали не е под натиск).

Отпечатък може да се фалшифицира с молив, латекс, парче алуминий и шкурка. Още по-лесно става като просто се отреже ръката на обекта. Ретината - добър офтамолог и добра цифрова матрица, но просто може да извадите очната ябълка (а е и доста по-евтино, а като се замисля ретината се продава по-добре от бъбреци).

С ДНК е още по-лесно, защото хората все пак имат определени физиологични нужди, а и  доколкото съм запознат още през далечната 1957 година (още не съм бил роден) не е имало проблем да се създаде кръв с предварително зададени параметри. Ако някой ден посетите Сочи обърнете специално внимание на един паметник на примати. За съжаление там където руските генетици са били през 1927 година, съвременните едва ли ще достигнат в близките десетилетия (все пак имам добри познати в Бостън и някаква представа какво правят с червенооката, черногъза мушица дрозофила, по нашему - винарка и не само).  

За гласовият анализ няма да коментирам, защото отдавна е дискредитиран. В този ред на мисли лично мое мнение е, че вместо камери за видео наблюдение (които много лесно се лъжат) и инфрачервени датчици е по-добре да се ползват пасивни сеизмични датчици, но това е друга тема.

Извинявайте. Просто споделям. Не искам да бъда досаден.

Още веднъж Ви благодаря за отговора. За мен той бе изключително важен.

Желая Ви весело посрещане на празника.

 

 

 

 

  • Like 1

Share this post


Link to post
Share on other sites

@d3k4z аз имах предвид, че Deloitte не го правят както във видеото. Знам, че други хора, компании, департаменти и тн. имат желанието, персонала, квалификацията, времето и бюджета за да изпълнят такива услуги, но като цяло Big4 (Делойт в частност) не го правят почти никога. Да не казвам в целият свят, но India, Middle East, Russia, UK, Hong Kong и части от USA, понеже съм работил с тях и доста от хората в тези департаменти са ми приятели.

 

@Avatara мисля, че описваш бизнес еквивалента на терористични звена. Принципът а същият.

 

@d3k4z относно Snowden, той беше консултант за НСА, работещ към Booz Allen (ролс ройса на консултанството както сами се описват, понеже цените им на час са буквално изнасилващи). Лично аз не го познавам, но приятелите ми от Booz никога не го описват като силно технически човек. 

Share this post


Link to post
Share on other sites

@Nedi , защото само 2 офис в света им го правят(UK - от 5г, NL-4г. за тези 100%). Не знам преди колко време си работил с тях ама се прави, точно както е във видеото.И това че не е 'силно технически' човек, не означава че не направи най-голямото разтърсване в историята на НСА + го направи по учебник.

Share this post


Link to post
Share on other sites

@d3k4z Принципно работих до скоро за Делойт Дубай, който е joint venture с UK под EMEA и не съм видял нито един от департаментите да имат такава способност, но може и да съм пропуснал. Знам, че може и да са "продавали" услугата и после да сглобяват самият тийм, както правихме в Пакистан, Турция, Русия и тн, но последно с Хонг Конг и Кипър се базикахме, че видеото е само за напомпване на мускулите.

Като цяло не съм следял особено много какво правят ERS департамента, тъй че е напълно възможно и да са имали и възможността, и проектите, но да са ги държали под доста солиден контрол и дори без вътрешен достъп (както и ние сме правили с доста от нашите проекти). 

 

Ти си работил с тях по такива проекти ли? С кой тийм си работил? Би ми било доста интересно да чуя мнението ти за Делойт.

Share this post


Link to post
Share on other sites

В частност този филм/реклама беше направен от UK екипа за продаване на Cyber като цяло. Аз работих в NL екипа в Амстердам, и правихме такива проекти не са над 10, но все пак това е комплексен дрилл с различни predefined flags. И това се случва в последните 2г.

Edited by d3k4z

Share this post


Link to post
Share on other sites

@d3k4z ясно. Ако помня правилно, NL екипът се водеше най-добрият в света и бая се хвалеше (most advanced SOC hub + 140 човека pure tech), но ЕМЕА Lead-a беше от UK, а и аз от повече от година не работя там, така че всичко се напасва перфектно.

 

А може и напълно да се бъркам. Attrition rate-a е толкова висок в последно време, че вече не мога да хвана спатиите на кой кво и как се случва.

Share this post


Link to post
Share on other sites

Добре е да срещнеш fellow ExDTT ;)

а ето това беше първото видео, някой го е лийкнал -

 

Edited by d3k4z

Share this post


Link to post
Share on other sites

Здравейте,
Мисля да изразя мнение и то е, че социалното инженерство е доста относително нещо. Смея да твърдя, че чрез него съм бил на 2 интервюта за работа спечелени без никакви проблеми, но с малко проучване. 
При мен използването на различни модели на поведение и техники ми помага и в ежедневната работа.  

  • Haha 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.