Методы сбора информации.

by @garant_copy
Методы сбора информации.

В данной статье я расскажу вам про чёрные и серые способы сбора информации об интересующем нас объекте, а так же приведу примеры, как можно воспользоваться полученной информацией.

Начнем.

Немного теории, для того, чтобы вы понимали, как видят в нас угрозу сотрудники ИБ (Информационная безопасность), какими методами они проводят обучение персонала по защите корпоративной информации. Это важно, если мы знаем, что наша жертва знает о нас, то полученные знания мы так же можем использовать против неё, а поскольку чёрные и серые способы сбора информации включают в себя взаимодействие с клиентом, то лишним не будет дополнительные знания об СИ.

Данная информация была взята из одной методички по ИБ:

Под угрозой потери информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных последствий для компании, а так же внешних или внутренних источников угрозы способность создавать критические ситуации, оказывать дестабилизирующее воздействие на защищаемую информацию (документы и базы данных). Риск угрозы любым (открытого и ограниченного доступа) информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, заинтересованные и незаинтересованные в возникновении угрозы лица, а так же другие объективные обстоятельства.

(если вы хотите правда это понять и разобраться в этом, то советую вам нарисовать схему всевозможных угроз ИБ)

В связи с повышенным интересом различного рода злоумышленников, информационные ресурсы ограниченного доступа подвергаются угрозе, предполагающей утрату информации (разглашение, утечку) или утерю носителя, значительно опаснее. Утрата информации влечет за собой незаконный переход конфиденциальных сведений, документов к субъекту, не имеющему права владения ими и использования в своих целях. Доступ злоумышленника или постороннего лица к документированной информации, может привести к овладению информацией о предприятии в целом, к противоправному использованию и совершению иных не законных действий. Результатом несанкционированного доступа может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, подмена и т.п.


Обязательным условием успешного осуществления попытки несанкционированного доступа к информационным ресурсам ограниченного доступа является интерес к ним со стороны конкурентов, определенных лиц, служб и организаций. При отсутствии такого интереса, угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней постороннего лица.

Выдержка из книги - "И это ошибка, т.к. мы с вами занимаемся тем, что просто собираем информацию о компании по крупицам, что бы в дальнейшем использовать её в своих целях. Приведу пример. Стояла задача выйти на нужного сотрудника в одной крупной компании, естественно в главном офисе этой компании я изначально потерпел неудачу, тогда обратившись к открытым источникам информации , я нашел несколько тел. номеров филиалов этой компании. Я позвонил в один из них, представился от должности интересующего меня сотрудника (был знаком изначально) сказав, что я новенький и мне необходим инструктаж, попросив связать меня с тем, кто занимается таким вопросом, и знаете, меня соединили. Уже в ходе общения со специалистом я узнал необходимую информацию и потом спокойно позвонил в главный офис и вышел на нужного мне человека).

Вернемся к теории.

Утрата информации ограниченного доступа может наступить по следующим каналам:


1. Отсутствие системной, аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;

( а попросту говоря беспечность, когда наша жертва смотрит на угрозу атак СИ сквозь пальцы, а может и вовсе о ней не подозревает)

2. Малоэффективную систему защиты информации или отсутствие этой системы ;(Та ситуация когда вроде бы какое-то понимание у жертвы есть и получить от неё информацию немного сложнее чем в первом пункте).

3. Непрофессионально организованную технологию обработки и хранения конфиденциальных документов;

( расскажу вам реальный случай, когда доступ ко всей важной отчетности и документации был у любого сотрудника который в свою очередь подключен к главному серверу компании)

4. Неупорядоченный подбор персонала и текучка кадров, сложный психологический климат в коллективе;

(Поступление злоумышленника на работу в фирму, как правило, на техническую или вспомогательную должность (оператором ЭВМ, секретарем, дворником, охранником, шофером и т.п.) ; та ситуация, когда любой человек легко может устроиться в фирму и в совокупности с 3 пунктом, заполучить всю необходимую информацию, или воспользовавшись тяжелой ситуацией в компании, пойти на банальную взятку сотруднику за передачу вам интересующих вас сведений, так же существует подход с поиском недавно уволенных сотрудников компании. Бывший сотрудник компании в ходе телефонного разговора получает приглашение на обычное собеседование на очень заманчивую позицию. Будьте уверены, что опытный социальный инженер в состоянии разговорить почти любого сотрудника, который борется за позицию. От таких людей получают достаточно большой объем информации для подготовки и выбора вектора атаки: от топологии сети и используемых средств защиты до информации о частной жизни других сотрудников.)

5. Отсутствие системы обучения сотрудников правилам защиты информации ограниченного доступа;

( по сути тот же 1 пункт, в данном случае всю необходимую информацию для совершения атаки СИ вы можете получить от секретаря, т.к. никто ей не рассказывал, что даже самая безобидная информация о структуре компании, добавочные номера сотрудников email и их ФИО в умелых руках леко превращаются в оружие социального инженера)

6. Отсутствие контроля со стороны руководства фирмы за соблюдением персоналом требований нормативных документов по работе с информационными ресурсами ограниченного доступа;

( Тот случай, когда обучение проводилось, сотрудники знают, что ничего никому говорить нельзя, но всё равно говорят, потому что никто их не контролирует, звонки например не записывает, а если и записывает, то потом не прослушивает и по этому опять рождается беспечность).

7. Бесконтрольное посещение помещений фирмы посторонними лицами.

(тот случай, когда любой может придти представившись новым помощником сис. админа, собрать всю необходимую информацию, воткнуть например аппаратный кейлогер или ещё что по лучше и спокойно уйти).

Изучая этот документ дальше, я обратил внимание ещё на один пункт.

Переход информации к третьему лицу возникает в результате:

1. Утери или неправильного уничтожения документа, пакета с документами, дела, конфиденциальных записей;

( В фильме "who am i" хакеры искали в мусоре зацепки для совершения атаки СИ. В случае, если в компании выбрасывают документацию на помойку без правильного уничтожения, то среди ��усора могут быть найдены отчеты и внутренняя информация.)

2. Излишней разговорчивости сотрудников при отсутствии злоумышленника (с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования, транспорте и т.п.);

(в книге социальная инженерия и социальные хакеры описывается случай, когда хакер просто потерся в курилке весь день и узнал всю необходимую информацию, просто слушая разговоры сотрудников).

3. Работы с документами ограниченного доступа при посторонних лицах, несанкционированной передачи их другому сотруднику;

(тот случай, когда ты использовав текучку кадров, попадаешь в организацию и с помощью плечевого серфинга получаешь всю необходимую тебе информацию.)

Данные каналы подбираются индивидуально в соответствии с вашими профессиональными умениями, целями и конкретной ситуацией. Обнаружение таких каналов требует проведения серьезной поисковой и аналитической работы.


Теперь давайте рассмотрим более подробно техническую сторону вопроса:


Техническое обеспечение офисных технологий предоставляет широкую возможность несанкционированного получения конфиденциальных сведений. Техническое обеспечение создает возможность для создания технических каналов утечки информации. 

Технические каналы утечки информации возникают при использовании специальных технических средств промышленного шпионажа, позволяющих получать защищаемую информацию без непосредственного контакта с персоналом фирмы, документами, делами и базами данных.

(об этих средствах будет отдельная статья)

Основными техническими каналами являются: акустический, визуально-оптический, электромагнитный и др. 

1. По акустическому каналу мы можем вести прослушку с помощью жучка, использовать лазерный микрофон.

2. По визуально-оптическому каналу можем подглядывать с помощью скрытой камеры, или заглядывать в окна при помощи того же дрона с камерой.

3. По электромагнитному каналу получение информации ведется с использованием технических средств разведки.

Всё это заслуживает отдельной статьи и возможно вы её получите, а пока рассмотрим ещё один хороший способ получения информации, даже если все у них в плане ИБ налажено, относительно не плохо.


Собираем информацию.

Для начала нам необходимо узнать номер организации, это можно сделать в справочной либо на веб-сайте, поскольку организации публикуют свои контактные телефоны и номера факсов.

После получения телефонных номеров, ищем работающие модемы, воспользовавшись программой типа "wardialer". Приблизительно определив блок телефонных номеров, используемых организацией, он начинает дозвон по этим номерам. Однако такая деятельность не останется незамеченной, так как будут прозваниваться многие офисные номера. Поэтому нужно постараться выполнить это в нерабочее время или в выходные дни, чтобы уменьшить вероятность обнаружения.

Осложняет работу то обстоятельство, что мы не знаем номера наверняка. В результате у нас на руках могут оказаться модемные подключения других организаций, которые в данный момент нам не очень-то и нужны.

В конце концов, мы получим список номеров с отвечающим модемом. Возможно, он пригодится, а возможно, и нет. В любом случае нам предстоит проделать большую работу для сбора необходимой информации.

Собираем ещё больше информации

Предварительное исследование беспроводных сетей.

Проверяем близлежащий район (автомобильные стоянки, другие этажи здания, улицу) на предмет наличия беспроводных сетей. Эту разведку мы выполним без особых усилий, прогуливаясь вокруг здания или проезжая на автомобиле. В большинстве случаев наши попытки подключения к беспроводной сети не будут зарегистрированы.

Предварительное исследование системы

Предварительное исследование систем представляет потенциальную опасность, но не с точки зрения задержания и ареста, а с точки зрения привлечения внимания. В процессе сбора данных мы определяем используемое оборудование, операционные системы и их уязвимые места.

С помощью развернутой отправкой пинг-пакетов, скрытого сканирования или сканирование портов. Если мы хотим остаться "в тени", то необходимо будет выполнять все очень медленно - один пинг-пакет по одному адресу примерно каждый час. Такая деятельность останется незамеченной для большинства администраторов.

Сканирование для определения операционных систем скрыть труднее, так как сигнатуры пакетов большинства инструментальных средств хорошо известны, и системы обнаружения вторжений (Intrusion Detection Systems, IDS) с большой степенью вероятности выявят эти попытки. Мы может отказаться от использования известных инструментов и применить скрытое сканирование портов. Если система отвечает через порт 139 (NetBIOS RPC), то это, вероятно, Windows (NT, 2000, XP, 95 или 98), если через порт 111 (Sun RPC/portmapper) - то это система Unix. Почтовые системы и веб-серверы выявляются через подключение к определенным портам (25 - для почты, 80 - для веб) и исследование ответа. В большинстве случаев можно узнать тип используемого программного обеспечения и, следовательно, операционную систему. Такие подключения выглядят вполне легальными, не привлекая внимания администраторов или систем IDS.

Предварительное исследование сферы деятельности

Если в ходе сбора информации мы узнали что кто то из их компании работает "на удаленке" то это является серьезной уязвимостью для их системы. Самым простым способом получения доступа в организацию в этом случае станет взлом одной из домашних систем.

( О взломе домашних сетей, перехвате трафика, атак типа человек по середине есть море статей, так что найти информацию об этом будет не сложно).

Спасибо, что прочитали статью до конца, надеюсь она вам понравилась.

October 14, 2018