Saya ingin Anda mengerti mengapa saya memulai pidato saya dengan slide khusus ini. Saya ingin mengatakan betapa sedikit yang Anda tahu jika Anda berpikir bahwa hal buruk selalu berarti dengki, benci, dan kebaikan selalu baik dan lembut. Saya ingin Anda mengingat gambar anak kucing ini ketika saya mulai memberi tahu Anda hal-hal yang sangat buruk.
Presentasi saya disebut "Curi segalanya, bunuh semua orang, menyebabkan kehancuran finansial total, atau bagaimana saya masuk dan berperilaku buruk!" hanya karena itu berbicara tentang kegagalan sistem keamanan.
Tulisan dalam gambar bersama anak-anak kucing itu berbunyi, ”Tentara Kegelapan. Lebih manis dari yang Anda harapkan. " Pada slide dengan nama presentasi ada piring dengan tulisan "Penjaga akan kembali dalam 5 menit".
Saya akan menjelaskan kepada Anda bahwa masalah keamanan fisik dan segala sesuatu yang terkait dengannya adalah titik terlemah kami, karena orang membedakan dua dimensi dengan tiga dimensi dan yang sederhana dengan yang sulit, ketika mereka mendekati pintu depan. Anda tahu, Jason I. Street memiliki lebih banyak surat setelah nama belakang, jadi izinkan saya memperkenalkan diri terlebih dahulu. Saya punya pekerjaan siang dan kerja malam. Pekerjaan hariannya adalah saya melayani sebagai wakil presiden keamanan informasi di perusahaan keuangan Stratagem 1 Solutions. Saya bekerja di sebuah bilik kantor, dikelilingi oleh banyak acara menarik. Saya menonton firewall, memantau sistem ID, saya membangun infrastruktur kami sendiri dan saya menemukan cara yang lebih kreatif untuk melindunginya dari orang-orang yang dapat "datang setelah kita", dan pekerjaan utama saya adalah "tim biru", yaitu, perlindungan.
Pekerjaan malam saya adalah bertindak sebagai CIO - direktur strategi informasi, dan sekitar 3 kali setahun saya melakukan pengujian penetrasi, ini adalah pekerjaan utama saya. Saya berbicara di acara serupa di seluruh dunia, saya menulis buku Dissecting the Hack: The F0rb1dd3n Network dalam genre detektif dokumenter, saya menulis artikel, dan saya melakukan semua ini di malam hari. Di sore hari saya bereaksi terhadap insiden, dan pada malam hari saya membuat insiden untuk orang lain, itu lebih nyaman bagi kedua belah pihak.
Saya suka melihat foto-foto ini. Dengan topi baseball dan kacamata hitam ini, saya berdiri selama satu jam di depan gedung fasilitas industri yang dilindungi pada hari Minggu, tanpa adanya lalu lintas lain, dan seorang penjaga berjalan melewati saya dua kali, yang bahkan tidak bertanya apa yang saya lakukan di trotoar dan mengapa saya memeriksa bangunan yang dijaga, dan Saya tidak merekam kejadian ini.
Di foto kedua, saya mengenakan kacamata, saya baru saja akan melamar pekerjaan, di sini saya mengenakan kemeja warna komunitas hacker BlackHat karena saya suka menggunakan "stiker peringatan". Saya tidak pernah mendapatkan pekerjaan ini karena saya tidak cukup memenuhi syarat, tetapi saya berhasil mendapatkan data mereka. Itulah kemenangan saya.
Pada slide berikutnya, Anda melihat dua foto lagi yang juga saya sukai.
Saya pikir kaos dengan tulisan itu adalah yang terbaik, karena di dalamnya saya hampir mencuri mobil. Saya berada di sebuah hotel di pantai dan tempat parkir memberi saya mobil, tetapi saya menjelaskan kepadanya bahwa saya tidak dapat mengambil mobil ini sekarang, dia bertanya mengapa, dan saya menjawab - karena saya akan mencurinya. Rupanya, dia membeli tulisan di kaus saya, "Saya adalah sumber masalah," dan memutuskan untuk memberi saya mobil orang lain. Butuh beberapa saat baginya untuk mengerti maksud saya, jadi saya harus mengatakan kepadanya: "Anda harus membawanya kembali karena pemiliknya mungkin membutuhkannya."
Kemeja berikutnya adalah favorit saya. Di salah satu situs paling dijaga yang pernah saya lihat dalam hidup saya, tepat di seberang Ground Zero, tingkat nol dari World Trade Center di Manhattan, pasukan SWAT melewati aula menuju lift utama, yang dijaga oleh 8 penjaga, K9 ini dengan senapan mesin mereka, dan saya sedang di di lantai atas saya pergi ke diri saya sendiri seperti itu di kemeja dengan lencana "Geek perusahaan Anda". Ya, saya paling suka foto ini, dan nanti saya akan bercerita lebih banyak tentang kisah ini.
Saya memiliki CISSP (sertifikat keamanan informasi dari organisasi nirlaba Konsorsium Sertifikasi Sistem Informasi Keamanan Internasional), dan saya pikir menurut kode etik saya harus menyebutkan bahwa dalam presentasi saya, saya menggunakan kutipan dari risalah “The Art of War” oleh Sun Tzu, seorang ahli strategi dan pemikir abad V.
Jadi, presentasi saya terdiri dari bagian-bagian berikut:
Entri;
Fakta adalah salah satu fakta yang akan kita temui ketika membahas topik ini;
Aturan - 2 aturan yang saya buat saat melakukan pekerjaan saya;
Hasil - kami akan memiliki sebanyak 3 hasil yang timbul dari 2 aturan ini;
Kesimpulan dan / atau diskusi.
Jadi mengapa tepatnya topik ini? Saya berbicara tentang hal ini tahun lalu di konferensi CHARGE 36, saya berbicara tentang awal rekayasa sosial, tentang hal-hal yang dapat Anda lakukan untuk mencoba masuk ke gedung yang dijaga. Ini adalah bagian pertama dan, sejujurnya, saya mendapat umpan balik setelah itu, dan saya didekati dengan segala macam pertanyaan sulit.
Tapi saya bukan ahli di bidang rekayasa sosial, saya tidak tahu apa-apa tentang pemrograman neuro-linguistik (NLP), saya tidak tahu metode pengenalan wajah atau teknologi ninja. Namun, saya 100% berhasil menembus bangunan, saya hanya masuk ke sana ketika saya menggunakan keterampilan teknik sosial yang sama ini. Tapi percayalah, saya tidak kuat di dalamnya, hanya keamanan modern kita.
Saya pikir Anda tidak akan belajar sesuatu yang baru dari saya, jadi ini lebih merupakan kuliah pendidikan yang akan menunjukkan kepada Anda awal dari jalan, tetapi saya berharap bahwa setelah itu Anda akan mengingat sesuatu yang akan memaksa Anda untuk melihat-lihat dan melihat segar pada hal-hal yang terasa akrab bagi Anda , dan tingkatkan persepsi Anda terhadap lingkungan.
Tapi sekarang saya tidak akan berbicara tentang rekayasa sosial, jadi ini semua kerusakan yang bisa saya lakukan setelah penjaga keamanan Anda mengizinkan saya melewati pintu depan.
Jadi, fakta nomor 1: Saya masuk! Saya mengambil foto ini segera setelah saya membuka pintu dan pergi ke aula. Saya melihat pintu untuk staf, ini adalah pintu ke area yang dijaga, dan saya hanya melewatinya dengan menekan tombol 1-3-5.
Saya bisa menekan 5-3-1, atau 3-1-5, itu tidak masalah, saya tetap akan membukanya, karena saya menekan tombol yang permukaannya sering dihapus lebih sering daripada yang lain. Saya kembali dari sana 10 menit sebelum dimulainya pertemuan kami, dan tidak ada yang tahu bahwa saya ada di sana.
Kejadian lucu lainnya adalah ketika saya pergi untuk mendapatkan pekerjaan lain. Saya memutuskan untuk menjadi orang jahat, dan ketika saya menandatangani di resepsi, saya mencuri pena dari mereka. Lalu saya bertanya di mana mereka punya toilet. Ini bukan karena saya minum terlalu banyak diet Coke, saya hanya "tersesat" di gedung-gedung besar ini dan bisa berkeliaran berjam-jam mencari toilet ini, sambil memeriksa seluruh bangunan.
Mencari toilet, tiba-tiba saya menemukan bagian yang dijaga dari wilayah kerja dan menemukan pintu masuk untuk staf. Itu tampak seperti penjaga fasilitas ini memamerkan sistem keamanan jutaan dolar mereka, tetapi ketika saya melihat ke pintu, saya melihat sesuatu yang kecil, engsel yang memegang kait pintu. Jika saya memiliki kondom, saya akan menyesuaikannya agar pintu tidak tertutup. Dan kemudian saya ingat tentang pegangan yang dicuri, membuka tutupnya dan meletakkannya di engsel ini, dan pintu tidak patah. Ketika saya kembali ke sana 20 menit setelah berjalan melalui zona "terbatas", tutupnya masih ada. Tidak ada yang tahu bahwa saya berada di fasilitas yang dijaga, dan itu menyenangkan!
Jadi, saya bukan tukang kunci dari kategori tertinggi, dan saya tidak perlu menjadi tukang kunci agar orang membiarkan saya melalui pintu depan. Saya tidak perlu menjadi pembuat kode ninja super hanya untuk mencuri hard drive data dari komputer Anda. Video ini menunjukkan keterampilan saya sebagai cracker utama dan kunci master unik - sampul folder kardus. Saya cukup memasukkan selembar kardus di antara daun pintu yang tertutup, memberikannya dari bawah ke atas, dan pintu-pintu itu terbuka dengan "kunci" sederhana.
Lebih jauh pada slide, "kunci" lain ditampilkan - email palsu yang saya tempatkan di iPad saya. Jika Anda hanya mencetaknya, itu akan terlihat palsu, mereka akan memberi tahu Anda: "Anda baru saja mencetaknya sendiri!", Tetapi ketika mereka melihatnya di tablet dengan hyperlink biru ini, mereka berkata: "Oh, ini ajaib, itu pasti benar!"
Saya harus pergi ke fasilitas yang dijaga di New York karena administrator jaringan memperhatikan bahwa banyak lalu lintas jaringan berasal dari komputer dari wakil direktur keuangan perusahaan. Oleh karena itu, spesialis jaringan yang keren, seperti saya, harus sampai ke objek ini dan mencari tahu apa yang terjadi dengan jaringan. Begitulah legenda, dan saya menghabiskan 2 jam di Google Documents menulis surat ini. Jadi, dikatakan di sini bahwa pemilik baru perusahaan ini sangat kesal dengan peristiwa menyedihkan ini dan beralih ke perusahaan lain dengan permintaan agar dia mengirim spesialis jaringan terbaiknya, yaitu, saya, untuk memeriksa server utama mereka. Nah, surat kedua ditujukan kepada saya secara pribadi, seolah-olah dari direktur keamanan informasi perusahaan kedua, dan dia menulis bahwa saya harus melepaskan semua bisnis saya dan tiba di sana besok. Dan saya harus melakukan pekerjaan itu "luar biasa", karena "banyak mata" melihat proyek ini. Secara umum, saya membuatnya terdengar mendesak dan politis, sehingga tidak ada yang terkejut dengan kedatangan saya. Saya menunjukkan surat ini kepada "orang jaringan", dia membawa saya ke kantor, kami berbicara dengan direktur keamanan informasi selama 10 menit. Dan kemudian orang ini menemani saya di semua desktop dengan komputer, tetapi saya dapat dengan bebas memasukkan flash drive saya ke mana pun saya mau dan melakukan apa pun yang saya inginkan. Jadi saya sangat menyukai surat ini.
Jadi, saya tidak peduli dengan kartu kredit Anda, saya tidak peduli tentang hukum Sarbanes-Oxley, tentang ISO, bahwa Leicester punya Linux, saya hanya ingin bercinta dengan Anda, merusak suasana hati Anda dengan cara terburuk, saya ingin menjadi yang terburuk yang mungkin itu akan terjadi pada Anda pada saat terburuk. Ingat anak-anak kucing?
Jadi ini adalah 2 aturan saya yang saya ambil dari film Serenity: "Saya ingin mengacaukan" dan "Mari menjadi orang jahat."
Ini seperti tim merah melawan yang biru, jadi jangan tersinggung jika saya memukul Anda di bawah pinggang. Ini seperti para bankir yang diculik dan disandera oleh seluruh keluarga mereka sampai pintu bank dibuka untuk para perampok. Itu tidak lucu, itu benar-benar masih terjadi. Ini adalah salah satu hal yang orang katakan bahwa tidak ada yang baru di dalamnya. Konsep apa yang kami lakukan diambil dari film “Sneakers” 1992. Seolah-olah orang-orang mempekerjakan Anda sehingga Anda masuk ke beberapa tempat untuk memastikan bahwa tidak ada yang bisa meretas mereka.
Sekarang sudah lebih baik dengan bisnis ini, tetapi tetap saja, konsepnya dipertahankan, ini bukan hal baru, dan ada orang yang memahami ini lebih baik daripada saya.
Hal lain yang perlu kita pahami adalah bahwa manajemen adalah respons, bukan peringatan. Saya akan mengutip Dan Erwin, seorang petugas keamanan di Dow Chemical pada tahun 2008, mengatakan: "Cara terbaik untuk mendapatkan perhatian manajemen pada rencana bencana adalah dengan membakar sebuah gedung di seberang jalan."
Salam kepada semua yang hadir - saya adalah api ini! Dan sekarang kita akan beralih ke bagian yang menyenangkan dari presentasi, di mana saya akan berbicara tentang beberapa cara untuk menyalakan lampu seperti itu.
Tulisan pada demotivator: "Simpletons. Bahkan bebek tahu bagaimana mengenalinya! ”Slide di bawah ini menggambarkan apa yang saya sebut "gunakan fakta buruk" karena saya mencuri telepon ini, saya "memperkosa" laptop ini, dan 30 laptop di kantor ini tidak memiliki kabel anti-pencurian, karena manajemen percaya bahwa mereka " dilindungi. " Ketika saya tiba di sana, mereka hanya melengkapi laptop dengan kabel anti-pencurian, dan seorang lelaki meninggalkan laptopnya di atas meja bersama dengan kabel dan obeng, mungkin agar pencuri akan melepaskan kabel jika terhubung ke laptop. Tetapi karena saya lapar, saya hanya mencuri kue dari mejanya.
Anda tahu, orang-orang berpikir bahwa keamanan seharusnya tidak begitu menyeluruh sehingga mereka menggunakan kabel pencurian untuk melindungi laptop mereka. Karena Anda harus menempelkannya ke meja, dan ini sulit, Anda perlu membungkuk, jadi mari kita letakkan kabel ini di atas meja, karena tidak ada yang akan menariknya. Dan Anda tahu bahwa sebagian besar penjaga keamanan tidak benar-benar mencoba menarik kabel ini untuk memeriksa, tetapi saya bukan penjaga keamanan, saya seorang pencuri, saya akan menariknya untuk mencoba mencuri laptop.
Beberapa orang menggunakan kunci kode, tetapi saya yakinkan Anda bahwa jika kode ini 0-0-0-0, saya akan mencoba mengetiknya, jika 1-1-1-1, saya akan mencoba juga, dan mencoba memutar nomor 9-9- 9-9. Dan jika Anda sangat cerdik sehingga Anda mengetik 0-0-0-7-7, karena orang-orang seperti Anda hanya suka memindahkan roda terakhir atau hanya roda pertama, saya akan mencoba opsi ini dan masih membuka kastil.
Saya akan menggeledah semua laci di meja Anda dan semua loker, dan saya akan mencari semua hal di sana. Seorang kolega yang baik dan jujur tidak akan melihat meja orang lain apa yang ada di sana, tapi aku tidak seperti itu. Pada slide ke kanan, Anda melihat laptop seorang pria, ia memperbaiki laptop itu dengan benar, dan berpikir bahwa sekarang ia memiliki kabel yang begitu cemerlang, laptopnya dilindungi dari pencurian. Tetapi kemudian dia meletakkan kunci-kunci itu di laci atas mejanya dan mencoret semua keamanan.
Slide berikutnya menunjukkan mengapa saya mencuri iPod retro ini, kunci mobil ini dan SIM. Karena mereka berbohong tanpa pengawasan.
Sekarang bayangkan saya mengambil kuncinya, pergi ke tempat parkir, membuka mobil, dan kemudian saya akan meletakkan kuncinya. Dan setelah bekerja, aku akan menunggunya di kursi belakang mobil dengan pistol di tangannya. Dari SIM, saya akan mencari tahu alamat rumahnya, dan saya bisa mengirim orang yang akan membunuh keluarganya jika dia tidak kembali bekerja dan mencuri data yang diperlukan untuk saya.
Pekerja harus tahu bahwa barang-barang pribadi mereka hanya milik mereka, tetapi pencurian mereka dapat menyebabkan pukulan serius tidak hanya bagi mereka, tetapi juga bagi perusahaan tempat mereka bekerja. Karena itu, mereka sendiri harus memastikan keamanan barang-barang mereka. Mari kita ingat anak kucing imut dari slide pertama.
Lihatlah slide berikutnya, tahukah Anda mengapa ada begitu banyak emotikon sedih? Karena ini adalah "permainan selesai" bagi pemilik dompet ini - ada buku cek kosong, kartu kredit, kartu identitas, dan kartu asuransi sosial dengan tanda tangan pemilik di sini.
Ketika saya akan mencuri mobil pertama saya, terlalu banyak orang yang berputar di sana, dan kemudian saya tiba di 2 pagi dan membuka tiga Mercedes-Benz dan satu Beamer dan butuh waktu kurang dari 60 detik, seperti dalam film dengan Nicholas Kandang. Anda seharusnya melihat manajer keamanan ketika saya datang kepadanya dan melemparkan 4 kunci ke mobil-mobil ini di atas meja - ekspresi wajahnya hanya tak terlukiskan.
Ngomong-ngomong, saya memasukkan slide ini ke presentasi - gambar desktop di rumah saya.
Oleh karena itu, saya ingin agar karyawan mengambil tindakan pencegahan terhadap pencurian, sehingga mereka mengunci kotak di tempat kerja, bahkan jika mereka meninggalkan tempat kerja untuk waktu yang singkat, tidak meninggalkan dompet, kartu kredit, memeriksa buku di atas meja, memastikan keamanan properti mereka di tempat kerja dan di rumah, keselamatan mereka mobil. Saya ingin mereka mengerti bahwa dilarang bagi dua orang untuk melewati “pass” sepanjang satu pass dan menjelaskan kepada yang lain bahwa ini mengancam keamanan mereka sendiri. Anda tidak dapat memberikan sertifikat yang dikeluarkan oleh perusahaan kepada siapa pun, Anda tidak dapat meninggalkan komputer, laptop, dan ponsel cerdas Anda tanpa pengawasan. Terakhir, jika Anda melihat orang yang mencurigakan, atau seseorang yang tidak boleh berada di dalam atau di luar gedung, segera beri tahu petugas keamanan atau polisi.
Apakah Anda tahu apa yang saya lakukan sekali? Saya muncul di salib kursi roda dengan 4 buku di tangan saya. "Jason, tolol!" Dan saya semua suka itu - ya, saya mencoba merampok Anda, apakah Anda benar-benar berpikir bahwa saya khawatir dengan posisi saya yang kurang beruntung, karena saya seharusnya tidak berada di kereta dorong ini? Saya jahat, saya benar-benar akan melakukan INI, dan Anda membiarkan saya di dalam objek yang dilindungi dengan 4 buku ini.
Saya ingin mencatat bahwa Anda sendiri tidak perlu mendorong orang cacat keluar dari pintu, atau membuka pintu di depannya jika Anda malu atau takut untuk menghinanya. Tetapi jika Anda melihat sesuatu yang mencurigakan - katakan demikian. Ingatlah bahwa setiap karyawan adalah bagian dari sistem keamanan perusahaan. Jika Anda berpikir ada sesuatu yang mencurigakan, jangan ragu untuk memberi tahu penjaga tentang hal ini, itu adalah tugas mereka untuk memeriksa semua pengunjung yang mencurigakan.
Jadi, kami menemukan apa artinya "mencuri segalanya", jadi sekarang kita akan berbicara tentang "bunuh semua orang."
Slide ini menunjukkan foto yang diambil pada 2-30 Minggu malam di area kerja lantai dasar hotel, saya pergi ke sana dengan piyama dan tanpa alas kaki, karena saya melepas semua pakaian saya di kamar mandi ruang tamu, dan saya pikir apa yang bisa saya lakukan di sini dan ternyata saya bisa melakukan banyak hal. Saya pergi ke ruangan dengan peralatan mekanik dan melihat bahwa tidak ada pemutus sirkuit yang memiliki kunci.
Bayangkan bahwa saya memiliki sesuatu seperti OBS, gangguan obsesif-kompulsif, saya gila, dan jika saklar ini dimatikan, saya akan menyalakannya, jika mereka menyala, saya akan mematikannya, jika ada tombol merah, maka saya akan menekannya dua kali, tetapi saya akan menekannya dua kali, tetapi jangan berpikir aku benar-benar tolol. Jika ada bahan kimia beracun di sana, mereka akan menyala, dan asapnya akan masuk ke ventilasi, dan alarm kebakaran bisa padam. , , , , .
, , – , . , , 2-30 ! ! , .
, , . , , .
, . , , , .
, . - , . , , . . . : «, »!
: « «» «-47», -4, , , . , ». , .
, , . . , : «!», , . , , , , , .
, , . , 2 , . : « ?», : «!», . , , . , , , . , , , . . , , – WI-Fi , , iPad , .
: , , . :
- ;
- , ;
- , / , , / , ;
- , , ;
- ;
- , , , , , .
Ajari orang Anda untuk memahami satu kata apa yang terjadi di tempat kerja, ajari mereka kata kode ini. Saya selalu memberi tahu orang-orang bahwa kode “Ya Tuhan, dia punya pistol, kita semua akan mati!” Bukan kode terbaik jika terjadi bahaya. Saya menyarankan mereka untuk menggunakan kata Periwinkle (periwinkle) dalam kombinasi ini: “Di mana Pak Periwinkle? Mr. Perewinkle dipanggil! ” dan sejenisnya. Saya berharap bahwa suatu hari nanti mereka akan membuat Periwinkle Institute, karena itu adalah kata yang sangat lucu.
Periksa keamanan peralatan Anda dan orang-orang Anda secara konstan. Ketika saya berjalan di atas satu benda selama satu jam, saya perhatikan sebuah pintu yang bisa saya buka dengan mudah. Tepat di atasnya ada sebuah kamera, dan dua kamera lagi di tempat parkir, tidak disetel dengan baik. Dan Anda bisa melewati mereka secara diagonal, dan tidak ada yang akan memperhatikan Anda, terutama jika Anda akan mengubah sudut kamera tunggal ini di atas pintu. Saya mulai membicarakan hal ini dengan kepala dinas keamanan, dia melambaikan tangannya, mengatakan bahwa ini omong kosong, dan mengundang saya ke kantornya. Tidak ada keamanan, dia menunjukkan layar komputer dan monitor, semuanya dimatikan. Dia menyalakannya, dan satu kamera tidak berfungsi - tepatnya kamera di atas pintu, yang sendirian memberikan pengamatan yang kompeten. Saya menatap matanya dan berkata: "Ini tidak serius!". Saya pikir itu bukan satu-satunya yang bisa memverifikasi ini, karena sekarang orang ini sudah menjadi mantan kepala Dewan Keamanan.
Sekarang mari kita beralih ke bagian ketiga dari presentasi - keruntuhan keuangan lengkap, dan mulai dengan spionase. Lihatlah emotikon yang mengerutkan kening pada slide - ini berarti bahwa semuanya buruk.
Apakah kamu tahu mengapa? Karena saya seorang pencinta lingkungan! Apakah Anda tahu berapa banyak pohon miskin mati sia-sia setiap hari untuk cetakan yang Anda tinggalkan di dekat printer Anda? Jadi ketahuilah bahwa mereka tidak mati sia-sia, karena ketika saya datang, saya akan mengambil semuanya. Saya akan membebaskan pohon-pohon ini! Saya akan mengambil cetakan Anda dan membawanya, hanya untuk memastikan bahwa Anda tidak lupa tentang pohon-pohon miskin.
Anda tahu mengapa ini sangat menyedihkan - karena orang-orang ini masih menggunakan mesin untuk menghancurkan kertas data sensitif. Namun, semua yang harus dicacah, melewati mesin penghancur, kami akan masukkan ke dalam ember biru besar ini untuk saat ini.
Ini semua informasi rahasia, dan demikian pula di Distrik Columbia, dan di lembaga keuangan, dan di Departemen Pertahanan, di semua kantor yang diamankan ini, yang bahkan tidak bisa masuk ke petugas kebersihan, karena ada data rahasia. Dan tahukah Anda apa yang dilakukan karyawan? Di malam hari, mereka hanya mengambil ember kertas biru ini dan meletakkannya di luar pintu! Ini benar-benar mengerikan, yaitu, saya ingin mengatakan, mengerikan untuk orang jahat seperti saya. Mari kita lanjutkan.
Jika penyerang tidak tahu di mana flash drive server pertukaran Anda berada, tinggalkan saja flash drive USB di port USB yang diinginkan. Ini akan menunjukkan tempat Anda mengunduh informasi rahasia. Bagaimana dengan server keuangan Anda, di mana semua akun? Ke 25 karyawan yang menerima gaji mereka di sana percaya bahwa tidak ada yang salah dengan menempelkan selembar kertas dengan kata AKUNTANSI di salah satu komputer. Agar penjahat tidak membuang waktu mencari server ini, tetapi segera memasukkan USB flash drive jika perlu.
Jika Anda ingin mengatur penyadapan, Anda tidak perlu mencari sesuatu yang spesial - cukup buka kabel yang berantakan ini dan gunakan kabel yang Anda butuhkan.
Apakah Anda tahu betapa sulitnya mencuri atau memalsukan kata sandi? Anda perlu memahami Linux, untuk menjadi ahli teknis, ini bukan tentang saya. Karena itu, saya hanya pergi ke meja ini dan membaca kata sandi pada stiker.
Saya biasanya menghapus stiker kata sandi dan membiarkan klipnya kosong untuk membuat mereka berpikir sedikit.
Dan gambar di slide atas ini adalah salah satu favorit saya. Ini adalah kantor laboratorium farmasi yang melakukan penelitian biokimia. Ini adalah hal-hal yang kompleks, jadi mari kita akhiri ilmu roket dan menulis kata sandi yang lebih sederhana. Dan mereka mencoret kata sandi alfanumerik khusus, yang cukup rumit, dan menggantinya dengan kata Selamat Datang. Memang, selamat datang di komputer saya!
Ada hal yang lebih buruk daripada melihat saya di piyama Pepsi - melihat saya dalam setelan formal, karena itu memberi saya kesempatan untuk melakukan hal-hal yang sangat mengerikan. Karena jika saya dalam setelan ini, maka saya ingin "melempar Anda".
Di sebelahnya, pakaian favorit saya adalah rompi, yang saya sebut Wasted Doom, "Sense of Doom," karena saya pikir itu terdengar keren.
Pada slide ini Anda melihat "mainan" saya, saya membicarakannya tahun lalu, dan sekarang saya sudah memiliki versi rompi Wasted Doom 2.0. Saya menggunakan pena ini dengan kamera video dan USB, saya tidak meninggalkannya di saku saya, tetapi menaruhnya di gelas kecil Anda untuk pensil dan pergi, dan kamera video built-in merekam semua login, kata sandi, dan percakapan Anda.
Saya memiliki senter kecil yang luar biasa - kamera video dengan memori 8 GB dan USB, jadi saya dapat mencuri data Anda dengannya, selain itu, perekam video juga ada di jam tangan saya. Dengan perangkat ini, saya dapat melakukan apa pun yang saya inginkan. Mereka diberikan kepada saya oleh agen 3 huruf yang berlokasi di Distrik Columbia, dan satu-satunya syarat untuk menggunakan peralatan ini yang menghabiskan miliaran dolar untuk membangun adalah kewajiban saya untuk tidak pernah membicarakannya di depan umum.
Perangkat lain yang saya kenakan di rompi saya terlihat seperti flash drive USB biasa. Ini adalah Spy Keylogger, atau keylogger yang dapat mencegat dan merekam semua manipulasi dengan keyboard komputer. Ini tidak terdeteksi oleh antivirus apa pun, sangat sulit untuk mendeteksi secara visual dan cukup memasukkannya ke slot gratis - ada 2 versi, untuk USB atau konektor keyboard PS2. Ini merekam semua yang Anda ketik di keyboard. Saya menemukannya di situs web Think Geek.
Situs berikut menunjukkan Matriks Risiko.
Sumbu vertikal adalah sumbu probabilitas risiko saat menggunakan spyware yang tersedia untuk pembelian di situs web Think Geek, dan horizontal adalah intensitas atau tingkat paparan. Tingkat risiko yang rendah ditunjukkan dalam warna hijau, sedang kuning, dan merah menunjukkan bencana total. Jadi, mencegat penekanan tombol pada keyboard komputer CEO, atau chief executive officer, mengarah pada konsekuensi semacam itu.
Diyakini bahwa ada sekelompok orang yang sangat terbatas yang memiliki akses ke semua teknologi mata-mata yang ditampilkan di sini. Namun, bayangkan, ternyata, siapa pun dapat membelinya - selebaran iklan ini menunjukkan banyak perangkat untuk spionase kantor. Apakah Anda pikir hanya peretas yang dapat mencuri data? Sama sekali tidak perlu!
Jika saya benar-benar membenci bos saya, saya benci pekerjaan saya, saya ingin mencuri sejumlah besar rahasia perusahaan, apa yang akan saya lakukan? Saya akan memanfaatkan selebaran ini, yang dilemparkan ke kotak surat saya, dan melihat bahwa saya dapat menggunakan interseptor keyboard ini untuk mencuri informasi dari komputer bos, saya menggunakan perekam video untuk merekam rahasia dan perekam audio untuk merekam percakapan dan rapat rahasia. Itu tidak sulit. Saya selalu mengatakan - mudah dilakukan jika Anda bisa melakukannya sendiri! Orang-orang melindungi diri mereka dari ancaman serius yang datang dari luar, tetapi tidak memperhitungkan risiko yang terkait dengan ancaman di dalam perusahaan itu sendiri.
Slide berikut menunjukkan koneksi adapter untuk Pony Express di cabang salah satu bank di pantai barat. Saya memiliki 4 cabang, 4 upaya, 4 keberhasilan. Setelah usaha ke-4, mereka akhirnya menyuruh saya untuk berhenti. Alasan mengapa saya dapat melakukan ini, mengapa saya dapat dengan bebas memasuki cabang-cabang ini, adalah sebagai berikut.
Saya datang kepada mereka mengenakan jaket DEFCON biru, saya mengenakan pakaian kerja, dia mengenakan garis peringatan, dan saya mengatakan kepada mereka bahwa mereka telah mengirim saya dari kantor utama. Saya mengatakan bahwa kami mengalami penurunan tegangan di jaringan, dan saya perlu memeriksa apakah ini memengaruhi operasi yang Anda lakukan, jadi colokkan perangkat ini ke jaringan Anda sehingga Anda dapat membaca dan mengirimkannya ke kantor utama sehingga mereka mengerti apa yang sedang terjadi Dan omong-omong, saya harus masuk dan memastikan bahwa semua komputer bekerja dengan benar, mereka tidak terpengaruh oleh lonjakan daya dan bahwa UPS berada dalam kondisi normal.
Saya memiliki nama palsu, perusahaan pemasok peralatan palsu, nomor telepon perusahaan palsu, tetapi saya lolos begitu saja. Jika saya menyerbu mereka dengan topeng dengan senapan di tangan mereka, mereka akan tahu bagaimana harus bertindak, mereka diajari ini. Tapi mereka tidak menyediakan opsi untuk orang gila seperti saya. Mereka membimbingku melewati area checkout, melewati ruang belakang, melewati brankas uang, melewati brankas besar. Bayangkan betapa banyak kerusakan yang bisa saya lakukan pada mereka! Tapi yang saya lakukan hanyalah mencolokkan adaptor Pony Express kecil saya. Di sebelah kanan pada slide Anda melihat UPS tempat saya terhubung, untuk ini saya harus meminta manajer untuk bangun dari mejanya.
Karena itu, saya ingin memberi tahu Anda tentang penanggulangan terhadap spionase internal:
- Karena sebagian besar informasi disimpan di atas kertas, perusahaan harus memusnahkan semua dokumen di shredder sebelum membuangnya.
- Jangan mencetak informasi penting secara tidak perlu. Setelah mencetak, letakkan di dalam amplop yang aman atau letakkan di tempat yang tidak dapat diakses oleh pihak ketiga.
- Informasi yang diletakkan dengan bebas di atas meja dapat disalin, difoto atau dicuri.
- Simpan semua dokumen penting di lemari yang terkunci. Kunci kabinet saat Anda tidak menggunakannya.
- Perusahaan harus berinvestasi dalam teknologi yang mencegah penyalinan informasi rahasia yang sensitif.
- Perusahaan dapat membuat kontrol akses untuk perangkat lunak yang menunjukkan orang yang berwenang yang diizinkan untuk mencetak halaman tertentu dari dokumen tertentu. Ini akan mencegah kelalaian dalam mencetak dokumen, membuat perusahaan menghadapi risiko yang tidak perlu.
- Enkripsi cetak adalah metode lain untuk melindungi informasi rahasia perusahaan. Ketika dokumen dicetak, informasi rahasia disembunyikan di bidang khusus tempat enkripsi dilakukan. Informasi terenkripsi hanya dapat dilihat oleh orang yang berwenang untuk melihat informasi tersebut.
Pertama-tama, Anda perlu mengajari karyawan Anda untuk tidak mengklik tautan phising di email, untuk tidak pergi ke situs jahat, tidak untuk mengatakan bahwa pengguna bodoh ini pergi ke sana, bukan untuk menyebut mereka bodoh, tetapi untuk mengajarkan bahwa Anda tidak bisa melakukan ini. Itu sama dengan mempekerjakan seorang karyawan yang tidak memiliki SIM, dan kemudian saya memberinya kunci mobil dan berkata: "Ayo, bawa Bentley saya ke sini!" Dia pergi dan menabrak mobil. Tapi si idiot bukanlah orang yang mengemudikan mobil, tetapi orang yang memberinya kunci-kunci ini! Jika Anda memberikan teknologi kepada karyawan, Anda harus mengajari mereka cara menggunakannya. Anda harus mengajari karyawan Anda untuk memahami apa yang akan mereka lakukan. Anda harus memperkuat karyawan Anda. Ketika saya mengatakan "memperkuat," saya tidak bermaksud serikat pekerja, atau bahwa mereka harus dipersenjatai dengan kelelawar bisbol, meskipun itu akan menyenangkan.
Karyawan Anda perlu tahu bahwa mereka adalah bagian dari tim keamanan perusahaan Anda, mulai dari CEO hingga kurir, sehingga mereka mengerti seberapa besar tergantung pada mereka. Mereka harus tahu bahwa keselamatan adalah pekerjaan dan tugas mereka, bahwa keselamatan diperlukan dari mereka.
Saya memiliki seorang pria di kantor yang setiap minggu mengirimi saya 15 surat dari suratnya, yang dia anggap sebagai phishing atau hanya aneh, sehingga saya memeriksa malware. Dan setiap kali saya mengatakan kepadanya “indah, terima kasih”, karena huruf ke-16 bisa sangat berbahaya dan tidak akan menjadi alarm palsu. Penting untuk memastikan bahwa orang memperhatikan bahwa seseorang tanpa ikon ada di tempat yang salah, dan hentikan dia dan tanyakan apa yang dia lakukan di sini. Anda perlu memberi tahu orang-orang bahwa mereka melakukan hal yang benar. Agar ini dapat menciptakan persaingan, bagi karyawan untuk mengatakan: "Suzanne sialan ini selalu mendapat pujian karena dia melakukan hal-hal seperti itu!", Yang berarti bahwa yang lain harus melakukan hal yang sama, mereka harus menangkap mereka yang tidak memiliki lencana. Ini tidak berarti bahwa mereka harus menghentikan seseorang dengan paksa, karena ini ada perlindungan.
Anda memiliki potensi manusia yang luar biasa untuk keamanan, jadi pelajari saja cara menggunakannya dengan benar! Dan segera setelah Anda berhenti mengatakan "pengguna bodoh" dan mulai mengatakan "kolega saya di departemen keamanan informasi," Anda akan menang!
Terima kasih telah tinggal bersama kami. Apakah Anda suka artikel kami? Ingin melihat materi yang lebih menarik? Dukung kami dengan melakukan pemesanan atau merekomendasikannya kepada teman-teman Anda,
diskon 30% untuk pengguna Habr pada analog unik dari server entry-level yang kami temukan untuk Anda: Seluruh kebenaran tentang VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps dari $ 20 atau bagaimana membagi server? (opsi tersedia dengan RAID1 dan RAID10, hingga 24 core dan hingga 40GB DDR4).
Dell R730xd 2 kali lebih murah? Hanya kami yang memiliki
2 x Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TV dari $ 249 di Belanda dan Amerika Serikat! Baca tentang
Cara Membangun Infrastruktur Bldg. kelas menggunakan server Dell R730xd E5-2650 v4 seharga 9.000 euro untuk satu sen?