Презентация Владимира Стырана на PHDays 31 мая 2012 г.

1. правда про ложь
социальная инженерия для безопасников
Владимир Стыран
PHDays 2012 vlad@styran.com

2. Коротко о себе

3. Как это относится к теме?

4. Что такое социальная инженерия?

9. Научный метод

10. Социальная инженерия
The act of manipulating a person to accomplish goals
that may or may not be in their best interest.
Акт манипулирования человеком для
достижения целей, которые могут быть или
не быть в его интересах.
www.social-engineer.org

11. Социальная инженерия в быту
• Медицина
• Обучение и воспитание
• Побуждение к действию во время ЧП
• Расследования
• Политическая агитация
• Маркетинг и реклама
• Менеджмент
• Актерское мастерство

12. Злоумышленная СИ
• Мошенничество онлайн
• Мошенничество в реальности
• Фишинг
• Nigerian/419 scam
• Вербовка мулов в кардинге
• Шпионаж
• «Зомбирование»
• Финансовые пирамиды

13. Выдающиеся социальные инженеры
• Frank Abagnale Jr.
• Kevin Mitnick
• Сергей Мавроди
• Mark Zuckerberg
• Benjamin Franklin

14. Методы социальной инженерии
• Психологические методы
• Сбор информации
• Обрамление (Framing)
• Использование предлогов (Pretexting)
• Извлечение (Elicitation)
• Манипулирование (Manipulation)
• Планирование и сценарии
• Инструменты

15. Психологические методы
• Отвлечение внимания
• Социальное соответствие
• Принцип толпы
• Нечестность
• Обман
• Нужды и Желания
• Срочность и ограниченность
Understanding scam victims: seven principles for systems security
Frank Stajano, Paul Wilson, University of Cambridge, 2009

16. Психологические методы
Отвлечение внимания

17. Психологические методы
Социальное соответствие

18. Психологические методы
Принцип толпы

19. Психологические методы
Нечестность

20. Психологические методы
Обман

21. Психологические методы
Нужды и желания

22. Психологические методы
Срочность и ограниченность

23. Методы социальной инженерии
• Психологические методы
• Сбор информации
• Обрамление (Framing)
• Использование предлогов (Pretexting)
• Извлечение (Elicitation)
• Манипулирование (Manipulation)
• Планирование и сценарии
• Инструменты

24. Сбор информации
Интернет

25. Сбор информации
Интернет
• Google hacking
– Johnny Long – GH For Penetration Testers
• Phishing
– Social Engineering Toolkit by @dave_rel1k
• Maltego
– Paterva’s uber WWW mining weapon
• FOCA
– Fear the Foca for your metadata can speak
• Creepymap
– Seek and pinpoint

26. Сбор информации
не Интернет

27. Сбор информации
не Интернет
• Tail Gating
– Он же Piggybacking
• Shoulder Surfing
– All your passwords are belong to us
• Телефон
– No school other the old school
• Вторжение
– Veni, vidi, vici
• Диверсия
– Отвлечение/привлечение внимания

28. Сбор информации
что искать?
Искать нужно все.

29. Сбор информации
что искать?
(корпоратив)
• Профиль
– Основные направления
– Прибыль, расходы, критические процессы
– Партнеры, поставщики, аутсорсеры
– Используемые технологии
• Масштабы
– Численность
– Территориальное распределение
• Документы и публичные данные
– Файлы на сайте
– Сотрудники
– Адреса электронной почты, телефоны, прочие контакты
– Отчеты, пресс-релизы
– IP-адреса (!)

30. Сбор информации
что искать?
(индивидуум)
• Круг общения
– Школа, вуз, дополнительное обучение
– Работа, карьера, конференции, выставки
– Семья, друзья, знакомые
• Интересы
– Клубы, тусовки, хобби
– Списки рассылки, тематические форумы
– Онлайн-сообщества, игры, MMORPG

31. Методы социальной инженерии
• Психологические методы
• Сбор информации
• Обрамление (Framing)
• Использование предлогов (Pretexting)
• Извлечение (Elicitation)
• Манипулирование (Manipulation)
• Планирование и сценарии
• Инструменты

32. Обрамление
(Framing)
Framing is information and experiences in life that alter
the way we react to decisions we must make.
Обрамление это информация и жизненный
опыт, которые формируют нашу реакцию на
события, а также решения, которые мы
принимаем.
www.social-engineer.org

33. Обрамление
Frame of Reference
• Тип восприятия
– визуал / аудиал / кинестетик
• Жизненный опыт
• Политические и религиозные убеждения
• Комплексы и фобии
• Принципы
• Профессиональный опыт
…

34. Методы социальной инженерии
• Психологические методы
• Сбор информации
• Обрамление (Framing)
• Использование предлогов (Pretexting)
• Извлечение (Elicitation)
• Манипулирование (Manipulation)
• Планирование и сценарии
• Инструменты

35. Использование предлогов
(Pretexting)
Pretexting is defined as the act of creating an invented
scenario to persuade a targeted victim to release
information or perform some action.
Предлог – это акт создания вымышленного
сценария для убеждения цели в
предоставлении информации либо
выполнении определенного действия.
www.social-engineer.org

36. Классические предлоги
• Help Desk / Tech Support
• Pizza Guy
• Претендент на собеседовании
• Торговый представитель
• Бизнес партнер
• Разъяренный клиент
• Новый сотрудник

37. Методы социальной инженерии
• Психологические методы
• Сбор информации
• Обрамление (Framing)
• Использование предлогов (Pretexting)
• Извлечение (Elicitation)
• Манипулирование (Manipulation)
• Планирование и сценарии
• Инструменты

38. Извлечение
(Elicitation)
Elicitation is the process of extracting information from
something or someone during an apparently normal
and innocent conversation.
Извлечение это процесс получения
информации в, казалось бы, нормальном и
безобидном режиме общения.

39. Манипулирование
(Manipulation)
https://irrelevantaxiom.wordpress.com/2011/10/14/the-age-of-manipulation/

40. Уязвимости
• Мы хотим быть вежливыми
• Мы хотим выглядеть профессионально
• Мы хотим быть нужными и полезными
• Мы хотим ощущать свою важность
• Мы хотим быть последовательными
• Мы не хотим врать без веской причины
• Нам нравятся люди, похожие на нас
• Мы относимся к людям так,
как они относятся к нам

41. Формула успеха
План успешной атаки
• Исследование обрамления/фрейма
– Изменение обрамления (reframing)
• Разработка предлога
– Предлог должен вписываться в фрейм цели
– Чем точнее они подходят друг другу, тем больше
шансов на успех
• Разработка сценария
– Не погружаться в детали слишком глубоко
• Выполнение действия
– Извлечение (elicitation)
– Манипулирование (manipulation)

42. Пример 1

43. Пример 1
• Фрейм
– Охранник последнего этажа
– Руководитель смены
• Предлог
– Постоялец отеля
• Сценарий
– Пляжная одежда и полотенце
– «Забытый» ключ от номера
• Манипулирование
– Пропуск в бассейн

44. Пример 2
RSA SecurID Attack
http://blogs.rsa.com/rivner/anatomy-of-an-attack/

45. Пример 2
RSA SecurID Attack
• Фрейм
– (Любопытный) сотрудник компании
• Предлог
– Инсайдер, располагающий информацией о планах
найма на 2011 г.
• Сценарий
– «Ошибочное» электронное письмо на группу
сотрудников с вложением «2011 recruitment
plan.xls»
• Манипулирование
– Запуск вложенного документа MS Excel

46. Сбор информации / FOCA

47. Сбор информации / FOCA

48. Сбор информации / Maltego

49. S.E.T.

50. Невербальная коммуникация

51. Яблоко от яблони…

52. Основные аспекты невербалки
• 40-60(-80?)% информации при общении
• Жесты и мимика не врут
• Микро выражения
• Однозначно распознать ложь невозможно
• Мы плохие (ленивые?) наблюдатели
• Внимательность к окружающим

53. Нейролингвистическое
программирование

54. Как защищаться?

55. Принять риск

56. Устранить риск
Исключить людей из бизнес-модели

57. Управлять риском
• Учитесь распознавать социального инженера
– Следите за новостями
– Учитесь на ошибках
– Читайте, смотрите, слушайте
• Осведомленность в хорошем смысле слова
– Программы осведомленности СКУЧНЫЕ
– Сотрудники «срезают углы»
– Учите коллег распознавать СИ
– Убедите, что противостояние СИ в личных целях
каждого

58. Управлять риском
• Осознание ценности информации
– Справочники, списки, каталоги
– Устаревшие документы
• Идентификация личности
• Обновления ОС и ПО
– Метаданные: DOC, XLS, PDF, ETC.
– 0-days & public exploits

59. Управлять риском
• Планирование, планирование,
планирование
– Процедуры увольнения
– Выявление и реагирование на инциденты СИ
– Действия при подозрении или успешной атаке
• Выявление нарушителей
• Кто-то подсматривает вводимые пароли
• Получение фишингового письма и так далее…

60. Управлять риском
• Аудиты
– Подготовьте юридическую базу
– «Социальные» пентесты
– Пентест должен включать социальный канал
– Оценивайте и требуйте качество аудита
– Обсуждайте и выполняйте рекомендации
• Знайте, где вы сильны
• А где «возможны улучшения»

61. И помните…

62. …в мире слишком много медведей

63. Что читать
• Chris Hadnagy
– Social Engineering
• Joe Navarro
– What Every Body Is Saying
– Louder Than Words
• Kevin Mitnick
– The Art Of Deception

64. Что смотреть

65. WWW
• www.social-engineer.org
• Social-Engineer.org Podcast
• @humanhacker
• www.jnforensics.com
• @navarrotells
• www.paulekman.com

66. Постоянно практикуйтесь!
• Убедитесь, что это законно
• Практикуйтесь на людях, желающих помочь
– Служащие отелей
– Операторы звонковых центров
– Продавцы
– Кто угодно
• Do no evil!

67. Спасибо за внимание!
vlad@styran.com
@xaocuc