作为拉雷斯,一个科罗拉多州的安全咨询公司的创始人,社会工程专家克里斯·尼克森经常被客户要求进行渗透他们的视线安全的测试。尼克森领导一个团队,开展安全风险评估中,他指的是作为红队测试的方法。观看尼克松和他的团队拉过一个$ 24,000名抢劫在这个视频中。
尼克松和船员最近采取了这样一个练习,他描述为一个客户端“零售公司配有大型呼叫中心。”对于一些准备工作,尼克森说,研究小组是该公司的网络和数据库能够获得进入很容易。请仔细阅读,了解他们是如何做到的,和什么样的教训,你可以拿走了支撑起你的组织的防御。
克里斯·尼克森:现场安全漏洞测试需要大量的记忆和情报收集,因为你需要从获取目标信息开始。当我做我的信息收集时,我喜欢寻找假期或与时间相关的事件。在这个特别的演习中,有一个大的赛马在该地区进行。在公司所在的镇上,参加这次赛马是件大事。城里和周围的每个人都准备好离开办公室去上班。那正是我进来说我有个约会的最佳时间。
我说我有,以满足人,我们会打电话给南希。我知道南希是不会在办公室,因为在她的我的空间侧面说她正准备去参加比赛。然后她推特有资料说她正在穿衣服去参加活动。所以我知道她不在办公室。
之前我去办公室,我去了一家旧货店,并得到了思科衬衫$ 4然后我去了,说:“你好,我是来自思科的新代表。我在这里看到南希。”前台的服务员在这种情况下,说:“她不是在她的办公桌上。”
我说:“是的。我知道。我一直在和她发短信。她告诉我她正在开会,会议即将结束。”
这是对周围吃午饭的时候,我说:“因为我在等待,是没有什么地方在这里,我可以去得到一些食物?”我很清楚地知道调查后区是最接近约5英里远,因为他们的出枝排序。
接待员说:“沿着这条路走四五英里就有一个。麦当劳。但是我们这里有一个很好的自助餐厅。如果你愿意,你可以在那里吃。”
我被允许去自助餐厅,这让我可以完全进入监狱,因为唯一被看守的东西就是大门。自助餐厅直通大楼的其他地方。
于是我走进自助餐厅吃了起来。当我在那里时,我没有USB钥匙下降。我把“工资单”或“2009战略”之类的文件放在上面。“USBs上有rootkit。许多包含一个自动运行的rootkit。其他人有钢锯,这是一个小技术,你可以使用U3驱动器。你把它插到一台机器上,如果机器自动运行在CD-Rom上,它会开始转储所有的密码,用户名,所有这些。它还会在机器上安装一个钩子,开始将这些信息发送到你要联系的电子邮件帐户。所以,即使在我离开之后,我仍然可以过滤信息。它只需要大约30秒就能启动。
当我做这种练习的时候,我把USBs放在人们可能忘记什么东西的地方:例如,浴室,水槽上。另一个好地方是靠近咖啡机的地方。这是人们自然放下东西的地方,但他们可能不记得把它捡起来。我从来没有做过没有成功的USB按键。
同时,我有我的球员中的另一个穿过背部吸烟门去。他挂出,等待,有一些香烟的人谁出来抽烟的休息,当他们做完了,门开了,他刚刚战罢英寸另一个运动,以证明它确实没有花太多进去。
最后,他一进来,我就让他来餐厅接我。就这样,从监控录像上看,好像有人要把我带出餐厅,护送我去参加任何我要参加的会议。我们在这个占地10万平方英尺的巨型农场里找到了一些大敞着的座位,人们就坐下来。
有我们周围没有人。于是,我们就开始拔钥匙。我们使用的东西像ophcrack的开始破解Windows密码,并将它们转储到Linux上。我们开始把我们的机器在网络上,所以我们可以开始做笔测试,且在环境黑客活动服务器。我们忍了之类的东西WRT 54G路由器:小蓝连系无线单元。我们把它们放在一个立方体下,把Unix放在上面,然后打开WRT。这样我就有了一个无线接入点,不仅可以从停车场访问,还可以向家里发送信号和呼叫,这样我就有了一个Unix盒子,它位于他们的网络中。
不久之后,人们一个完整的团队走了进来。很多这是在该设施所做的工作是轮班工作,这是交接班的时间。因为我们做我们的功课吧,我们在二,三的多维数据集是空置所以没有什么冲突或问题。
每个人都在我们周围坐下。我宣布自己是思科电话系统的工程师。他们中的许多人开玩笑说:“亲爱的,请不要修正它。”我今天不想接任何电话。”
有一件事我学到的是饼干的关键是每个人的心脏。当我做运动的地方,我冒充高科技,或VAR的类型,我喜欢把饼干。我做这个练习,我开始传递出饼干给大家在该地区。我们都笑了,有一个伟大的时间。同时,我们在中间入侵他们的整个网络。
最后,我们暴露的客户是他们的物理访问的脆弱性,我们向他们展示了一些我们用来获取。我们能够证明如何,与社会工程的混合技术,我们能够破解SQL服务器和转储的每个人的账户信息的整个数据基础。这种违约可能有令他们多了数十亿美元。我们不得不访问所有的,因为这些漏洞。我们穿着按钮凸轮和帽子凸轮,使他们能看到它是怎么做。
公司需要运行活动。你需要告诉员工寻找什么,以及如何寻找它。公司需要教导员工,这不是该公司没有在组织内部信任的人,那就是还有人在那里每天都在努力做到这一点。这仅仅是一个良好的意识技术来做到这一点。
如果有人来为你的环境工作,你应该知道他们是谁。如果你把公司当成自己的家,那么你做事的方式就会有所不同。你不能让一个人走进你的房子。这正是企业需要注入企业文化的理念。
这个故事,“社会工程:一个黑客的解剖”最初发表方案 。