Konferenz DEFCON 19. "Alles stehlen, alle töten, finanziellen Zusammenbruch herbeiführen!" Jason I. Street

Published on July 26, 2018

Konferenz DEFCON 19. "Alles stehlen, alle töten, finanziellen Zusammenbruch herbeiführen!" Jason I. Street

Ursprünglicher Autor: Jason I. Street
  • Übersetzung
Ich möchte, dass Sie verstehen, warum ich meine Rede von dieser Folie beginne. Ich möchte sagen, wie wenig Sie wissen, wenn Sie denken, dass schlecht immer gemein, hasserfüllt und gut immer nett und flauschig ist. Ich möchte, dass Sie sich an dieses Kätzchenbild erinnern, wenn ich anfange, Ihnen wirklich schreckliche Dinge zu erzählen.



Mein Vortrag heißt "Alles stehlen, alle töten, einen vollständigen finanziellen Zusammenbruch verursachen oder wie ich eingetreten bin und mich schlecht benommen habe!". Einfach, weil er über den Ausfall des Sicherheitssystems berichtet.

Die Signatur auf dem Bild mit den Kätzchen lautet: „Armee der Dunkelheit. Milder als erwartet. " Die Folie mit dem Namen der Präsentation zeigt ein Schild mit der Aufschrift „Der Wachmann kommt in 5 Minuten zurück“.



Ich erkläre Ihnen, dass physische Sicherheitsprobleme und alles, was damit zu tun hat, unsere größte Schwachstelle sind, da sich die Menschen bei Annäherung an die Eingangstüren zweidimensional bis dreidimensional und einfach bis komplex gegenüberstehen. Sie sehen, dass Jason I. Street nach dem Nachnamen viele weitere Buchstaben hat, also lassen Sie mich zuerst vorstellen. Ich habe einen Tagjob und einen Nachtjob. Mein Tagesjob ist, dass ich als Vizepräsident für Informationssicherheit beim Finanzunternehmen Stratagem 1 Solutions arbeite. Ich arbeite in einem Büro, umgeben von vielen interessanten Ereignissen. Ich beobachte die Firewalls, folge den ID-Systemen, baue unsere eigene Infrastruktur auf und finde kreativere Wege, um sie vor den Leuten zu schützen, die „für uns kommen“ können, und meine Hauptaufgabe ist das „blaue Team“, das heißt der Schutz.

Meine Nachtbeschäftigung besteht darin, als CIO - Direktor für Informationsstrategien zu fungieren, und ich führe etwa dreimal im Jahr Penetrationstests durch. Dies ist meine Hauptbeschäftigung. Ich spreche bei solchen Veranstaltungen auf der ganzen Welt, ich habe das Buch "Dissecting the Hack: The F0rb1dd3n Network" im Genre der dokumentarischen Kriminalgeschichte geschrieben, ich schreibe Artikel und ich mache das alles nachts. Tagsüber reagiere ich auf Vorfälle und nachts erstelle ich Vorfälle für andere Personen, sodass es für beide Parteien bequemer ist.



Ich liebe es, diese Fotos anzuschauen. In dieser Baseballmütze und schwarzen Brille stand ich am Sonntag in Abwesenheit von anderem Verkehr eine Stunde vor dem Gebäude des geschützten Industrieparks, und ein Wachmann kam zweimal an mir vorbei, der nicht einmal fragte, was ich auf dem Bürgersteig tat und warum ich das geschützte Gebäude inspizierte, und habe diesen Vorfall nicht in den Bericht gebracht.

Auf dem zweiten Foto, auf dem ich eine Brille trage, bin ich kurz davor, mich für eine Stelle zu bewerben. Hier trage ich ein Community-Shirt in der Farbe BlackHat, weil ich gerne mit Warnaufklebern gehe. Ich habe diesen Job nie bekommen, weil ich nicht qualifiziert genug war, aber ich habe es geschafft, ihre Daten zu bekommen. Das war mein Sieg.

Auf der nächsten Folie sehen Sie zwei weitere Fotos, die mir auch gefallen.



T-Shirt mit der Aufschrift finde ich am besten, weil ich darin fast ein Auto gestohlen habe. Ich war in einem Hotel an der Küste und der Parkwächter stellte mir ein Auto zur Verfügung, aber ich erklärte ihm, dass ich dieses Auto jetzt nicht nehmen könne, er fragte warum und ich antwortete - weil ich es stehlen würde. Anscheinend kaufte er die Aufschrift auf meinem T-Shirt "Ich bin die Quelle des Ärgers" und beschloss, mir das Auto eines anderen zu geben. Er brauchte eine Weile, um zu verstehen, was ich meine, und ich musste ihm sagen: "Sie müssen sie zurücknehmen, weil der Besitzer sie vielleicht braucht."

Das nächste Shirt ist mein Favorit. An einem der am meisten bewachten Objekte, die ich im Leben gesehen habe, direkt gegenüber Ground Zero, dem Nullniveau des World Trade Centers in Manhattan, geht die SWAT-Staffel, diese K9 mit ihren Maschinengewehren, durch die Halle zum Hauptaufzug, der von 8 Wachen bewacht wird. In den oberen Stockwerken gehe ich in einem Hemd mit der Ikone "Geek your company" zu mir. Ja, dieses Foto gefällt mir am besten, und später werde ich Ihnen etwas mehr über diese Geschichte erzählen.

Ich besitze ein CISSP-Zertifikat (Informationssicherheitszertifikat einer gemeinnützigen Organisation, International Information Systems Security Certificates Consortium), und ich denke, dass ich gemäß dem ethischen Kodex in meinem Vortrag Zitate aus der Abhandlung „The Art of War“ von Sun Tzu, einem chinesischen Strategen und Denker des V. Jahrhunderts.



Daher besteht meine Präsentation aus den folgenden Teilen:

Einleitung;
Die Tatsache ist eine Tatsache, auf die wir bei der Diskussion dieses Themas stoßen werden;
Regeln - 2 Regeln, die ich mir bei meiner Arbeit ausgedacht habe;
Ergebnisse - aus diesen beiden Regeln ergeben sich bis zu 3 Ergebnisse.
Schlussfolgerungen und / oder Diskussion.

Warum gerade dieses Thema? Ich habe letztes Jahr auf der 36 CHARGE-Konferenz darüber gesprochen, ich habe über den Beginn des Social Engineering gesprochen, über die Dinge, die man tun kann, um in ein geschütztes Gebäude zu gelangen. Es war der erste Teil, und um ehrlich zu sein, erhielt ich danach einige Rückmeldungen und wurde mit allen möglichen schwierigen Fragen angesprochen.

Aber ich bin kein Experte auf dem Gebiet des Social Engineering, ich kenne mich mit neurolinguistischer Programmierung (NLP) nicht aus, ich kenne die Methoden der Gesichtserkennung oder der Ninja-Technologie nicht. Wenn ich jedoch 100% Erfolg beim Betreten von Gebäuden habe, gehe ich einfach dorthin, wenn ich die Fähigkeiten dieses Social Engineerings nutze. Aber glauben Sie mir, ich bin nicht stark darin, es ist nur unsere moderne Sicherheit.

Ich denke, Sie werden nichts Neues von mir lernen, daher ist dies eher eine lehrreiche Lektion, die Ihnen den Anfang des Weges zeigt, aber ich hoffe, dass Sie sich danach daran erinnern, was Sie dazu zwingen wird, sich umzusehen und Dinge, die Ihnen bekannt erscheinen, neu zu betrachten und verbessern Sie Ihre Wahrnehmung der Umwelt.

Aber jetzt werde ich nicht über Social Engineering sprechen. Das ist der ganze Schaden, den ich anrichten konnte, nachdem Ihre Wache mir erlaubt hat, durch die Eingangstüren zu gehen.

Fakt Nummer 1: Ich habe mich hineingeschlichen! Ich machte dieses Foto, sobald ich die Tür öffnete und in den Flur ging. Ich sah die Tür für das Personal, dies war die Tür zum geschützten Bereich, und ich ging einfach durch, indem ich die Knöpfe 1-3-5 drückte.



Ich könnte 5-3-1 oder 3-1-5 drücken, es spielt keine Rolle, ich würde es immer noch öffnen, weil ich die Knöpfe drückte, deren Oberfläche von häufigerem Gebrauch mehr abgewischt wurde als andere. Ich bin 10 Minuten vor Beginn unseres Treffens von dort zurückgekehrt, und niemand hat herausgefunden, dass ich dort war.

Ein weiterer lustiger Anlass war, als ich einen anderen Job bekam. Ich beschloss, ein Bösewicht zu sein, und als ich an der Rezeption meinen Namen unterschrieb, stahl ich ihnen einen Stift. Dann fragte ich, wo ihre Toilette ist. Das liegt nicht daran, dass ich zu viel Cola aus der Nahrung trinke, sondern dass ich mich in diesen großen Gebäuden „verlaufe“ und stundenlang auf der Suche nach dieser Toilette umherwandern kann, während ich mich im gesamten Gebäude umsehe.



Auf der Suche nach einer Toilette stolperte ich unerwartet über einen geschützten Teil des Arbeitsbereichs und fand einen Eingang für das Personal. Es sah so aus, als würde der Wächter dieses Objekts seine Sicherheitssysteme im Wert von einer Million Dollar vorführen, aber als ich zur Tür schaute, sah ich ein kleines Ding, eine Stange, die den Türriegel hält. Wenn ich ein Kondom hätte, würde ich es anpassen, damit sich die Tür nicht schließt. Und dann erinnerte ich mich an den gestohlenen Griff, schraubte die Kappe ab und setzte sie auf die Stange, und die Tür klickte nicht. Als ich 20 Minuten nach dem Durchlaufen der „verbotenen“ Zone dorthin zurückkehrte, war die Kappe noch da. Niemand wusste, dass ich auf einem bewachten Objekt war, und es hat Spaß gemacht!

Ich bin also kein Schlosser der höchsten Kategorie, und ich muss kein Schlossmeister sein, damit die Leute mich durch die Haustür lassen. Ich muss kein Super-Ninja-Programmierer sein, um nur eine Festplatte mit Daten von Ihrem Computer zu stehlen. Dieses Video zeigt meine Hackerfähigkeiten und einen einzigartigen Hauptschlüssel - das Cover eines Pappordners. Ich lege einfach ein Blatt Pappe zwischen die Türen einer geschlossenen Tür, nehme sie auf und ab und die Türen öffnen sich mit einem so einfachen „Schlüssel“.

Als nächstes steht auf der Folie ein weiterer „Schlüssel“ - eine gefälschte E-Mail, die ich auf das iPad geschrieben habe. Wenn du es nur druckst, sieht es aus wie eine Fälschung, sie werden dir sagen: "Du hast es gerade selbst gedruckt!", Aber wenn sie es auf dem Tablet mit diesen blauen Hyperlinks sehen, sagen sie: "Oh, das ist Magie, es muss wahr sein"!



Ich musste zu einer geschützten Einrichtung in New York, weil der Netzwerkadministrator bemerkte, dass viel Netzwerkverkehr vom Computer des stellvertretenden CFO des Unternehmens kam. Daher musste ein so cooler Netzwerkspezialist wie ich auf dieses Objekt zugreifen und herausfinden, was mit dem Netzwerk passierte. Dies war die Legende, und ich habe 2 Stunden in Google Docs verbracht, um diesen Brief zu schreiben. Hier heißt es also, dass der neue Eigentümer dieses Unternehmens von diesem traurigen Ereignis sehr verärgert war und ein anderes Unternehmen gebeten hat, seinen besten Netzwerkspezialisten, dh mich, seinen Hauptserver zu überprüfen. Nun, der zweite Brief wurde persönlich an mich gerichtet, als ob der Direktor für Informationssicherheit der zweiten Firma, und er schrieb, dass ich alle meine Angelegenheiten aufgeben und dort bis morgen ankommen sollte. Und dass ich den Job als "exzellent" machen muss, denn "viele Augen" schauen auf dieses Projekt. Im Allgemeinen machte ich es so, dass es dringend und politisch klang, so dass niemand besonders von meiner Ankunft überrascht war. Ich habe diesen Brief dem "Netzwerk-Typ" gezeigt, er hat mich ins Büro gebracht, wir haben 10 Minuten mit dem Direktor für Informationssicherheit gesprochen. Und dann begleitete mich dieser Typ auf allen Desktops mit Computern, aber ich konnte meine Flash-Laufwerke frei einsetzen, wo immer ich wollte und tun, was immer ich wollte. Ich habe diesen Brief wirklich geliebt. Und dann begleitete mich dieser Typ auf allen Desktops mit Computern, aber ich konnte meine Flash-Laufwerke frei einsetzen, wo immer ich wollte und tun, was immer ich wollte. Ich habe diesen Brief wirklich geliebt. Und dann begleitete mich dieser Typ auf allen Desktops mit Computern, aber ich konnte meine Flash-Laufwerke frei einsetzen, wo immer ich wollte und tun, was immer ich wollte. Ich habe diesen Brief wirklich geliebt.

Also, ich interessiere mich nicht für deine Kreditkarten, ich interessiere mich nicht für den Sarbanes-Oxley Act, die ISOs, dass Leicester Linux hat, ich will dich nur ficken, deine Stimmung auf die schlechteste Art verderben, ich möchte die schlechteste sein kann Ihnen zum schlimmsten Zeitpunkt passieren. Erinnerst du dich an die Kätzchen?

Das sind also meine 2 Regeln, die ich aus dem Serenity-Film übernommen habe: „Ich möchte verrückt werden“ und „Lass uns die Bösen sein“.



Es ist wie ein rotes Team gegen ein blaues, also sei nicht beleidigt, wenn ich dich unter die Gürtellinie trete. Es ist wie bei den Bankern, die von ihrer ganzen Familie entführt und als Geiseln gehalten werden, bis die Räuber die Türen der Bank öffnen. Das ist nicht lustig, es passiert immer noch. Dies ist eines der Dinge, über die Leute sagen, dass es nichts Neues gibt. Das Konzept dessen, was wir tun, stammt aus dem Film Sneakers von 1992. Es ist, als würden Sie Leute anheuern, um in Orte einzubrechen, um sicherzustellen, dass niemand sie hacken kann.

Jetzt ist dieses Geschäft besser geworden, aber das Konzept bleibt erhalten, es ist nicht neu, und es gibt Leute, die das besser verstehen als ich.

Eine andere Sache, die wir verstehen müssen, ist, dass Management eine Reaktion ist, keine Warnung. Ich zitiere die Worte von Dana Erwin, Sicherheitsbeauftragte bei Dow Chemical, im Jahr 2008: "Die beste Möglichkeit, die Aufmerksamkeit des Managements auf einen Katastrophenplan zu lenken, besteht darin, das Gebäude auf der anderen Straßenseite zu verbrennen."

Grüße an alle Anwesenden - ich bin dieses Feuer! Und jetzt kommen wir zu dem lustigen Teil der Rede, in dem ich über verschiedene Arten sprechen werde, solche Lichter zu entzünden.



Die Inschrift auf dem Demotivator: „Prostaki. Sogar die Entenküken können sie erkennen! “

Als nächstes wird auf den Folien das dargestellt, was ich als "schlechte Fakten verwenden" bezeichne, weil ich dieses Telefon gestohlen, diesen Laptop "vergewaltigt" habe und 30 Laptops in diesem Büro keine Diebstahlsicherungskabel hatten, weil die Geschäftsleitung der Ansicht war, dass sie bereits " geschützt. " Als ich dort ankam, rüsteten sie Laptops nur mit Diebstahlsicherungskabeln aus, und ein Mann ließ seinen Laptop mit einem Kabel und einem Schraubenzieher auf dem Tisch liegen, wahrscheinlich, damit der Dieb das Kabel bequem herausschrauben konnte, wenn es an einen Laptop angeschlossen war. Aber da ich hungrig war, habe ich nur Kekse von seinem Tisch gestohlen.





Wissen Sie, die Leute glauben, dass die Sicherheit nicht so gründlich sein sollte, dass sie zum Schutz ihrer Laptops Diebstahlsicherungskabel verwenden. Da Sie es am Tisch befestigen müssen und dies schwierig ist, müssen Sie es biegen. Lassen Sie uns dieses Kabel einfach über den Tisch führen, da niemand daran ziehen wird. Und Sie wissen, dass die meisten Wachen wirklich nicht versuchen, dieses Kabel zu ziehen, um zu überprüfen, aber ich bin kein Wächter, ich bin ein Dieb, ich werde ihn ziehen, um zu versuchen, einen Laptop zu stehlen.



Einige Leute benutzen ein Zahlenschloss, aber ich versichere Ihnen, wenn dieser Code 0-0-0-0 ist, werde ich versuchen, ihn zu wählen, wenn es 1-1-1-1 ist, werde ich es auch versuchen, und ich werde versuchen, sogar 9-9- zu wählen. 9-9. Und wenn Sie so schlau sind, dass Sie 0-0-0-7 aufheben, weil Leute wie Sie nur das letzte oder nur das erste Rad des Schlosses bewegen möchten, werde ich diese Option ausprobieren und das Schloss trotzdem öffnen.



Ich werde alle Schubladen Ihres Schreibtisches und alle Schließfächer durchsuchen und dort nach allen möglichen Dingen suchen. Ein anständiger und ehrlicher Kollege wird nicht auf den Tisch eines anderen schauen, was dort liegt, aber ich bin nicht so. Auf der Folie rechts sehen Sie einen Laptop von einem Mann, der den Laptop ganz korrekt repariert hat, und dachte, dass sein Laptop jetzt, da er über ein so brillantes Kabel verfügt, vor Diebstahl geschützt ist. Aber dann legte er die Schlüssel in die oberste Schublade seines Schreibtisches und verteilte die gesamte Sicherheit.

Die nächste Folie zeigt, warum ich diesen iPod im Retro-Stil gestohlen habe, diese Autoschlüssel und den Führerschein. Weil sie unbeaufsichtigt lagen.



Stellen Sie sich jetzt vor, ich hätte ihre Schlüssel genommen, wäre zum Parkplatz gegangen, hätte das Auto geöffnet und die Schlüssel dann aufgesetzt. Und nach der Arbeit hätte ich mit einer Waffe in der Hand auf dem Rücksitz eines Autos auf sie gewartet. Aus dem Führerschein hätte ich ihre Privatadresse erkannt und hätte Leute schicken können, die ihre Familie getötet hätten, wenn sie nicht zur Arbeit zurückgekehrt wäre und mir die notwendigen Daten gestohlen hätte.

Die Arbeiter sollten wissen, dass ihr persönliches Eigentum nur ihnen gehört, aber ihr Diebstahl kann nicht nur ihnen, sondern auch dem Unternehmen, in dem sie arbeiten, einen schweren Schlag zufügen. Daher müssen sie selbst die Sicherheit ihrer Sachen gewährleisten. Erinnern wir uns noch einmal an die süßen Kätzchen von der ersten Folie.

Schauen Sie sich die nächste Folie an. Wissen Sie, warum es so viele traurige Emoticons gibt? Da dies für den Besitzer dieser Brieftasche ein vollständiges „Spielende“ ist, gibt es ein leeres Scheckheft, Kreditkarten, einen Personalausweis und einen Sozialversicherungsausweis mit der Unterschrift des Besitzers.



Als ich mein erstes Auto stehlen wollte, waren zu viele Leute da, und dann kam ich um 2 Uhr morgens und öffnete drei Mercedes-Benz und einen Beamer, und es dauerte weniger als 60 Sekunden, wie im Film mit Nicholas Käfig Sie hätten einen Sicherheitsmanager sehen sollen, als ich zu ihm kam und 4 Schlüssel von diesen Autos auf den Tisch warf - der Ausdruck auf seinem Gesicht war einfach unbeschreiblich.



Übrigens habe ich diese Folie in die Präsentation aufgenommen - dieses Bild des Desktops in meinem Zuhause.

Daher möchte ich, dass die Mitarbeiter Gegenmaßnahmen gegen Diebstahl ergreifen, die Kisten bei der Arbeit abschließen, auch wenn sie den Arbeitsplatz für kurze Zeit verlassen, keine Brieftaschen, Kreditkarten oder Scheckhefte auf den Tischen lassen, um die Sicherheit ihres Eigentums bei der Arbeit und zu Hause, die Sicherheit ihres Eigentums zu gewährleisten. maschinen. Ich möchte, dass sie verstehen, dass es unmöglich ist, zwei Personen auf einmal am „Schwanz“ vorbeizulassen und anderen zu erklären, dass dies ihre eigene Sicherheit gefährdet. Sie können niemandem ein von Ihrem Unternehmen ausgestelltes Zertifikat senden. Sie können Ihren Computer, Ihren Laptop und Ihr Smartphone nicht unbeaufsichtigt lassen. Wenn Sie eine verdächtige Person oder jemanden sehen, der sich nicht innerhalb oder außerhalb des Gebäudes aufhalten sollte, informieren Sie unverzüglich den Sicherheitsdienst oder die Polizei.



Weißt du was ich mal gemacht habe? Ich bin in einem Rollstuhl mit 4 Büchern in der Hand aufgetaucht. "Jason, du bist ein Idiot!", Und ich bin alle so - ja, ich versuche dich auszurauben, du denkst wirklich, dass ich mir Sorgen um meine Minderwertigkeit mache, weil ich nicht in diesem Rollstuhl sitzen muss? Ich bin böse, ich werde DAS wirklich tun und du lässt mich mit diesen 4 Büchern einfach in das geschützte Objekt gehen.

Ich möchte darauf hinweisen, dass Sie den Behinderten nicht selbst aus der Tür schieben oder die Tür vor ihm öffnen müssen, wenn Sie sich schämen oder Angst haben, ihn zu beleidigen. Aber wenn Sie etwas Verdächtiges gesehen haben - sagen Sie es. Denken Sie daran, dass jeder Mitarbeiter Teil des Sicherheitssystems des Unternehmens ist. Wenn Sie etwas als verdächtig erachten, zögern Sie nicht, dies den Wachen zu melden. Es ist ihre Aufgabe, alle verdächtigen Besucher zu überprüfen.

Also haben wir herausgefunden, was es heißt, "alles zu stehlen". Lassen Sie uns nun über das Thema "alle töten" sprechen.
Diese Diashow zeigt ein Foto, das am Sonntagabend zwischen 2 und 30 Uhr im Keller des Hotels aufgenommen wurde. Ich bin mit meinem Schlafanzug und barfuß dorthin gefahren, weil ich mich im Badezimmer des Gästebereichs ausgezogen habe und darüber nachgedacht habe, was ich hier tun kann und wie Es stellte sich heraus, dass ich viel tun konnte. Ich betrat den Raum mit mechanischer Ausrüstung und stellte fest, dass keiner der Schalter verriegelt war.



Stellen Sie sich vor, ich habe so etwas wie OBS, Zwangsstörung, ich bin verrückt, und wenn diese Schalter ausgeschaltet sind, schalte ich sie ein, wenn sie sich einschalten - ich schalte sie aus, wenn es einen roten Knopf gibt, dann drücke ich ihn zweimal, aber denke nicht, dass ich ein kompletter Idiot bin. Wenn giftige Chemikalien vorhanden sind, entzünden sie sich, und Rauch tritt in die Lüftung ein, und es kann ein Feueralarm ausgelöst werden. Aber ich bin nicht so schrecklich, um halb drei Uhr morgens Leute zu stören, die mitten in der Nacht aufstehen wollen, geweckt von diesen Alarmglocken, also werde ich einfach den Alarm stumm schalten.

Übrigens, wie die Brandmeldeanlage im selben Keller aussieht, sind diese Kästchen und darunter rote Knöpfe. Aber wenn Sie die Alarmrufe nicht wecken, spritzt das Brandschutzsystem kaltes Wasser von der Decke auf Ihr Gesicht, und das um 2:30 Uhr morgens! Das ist sehr grausam! Deshalb werde ich mit Hilfe dieser in der nächsten Folie gezeigten Wasserhähne auch die Wasserversorgung der Feuerwehr absperren.





Ein weiterer Ort, an dem Menschen umgebracht werden können, ist die Hotelküche. Dieser Typ auf der Folie fragte mich, was ich dort mache, aber die meisten Leute fragten nicht.



Jetzt zeige ich Ihnen ein Video, das ich in einem Hotel in Malaysia gemacht habe. Ich trug das gleiche Hemd wie jetzt, also schau, was da passiert ist.

Das Video zeigt, dass das Schießen eine sich schnell bewegende Person ist. Er geht mit offenen Türen durch einige Korridore und stößt gegen einen Haufen Tische. Jason sagt, dass er bereits einen Tisch stehlen wollte, aber er bemerkte einen Mann im Publikum und beschloss, es nicht zu riskieren. Die Kamera fährt weiter und steht vor der Tür zum bewachten Gelände. Vor der Tür befindet sich ein Metallschloss. An der Tür steht ein Schild: „Vorsicht, gefährliche Chemikalien“!



Jason: "Ich bin dort nicht mit Uzi oder AK-47 reingekommen, ich habe keinen C-4 Sprengstoff mitgebracht, ich bin nur mit Gift in diesen Raum gekommen. Mal sehen, was ich tun kann. “ Als nächstes fährt die Kamera von der Tür weg, folgt dem Flur und betritt die Küche.

Ich beschloss, mich umzusehen, was es sonst noch gab, und stolperte plötzlich über die Küche. Direkt neben diesem giftigen Raum. Da war ein Mann in der Küche, sagte ich zu ihm: "Hallo!", Aber er antwortete mir nicht, du Idiot. Es gab Kühlschränke mit Lebensmitteln und einen Kochplatz. Wenn ich mich also um alle Hotelgäste kümmern wollte, vergiftete ich einfach alle Produkte in der Küche, zumal das Gift im Nebenzimmer war.

Dann ging ich durch eine andere Tür, einen Korridor, und befand mich in einem Raum mit mechanischer Ausrüstung. Sehen Sie, da sind 2 Leute hier, also verwende ich Social Engineering-Techniken. Ich frage sie: "Wie geht es dir?" Sie antworten: "OK!" Und ich gehe einfach weiter. Hier ist eine weitere Tür, ein Korridor, und ich betrete wieder die Küche. Bei diesem Hotel handelt es sich um gut geschützte Informationen, alle Daten der Gäste sind im Computer gespeichert, und Sie können nicht einfach nachfragen, wer und wo er übernachtet hat. Aber in der Küche, direkt an der Wand, gibt es Listen mit Namen und Nummern der Zimmer, und jeder Gast hat seine eigene Nummer. Heute ist es ein Non-Tech-Service. Dann benutzte ich wieder Social Engineering, schaute in die Kabine des Hauptmanagers und fragte, ob sie das Internet für ein Wi-Fi-Netzwerk oder ein Kabel nutzen würden. Ich trug mein Hackerhemd und hielt ein iPad in den Händen.

Ich sage Ihnen Folgendes: Die Leute erwarten nicht, dass schlimme Dinge passieren, bis sie wirklich passieren. Die nächste Folie zeigt Maßnahmen gegen Gewalt am Arbeitsplatz:

  • Schulung des Managements und des Personals zum Erkennen gefährlicher Anzeichen von Gewalt am Arbeitsplatz;
  • Wenn Sie einer Bedrohung ausgesetzt sind, stellen Sie zusätzliche Sicherheitskräfte ein und erteilen Sie den Mitarbeitern ausreichende Anweisungen und Anweisungen.
  • Stellen Sie sicher, dass alle Mitarbeiter / Opfer wissen, dass Gewalt, Belästigung und / oder Bedrohung am Arbeitsplatz keinen Einfluss auf ihren Arbeitsstatus haben.
  • Erstellen Sie ein Codewort, mit dem Administratoren an der Rezeption Kollegen auf eine potenziell gefährliche Person aufmerksam machen können, die im Empfangsbereich eingetroffen ist.
  • Führen Sie regelmäßig Schulungen durch, um Manager und Vorgesetzte darin zu schulen, Anzeichen von Gewalt zu erkennen und potenziell gewalttätige Situationen am Arbeitsplatz zu minimieren.
  • Führen Sie geplante Sicherheitsüberprüfungen durch und erhalten Sie die Funktionalität von Arbeitsplätzen, einschließlich Notausgängen, Alarmen, Beleuchtung, Überwachungskameras und Metalldetektoren.

Bringen Sie Ihren Mitarbeitern bei, immer wieder zu verstehen, was am Arbeitsplatz passiert, und bringen Sie ihnen dieses Codewort bei. Ich sage den Leuten immer, dass der Code „Oh Gott, er hat eine Waffe, wir werden alle sterben!“ Nicht der beste Code für den Fall einer Gefahr ist. Ich rate ihnen, das Wort Immergrün (Immergrün) in dieser Kombination zu verwenden: „Wo ist Herr Immergrün? Mr. Pereinkl, weil! «Und dergleichen. Ich hoffe, dass sie eines Tages das Periwinkle Institute gründen werden, denn es ist ein sehr lustiges Wort.

Überprüfen Sie ständig die Sicherheit Ihrer Ausrüstung und Ihrer Mitarbeiter. Als ich eine Stunde lang an einem Objekt entlang ging, bemerkte ich eine Tür, die ich leicht einbrechen konnte. Direkt über ihr befanden sich eine Kamera und zwei weitere Kameras auf dem Parkplatz, die schlecht eingestellt waren. Und du könntest diagonal an ihnen vorbeigehen, und niemand hätte dich bemerkt, besonders wenn du den Winkel dieser einzelnen Kamera über der Tür verändert hättest. Ich fing an, mit dem Chef des Sicherheitsdienstes darüber zu sprechen, er winkte mit der Hand, sagte, es sei Unsinn und lud mich in sein Büro ein. Es gab keine Sicherheit, er zeigte mir die Bildschirme von Computern und Monitoren, sie waren alle ausgeschaltet. Er schaltete sie ein und eine Kamera funktionierte nicht - es war die eine Kamera über der Tür, die nur kompetente Beobachtung ermöglichte. Ich sah ihm in die Augen und sagte: "Das ist nicht ernst!" Ich denke, das war nicht der einzige, der dies überprüfen konnte,

Wir wenden uns nun dem dritten Teil der Präsentation zu - dem vollständigen finanziellen Zusammenbruch - und beginnen mit dem Ausspähen. Schauen Sie sich dieses düstere Lächeln auf der Folie an - das bedeutet, dass alles schlecht ist.



Weißt du warum? Weil ich ein Umweltschützer bin! Wissen Sie, wie viele arme Bäume jeden Tag sinnlos für die Ausdrucke sterben, die Sie in der Nähe Ihres Druckers hinterlassen? Also wisse, dass sie nicht umsonst sterben, denn wenn ich komme, werde ich sie alle nehmen. Ich werde diese Bäume befreien! Ich nehme Ihre Ausdrucke und nehme sie mit, nur um sicherzugehen, dass Sie die armen Bäume nicht vergessen haben.

Sie wissen, warum das wirklich traurig ist - weil diese Leute immer noch Maschinen benutzen, um Papiere mit vertraulichen Daten zu zerstören. Doch alles, was zu mahlen wäre, durch einen Schredder zu laufen, haben wir noch in diesen großen blauen Eimer getan.



Dies sind alles vertrauliche Informationen, und so geschieht dies im District of Columbia, bei Finanzinstituten und im Verteidigungsministerium in all diesen geschützten Büros, in denen die Zimmerreiniger nicht einmal Zutritt haben, weil es streng geheime Daten gibt. Und wissen Sie, was die Mitarbeiter dann tun? Nachts nehmen sie einfach diesen blauen Papiereimer heraus und stellen ihn vor die Tür! Das ist wirklich schrecklich, das heißt, ich möchte sagen, dass es für einen Bösen wie mich schrecklich ist. Komm schon.



Wenn der Angreifer nicht weiß, wo sich das Flash-Laufwerk Ihres Exchange-Servers befindet, lassen Sie das USB-Flash-Laufwerk einfach am gewünschten USB-Anschluss. Dabei zeigen Sie, wo Sie vertrauliche Informationen herunterladen müssen. Was ist mit Ihrem Finanzserver, auf dem sich alle Konten befinden? Die 25 Angestellten, die dort Gehälter erhalten, glauben, dass es nichts Falsches ist, ein Stück Papier mit dem Wort ACCOUNTING auf einen der Computer zu kleben. Um den Täter hat keine Zeit damit verbracht, nach diesem Server zu suchen, und das Flash-Laufwerk bei Bedarf sofort zu platzieren.



Wenn Sie abhören möchten, müssen Sie nicht nach etwas Besonderem suchen - gehen Sie einfach zu diesem Kabelsalat und verwenden Sie das, was Sie benötigen.



Wissen Sie, wie schwer es ist, Passwörter zu stehlen oder zu fälschen? Sie müssen Linux verstehen, technisch versiert sein, es geht nicht um mich. Also gehe ich einfach zu diesem Tisch und lese das Passwort auf dem Aufkleber.



Normalerweise entferne ich den Passwortaufkleber und lasse den Clip leer, damit sie ein wenig nachdenken.



Und dieses Bild auf der obersten Folie ist eines meiner Favoriten. Dies ist das Büro eines pharmazeutischen Labors, das biochemische Forschung betreibt. Dies sind komplexe Dinge. Beenden wir also die Raketenforschung und schreiben Sie leichter ein Passwort. Und sie streichen ein spezielles alphanumerisches Passwort durch, das ziemlich kompliziert war, und ersetzen es durch das Wort Willkommen. Willkommen auf meinem Computer!

Es gibt eine schlimmere Sache, als mich in einem Pepsi-Pyjama zu sehen - mich in einem strengen Anzug zu sehen, weil es mir die Möglichkeit gibt, wirklich schreckliche Dinge zu tun. Denn wenn ich in diesem Anzug bin, dann möchte ich dich „werfen“.



Meine Lieblingskleidung neben ihm ist die Weste, die ich Wasted Doom nenne, „Mindless Death“, weil ich finde, dass sie cool klingt.



Auf dieser Folie sehen Sie meine „Spielzeuge“, von denen ich letztes Jahr erzählt habe, und jetzt habe ich bereits eine Version der Wasted Doom 2.0-Weste. Ich benutze diese Art von Schreibstiften mit einer Videokamera und USB. Ich lasse sie nicht in meiner Tasche, aber ich stecke sie in Ihre kleine Bleistiftschale und gehe. Die eingebaute Videokamera zeichnet alle Ihre Logins, Passwörter und Gespräche auf.



Ich habe eine atemberaubende kleine Taschenlampe - eine Videokamera mit 8 GB Speicher und USB, damit ich deine Daten damit stehlen kann, außerdem ist ein Videorecorder in meine Uhr eingebaut. Mit diesen Geräten kann ich tun, was ich will. Sie wurden mir von einer Agentur mit drei Briefen aus dem District of Columbia zur Verfügung gestellt. Die einzige Bedingung für die Verwendung dieser Geräte, für deren Herstellung Milliarden von Dollar ausgegeben wurden, war meine Verpflichtung, niemals öffentlich darüber zu sprechen.

Ein anderes Gerät, das ich in meiner Weste trage, sieht aus wie ein normaler USB-Stick. Dies ist Spy Keylogger oder ein Keylogger, der alle Manipulationen mit einer Computertastatur abfangen und aufzeichnen kann. Es wird von keinem Virenschutzprogramm erkannt. Es ist sehr schwierig, es visuell zu erkennen und einfach in einen freien Anschluss einzufügen. Es gibt 2 Versionen unter USB- oder PS2-Tastaturanschlüssen. Er schreibt alles, was Sie auf der Tastatur eingeben. Ich habe es auf der Think Geek-Website gefunden.



Die folgende Seite zeigt die Risikomatrix.



Vertikal die Wahrscheinlichkeitsachse für das Risiko bei Verwendung von Spyware, die auf der Website von Think Geek zum Kauf angeboten wird, und horizontal die Intensität oder das Ausmaß der Auswirkungen. Geringes Risiko wird in Grün, Mittel angezeigt - in Gelb und Rot bedeutet eine vollständige Katastrophe. Das Abfangen von Tastenanschlägen einer Computertastatur durch den CEO oder den Chief Executive Officer führt also zu genau solchen Konsequenzen.

Es wird vermutet, dass es eine sehr begrenzte Gruppe von Menschen gibt, die Zugang zu allen hier gezeigten Spionagetechnologien haben. Aber stellen Sie sich vor, es stellt sich heraus, dass jeder sie kaufen kann - das sind viele Werbemittel für die Bürospionage, die auf diesen Flyern gezeigt werden. Denken Sie, dass nur Hacker Daten stehlen können? Gar nicht!



Wenn ich meinen Chef wirklich hasse, ich hasse meinen Job, ich möchte eine ganze Reihe von Unternehmensgeheimnissen stehlen, was werde ich tun? Ich verwende diese Flyer, die in meinem Postfach abgelegt sind, und sehe, dass ich mit diesem Tastatur-Interceptor Informationen vom Computer des Chefs stehlen kann. Ich verwende einen Videorecorder, um Geheimnisse aufzuzeichnen, und einen Audiorecorder, um vertrauliche Gespräche und Besprechungen aufzuzeichnen. Es ist nicht schwer. Ich sage immer, es ist einfach, wenn du es selbst schaffst! Die Mitarbeiter sind vor ernsthaften Bedrohungen von außen geschützt, berücksichtigen jedoch nicht die mit Bedrohungen im Unternehmen verbundenen Risiken.

Die nächste Folie zeigt den Anschluss von Adaptern für Pony Express in einer Filiale einer der Banken an der Westküste. Ich hatte 4 Filialen, 4 Versuche, 4 Erfolge. Nach dem 4. Versuch sagten sie mir endlich, ich solle aufhören. Der Grund, warum ich das schaffte, warum ich ungehindert in diese Zweige eindringen konnte, war folgender.

Ich kam mit einer blauen DEFCON-Jacke zu ihnen, ich trug Arbeitskleidung, ich hatte Warnstreifen drauf und ich erzählte ihnen, dass sie mich vom Hauptbüro geschickt hatten. Ich sagte, wir hätten einen Spannungsabfall im Netzwerk, und ich muss prüfen, ob dies Ihre Vorgänge beeinträchtigt. Fügen Sie dieses Gerät in Ihr Netzwerk ein, damit Sie Messwerte erfassen und an die Zentrale übertragen können, damit sie es verstehen , Was ist los. Übrigens muss ich mich vergewissern, dass alle Computer ordnungsgemäß funktionieren, nicht von Spannungsspitzen betroffen sind und die USVs in gutem Zustand sind.



Ich hatte einen gefälschten Namen, einen gefälschten Ausrüster, eine gefälschte Firmenrufnummer, aber ich kam damit durch. Wenn ich mit einer Schrotflinte in der Hand in einer Maske zu ihnen geeilt wäre, würden sie wissen, wie sie sich verhalten sollen, das wurde ihnen beigebracht. Aber sie sahen nicht die Möglichkeit einer solchen Obsession voraus wie ich. Sie führten mich durch den Kassenbereich, durch die Hinterzimmer, vorbei an der Geldkammer, vorbei an dem großen Safe. Stellen Sie sich vor, wie viel Schaden ich ihnen zufügen könnte! Aber alles, was ich getan habe, war, meinen kleinen Pony Express-Adapter anzuschließen. Auf der rechten Seite der Folie sehen Sie die USV, an die ich mich angeschlossen habe. Dazu musste ich den Manager bitten, von seinem Schreibtisch aufzustehen.

Deshalb möchte ich Sie über Gegenmaßnahmen gegen interne Spionage informieren:

  • Da die meisten Informationen auf Papier gespeichert sind, müssen Unternehmen alle Dokumente im Aktenvernichter vernichten, bevor sie weggeworfen werden.
  • Drucken Sie wichtige Informationen nicht unnötig aus. Bewahren Sie es nach dem Drucken in einem sicheren Umschlag oder an einem für Dritte unzugänglichen Ort auf.
  • Informationen, die frei auf einem Tisch liegen, können kopiert, fotografiert oder gestohlen werden.
  • Bewahren Sie alle wichtigen Dokumente in verschlossenen Schränken auf. Schließen Sie das Schließfach, wenn Sie es nicht benutzen.
  • Unternehmen müssen in Technologien investieren, die das Kopieren vertraulicher Informationen verhindern.
  • Unternehmen können die Zugriffskontrolle für die Software festlegen, indem sie befugte Personen angeben, die bestimmte Seiten bestimmter Dokumente drucken dürfen. Dies verhindert die nachlässige Haltung beim Drucken von Dokumenten und setzt das Unternehmen unnötigen Risiken aus.
  • Die Druckverschlüsselung ist eine weitere Methode zum Schutz vertraulicher Unternehmensinformationen. Beim Drucken eines Dokuments werden vertrauliche Informationen in speziellen Feldern ausgeblendet, in denen die Verschlüsselung erfolgt. Nur Personen, die zum Anzeigen dieser Informationen berechtigt sind, können die verschlüsselten Informationen anzeigen.

Zuallererst müssen Sie Ihren Mitarbeitern beibringen, nicht auf Phishing-Links in E-Mails zu klicken, nicht auf schädliche Websites zuzugreifen, nicht zu sagen, dass dieser dumme Benutzer dorthin gegangen ist, sie nicht als dumm zu bezeichnen, sondern zu lehren, dass dies nicht möglich ist. Es ist, als würde ich einen Mitarbeiter einstellen, der keinen Führerschein hat, und ihm dann die Autoschlüssel geben und sagen: "Geh, bring meinen Bentley hierher!", Er fährt und bricht das Auto. Aber ein Idiot ist nicht der, der das Auto gefahren hat, sondern der, der ihm diese Schlüssel gegeben hat! Wenn Sie Mitarbeitern Technologie geben, sollten Sie ihnen den Umgang mit ihnen beibringen. Sie müssen Ihren Mitarbeitern beibringen, zu verstehen, was sie tun werden. Sie müssen Ihre Mitarbeiter stärken. Wenn ich "stärken" sage, meine ich nicht die Gewerkschaften oder die Tatsache, dass sie sich mit Baseballschlägern ausrüsten müssen, obwohl es cool wäre.

Ihre Mitarbeiter müssen wissen, dass sie Teil des Sicherheitsteams Ihres Unternehmens sind, vom CEO bis zum Kurier, damit sie verstehen, wie viel von ihnen abhängt. Sie müssen wissen, dass Sicherheit ihre Aufgabe und ihre Pflicht ist, dass sie die Sicherheit beachten müssen.

Ich habe einen Mann bei der Arbeit, der mir wöchentlich 15 Briefe von seiner E-Mail sendet, die er als Phishing oder einfach nur seltsam ansieht, damit ich nach Malware suche. Und jedes Mal sage ich „Danke schön“ zu ihm, denn der 16. Brief kann sehr gefährlich sein und ist kein Fehlalarm. Es ist notwendig, die Leute darauf aufmerksam zu machen, dass jemand ohne Ausweis am falschen Ort ist, ihn anhielt und fragte, was er hier tue. Wir müssen den Leuten sagen, dass sie das Richtige getan haben. Damit dies Wettbewerb schafft, müssen die Angestellten sagen: „Diese verdammte Susanna bekommt immer einen Kredit, weil sie solche Dinge tut!“ Also sollten die anderen das Gleiche tun, sie sollten diejenigen fangen, die kein Abzeichen haben. Das bedeutet nicht, dass sie jemanden mit Gewalt aufhalten sollen, dafür gibt es eine Wache.

Sie haben ein enormes menschliches Potenzial, um die Sicherheit zu gewährleisten. Lernen Sie also einfach, wie man es richtig einsetzt! Und sobald Sie aufhören, von „dummen Benutzern“ zu sprechen und „meine Kollegen in der Abteilung für Informationssicherheit“ sagen, werden Sie gewinnen!


Vielen Dank für Ihren Aufenthalt bei uns. Mögen Sie unsere Artikel? Möchten Sie weitere interessante Materialien sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder Freunden empfehlen. 30% Rabatt für Habrs Benutzer auf ein einzigartiges Analogon der Einstiegsserver, die wir für Sie erfunden haben: Die ganze Wahrheit über VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s von 20 Dollar oder wie man den Server teilt? (Optionen sind mit RAID1 und RAID10, bis zu 24 Kernen und bis zu 40 GB DDR4 verfügbar).

Dell R730xd 2 mal günstiger? Nur wir haben 2 x Intel Dodeca-Core Xeon E5-2650v4 128 GB DDR4 6 x 480 GB SSD 1 Gbit / s 100 TV ab 249 US-Dollar in den Niederlanden und den USA! Lesen Sie mehr darüber, wie Sie ein Infrastrukturgebäude bauen. Klasse C mit Servern Dell R730xd E5-2650 v4 im Wert von 9000 Euro für einen Cent?