Finge hanc condicionem. Octobri mane frigidum, consilium instituti in centro regionali unius e regiones Russiae. Aliquis ex HR department ad unam paginarum vacantium in instituti paginae pergit, biduo ante missae et ibi felem photographicam videt. Mane cito desinit esse taediosum ...
In hoc articulo, Pavel Suprunyuk, caput technicum audit et consulendi department in Group-IB, loquitur de loco impetus sociotechnicorum in inceptis perpendendis securitatis practicae, quas insolitas formas capere possunt, et quomodo contra tales impetus tueri. Articulum naturae recensionis auctor declarat, si quis aspectum legentibus consulit, peritis Group-IB interrogationibus in commentis libenter respondebit.
Pars 1. Cur tam gravis?
Ad cattum nostrum redeamus. Post aliquod tempus, HR department photo delevit (emissarii hic et infra partim retracti sunt ut nomina realia non patefaciant), sed pertinaciter redit, iterum deleta est, et hoc pluribus vicibus accidit. HR department intelligit quod cattus has intentiones gravissimas habet, discedere non vult, et auxilium rogant a programmatore interretiali - hominem, qui locum creavit et intellegit et nunc administrat. Programmator ad locum accedit, iterum cattus molestus delet, invenit eam pro HR ipsius department missam esse, tum assumptionem tesseram HR department ad aliquid electronicum hooligans emanasse, eumque mutat. Felis non apparebit.
Quid vero factum est? Relate ad catervam societatum quae institutum inclusa sunt, Instituti Group-IB pertractant penetrationem experiendi in forma proxima ad Red Teaming (hoc est, imitatio impetus iaculis in tuo comitatu utens antecedens methodis et instrumentis e. armamentarium piratici coetus). Nos in detail loquebatur de Teaming Rubrum . Illud scire interest, cum talem probationem gerens, longe lateque impetus praeoccupatus adhiberi potest, etiam sociales machinationes. Patet quod collocatio ipsius catti non fuit ultimus finis eorum quae fiebant. Erat autem hec;
- locus instituti datus est cultori intra ipsum retis instituti et non servientibus tertia factione;
- Leak in HR department ratio inventa est (tabula inscriptio electronica est ad radicem situs). Impossibile erat locum cum hac ratione administrare, sed paginas job recensere possibilis est;
- Mutando paginas, scripta tua in JavaScript ponere potes. Plerumque paginas interactivas faciunt, sed in hoc situ, eadem scripta ex navigatro visentis surripere potuerunt quod HR department a programmatore distinxit, et programmator a simplici visitatore - sessionis identifier in situ. Feles erat impetus felis et pictura notabiliter. In HTML pagina notae linguae, hoc simile erat: si imago tua onerata est, JavaScript iam exsecutus est et sessionis ID, cum notitia de navigatro tuo et IP oratio, iam subrepta est.
- Cum subreptum administratoris sessionis ID, plenum accessum ad locum, ad paginas exsecutabiles in PHP, hospitari posse, accessum accedere ad server ratio operativa, et deinde ad ipsum network locali, quod erat propositum intermedium magni momenti. res est.
Impetu prospere parte erat: sessionis administratoris ID furto sublatus est, sed cum IP inscriptione ligatus erat. Hoc circumire non potuimus, situm nostrum privilegiis administratoribus privilegiis erigere non potuimus, sed modum nostrum emendare fecimus. Ultimus effectus in alia sectione retis perimetri tandem consecutus est.
Pars 2. Scribo tibi - quid aliud? Me etiam in officio tuo voca et suspende, mico mico emisso.
Quod in condicione cum catto factum est exemplum machinationis socialis, etsi non satis classicum. Re quidem vera in hac fabula plures erant eventus: erat cattus et institutum et department curatores et programmator, sed erant etiam electronicae quaestiones cum explicandis quaestionibus quae " candidati" ad personas ipsum et personaliter scripserunt. programmator ut eos ad locum paginae provocaret.
De litteris. Inscriptio ordinaria, probabiliter vehiculum principale ad operandum sociales machinas perficiendas, momentum suum non amisit duobus decenniis et interdum ad consectaria rarissima ducit.
Saepe in nostris eventibus hanc fabulam narramus, id est valde indicato.
Plerumque, innixus eventus machinationum socialium, statisticas componimus, quae, ut scimus, res aridae ac taediosae sunt. Tot centesimas recipientium affectum ex litteris aperuerunt, tot nexum sequebantur, sed hi tres usoris tesseram suam actu ingressi sunt. In uno incepto plus quam 100% ex Tesserae intravimus, id est, plures egressi sumus quam nos emisimus.
Accidit ut hoc: phishing litterae missae sunt, veluti e CISO cuiusdam civitatis corporationis, cum postulatum "urguendo temptare mutationes in electronica opera". Litterae ad caput magnae Dicasterii pervenerunt, quod de subsidiis technicis tractaverunt. Praepositus valde diligens erat in exsequendis mandatis auctoritatibus sublimium et ad omnes subditos transmisit. Vocatio ipsa centrum evasit satis magnum. In genere, condiciones ubi quis promovet "interesting" phishing sodales ad collegas suos capiendos satis commune est. Pro nobis, hoc est optimae opiniones de qualitate scribendi epistolae.
Paulo post de nobis compertum est (littera in mailbox aedilis deprehensa est);
Oppugnationis successus ob hoc factum est quod pluribus defectibus technicis technicis in systemate mail huius usus est. Conformatus est ita ut nullas litteras mittere possit pro aliquo mittente ipsius institutionis sine licentia, etiam ex interreti. Hoc est, CISO te esse simulas, vel technici caput, vel aliquem alium. Praeterea electronicarum interfaces, litteris "suum" observatis, diligenter photographicam ex libro inscriptionis inserui, quod natura mittenti adiecit.
Reapse talis impetus technologiae non est peculiaris complexus, sed bene est facinus fundamentalis vitii in electronicis electronicis. Regulariter recensetur in specialibus IT et instrumentis securitatis informationis, sed tamen adhuc societates quae omnia hodie habent. Cum nemo propensus sit ad perpendiculum praefectis electronicarum litterarum SMTP protocolli, littera plerumque sedatus est propter "periculum" utens icones monitionum in interface electronicas, quae non semper totam imaginem ostendunt.
Interestingly similis vulnerabilitas etiam in alteram partem operatur: oppugnator electronicam mittere potest pro societate tua ad tertiam partem recipientis. Exempli causa, cautionem pro vobis iustam mercedem falsificare potest, alias notas pro tua. Praeterquam ab exitibus anti-dolis et nummariis, fortasse una ex facillimis modis pecunias per machinationem socialem surripere est.
Praeter Tesserae per hamatas surripere, classicus impetus sociotechnicus attachiamenta exsecutabilia mittit. Si hae collocationes omnes mensuras securitatis vincunt, quarum modernae societates plures habere solent, accessus longinquus canalis computatori victimae creabitur. Ad demonstrandum consectaria oppugnationis, remota consequentia potestate enucleari potest ad accessum ad informationes secretiores praecipuas. Notabile est quod maxima pars impetus, qui instrumentorum communicationis socialis usus ad terrendum omnes perquam similes sunt, proficiscitur.
In computo nostro, pro ioco, statisticas approximatas computamus: quaenam est summa valor bonorum societatum ad quas accessum Administratoris Domain consecuti sumus, praesertim per phishing et mittendo affectus exsecutabiles? Hoc anno circiter 150 miliarda euronum attigit.
Manifestum est nuntios provocativos mittere et imagines felium in websites collocare soli modi machinationis socialis non esse. In his exemplis varietatem impugnationis formarum earumque consequentium ostendere conati sumus. Praeter litteras, oppugnator potentiale ad necessarias informationes obtinendas vocare potest, medias spargere (exempli gratia, mico agitet) cum fasciculis exsecutabilium in officio globorum societatis, officium ut internam obtine, physicam accessum ad network localem acquirere. sub specie CCTV camerae instrumentum. Quae omnia obiter exempla ex nostris inceptis prospere gestis sunt.
Pars 3. Doctrina lux est, indocti autem tenebrae
Rationabilis quaestio oritur: bene, bene, machinatio socialis est, periculosa spectat, sed quid de his omnibus debent societates facere? Obvius succurrit capitaneus: defendere te debes, et comprehendere. Pars tutelae iam certae securitatis destinata erit, ut technicae instrumenti informationis tutelae, vigilantiae, norma et processuum fulcimentum legale, at praecipua pars, nostro iudicio, dirigenda est ad opus directum cum operariis sicuti. infimae necessitatis. Ceterum, quantumcumque technologiam confirmas aut leges duras scribes, semper erit in usuario qui novum modum omnia frangendi deteget. Praeterea nec normae nec technologiae fugam creandi utentis sustinebunt, praesertim si ab oppugnatore qualificato impellitur.
Ante omnia interest utentis instituendi: explica ut etiam in exercitatione operis condiciones ad ipsum sociales pertinentes oriantur. Pro nostris clientibus saepe conductus est in digital hygiene - eventus qui basic artes docet contra impetus in genere.
Possum addere optimae tutelae mensuras non esse regulas securitatis informationis omnino memorare, sed perpendere condicionem modice disiuncta;
- Quis est interpres meus?
- Ubinam propositio aut petitio venit (quod nunquam antea factum est, et nunc apparuit)?
- Quid insolitum de hac rogatione?
Etiam inusitatum genus litterarum vel fontis vel orationis genus insolitum mittentis potest catenam dubitationis ponere qui impetum sistit. Instructiones praescriptae requiruntur etiam, sed aliter laborant et omnes condiciones possibilis specificare non possunt. Exempli causa, administratores securitatis informationes in eis scribunt quod tesseram tuam in tertia factione facultates tuas non potes intrare. Quid si "tuum", "corporatum" retis resource tesseram petit? Usor cogitat: "Societas nostra iam duo officia duodenarum cum una ratione habet, cur aliud unum non habemus?" Hoc ad aliam regulam ducit: processus operis bene structus etiam directe securitatem afficit: si vicini Dicasterii informationes a te tantum in scriptis petere potest et solum per procuratorem tuum, homo "ex fideli consortio societatis" certe non erit. id per telephonum postulare poteris — haec pro te nugae erunt. Maxime cavere debes si interlocutor tuus postulat ut omnia nunc facias, vel "ASAP", ut par est scribere. Etiam in opere normali, haec condicio saepe sana non est, et contra impetus fieri, felis fortis est. Nulla tempus perspiciatis, mi file currunt!
Animadvertimus utentes semper iaculis ut fabulae ob oppugnationem sociotechnicorum argumentorum in una vel alia forma ad pecuniam pertinentes: promissiones promotionum, optionum, donorum, necnon informationes cum rumoribus et insidiis localibus. Id est, vulgare "peccata mortifera" operantur: sitis lucri, avaritiae et nimia curiositas.
Bona institutio semper debet includere praxim. Hoc est, ubi subtilitas experimenti periti succurrendum est. Proxima quaestio est: quid et quomodo probabimus? Nos ad Group-IB sequentes accessus proponamus: statim umbilicum tentationis eligimus: aut praeparationem ad impetus tantum utentium ipsorum perpendendam, aut securitatem totius societatis reprimendam. Et probare methodos sociales machinandi utens, reales impetus simulans, id est, easdem hamatas, documenta exsecutabilia mittenda, vocat et alias artes.
In primo casu, oppugnatio diligenter praeparatur una cum legatis emptoris, maxime cum IT suis et peritioribus securitatis informationis. Fabulae, instrumenta et artes oppugnationes constant. Lorem ipse coetus focus et indices usorum ad oppugnationem praebet, qui omnes contactus necessarii includunt. Exceptiones in remediis securitatis creatae sunt, quia nuntii et onera exsecutabilia ad recipientem pervenire debent, quia in tali incepto soli motus hominum interest. Optionally, figmenta in oppugnatione comprehendere potes, quibus utens coniicere potest hunc impetum esse - exempli gratia, duos errores orthographiae per nuntios facere potes vel indiligentias in scribendo corporatum stilum relinquere. In fine propositi, eadem "statistica arida" obtinetur: quae coetus versari missionibus respondit et quatenus.
In secundo casu, oppugnatio nulla initiali scientia exercetur, "arca nigra" methodo adhibita. Nos sine notitia colligimus de societate, operariorum eius, ambitus retiacularum, fabularum oppugnationem creare, methodos selectas quaerere, cautiones possibilium mensurarum quae in scopo societatis adhibitae sunt, instrumenta accommodare et missiones creare. Nostrates speciales utuntur utroque classico aperto fonte intelligentiae (OSINT) modos et proprios productos Group-IB - comminatio Intelligentia, systema quod, cum phishing parare potest, aggregator informationum de societate per longum tempus, inter informationes indicatur, agere potest. Scilicet ut impetus non fiat ingratus admiratio, singula quoque cum emptore convenit. Evenit ut plenam penetrationem testam incertam habeat, sed in progressu machinarum socialium fundabitur. Optio logica in hoc casu est impetum in retis evolvere, usque ad summa iura in systematis internis obtinendis. Obiter simili modo utimur impetus sociotechnicorum in et subtilitate aliqua probat. Quam ob rem mos recipiet visionem independentem comprehensivam suae securitatis contra certas impetus sociotechnicorum rationes, necnon demonstrationem efficaciae (vel e contrario inefficacia) aedificatae defensionis contra minas externas.
Hanc exercitationem saltem bis in anno gerendam commendamus. Uno modo, in quolibet comitatu est virgam turnover et experientia prior paulatim ab operariis oblitus est. Secundo modos et artes oppugnationum constanter mutantur et hoc ducit ad necessitatem accommodandi processuum securitatis et instrumentorum tutelae.
Si loquimur de remediis technicis contra impetus tuendis, hoc maxime adiuvandum est;
- Praesentia duo-factoris authentica de officiis in Interreti divulgatis facienda. Talia officia in 2019 dimittere sine Signo Unico in systematis, sine praesidio contra vim violentam tesseram et sine authenticitate duorum factorum in comitatu plurium centum hominum tantum est ad vocationem apertam ut "me frangere". Tutela recte ad effectum deducenda faciet usum Tesserae furtivae velox impossibilis et tempus dabit ad consectaria impetus hamatae tollendas.
- Accessum refrenans imperium, iura in systematis usoris obscuratis, et sequentes normas pro certa producti configurationis, quae ab unoquoque majore fabrica dimittuntur. Hae saepe in natura simplices sunt, sed efficacissimae ac difficiles ad mensuras efficiendas, quas quisque celeritatis causa ad unum vel alterum gradum negligit. Et quaedam ita necessaria sunt ut sine eis nulla salus salva sit.
- Linea inscriptio eliquare bene aedificata est. Antispam, totum intuens attachiamentorum pro codice malitioso, inter dynamicas probationes per sandboxes. Impetum bene praeparatum significat exsecutabile affectum ab instrumentis antiviro non detectum. Sandbox, contra, omnia sibi probabit, lima utens quemadmodum quis illis utitur. Quam ob rem, pars malitiosa possibilis ex mutationibus intra sandbox factis revelabitur.
- Medium munimenti contra impetus iaculis. Ut iam dictum est, instrumenta classica antivirus malitiosos limas in eventu oppugnationis bene praeparatae non deprehendere. Antecedens producta sponte monere debet totalitatem eventuum in retiaculis occurrentium - tum in gradu unius exercitus et in gradu negotiationis intra retis. In oppugnationibus, ipsae notae eventuum vincula apparent quae investigari et obstrui possunt, si vigilantia huiusmodi eventibus notavimus.
Originale articulum in emporium "Information Security/ Information Securitatis" #6, MMXIX.
Source: www.habr.com