Скорее всего, вам придется хорошенько поднапрячься с поиском удачных ракурсов для съемки, прежде чем это станет получаться автоматически. Поэтому для упрощения задачи я рекомендую использовать одновременно несколько камер. Какая-то из них точно снимет то, что надо.

Имперсонация: резюме

Воплощение этого вектора атаки на практике весьма облегчает грамотное планирование. Помните: взломом помещений и прочим редтимингом социальные инженеры не занимаются, а значит, вам надо заранее сформировать представление о системе обеспечения физической безопасности на объекте.

Каждый СИ-пентестер должен четко представлять себе масштаб действий, необходимых для достижения поставленных клиентом целей. Особенно это касается составления раздела отчета, в котором будут описаны способы решения выявленных проблем. Этот раздел будет полезен клиенту лишь в том случае, если вы поймете и опишете не только «что» сработало, но и «почему».

В последнее время все чаще появляются новости о подрывах системы безопасности с использованием зараженных флешек и специальных устройств. Поэтому профессиональный СИ-пентестер просто обязан освоить имперсонацию и предлагать клиентам этот вектор атаки.

Составление отчета

Когда я только начинал свой профессиональный путь социального инженера, мне поступил заказ: протестировать возможность проникновения на семи складах одной компании. Я справился с задачей на 100 %. На один из складов я даже пробрался дважды, в один и тот же день, использовав разные легенды.

Успех меня окрылил. Я собрал все записи и приготовился отчитаться перед клиентом. Руководитель проекта сказал, что нужно написать отчет, и выслал шаблон документа, в котором было несколько заголовков.

Мне кажется, я сидел, уставившись на эти пустые страницы, несколько часов. Потом начал составлять отчет: что-то писал, удалял, снова пытался начать. Я корпел над документом несколько дней, а когда закончил, был уверен, что создал настоящее произведение искусства.

Мне так и представлялись восторги клиента: как его команда прочтет отчет, восхитится и, когда я приду к ним в офис, под ноги мне в знак признательности полетят розовые лепестки. В таком вдохновленном настроении я отправил документ заказчику и стал ждать похвалы.

Через день зазвонил телефон, и я услышал примерно следующее (имейте в виду, здесь, в книге, я привожу смягченные формулировки):

Отчет, который он мне прислал на доработку, был испещрен разноцветными исправлениями и комментариями. Казалось, ни один абзац не избежал редактуры.

На внесение исправлений у меня ушло две недели. Этот отчет смело можно назвать самым неудачным за всю мою СИ-карьеру. Но в то же время он меня многому научил. Я понял, как должен выглядеть хороший отчет и как его нужно готовить. Первая версия моего «шедевра» была посвящена тому, какой я крутой Джеймс Бонд. Который тем не менее забыл упомянуть целый ряд крайне важных для клиента подробностей.

Мне не хочется превращать эту главу в конспект семинара по подготовке отчетов. Но все же несколько основополагающих принципов я назову.

Профессионализм

Профессионализмом называется умение действовать в соответствии с профессиональными нормами. Возьмем, к примеру, врача: направляясь к нему, вы рассчитываете на его профессионализм. Но только представьте ситуацию: вы входите в кабинет доктора, а он восклицает: «Матерь божья, чем же питается этот огромный кит?!» Затем он хлопает вас по плечу и улыбаясь заверяет, что это «просто шутка».

Думаю, мало кому понравилось бы такое обращение. Вот и наши клиенты тоже не хотят слышать фразочки типа: «Как я вас обдурил!», «Представляете, он действительно додумался опубликовать эту информацию!» или «Теперь все ваши склады принадлежат нам» (последнюю фразу я, к сожалению, не выдумал, а позаимствовал из горького личного опыта).

Всегда нужно помнить: отчет прочитают многие люди, и больше всего конструктивных изменений произойдет, если при чтении они не будут чувствовать себя пристыженными или униженными. Стиль изложения, подбор выразительных определений и грамотное представление фактов — вот что поможет вам продемонстрировать свой профессионализм.

Правописание и грамматика