Хакер и генеральный директор SocialProof Security Рэйчел Тобак рассказала о том, почему нам нужно быть параноиками в сети и как бизнесменам защитить свое предприятие. Статья с ее интервью опубликована на Dashlane. Представляем вам ее перевод.
Рэйчел Тобак — хакер, но не из серии «Мистер Робот», который крадет вашу информацию в гнусных целях, надев солнцезащитные очки и толстовку (таких она бы назвала «преступниками»). Вместо этого она помогает людям и компаниям защитить себя от кибератак, зарабатывая на жизнь как этичный хакер.
Тобак не собиралась становиться хакером; ее приход в мир технологий был неожиданным пересечением других увлечений: она изучала поведенческие науки, нейробиологию, импровизации и музыкального театра. И хотя все это может показаться не связанным с миром кибербезопасности, в этом безумии есть свой смысл. На конференции DEF CON в Лас-Вегасе Тобак заинтересовалась формой взлома, называемой социальной инженерией, когда хакер маскируется под чей-то личностью, чтобы через манипуляцию заставить жертву раскрыть конфиденциальную информацию. Увлеченная хакерскими испытаниями в реальном времени, она потратила год на обучение, чтобы вернуться на следующий съезд, принять участие в хакерском соревновании перед аудиторией в 500 человек и занять второе место с первой попытки. Частичной причиной своего триумфа она называет энергию толпы.
Позже Тобак вместе со своим мужем, исследователем в области безопасности, основала SocialProof Security, где они помогают компаниям и частным лицам (например, политикам и знаменитостям) защищать свои данные. Тобак рассказала о тонкостях ее работы хакером и о том, как она использует свои способности во благо.
Как это делают профи
Работа Тобака в SocialProof Security заключается в обучении компаний и частных лиц тому, как осознавать и пресекать атаки социальной инженерии с помощью демонстраций. Как она это делает?
«Социальная инженерия по телефону называется «вишинг» — голосовая элиминация. Это известный вектор социальной инженерии, и при этом действительно очень сильный. Он использует такие инструменты, как имперсонация и претекстинг. Мы можем подделать номер телефона и сделать так, чтобы он по-другому отображался в Caller ID, и мы можем сделать так, чтобы голос на другом конце линии звучал так, как будто это кто-то другой». (Вы можете посмотреть здесь, как Tobac использовала эту технику, чтобы украсть данные репортера CNN.)
«Я полностью перевоплощаюсь в другую личность, когда взламываю телефон. Допустим, я пытаюсь взломать вашу учетную запись. Тогда я бы задала себе пару вопросов: какой у вас уровень доступа? Насколько чувствителен этот доступ? И кому вы должны доверять, чтобы выполнять свою работу? Люди, которым вы доверяете выполнять свою работу, — это люди, которыми я буду притворяться, когда буду вас взламывать».
Откуда хакеры получают информацию
«Я могу найти около 60% информации, необходимой для взлома человека, только в Instagram. Сюда входят посты, геолокации, комментарии и простые теги. Twitter и Facebook тоже очень полезны. Для обоих я использую расширенный поиск.
Я также буду использовать дорки Google, когда мы используем специальные операторы в поисковой системе, чтобы обнаруживать вещи, которые люди считают частными, но таковыми не являются. Специальный поисковый оператор может обнаружить конфиденциальный PDF-файл, предназначенный только для внутреннего использования, но я могу открыть его, потому что кое-кто (часто по незнанию) однажды слил его в PowerPoint, а теперь этот PowerPoint находится в открытом доступе в Интернете».
Все ли должны быть начеку на случай атаки социальной инженерии?
«Большая часть моей работы заключается в том, чтобы помогать людям стать вежливыми параноиками™. Насколько вы на виду? Вы политик? Вы президент? Вы в сенате? Те, кто находится в поле зрения общественности — например, знаменитости — должны быть чрезвычайно вежливыми параноиками в отношении того, что они публикуют или не публикуют. Для человека, который не находится на виду у публики, совершенно нормально разместить фотографию, на которой вы пьете мохито на пляже. Я бы просто посоветовала им не отмечать отель, в котором они остановились. Если они не отмечают отель, то я не знаю, кому позвонить, чтобы, притворившись ими, получить доступ к месту, где они остановились или их номеру».
Следующая большая угроза кибербезопасности
«Дезинформация, с которой мы все сталкиваемся, растет в социальных сетях. По мере того, как технологии развиваются и DeepFakes становятся сильнее и правдоподобнее, нам понадобится возможность программно находить, обнаруживать, маркировать и удалять этот тип контента, потому что он действительно может повлиять на общественное мнение».
Как хакер опережает угрозы кибербезопасности
«Хакеры и преступники работают синхронно. Например, я пробую совершенно новую хакерскую методику, а через две недели узнаю, что преступник попробовал точно то же самое, что и я, в каком-то дампе данных. С той скоростью, с которой мы пытаемся манипулировать и получать доступ к новым инструментам или пытаемся использовать методы захвата аккаунтов, мы идем ноздря в ноздрю, и, вероятно, так будет еще какое-то время».
Основные инструменты безопасности для компаний
«Наиболее важные инструменты, которые организация может развернуть для всех своих пользователей, — это многофакторная аутентификация (МФА) и менеджер паролей. Оба они важны для каждого сотрудника; без менеджера паролей мы увидим множество случаев повторного использования паролей, а без MФA злоумышленнику будет легче захватить учетную запись.
МФА должна быть обязательна, и если у вас есть пользователи, найдите способ побудить их добровольно включить их МФА. Чем больше число пользователей или клиентов вы сможете перевести на MФA, тем лучше. Мы хотим отказаться от SMS, хотя во многих случаях SMS лучше, чем ничего. По мере того, как вы становитесь более известным или более доступным в Интернете, вы захотите перейти к Google Authenticator, или Duo, или к какой-то токенизированной MФA, такой как YubiKey или Google Titan Key. Это то, что следует развернуть на бизнес-уровне.
Инструменты, помогающие людям удалять и управлять своей личностью в Интернете, действительно важны. Мне очень нравится инструмент DeleteMe от Abine. Это сервис, который удаляет вашу информацию с сайтов брокеров данных. Я рекомендую компаниям по возможности предоставлять такую услугу своим сотрудникам».
Распространенные ошибки
«Самая распространенная ошибка, которую совершают люди, — это повторное использование паролей, а не обновление компьютеров или браузеров. Очень важно не использовать пароли повторно, и мы знаем, что 52% людей это делают из-за опроса Google по онлайн-безопасности, проведенного в 2019 году. [Примечание редактора: это лишь одна из многих опубликованных статистических данных, некоторые из которых показывают, что 72% людей повторно используют пароли.] На самом деле это только те, кто признается в повторном использовании своих паролей. Но мы знаем, что их, вероятно, намного больше.
Другая распространенная ошибка связана со своевременным обновлением машин и программного обеспечения. С помощью обновлений программного обеспечения компании закрывают известные уязвимости. Одно из самых простых действий для меня — это найти известную уязвимость вашей машины, получить эту информацию от вас, а затем адаптировать мое вредоносное ПО для вашей машины».
Уловка для дополнительной защиты паролем
«Часто люди говорят мне: «Рэйчел, я слишком параноидален, чтобы использовать менеджер паролей, это все равно, что класть все яйца в одну корзину, поэтому я говорю им: использование менеджера паролей лучше, чем повторное использование ваших паролей, и, если вам нужен дополнительный специальный трюк, чтобы убедиться, что менеджер паролей безопасен, я рекомендую людям «солить» свои пароли. Это означает, что вы по-прежнему храните пароли в диспетчере паролей, но у вас также есть специальный небольшой код, о котором знаете только вы, и который не хранится в вашем диспетчере паролей.
Вы вводите этот код вручную в качестве пароля [после того, как он автоматически вводится вашим менеджером паролей]. Теперь злоумышленник должен будет чудесным образом взломать шифрование (что сейчас невозможно с вычислительной точки зрения), взломать ваш главный пароль, взломать вашу многофакторную аутентификацию для вашего диспетчера паролей. И, если он совершит все эти подвиги, — что опять же маловероятно из-за шифрования, но давайте гипотетически посмеемся — тогда он все равно не сможет использовать пароли в вашем диспетчере паролей, потому что у вас есть специальный код, который вы добавляете к тем паролям, о котором злоумышленник не знает».