Методы сбора информации

Gliori

Administrator
Регистрация
17 Янв 2019
Сообщения
116
Симпатии
0
Баллы
16
BTC
0.00000
#1
В данной статье мы рассмотрим некоторые черные и серые методы сбора информации об интересующем нас объекте, а так же приведем примеры использования собранной вами информации.

Начнем

Немного теории,для того что бы Вы поняли как эту угрозу видят специалисты ИБ которые проводят инструктажи в компаниях и которые учат сотрудников как им от нас защититься. Это важно, ведь, если мы знаем, что о нас знает наша жертва, то мы можем использовать это против неё, а поскольку черные и серые методы сбора информации включают в себя взаимодействие с жертвой и непосредственно использование СИ, то нам это пригодиться.

Данная информация была взята из одной методички по ИБ, потом она была переформатирована для наших нужд и вот что получилось:

Под угрозой или опасностью утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных. Риск угрозы любым (открытым и ограниченного доступа) информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, заинтересованные и незаинтересованные в возникновении угрозы лица, другие объективные обстоятельства.

(если вы хотите правда это понять и разобраться в этом, то советую вам нарисовать схему всевозможных угроз ИБ, ну или подождать, пока я сам её не выложу)​
В связи с повышенным интересом различного рода злоумышленников, информационные ресурсы ограниченного доступа подвергаются угрозе, предполагающей утрату информации (разглашение, утечку) или утерю носителя, значительно шире. Утрата информации влечет за собой незаконный переход конфиденциальных сведений, документов к субъекту, не имеющему права владения ими и использования в своих целях. Доступ злоумышленника или постороннего лица к документированной информации могут привести к овладению информацией, к противоправному использованию и совершению иных действий. Результатом несанкционированного доступа может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, подмена и т.п.

(И если наша жертва знает о том что такое может произойти, то нам не составит труда позвонить ей и под видом СА, сославшись на проведение проверки из за жалоб других сотрудников, попросить продиктовать, а то и переслать по email часть какого нибудь интересного нам файла, например телефонного справочника внутренних номеров компании, ссылаясь на то, что злоумышленники подменили этот файл у других сотрудников. Вариантов может быть множество.)​
Обязательным условием успешного осуществления попытки несанкционированного доступа к информационным ресурсам ограниченного доступа является интерес к ним со стороны конкурентов, определенных лиц, служб и организаций. При отсутствии такого интереса угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней постороннего лица.

(И это ошибка, т.к. мы с вами занимаемся тем, что просто собираем информацию о компании по крупицам, что бы в дальнейшем использовать её в своих целях. Приведу пример. Стояла задача выйти на нужного сотрудника в одной крупной компании, естественно в главном офисе этой компании изначально мне ничего не удалось узнать, тогда я с помощью поиска информации в открытых источниках нашел пару номеров телефонов в их филиалах и вот тогда я просто позвонил в один из них, сказав, что звоню из главного офиса и представился от должности интересующего меня сотрудника (её я знал изначально), а так же сказал, что я новенький и спросил кто в их филиале отвечает за это же направление и меня соединили, уже в ходе общения с этим специалистом я узнал всё что мне было нужно и потом спокойно позвонил в главный офис и вышел на нужного мне человека).​
Вернемся к теории.

Утрата информации ограниченного доступа может наступить по следующим каналам:

При наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией. Эти условия могут включать:

1. отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;

( а попросту говоря беспечность, когда наша жертва смотрит на угрозу атак СИ сквозь пальцы, а может и вовсе о ней не подозревает)​
2. неэффективную систему защиты информации или отсутствие этой системы;(Та ситуация когда вроде бы какое то понимание у жертвы есть и получить от неё информацию немного сложнее чем в первом пункте)​
3. непрофессионально организованную технологию обработки и хранения конфиденциальных документов;

(расскажу вам реальный случай, когда доступ ко всей важной отчетности и документации был у любого сотрудника который был подключен к серверу компании, т.е. не регламентированы политики доступа)​
4. неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;

(Поступление злоумышленника на работу в фирму, как правило, на техническую или вспомогательную должность (оператором ЭВМ, секретарем, дворником, охранником, шофером и т.п.);та ситуация когда любой человек легко может устроиться в фирму и в совокупности с 3 пунктом заполучить всю необходимую информацию или воспользовавшись тяжелой ситуацией в компании пойти на банальную взятку сотруднику за передачу вам интересующих вас сведений, так же существует подход с поиском недавно уволенных сотрудников компании. Бывший сотрудник компании в ходе телефонного разговора получает приглашение на обычное собеседование на очень заманчивую позицию. Будьте уверены, что опытный социальный инженер в состоянии разговорить почти любого сотрудника, который борется за позицию. От таких людей получают достаточно большой объем информации для подготовки и выбора вектора атаки: от топологии сети и используемых средств защиты до информации о частной жизни других сотрудников.)​
5.отсутствие системы обучения сотрудников правилам защиты информации ограниченного доступа;

(по сути тот же 1 пункт, в данном случае всю необходимую информацию для совершения атаки СИ вы можете получить от секретаря, т.к. никто ей не рассказывал, что даже самая безобидная информация о структуре компании, добавочные номера сотрудников email и их ФИО в умелых руках леко превращаются в оружие социального инженера)​
6. отсутствие контроля со стороны руководства фирмы за соблюдением персоналом требований нормативных документов по работе с информационными ресурсами ограниченного доступа;

( тот случай когда обучение проводилось, сотрудники знают, что ничего никому говорить нельзя, но всё равно говорят, потому что никто их не контролирует, звонки например не записывает, а если и записывает, то потом не прослушивает и по этому опять рождается беспечность)​
7.бесконтрольное посещение помещений фирмы посторонними лицами.

(тот случай, когда любой может придти представиться новым помощником сис админа, собрать всю необходимую информацию, воткнуть например аппаратный кейлогер или ещё что по лучше и спокойно уйти)​
Изучая этот документ дальше я обратил внимание ещё на один пункт.

Переход информации к третьему лицу возникает в результате:

1.утери или неправильного уничтожения документа, пакета с документами, дела, конфиденциальных записей;

(в фильме who am i хакеры искали в мусоре зацепки для совершения атаки СИ. В случае если в компании выбрасывают документацию на помойку без правильного уничтожения, то среди мусора могут быть найдены отчеты и внутренняя информация.)​
2.излишней разговорчивости сотрудников при отсутствии злоумышленника (с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования, транспорте и т.п.);

(в книге социальная инженерия и социальные хакеры описывается случай когда хакер просто потерся в курилке весь день и узнал всю необходимую ему информацию, просто слушая разговоры сотрудников)​
3.работы с документами ограниченного доступа при посторонних лицах, несанкционированной передачи их другому сотруднику;

(тот случай, когда ты использовав текучку кадров, попадаешь в организацию и с помощью плечевого серфинга получаешь всю необходимую тебе информацию.)​
Данные каналы подбираются индивидуально в соответствии с вашими профессиональными умениями, целями и конкретной ситуацией. Обнаружение таких каналов требует проведения серьезной поисковой и аналитической работы.



Теперь давайте рассмотрим более подробно техническую сторону вопроса:



Техническое обеспечение офисных технологий предоставляет широкую возможность несанкционированного получения конфиденциальных сведений. Техническое обеспечение создает возможность для создания технических каналов утечки информации.

Технические каналы утечки информации возникают при использовании специальных технических средств промышленного шпионажа, позволяющих получать защищаемую информацию без непосредственного контакта с персоналом фирмы, документами, делами и базами данных.

(об этих средствах будет отдельная статья)

Основными техническими каналами являются: акустический, визуально-оптический, электромагнитный и др.

1.По акустическому каналу мы можем вестри подслушку с помощью жучка использовать лазерный микрофон.

2.По визуально-оптическому каналу можем подглядывать с помощью скрытой камеры, или заглядывать в окна при помощи того же дрона с камерой.

3.По электромагнитному каналу получение информации ведется с использованием технических средств разведки.

Всё это заслуживает отдельной статьи и в скором времени вы её получите, а пока рассмотрим ещё один хороший способ получения информации, даже если все у них в плане ИБ налажено относительно не плохо.​
Собираем информацию

Для начала нам необходимо узнать главный номер организации это можно сделать в справочной либо на веб-сайте, поскольку организации публикуют там свои контактные телефоны и номера факсов.

После получения телефонных номеров ищем работающие модемы, воспользовавшись программой типа "wardialer". Приблизительно определив блок телефонных номеров, используемых организацией, он начинает дозвон по этим номерам. Однако такая деятельность не останется незамеченной, так как будут прозваниваться многие офисные номера. Поэтому нужно постараться выполнить это в нерабочее время или в выходные дни, чтобы уменьшить вероятность обнаружения.

Осложняет работу то обстоятельство, что мы не знаем номера наверняка. В результате у нас на руках могут оказаться модемные подключения других организаций, которые в данный момент нам не очень-то нужны.

В конце концов, мы получим список номеров с отвечающим модемом. Возможно, он пригодится, а возможно, и нет. В любом случае нам предстоит проделать большую работу для сбора необходимой информации.

Собираем ещё больше информации
Предварительное исследование беспроводных сетей

Проверяем близлежащий район (автомобильные стоянки, другие этажи здания, улицу) на предмет наличия беспроводных сетей. Эту разведку мы выполним без особых усилий, прогуливаясь вокруг здания или проезжая на автомобиле. В большинстве случаев наши попытки подключения к беспроводной сети не будут зарегистрированы.

Предварительное исследование системы

Предварительное исследование систем представляет потенциальную опасность, но не с точки зрения задержания и ареста, а с точки зрения привлечения внимания. В процессе сбора данных мы определяем используемое оборудование, операционные системы и их уязвимые места.

С помощью развернутой отправкой пинг-пакетов, скрытого сканирования или сканирование портов. Если мы хотим остаться "в тени", то необходимо будет выполнять все очень медленно - один пинг-пакет по одному адресу примерно каждый час. Такая деятельность останется незамеченной для большинства администраторов.

Сканирование для определения операционных систем скрыть труднее, так как сигнатуры пакетов большинства инструментальных средств хорошо известны, и системы обнаружения вторжений (Intrusion Detection Systems, IDS) с большой степенью вероятности выявят эти попытки. Мы может отказаться от использования известных инструментов и применить скрытое сканирование портов. Если система отвечает через порт 139 (NetBIOS RPC), то это, вероятно, Windows (NT, 2000, XP, 95 или 98), если через порт 111 (Sun RPC/portmapper) - то это система Unix. Почтовые системы и веб-серверы выявляются через подключение к определенным портам (25 - для почты, 80 - для веб) и исследование ответа. В большинстве случаев можно узнать тип используемого программного обеспечения и, следовательно, операционную систему. Такие подключения выглядят вполне легальными, не привлекая внимания администраторов или систем IDS.

Предварительное исследование сферы деятельности

Если в ходе сбора информации мы узнали что кто то из их компании работает "на удаленке"то это является серьезной уязвимостью для их системы. Самым простым способом получения доступа в организацию в этом случае станет взлом одной из домашних систем.

( О взломе домашних сетей, перехвате трафика, атак типа человек по середине есть море статей, так что найти информацию об этом будет не сложно, в скором времени порадую вас историями из практики на эту тему).​
В прошлой статье мы рассмотрели методы сбора информации из открытых источников, в этой статье мы поняли как нам использовать собранную нами информацию для получения всех интересующих нас данных о нашей жертве.