Наверняка вы слышали выражение «социальная инженерия», но вряд ли представляли себе насколько это реально работающая технология, если ей пользоваться умело. «Социальная инженерия» – это одна из частей социальной психологии, направленная лишь на то, чтобы манипулировать людьми или внедрять в их разум новую модель поведения. Она удивительна тем, что включает в себя очень широкий набор различных техник и методик, позаимствованных из нейролингвистического программирования, практической психологии,гипноза, и других техник воздействия на сознание и подсознание человека. Каждый в жизни, наверное, сталкивался с тем, что кто_то на него воздействовал методами социальной инженерии, но, скорее всего оба этих человека, и жертва, и охотник не догадывались об этом. Вы можете столкнуться с этим в магазине,когда вам пытаются продать какой_либо товар. Или по телевидению, когда вам рекламируют «замечательный» товар, который на самом деле далеко не «замечательный», и так далее. Но как вы заметили, во всех этих ситуациях, никто не догадывается, о том, как именно происходит воздействие на сознание, как«именно вас побуждают совершить то или иное действие (ежесекундно проанализировать ситуацию под силу лишь опытным PR_щикам и маркетологам), просто потому, что обычно этому не учат.
Практически неизвестный общественности, термин «социальная инженерия» широко используется профессионалами в области информационной безопасности. Так обозначаются методы, которые применяются хакерами, дабы ввести в заблуждение доверчивых корпоративных пользователей и получить от них конфиденциальную информацию либо обманным путем заставить ничего не подозревающую жертву предпринять действия, которые создают лазейку в системе безопасности. Методы социальной инженерии апеллируют к наиболее естественным и искренним проявлениям человеческой натуры, будь то сочувствие, готовность прийти на помощь, доверчивость, страх или чувство вины. Хотя на сегодняшний день не существует достоверной статистики успешных атак, предпринятых социоинжерами, применяемые ими методы демонстрируют высочайшую эффективность при «работе» с ничего не подозревающими сотрудниками компаний, а для самих злоумышленников сопряжены с минимальными рисками и затратами.
Многие компании тратят сотни тысяч долларов на организацию корпоративной компьютерной безопасности. Эта безопасность позволяет защищать секреты компании, помогает соблюдать федеральные
законы, и обеспечивает конфиденциальность клиентов компании. К сожалению, даже лучшие механизмы безопасности могут быть обойдены с помощью социальной инженерии. Социальная инженерия использует очень дешевые и не технологические средства для того, чтобы преодолеть препятствия, создаваемые механизмами информационной безопасности.
Введение в заблуждение – основной «компонент» социальной инженерии, включающий в себя целый ряд всевозможных техник: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т. д. При этом используются любые способы психологического воздействия на человека, както: введение в заблуждение (обман),игра на чувствах (любви, ненависти, зависти,алчности, в том числе и шантаж) и др.Собственно, подобные приемы не новы и известны еще со времен глубокой древности.Остается только удивляться тому, что за истекшие тысячелетия человечество так и не научилось противостоять мошенникам и отличать правду ото лжи. Еще удивительнее то, что арсенал злоумышленников не претерпел никаких принципиальных изменений. Напротив, с развитием коммуникационных технологий их задача значительно упростилась.
К счастью, подавляющее большинство мошенников действует по идентичным или близким шаблонам. Поэтому, изучение приемов их«работы» позволяет распознать обман и не попасться на удочку, а также выработать способы и методы противодействия им.
Конечные цели обмана так же весьма разнообразны. Одной из актуальных целей в концепции характера развития отношений между производителями на сегодняшний день, является получение несанкционированного доступа к конфиденциальной информации.
Для определения технологии достижения цели рассмотрим один из примеров тестирования, описанный И.Винклер (National ComputerSecurity Association). Эксперимент атаки провели в крупной компании с разрешения «высокого» начальства, при этом рядовые сотрудники ничего об этом не знали.
«В самом начале атакующие выполнили поиск в сети Internet для получения представления об организации. Изучение дополнительных баз данных позволило установить имена большого числа сотрудников организации и ее руководства. Поиск в телефонном справочнике дал телефонный номер офиса компании поблизости от атакующих. Звонок в офис позволил получить копию ежегодного отчета компании, а также бесплатный телефонный номер компании. Для получения этой информации не потребовалось ничего объяснять.
Объединив данные ежегодного отчета с данными, полученными из Internet, атакующие получили имена и должности многих лиц из руководства вместе с информацией о проектах, над которыми они работают. Следующим шагом было получение телефонного справочника компании, что позволило установить имена еще ряда сотрудников и получить полное представление об организационной структуре компании.
С бесплатного телефонного номера был сделан звонок по основному номеру компании для контакта со службой рассылки. Звонивший сказал, что он новый сотрудник и хочет узнать какую информацию требуется указать для пересылки по почте в США и за границу. В результате атакующие узнали, что требуется только два числа – личный номер сотрудника и номер торгового центра. Звонок в отдел графики подтвердил важность этих двух чисел.Используя телефонный справочник, атакующие стали звонить десяткам служащих в разных отделах для получения личных номеров служащих, которые могли быть использованы для последующих атак. Номера обычно узнавались так: проверяющий выдавал себя за сотрудника отдела кадров, который по ошибке звонил не тому сотруднику и спрашивал номер для того, чтобы понять, что он ошибся.
Затем атакующие определили, что они могут попытаться получить имена новых сотрудников, которые, скорее всего, наименее осведомлены об угрозах компании. Используя информацию первой фазы атаки, были установлены имена нескольких руководителей компании. Телефонный справочник позволил установить имя служащего, который, скорее всего, и является руководителем. На этот момент времени было установлено, что самым лучшим методом получения имен новых служащих будет заявление, что руководитель хочет сам познакомиться с новыми служащими компании. Проверяющие собрались заявить, что выполняют поручение руководителя, а затем, о том, что руководитель был расстроен, так как полученная информация уже устарела.
Удача сопутствовала им, и на звонок в отдел по работе с новыми сотрудниками ответил автосекретарь. Сообщение позволило установить:1) отдел переехал; 2) имя человека, за которым закреплен телефонный номер; 3) новый телефонный номер. Имя человека было важно, так как знание конкретного имени увеличивает правдоподобность вопросов звонившего. Было уже поздно, и этот человек уже ушел. Это позволило атакующему заметить в разговоре, что отсутствующий человек обычно предоставляет информацию. Атакующий также заявил, что очень большой начальник был сильно расстроен. Его «пожалуйста» побудило человека, отвечавшего по телефону, дать запрошенную информацию. Были получены имена всех сотрудников, начавших работать в течение этой недели, и для многих стали известны отделы, в которых они работают.
Затем было установлено, что атакующим следует избегать контакта с сотрудниками отдела информационных систем, так как те, скорее всего, знают о важности защиты паролей. При звонках новым сотрудникам атакующие выдавали себя за сотрудников отдела информационных систем и проводили с ними по телефону краткий инструктаж по компьютерной безопасности. В ходе этого инструктажа атакующий получал базовую информацию, включая типы используемых компьютерных систем, используемые приложения, номер сотрудника, идентификатор пользователя и пароль. В одном случае атакующий предложил новому сотруднику сменить пароль, так как пароль легко угадать.Demon Dialer (программа, выясняющая наличие модемов на противоположном конце линии) и звонок в справочную службу отдела информационных систем дали телефонные номера модемов компании. Эти номера позволили атакующим использовать скомпрометированные идентификаторы.Получение информации о модемах позволило обойти очень сложную систему брандмауэра и сделать ее бесполезной. В ходе дальнейших атак аналогичные методы использовались для того, чтобы получить свой собственный идентификатор в компьютерах компании. После этого атакующие заставили служащих компании послать им коммуникационную схему, которая организует«безопасное соединение».
Как видим, атаку удалось совершить при помощи современных технических средств коммуникации, профессионализма в области психологии и безопасности взломщиков.
Подобных примеров можно привести множество. Однако цель данной статьи – показать пути защиты от подобных приемов.
Для того, чтобы меры по обеспечению безопасности имели смысл, необходимо определить политику безопасности, в которой следует четко описать, что можно и чего нельзя делать. Хорошая политика обеспечения безопасности вынуждает иногда с применением технических средств– держать сотрудников подальше от информации, раскрытие которой может нанести ущерб компании.
Для защиты от средств социальной инженерии зарубежными технологами разработана стройная система защиты. С некоторыми поправками она вполне может быть применена и у нас.