Дальше логично перейти к планированию векторов атаки. Будете ли вы устраивать фишинговую рассылку? Или собирать личную информацию с помощью вишинга? Может, нужно будет использовать мобильные устройства? Придется ли пробираться на территорию компании? А может, стоит использовать сразу несколько векторов? Все эти вопросы помогут составить полноценный план атаки.
После составления плана можно будет переходить к его реализации: сбору данных на всех этапах атаки и подготовке отчета о проделанной работе. На практике, однако, нередко оказывается, что провести пентест в строгом соответствии с этими шагами не удается. Скажем, вы завершили сбор данных из открытых источников, на основании которого выбрали отличный вектор атаки, но затем выяснилось, что без сбора дополнительной информации не обойтись — в таком случае логично вернуться к первому шагу.
Вне зависимости от того, какую последовательность шагов необходимо будет осуществить для проведения конкретной операции, в процессе пентестинга всегда должны учитываться следующие принципы:
• Необходимо заранее понимать, собираетесь ли вы записывать телефонные разговоры. Во многих штатах запись разговоров без согласия собеседника считается нарушением закона. Не стоит полагать, что, наняв вас, клиент автоматически дал согласие на любые действия с вашей стороны. То же самое касается записи видео в процессе проникновения на территорию объекта. Обязательно давайте клиенту подписывать официальное согласие на подобные действия.
• Не думайте, что клиент представляет себе все необходимые для проведения социально-инженерного пентеста шаги. Проговаривайте все услуги, которые готовы предложить, чтобы заказчик ясно представил себе, чего ожидать. Такое обсуждение позволит ему задать вам всевозможные вопросы, ответив на которые вы сможете свободно и не создавая ни для кого проблем двигаться дальше.
• Обязательно расписывайте все шаги поиска через Google и называйте инструменты, которые используете в ходе подготовки. При желании клиент должен иметь возможность повторить ваши действия.
• Некоторые пентестеры переживают, что тем самым лишат себя работы: якобы после этого клиент сможет проводить проверки самостоятельно. Но за годы работы я ни разу не потерял заказчика из-за того, что слишком многому его научил.
• Процесс так же важен, как и результат.
Да, вы можете сообщить клиенту, что 90 % получателей перешли по ссылке из письма, а 47 % сотрудников, которым вы звонили, сообщили свои идентификационные данные по телефону. Получится пугающая статистика, но ведь это еще не все. Вы должны объяснить заказчику каждый проделанный в процессе подготовки шаг, мотивировать выбор конкретного вектора атаки, а также выделить людей, которые не повелись на ваши уловки, — потому что все это не менее важно, чем цифры и проценты.
• Не стоит активно публиковать в социальных сетях информацию об эксплойтах, которые сработали на ваших клиентах. (Очень неприятно бывает сталкиваться со специалистами, которые это практикуют.)
• Представьте, что вы обратились к врачу за весьма неприятной процедурой, в ходе которой он побывал в таких закоулках вашего тела, куда никому не стоит соваться. Этот опыт был для вас крайне неприятным, возможно даже болезненным, и уж точно заставил вас покраснеть. Но процедура наконец завершена, и врач на минуту отлучился из кабинета. Ожидая его возвращения, вы достали телефон, чтобы глянуть, не написал ли кто чего-то важного в соцсетях. Как вдруг увидели свежий твит своего врача: «Зацените размер опухоли, которую я только что нашел у одного жирного недотепы. Ахах». Да, имени вашего он не называл и лица вашего никто не увидит, но тем не менее, что вы почувствовали бы? Понравился бы вам такой доктор? Поверили бы вы, что он желает вам добра? Я бы точно не вернулся к такому врачу.
То же самое касается постов о том, как легко вам удалось проникнуть в офис клиента или как плохо у него организована охрана. Такие публикации заставляют людей ощущать стыд. Делать их просто непрофессионально.
На эти пять принципов можно ориентироваться при подготовке любой операции. И прежде чем переходить к правилам организации каждого из векторов атаки, хочу дать вам еще два совета: документируйте все и придирчиво выбирайте легенды.
Зачем все документировать
Клиенты платят вам за максимально тщательное исследование вопросов безопасности их компаний. Поэтому даже если какой-то материал, найденный в открытых источниках, для организации атаки не пригодился, сообщить о его существовании заказчику все же стоит. Безусловно, иногда вы будете находить информацию, которая сможет нанести заказчику серьезный вред. Как поступать в таком случае?
Однажды нашей компании заказали проверку того, насколько одна высокопоставленная руководительница финансовой компании соблюдает необходимые требования безопасности. В процессе поиска мы обнаружили фотоснимки, которые она делала в молодости и которые из промоматериалов фотографа перекочевали на порносайт. Что делать в такой ситуации социальному инженеру?
Мы решили, что такая информация слишком деструктивна, чтобы использовать ее в фишинге. Поэтому для пентеста мы выбрали другую стратегию. Но уже после завершения проверки запросили личную встречу с этой руководительницей, рассказали ей о своей находке и предложили помощь в том, чтобы добиться удаления фотографий с сайта без огласки в компании. Женщина была очень нам благодарна, и я до сих пор поддерживаю с ней дружеские отношения.
Зачем выбирать легенды придирчиво
Я бесчисленное количество раз находил информацию, порочащую клиентов, но сознательно ни разу не использовал ее при составлении легенд. Возможно, некоторые читатели подумают, что из-за этого я упускаю многообещающие возможности. Однако я всегда руководствуюсь правилом, которое уже не раз упоминал и сейчас с удовольствием повторю снова: после встречи со мной люди должны чувствовать себя лучше, чем до нее. Кроме того, я стремлюсь к тому, чтобы проверка служила в первую очередь обучающим целям — а человека, который чувствует себя униженным, сложно чему-то научить. Следовательно, к легендам я отношусь крайне придирчиво и тщательно выбираю, какую информацию использовать, а какую — нет. И да, я советую документировать все, что попадется вам на глаза в процессе подготовки. Таким образом, даже если вы не используете эту информацию в легенде, вы должны сообщить ее клиенту.
Один клиент как-то заказал у нас фишинг. Выяснилось, что один из его сотрудников использовал корпоративную почту при регистрации на сайте для «особых» знакомств. Там этот человек публиковал комментарии под фото весьма привлекательных обнаженных женщин: писал, что приезжает в их город в командировку и хотел бы встретиться. Сейчас я предлагаю вам отвлечься от моральных суждений о его изменах жене или компрометирования корпоративной почты на подобном сайте. Поразмышляйте о ситуации с другой точки зрения: сработал бы фишинг от одной из таких дам с сайта? Я почти со 100 %-ной вероятностью могу гарантировать: да, сработал бы. Но мы такой заход использовать не стали. Ведь цель профессионального социального инженера — просвещение и помощь, а не унижение.
