Inżynieria społeczna
Inżynieria społeczna, Ludzie

Inżynieria społeczna w testach penetracyjnych

Inżynieria społeczna w testach penetracyjnych: 6 wskazówek dotyczących etycznego (i legalnego) użytkowania

Techniki socjotechniczne są często kluczowe dla wykonywania testów penetracyjnych. Ale które metody przekraczają linię etyczną – a nawet zapuszczają się na niebezpieczne terytorium nielegalnych?

Techniki socjotechniczne są często częścią ogólnego testu penetracji bezpieczeństwa; często stosowany jako sposób na przetestowanie tak zwanej „sieci ludzkiej”.

Ale w zapałach testera pióra, aby odkryć słabości pracowników, niektórzy mogą stosować strategie, które można uznać za nieetyczne. I są pewne ruchy socjotechniki, których po prostu nie możesz użyć, jeśli chcesz pozostać w zgodzie z prawem.

Oto sześć rzeczy, o których należy pamiętać, aby zapewnić, że Twój zespół stosuje najbardziej etyczne i prawne podejście do testowania luk bezpieczeństwa ludzi.

Poznaj lokalne przepisy

„W wielu stanach jednopartyjna zgoda na nagrywanie audio lub wideo jest nielegalna” – powiedział Chris Hadnagy, doświadczony tester długopisów, ekspert inżynierii społecznej i autor  socjotechniki: Sztuka ludzkiego hakowania . „Tester pióra, który robi to bez odpowiedniej umowy, może łamać te prawa”.

Inne rzeczy niezgodne z prawem, które niektórzy testerzy piórem mogą próbować: grozić wyrządzeniem krzywdy, uzyskiwanie dokumentów federalnych, numerów ubezpieczenia społecznego lub innych prywatnych informacji od niczego niepodejrzewających celów. Ponadto podszywanie się pod organy ścigania jest nielegalne. Jak mówi Ed Skoudis, instruktor SANS i dyrektor NetWars CyberCity, podszywanie się pod osobę w organizacji, którą testujesz piórem, może odbywać się tylko za zgodą.

„Przekonujemy się, że lepiej jest podszywać się pod fikcyjnego pracownika, a nie faktycznego, ponieważ zmniejsza to ryzyko zepsucia czyjejś reputacji” – powiedział.

Przepisy mogą się różnić w zależności od stanu i kraju, dlatego przed kontynuowaniem należy dokładnie sprawdzić swój plan pod kątem lokalnych przepisów.

Pamiętaj „nie krzywdź”

„Kwestie etyczne są najważniejszym elementem zarówno inżynierii społecznej, jak i testów bezpieczeństwa fizycznego” – powiedział HD Moore, dyrektor ds. Badań w Rapid7 oraz założyciel i główny architekt firmy w zakresie testów penetracyjnych Metasploit. „Gra„ złego faceta ”może być tak samo trudna dla konsultanta, jak i dla pracowników klienta”.

Aby wykonać test piórem, konieczne może być pewne przekręcenie prawdy. Ale kluczową rzeczą do zapamiętania jest „nie szkodzić”, powiedział Moore.

„Kłamstwo na temat pozostawienia kluczy na biurku może być właściwe, ale wymyślenie historii o traumatycznym wypadku może wywołać smutek i długoterminową nieufność, gdy okaże się fałszywe”.

Moore powiedział, że podobne wytyczne dotyczą testów bezpieczeństwa fizycznego.

„Nigdy nie chcesz narażać swoich pracowników, klienta lub ich pracowników ochrony w sytuacji, w której czują się, jakby byli w niebezpieczeństwie. Ludzie łatwo reagują przesadnie. Słyszałem historie o klientach, którzy próbowali przetestować zabezpieczenia, ponieważ poszli za kimś przez drzwi bezpieczeństwa. ”

Emuluj exploity z „prawdziwego świata” – nie sceny filmowe

Moore uważa również, że testy socjotechniczne powinny odzwierciedlać ataki na organizację w świecie rzeczywistym, a nie sytuacje przesadzone, które są mało prawdopodobne w codziennym środowisku pracy.

„Wysyłanie podejrzanego e-maila lub połączenie telefoniczne w celu zresetowania hasła to coś, przed czym pracownicy powinni być w stanie się bronić” – powiedział. „Natomiast odpychanie się przez światło nieba lub podsłuchiwanie czyjegoś biura nie jest normalnym zagrożeniem dla większości firm i przy próbie przekroczenia granicy”.

Zdobądź podpis i wyraźną umowę

Każda część testu penetracyjnego musi zostać podpisana przez kierownictwo organizacji przed kontynuowaniem. Potrzebujesz jasnej umowy o tym, co jest, a co nie, może się chronić, powiedział Hadnagy.

„Chcesz uzyskać dostęp do śmietników? Upewnij się, że jest to określone w umowie. Chcesz mieć możliwość wyjścia z budynku z komputerem pod pachą? Weź to w umowie. Co zrobić, jeśli komputer, z którym wychodzisz, zawiera osobiste dane wszystkich pracowników lub dane finansowe? ”

„Proces inżynierii społecznej powinien opierać się na planie, który został zatwierdzony zarówno przez kierownika ds. Bezpieczeństwa, jak i przedstawiciela działu zasobów ludzkich” – dodaje Moore.

Przed rozpoczęciem upewnij się, że odpowiednie osoby są tego świadome

Masz pozwolenie na robienie tego, co musisz zrobić, zdobywając je na piśmie, ale nie wyruszaj na test bez uprzedniego ostrzeżenia odpowiednich osób – możesz też znaleźć się w niezręcznej sytuacji. W tej opowieści z Moore utracono miejsca pracy, ponieważ przed testem nie podano odpowiedniego powiadomienia.

„W nocnym teście penetracji fizycznej oddziału banku konsultant uruchomił alarm w budynku i czekał na pojawienie się policji. Na szczęście ekipa sprzątająca przybyła w samą porę i pomogła wyłączyć alarm i wpuścić ich do środka obszar zabezpieczony. Policja wciąż się pojawiała i była niezręczna rozmowa, w wyniku której wezwano prezesa banku. Konsultant został oczyszczony, ale ekipa sprzątająca została zwolniona na miejscu przez prezesa banku. został rozwiązany następnego ranka, szkody już zostały wyrządzone. W takim przypadku prezydent powinien był zostać poinformowany, że tego wieczoru miał miejsce test ”.

Oddzielne, aby uniknąć uszkodzeń zewnętrznych

Jak wyjaśnia tutaj Skoudis, test pióra typu phishing włócznia należy podzielić na dwie fazy, aby uniknąć potencjalnego ataku na niezamierzony cel poza organizacją:

„Pierwszą częścią jest wysłanie wiadomości e-mail, próba kliknięcia linku lub otwarcie załącznika. Zalecamy, aby testerzy penetracji skomponowali swoją wiadomość e-mail za pomocą linków i / lub załączników, ALE NIE SPRÓBUJ WYKORZYSTYWAĆ CEL za pośrednictwem tego e-maila Zamiast tego tester pióra konfiguruje stronę internetową, aby mógł on po prostu policzyć liczbę klikniętych linków lub otwartych załączników otrzymanych z wiadomości e-mail, a także źródła maszyna kliknięć.

Następnie, jako osobna faza projektu, tester pióra współpracuje ze współpracownikiem wewnątrz, używając typowo skonfigurowanego laptopa lub komputera stacjonarnego, aby wypróbować samą eksploatację, być może uzyskując dostęp, a następnie obracając się przez docelową infrastrukturę. Tak więc tester zgodziłby się z wewnętrznym współpracownikiem, że w danym dniu i godzinie tester pióra dostarczy serię adresów URL i / lub załączników, aby współpracownik mógł jawnie kliknąć i otworzyć. W tej fazie nie ma żadnych sztuczek. Możemy jednak wywnioskować z tego, co jesteśmy w stanie wykorzystać na tej typowej maszynie klienckiej, jaki wpływ uzyskalibyśmy na jednym z kliknięć w fazie pierwszej.

Widzisz, oddzieliliśmy wiadomość phishingową (gdzie najważniejsze jest to, czy otrzymasz kliknięcie, czy nie) od etapu eksploatacji. To jest o wiele bezpieczniejsze. Widzisz, jeśli połączysz oba te elementy i wykorzystasz maszynę, która otrzymała wiadomość e-mail, możesz zaatakować kogoś spoza zakresu. Odbiorca wiadomości e-mail może przekazać wiadomość e-mail komuś w firmie (lub nawet poza firmą). Jeśli zaatakujesz tę osobę, przekroczyłeś swój zasięg i możesz mieć poważne kłopoty. Właśnie dlatego rozdzielamy dwa aspekty ”.

Leave a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Instagram