В данной статье мы рассмотрим некоторые черные и серые методы сбора информации об интересующем нас объекте, а так же приведем примеры использования собранной вами информации.
Начнем
Немного теории,для того что бы Вы поняли как эту угрозу видят специалисты ИБ которые проводят инструктажи в компаниях и которые учат сотрудников как им от нас защититься. Это важно, ведь, если мы знаем, что о нас знает наша жертва, то мы можем использовать это против неё, а поскольку черные и серые методы сбора информации включают в себя взаимодействие с жертвой и непосредственно использование СИ, то нам это пригодиться.
Данная информация была взята из одной методички по ИБ, потом она была переформатирована для наших нужд и вот что получилось:
Под угрозой или опасностью утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных. Риск угрозы любым (открытым и ограниченного доступа) информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, заинтересованные и незаинтересованные в возникновении угрозы лица, другие объективные обстоятельства.
Утрата информации ограниченного доступа может наступить по следующим каналам:
При наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией. Эти условия могут включать:
1. отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;
Переход информации к третьему лицу возникает в результате:
1.утери или неправильного уничтожения документа, пакета с документами, дела, конфиденциальных записей;
Теперь давайте рассмотрим более подробно техническую сторону вопроса:
Техническое обеспечение офисных технологий предоставляет широкую возможность несанкционированного получения конфиденциальных сведений. Техническое обеспечение создает возможность для создания технических каналов утечки информации.
Технические каналы утечки информации возникают при использовании специальных технических средств промышленного шпионажа, позволяющих получать защищаемую информацию без непосредственного контакта с персоналом фирмы, документами, делами и базами данных.
Основными техническими каналами являются: акустический, визуально-оптический, электромагнитный и др.
1.По акустическому каналу мы можем вестри подслушку с помощью жучка использовать лазерный микрофон.
2.По визуально-оптическому каналу можем подглядывать с помощью скрытой камеры, или заглядывать в окна при помощи того же дрона с камерой.
3.По электромагнитному каналу получение информации ведется с использованием технических средств разведки.
Для начала нам необходимо узнать главный номер организации это можно сделать в справочной либо на веб-сайте, поскольку организации публикуют там свои контактные телефоны и номера факсов.
После получения телефонных номеров ищем работающие модемы, воспользовавшись программой типа "wardialer". Приблизительно определив блок телефонных номеров, используемых организацией, он начинает дозвон по этим номерам. Однако такая деятельность не останется незамеченной, так как будут прозваниваться многие офисные номера. Поэтому нужно постараться выполнить это в нерабочее время или в выходные дни, чтобы уменьшить вероятность обнаружения.
Осложняет работу то обстоятельство, что мы не знаем номера наверняка. В результате у нас на руках могут оказаться модемные подключения других организаций, которые в данный момент нам не очень-то нужны.
В конце концов, мы получим список номеров с отвечающим модемом. Возможно, он пригодится, а возможно, и нет. В любом случае нам предстоит проделать большую работу для сбора необходимой информации.
Собираем ещё больше информации
Предварительное исследование беспроводных сетей
Проверяем близлежащий район (автомобильные стоянки, другие этажи здания, улицу) на предмет наличия беспроводных сетей. Эту разведку мы выполним без особых усилий, прогуливаясь вокруг здания или проезжая на автомобиле. В большинстве случаев наши попытки подключения к беспроводной сети не будут зарегистрированы.
Предварительное исследование системы
Предварительное исследование систем представляет потенциальную опасность, но не с точки зрения задержания и ареста, а с точки зрения привлечения внимания. В процессе сбора данных мы определяем используемое оборудование, операционные системы и их уязвимые места.
С помощью развернутой отправкой пинг-пакетов, скрытого сканирования или сканирование портов. Если мы хотим остаться "в тени", то необходимо будет выполнять все очень медленно - один пинг-пакет по одному адресу примерно каждый час. Такая деятельность останется незамеченной для большинства администраторов.
Сканирование для определения операционных систем скрыть труднее, так как сигнатуры пакетов большинства инструментальных средств хорошо известны, и системы обнаружения вторжений (Intrusion Detection Systems, IDS) с большой степенью вероятности выявят эти попытки. Мы может отказаться от использования известных инструментов и применить скрытое сканирование портов. Если система отвечает через порт 139 (NetBIOS RPC), то это, вероятно, Windows (NT, 2000, XP, 95 или 98), если через порт 111 (Sun RPC/portmapper) - то это система Unix. Почтовые системы и веб-серверы выявляются через подключение к определенным портам (25 - для почты, 80 - для веб) и исследование ответа. В большинстве случаев можно узнать тип используемого программного обеспечения и, следовательно, операционную систему. Такие подключения выглядят вполне легальными, не привлекая внимания администраторов или систем IDS.
Предварительное исследование сферы деятельности
Если в ходе сбора информации мы узнали что кто то из их компании работает "на удаленке"то это является серьезной уязвимостью для их системы. Самым простым способом получения доступа в организацию в этом случае станет взлом одной из домашних систем.
Начнем
Немного теории,для того что бы Вы поняли как эту угрозу видят специалисты ИБ которые проводят инструктажи в компаниях и которые учат сотрудников как им от нас защититься. Это важно, ведь, если мы знаем, что о нас знает наша жертва, то мы можем использовать это против неё, а поскольку черные и серые методы сбора информации включают в себя взаимодействие с жертвой и непосредственно использование СИ, то нам это пригодиться.
Данная информация была взята из одной методички по ИБ, потом она была переформатирована для наших нужд и вот что получилось:
Под угрозой или опасностью утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных. Риск угрозы любым (открытым и ограниченного доступа) информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, заинтересованные и незаинтересованные в возникновении угрозы лица, другие объективные обстоятельства.
В связи с повышенным интересом различного рода злоумышленников, информационные ресурсы ограниченного доступа подвергаются угрозе, предполагающей утрату информации (разглашение, утечку) или утерю носителя, значительно шире. Утрата информации влечет за собой незаконный переход конфиденциальных сведений, документов к субъекту, не имеющему права владения ими и использования в своих целях. Доступ злоумышленника или постороннего лица к документированной информации могут привести к овладению информацией, к противоправному использованию и совершению иных действий. Результатом несанкционированного доступа может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, подмена и т.п.
Обязательным условием успешного осуществления попытки несанкционированного доступа к информационным ресурсам ограниченного доступа является интерес к ним со стороны конкурентов, определенных лиц, служб и организаций. При отсутствии такого интереса угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней постороннего лица.
Вернемся к теории.
Утрата информации ограниченного доступа может наступить по следующим каналам:
При наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией. Эти условия могут включать:
1. отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;
3. непрофессионально организованную технологию обработки и хранения конфиденциальных документов;
4. неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;
5.отсутствие системы обучения сотрудников правилам защиты информации ограниченного доступа;
6. отсутствие контроля со стороны руководства фирмы за соблюдением персоналом требований нормативных документов по работе с информационными ресурсами ограниченного доступа;
7.бесконтрольное посещение помещений фирмы посторонними лицами.
Изучая этот документ дальше я обратил внимание ещё на один пункт.
Переход информации к третьему лицу возникает в результате:
1.утери или неправильного уничтожения документа, пакета с документами, дела, конфиденциальных записей;
2.излишней разговорчивости сотрудников при отсутствии злоумышленника (с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования, транспорте и т.п.);
3.работы с документами ограниченного доступа при посторонних лицах, несанкционированной передачи их другому сотруднику;
Данные каналы подбираются индивидуально в соответствии с вашими профессиональными умениями, целями и конкретной ситуацией. Обнаружение таких каналов требует проведения серьезной поисковой и аналитической работы.
Теперь давайте рассмотрим более подробно техническую сторону вопроса:
Техническое обеспечение офисных технологий предоставляет широкую возможность несанкционированного получения конфиденциальных сведений. Техническое обеспечение создает возможность для создания технических каналов утечки информации.
Технические каналы утечки информации возникают при использовании специальных технических средств промышленного шпионажа, позволяющих получать защищаемую информацию без непосредственного контакта с персоналом фирмы, документами, делами и базами данных.
Основными техническими каналами являются: акустический, визуально-оптический, электромагнитный и др.
1.По акустическому каналу мы можем вестри подслушку с помощью жучка использовать лазерный микрофон.
2.По визуально-оптическому каналу можем подглядывать с помощью скрытой камеры, или заглядывать в окна при помощи того же дрона с камерой.
3.По электромагнитному каналу получение информации ведется с использованием технических средств разведки.
Собираем информацию
Для начала нам необходимо узнать главный номер организации это можно сделать в справочной либо на веб-сайте, поскольку организации публикуют там свои контактные телефоны и номера факсов.
После получения телефонных номеров ищем работающие модемы, воспользовавшись программой типа "wardialer". Приблизительно определив блок телефонных номеров, используемых организацией, он начинает дозвон по этим номерам. Однако такая деятельность не останется незамеченной, так как будут прозваниваться многие офисные номера. Поэтому нужно постараться выполнить это в нерабочее время или в выходные дни, чтобы уменьшить вероятность обнаружения.
Осложняет работу то обстоятельство, что мы не знаем номера наверняка. В результате у нас на руках могут оказаться модемные подключения других организаций, которые в данный момент нам не очень-то нужны.
В конце концов, мы получим список номеров с отвечающим модемом. Возможно, он пригодится, а возможно, и нет. В любом случае нам предстоит проделать большую работу для сбора необходимой информации.
Собираем ещё больше информации
Предварительное исследование беспроводных сетей
Проверяем близлежащий район (автомобильные стоянки, другие этажи здания, улицу) на предмет наличия беспроводных сетей. Эту разведку мы выполним без особых усилий, прогуливаясь вокруг здания или проезжая на автомобиле. В большинстве случаев наши попытки подключения к беспроводной сети не будут зарегистрированы.
Предварительное исследование системы
Предварительное исследование систем представляет потенциальную опасность, но не с точки зрения задержания и ареста, а с точки зрения привлечения внимания. В процессе сбора данных мы определяем используемое оборудование, операционные системы и их уязвимые места.
С помощью развернутой отправкой пинг-пакетов, скрытого сканирования или сканирование портов. Если мы хотим остаться "в тени", то необходимо будет выполнять все очень медленно - один пинг-пакет по одному адресу примерно каждый час. Такая деятельность останется незамеченной для большинства администраторов.
Сканирование для определения операционных систем скрыть труднее, так как сигнатуры пакетов большинства инструментальных средств хорошо известны, и системы обнаружения вторжений (Intrusion Detection Systems, IDS) с большой степенью вероятности выявят эти попытки. Мы может отказаться от использования известных инструментов и применить скрытое сканирование портов. Если система отвечает через порт 139 (NetBIOS RPC), то это, вероятно, Windows (NT, 2000, XP, 95 или 98), если через порт 111 (Sun RPC/portmapper) - то это система Unix. Почтовые системы и веб-серверы выявляются через подключение к определенным портам (25 - для почты, 80 - для веб) и исследование ответа. В большинстве случаев можно узнать тип используемого программного обеспечения и, следовательно, операционную систему. Такие подключения выглядят вполне легальными, не привлекая внимания администраторов или систем IDS.
Предварительное исследование сферы деятельности
Если в ходе сбора информации мы узнали что кто то из их компании работает "на удаленке"то это является серьезной уязвимостью для их системы. Самым простым способом получения доступа в организацию в этом случае станет взлом одной из домашних систем.
