После выступления перед деловыми людьми, Кивин Митник любезно принял приглашение прийти на неформальную встречу в московском хакспейсе.
Данная статья основана на "воспоминаниях" участников, эти воспоминания могут не иметь никакой связи с действительностью, а быть просто актом социальной инженерии.
(при написании данного текста ни один Сноуден не пострадал)
Специалист по GSM
Занятно было услышать мнение Кевина про слив информации Сноуденом:
«В США есть тупые, кто считает, что это [слежение за всеми гражданами] действительно помогает национальной безопасности. Но многие понимают, что такое слежение приносит больше вреда, чем пользы. Но я считаю, что он зря слил информацию про то, как мы следим за иностранцами. Все это делают, тут нет секрета, но открытая публикация может привести к негативным последствиям для нас.»
Ну и ещё Кевин сказал, что у Сноудена с собой наверняка куда больше информации, чем он отдал прессе. И что он очень-очень удивлён, насколько плохо устроена защита информации внутри АНБ.
Участник 0365
Претекст — очень важен, на это необходимо тратить много времени; отношения доверия — важно искать и использовать (филиалы компании, подрядчики и т.п.)
В обучении главное — практика; если бы мне пришлось учить кого-то, я бы заставлял практиковаться как можно больше.
Книги Чалдини [Robert Cialdini] — must read, основные принципы действительно работают (авторитет, взаимность и др.)
Смешно, когда люди готовятся позвонить и записывают текст (скрипт) — я всегда верю в историю, которую рассказываю [жертве]
Реальная соц. инженерия — не готовый претекст и действия в один ход, это импровизация и движение к цели в несколько этапов.
Да, в итоге человек выполнит код, который вы прислали — но он должен делать это с ощущением, что получает что-то важное и нужное ему — сервис, информацию, и т.п. Это позволяет отвлечь его внимание от самого факта выполнения кода.
Кевин Митник: «По результатам пентеста мы решили сделать подарок админам — подарить экземпляры моей книги, и подписать ее „их любимым паролем“ (полученным в ходе теста). Я думал, это будет хорошая шутка, но все очень напряглись — оказывается, этот же пароль многие использовали для интернет-банка.»
Участник DefCon
Еще раз, самое важное — практика. Все, что написано и в "Искусстве обмана" и в "Психологии влияния" — очень интересная и полезная теория (хотя, разумеется, только основы), но нужно помнить, что это не учебники, и, просто действуя по алгоритму, далеко не уедешь (то же, что и знакомиться с девушками)
Вторая важнейшая деталь — получение удовольствия от процесса. Это, конечно, относится к любой работе, но тут уж совсем без этого никак, иначе как раз получится «по бумажке» и с большой долей вероятности зафейлится. Причем здесь как раз мы долго говорили о том, что процесс куда веселее, чем сам результат.
Наконец, третье — это то, что СИ(Соц. Инженерия) можно применять и в жизни, но не стоит этим злоупотреблять. Покататься автостопом и получить халявный билет на концерт — это круто и весело, но доверие между близкими людьми — это важно. Еще Кевин сказал, что покер — довольно скучная игра, потому что все только и делают, что блефуют (впрочем, потом согласился, что "холодное чтение" соперника — тоже круто.
Robotics developer
My own questions to Kevin were about protecting ourselves and our data. Disk encryption like TrueCrypt and network monitoring tools like netstat and Little Snitch were his direct answers but by listening to his other anecdotes and experience with social engineering and physical penetration testing I learned a lot about how easy it is for hackers with physical access to get info on us, and how to guard against that. Basically, don't let Kevin near anything as he will us it to his advantage!
Участник 001
У: Как вы сохраняете должный уровень технических знаний?
Митник: Я нанимаю людей умнее себя. И учусь у них.
Автор: MagisterLudi