Социальная инженерия

09 июля 2008, Богомазов Алексей 0
В наше смутное время компьютерной безопасности уделяется огромное внимание. Целые корпорации только и занимаются обеспечением информационной безопасности. Постоянно разрабатываются всё более и более изощрённые алгоритмы шифрования и защиты, проектируются всё более совершенные аппаратные средства обеспечения безопасности. Но, при всём при этом, внимание, уделяемое самому слабому звену всей этой цепочки – человеку, просто мизерно.

Вместе с разработкой средств защиты, всё более высокие результаты показывают и средства нападения. Постоянно находятся уязвимости, а, для расшифровки особо секретной информации, компьютеры объединяются в целые конгломераты (гриды), увеличивая таким образом свою вычислительную мощность. Встаёт закономерный вопрос, а зачем всё это нужно? Зачем прилагать такие огромные усилия для расшифровки кода доступа к базе данных какой-нибудь известной крупной корпорации? А ведь действительно, зачем, если можно просто спросить эту заветную комбинацию символов у человека, который её знает!.. Именно об этой проблеме сегодня и пойдет речь.

Социальная инженерия – вопрос на честность #

Как часто Вы врёте? Ну, мало кто признается, что часто. Однако все и всюду при общении с другими людьми пытаются говорить те слова и так, чтобы добиться от оппонента желаемого действия. Это отличительная черта всех людей, присущая им испокон веков. А теперь представим, что эту способность возвели в степень, достаточную чтобы оно стало наукой, ну или хотя бы значительным фактом современного мира. Так мы и получаем явление называемое "Социальной инженерией", или попросту СИ.

Кое-что интересное о СИ (Социальной инженерии) #

Социальная инженерия (от англ. "Social engineering") – набор техник, которые могут быть использованы для манипулирования людьми с целью исполнения ими каких-либо действий или получения конфиденциальной информации. В основном термин применяется в области получения компьютерного доступа и почти всегда жертва и мошенник не встречаются лицом к лицу.

Термин был введен и распространен Кэвином Митником (Kevin Mitnick), в прошлом компьютерным преступником, после реабилитации ставшим консультантом по безопасности. Он отмечал, что гораздо проще узнать чей-то пароль для доступа, чем взламывать систему целиком.

Социальная инженерия

Хорошим примером действенности СИ является история чешского юноши Лукаса Кохаута (Lukas Kohout), решившего заказать государственный самолет. По телефону он заявил, что является представителем министра и зарезервировал самолет до Шри-Ланки. Кроме того, в одном из охранных предприятий он заказал 5 телохранителей на время полета. По возвращению домой, ему захотелось снова повторить данный трюк…

В Азии Кохаут потерял деньги и попытался их добыть в представительстве Чехии, однако ему отказали. Только после того, как он представился представителем министра и назвал идентификационный код, чиновник выдал ему деньги.

Разоблачили мошенника, когда он взял самолет, но не получил разрешения пролёта через воздушное пространство Индии. Суд приговорил его к 6 месяцам тюремного заключения и штрафу за нанесённый ущерб в размере 30000 евро.

История социальной инженерии #

В начале 70-х годов, когда существовали самые примитивные сети, и те были доступны только крупным корпорациям, зародилось понятие социальной инженерии в сфере компьютерных технологий, которая нас, собственно, и интересует.

Компьютерных сетей не было, но вот телефонные были. А где есть сети, там есть хакеры, а точнее "фрикеры".

Одной из их излюбленных забав являлось общение с операторами на тему их компетентности. Операторы, особенно новые и неопытные, начинали оправдываться при отсутствии информации по задаваемым им вопросам. Прошло немного времени и кто-то догадался, что можно не просто "позорить" техперсонал, но построить диалог по другому, надавить на другие эмоции, и заставить самих операторов рассказывать интересующую фрикера информацию. К концу 70-х эта система уже была отлажена настолько, что опытный фрикер мог узнать у оператора всё, что ему необходимо.

А потом появились и компьютерные сети… Если раньше фрикеры "ездили операторам по ушам" в стремлении узнать какую-либо часть базы данных или её клочок, то теперь появилась возможность узнать один единственный пароль, а после этого получить базу данных целиком.

Интересное словечко #

Фрикинг (от англ. сленгового слова "phreaking") – это несанкционированное подключение к телефонным сетям. Зачастую цель фрикера (от англ. "phreaker") проста и заключается в получении бесплатного телефонного звонка.

Термин "фрикер" также применяется и к людям, оказывающим психологическое воздействие (методы социальной инженерии) на других людей по телефону.

Мы все актеры этого театра... #

Кто-то из древних, или не очень, что-то говорил про маски, которые все мы носим в разных ситуациях. Это одно из основных умений СИнжера.

Прежде чем перейти к описанию вышеупомянутых масок поговорим о двух общих вещах.

  1. Перед тем как начинать атаку на жертву, любой СИнжер соберёт самую подробную информацию о ней. В давние времена, это достигалось ночными ковыряниями в мусорных ящиках атакуемого предприятия... Теперь есть специализированные справочники, где всё это написано. Кроме того, возможно предварительное установление виртуального контакта с жертвой, например, с помощью IM-сетей (сетей мгновенного обмена сообщениями, таких как ICQ, Jabber и многие другие). Особое внимание уделяется именам любых лиц, которые могут быть причастны к разговору, черты характера, поведение. Еще один способ – это звонок в контору будущей жертвы, и методами СИ же сбор информации, так сказать, разведка боем.
  2. В любой корпорации, компании, фирме самой лакомой жертвой для СИнжера является новичок. Однако шутки шутками, а новичок – это действительно просто зияющая дыра в защите компании, ведь он, как правило, ещё не изучил внутреннего устава конторы, связанной с защитой информации, не знает коллег в лицо (ими можно и прикинуться) и просто излучает доверчивость, отзывчивость и готовность помочь, дабы зарекомендовать себя с лучшей стороны. Поэтому высока вероятность, что СИнжеру не зададут "лишних" вопросов и не поинтересуются его правами доступа к определенной информации.

Ну, а теперь, собственно, о "масках" – моделях поведения.

  • Пользователь. Простой трудяга, делающий свою монотонную работу, которая его вполне устраивает. Возникшая проблема вышибла его из его же монотонности, от чего он чувствует себя неуютно. Единственным желанием является скорейшее возвращение к работе, то есть решение проблемы, причинами и сутью которой он совсем не интересуется.
  • Технический работник (системный администратор, оператор и т.п.). Вы когда-нибудь слышали, как сисадмин общается с остальными работниками? Правильно, они делают это снисходительно, но вежливо (особенно с начальником, бухгалтером). В речи изобилуют специальные термины (ведь для него это не термин, а просто словарный запас) и настойчивое желание вернуться к своей банальной работе, то есть прекратить всякую деятельность. Отказ сотрудничать встречается легко, в мягкой (или не очень) форме давая понять, что проблема без него станет только серьёзнее, а также какие всё это может иметь последствия (во всех красках). И вообще, следит за всем он, но, отказавшись, оппонент берёт на себя ответственность за проблему, а значит, все шишки от высоко начальства падают уже именно на него.
  • Секретарь. Мужчина с хриплым басом подойдет на эту роль меньше всего. Секретарь, а обычно секретарша, это девушка с приятным голосом (зачастую это один из критериев отбора). Секретарь, как правило, в курсе дел, которыми занимается его шеф и контора в целом, поэтому может невзначай ронять факты (лучше достоверные, но можно и те, которые невозможно проверить). Своей задачей имеет во что бы то ни стало выполнить поручение начальства, а при отказе сотрудничать упоминает наказание со стороны всё того же начальства.
  • Начальник. Своим поведением показывает, что возникшая проблема незначительна, а значит, никаких задержек в её решении быть просто не может. Или же проблема серьёзна, тогда на всякую ерунду просто нет времени, так как контора может понести значительные убытки из-за каких-то пустяков. Начальник – человек привыкший приказывать и не привыкший слышать возражения, у него просто нет на них времени, поэтому тон жёсткий, темп разговора быстрый и чёткий.

А теперь несколько слов о том, как СИнжер заставляет себе поверить. Мало кто заканчивал театральные училища и обладает навыками актёрского мастерства. Самый простой способ – это практика, практика и еще раз практика. Однако если практиковаться времени нет, вспомним многие истории о том, что даже актёры не просто играют, а стараются вжиться в образ персонажа. Это может сделать и СИнжер...

Вы бы не смеялись, если бы были сисадмином и у Вас полетела база данных? Точно нет. Вот и настоящий СИнжер, переживает те же эмоции и создаёт такое же настроение, что и реальный человек в реальной экстремальной ситуации. При таком подходе шансы на успех значительно возрастают.

Методы социальной инженерии #

Кем бы нападающий не прикидывался, какие бы истории не придумывал, в конце концов, все свои труды нужно довести до жертвы. Существует три принципиально различных способа выполнения этой задачи:

  • Интернет – обладает рядом преимуществ. В интернете языковой барьер становится не более чем условностью, а половые и возрастные признаки вообще перестают существовать. Очень удобно для атаки на большое количество пользователей. Кроме того, можно создать кучу персонажей, которые помогут "запудрить" мозги окружающим.

К примеру, если я зайду на форум, посвящённый поэзии и скажу, что пишу классные стихи, скорее всего, никто даже внимания не обратит. А вот если предварительно туда зайдут четыре – пять пользователей (которых я сам же и создам), которые невзначай заведут разговор о том, какой я классный поэт, то и реальные посетители начнут меня расспрашивать, просить дать почитать стихи. И стихи им, кстати, больше понравятся. Трудно критиковать того, кто уже получил признание, особенно если ты не имеешь авторитета.

Социальная инженерия

Как уже говорилось, можно использовать интернет для массовых надувательств. Например, вот так:

Уважаемые клиенты платежной системы Новые-Интернет-Деньги. В результате атаки злоумышленников на наш сервер была утеряна часть базы данных клиентов. Убедительная просьба оказать помощь в восстановлении базы и выслать свой логин и пароль. От Вашей сознательности зависит время восстановления системы.

Заранее благодарю, администратор ООО "Новые-Интернет-Деньги"

Mailto: admin@new-net-money.ru

И самое смешное, что многие покупаются. Главное в этом деле постараться не использовать бесплатные почтовые ящики, так как это сразу вызывает подозрение у мало-мальски компетентного человека, или же использовать ящики таких зон, которые плохо известны атакуемому...

  • Телефон – телефон обладает рядом преимуществ перед интернетом. Также как и в интернете, СИнжер остается анонимным, однако получает вербальную связь с жертвой. Преимуществом такой вот связи является необходимость моментального принятия решения. Нет времени на обдумывание и размышления. А если СИнжер при этом постоянно и аккуратно давит на собеседника, то шансы на положительный исход значительно увеличиваются. Хотя атакующий не рискует быть узнанным в лицо, подобные звонки с домашнего телефона никто и никогда не рискует. Просто номер легко вычисляется со всеми вытекающими...
  • Личная встреча – самый опасный и, пожалуй, малоэффективный способ. СИнжер рискует быть узнанным, что грозит серьезными проблемами. Кроме того, в более или менее серьезной организации человек с улицы не сможете пообщаться с людьми, которые знают пароли от секретных баз данных и другую подобную информацию. Его просто к ним не пропустят. Можно, конечно, попробовать применить методы социальной инженерии к охраннику (а ещё лучше к замку, хе-хе). Только охранник слушать ничего не будет, а потребует пропуск. Подделка же пропуска – это уже совсем другая статья (с замком, думаю, всё и так понятно).

Людские уязвимости #

Любой человек обладает своим индивидуальным характером, а также целым калейдоскопом положительных и отрицательных качеств. Все эти нюансы, разумеется, использует СИнжер, однако, специфика данного использования достаточно интересная. Дело в том, что любое человеческое качество, как положительное, так и отрицательное, потенциально является его слабым местом. Это что касается качеств, таких как жадность, отзывчивость, преданность, доброта и т.п. А если говорить о всевозможных человеческих комплексах, то здесь вообще открывается непаханое поле для "надувательства" людей.

Социальная инженерия

Рассмотрим несколько самых типичных черт человеческого характера.

Жадность

Позволю себе небольшое отступление в область философии. Перед тем как говорить о жадности, нужно чётко представить себе, что существует такое понятие как ценность. Ценности бывают самые что ни на есть разнообразные. Нумизмат готов купить монету, которая простому человеку даром не нужна, за бешеные деньги, коллекционер картин готов отдать последнюю рубашку за очередной шедевр... Но это крайности, а если говорить об обычных людях, то каждый из нас готов предложить больше, чем другие, за какую-то определенный материал, а вот за какой именно в первую очередь и выясняют СИнжеры.

А теперь о жадности. Желание получить много и просто так присуще абсолютно каждому. Очень часто, это желание настолько закрывает людям глаза, что они могут поверить практически во что угодно. Благодаря нашим средствам информации, уже трудно заставить человека поверить в заработок в $1000000 за месяц, а вот если предложить $300-800, то от желающих не будет отбоя. Хотя самое главное в этом деле, не сколько предложить, а насколько правдоподобно будет выглядеть это предложение. Люди, которые этим занимаются, очень четко видят грань, когда в предложении виден сыр, а когда уже и мышеловка на виду.

Вот здесь и возникает понятие ценности. Пообещать можно все, что угодно, обещать по закону не запрещено. Главное, знать, что именно обещать. Это могут быть самые разнообразные вещи: деньги, информация и т.д. Перед началом таких фокусов проводится доскональное изучение жертвы и определение, отчего она просто не сможет отказаться.

Страх

Это, пожалуй, одна из основополагающих защитных реакций человека. Каждый человек обладает индивидуальными страхами, которые найти подчас достаточно сложно, однако практически у всех сильны стандартные страхи: наказание от начальства, боязнь выглядеть глупо и т.п. В разговоре достаточно намекнуть на возникновение ситуации, которая вызывает страх у человека, а потом предложить помощь в решении данного вопроса и он полностью во власти СИнжера.

Страх хорош своей инстинктивностью. Как только в человеке вызван страх, его заботит только то, как устранить причину появления этого дискомфортного ощущения. Как правило, очень немногие способны задуматься, что это результат чьей-либо деятельности.

Вот Вам пример:

- Здравствуйте, это отдел управления автоматизированными система, администратор Михаил;

– Я Вас слушаю.

– У нас небольшая проблема, мы почему-то не можем получить доступ к Вашему компьютеру, чтобы следить за его состоянием, Вы случайно не меняли пароль?

- Да, вроде нет.

- Скажите, это Ваш пароль xyxcdsewrfytfhj ?????

- Нет-нет, это не он.

- Странно... Невозможно, чтобы в Нашей базе произошла ошибка... не могли бы Вы назвать свой пароль?

– А я слышала, что свой пароль кому попало давать не следует, и что это может плохо закончиться.

- Ну, я не кто попало и необходим он мне исключительно с целью поддержание Вашего компьютера в рабочем состоянии. Вы ведь не хотите разговаривать с шефом на тему невыполнения его задания из-за того, что компьютер не работал. Как Вы считаете, ему это понравится?

- Думаю не очень, мой пароль megamasha.

- Большое спасибо, думаю, теперь всё будет нормально. Хорошего дня! – И Вам!..

Доверчивость.

Это качество является слабостью, как минимум по двум причинам. Одна – это та, которая родилась ещё до нас, это есть лень. Всегда ведь гораздо проще поверить, нежели проверить, тем более если проверка не самое лёгкое занятие. И второе – застенчивость и робость. Не каждый сможет заявить, что собеседник врёт, если он говорит уверенным и авторитетным тоном.

Поэтому Синжер ведёт разговор тоном, не приемлющим никаких возражений. Кроме того, если нет информации подробной информации, могут быть использованы самые общие и труднопроверяемые факты. СИнжер никогда не представится старожилом конторы, чтобы не нарваться на лишние вопросы, чтобы была возможность сослаться на то, что он новенький и что-то попутал.

Случай в общежитии:

- Можно мне в 473 комнату буквально на 10 минут?

– Нет, посещение после 20:00 запрещено!

- Но очень надо..

- Нельзя.

- Вы не понимаете, мы через 20 минут уезжаем на игру в футбол, а у нас заболел один член команды, мне только нужно сказать, чтобы Сергей собирался скорее.

- Ну, ладно, одна нога здесь, другая там.

- Спасибо!!!

На самом деле, таких вот дырок в нашей голове намного больше и методов, которыми этой дыркой воспользоваться можно тоже хватает. Поэтому будьте очень внимательны, когда от Вас что-то хотят, особенно достаточно ценное. Большинство приведенных выше атак можно отразить, проявив внимательность и немножко подумав.

Вместо заключения #

Ну, вот мы и познакомились с таким понятием как социальная инженерия. А чтобы не попасться на одну из уловок СИнжера, по крайней мере, в интернете, помните, что любая солидная компания оставляет свои координаты, и делает она это для того, чтобы Вы обращались при возникновении проблем.

Этого стесняться не нужно, это жить помогает!

Отзывы

0 Оставить отзыв

    Добавить отзыв

    загрузить другую
    Ваш отзыв

    Видео

    BenQ PU9730: обзор инсталляционного двухлампового проектора

    23 января 20159890 2

    Обзор инсталляционного двухлампового проектора BenQ PU9730. Модель имеет моторизованный большой зум с широким диапазоном масштабирования и поддерживает вертикальный/горизонтальный сдвиг линз. Проектор можно разворачивать на 360 градусов и управлять им дистанционно [..]

    Видеосвидетель 5410 FHD 2CH: обзор видеорегистратора с двумя камерами

    31 декабря 201413321 0

    Обзор видеорегистратора Видеосвидетель 5410 FHD 2CH. В комплекте с устройством поставляется дополнительная камера для крепления на заднее стекло автомобиля. Обе камеры записывают видео со звуком в разрешении 1920x1080 при 30 кадрах в секунду. Посмотреть отснятое можно на экране [..]

    Видеосвидетель 4410 FHD G: обзор видеорегистратора

    31 декабря 201412751 0

    Обзор видеорегистратора Видеосвидетель 4410 FHD G. Устройство снимает видео со звуком в разрешении вплоть до 2304x1296 на частоте 30 кадров в секунду и умеет делать фотографии. Угол обзора камеры составляет 170 градусов по горизонтали. В числе особенностей модели – система [..]

    Cвежие новости

    Все новости