Добрый день!
Самым популярным способом обмена корпоративной информацией на сегодняшний день остается электронная почта. Именно там работники отправляют скан-копии документов, проекты на согласования, приглашают на встречи, информируют о событиях и т.д. Иногда переписку по электронной почте приравнивают к официальной переписке между организациями на уровне писем от первых лиц. Поэтому этот канал передачи информации является объектом пристального внимания со стороны представителей отделов/служб ИБ (они следят за утечкой конфиденциальной информации) и экономического блока безопасности (они следят за перепиской, ищут откаты, сговоры, поиски новой работы, подделку документов и т.д.)
Немного о теории. Вы наверняка замечали что ваша почта не доходит сразу до контрагентов и/или же злые дяди из службы безобразности интересуются той или иной вашей отправкой спустя какое-то время, особенно если вы отправляете какие либо персональные данные без использования принятых мер защиты. Эти обстоятельства говорят о том, что в вашей организации установлена какая либо так называемая DLP-система. Не вдаваясь в технические подробности приведу информацию из вики :
Система предотвращение утечек (англ. Data Leak Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется или проходит но оставляет метку.
А вообще грубо говоря это средство слежения за действиями сотрудников и основная цель ее – “найти то , что запрещено”. Законно ли это поговорим в следующей статье. А принцип работы системы можно сравнить с фильтром, то есть вы отправили письмо, и если оно попало в фильтр по критериям и, в зависимости от настроек системы, заблокировалось или ушло получателю, но при этом уведомив товарищей безопасников.
Давайте посмотрим как можно определить установлена ли одна из таких систем у Вас в организации. Для того чтобы узнать установлена ли у Вас в организации такая система слежения в первую очередь можно посмотреть заключенные договора на покупку или сопровождение таких систем. Среди них ищем самые популярные компании разработчики:
Infowatch
Searchinform
Solar Security
Zecurion
DeviceLock
Инфосистемы джет
Symantec
и менее популярные:
Если же и эти способы не помогают, то понять что за вами следят можно уточнив у получателя по телефону – долго ли к ним поступают письма (только в случае блокировки письма до отправки), а можно спросить у друзей-айтишников установлена ли система контроля почтовых сообщений в организации. Можно еще конечно попытаться найти запущенные процессы на вашем компьютере, т.к. агенты системы (компоненты системы) слежения устанавливаются персонально на все АРМ’ы работников, но дело в том, что эти процессы умело скрываются под стандартные процессы MS Windows и без должного уровня знаний определить процесс запущенный агентом будет довольно сложно.
Теперь давайте рассмотрим каким образом, мы сможем обойти эту систему. Помните, что реализация приемов из статьи зависит от конкретных настроек DLP и возможна к реализации только путем проб и ошибок. Так что на своей страх и риск.
Самое главное не пытайтесь обойти системы, попытавшись сделать шрифт документа белым или пытаясь скрыть листы и сроки в документах MS Exel, все это сразу увидят товарищи чекисты!
Итак, наша задача передать информацию в виде файлов или текста по электронной почте, зная, что в организации развернута и функционирует DLP- система. Конечно многие из Вас скажут зачем такие сложности – “я могу сфотографировать содержимое экрана на телефон и дело с концом”, но где-то телефонами запрещено пользоваться, а где-то коллеги недобро посмотрят на это (особенно в офисах типа “опен-спейс”) , а иной раз и сообщат куда следует, иногда же необходим именно документ в редактируемом формате, а не его фотография на мобильном телефоне, в общем-то вариантов много. Итак давайте приведем примеры передачи такой информации:
1. Отправка после окончания рабочего дня.
Самое простое и банальное, что может получится это просто отправить Ваше письмо на нужный адрес электронной почты после окончания рабочего дня. Данный метод успешен в случае, если система настроена на перехват почтовых сообщений, например, с 9-00 до 18-00 по рабочим дням и их блокировку в указанное время. Это связано с тем, что товарищи безопасники, которые смогут в случае чего разблокировать застрявшее письмо также как и Вы работают по трудовому договору те же часы, что и Вы, поэтому после окончания рабочего дня они отключают систему или она останавливается автоматически. Вы можете проверить актуальна ли эта настройка отправив пару безобидных сообщений после 18-00 и посмотреть дойдут ли сразу сообщения, которые например не доходили сразу втечении рабочего дня. Сразу скажу не самый лучший вариант, т.к. в независимости от результата отправки в системе останется след того, что Вы отправили, и в случае грамотного мониторинга системы безопасниками они увидят Вашу отправку.
2. Удаление слов маячков
Этот метод предполагает настройку DLP на поиск по ключевым словам, т.е. в отправленном документе он ищет совпадения по словарю. В случае мониторинга откатов такой словарь может содержать следующую группу слов : бабки, зелень, капуста и тд. В случае же предотвращения утечек конфиденциальной информации данный словарь может содержать следующий словарный набор: коммерческая тайна, секрет фирмы, конфиденциально, ДСП, персональные данные, снилс, доверенность, паспорт, серия номер и т.д. Метод заключается в удалении таких слов, которые явно будут присутствовать в конфиденциальном документе и идентифицировать его к закрытой информации. Просмотрите документ которых необходимо отправить на наличие таких слов и удалите. Метод также не самый лучший т.к. конкретный набор слов, содержащийся в словаре Вам никто никогда не скажет.
3. Архив с паролем.
Данный метод заключается в шифровании документа в стандартном *.rar архиве и направлении на электронную почту. Сразу отмечу, что архив под паролем сразу вызывает подозрения и во многих системах блокируется, и даже расшифровывается. Чтобы максимально обезопасить себя необходимо:
а) При установке пароля на архив поставить галочку на значении “шифровать имена файлов”. Это необходимо для того чтобы имена файлов в архиве были не видны до открытия архива паролем.
б) При выборе пароля стоит обратить внимание на его длину и сложность. Да-да это необходимо для предотвращения перебора по словарю, если такой используется в системе. Используйте минимум 10 символов, содержащих буквы строчного и прописного регистров, специальные символы,пробелы, цифры. Например наш пароль будет таким $Op123KLM!987@. Не спешите набирать его в поле ввода, смотрите часть “в”.
в) Самое главное правильно ввести пароль в поле ввода в архиваторе, сейчас объясню почему. Дело в том на агенты которые уставнолены на АРМ’ах работников могут содержать функционал клавиатурного шпиона и записывать все Ваши действия (нажатия клавиш) на клавиатуре. Стоит отметить что запись ввода клавиш привязана к определенному процессу где осуществляется набор (word, exel, winrar и тд.). Чтобы запутать следы можно сделать следующее (для примера будем использовать наш пароль $Op123KLM!987@): Например так: откроем блокнот и Введем первые 4 символа из середины пароля “KLM!” и после этого копируем и вставляем в winrar, затем в MS Word’e впишем первые 5 символов пароля “$Op123”, копируем и вставляем в начало поля ввода winrar, последние 4 “987@” ,чтобы вообще не оставлять следов ввода, вводим в виртуальной клавиатуре онлайн клавиатуре используя мышку, и копируем в конец поля ввода пароля и нажимаем “ок”, пароль записываем на бумажку, отправляем архив в письме и сообщаем по телефону принимающей стороне, а бумажку съедаем:
Таких виртуальных клавиатур полно в интернете. Стоит отметить что Вы можете как угодно экспериментировать – набирать неправильный пароль, стирать, перемещать символы, при этом в системе слежения будет отображаться полная каша.В поле отображать пароль при вводе галку лучше не ставить – так как в системе может быть установлен модуль фотографирования вашего монитора.
3. Кодируем онлайн
Для передачи документа проще всего использовать онлайн-сервисы обмена файлами, для примера мы рассмотрим www.rgho.st
Заливаем наш файл “База контрагентов.docx” туда и получаем ссылку:
Теперь нам необходимо зашифровать ссылку и передать ее письмом. Для примера шифрования используем онлайн-сервис http://crypt-online.ru/crypts/aes/ с симметричным антигоритом AES. В поле текста вставляем адрес нашей ссылки, выбираем размер ключа шифрования 128-256 бит. Вводим пароль, в данном случае “itsecforu.ru”, нажимаем кодировать и получаем шифрованный текст:
Копируем полученный результат и отправляем в электронном сообщении, сообщив пароль и длину ключа по альтернативному каналу связи (телефону). Получатель проделывает обратное преобразование, вводит шифрованный текст и пароль и получает ссылку:
4. Cтеганография онлайн
Для того чтобы не отправлять подозрительный зашифрованный текст мы также можем использовать стеганографию онлайн. Подумайте какие документы Вы чаще всего отправляете контрагентам (акты сверок, счета и т.д.) и вставляйте в тело этих файлов код. Для примера мы будем использовать карточку предприятия и онлайн сервис http://stylesuxx.github.io/steganography/. Карточка предприятия в формате обычной картинки, где указаны реквизиты организации. Загружаем карточку (файл karto4ka.png), вставляем текст, который хотим зашифровать (все та же наша ссылка) и жмем “Encode”
Далее идем вниз страницы и сохраняем полученный файл, отправляем контрагенту электронным письмом.
Получатель проделывает обратное действие. Загружает файл “karto4ka2.png” и нажимает “Decode” и получает желанную ссылку.
Вдобавок можно использовать portable утилиты стеганографии, рассмотрим их в следующих статьях
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.
Огромное ,тебе, человеческое спасибо! Ты даже не представляешь как ты облегчил работу тупым безопасникам, написав столько бреда. Если раньше надо было искать инциденты, то теперь, благодаря твоим “умным” опусам, инциденты сами будут валиться.
PS И да! Все, что ты написал – не работает.
Искренне твой,
Тупой безопасник.
Бомбит нормуль 🙂
Ну друг, напиши умнее и дай ссылку на твои мысли
А в чем бредовость, тупой безопасник?
Хех, не работает – ну смотря где))
Надо попробовать
Автор статьи и прав и нет. Все зависит от конкретной DLP системы – возможности у всех разные. Тем не менее почему большинство пунктов полный бред:
пункт 1 – в 99% случаев система ведет перехват постоянно, пока пользователь в системе, даже в режиме ожидания может работать запись микрофона рабочего ноутбука когда вы в командировке рассказываете другу как продали на авито неучтенный товар со склада а деньги положили в карман.
Пункт 2 В продвинутых системах аналитика строится на сложных поисковых политиках а не простейших словах – маячках. Если в послании будет просто что то похожее на конфиденциальную инфу, даже просто похожий по смыслу документ (можете заменить все слова не меняя смысл) – попадетесь сразу.
Пункт 3. Верно, есть перехват клавиатуры, привязан к процессу, когда вы будете вставлять символы в win/rar они попадут в перехват в большинстве систем. Если даже ДЛП стоит дешевая после того как “тупой безопасник” не сможет открыть архив т.к. , он посмотрит видео рабочего стола (время создания архива там хорошо видно поиск нужного отрывка видоса займет 5сек) и все как на ладони
Пункт 4. После того как вы обратитесь к чему то похожему на файл “база контрагентов” и тем более ку да то его зальете – все вы попали, далее запись видео разбор кодировки -втык!
Пункт 5 Аналогично.
Если у вас нет прав админа и вы не продвинутый юзер, систему не обойти, если права и знания есть, все равно, как только удалите агента с арма или блокируете его работу, “тупой безопасник” будет в курсе. Не пользуйтесь рабочим инструментом для таких манипуляций, только личное устройство и то не по корпоративному Wifi.
Ну Вы говорите об гибко и круто настроенной системе, закрывающей все и вся. Далеко не везде используется полный функционал, даже запись экрана требует дополнительного места хранения.
Посоветуете может тогда действенные методы обхода…Или ДЛП у нас сейчас закрывает все?
Это теория или было проверено опытным путем?
Хах норм
Ну автор конечно верно помдетил что все мы люди и хотим домой пораньше к семье, но это не означает что я приду на следующий день и не посмотрю инциденты)))
Другой момент состоит в том, что в компаниях 100-200 человек 1 безопасник может просмотреть за полдня – день утечек агента вручную) Что уж говорить про отделы)
Ну а в третьих, если вы еще не попались, это не означает что о вас никто не знает, просто еще не пришло время вам об этом сказать))
будьте людьми,и не попадайте на рожон)
Это конечно здорово, но ИБшники палят сайты со стенографией и уж тем более шифрования. Скорее всего после таких действий за вами будут смотреть еще более тщательно. Статья хорошая. Но боюсь если в фирме используются Сёрчинформ или Инфоватч втык точно прилетит.
Не слушайте блоггеров, которые своим бредом набирают себе комменты и подписчиков. За базу контрагентов при грамотном юристе вам пришпилят ещё и административен в лучшем случае, за разглашение коммерческой тайны. В любом случае, поступить на следующую работу будет сложновато. Ворюг нигде не любят, а СБ обмениваются такой инфой.
Тут никто не призывает воровать КТ и т.д. 🙂 Будьте проще