`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Социальная разведка в действии: срываем покровы

+11
голос

Недавно в сети увидел видео, где мужчина притворялся магом, и предлагал случайным (как позже окажется, не совсем) людям на улице прочитать их мысли. После небольшого шоу и пары ответов на вопросы про имя, родных, банковские счета, вдруг одна из ширм падала, и взору представала такая картина: среди переплетений проводов, мониторов и системных блоков сидит несколько хакеров в балаклавах, которые усердно делают вид, что набирают код, а на главный экран выведена личная страничка жертвы, linkedin и фейсбук.

Это интересный урок не только для тех, кто попался, но и для нас с вами. Не секрет, что большинство пользователей перестали заботиться о собственной конфиденциальности среди этого «веб-шума» всемирной паутины. Мы слишком много отдаем своих данных в Сеть.

То, что происходит на видео, называется социальной разведкой. Проводят её как часть аудита безопасности, или предоставляют как отдельную услугу, часто в рамках конкурентной разведки. У каждого социального инженера есть свои приемы и софт. Рассмотрим некоторые из них.

Сбор информации

Первым делом составляем резюме цели, оно нам необходимо для исследования. Наиболее полный профиль можно найти на сайтах резюме. Linkedin у нас не так популярен как на западе, но если целью является человек профессии творческой или связанной с компьютерами, то можно поискать и там. В остальных случаях нам помогут сайты для поиска работы. На них люди стараются максимально подробно расписывать свое резюме. Там же можно найти почту и телефон.

Нельзя пропускать и социальные сети, ведь тут есть и фото, и связи, и мысли, и даже компрометирующие факты. Обыскиваем VK, Одноклассники, Facebook, Google+, Tumblr (связи, друзья, интересы, личная информация), Google Images (фото), Twitter (заметки, мысли, цели), Pinterest, Flickr и Instagram (можно получить фото, в некоторых случаях и компрометирующие), Ask.fm (узнаем подробности из жизни), Meetup (контакты и встречи цели) и многие другие. Практика показывает, что нужно тщательно анализировать все открытые аккаунты.

Обратите внимание, куда ходит цель. Просмотрите отметки в Forsquare и iCloud, если логин от него совпадает с ранее полученным e-mail адресом. Адрес тоже можно узнать в открытых базах города, там же и домашний телефон если нужно.

Автоматизируй!

Но это все ручной поиск. Для автоматизации есть несколько готовых инструментов, которые облегчат нам сбор информации, и помогут делать это в «промышленном» масштабе.

Программа, которую используют наиболее часто (судя по имеющимся у автора данным) в ходе социальной разведки, называется Maltego. Это специализированное разведывательное программное обеспечение, которое предназначено для сбора информации с различных баз данных. Несомненным плюсом её является возможность вывода информации в удобном графическом формате. Программа позволяет строить основные связи между найденными компонентами, и установить ранее неизвестные отношения между ними. С помощью неё можно «нарыть» информацию, и указать взаимосвязи между людьми, их контактами, компаниями, вебсайтами, документами, и много чем еще.

Социальная разведка в действии: срываем покровы

Программа написана на Java и отлично переносится между другими OS, а понятный и удобный GUI позволяет легко и удобно управлять визуализациями взаимосвязей.

В заключение этой статьи хотелось бы сказать, что спецсофт может очень сильно помочь специалисту по конкурентной разведке, но никак не заменит ему прямые руки и светлую голову!

Защищайся

Как же нам можно защититься от этого, или хотя бы уменьшить риски? Для этого в сети есть интересный бесплатный плагин Ghostery, который защищает конфиденциальную информацию пользователей при посещении web-сайтов в интернете. С помощью него, можно обнаруживать и контролировать так называемые web bugs — объекты, которые встраиваются в веб страницы для сбора информации и являются невидимыми для пользователя. После, о них сообщается пользователю и предоставляется выбор, выключить их или нет. Таким образом, Ghostery позволяет блокировать скрипты, изображения, фреймы от компаний, которым вы не доверяете.

Социальная разведка в действии: срываем покровы

Подробнее о нем можно почитать здесь.

Конечно, в рамках одного поста можно лишь сравнительно неглубоко копнуть тему социальной разведки, поэтому я буду признателен вам за дополнения и ваш собственный опыт в комментариях.

Социальная разведка в действии: срываем покровы

+11
голос

Напечатать Отправить другу

Читайте также

Когда автор поворачивается лицом к людям - так можно ж читать...

В копилку параноика:
http://itc.ua/blogs/batareya-v-mobilnyih-ustroystvah-pozvolyaet-sledit-z...

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT