Максим Власов – Архитектура доверия (страница 8)
Второй пласт — это корпоративные ресурсы. Сайт компании — это не просто витрина, но и паспорт безопасности. Раздел «О компании» часто раскрывает имена ключевых руководителей. Раздел «Вакансии» — это золотая жила для технической разведки. Если компания ищет администратора со знанием Cisco ASA и Windows Server 2019, это означает, что в ее инфраструктуре используются именно эти устаревшие или специфические решения. Если ищут программиста со знанием конкретной библиотеки с открытым исходным кодом, это указывает на стек технологий продукта. Пресс-релизы и новости подсказывают, какие сделки планируются, какие проекты запускаются, что дает контекст для претекстинга [сценария атаки]. Даже стиль корпоративных коммуникаций, шаблоны почтовых подписей и формат ведения блога копируются злоумышленниками для создания неотличимых копий легитимных писем.
Третья группа — государственные и коммерческие реестры. Базы налоговых органов, реестры юридических лиц, сайты госзакупок и судебные базы данных предоставляют колоссальный объем легальной информации. Из открытых реестров можно узнать полные имена учредителей и директоров, юридические адреса, финансовые показатели и связи между аффилированными лицами. Система госзакупок показывает, что компания закупает серверы определенного бренда или программное обеспечение для видеонаблюдения — это прямое указание на архитектуру системы безопасности. Судебные дела могут содержать сканы исков, где в приложениях фигурируют скриншоты переписки, договоров и конфиденциальных документов, которые были приобщены к делу без купюр.
Четвертая и наиболее техническая группа — это метаданные и технические маркеры. Каждый файл, который мы создаем и публикуем, несет невидимый балласт информации. Фотография, сделанная на смартфон и загруженная на сайт, содержит EXIF-данные: GPS-координаты места съемки, модель телефона, дату и время. Если сотрудник выложил фото из переговорной, атакующий узнает точные координаты офиса, а по серийному номеру камеры может попытаться найти другие снимки этого же человека в интернете. Документы Microsoft Office содержат имена авторов, название организации, пути сохранения файлов на локальном компьютере. Даже простой заголовок электронного письма содержит IP-адрес отправителя и сведения о почтовых серверах, что используется для определения версии корпоративного почтовика и его уязвимостей. Архивы интернета, такие как Wayback Machine, позволяют посмотреть, как выглядел сайт компании год назад и какие файлы, случайно выложенные тогда в открытый доступ, уже удалены, но сохранены в кэше.
Социальный инженер комбинирует эти источники, создавая своего рода карту местности. Если сложить должность из LinkedIn [Habr Карьера, VK Работа, HeadHunter и др.], номер телефона из утекшей базы данных, график отпусков из Вконтакте и информацию о системе СКУД [система контроля и управления доступом] из закупок, то можно синхронизировать атаку с моментом максимальной уязвимости — например, взломать аккаунт сотрудника, пока он находится в роуминге и не может быстро подтвердить легитимность входа. Человеческий фактор в безопасности начинается задолго до клика по ссылке. Он начинается с безобидного поста в социальной сети.
3.3. Инструментарий разведчика: как профессионалы превращают биты в разведданные
Знание источников информации — это теория, но без правильного инструментария даже самый острый ум окажется беспомощным перед гигабайтами неструктурированных данных. Инструменты OSINT-разведчика автоматизируют сбор, фильтрацию и анализ информации, позволяя за считанные минуты выявлять скрытые связи, которые при ручном поиске потребовали бы недель кропотливой работы. Важно понимать: все перечисленные ниже инструменты легальны, свободно распространяются или доступны по подписке, а их применение этичным специалистом по безопасности не отличается от методов журналиста-расследователя. Разница лишь в конечной цели: один ищет доказательства для статьи, другой — для отчета об уязвимостях, третий, увы, — для подготовки взлома. Именно поэтому знание этого арсенала защитником критически важно: понимая, как именно вас будут «просвечивать», вы сможете лишить атакующего его главного преимущества.
Поисковые операторы [Google Dorks]. Поисковые системы индексируют миллиарды страниц, включая те части сайтов, которые владельцы по ошибке открыли для публичного доступа. Операторы расширенного поиска, или Google Dorks, — это специальные команды в строке поиска, позволяющие находить файлы определенного типа, страницы с конкретными словами в заголовке, незащищенные каталоги и даже конфигурационные файлы. Например, запрос filetype:pdf site:example.com конфиденциально может выдать PDF-документы с грифом «Конфиденциально», случайно попавшие в индекс поисковика. Оператор intitle:«index of» ищет открытые директории на веб-серверах, где могут лежать резервные копии баз данных. Использование дорков — не взлом, а всего лишь грамотный поиск по тому, что уже проиндексировано и формально доступно любому пользователю интернета. Тем не менее результаты могут шокировать: партнерские договоры, сканы паспортов клиентов, внутренние регламенты с паролями по умолчанию — все это регулярно обнаруживается специалистами по безопасности в открытом доступе. Защита от этой техники очевидна: регулярно проводите аудит собственного сайта собственноручно или с помощью автоматизированных сканеров, настройте файл robots.txt так, чтобы он запрещал индексацию конфиденциальных директорий, и ни в коем случае не полагайтесь на «безопасность через сокрытие» [убеждение, что если ресурс не виден с главной страницы, его никто не найдет].
Сервисы проверки утечек и почтовых адресов. В даркнете и на специализированных форумах регулярно всплывают дампы [полные копии] баз данных различных онлайн-сервисов. Даже если ваша компания безупречна в защите, утечка пароля рядового сотрудника с развлекательного сайта может открыть злоумышленнику дверь в корпоративную сеть, если этот пароль используется повторно. Сервисы вроде Have I Been Pwned, Dehashed, IntelX позволяют по адресу электронной почты проверить, не фигурирует ли он в известных утечках, и узнать, какие именно данные [пароли, имена, телефоны] были скомпрометированы. Социальный инженер, вооружившись такой информацией, может не только попытаться подобрать пароль к рабочей учетной записи, но и использовать телефонный номер для прямого контакта, а знание старого пароля — для шантажа или имитации осведомленности. Корпоративная защита должна включать обязательную проверку всех рабочих адресов на предмет утечек и принудительную смену паролей не реже раза в квартал, а также строгий запрет на использование рабочих ящиков для личных сервисов.
Инструменты анализа связей [Maltego, Spiderfoot, Recon-ng]. Сбор данных из множества источников быстро превращается в хаос, если его не структурировать. Инструменты класса «граф связей» позволяют визуализировать отношения между людьми, компаниями, IP-адресами, доменными именами, телефонными номерами и серверами. Вы вводите в программу начальную точку, например домен компании, и инструмент автоматически обходит множество баз данных, социальных сетей, DNS-записей и сертификатов, выстраивая сеть ассоциаций. Через несколько минут вы видите на экране граф, где связаны между собой филиалы, подрядчики, личные страницы сотрудников и используемые облачные сервисы. С точки зрения социальной инженерии особый интерес представляют связи «человек — технология»: если, скажем, системный администратор указал в своем профиле на Stack Overflow специфичный скрипт для настройки почтового сервера, это выдает не только его компетенции, но и используемую в компании технологию. Анализ графа позволяет выявить «мосты» — людей, одновременно присутствующих и в технической, и в публичной сферах, которые могут стать идеальной точкой входа.
Архивы интернета [Wayback Machine, Archive.today]. Сайты меняются, и то, что было удалено разработчиком после утечки или реорганизации, может навсегда сохраниться в кэше веб-архивов. Wayback Machine позволяет просматривать слепки страницы за разные даты. Часто случается, что на старой версии сайта в разделе «Инструкция для новых сотрудников» был выложен PDF с логинами по умолчанию, который позже убрали, но в архиве он остался. Или в старом пресс-релизе упоминались имена системных администраторов, которые впоследствии стерли, но не из памяти интернета. Профессионал OSINT обязательно проверяет историю целевого ресурса за последние несколько лет. Защитное действие: прежде чем публиковать любую чувствительную информацию на сайте, осознайте, что она может остаться доступной навсегда, даже если вы удалите ее через час. Единственный способ предотвратить сохранение — изначально не публиковать ничего лишнего.
Анализаторы метаданных [ExifTool, FOCA]. Метаданные — это информация об информации, и она способна рассказать о компании больше, чем сама компания готова поведать о себе. ExifTool — это утилита, извлекающая скрытые данные из изображений, аудио и видео. Фотография нового офиса, выложенная в соцсети, может содержать координаты GPS с точностью до пары метров, модель смартфона, версию операционной системы и даже серийный номер камеры. Инструмент FOCA способен автоматически выкачивать документы с сайта и анализировать их метаданные: авторов, историю правок, пути сохранения файлов в локальной сети, имена принтеров. Если в компании принято публиковать отчеты в PDF без очистки метаданных, то за несколько минут можно восстановить реальные имена пользователей, названия серверов и структуру внутренних сетевых папок (например, C:\Users\ivanov.i\Documents\). Очистка метаданных — элементарная процедура, но игнорируемая повсеместно. В любой уважающей себя организации публикация документов без предварительной «стерилизации» должна быть приравнена к нарушению политики безопасности.