Да. И не забудьте порыться у него в мусоре. Мусорные баки стоят на неохраняемой территории. Там, увы, обычно, можно найти массу интересного.
Утром Питер нашел в баке несколько чеков из ресторана, предложение банка и даже чеки из гостиницы с 18-й улицы.
А вы знаете простейший способ уничтожения бумаг? А ведь все просто. Достаточно использовать воду, отбеливатель и строительный миксер. Поместите бумагу в воду, дождитесь пока бумага намокнет и включите миксер на 510 минут. Если хотите полностью избавиться от любых надписей, добавьте отбеливатель и снова включите миксер на несколько минут.
Джейсон, ты видишь?
Что? Клавиатуру его домашней сигнализации?
Да!
А давай установим видеокамеру и отследим нажатия на клавиатуру.
Давай!
Так и сделали, замаскировав видеокамеру.
К вечеру после анализа облачной копии смартфона в распоряжении Питера были пароли Грина к его домашнему и рабочему Wi-Fi и даже к его банковскому счету.
Но самое интересное обнаружилось после внимательно анализа жесткого диска. На нем обнаружилась копия водительских прав Грина, его номер социального страхования, копия свидетельства о рождении, копия диплома и других его документов. С этими данными уже можно было смело говорить о хищении и подмене личности.
Джейсон, не забудь уничтожить те данные, которые нам не нужны.
Прошла неделя.
Увы, г-н Грин! Как выяснилось, вы абсолютно открыты. Вот код вашей домашней сигнализации, пропуск от вашей работы, ваши маршруты передвижения, чеки из ресторана и даже чеки от гостиницы, в которой вы встречаетесь с милой Мери. Приятная у вас знакомая! Увы, все это можно использовать для шантажа, не так ли? Ведь ваша жена по контракту имеет право на большую часть вашего имущества, если заметит вас в измене? А вот копии ваших документов! Короче, будьте внимательнее!
Интересно, а как ваши сотрудники относятся к безопасности своих персональных данных? Мы проверим это на следующей неделе.
Так, под громкие крики и возмущения в департаменте был создан новый отдел по проверке защищенности персональных данных.
Сказки о безопасности: Личная безопасность на поверку 3
После успешного взлома личных данных г-на Грина настала очередь его сотрудников.
Питер, а не попробовать ли нам развернуть фальшивую точку доступа в закусочной напротив офиса г-на Грина? В обеденный перерыв там бывает много народа.
Отличная мысль. Завтра сделаем.
Учтите, когда вы работаете через открытую точку доступа, все ваши письма, запросы, фактически все ваше общение можно легко отследить. Вы готовы поделиться вашими данными?
На следующий день Питер сидел в закусочной, притворившись что работает за своим ноутбуком. Фактически он развернул бесплатную точку доступа беспроводной сети и собирал данные посетителей. Те, обрадовавшись, что в кафе наконец-то появился бесплатный Wi-Fi, активно его использовали. Так прошел день.
На следующий день у Питера и Джейсона была масса работы. В перехваченном трафике нужно было выделить пароли от почты, работы, социальных сетей. Прочесть массу писем и вообще переварить полученную информацию. Особенно интересны были пароли, ведь очень часто пароли люди используют одни и те же и на работе, и для домашней почты, и в социальной сети.
А вы знаете, как обезопасить себя от хищения вашей информации при использовании бесплатного Wi-Fi? Для этого используйте два подхода:
1. Двухэтапная аутентификация. Все чаще это становится стандартом. На первом этапе вы используете пароль, а вторым фактором может быть SMS, которая присылается вам сайтом, или генератор кодов, установленный на вашем смартфоне. Учтите, если вы остановитесь на SMS, желательно использовать для этого отдельную SIM-карту, вставленную в простой мобильный телефон. Вы никогда не должны использовать эту карту для других целей. Еще один вариант электронный ключ-токен, но это дороже.
2. Используйте VPN. Тогда весь обмен трафиком осуществляется по шифрованным каналам.
В результате атаки было собрано достаточно данных для последующих атак направленной социальной инженерии.
Г-н Грин, вот пароли ваших сотрудников и данные о них. Учтите, они отдали это все добровольно!
Что вы посоветуете сделать?
Г-н Грин, вот пароли ваших сотрудников и данные о них. Учтите, они отдали это все добровольно!
Что вы посоветуете сделать?
В первую очередь позаботиться об осведомленности пользователей. Учите их! Ведь большинство атак сегодня происходит именно через ваших сотрудников. Делайте это регулярно, поощряйте желание учиться!
На этом проверка Грина была закончена, а отдел доказал свою незаменимость. Это было первое дело в истории отдела. Следующим, как уже решило руководство, будет атака на членов семьи. Кто-то скажет, что это некрасиво, может даже подло. Но! Шантажировать вас преступники могут и через ваших близких, подумайте об этом.
Вы согласны, г-н Грин?
Безусловно! Более того, предлагаю включить не только мою семью, а и семьи моих ведущих сотрудников.
Так начался следующий этап проверки.
Сказки о безопасности: Личная безопасность на поверку 4
После успешной атаки на персональные данные г-на Грина было решено продолжить проверку того, насколько ответственно его сотрудники относятся к защите своих данных.
Доброе утро, Иоганн! У нас идея!
Доброе утро, Роберт! Что вы предлагаете?
Мы предлагаем проверить сотрудников компании N, чтобы оценить, насколько они понимают, с какой информацией они работают и как ответственно относятся к ее защите.
Что вы предлагаете?
Как вы помните, напротив бизнес-центра, в котором расположена компания Грина, есть закусочная. Фактически это кафе, в котором обедают сотрудники этой компании. Сейчас она закрыта на ремонт. Мы предлагаем установить там передвижную закусочную, оборудовав ее подслушивающими устройствами, а потом проанализировать разговоры. Стоимость такой операции копеечная. Но нужно сделать так, чтобы возле нее всегда была очередь, в которой и будут вестись нужные разговоры.
Мысль интересная, но мне нужно согласовать это с представителями контрразведки. Ведь это их дело. Но мне это нравится.
Прошла неделя.
Роберт, мы получили добро на проведение операции. Но вместе с вами в группу будет включен и представитель контрразведки. Мешать он не будет, его дело анализ речевых данных.
Прошло две недели.
Результаты проверки были настолько плачевны, что в компанию в срочном порядке были отправлены сотрудники контрразведки. Как оказалось, персонал компании в обеденный перерыв обсуждал производственные процессы, вопросы оплаты и т. п. совершенно открыто. Но самое печальное было то, что часть этих вопросов относилась к государственной тайне.
Обсуждались не только производственные вопросы, а и сведения, которые можно было бы отнести к персональным данным и которые можно было бы использовать для шантажа тех или иных сотрудников.
Интересно, а если бы такой эксперимент поставили в вашей компании, то многое бы вы услышали? Ваши сотрудники в курсе, что производственные дела нужно обсуждать только на территории компании?
Сказки о безопасности: Личная безопасность на поверку 5
Прошло две недели с момента организации мобильной точки сбора информации о сотрудниках компании г-на Грина. Закусочная уже работала в нормальном режиме, а Питер придумал новую атаку на сотрудников и, в частности, на самого Грина.
За пару дней вместе с Джейсоном они прослушали домашнюю Wi-Fi точку Грина и убедились, что она надежно защищена. Но ломать ее никто и не собирался. Нужно было лишь получить ее идентификатор. После этого на территории компании мистера Грина была развернута фальшивая точка доступа с тем же идентификатором, что и домашняя, но без пароля. Смартфон Грина находил знакомую точку и цеплялся к ней. В результате Питер получил пароль Грина к социальной сети и домашней и служебной почте.
Роберт, вот ваши пароли. Вот домашний, вот рабочий, вот пароль от социальной сети.
Ребята, а скрыть от вас что-то можно?
Безусловно! Есть два способа. И первый это применение везде, где можно двухэтапной аутентификации.
Это когда вы предъявляете пароль, а вам приходит SMS с кодом? И вторым шагом является ввод кода?
Да! Это гораздо надежнее, чем просто пароль.
Я знаю. Но иногда, насколько я понимаю, SMS приходит поздно, а это неудобно, верно?
Конечно! Но для этого есть еще два способа. Первый вы устанавливаете себе генератор одноразовых паролей на смартфон, а второй вы распечатываете порядка десяти кодов с сайта заранее, а потом распечатываете следующие 10.