Jump to content
tedeus

Social engineering - it based (Inginerie sociala - aplicare nivel IT)

Recommended Posts

Social engineering - it based (Inginerie sociala - aplicare nivel IT)

CITESTE INTAI AICI: acesta este un tutorial tip exemplu. Nici una din datele, elementele, numele sau definitiile cu titlul de exemplu NU SUNT REALE. Considerati materialul urmator ca fiind UN SUBIECT DE LECTURA. Orice actiune va apartine si sunteti RESPONSABILI.

Ce este? Reprezinta capacitatea unui individ, a unui grup, de a culege, folosi si manipula o serie de de informatii in vederea atingerii unui scop (in acest caz scopul este unul ce vizeaza aria IT).

Realizare si metode

1 Target

2 Studiu prealabil

3 Metode

4 Analiza si executie

5 Atingere target

6 Curatenie

Exemplu - exploatarea unui sistem protejat tip .gov prin s.e. (factor uman):

Mitica este angajat al S.C. Bidon Turtit S.R.L. Una din ramurile de activitate a firmei este "Securitatea Informatica". Primeste de la sefu urmatorul task: sa faca o analiza de risc "social engineering", implicit exploatare, la nivel de structura Z guvernamentala. Structura guvernamentala detine o retea it care este intr-un lan protejat (de obicei STS). Presupunem caz concret: arhivele secrete, Ministerul Justitiei.

Target: inserarea unui dispozitiv, a unui soft, care sa transmita, sub forma arhivata sau nu, a pachetelor selectate, catre un ip, public sau nu (sau o retea).

Studiu: tip de retea (intranet), firewall si sistem de protectie (daca este unul bazat strict pe mac, limitare pe numar de pachete, etc), studiu server (windows, linux, etc), sistem de operare folosit general (xp), repere de administrare(STS, servicii conexe), personal cu nivel de acces si modalitate (cine acceseaza, cum acceseaza, daca exista repere de tip "secvente de control (acele tip de acces care sunt admise, controlate si modificate la anumite perioade de timp)", si inca vreo 5-6 elemente de studiu.

Metode: in functie de studiu se trece la elaborarea unei metode (sau mai multe). Presupunem ca, dupa studiu, avem urmatoarele date: server windows 2008, retea lan cu nivele de acces (limited -acces la vizualizarea documentelor din public, normal user - acces la vizualizarea si modificarea documentelor din public, super user - poate elabora, modifica si sterge documente aflate in share sau in alte zone), sistemul de protectie este unul bazat pe parola (key de 256 sha) si bazat pe un controller ce se declanseaza atunci cand se transfera fisiere peste 90 mega (cu raport catre administrator si sistemul local de verificari), sistem de operare folosit uzual XP, desktop-uri cu elemente de conectica de tip usb si cd-rom, persoanele cu cel mai inalt nivel de acces (super user) sunt 5 femei si 5 barbati (toti angajati in cadrul just). Conchidem ca cea mai buna solutie pentru a atinge targetul este uzul urmatoarelor elemente: extractie, insertie, manipulare, decizie indusa si executie.

Analiza si executie. Se trece la analiza factorului uman: care dintre posibilii candidati este cel mai viabil. Se au in vedere: fonduri, varsta, dezvoltare sociala, relatii interumane si multe altele. Se ajunge la concluzia ca "doamna Geta", sefa serviciului arhivare, este cel mai bun candidat. Detalii: 49 de ani, casatorita, un copil, sotul angajat in cadrul S.C. Virtutea Vesela S.R.L., un om cu vicii care streseaza in permanenta familia. Se stabilesc markerii de exploatare: economica, emotionala, sociala. Se stabileste elementul declansator si factorii de risc (mai exact: ce poate FACE "ceva" pentru ca "doamna Geta" sa "decida" sa faca ce i se sugereaza). se stabileste CINE va executa racolarea si toate elemente de tip insertie: Gogu, varsta 46 de ani, divortat, un copil (fata), lucrator in cadrul Internelor.

Executia. Ce face Gogu? Gogu se loveste, intamplator, de Geta, la cumparaturi. In Cora. Isi cere scuze, se ofera sa ii care cosul de cumparaturi. Ea, ca o forma incipienta de protectie, va accepta distant galanteria. Din vorba in vorba... ajung sa "deduca", amandoi, ca au arie de lucru asemanatoare. Se exploateaza si se stabileste zona de tip raport social. Gogu, amabil si dragutel din fire, o invita la suc, chiar acolo, in Cora. Le ia 3 minute. Se stabileste si directioneaza raportul de comunicare.

Voi explica, cat mai scurt si in mare, cam care sunt parghiile de lucru, cu exemple ipotetice, pornind de la momentul acceptului de a "bea un suc impreuna". Ajunsi la masa cei doi incep sa se tatoneze reciproc. Fiecare dintre ei incearca sa extraga cat mai multe detalii de la interlocutor. Unul o face calculat, rigid iar celalalt (Geta) a dat peste un X "simpatic". Gogu incepe sa se planga de viata sociala precara, sistemul de valori prost cladit, rata mare de incultura si tot asa. Geta il aproba si incepe sa il sustina, se creeaza elementul de reciprocitate (este foarte important). Incepe sa isi exprime frustrarile vis-a-vis de locul ei de munca (aici Gogu face extractie de informatie directa, valida, subiectiva). Explica faptul ca "astia noi" ii cer sa aprobe fiecare fisier, ca totul e informatizat, etc etc etc. In tot acest timp Gogu trebuie sa "alimenteze", sa coordoneze si sa anticipeze urmatoarele momente ce ar urma a se discuta. De ce? Pentru ca numai asa va putea sa isi pregateasca, din timp, elementele ce urmeaza a fi exprimate invederea atingerii scopului momentului: exploatare economica, emotionala, sociala.

Se trece la insertia si exploatarea nivelului de incredere. Prin metode specifice Gogu ajunge sa devina un prieten altruist al doamnei Geta. Se executa, relativ rapid (la 2-3 zile), o serie de "crestere rapida" prin: iesiri in public "ascunse", la film, la barulet, etc. Se trece la exploatare emotionala si, la maxim 2 saptamani, Gogu ajunge sa intretina relatii sexuale cu Geta. Deja toti factorii de coordonare, alimentare, sustinere si modificare ale zonei emotionale sunt intruniti. Se trece la insertia si precursorul atingerii targetului. Mai exact: se definesc nevoile, se analizeaza, se creeaza un context, se executa un demo si apoi se trece la sugestie.

Atingere target. Gogu si Geta se plang impreuna ca e nasol sistemul informatic. Gogu vine, dupa un timp, fericit ca a scapat de corvoada. Un foarte bun prieten i-a dat un "leac". Il recomanda si Getei. Geta explica faptul ca, la ea, totul e limitat. I se propune un demo. Mitica, amicul fantastic, executa demo-ul. Totul merge ca pe roate. Atingere target. I se recomanda doamnei Geta cand si cum sa foloseasca minunea primita: preferabil la sfarsit de saptamana, preferabil inainte cu 30 de minute inainte de ora plecarii. Geta baga stick-ul. Acesta contine: un procesor arm alimentat prin... usb, wifi, 4g, etc etc. Geta baga stick-ul. Nu mai este nevoita sa dea in permanenta click click. Softul instalat retine, cauta, arhiveaza si exportat fisierele dorite. Softul inserat poate contine elemente de tip autodelete. La indepartarea stick-ului, pentru o mai buna acuratete a datelor, softul inserat poate declansa nevoi recursive: adica o poate face pe GEta sa il mai foloseasca inca o data peste o saptamana, atunci cand softul are suficiente date de exportat.

Curatenie. Mama sanatatii este curatenia. Prin exemplul de mai sus intelegem ca, legal, acest sistem de atac este interzis (chiar este). Prin urmare se vor folosi date absolut fictive in oricare din stadii. De asemenea, la nivel de curatenie, se pot mentiona: minimalizare impact, sterge urme informatice, inductie linii de cercetare, multiplicare factor social de impact, media si tv controller si multe altele.

Acest tutorial bazat pe exemplu este ceea ce este si nimic mai mult. Nici una din formele de s.e. exprimate mai sus nu este dezvoltata, de la zero, de mine. Toate formele de s.e. inductiv, sau de alta natura, folosite in orice activitate ilegala SE PEDEPSESC CONFORM LEGILOR IN VIGOARE.

Am rugamintea sa nu trollati ca moflangii. Veniti cu cereri concrete, pe subiect, daca aveti nevoie de ajutor - PE PRIVAT.

P.S. Mai gasiti litere in plus, sau minus, shit happens. E scris pe genunchi si in viteza.

Edited by tedeus
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...