FAQ по физическому пентесту. Отвечаем на вопросы будущих взломщиков в белой шляпе

Содержание статьи

• В чем отличие «физического пентеста» от кражи со взломом?
• Какие нужны документы?
• О чем нужно предупредить заказчика?
• Какие могут возникнуть трения с правоохранительными органами?
• Что, если я попадусь?
• С чего стоит начинать?
• Как проводить разведку?
• Как помогает социальная инженерия?
• Какой софт облегчает сбор данных?
• Как составлять письма для разведки?
• Нельзя ли просто позвонить?
• Какие еще есть способы провести разведку?
• Как проникнуть на объект?
• Как клонировать бейдж?
• Какие болванки нужны для пропусков?
• Придется ли использовать отмычки?
• Как снизить риск быть пойманным?
• Какие еще инструменты могут пригодиться?
• Пример проникновения

В пен­тестер­ском комь­юни­ти не так уж час­то раз­бира­ют тему физичес­кой безопас­ности объ­ектов, на которых рас­положе­ны инте­ресу­ющие нас сер­веры. А зря! При ана­лизе век­торов ата­ки не сто­ит забывать и о воз­можнос­ти физичес­кого про­ник­новения, а не толь­ко о «бру­те хешей паролей». В этой статье мы отве­тим на самые живот­репещу­щие воп­росы, свя­зан­ные с физичес­кими пен­теста­ми, а еще я поделюсь исто­рией одно­го такого про­екта.
 

В чем отличие «физического пентеста» от кражи со взломом?

Все, что ты дела­ешь, дол­жно выпол­нять­ся стро­го сог­ласно догово­ру, сос­тавлен­ному вашей орга­низа­цией и заказ­чиком. Учти, что любые откло­нения от методо­логии про­веде­ния работ или импро­виза­ция могут пов­лечь за собой серь­езные неп­рият­ности, в том чис­ле при­мене­ние физичес­кой силы сот­рудни­ками соот­ветс­тву­ющих струк­тур.

Какие нужны документы?

Имей в виду, что все твои дей­ствия (прак­тичес­ки каж­дый шаг) дол­жны быть про­писа­ны в методо­логии физичес­кого пен­теста. Сог­ласова­ние такого докумен­та, как пра­вило, занима­ет не один день, в него пос­тоян­но вно­сят прав­ки тес­тиру­емая орга­низа­ция и юрис­ты с обе­их сто­рон.

Ча­ще все­го руково­дитель про­екта так­же под­готовит пакет докумен­тов, который будет в пол­ной мере под­тверждать вашу лич­ность. Стан­дар­тный набор обыч­но сос­тоит из копии пас­порта, заверен­ной копии тру­дово­го догово­ра, докумен­та с наз­вани­ем и серий­ным номером носимой тех­ники (ноут­бук, смар­тфон, Proxmark и про­чее) и справ­ки, что у тебя нет судимос­ти.

В зависи­мос­ти от рода деятель­нос­ти про­веря­емой орга­низа­ции может пот­ребовать­ся пред­варитель­но офор­мить раз­ные допус­ки, а так­же прой­ти инс­трук­таж по тех­нике безопас­ности. Дела­ется это в пер­вый день при­бытия на тес­тиру­емый объ­ект.

О чем нужно предупредить заказчика?

По­нят­но, что неос­ведом­ленность сот­рудни­ков о пред­сто­ящих работах — это одно из необ­ходимых нам усло­вий. Исклю­чени­ем может быть раз­ве что началь­ник служ­бы информа­цион­ной безопас­ности. Увы, эти усло­вия выпол­няют­ся не всег­да, что повыша­ет слож­ность нашей задачи.

Од­нако «гряз­но сыг­рать» можешь и ты сам, при­менив методы соци­аль­ной инже­нерии и догово­рив­шись с кем‑то из сот­рудни­ков орга­низа­ции заказ­чика. Такой «договор­няк» может, наобо­рот, упростить дос­тижение целей ауди­та. Подоб­ные методы соци­аль­ного вза­имо­дей­ствия с пер­соналом заранее опи­сать и обго­ворить невоз­можно: уни­вер­саль­ного под­хода к решению задач такого харак­тера не сущес­тву­ет.

По­это­му доля импро­виза­ции все же будет при­сутс­тво­вать, о чем сто­ит ска­зать кон­так­тно­му лицу про­веря­емой орга­низа­ции (тому самому началь­нику служ­бы ИБ).

Какие могут возникнуть трения с правоохранительными органами?

Важ­но пом­нить, что силовые струк­туры прак­тичес­ки всег­да при­дер­жива­ются опре­делен­ных пра­вил и рег­ламен­тов, поэто­му попыт­ки всту­пить в спор или раз­жечь кон­фликтную ситу­ацию ничем хорошим не кон­чатся. Пос­коль­ку наши работы про­водят­ся абсо­лют­но легаль­но, нет смыс­ла активно соп­ротив­лять­ся. Тво­им глав­ным ору­жием дол­жны быть под­вешен­ный язык и зна­ние законов, уме­лое бра­виро­вание которым может зас­тавить сот­рудни­ка физичес­кой безопас­ности засом­невать­ся в пра­виль­нос­ти сво­их дей­ствий (опять спа­сает соци­алоч­ка). Но ты дол­жен всег­да пом­нить о собс­твен­ной ответс­твен­ности за совер­шенные дей­ствия и понимать рис­ки откло­нения от сог­ласован­ной методо­логии.

Что, если я попадусь?

Ус­пешным про­ектом мож­но счи­тать тот, где ты выпол­нил все пос­тавлен­ные задачи и при этом не спа­лил­ся. Но быва­ет, что какой‑то сот­рудник орга­низа­ции про­явля­ет бди­тель­ность и сооб­щает о подоз­ритель­ном лице (то есть о тебе) служ­бе безопас­ности, за чем может пос­ледовать задер­жание.

Имен­но на этом эта­пе мож­но про­вес­ти гра­ницу меж­ду закон­ными дей­стви­ями и теми, которые вле­кут за собой уго­лов­ную ответс­твен­ность. Пос­ле задер­жания тебя, ско­рее все­го, отпра­вят в «ком­нату ожи­дания». Затем кто‑то из сот­рудни­ков служ­бы безопас­ности задаст нес­коль­ко воп­росов, которые помогут ему понять, кто ты такой и что за работы про­водишь.

Это самый под­ходящий момент, что­бы предъ­явить пап­ку с пакетом докумен­тов, которые под­твер­дят твою лич­ность и докажут, что твоя цель — ана­лиз защищен­ности ком­пании, а не какая‑то дивер­сия или, нап­ример, про­мыш­ленный шпи­онаж в поль­зу ком­пании‑кон­курен­та.

С чего стоит начинать?

Фи­зичес­кий пен­тест мож­но раз­делить на два эта­па — под­готов­ка и реали­зация, то есть раз­ведка и про­ник­новение. Во вре­мя раз­ведки мы изу­чаем внеш­ний и внут­ренний периметр объ­екта, ана­лизи­руем обна­ружен­ные сла­бые мес­та, реша­ем, какими путями будем про­никать внутрь.

Да­лее дей­ству­ем метода­ми соци­аль­ной инже­нерии. Ищем спо­соб сде­лать копию элек­трон­ного про­пус­ка либо выда­ем себя за работ­ника обслу­жива­юще­го пер­сонала (инже­нер, убор­щик, охранник), соис­кателя на вакан­сию, курь­ера и так далее. В общем, за того, кого про­пус­тят на тер­риторию без лиш­них подоз­рений.

Чем тща­тель­нее ты подой­дешь к эта­пу раз­ведки, тем более убе­дитель­ную лич­ность смо­жешь изоб­разить. Здесь при­дет­ся подумать о мно­гих вещах, начиная от леген­ды и закан­чивая одеж­дой и сопутс­тву­ющи­ми докумен­тами.

Вто­рой этап — непос­редс­твен­но про­ник­новение. На этом эта­пе нам пред­сто­ит пре­одо­леть физичес­кую защиту при помощи тех­ничес­ких средств и базовых инс­тру­мен­тов мед­вежат­ника. Ско­рость и сно­ров­ка при­обре­тают­ся с опы­том, то есть с каж­дым выпол­ненным про­ектом. Ни один учеб­ник, статья или лек­ция не при­бавят тебе уве­рен­ности в дей­стви­ях, осо­бен­но ког­да речь идет о работе, где уро­вень адре­нали­на зна­читель­но выше нор­мы.

Са­мооб­ладание здесь — самое важ­ное. Уме­ние гра­мот­но сос­тавить леген­ду и уве­рен­но обма­нывать пер­сонал помогут прой­ти в кри­тичес­ки важ­ные помеще­ния и, что еще важ­нее, уйти, не выз­вав подоз­рений.

Как проводить разведку?

Прий­ти на объ­ект и изу­чить:

• По­лом­ки или дыр­ки в заг­ражде­ниях.
• Ис­поль­зуемые для тран­спор­тиров­ки сырья и отхо­дов желез­нодорож­ные пути. Если нет допол­нитель­ных заг­ражде­ний, мож­но поп­робовать прой­ти по ним пеш­ком.
• Под­земный пар­кинг. Он неред­ко поз­воля­ет попасть в биз­нес‑центр минуя про­ход­ную.
• Все­воз­можные мес­та выг­рузки и пог­рузки. Через них тоже мож­но обой­ти про­ход­ную. Если такие зоны зак­рыты или не исполь­зуют­ся, то, как пра­вило, они запер­ты на прос­тые зам­ки, вскры­тие которых не пред­став­ляет проб­лем.
• Тех­ничес­кие помеще­ния. Все осталь­ные зоны, не попав­шие в пун­кты выше, но так­же поз­воля­ющие миновать про­вер­ку про­пус­ка.
• Кры­ши и чер­даки. Конеч­но, если удас­тся обна­ружить пожар­ную лес­тни­цу или заб­рать­ся без нее.

Как помогает социальная инженерия?

Со­циаль­ная инже­нерия, или OSINT, — раз­ведыва­тель­ная дис­ципли­на, вклю­чающая в себя поиск, выбор и сбор раз­ведыва­тель­ной информа­ции из обще­дос­тупных источни­ков, а так­же ее ана­лиз.

Пер­вым делом нам нуж­но получить све­дения о сот­рудни­ках ком­пании. Мы выяс­няем поч­ты, телефо­ны, акка­унты в соци­аль­ных сетях, мес­сен­дже­рах и про­чее.

Источник: xakep.ru