Соціальна інженерія
Кевін Митник - у минулому хакер,
зламав інформаційні системи найбільших компаній світу, а нині консультант
з інформаційної безпеки, засновник компанії Mitnick Security Consulting. Автор книг «Мистецтво обману» і «Мистецтво
вторгнення ».
Сьогодні людський фактор у
інформаційної безпеки відіграє набагато важливішу роль, ніж 20 років тому,
коли Інтернет не був комерційним і його користувачами були лише фахівці. Багато
компанії, які думають, що проблему інформаційної безпеки можна вирішити
просто за допомогою апаратних і програмних засобів, сильно помиляються.
Технології безпеки, яким ми звикли довіряти, - міжмережеві екрани,
пристрої ідентифікації, засоби шифрування, системи виявлення мережевих атак
та інші - малоефективні в протистоянні хакерам, що використовують методи
соціальної інженерії. Необхідна потужна робота з персоналом, навчання
співробітників застосування політики безпеки і технікам протистояння
соціоінженерам - тільки тоді ваша система безпеки буде комплексною.
Непряма атака
Уявіть ситуацію: велика
московський офісний центр. Ви входите в ліфт і бачите на підлозі компакт-диск з
логотипом відомої компанії і наклейкою: «Строго конфіденційно. Заробітна
плата працівників за 2005 рік ». Сама природна людська реакція - взяти
цей диск, віднести до свого офісу і вставити в CD-ROM свого робочого комп'ютера.
Припустимо, ви так і зробили. На диску - файл зі знайомою іконкою MS Excel. Ви намагаєтеся його відкрити, але
замість стовпчиків цифр і прізвищ бачите лише повідомлення операційної системи:
«Помилка, файл пошкоджений». У цей момент на ваш комп'ютер, крім вашої волі і
вашого відома, завантажується шкідлива програма. У кращому випадку це
«РОДОВИД БАНК», що відслідковує, які клавіші ви натискаєте і які робите
операції, і що передає цю інформацію по миттєво налагодженої каналу зв'язку на
чужий комп'ютер. У гіршому варіанті - вірус, який в лічені миті
зруйнує вашу інформаційну систему і пошириться по локальній мережі,
пожираючи всю корпоративну інформаційну систему. Адже ви підключені до
локальної мережі, правда?
Це типовий приклад соціальної
інженерії - порушення інформаційної безпеки компанії за допомогою впливу
на людину. Є багато способів маніпулювати людьми, і цікавість - тільки
один з мотивів, які можна використовувати.
Чому зловмисники вдаються до
соціальної інженерії?
Це простіше, ніж зламати
технічну систему безпеки.
Такі атаки не обчислити з
допомогою технічних засобів захисту інформації.
Це недорого.
Ризик - чисто номінальний.
Працює для будь-якої операційної
системи.
Ефективно практично на 100%.
База для соціоінженера
Перший етап будь-якої атаки --
дослідження. Використовуючи офіційну звітність компанії-жертви, її заявки на
патенти, повідомлення про неї в пресі, рекламні буклети цієї фірми і, звичайно ж,
корпоративний сайт, хакер намагається отримати максимум інформації про організацію
та її співробітників. У хід йде навіть вміст сміттєвих кошиків, якщо його вдається
роздобути. Соціоінженер з'ясовує, хто в компанії має доступ до цікавлять
його матеріалами, хто в якому підрозділі працює і де цей підрозділ
розташоване, яке програмне забезпечення встановлено на корпоративних комп'ютерах ...
Словом, усе, що тільки можна.
Хакер завжди прагне видати
себе за того, хто має право на доступ до цікавлять його даними і кому ці
дані дійсно потрібні з обов'язку служби. Для цього він повинен вільно
орієнтуватися в термінології, володіти професійним жаргоном, знати
внутрішні порядки компанії-жертви. Потім слід розробка плану атаки:
належить винайти привід або схему обману, які допоможуть побудувати
довірчі відносини з потрібним співробітником. Якщо атака пройшла успішно і
працівник організації нічого не запідозрив, хакер, швидше за все, не обмежиться
одним вторгненням, а повернеться і буде далі користуватися виникли довірою.
Помилка резидента (приклад з
фільму «Денний дозор»): головний герой (Антон Городецький), успішно зімітував
особу представника ворожого табору, намагається проникнути в цей самий стан.
Проходячи повз охоронця, він недбало кидає йому: «Привіт, Витек!» --
орієнтуючись на бейдж з ім'ям сторожа, приколотий до його піджака. Викриття
слід негайно: піджак на охоронця - чужий.
Найпоширеніші методи
атак:
З'ясування, передача або
несанкціонована зміна паролів
Створення облікових записів (з
правами користувача або адміністратора)
Запуск шкідливого програмного
забезпечення (наприклад, «Трої»)
З'ясування телефонних номерів або
інших способів віддаленого доступу до корпоративної інформаційної системи
Фішинг (електронне
шахрайство)
Несанкціоноване додавання
додаткових прав і можливостей зареєстрованим користувачам системи
Передача або розповсюдження
конфіденційної інформації.
Пряма атака
У «доелектронную еру» соціальної
інженерією користувалися зловмисники, ті, що дзвонили по телефону. Наприклад, для
того щоб отримати доступ до бази абонентів телефонної компанії, досить
було зателефонувати туди і представитися співробітником сервісної служби, які здійснюють
планову перевірку, чи працівником органів влади, уточнювальних дані. Головне --
вибрати потрібний тон. Цей метод діє і зараз, а сучасні засоби
телефонії тільки полегшують хакерам завдання. Так, за допомогою спеціальної приставки
до апарата той, хто телефонує може змінити тембр голосу. А використання офісної
міні-АТС допомагає замести сліди - ускладнити визначення номера, з якого
дзвонять. Хакер набирає один з телефонів компанії і питає у співробітника його
логін і пароль, представляючись системним адміністратором. Якщо це велика
організація, де не всі співробітники знають один одного, велика ймовірність того,
що користувач повідомить соціоінженеру цікавлять його дані.
Неймовірно, але факт: під час
спеціального дослідження 7 з 10 офісних співробітниць лондонського вокзалу
Ватерлоо назвали свої логін та пароль незнайомця в обмін на шоколадку!
З поширенням комп'ютерів
можливості соціальної інженерії розширилися. Тепер для атаки можна
використовувати електронну пошту або ICQ. Іноді
навіть не потрібно підробляти стиль того, від чийого імені пишеш, і співробітник все
одно нічого не запідозрить. Наприклад, людині приходить «лист від начальства»:
«Прошу направити мені копію бази даних по клієнтах Північного Федерального
округу у форматі MS Excel в термін до 15.00 сьогодні, 5 березня ». Він, звичайно ж,
направить - і прости-прощай секретні дані. Або «лист від системного
адміністратора »:« Шановні колеги! У зв'язку з оновленням версії системи
спільної роботи ваш логін і пароль було змінено. Ваш новий логін і пароль - у
вкладеному файлі ». Насправді ж вкладення містить вірус, що виводить з ладу
операційну систему. Останнє - реальний приклад з недавньої практики
московської компанії «Тауер».
Бреши в інформаційній системі --
співробітники завжди:
вважають, що корпоративна
система безпеки непогрішність, і втрачають пильність
легко вірять отриманої
інформації, незалежно від її джерела
вважають дотримання корпоративної
політики безпеки марною тратою часу і сил
недооцінюють значимість
інформації, якою володіють
щиро хочуть допомогти кожному,
хто про це просить
не усвідомлюють згубних наслідків
своїх дій.
Ключик до кожного
У різних країнах люди
по-різному схильні соціоінженерному впливу. Росіяни - не сама
довірлива нація, а ось жителі США і Японії дуже сугестивності. У кожній країні
є свої культурні особливості, які повинен враховувати соціоінженер.
Наприклад, на заході прекрасно працює «норма взаємності»: якщо людині зробити
щось приємне, він буде почувати себе зобов'язаним і при першій же
можливості постарається відплатити добром. В Іспанії атака найуспішніше
пройде, якщо використати особисту довіру, зав'язати з жертвою приятельські
відносини. А німець швидше піддасться на виверти хакера, якщо зіграти на його
прихильності до корпоративного порядку.
Незалежно від національності,
найбільш уразливі для атак соціоінженеров нові співробітники. Як правило, їм ще
не встигли розповісти про всі існуючі корпоративних правилах, вони не вивчили
регламентів інформаційної безпеки. Новачки ще не знають всіх своїх
колег, особливо особисто. До того ж, їм властива підвищена довірливість і
готовність допомогти, щоб зарекомендувати себе як активних та чуйних членів
команди, на яких можна покластися. Вони навряд чи будуть цікавитися правами
доступу соціального інженера, який видає себе за іншого співробітника,
особливо вищого.
Можливо, вас атакують, якщо ваш
співрозмовник:
проявляє до вас підвищений
інтерес, перебільшене увагу і турботу
відмовляється дати вам свої
координати
звертається до вас з дивною або
незвичайним проханням
намагається втертися до вас у
довіру чи лестить вам
говорить з вами підкреслено
начальницьким тоном.
Навіть самі пильні співробітники
не завжди можуть розпізнати соціальну інженерію. Та вони й не повинні діяти
як детектор брехні. Ключовий фактор успіху - навчання. Політики безпеки
мають увійти у плоть і кров кожного, хто працює в компанії. І, зрозуміло,
перш ніж пояснювати співробітникам суть цих політик, треба їх розробити.
Світлана Шишкова, E-xecutive
Список літератури
Для підготовки даної роботи були
використані матеріали з сайту http://www.e-xecutive.ru
