Краткое введение в социальную инженерию

    Обеспечить компьютерную безопасность трудно (может быть, даже невозможно), однако представьте на минуту, что нам это удалось сделать. Где необходимо, применяется мощная криптография, протоколы безопасности безупречно выполняют свои функции. В нашем распоряжении имеются как надежное оборудование, так и надежное программное обеспечение. Даже сеть, в которой мы работаем, совершенно безопасна. Чудесно!
    image
    К несчастью, этого еще недостаточно. Сделать что-либо полезное эта замечательная система может лишь при участии пользователей. И это взаимодействие
    человека с компьютером таит в себе наибольшую угрозу из всех существующих.
    Люди часто оказываются самым слабым звеном в системе мер безопасности, и именно они постоянно являются причиной неэффективности последних.
    В отношении безопасности математический аппарат безупречен,
    компьютеры же уязвимы, сети вообще паршивы, а люди просто отвратительны.
    Брюс Шнайер «Секреты и ложь. Безопасность данных в цифровом мире»


    Intro


    Информация – является одним из важнейших активов компании. Информация может составлять коммерческую тайну компании, т.е. при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или принести иную коммерческую выгоду компании. Соответственно, такую информацию необходимо защищать.
    Поскольку в любой компании работают люди, то неизбежно возникает влияние человеческого фактора на все процессы организации. В том числе и на процесс защиты конфиденциальной информации.
    Человеческий фактор — устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем при использовании этим человеком современных технологий.

    Любые действия человека, связанные с нарушением режима безопасности можно разделить на две большие категории: умышленные и неумышленные действия.

    К умышленным действиям относятся кражи информации сотрудниками, модификация информации, либо её уничтожение (диверсии). Это крайний случай и с ним приходиться бороться постфактум, привлекая сотрудников внутренних дел.
    К неумышленным действиям относятся: утрата носителей информации, уничтожение или искажение информации по неосторожности. Человек не осознаёт, что его действия приводят к нарушению режима коммерческой тайны.
    Так же к неумышленным действиям относиться «помощь» не тем лицам, или так называемая социальная инженерия. Когда сотрудник не осознаёт, что его действия направлены на нарушение режима коммерческой тайны, но при этом тот, кто его просит это сделать, чётко знает, что нарушает режим.

    Социальная инженерия — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и является очень эффективным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности злоумышленника. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.). Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусорных контейнеров организаций, виртуальных мусорных корзин, кража портативного компьютера и других носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.

    Техники социальной инженерии


    Все техники социальной инженерии основаны на особенностях принятия решений людьми.
    Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: выяснение имени сотрудника, занимаемой им должности и названия проектов, над которыми он работает), с тем, чтобы обеспечить доверие цели.
    image

    Фишинг — техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации, или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую web-страницу, имитирующую официальную, с корпоративным логотипом и содержимым, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.

    Троянский конь: Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

    Дорожное яблоко: Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или карту памяти, в месте, где носитель может быть легко найден (коридор, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
    Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2010». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство.

    Кви про кво: Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.

    Обратная социальная инженерия.
    Целью обратной социальной инженерии является заставить цель саму обратиться к злоумышленнику за «помощью». С этой целью злоумышленник может применить следующие техники:
    Диверсия: Создание обратимой неполадки на компьютере жертвы.
    Реклама: Злоумышленник подсовывает жертве объявление вида «Если возникли неполадки с компьютером, позвоните по такому-то номеру» (это в большей степени касается сотрудников, которые находятся в командировке или отпуске).

    Меры противодействия


    Самый основной способ защиты от социальной инженерии — это обучение. Т.к. тот, кто предупреждён – тот вооружён. И незнание в свою очередь не освобождает от ответственности. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения.
    Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной аутентификации собеседника им необходимо у него получить.

    Вот некоторые правила, которые будут полезны:

    1. Все пользовательские пароли являются собственностью компании. Всем сотрудникам должно быть разъяснено в день приема на работу, что те пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах (известно, что человеку трудно держать в голове все пароли и коды доступа, поэтому он часто пользуется одним паролем для разных ситуаций).

    Как такая уязвимость может быть использована в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга. В результате его пароль на некотором интернет-сайте стал известен третьим лицам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании.

    В принципе, даже не обязательно, чтобы сотрудник компании становился жертвой фишинга. Нет никаких гарантий, что на сайтах, где он авторизуется, соблюдается необходимый уровень безопасности. Так что, потенциальная угроза всегда существует.

    2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями. Необходимы четкие правила для установления личности посетителя и его сопровождения. При посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение.

    3. Должно существовать правило корректного раскрытия только действительно необходимой информации по телефону и при личном разговоре, а так же процедура проверки является ли тот, кто что-либо запрашивает действительным сотрудником компании. Не секрет, что большая часть информации добывается злоумышленником при непосредственном общении с сотрудниками компании. Надо учесть еще тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому злоумышленник может запросто прикинуться сотрудником, которому требуется помощь.

    Все описанные меры достаточно простые, однако большинство сотрудников забывают про эти меры и про тот уровень ответственности, который на них возложен при подписании обязательств о неразглашении коммерческой тайны. Компанией тратятся огромные финансовые средства на обеспечение информационной безопасности техническими методами, однако эти технические средства могут быть обойдены, если сотрудники не будут применять меры по противодействию социальным инженерам, а службы безопасности не будут периодически проверять бдительность персонала компании. Тем самым средства, направленные на обеспечение информационной безопасности, будут потрачены впустую.

    P.S. Если тема будет интересна, то в следующем топике я расскажу более подробно о методах и процедурах, помогающих минимизировать негативные последствия, связанные с методами социальной инженерии.
    Поделиться публикацией

    Комментарии 12

      +2
      А что насчет источников? Первая половина (или даже больше) практически дословно присутствует в Википедии. Остальное тоже знакомо, есть ощущение, что где-то читал (возможно как раз у Шнайера). Кстати, упомянутая в прологе книга очень интересна (и читается легко) — рекомендую.
        0
        Подтверждаю, что определения взяты из Википедии, в остальном компиляция из источников по тематике (Шнайер, Митник). Ещё рассматривал документы компаний Microsoft и Motorola, которые смог найти в открытом доступе.
        Могу сказать, что в документах, создаваемых по этому поводу крупными компаниями в основном речь идёт о построении системы противодействия и системе обучения персонала, поэтому в данном топике указывать не стал.
        Если будет интересно, то расскажу в следующем топике про меры противодействия более подробно.
          +1
          Ссылки на источники всегда интересны (к тому же их публикация была бы верное по этическим соображениям). Неплохо было бы, например, в виде списка литературы.
        0
        Если быть до конца откровенным, то первые более-менее грамотные шаги к защите от социальной инженерии появились у западных компаний в 2005-2006 годах.
        Большинство российских компаний эту тему игнорирует…
          +2
          Нефть не информация ;)
          +1
          Совсем не указано жесткое ограничение прав сотрудников. Не должен имет программист допуска к конфигам системы контроля версий например. Это правило часто нарушается самими организаторами систем безопасности. Такой подход сильно уменьшает масштабы катастрофы.
            0
            Обсолютно верно, в отношении больших компаний. Так сказать, принцип наименьшего знания.
            Т.е. каждый сотрудник должен иметь доступ только необходимой информации.
            Но как быть с более мелкими компаниями, в которых один сотрудник может выполнять несколько
            функций, к примеру, совмещать работу программиста и администратора — как следствие, такой человек
            обладает заведомо большим количеством знаний. В таком случае, резонно предположить, что мелкая
            компания не несет большой ценности. Но так же верно, что может сработать принцип от меньшего к большему, т.е. «поимев» мелкую контору можно получить данные для манипулирования сотрудниками более крупной компании, к примеру головного офиса и т.д.
            В целом, человеческий фактор — довольно не однозначная штука…
            0
            > P.S. Если тема будет интересна, то в следующем топике я расскажу более подробно о методах и процедурах, помогающих минимизировать негативные последствия, связанные с методами социальной инженерии.

            Продолжайте. Тема интересна.
            Хотелось бы, конечно еще и про атаки более подробно =). Если знаешь как сломать, то в большинстве случаев знаешь как можно защититься =)
              +1
              Медоты взлома (хотя на сегодняшний день и не очень эффективные) описаны в книге Митника «Искусство обмана». Поскольку я пишу в блоге Информационная безопасность, то не буду рассказывать детально про методики взлома, а лучше расскажу о мерах и методах защиты. Ибо сломать систему можно, поковыряв в одном месте, а защищённой система считается, если она со всех сторон проверена…
                0
                1. Все пользовательские пароли являются собственностью компании.

                Интересно, а логин «w7062c» является ли собственностью компании Motorola? ;) Ведь по идее вне внутренней сети он не должен быть кому-либо известен…
                  +1
                  логин собственностью компании не является. если такую идею воплощать в жизнь, то получится, что нельзя отправить электронную почту никому кроме сотрудников этой же компании, т.к. логин совпадает с началом электронной почты до @.
                  0
                  Пишите еще. В инете мало толковой информации на эту тему. Если в ваших текстах будет что-то новое, основанное на своем опыте, то однозначно пишите. Если только компиляция из всеми прочитанных и перепрочитанных книг по безопасности, которые давно уже стали классикой в определенных кругах, то статья, конечно, будет менее интересна. Но все же интересна. Так что не останавливайтесь.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое