BLACKHOLE.sk

Takze presiel vhodny cas, aby som dostal dobru naladu na pisanie clanku (je 07:24 a o 24 minut meskam). V minulej casti bol velmi plytky opis socialneho inzinierstva. Chcel by som v uvode vysvelit par veci pre mozne nechapanie. Tento serial nebude mat vela spolocne s IT, vy ho mozete na IT pouzit - to je jasne, ale ja nebudem pisat ako sa dostat do serverovne alebo ako sa hadat s citackou kariet, ktora vam prekvapivo nerozumie (pretoze je z Ciny). Tento serial vam skor povie o najrozsirenejsich technikach, najvacsich chybach obeti, najslabsich clankov firiem ... vy uz si to aplikujte pre-mna-za-mna na vaseho psa alebo vasu firmu montujucu delta osmicky. V druhej casti, nazvime to napr. priprava. Ukazeme si, ako sa pripravit na aplikovanie socialneho inzinierstva na vhodne zvolenej stranke, ci obeti. Btw: Vsetky pojmy som nevysvetlil minule a nebudem ich vysvetlovat ani teraz, pouzijem ich vhodne pri clanku, ktory bude na to zamerany, lebo by ste si aj tak hovno zapamatali (vychadzam zo svojich skusenosti).

Takze v nasledujucich clankoch o SI si prejdeme jednotlive techniky v kazdej casti serialu, ako napr. teraz pretexing. Pretexing je z anglickeho pretex predstieranie. Technika sa realizuje hlavne po telefone, alebo cez email. Najvacsi profesionali v SI, ako napr. Mitnick, tuto techniku pouzivali aj v osobnom styku. Je to vlastne predstieranie inej osoby, za ucelom pristupu k obmedzenym informaciam, pri podavani pravdivych udajov, ktore maju obet presvedcit, ze komunikuje s predstieranou osobou (napr. pri volani do banky: rodne meno matky, rocne cislo a adresu - ktore patria obeti). Zneuziva najslabsi clanok overovania a to na zaklade faktov, ktore sa vacsinou obeti nezdaju pri zistovani tak podozrive, pretoze su vseobecne, ako napr.: keby ste si pytali od dotycneho heslo.

Teraz si predstavime modelovu situaciu. Na zaklade mojej zmluvy a zmluvy brata v banke vidim, ze nemenovana banka pyta po klientoch na overovanie tie iste otazky, co je prva chyba. Bezpecnostnych otazok by podla mojho nazoru malo byt aspon 30. Tympadom by SIng. nevedel, ake otazky ma zistovat a cely plan by stroskotal. Banka si vsak svoju povinnost splnila minimalne v tom, ze si vypytala 3 otazky a predpokladam, ze pri zavolani sa opyta na dve z nich, aj ked to este overene nemam. Zakladom kazdej akcie SI je ziskat o obeti co najviac informacii. Cim viac informacii mame, tym sa manipulovana obet podda rychlejsie. Ako ste si mozno vsimli, pri tychto overovaniach su najcastejsie otazky - Priezvisko matky za slobodna, Meno otca, Meno matky, Oblubene miesto, Vasa prva ucitelka resp. ucitelka na ZDS, Vas oblubeny herec ... Su to vzdy otazky, ktore by sa nemali pocas zivota zmenit (dokial neuvidite dr. house :) a mali by ostat rovnake, aby si ich dotycni mohli overit aj o niekolko rokov. Rovnaky postup plati napr. na vela mailov cez kontrolne otazky. Kazdy hacker (bez reci prosim a vysvetlovania pojmov cracker/hacker), ktory ma trochu rozumu ci praxe, casom pochopi, ze najslabsim miestom pristupu na mail, kde nemame access, nie je slabe heslo, nie je vyuzitie chyby na stranke, ale je kontrolna otazka. V poslednom case si to vsak zacali uvedomovat nielen
hackeri ,ale aj spolocnosti vlastniace emailove boxy. Niektore zacali overovat cez telefon (fakt iba niektore, zoznam stupol v mojich ociach .. hned ma vsak euforia presla :), niektore zacali posielat iba na zvolenu druhu emailovu adresu, niektore zacali pouzivat viacero otazok a niektore ich zmenili na nie najbeznejsie ako - Cislo preukazky do kniznice. Na tieto sme vsak mame cas a teraz si prejdeme spominanu situaciu banka. Zistil som si na zaklade mojej a cudzej zmluvy to, ze su otazky rovnake, takze predpokladam, ze dotycny, ktory ma tiez rovnaku banku, ich bude mat totozne. Pokial by som mal inu, mam viac moznosti, ako ich zistit. Najlepsie je si cez internet najst niekoho, kto sa napr. stazuje na dotycnu banku (takych ludi je vzdy dost) a zavolat do banky pod jeho menom a poziadat o vykonanie akcie, ktore mozete urobit cez telefon (su uvedene na stranke banky spolu s poplatkami). Na vacsinu akcii s vasim uctom cez telefon bude banka pozadovat autorizovanie na zaklade otazok. Takto sa dozviete otazky, ked zavolate 2-3x a netrafite sa rovkemu operatorovi. A ak aj ano, tak je to jedno, pretoze vam to zdeli i ked bude podozrievavy, lebo je to jeho praca a nepredpokladam, ze pojde za sefom pri zavolani druhykrat rovnakym clovekom s rozumnou vyhovorkou (dufam si nieco domyslite, lebo fakt nemienim pisat kazdu hlupost - pre buducnost). Mame otazky, co potrebujeme teraz? Samozrejme odpovede. Takze vezmeme si tie, ktore spolu suvisia, napr. Meno ucitelky a Meno matky za slobodna. Chytime do ruky mobilny telefon (najlepsie pevnu linku - vela ludi ma dneska CLIPko a pevne linky vzbudzuju viac diskretnosti a zdanlivej autenticnosti ako mobily) a zavolame dotycnej osobe.

Rozhovor by mohol prebiehat zhruba takto:
SIng. "Dobry den, dovolal som sa pani Novakovej? Tu je ... . Hned vec rozoberem len potrebujem vediet ci volam so spravnou osobou, lebo dnes som uz 3x zle zavolal ..."
Obet "Ano, pri telefone pani Novakova."
SIng. "Organizujem stretavku pre mojho brata Misa, zo zakladnej skoly a mam nejaky chaby zoznam mien podla ktorych musim najst 30 ludi. A mam na starosti este aj kolace, alkohol, objednavku kulturneho domu a pozvanie jednej mrtvej ucitelky. Som rad ze mi pomahate."
Obet "Uff, mate toho moc. Ako vam mozem pomoct?"
SIng. " Mohli by ste mi povedat svoje meno za slobodna? Aby som si vas odfajkol, u muzov je to totiz lahsie. My ked prideme do autoservisu aspon nam povie mechanik pravdu. °smiech° ..."
Obet "°smiech° Jasne som Toskova za slobodna."
SIng. "A triedna vam bola pani Vachova? Pretoze ta je uz po smrti."
Obet. "Nie pani Vachovu nepoznam. Triedna ucitelka mi bola pani ..., s ktorou sa doteraz stretavam."
SIng. "To mi nesedi, chodili ste na ZDS do ... v rokoch .... ?"
Obet "Nie, to niesom ja ... ja som ..."

Ako si mozeme pri rozhovore vsimnut pouzil som par technik, ktore pouzivame pri manipulacii s ludmi. Bol som velmi komunikativny a tympadom som nevzbudil podozrenie, ako ked vam niekto zavola a povie "Dobry den ste pani ... ?" vzdy je lepsie si pripravit pripadne, ak neviete improvizovat, nejaky predpokladany dialog a pokladat otazky tak, aby bola ocakavana odpoved. Nemali by ste stavat otazky tak, aby sa na ne dalo odpovedat ano/nie, ale celou vetou. Do rozhovoru som vlozil vtip, ktorym som trosku uvolnil atmosferu a pokial aj by nepripadal vtipny obeti, pokial je vtipny vam, tak si nepomysli urcite nic podozrievave - prave naopak. Ked som zacal hovorit co potrebujem, spomenul som taktiez mrtvu ucitelku, kde sa predpoklada, ze ak ste sa dovolali spravne, tak ta mrtva ucitelka bude pravdepodobne vasa, co obet vyvedie z miery a zo sustredenia. Potom nasledne spomimany vtip. Dobre by bolo v danom rozhovore zahrnut par komplimentov ako "Mam tu take sympaticke meno ...". Takyto rozhovor by si mal kazdy sociotechnik vediet zariadit sam. Staci na to trosku dedukcie a pozorovania. Kazdy SIng. by mal mat tiez prijemne vystupovanie, mily ton a mal by byt upraveny a sympaticky.

Pokial mame otazky ktore sme ziskali roznymi sposobmi, kazdopadne sa jej nezacneme vypytovat na odpovede z jednotliveho zoznamu otazok, ale mali by sme ich rozmiestnit do roznych akcii. Napr. keby chcem ziskat dalsie udaje osoby, navhrnem nejaku internetovu anketu, bud velmi vtipnu, bud zameranu na psov, alebo na lietadla. Podla toho co ma obet rada a cim sa zaobera. Pripadne by som napisal "hru", ktora sa zacne s obetou rozpravat a vypytovat sa jej veci z preddefinovanych otazok a univerzalnych odpovedi (vtipnych) a odpovede odosielat mne. Medze vam fakt nik nekladie a uspech zalezi na originalite.

Dneska sme si previedli najslabsiu cast overovacich systemov a priklad ako ju zneuzit. V prvych castiach by som chcel ukazat takymto stylom o co ide, nasledne vam zadam ulohu a budeme nieco skusat aj prakticky, pokial to bude kolektivne mozne. Nieco som vymyslel a preto ma napadlo, ze by bolo dobre zacat spolu s castami a do konca kazdej casti vkladat take outro, ze co mate robit, ak chcete. Takze ak sa chcete aj prakticky zapojit do serialu, zaregistrujte sa 'niekde' na webe. Najlepsie by bolo na slovenskej stranke plnej bfu uzivatelov, najma mladych pubertiacok, 40 rocnych ludi a podobnych typov. Dalej by tam malo byt velmi vela ludi. Urcite vas uz nejaka napadne ;-) ja nechcem nic osobne menovat, ale ak by vam nedoplo, kludne mi napiste PM. ... Zaregistrujte sa pod dvomi nickmi a hesla si odlozte niekde bokom, pripadne mi ich poslite, ak si ich nezapamatate a ja vam ich v dalsom kole poslem spat. Kazdopadne sa nejak zariadte, aby ste mali datum registracie uz teraz, pretoze sa zobrazuje v profiloch danych stranok a vyzera podozrivo, ked je nedavno zalozeny. Pochopili? .... Dalej ako prvy nick si vymyslite nieco inteligetneho razu, skombinujte slova ako support, reply, admin, center, help, database, db, config a podobne inteligetne znejuce slova - viem, ze je vela veci uz obsadenych, ale nech zije kreativita. Druhy nick si registujte pod nejakym menom ako tomas20, ivan19 a podobne a vek uvedte okolo 18-20 rokov. Miesto bydliska uvedte svoje prave. Prvy nick dajte povodom z BA a vek neuvadzajte. Teda nie viditelne. Do profilu nedavajte zatial nic, ani sa nicim nezatazujte, ale ak sa chcete na to dat, tak sa fakt zaregistrujte teraz, nie neskor a nezabudnite tie udaje, lebo takych jednorazovych registracii som uz prezil :) uff ze az moc a viem, ako beha ludska pamat a ze o mesiac bude taka hovadina uz mimo nej. Ostatne vysvetlim inokedy - toto je len priprava. :)

Btw: S tym casom som sa sekol - fakt nemam naladu pisat tento blog tak casto, kedze mam ine veci (frajerka, sport, praca, skola) ... :) cize do letnych prazdnin to nestihnem, ale urcite ho dopisem. Budem sa snazit v kratsom casovom intervale odosielat jednotlive casti, pokial to bude mozne, ale mam toho vela, takze sa ospravedlnujem za nesplnenie terminu, ktory som si chabo precavzal. Dakujem za pozornost.