10 сентября Компания «Крок» проводила конференцию, на которой докладчиком был Кевин Митник.
Для меня этот человек — кумир и легенда (я диплом писал отчасти по его книгам), поэтому попасть на его выступление было для меня делом чести.
Узнал я о конференции за 3 дня до ее начала и официально попасть мне на конференцию не удалось.
Что ж, у Митника я многому научился, и поэтому, пустив в ход социальную инженерию, я осуществил физический доступ (проникновение на охраняемый периметр).
Под катом краткий конспект выступления
Сначала Кевин рассказал историю про кражу 10 млн долларов, где злоумышленник использовал социальную инженерию.
примерный текст вот здесь
Немного теории и статистики
Кевин рассказал, что за 10 лет мало чего изменилось в области безграмотности сотрудников.
В Лондоне 7 человек из 10 сообщают свой пароль взамен на "Пасхальное яйцо"
10 лет назад 9 человек из 10 раскрывали свой пароль.
Демонстрации
Кевин продемонстрировал инструменты для атак в действии.
FOCA
Программа для сбора мета-данных (версии ОС, ПО, список пользователей и тд.)
"Ныряние в мусорку"
«Что для одних мусор, то для других — сокровище»
Кевин показал корпоративный справочник с именами и контактами всех должностных лиц, который он «выловил» в мусорке и который обладал большой ценностью для социального инженера.
Анализ P2P сетей для выявления топологии всей сети.
Кевин показал топологическую схему одной такой сети. Потом показал надпись с названием этой сети — «Пентагон». Попросил ее не фотать.
«Боевая» флэшка и «боевой» PDF
Митник показал, что воткнутая флэшка(специально оставленная злоумышленником на видном месте) или открытый PDF файл могут обеспечить хакеру полный контроль за компьютером жертвы, вплоть до захвата управлением видеокамерой и отображением всего содержимого рабочего стола.
Java апплеты
Кевин продемонстрировал вредоносный сайт, мимикрирующий под ВТБ24 (будьте осторожны, переходя по ссылке)
Spoofing
Кевин показал в действии как работает сервис по этой ссылке(он защищен паролем)
mitnicksecurity.com/sms.php
Он наглядно продемонстрировал как на номер мобильного телефона человека из зала можно прислать смс-ки от имени его жены. Текст смс-ки был следующий: «Расскажи Кевину все свои пароли»
Фишинг с фальшивым номером телефона техподдержки банка.
Кевин продемонстрировал атаку "человек посередине"
Человеку приходит письмо с просьбой позвонить по фальшивому номеру в техподдержку банка, а злоумышленник получает последовательность нажатия кнопок на телефоне жертвы.
Считыватель/копирователь смарт-карт.
Кевин показал в действии фрикерский девайс, который позволяет дублировать бесконтактные смарт-карты
В конце своего выступления Кевин отвечал на вопросы, в т.ч. как часто надо проводить «тренинги бдительности» для сотрудников. По мнению Митника — не реже чем раз в полгода.
Десятку счастливчиков достались легендарные визитки «бывшего» хакера в виде набора отмычек.
Рекомендованные ресурсы:
«Искусство обмана»
«Искусство вторжения»
«Призрак в сети»
«Психология влияния» Чалдини
trustedsec.com
KnowBe4.com
mitnicksecurity.com
П.С. Ведущий(в конце выступления): «В райдере Кевина было сказано объявить, что фото-, аудио- и видеосъемка запрещена, но в райдере не было сказано КОГДА это надо было объявить.»
ППС
«Верить можно только Богу. Все остальные — под подозрением». Кевин Митник
Биография хакера на Хабре habrahabr.ru/post/68273/
Автор: MagisterLudi