Искусство обмана - [12]
Поиск в Google показал, что Райнхольд Нибур — американский теолог, философ и политический аналитик. Умер он в 1971 году и завести себе аккаунт в Instagram не мог. Посвятив еще некоторое время поискам, девушка обнаружила, что дипломная работа Джеймса Коми была посвящена деятельности именно Райнхольда Нибура.
Вооружившись новыми знаниями, блогерша вернулась в Twitter и нашла семь аккаунтов с таким именем. Один из них использовал это имя и ник @ProjectExile7.
Дальнейший поиск занял совсем немного времени. Выяснилось, что, когда Коми занимал должность прокурора и жил в Ричмонде, он запустил одноименный проект — Project Exile («Исход»).
Для сбора этой информации девушка не использовала незаконных методов, ей не пришлось ничего взламывать, она просто изучила информацию из открытых источников, обращая внимание на то, что могло оказаться важным.
Перед нами отличный пример поиска информации в открытых источниках как с помощью технических достижений, так и без них. Есть чему поучиться социальным инженерам! При написании этой главы я старался придерживаться такого же подхода, поэтому сейчас мы будем обсуждать, как совмещать использование разных источников открытой информации. Весь материал я разделил на две части: поиск данных, связанный и не связанный с использованием технологий.
Прежде чем мы погрузимся в изучение процесса поиска информации, я хочу взять небольшую паузу и изложить свои мысли по поводу документирования процесса и результатов деятельности социального инженера.
Вопрос даже не в том, нужно ли вести письменные отчеты. И так понятно, что делать это необходимо. Но что именно документировать и в каком объеме?
Вспомните, что я говорил в начале этой главы: продираясь через 10 йоттабайт собранных в Сети данных, вы узнаете об объектах воздействия очень многое. И если природа не наградила вас фотографической памятью, никакой уровень интеллекта не позволит вам запомнить все детали. На самом деле даже специалисты с фотографической памятью не смогут составить полноценный отчет о деятельности, полагаясь только на свои воспоминания.
Я не скажу, что конкретно вам нужно записывать, потому что в каждой ситуации задействовано слишком много различных факторов. Например, в начале своего профессионального пути в сфере СИ, работая в гордом одиночестве, я придумал особую систему использования блокнотов: она позволяла собирать по каждому клиенту отдельные папочки, в которые были сложены заметки. В каждой такой заметке я выделял несколько разделов: личную информацию, данные о компании, семье, активности в социальных сетях и т. п. Любой новый блок полезной информации, обнаруженный в процессе исследования открытых источников, я помещал в соответствующий раздел соответствующего документа. В результате писать финальные отчеты мне стало намного легче. Применял я и другие приемы: например, определенными цветами выделял информацию, которая могла пригодиться в ходе атаки. Один цвет — для данных, которые были просто полезны, другой — для информации, которая оказалась ключевой.
Когда у меня появилась своя команда и над проектами стали работать несколько человек одновременно, оказалось, что неудобно то и дело передавать друг другу бесчисленные блокноты. Тогда я нашел решение, позволявшее всей команде вести общие заметки.
Сначала мы использовали решения вроде Google-диска, я опробовал разнообразные облачные приложения и инструменты.
Однако все эти решения имели свои недостатки.
• Мне нужно было собирать номера социального страхования, банковские данные и другую приватную информацию о жизни объектов. И что бы я делал в случае взлома? (Например, в 2013 году взломали систему безопасности программы Evernote и 50 млн пользователей пришлось менять пароли.)
• Я не мог напрямую контролировать использование таких программ или управление хранящимися в них данными.
• Стоило мне упомянуть в общении с клиентами слово «облако», как многие из них тут же отвечали решительным «нет!».
Так я понял, что необходимо создать собственные серверы. Мы закупили место на проверенных и защищенных серверах. Создали собственный защищенный VPN-сервер и установили ПО, которое выбрали сами. Все это оградили стеной файерволов, роутеров и VPN.
Теперь я мог контролировать собранную информацию управлять ею, обновлять, передавать и обеспечивать ее максимальную защищенность. Короче говоря, по ночам можно было спать спокойно и не бояться, что данные моих клиентов кто-то похитит.
Возможно, вы найдете другое решение. Главное — относиться к хранению, управлению, обновлению, передаче и обеспечению собранных данных о клиентах с максимальной серьезностью.
Не связанные с использованием технологий методы сбора данных из открытых источников
Сюда я отношу любые действия социального инженера, не предполагающие использование компьютера. Вы можете подсмотреть, как компьютером пользуется ваш объект, но сами, как социальный инженер, к гаджетам притрагиваться не должны: информация собирается без использования техники. В этом разделе можно было бы описать огромное количество самых разных методов — для удобства назовем их
