Сейчас объясняю попроще. Метаданными называют информацию об объектах поиска. И в этих данных часто прячутся очень интересные факты, зачастую попадающие туда ненамеренно.
Представьте, что я провожу безобидный поиск в Google: ищу файлы с расширением .doc, в которых содержится информация о паролях. И вот я натыкаюсь на маленький документик с названием Final Password Policy («Политика в отношении паролей, финальная версия»). Что скажут мне метаданные? Давайте посмотрим на илл. 2.21.
Метаданные позволяют узнать время и место создания файла, имя последнего человека, который его сохранял, имя и должность его создателя, сколько раз его редактировали и др. Возможно, вы сейчас думаете: «Ну и что?»
Подобные документы способны предоставить социальному инженеру огромный объем информации. Только представьте, как в руки ему попадает документ о новой кадровой политике! Метаданные показали бы, когда этот документ в последний раз изменяли (в данном случае — месяц назад), кто его написал и когда его опубликовали. И конечно же, само содержание кадровой политики было бы внутри документа. Как думаете, открыл бы кто-нибудь файл, приложенный к фишинговому e-mail, отправленному от лица автора этого документа с пометкой о внесении изменений?
Посмотрите на илл. 2.22.
Сначала вы наверняка подумали: «Хм, мы что, будем тут устраивать фишинг по поводу купона на острый соус?». Нет. Обратите внимание на метаданные, изображенные на скриншоте 2.23.
Натыкаясь в интернете на безобидное на первый взгляд фото, не забывайте о метаданных — они сообщат, на какую камеру, когда и во сколько был сделан снимок, и даже выдадут GPS-координаты места, где этот снимок был сделан. Введите координаты в Google-карты и… см. илл. 2.24.
На карте мы видим парковку у ресторана Pepe’s, в котором, кстати говоря, активно используют изображенный на фотографии соус.
Получается, кто-то сделал фотографию на смартфон. На смартфоне не был отключен GPS, а приложению камеры не запретили прикреплять метаданные к файлу с фотографией. И когда этот человек загрузил фото в социальную сеть, эта информация оказалась доступна всем желающим.
Понимаете, к чему я клоню? А теперь представьте, что это информация не о вашем приятеле, который сходил в ресторан, а о:
• генеральном директоре крупной коммунальной компании, через которого планируют провести атаку национального масштаба;
• секретарше миллиардера, владеющей информацией о банковских счетах начальника и полномочиями по передаче средств;
• вашей пятнадцатилетней дочери, которая решила выложить в Сеть свои эротические фотографии.
Ну как? Вне зависимости от того, какой сценарий вам не понравился больше, понятно, что эта информация быстро становится опасной, если попадает в открытый доступ.
Однажды меня с моей командой наняли для проведения сбора данных из открытых источников и реализации атаки на высокопоставленного сотрудника организации, связанной с обороной. Перед нами не стояла задача его подставить, но необходимо было проверить, легко ли он решится на действия, совершать которые не следует. Чтобы в дальнейшем возможно было провести просветительскую работу, мы должны были записывать любые звонки сотрудника и регистрировать ссылки, по которым он перешел.
Нам не пришлось особенно стараться, чтобы найти его страницы в социальных сетях. Его Twitter оказался настоящей золотой жилой: он не просто активно там писал, но и использовал для этого свой новенький iPhone со включенным GPS. Почему это так важно? Благодаря геолокации постов сотрудника в Twitter мы составили график его передвижений в течение дня. Буквально за несколько часов мы узнали:
• где он любит пить кофе каждое утро;
• в какой спортзал ходит перед тем, как вернуться с работы домой;
• два его любимых ресторана;
• адрес его дома;
• как он ненавидит пробки.
Мы нашли еще много полезных данных в открытых источниках, однако именно эта информация определила вектор будущих атак. Во-первых, мы создали домен, который на одну букву отличался от адреса официальной страницы его спортклуба. Затем набросали электронное письмо, где сообщили, что в клубе якобы проводится обновление пользовательских аккаунтов, в ходе которого выяснилось: его кредитка не работает. Мы предложили ему «прямо сейчас войти в систему и самостоятельно обновить информацию о карте», подталкивая тем самым к быстрым действиям.
Конечно, мы знали, что по ссылке сотрудник увидит ошибку 404. Так что мы дождались, когда он перейдет по указанному адресу, и уже после этого позвонили. Диалог состоялся примерно такой:
СИ: Добрый день. Это мистер Смит?
Объект: Да, это я. А кто спрашивает?
СИ: Меня зовут Сара, я администратор спортклуба Cold’s Gym. Сегодня мы отправили вам e-mail об обновлении системы, к которому прилагалась ссылка, к сожалению неработающая. И теперь мы обзваниваем клиентов, чтобы принести извинения за доставленные неудобства. Я могу сейчас выслать вам рабочую ссылку или же сразу обновить информацию по вашей карте. Как вам будет удобнее?
Объект: Все в порядке, Сара, сейчас скажу номер карты.
СИ: Спасибо, мистер Смит! И ждем вас сегодня на тренировку!
Эта атака сработала, потому что мы говорили о близких ему темах, и говорили убедительно. Просмотр открытых источников, один фишинговый e-mail — и мы заполучили клик по ссылке, номер кредитки и возможность простроить еще пять дополнительных векторов атаки.
Метаданные — мощный и очень полезный источник информации для социального инженера. Так что я настоятельно рекомендую анализировать их по каждому документу, который попадет вам в руки в процессе сбора данных из открытых источников.
Может показаться, что это слишком сложная задача, особенно если в вашем распоряжении окажется большой объем файлов. Лично я люблю использовать инструменты вроде FOCA (http://www.elevenpaths.com/labstools/foca/index.html) и Maltego (https://www.paterva.com/web7/), которые значительно облегчают задачу.
И несмотря на свое обещание не слишком углубляться в технологические дебри, я все же должен хотя бы коротко рассказать вам об этих полезных инструментах.
Орудия труда
Итак, в первой главе я сообщал, что не буду подробно описывать инструменты, потому что они слишком быстро обновляются и меняются.