05.04.2009 Методы социальных хакеров: подглядывание
Иногда, для того чтобы проникнуть в корпоративную сеть компании, не нужно использовать такие сложные технические приемы, как NTLM-инъекция, достаточно лишь просто подглядеть пароль пользователя. Так в ходе одного проекта мне удалось сфотографировать с помощью телефона наклейки “post it” с записанными паролями секретарей и впоследствии полученная информация значительно облегчила тестирование на проникновение в корпоративную сеть изнутри. Фотография была примерно такой (взято с сайта http://stanbiron.com):
Так и реальный злоумышленник сможет увидеть, какой вы используете пароль, просто подойдя к вам со включенной видеокамерой в мобильном телефоне в тот момент, когда вы вводите свое имя и пароль.
Подобная угроза актуальна и за пределами офиса. Сейчас во многих общественных местах появился доступ в Интернет через Wi-Fi, и все больше людей пользуется предоставленной возможностью удаленно подключиться к корпоративной сети и поработать. В таких местах они и могут стать жертвами подглядывающих злоумышленников. О том, в какой компании работает жертва, можно судить по наклейкам на ноутбуке или чемодане (некоторые приклеивают свои визитные карточки), либо по заставке на экране (корпорации любят, когда на рабочем столе пользователей красуется фирменный логотип). Также анализ фотографии экрана может очень многое рассказать, так можно увидеть имя учетной записи для доступа, например, к gmail или системе обмена сообщениями. Зная название компании, подсмотрев имя учетной записи пользователя и пароль для удаленного доступа, поверьте, можно многое сделать.
Защититься от подобной угрозы достаточно просто:
- создавайте физические барьеры, затрудняющие визуальный съем критичной информации;
- не работайте с критичной информацией в общественных местах, если же приходится, то садитесь спиной к стене
- используйте специальные защитные экраны, не позволяющие видеть содержимое экрана, если вы только не напротив него (notebook privacy filter);
- не наклеивайте на ваш ноутбук, сумку, чемодан наклейки с именем вашей компании. Оставьте фирменные футболки, кепки, рюкзаки и пакеты для своих клиентов и корпоративных пикников
- не используйте заставки с логотипами компании;
Related Posts
- Социальные и психологические технологии хакеров
- Поисковик для хакеров
- Насколько опасен WEP?
- Подбор паролей
- Атака с использованием NTLM-инъекции
Метки: социальная инженерия
- Отзывов (6)
- Рубрика: информационная безопасность
Постоянная ссылка #
Игорь Хайров
пишет
Действительно, проблема социальных хакеров существует, но этими же методами можно пользоваться для проверки «боеспособности» и готовности собственных служб безопасности и отделов ИБ. Я имею в виду, например, проверять оперативность их реагирования и квалификацию специалистов.
Постоянная ссылка #
infowatch
пишет
В некоторых офисах работники рассажены спиной к стене, экраны никому не видны. Но в большинстве мест, где я бывал, ровно наоборот: работники лицом к стене, экраны в сторону присутствующих. А на попытки пересесть начальство реагирует отрицательно.Не пора ли уже включить рекомендации по ориентации компьютеров если не в ГОСТ, то хотя бы в FAQ по ИБ?
Постоянная ссылка #
swan
пишет
Проблема с одной стороны смешная с другой грустная…Вот как объяснить игроку в покер, что не надо показывать свои карты ?!
Постоянная ссылка #
Александр Дорофеев
пишет
Такому игроку поможет только проигрыш.
Постоянная ссылка #
Игорь Хайров
пишет
Есть идея, как сажать всех работников спинами к стене. Надо проектировать комнаты без окон
. А еще лучше без дверей, чтобы недобросовестные сотрудники не могли проникнуть в помещение и подсмотреть содержимое экрана 
. Думается, что в условиях кризиса это можно осуществить, т.к. многие сотрудники задерживаются до поздна. Получается как в анекдоте: Один начальник жалуется другому (на своего работника), я ему и зарплату уменьшал и что только не делал, а он все равно на работу ходит и даже задерживается. Попробовал даже с него деньги брать за вход на работу, так он зараза теперь с работы совсем не уходит 
.
Постоянная ссылка #
Александр Дорофеев
пишет
Идея интересная, но надо помнить, что безопасность для бизнеса, а не наоборот.