Психологія на службі хакерів h2>
Володимир Безмалий p>
Як
б ви не вправлялися у технічних рішеннях, пам'ятайте, що головна загроза
безпеки вашої мережі завжди буде виходити від ваших же користувачів. p>
Для
атаки вашої організації хакери, які використовують прийоми соціальної інженерії,
експлуатують довірливість, лінь, хороші манери, ентузіазм вашого персоналу та
багато-багато іншого. Важко захиститися від нападу цього типу, адресати можуть
не зрозуміти, що вони були обмануті, або не визнавати цього. p>
Хакер
в даному випадку намагається переконати ваших співробітників видати інформацію, яка
дасть можливість йому використовувати ваші системні ресурси. Традиційно цей
підхід відомий як шахрайство. Багато малі та середні компанії
вважають, що хакерські напади - проблема для великих корпорацій або банків,
адже це обіцяє більшу фінансову вигоду, ніж напад на маленькі компанії.
Такий підхід, можливо, був справедливий в минулому, однак тепер атакують хакери
все суспільство. Злочинці можуть захопити компанію, атакуючи фонди або ресурси,
але вони також можуть використовувати вашу компанію як майданчик для нападу на
інші компанії. p>
Щоб
захищати персонал від таких атак, ви повинні знати, яке напад очікувати, його
можливі цілі, потенційні втрати. Тоді ви зможете посилити політику
безпеки, включивши в неї захист від подібних атак. p>
Соціальна
інженерія - сукупність підходів у прикладних соціальних науках,
орієнтованих на: p>
*
зміна поведінки і установок людей; p>
*
вирішення соціальних проблем; p>
*
адаптацію соціальних інститутів до умов, що змінюються; p>
*
збереження соціальної активності. p>
Глоссарій.ру p>
В
щодо інформаційної безпеки соціальна інженерш) дозволяє
організовувати і описувати насамперед загрози нетехнічного p>
Загрози соціальної інженерії і захищеність h2>
Як
стверджується в опублікованому на сайті Microsoft керівництві по захисту від
загроз, пов'язаних з впливом соціальної інженерії [1], на сьогодні існує
п'ять основних шляхів проникнення зловмисників, які використовують шахрайські
методи: вплив через Internet, телефон, аналіз сміття, особисті підходи,
реверсивна соціальна інженерія. p>
Вплив через Internet h2>
Персонал
використовує інформацію і відповідає на зовнішні і внутрішні запити за електронними
каналах. Це дає можливість хакерам підібратися до співробітників, використовуючи
відносну анонімність Internet. Ви часто чуєте про атаки, що використовують
електронну пошту, спливаючі додатки, і атаках, що використовують системи
миттєвої передачі повідомлень, «троянські» віруси, саморозмножуються віруси
або шкідливе ПЗ, яке пошкоджує або компрометує комп'ютерні ресурси.
Від більшості подібних нападів можна вберегтися за допомогою антивірусної
захисту. Однак зловмисник, що використовує методи соціальної інженерії,
переконує співробітника видати необхідну йому інформацію за допомогою правдоподібного
психологічного трюку замість того, щоб заразити комп'ютер шкідливим ПЗ
шляхом прямого нападу. Така атака зможе підготувати грунт для шкідливого
ПЗ. Тому ви повинні радити персоналу, як краще за все ідентифікувати
інтерактивні нападу, які використовують соціальну інженерію, і уникнути
їх. p>
Загрози з використанням електронної пошти h2>
Використання
електронної пошти як інструменту соціальної інженерії стало звичайним за минуле
десятиліття. За даними звіту Anti-Phishing Work Group (APWG), на місяць
виявляється понад 20 тис. фішингових розсилок і близько 30 тис. нових
фішерських Web-сайтов [2]. p>
В
першому півріччі 2006 року фішери відправили 157 тис. унікальних листів, що на
81% більше в порівнянні з другим півріччям 2005 року, повідомляється в звіті за
загрозам Internet-безпеки, підготовленому компанією Symantec [3]. Автори
звіту підкреслюють, що кожен такий лист може бути відправлений сотням тисяч
Internet-користувачів. На думку експертів APWG, такий зростання стало можливим
завдяки появі наборів утиліт, які дозволяють у короткий термін створити
фішинг-сайт. p>
Багато
співробітників отримують десятки і навіть сотні електронних листів щодня від
ділових і приватних кореспондентів. Великий обсяг електронної пошти заважає
приділяти увагу кожному повідомленням. Цим-то і користуються зловмисники. P>
Фішинг
(phlshlng) - технологія Internet-шахрайства, що полягає в крадіжці особистих
конфіденційних даних, таких як паролі доступу, дані банківських та
ідентифікаційних карт і т.д. (див. рис. 1). p>
Якщо
подивитися уважно, то можна знайти дві відмінності між листом і
результатом: p>
текст
у пошті заявляє, що сайт безпечний, використовуючи протокол HTTPS, однак на
екрані показано, що сайт фактично використовує HTTP. p>
назва
компанії в пошті - Contoso, але посилання вказує на компанію Comtoso. p>
Завдяки
такому камуфляжеві електронна пошта здається більш правдоподібною. Кожне
фішинг-лист маскується під запит про користувача інформації, який
нібито повинен полегшити користувачеві установку оновлення або забезпечити
додаткове обслуговування (див. рис. 2). p>
В
липні 2006 року з'явився новий різновид фішингу, тут же отримала
назва вішинг (vishing). У повідомленнях цього типу міститься прохання зателефонувати
на певний міський номер. При цьому потенційна жертва чує
повідомлення, в якому її просять повідомити свої конфіденційні дані.
Власників такого номера знайти непросто, тому що з розвитком IP-телефонії
дзвінок на міський номер може бути автоматично перенаправлено в будь-яку точку
земної кулі на віртуальний номер. p>
Згідно
інформації Secure Computing [4], шахраї конфігурують режим автонабір,
який набирає номери в певному регіоні, і при відповіді на дзвінок
відбувається наступне: p>
•
автовідповідач попереджає споживача, що з його карткою виробляються
шахрайські дії, і дає інструкції - зателефонувати за вказаним номером
негайно; p>
•
коли за цим номером передзвонюють, на іншому кінці дроту відповідає типово
комп'ютерний голос, що повідомляє, що людина повинна пройти звірку даних та
ввести 16-значний номер картки з клавіатури телефону; p>
•
як тільки номер введений, Вішер стає володарем всієї необхідної
інформації (номер телефону, повне ім'я, адреса); p>
•
потім, використовуючи цей дзвінок, можна зібрати і додаткову інформацію:
PIN-код, термін дії картки, дата народження, номер банківського рахунку і т.п. p>
Поки
серйозних інцидентів такого роду ще не зазначено. Але тільки поки ... p>
В
мережі, проте, існує ще більш серйозна загроза - фармінг (pharming) --
перенаправлення жертви за помилковим адресу [5]. Цей механізм має багато спільного
"Standard" вірусним зараженням. Жертва відкриває поштове послання або
відвідує якийсь Web-сервер, на якому виконується здійснимих скрипт-вірус, при
це спотворюється файл hosts. В результаті користувач потрапляє на один з
помилкових сайтів. Механізмів захисту від фармінг на сьогодні просто не існує. P>
Більшість
заходів захисту засновані на тому, щоб не пропустити неправомочних користувачів.
Однак зловмисник може обійти багато захисних засобів, якщо відправить до
компанію через посилання «Трої», саморозмножуються черв'як або вірус.
Гіперпосилання може також привести на сайт, який використовує спливаючі вікна (програми),
щоб запропонувати допомогу або інформацію. p>
Щоб
більш ефективно чинити опір хакерських нападів, які використовують соціальну
інженерію, треба обережно ставитися до надходить електронною поштою.
Необхідно включити в політику безпеки керівництво, яке охоплює
питання її використання: вкладень і гіперпосилань в повідомленнях; запитів про
персоналі або інформації компанії зсередини компанії; запитів про персонал або
інформацією компанії ззовні. Ці рекомендації потрібно доповнити прикладами
фішингових нападів. p>
Спливаючі програми та діалогові вікна h2>
Багато
співробітники дивляться Internet з особистими цілями. Це загрожує небезпекою
контакту зі зловмисниками, які використовують соціальну інженерію. Хоча
зловмисники можуть не мати мету напасти саме на вашу компанію, але вони
можуть використовувати її персонал для отримання доступу до ресурсів. Найчастіше
переслідується мета запровадити поштовий сервер в межах вашої комп'ютерної мережі,
через яку потім почати фішинг або інші поштові нападу на інші
компанії або фізичних осіб. p>
На
рис. 3 показана сторінка, на якій гіперпосилання, як здається користувачеві,
зв'язується з безпечним сайтом управління обліковими записами, проте рядок
стану показує, що користувач перенаправлено на хакерський сайт. У
залежності від браузера, що використовується, хакер може придушити або
переформатувати інформацію рядка стану. p>
Два
найпростіших методу спокусити користувача перейти за посиланням у діалоговому вікні --
надіслати попередження про проблеми, яка виглядає як відображення
реалістичної операційної системи або прикладного повідомлення про помилки або
як пропозиція додаткових послуг, наприклад, безкоштовного завантаження, яка
нібито змусить комп'ютер користувача працювати швидше. p>
Захист
користувачів від спливаючих додатків, що використовують соціальну інженерію,
полягає насамперед у розумінні ситуації. Блокування спливаючих вікон і
автоматичні завантаження можна обійти. p>
Набагато
правильніше переконати користувачів у тому, що вони не повинні натискати посилання на
спливаючих вікнах, не порадившись з персоналом підтримки. Однак при цьому
співробітники повинні бути впевнені в тому, що фахівці підтримки не будуть
легковажно ставитися до прохань про допомогу, якщо користувач переглядає
Internet. Ці довірчі відносини можна передбачити у вашій політиці
безпеки по роботі в Internet. p>
Миттєва передача повідомлень h2>
Миттєва
передача повідомлень (Instant Messaging, IM) - відносно новий засіб
комунікації. Безпосередність і доброзичливий інтерфейс IM-систем роблять його
ідеальним засобом для нападів, що використовують соціальну інженерію, адже
користувачі розцінюють дану службу як телефон і не пов'язують її з
потенційними загрозами ПЗ. Основні атаки, що використовують IM, це гіперпосилання на
шкідливе ПЗ і його розсилання. p>
Зловмисник
(на рис. 4 він виділено червоним кольором) виконує роль відомого користувачів та
посилає електронну пошту або 1М-повідомлення, виходячи з того, що одержувачі
візьмуть їх за повідомлення від когось, кого вони знають. Більшість IM-засобів
доступу допускає ідентифікацію користувачів, засновану на адресу електронної
пошти, що дає можливість хакеру послати запрошення контакту IM іншим людям
в організації. p>
Потрібно
включити IM-безпека в політику безпеки. Для цього необхідно
встановити наступні п'ять правил: p>
•
вибрати єдину IM-платформу і затвердити її в якості стандарту; p>
•
визначити параметри налаштування безпеки розгортання; p>
•
рекомендувати користувачеві не використовувати стандартні параметри; p>
•
встановити стандарти пароля; p>
•
забезпечити керівництво по використанню. p>
Загрози при використанні телефонного зв'язку h2>
Телефон
припускає унікальний спосіб нападу. В даний час злом телефонного
зв'язку по IP-протоколу (Voice over IP, VoIP) є головною загрозою.
VoIP-імітація стає таким же поширеним явищем, як
електронна пошта та 1М-імітація. p>
Є
три головних типи атак, спрямованих на офісні АТС, під час яких: p>
•
просять інформацію, звичайно імітуючи законного користувача, щоб звернутися до
телефонної системі безпосередньо або отримати віддалений доступ до комп'ютерних
системам; p>
•
отримують доступ до «вільного» використання телефону; p>
•
отримують доступ до системи комунікацій. p>
Ці
методики отримали назву фрікінга (phreaking). Самий звичайний прийом хакера --
імітація ролі телефонного інженера (див. рис. 5). p>
Запити
про інформацію або доступ по телефону - малоріскованная форма нападу. Якщо
адресат починає щось підозрювати або відмовляється виконувати запит, хакер
може просто покласти трубку. Але такі напади більш складні, ніж атака
хакера, просто того, хто телефонує в компанію і цікавиться користувача
ідентифікатором і паролем. Зазвичай використовується сценарій, коли просять або
пропонують довідку перш, ніж майже машинально відбувається запит про особисту або ділової
інформації. p>
Внутрішня
телефонна система організації - найважливіша частина захисту, яку ви повинні
обумовити в політиці безпеки. p>
Служба підтримки h2>
Іноді
ентузіазм співробітників технічної підтримки змушує їх забути про
необхідності виконувати процедуру безпеки. Якщо ж службі підтримки
наказують строгі стандарти безпеки, вимагаючи перевірки правомірності
запиту користувача, то з'являються перешкоди в роботі. Персонал, що відчуває, що
ІТ-відділ не забезпечує їх негайним обслуговуванням, схильний скаржитися і
доводити, що їхні запити важливіше, ніж питання безпеки. p>
Служба
підтримки повинна балансувати між безпекою та ділової ефективністю, а
політика та процедури безпеки повинні сприяти цьому. Вимога
аутентифікації яка звернулася по допомогу не є надлишковим, оскільки
кожен працівник знає свої дані. Але це не дає гарантії безпеки,
тому що хакер також може їх знати. Важче захистити аналітика служби
підтримки проти внутрішнього злому. У внутрішнього хакера більше вихідних
даних для імітації легітимного обігу. Процедури захисту повинні забезпечити
подвійну роль у цій ситуації: p>
•
аналітик служби підтримки повинен мати гарантії аудиту всіх дій, сервісна
служба повинна вести журнал всіх дій так, щоб швидко виправити або
обмежити будь-який збиток у разі атаки. p>
•
аналітик служби підтримки повинен мати структуровану процедуру обробки
запитів користувачів. p>
Аудит
всіх процедур - найцінніший інструмент в запобіганні інциденту і подальшому
його розслідуванні. p>
Аналіз сміття h2>
Сміття
- Джерело інформації для хакерів. Ділові паперові відходи неоціненні для тих,
хто використовує соціальну інженерію. p>
Погано,
коли в компанії немає правил управління відходами включаючи цифрові носії
інформації, (на цих відходах можна знайти всі види даних). У цьому випадку
політика безпеки компанії має містити положення про управління їх
життєвим циклом, в тому числі процедури руйнування або стирання. p>
Ваші
люди мають розуміти: викидання носія в кошик для відходів не є
його знищення. Аналіз сміття не можна вважати правопорушенням, тому ви
повинні бути впевнені, що персонал знає, як викидати непотрібні матеріали.
Необхідно розробити процедури знищення сміття і розмістити відходи всередині
захищається периметра, щоб вони були недоступні. p>
Політика
безпеки часто не бере до уваги цю проблему, оскільки
передбачається, як правило, що будь-який, хто отримує доступ до ресурсів
компанії, повинен заслуговувати довіри. p>
Одна
з найефективніших заходів при роботі зі сміттям - класифікація даних. Ви
призначаєте різні категорії інформації і визначаєте, як персонал повинен з
ними поводитися. p>
Особистісні підходи h2>
Для
хакера найпростіший шлях отримання інформації - попросити про це безпосередньо.
Такий прийом може здатися грубим, але це основа шахрайства. У керівництві
Microsoft [1] особливо виділяється чотири його різновиди: p>
•
Залякування. Зазвичай використовується імітація повноважень, щоб примусити адресата
виконати запит. p>
•
Переконання. Як правило, при цьому використовується лестощі. P>
•
Використання довірчих відносин. Цей підхід вимагає тривалого періоду
входження в довіру до адресата. p>
•
Допомога. Хакер пропонує адресату допомогу, в рамках якої необхідно
оприлюднити особисту інформацію. p>
Напади
шляхом пропозиції «допомоги» можуть бути мінімізовані, якщо ви маєте
ефективну службу сервісної підтримки. Звернення до неформального помічника --
часто результат втрати довіри до її послуг. Для запобігання таких атак
необхідно: p>
•
визначити у вашій політиці безпеки, що служба підтримки - єдине
місце, куди потрібно повідомляти про проблеми; p>
•
гарантувати, що служба підтримки має стандартизований процес
реагування в межах встановленого рівня обслуговування; p>
•
перевіряти виконання сервісних робіт регулярно, щоб упевнитися, що
користю?? ки отримують ІТ-послуги адекватного рівня. p>
Не можна
недооцінювати важливість служби підтримки в забезпеченні захисту першого рівня
проти нападів соціальної інженерії. p>
Послуги
ІТ повинні відповідати наступним правилам: p>
•
кожна дія технічної підтримки повинно бути заплановано; p>
•
підрядники і внутрішній персонал, які здійснюють локальне обслуговування
або інсталяцію, повинні мати документи, що ідентифікують особу; p>
•
при проведенні робіт користувач повинен передзвонити у відділ підтримки, щоб
повідомити час прибуття інженера підтримки і час його відходу. p>
•
кожна робота повинна мати наряд, який підписується користувачем. p>
•
користувач ніколи не повинен звертатися до інформації або реєстрації на
комп'ютері, щоб забезпечити доступ інженера (якщо інженер не має достатніх
прав доступу, щоб завершити завдання, він повинен увійти в контакт з сервісної
службою). p>
Захист приміщень h2>
Переважна
число великих компаній використовують інфраструктури захисту приміщень. Компанії
середнього розміру можуть бути менш інформовані про правила контролю відвідувачів.
Ситуація, в якій стороння людина йде за кимось, проходячи в офіс,
є дуже простим прикладом нападу з використанням соціальної інженерії.
Цей прийом не можна здійснити у великій компанії, де кожна людина повинна
використовувати електронну перепустку для проходу через турнікет, або в маленькій
компанії, де кожен знає кожного. Проте це дуже просто здійснити в
компанії з тисячею службовців, які практично не знають один одного. p>
Компанія
повинна організувати вхід таким чином, щоб відвідувачі проходили
безпосередньо повз охоронця, пред'являючи свої пропуску або реєструючись.
Неприпустимо скупчення відвідувачів перед охоронцем, що може ускладнити
його роботу. p>
Реверсива соціальна інженерія h2>
Реверсива
соціальна інженерія описує ситуацію, в якій адресат з числа персоналу
пропонує хакеру інформацію, яку він хоче продати. Такий сценарій
здійснюється все частіше. Захист від реверсивної соціальної розробки - самая
важке завдання. p>
Список b> b> літератури b> p>
1. How to Protect Insiders from
Social Engineering Threats. Midsize Business Security Guidance. Microsoft,
2006. www.microsqft.com p>
2. APWG Phishing Trends Activity
Report for December 2006, http://www.antiphishing.org/reports/ap wg_
report_december_2006.pdf p>
3. Symantec Internet Security Threat
Report. Trends for January 06-June 06. Volume X, Published September 2006.
www.symantec.com p>
4. Secure Computing SecureNews
September 2006, http:// www. securecomputing. com/pdf /
SecureNewsSeptember2006.pdf p>
5. Zulfikar Ramzan. Drive-By
Pharming: How Clicking on a Link Can Cost You Dearly, www.symantec.com p>
Журнал
«Директор інформаційної служби», березень 2007 p>