Кевин Митник в прошлом хакер, взломавший информационные системы крупнейших компаний мира, а ныне консультант по информационной безопасности, учредитель компании Mitnick Security Consulting. Автор книг “Искусство обмана” и “Искусство вторжения”.
Сегодня человеческий фактор в информацио
ной безопасности играет гораздо более важную роль, чем 20 лет назад, когда Интернет не был коммерческим и его пользователями были лишь специалисты. Многие компании, которые думают, что проблему информационной безопасности можно решить просто с помощью аппаратных и программных средств, сильно заблуждаются. Технологии безопасности, которым мы привыкли доверять, межсетевые экраны, устройства идентификации, средства шифрования, системы обнаружения сетевых атак и другие малоэффективны в противостоянии хакерам, использующим методы социальной инженерии. Необходима мощная работа с персоналом, обучение сотрудников применению политики безопасности и техникам противостояния социоинженерам только тогда ваша система безопасности будет комплексной.
Непрямая атака
Представьте ситуацию: крупный московский офисный центр. Вы входите в лифт и видите на полу компактдиск с логотипом известной компании и наклейкой: “Строго конфиденциально. Заработная плата сотрудников за 2005 год”. Самая естественная человеческая реакция взять этот диск, отнести в свой офис и вставить в CDROM своего рабочего компьютера. Предположим, вы так и сделали. На диске файл со знакомой иконкой MS Excel. Вы пытаетесь его открыть, но вместо столбиков цифр и фамилий видите лишь сообщение операционной системы: “ошибка, файл поврежден”. В этот момент на ваш компьютер, помимо вашей воли и вашего ведома, загружается вредоносная программа. В лучшем случае это “троянец”, отслеживающий, какие клавиши вы нажимаете и какие совершаете операции, и передающий эту информацию по мгновенно налаженному каналу связи на чужой компьютер. В худшем варианте вирус, который в считанные мгновения разрушит вашу информационную систему и распространится по локальной сети, пожирая всю корпоративную информационную систему. Вы ведь подключены к локальной сети, правда?
Это типичный пример социальной инженерии нарушения информационной безопасности компании с помощью воздействия на человека. Есть много способов манипулировать людьми, и любопытство только один из мотивов, которые можно использовать.
– Почему злоумышленники прибегают к социальной инженерии?
– Это проще, чем взломать техническую систему безопасности.
Такие атаки не вычислить с помощью технических средств защиты информации.
– Это недорого.
– Риск чисто номинальный.
– Работает для любой операционной системы.
– Эффективно практически на 100%.
– База для социоинженера
Первый этап любой атаки исследование. Используя официальную отчетность компаниижертвы, ее заявки на патенты, сообщения о ней в прессе, рекламные буклеты этой фирмы и, конечно же, корпоративный сайт, хакер пытается получить максимум информации об организации и ее сотрудниках. В ход идет даже содержимое мусорных корзин, если его удается раздобыть. Социоинженер выясняет, кто в компании имеет доступ к интересующим его материалам, кто в каком подразделении работает и где это подразделение расположено, какое программное обеспечение установлено на корпоративных компьютерах… Словом, все, что только можно.
Хакер всегда стремится выдать себя за того, кто имеет право на доступ к интересующим его данным и кому эти данные действительно нужны по долгу службы. Для этого он должен свободно ориентироваться в терминологии, владеть профессиональным жаргоном, знать внутренние порядки компаниижертвы. Затем следует разработка плана атаки: предстоит изобрести предлог или схему обмана, которые помогут построить доверительные отношения с нужным сотрудником. Если атака прошла успешно и работник организации ничего не заподозрил, хакер, скорее всего, не ограничится одним вторжением, а вернется и будет дальше пользоваться возникшим доверием.
Ошибка резидента (пример из фильма “Дневной дозор”): главный герой (Антон Городецкий), успешно сымитировав личность представителя вражеского стана, пытается проникнуть в этот самый стан. Проходя мимо охранника, он небрежно бросает ему: “Привет, Витек!” ориентируясь на бейдж с именем стража, приколотый к его пиджаку. Разоблачение следует немедленно: пиджак на охраннике чужой.
– Самые распространенные методы атак:
– Выяснение, передача или несанкционированная смена паролей
– Создание учетных записей (с правами пользователя или администратора)
– Запуск вредоносного программного обеспечения (например, “троянца”)
Выяснение телефонных номеров или иных способов удаленного доступа к корпоративной информационной системе
– Фишинг (электронное мошенничество)
Несанкционированное добавление дополнительных прав и возможностей зарегистрированным пользователям системы
– Передача или распространение конфиденциальной информации.
– Прямая атака
В “доэлектронную эру” социальной инженерией пользовались злоумышленники, звонившие по телефону. Например, для того чтобы получить доступ к базе абонентов телефонной компании, достаточно было позвонить туда и представиться сотрудником сервисной службы, совершающим плановую проверку, или работником органов власти, уточняющим данные. Главное выбрать нужный тон. Этот метод действует и сейчас, а современные средства телефонии только облегчают хакерам задачу. Так, с помощью специальной приставки к аппарату звонящий может изменить тембр голоса. А использование офисной миниАТС помогает замести следы усложнить определение номера, с которого звонят. Хакер набирает один из телефонов компании и спрашивает у сотрудника его логин и пароль, представляясь системным администратором. Если это крупная организация, где не все сотрудники знают друг друга, велика вероятность того, что пользователь сообщит социоинженеру интересующие его данные.
Невероятно, но факт: в ходе специального исследования 7 из 10 офисных сотрудниц лондонского вокзала Ватерлоо назвали свои логин и пароль незнакомцу в обмен на шоколадку!
С распространением компьютеров возможности социальной инженерии расширились. Теперь для атаки можно использовать электронную почту или ICQ. Иногда даже не нужно подделывать стиль того, от чьего имени пишешь, и сотрудник все равно ничего не заподозрит. Например, человеку приходит “письмо от начальства”: “Прошу направить мне копию базы данных по клиентам Северного Федерального округа в формате MS Excel в срок до 15.00 сегодня, 5 марта”. Он, конечно же, направит и простипрощай секретные данные. Или “письмо от системного администратора”: “Уважаемые коллеги! В связи с обновлением версии системы совместной работы ваш логин и пароль изменен. Ваш новый логин и пароль во вложенном файле”. На самом же деле вложение содержит вирус, выводящий из строя операционную систему. Последнее реальный пример из недавней практики московской компании “Тауэр”.
Бреши в информационной системе сотрудники обычно:
– считают, что корпоративная система безопасности непогрешима, и теряют бдительность
– легко верят полученной информации, независимо от ее источника
– считают соблюдение корпоративной политики безопасности пустой тратой времени и сил
– недооценивают значимость информации, которой владеют
– искренне хотят помочь каждому, кто об этом просит
– не осознают пагубных последствий своих действий.
Ключик к каждому
В различных странах люди поразному подвержены социоинженерному воздействию. Россияне не самая доверчивая нация, а вот жители США и Японии очень внушаемы. В каждой стране есть свои культурные особенности, которые должен учитывать социоинженер. Например, на западе прекрасно работает “норма взаимности”: если человеку сделать чтото приятное, он будет чувствовать себя обязанным и при первой же возможности постарается отплатить добром. В Испании атака успешнее всего пройдет, если использовать личное доверие, завязать с жертвой приятельские отношения. А немец скорее поддастся на уловки хакера, если сыграть на его приверженности к корпоративному порядку.
Независимо от национальности, наиболее уязвимы для атак социоинженеров новые сотрудники. Как правило, им еще не успели рассказать о всех существующих корпоративных правилах, они не изучили регламентов информационной безопасности. Новички еще не знают всех своих коллег, особенно лично. К тому же, им свойственна повышенная доверчивость и готовность помочь, дабы зарекомендовать себя как активных и отзывчивых членов команды, на которых можно положиться. Они вряд ли будут интересоваться правами доступа социального инженера, который выдает себя за другого сотрудника, особенно вышестоящего.
Возможно, вас атакуют, если ваш собеседник:
– проявляет к вам повышенный интерес, преувеличенное внимание и заботу
– отказывается дать вам свои координаты
– обращается к вам со странной или необычной просьбой
– пытается втереться к вам в доверие или льстит вам
– говорит с вами подчеркнуто начальственным тоном.
Даже самые бдительные сотрудники не всегда могут распознать социальную инженерию. Да они и не должны действовать как детектор лжи. Ключевой фактор успеха обучение. Политики безопасности должны войти в плоть и кровь каждого, кто работает в компании. И, разумеется, прежде чем втолковывать сотрудникам суть этих политик, нужно их разработать.