Надувательство телефонной компании
В реальной жизни телефонный номер, которым пользуется бюро CNA – тщательно охраняемый секрет.
Хотя телефонные компании окончательно поняли это и в наши дни не просто получить подобного рода информацию, они тоже используют вариант speakeasy-безопасности, которую профессионалы называют безопасность через незаметность (security through obscurity). Они предполагают, что любой, кто звонит в бюро CNA и знает соответствующий сленг («Обслуживание клиентов. CNA на номер 555-1234, пожалуйста», например) является уполномоченной на это персоной.
Наивность человека
Надо признать, что мы не внимательны к окружающим нас опасностям. Особенно, если говорить о жителях западного мира. В Соединенных Штатах люди не приучены относиться друг к другу с подозрением. Напротив, нас учили «любить ближнего», доверять и верить друг другу. Дошло до того, что некоторые не закрывают на ключ собственный дом или машину. Угроза явная, но, несмотря на это, многие из тех, кто предпочитает жить красиво, игнорируют опасность – во всяком случае, до тех пор, пока не столкнется с этой опасностью лицом к лицу.
Мы знаем, что далеко не все люди добрые и честные, но предпочитаем вести себя так, как будто все наоборот. Эта умиляющая наивность наполняет жизнь американцев, и с ней не так просто расстаться. Многие американцы считают, что концепция свободы подразумевает, что лучшее место для жизни – это там, где ключи и замки вообще не нужны.
Есть и такие, кто заблуждается, думая что его не обманут хотя бы потому, что вероятность быть обманутым ничтожно мала. Нападающий, пользуетющийся этим заблуждением, – пользуется доверием своей жертвы и придает своим словам естественность, не вызывающую никаких подозрений.
Найти Гондорффа
Теперь предстояло узнать, в каком из корпусов центра сидит Гондорфф. Эту информацию сотрудники исправительных учреждений и тюрем стараются никому не предоставлять. Еще раз Джонни пришлось использовать свое мастерство социального инженера.
Он позвонил в тюрьму другого города – Майами, но выбор был совершенно произвольным, и сказал, что звонит из исправительного центра в Нью-Йорке. Он попросил соединить его с кем-нибудь, кто работает с информационной системой, содержащей сведения обо всех узниках исправительных учреждений США.
Когда на его звонок ответили, Джонни, старательно изображая Нью-Йоркский акцент, сказал:
– Привет, это Томас из исправительного центра в Нью-Йорке. У нас не работает соединение с информационным центром, помогите мне разыскать одного из заключенных. Я думаю, что он сидит в вашей тюрьме, – и дал имя и регистрационный номер Гондорффа.
– Нет, его нет здесь, – отозвался собеседник через несколько секунд. – Он находится в исправительном центре Сан Диего.
Джонни изобразил искреннее удивление:
– Как Сан-Диего! Его надо было перевезти в Майами специальным рейсом в сопровождении маршалов еще на прошлой неделе! Мы говорим об одном и том же парне - какая у него дата рождения?
– 12 марта 1960 года, – прочел его собеседник с экрана монитора.
– Да, это он. А в каком здании он находится?
– Он в десятом северном корпусе, – сказал мужчина, слепо отвечая на поставленный вопрос, даже не задумываясь о том, почему сотрудник тюрьмы в Нью-Йорке вдруг захотел узнать конкретное место заточения одного из узников.
Джонни выполнил три пункта из своей программы, теперь ему предстояло узнать, какой номер телефона закреплен за десятым северным корпусом.
Это оказалось не простым занятием. Джонни набрал один из номеров. Он знал, что звонок у всех телефонов в тюрьме отключен, поэтому никто не догадывался, что телефон звонит. Джонни сел и начал перечитывать один из журналов, подвернувшихся под руку, слушая постоянные гудки в трубке. Наконец кто-то взял ее на другом конце. Это человек хотел поговорить со своим адвокатом. Джонни был готов к такому развитию событий и быстро ответил:
– Офис PDO слушает.
Мужчина попросил соединить его со своим адвокатом. Джонни сказал:
–Я посмотрю, на месте ли он. Из какого корпуса вы звоните?
Услышав ответ, он положил трубку и через минуту сказал:
– Ваш адвокат в суде, перезвоните ему попозже.
Джонни потратил на звонки все утро, но ему еще повезло: с четвертой попытки он попал в десятый корпус. Теперь он знал номер телефона в здании тюрьмы, где сидел Гондорфф.
Наличные в обмен на мусор
Корпорации тоже играют в игру под названием «копание в мусоре». У прессы был знаменательный день в июне 2000 года, когда сообщалось, что Оракл Корпорейшн (чей исполнительный директор, Ларри Еллисон, является, пожалуй, самым откровенным противником Майкрософт) наняла частную сыскную фирму, которую поймали, когда она «запустила руку в банку с печеньем». По-видимому, разведчикам нужно было заполучить мусор от поддерживаемой Майкрософт компании АСТ, но они не предполагали, чем может закончиться столь рискованное мероприятие.
Согласно сообщению в прессе, сыскная фирма подослала женщину, которая предложила 60 долларов уборщикам в обмен на мусор из АСТ. Уборщики отказались. На следующий вечер она вернулась, уже предлагая 500 долларов уборщикам и 200 долларов смотрителям.
Уборщики отвергли это предложение и сдали ее полиции.
Ведущий он-лайн журналист, Деклэн МакКалла из газеты «Вайред Ньюс», следуя литературным традициям, озаглавил это событие: «Оракл шпионит за Майкрософт». Журнал «Таймс», приковывая внимание к Еллисону, назвал статью просто: «Подглядывающий Ларри».
Настройка
Несколько лет назад для многих людей было занимательным времяпрепровождением держать радиоприемник настроенным на радиоволну местной полиции или пожарной команды. И время от времени слушать эмоциональные переговоры в реальном времени о развитии таких событий, как ограбление банка, тушение пожара или погоня на высокой скорости. Таблицы радиочастот, используемых силовыми структурами и пожарными подразделениями, можно было найти в справочниках ближайшего книжного магазина. Сегодня они доступны в интернете или в книге, которую можно купить в Radio Shack (радиорубке) – там указаны радиочастоты местных, окружных, государственных и, в некоторых случаях, даже федеральных служб.
Конечно, слушают их не только любопытные. Грабители, опусташающие магазин среди ночи, могут настроиться и услышать, как полицейская машина отправляется к месту происшествия. Наркоторговцы могут следить за действиями Агенства по борьбе с наркотиками. Поджигатель может усилить свое болезненное наслаждение, если будет слушать, как пожарники борются с разведенным им огнем.
Совсем недавно разработчики компьютерных технологий создали возможность кодировки речевых сообщений. Как только инженеры нашли способы всунуть в единый микрочип огромные вычислительной мощности, они начали создавать маленькие радиопередатчики для силовых структур, которые позволяют защитить переговоры от прослушивания плохими парнями и любопытными.
Не отставайте от Джонсов
В Силиконовой Долине есть одна очень известная компания, имя которой мы называть не будем. Расположенные по всему миру офисы продаж компании, а также другие ее подразделения связываются с головным офисом через сеть WAN (wide area network). Злоумышленник, умный и смелый парень по имени Брайен Аттерби, знал, что почти всегда можно легко проникнуть в эту сеть с одного из удаленных узлов, за безопасностью которого не смотрят так строго, как в Центральном офисе.
Злоумышленник позвонил в офис города Чикаго и попросил мистера Джонса. Секретарь спросила, знает ли он имя мистера Джонса, на что самозванец ответил:
– Я знал, но забыл его. Сколько Джонсов у Вас работает?
– Три. В каком отделе работает нужный Вам?
– Если Вы подскажете мне их имена, вероятно, я смогу вспомнить нужное.
– Бэрри, Джозеф и Гордон, – назвала секретарь.
– Джо. Я совершенно уверен, что это он. И он работает... в каком отделе?
– В отделе развития.
– Отлично. Соедините с ним, пожалуйста.
Секретарь соединила. Когда Джонсон ответил, нападающий произнес:
– Мистер Джонс? Здравствуйте! Это Тони из отдела зарплаты. Мы только что выполнили Ваш запрос о переводе чека с зарплатой на Ваш счет в кредитном банке.
– ЧТО??? Вы смеетесь? Я не делал подобного запроса. Я даже не имею счета в кредитном банке!
– Черт побери! А я уже сделал перевод.
Джон был слишком расстроен мыслью о том, что его чек мог попасть на какой-нибудь чужой счет, и решил, что парень на другом конце провода малость туповат. До того, как он что-нибудь ответил, злоумышленник произнес:
– Сейчас посмотрю, как это произошло. Изменения в ведомости зарплаты помечены персональным номером. Какой у Вас номер?
Джонс дал номер.
– Да, Вы правы, запрос был не от Вас, – отозвался звонивший.
Они тупеют с каждым годом, подумал Джонс.
– Хорошо, я позабочусь об этом и внесу изменения прямо сейчас. Так что не волнуйтесь, с вашим следующим чеком будет все в порядке, – сказал парень обнадеживающе.
«Не желаете бесплатненького?»
С давнего времени вирусы досаждали человеку и причиняли головную боль медикам. Компьютерные вирусы представляют собой такую же напасть для пользователей техники. Само название «вирус» очень подходяще для этого явления. Очевидно, что компьютерный вирус, о котором вдруг начинают все говорить и который вдруг оказывается в центре всеобщего внимания, способен причинить немало вреда. Это продукт деятельности компьютерных вандалов.
Эти вандалы, а точнее компьютерные болваны, из кожи вон лезут, чтобы показать, какие они умные. А иногда подобострастно заискивают перед более взрослыми и опытными хакерами, иллюстрируя что-нибудь этакое. Такие люди исходят из того, что им зачтется, сделай они сетевого червя или разрушительный вирус. Они раздуваются от гордости, смотрявидя, как их творение разрушает файлы, портит диски и распространяется в электронных сообщениях тысячам ничего не подозревающих пользователей. А еще лучше, если вирус наделает столько шума и натворит такой беспорядок, что о нем начнут предупреждать в Internetинтернет-новостях и писать в газетах.
О вандалах и вирусах написано немало книг, создано немало антивирусных программ и на рынке немало компаний, разрабатывающих эти программы компаний. Но здесь мы не будем касаться технической стороны атаки. Сейчас интересно попоговорить не о деструктивных наклонностях вандала, а о целеустремленности его дальнего родственника – социоинженера.
Небольшая помощь новичку
Новые служащие – заманчивая цель для атакующего. Они еще не успели со многими познакомиться и не чувствуют себя уверенно во всех рабочих «можно» и «нельзя». И, что тоже также немаловажно, новички, пытаясь произвести хорошее впечатление на начальство, стараются не отказывать в содействии.
Невидимый сотрудник
Ширли Катлес придумала новый увлекательный способ быстро подзаработать. Никаких долгих часов изнурительного труда на соляных копиях. Она вступила в ряды сотен других членов самого популярного жульничества десятилетия - воров идентичности. Сегодня она направила свои усилия на получение конфиденциальной информации от сервисного департамента компании, выпускающей кредитные карточки. После необходимой предварительной подготовки она позвонила в эту компанию и попросила соединить ее с отделом телекоммуникаций. Далее она попросила соединить ее с тем, кто занимается голосовой почтой.
Используя собранную заранее информацию, она объяснила, что звонит Норма Тодд из офиса в Кливленде. Используя уже хорошо знакомое нам мошенничество, она сказала, что должна на некоторое время уехать в командировку, но ей надо проверять свой ящик голосовой почты так, чтобы не пришлось платить за междугородние звонки. Можно ли это сделать? Служащий ответил, что все сделает и перезвонит ей, чтобы дать всю необходимую информацию.
Спокойным голосом она ответила: «Дело в том, что я сейчас на встрече. Давайте лучше я перезвоню вам через час».
Когда она перезвонила, служащий сообщил ей, что все сделано и назвал номер расширения и временный пароль, который надо говорить для доступа к ее почте. Он спросил, знает ли она, как надо менять пароль голосовой службы, и она внимательно прослушала все его инструкции, хотя знала их отлично.
– Кстати, – спросила она, – какой номер я должна набирать из этого отеля, чтобы проверить свою почту?
Он сказал ей номер. Ширли позвонила по этому номеру, сменила пароль и записала новое приветствие.
Никого не забывайте
Политики безопасности часто упускают из виду сотрудников, работающих на незначительных должностях, таких как сотрудники приемной, поскольку они не имеют доступа к важной информации. Тем не менее, мы много раз видели, что именно такие сотрудники становятся мишенью атакующих. Проникновение в компанию автозапчастей - прекрасный тому пример: дружелюбный человек в спец. одежде утверждает, что он сотрудник вашей компании из другого здания, но на самом деле может оказаться вовсе не тем, за кого себя выдает. Сотрудник компании, работающий в приемной, должен быть тщательно обучен вежливому ведению диалога с пришедшим и четкому запросу его документов. При этом обучены должны быть не только те, кто сидит в приемной постоянно, но и те, кто заменяет их на время обеденного перерыва и других краткосрочных отлучек.
У визитеров, не являющихся сотрудниками компании, надо требовать удостоверение личности и записывать все сведения в журнале. Сделать фальшивое удостоверение личности не так сложно, но требование документа усложняет передвижение атакующего.
В некоторых компаниях имеет смысл следовать политике, требующей, чтобы все визитеры передвигались по территории только в сопровождении сотрудников компании. Причем сопровождающий должен точно знать – является сопровождаемый им человек сотрудником компании или нет. Почему это важно? Потому что, как мы уже видели в предыдущих историях, атакующий часто представляется сначала одним человеком, а потом - другим. Для него ничего не стоит убедить дежурного в приемной, что у него назначена встреча с одним из инженеров. А когда он попадет в помещение, где работают инженеры, там он может представиться продавцом каких либо устройств, и после недолгой беседы получает возможность свободного передвижения по всему здания.
Поэтому, принимая человека на работу в качестве сотрудника приемной, надо убедиться, что он осведомлен обо всех основных методах, которые используют атакующие для проникновения в здания.
А как защититься от атакующего, которому удалось проникнуть в здание компании и подключить свой ноутбук к сети за корпоративным сетевым экраном? Это не так-то просто сделать: во всех комнатах для встреч и конференций, классах для обучения и других аналогичных помещениях компании все порты подключения должны быть защищены при помощи сетевых экранов или маршрутизаторов. Но самая эффективная защита - это идентифицировать всех пользователей, которые соединяются с сетью.
Никого не забывать...
Каждый может с легкостью вычислить внутри собственной организации структуры, которые нуждаются в повышенном внимании с точки зрения безопасности. Но мы легко можем не заметить менее очевидные, но не менее уязвимые места. В одной из историй просьба отправить факс на внутренний номер кажется обычной и не представляющей никакой угрозы, но, как вы заметили, атакующий отлично этим воспользовался. Мораль: все, начиная от ассистентов и секретарей и заканчивая высшим звеном руководства, должны быть знакомы с подобного рода уловками. И не забудьте плотно закрывать входную дверь: ресепшен обычно первым сталкивается с социоинженером, и служащие, работающие в холе, должны вовремя распознать в звонящем или зашедшем человеке своего врага.
Служба безопасности должна позаботиться об организации единого центра, куда бы обращались все сотрудники, подозревающие, что стали или становятся мишенью социоинженера. Центр обработки инцидентов, так или иначе связанных с корпоративной безопасностью, позволит создать на фирме своего рода систему раннего оповещения, благодаря которой спланированная и скоординированная атака попадет под контроль еще уже на начальном этапе своего развития.
Номер, пожалуйста
Атакующий звонит в дДиспетчерский центр распределения линий (Mechanized Line Assignment Center, MLAC) частной телефонной компании. Женщине, ответившей на вызов, он говорит примерно следующее: «Привет! Это Пол Энтони. Разводчик. Слушайте, здесь распределительная коробка выгорела. Пожар был. Копы думают, что этот придурок решил поджечь дом из-за страховки. Меня отправили развести весь этот терминал, а здесь две сотни пар. Мне реально действительно нужна помощь! Что у вас по клиентам на Саус Мэйн, 6723?».
Если бы Пол звонил в другой отдел компании, то там бы с подозрением отнеслись к такому вопросу. Реверсивные запросы на получение номеров (не занесенных в общедоступные справочники) по адресу или имени клиента возможны только после положительной идентификации запрашивающего в качестве уполномоченного служащего компании. Но в отделе MLAC привыкли иметь дело с работающими «на земле» и, казалось бы, в MLAC мог обратиться только служащий компании. И, если даже запрещено разглашать непубличную информацию посторонним, кто откажется помочь сослуживцу в его нелегком деле. Женщине, которая ответила Полу, было жаль беднягу, ей и вспомнились похожие проблемы из личного опыта работы в компании... Она дала маркировки кабеля, номера пар и номера телефонов по Саус Мэйн 6723.
Новичок
Какая информация в компьютерах вашей компании может быть интересна атакующему? Иногда такая, что вам даже и в голову не придет защищать ее...
Новый партнер по бизнесу
У социальных инженеров есть большое преимущество перед мошенниками и взломщиками и это преимущество – расстояние. Мошенник может обмануть вас только в личной беседе, поэтому вы обратитесь в полицию, и опишите внешность преступника, а то и вызовите их немедленно, если почувствуете неладное.
Социальные инженеры обычно бегут от такого риска как от чумы. Иногда риск оказывается неизбежным, но тогда он вознаграждается сторицей.
О книге
Корпоративная безопасность – это вопрос равновесия. Недостаточная защищенность означает уязвимость, тогда как избыток оборонных мер сказывается негативным образом на различных аспектах деятельности компании, на ее росте и процветании. Задача заключается в достижении равновесия между безопасностью и производительностью.
Другие книги, посвященные корпоративной безопасности, акцентируются на аппаратных и программных технологиях, не уделяя достаточного внимания самой серьезной угрозе, каковой, без сомнения, является обман сотрудников. В отличие от других, эта книга рассказывает о методах манипулирования людьми, Вашими сослуживцами и Вами лично. В этой книге рассказывается о том, как защититься от подобного нападения. Здесь раскрываются нетехнические приемы, с помощью которых лазутчики проникают в компанию и воруют информацию, компрометируют целостность данных или разрушают производственный процесс.
Моя задача осложняется одной простой истиной: каждый читатель с детства находится под влиянием супер-экспертов в области социальной инженерии. Я говорю о родителях. Они всегда находят способ – «для Вашего же блага» - заставить Вас сделать именно то, что они считают лучшим. Родители – знающие свое дело «сказочники», которые, подобно социоинженерам, умеют придумывать правдоподобные, убедительные истории и приводить доводы, с которыми не поспоришь. Да, мы все сформированы своими родителями, великодушными социоинженерами.
Привыкшие к воздействию родителей, мы подчас становимся уязвимыми по отношению к атакам со стороны. Если постоянно обороняться, не доверять окружающим, ждать от других неприятностей, то жизнь покажется слишком опасным занятием. В идеальном мире мы безоговорочно верим людям, верим в благородство и доверяем тем, на кого полагаемся. Но, к сожалению, мы живем не в идеальном мире и, поэтому, у нас есть враги, готовые обмануть и предать.
Основное место в этой книге (вторая и третья части) отведено историям о работе социоинженеров. Вы узнаете:
·
то, что фрикеры знали уже очень давно.
Например, как получить номер телефона, отсутствующего в справочниках;
· несколько способов получения паролей пользователей, пусть даже бдительных и подозревающих неладное пользователей;
· как атакующий вошел в доверие к менеджеру отдела операций, благодаря чему была похищена секретная информация о готовящемся к выпуску продуктепродукте, который готовится к выпуску;
· метод, позволивший атакующему обмануть сотрудницу, которая скачала программу, запоминающую все нажатия клавиш и пересылающую информацию злоумышленнику;
· как частные детективы собирают досье на компанию или человека. Досье, которое, я уверяю, заставит Вас изрядно поволноваться.
Вы можете подумать, что некоторые истории невероятны, что никто ничего не добьется с помощью подобных уловок и откровенной лжи. Реальность такова, что эти истории описывают события, которые вполне могут произойти лично с Вами и происходят повсеместно.
Материал этой книги будет для Вас откровением, особенно если Вы защищаете свой бизнес или чувствуете необходимость в охране личной, конфиденциальной информации.
В четвертой части книги я перехожу на другую сторону. Теперь я помогаю Вам создать политику безопасности и даю советы касательно обучения, повышения компетентности персонала. Все это крайне важно, если Вы не хотите пасть жертвой социоинженера. Понимая стратегии, тактику и приемы социальной инженерии, Вы можете и должны подготовить почву и реализовать адекватные механизмы защиты информационных активов. Немаловажно, что при этом не должны пострадать деловые интересы компании. Об этом четвертая часть.
Короче говоря, я написал эту книгу с единственной целью: обратить Ваше внимание на серьезную угрозу – социоинженерию, а если быть точным, промышленный шпионаж. Я хочу помочь в деле предупреждения этой угрозы, нависшей над Вашим бизнесом и сотрудниками, снизить связанные с угрозой риски.
Я бы даже сказал, устранить риск.
Часть вторая. Ремесло шпиона
О паролях
Сотрудники, которые сегодня имеют доступ к важной информации – то есть практически любой, у кого есть компьютер – должны понимать, что даже такое простое действие, как смена пароля всего на несколько минут может привести к серьезным брешам в безопасности.
Треннинги в сфере безопасности должны касаться вопросов смены паролей, причем особое внимание надо уделять тому, когда и как следует менять ваш пароль, каким должен быть правильный пароль и в чем состоит угроза допущения постороннего человека к этому процессу. Особое подозрение у всех сотрудников должны вызывать любые попытки узнать их пароли.
Кажется, что довести такие требования до сотрудников не составляет труда. Однако, это далеко не так, поскольку сотрудники должны хорошо осознать, что простейшее действие – смена пароля – может привести к проникновению хакеров в систему. Вы учите своего ребенка: «Смотри сначала налево, а потом - направо, когда переходишь улицу», но пока он не поймет, почему это важно, вы можете полагаться только на его слепое послушание. А правила, основанные на слепом послушании, обычно забываются или игнорируются.
Обман неосторожных
Я уже подчеркивал, как важно инструктировать сотрудников, чтобы они никогда не выполняли просьб незнакомого посетителя. Все сотрудники также должны понимать опасность выполнения просьб сделать что-либо на чужом компьютере. Политика компании должны запрещать подобные действия за исключением тех случаев, когда они одобрены руководством. Вот в каких ситуациях подобные действия допустимы:
·
когда просьба исходит от хорошо известного вам человека, причем сделана она в личной беседе или по телефону;
· когда вы точно установили личность говорящего при помощи методов утвержденных руководством;
· когда действия одобрены руководством, непосредственно знакомым с человеком, сделавшим запрос.
Сотрудники компании никогда не должны помогать человеку, с которым они лично не знакомы, даже если тот представляется одним из руководителей компании. После того, как политики, обеспечивающие безопасность и касающиеся проверки личности определены, надо убедить сотрудников следовать им, даже если для этого придется вступить в конфликт с представителями руководства, когда они попросят обойти политику безопасности.
Во всех компаниях должны быть четко определены правила действий на тот случай, если к сотрудникам обратятся с просьбой предпринять те или иные действия с компьютерами или компьютерным оборудованием. В рассказанной выше истории про издательский дом социальный инженер использовал новичка, который еще не был обучен процедурам и политикам в сфере информационной безопасности. Чтобы избежать подобных атак, каждый сотрудник, а особенно новички должны выполнять одно простое правило: никогда не выполняйте просьб посетителей, если эти просьбы связаны с компьютерами.
Запомните, что любым сотрудником, имеющим физический или электронный доступ к компьютеру или компьютерному оборудованию могут манипулировать таким образом, чтобы он предпринял некие действия по указке атакующего.
Сотрудники компании, а особенно - персонал департамента информационных технологий, должны осознать, что предоставление чужому человеку доступа в компьютерную сеть компании ничем не отличается от оглашения номера вашего банковского счета или кредитной карты с экрана телевизора.
Сотрудники должны всегда тщательно продумывать - не приведет ли выполнение подобной просьбы к раскрытию важной информации или взлому корпоративной компьютерной сети.
Сотрудники ИТ-департамента должны также очень осторожно относиться к тому, что визитеры или люди, звонящие по телефону, представляются как поставщики оборудования. Лучше всего назначить в компании специальных людей, ответственных за общение с каждым из поставщиков конкретного оборудования, и запретить всем остальным сотрудникам отвечать на любые запросы поставщиков об изменениях в составе оборудования или внутренних корпоративных телефонов. В таком случае назначенные сотрудники компании лично знакомятся с представителями поставщиков оборудования, и их будет труднее обмануть постороннему человеку. Если звонит представитель поставщика оборудования, с которым у компании нет никаких связей, это с самого начала должно вызывать подозрения.
Все сотрудники компании должны хорошо осознавать существующие угрозы для информационной безопасности и уязвимости в системе ее защиты. Все охранники должны проходить специальные тренинги не только по обеспечению безопасности компании, но и по обеспечению ее информационной безопасности. Поскольку охранники чаще всего имеют доступ ко всем помещениям компании, они должны быть знакомы со всеми видами атак социальных инженеров, которые те могут предпринять для проникновения в эти помещения.
Образование, правда, бесчестным путем
Он смог проникнуть в компьютерную сеть университета штата, нашел там запись о каком-то отличнике, скопировал ее и, снабдив своим именем, добавил к списку выпускников. Тщательно обдумав сделанное, он пришел к выводу, что могут быть и другие списки студентов, где должно встречаться его имя - перечень жильцов общежития, квитанции оплаты за обучение, списки посетителей тех или иных лекций и многое другое. Простое добавление себя в список выпускников, оставляет значительную вероятность выявления этого мошенничества.
Продолжая серьезно думать о реализации своей мечты, Майкл понял, что гораздо эффективнее найти выпускника с тем же именем и фамилией, получившим диплом по компьютерным наукам в определенный период времени. Тогда он сможет помещать идентификационный номер медицинского страхования этого Майкла Паркера на свое заявление об устройстве на работу. Отдел кадров любой компании, послав запрос в университет, удостоверится, что такой человек имеет диплом по компьютерным наукам. (Большинство людей не осознают того, что четко знал Майкл: на заявление о приеме на работу он может ставить чужой номер медицинской страховки, а после приема, ставить в анкете свой настоящий номер. Большинству отделов кадров не приходит в голову сверить эти номера.)
Один простой звонок
Основная задача атакующих - добиться, чтобы их запрос звучал убедительно, был похож на типичные запросы, которые жертва получает ежедневно, и не раздражал бы ее сверх необходимости. Так же, как это бывает и со многими другими вещами в нашей жизни, сделать убедительный звонок - иногда проще простого, а в другой раз - сложнее сложного.
Охранник, всегда готовый помочь
Мошенники всегда стремятся отыскать жадного человека, потому что он охотней всего попадается на их удочки. Социальные инженеры, когда отыскивают мишень для атаки среди уборщиков или охранников, ищут самого симпатичного, доверчивого и доброжелательного. Именно от них можно ждать помощи. Об этом и думал атакующий в нижеследующей истории.
Оно приходит с электронной почтойпо электронной почте
Скорее всего, вы каждый день получаете незатребованную почту, сообщения, рекламирующие что-то бесплатное, то, что абсолютно не нужно и о чем даже мысли в голову не приходили. Вы понимаете, о чем я. Кто-то советует, куда надо вложить деньги, кто-то предлагает скидки на компьютеры, телевизоры, видеокамеры, витамины, турытурпоездки; другие предлагают вам обзавестись абсолютно ненужной кредитной картой или устройством, которое без проблем и бесплатно позволяет получать настроится на каналы спутникового телевидения. Ну и конечно масса способов улучшить здоровье и избавиться от проблем в личной жизни.
Но всегда найдется такое письмо, которое, лишь только «нарисовавшись» в ящике, сразу привлечет к себе внимание. Может быть, это бесплатная игрушка, а вам нечего делать, или фотографии любимого киногероя, а может быть это недорогая антивирусная программа. И чтобы не предлагалось в сообщении, рядом будет ссылка, по которой можно загрузить навязываемые вам файлы.
Есть и другие сообщения, заголовок которых выглядит примерно так: «РомаДон, я скучаю по тебе». Или «Анна, ты почему мне не пишешь». Или «Привет Тима, здесь то фото, помнишь, я говорил...». Вы подумаете – это не реклама, ведь написано мое имя, и фраза кажется знакомой. И вы открываете вложенный файл с фотографией или текстом.
Стоит вам открыть файл из электронного конверта, посланного непонятно кем, загрузить программу, о которой говорилось в рекламке, нажать на ссылку сайта, о котором вы раньше и не слышали – и проблема уже рядомтут как тут. Без сомнения, в большинстве случаев вы получите именно то, что и ожидалосьожидали. В худшем случае, нечто странное или противное. Но иногда, даже не подозревая этогооб этом, можно обзавестись поделкой компьютерного вандала.
Сама по себе отправка злонамеренного кода на ваш компьютер – это только небольшая часть атаки. Для завершения атаки взломщик должен еще заставить вас загрузить или открыть вложенный файл.
Примечание
Троян с удаленным доступом$$Remote Access Trojan, RAT.
Троянская программа с удаленным доступом или просто "крыса".$$ – это один из видов программ, хорошо известных в компьютерном андеграунде. Такого рода программа позволяет взломщику полностью контролировать компьютер свой жертвы, так, как если бы этот взломщик сидел за вашей клавиатурой.
Наиболее опасные черви (например, с названиями типа Love Letter, SirCam, Anna Kournikiva и т.п.), размножаются и расползаются по сети именно благодаря социоинженерной технике маскировки и не в последнюю очередь за счет нашего желания получить что-то бесплатненькое.
Сетевой червь обычно приползает в виде атачмента электронного письма с заманчивым или вызывающим текстом – сказкой про некие секретные материалы или бесплатную порнографию. Есть и более удачные находки. Например, в письме может быть написано «вложенный файл содержит копию чека», и далее упоминается якобы совершенная вами покупка на крупную сумму. Вы откроете файл хотя бы потому, что у вас возникнет подозрение, что кто-то воспользовался вашей кредиткой.
Поразительно, сколько людей попадаются на эту удочку. Мы остаемся крайне уязвимыми даже несмотря на то, что вокруг постоянно говорят об опасности. Наше чЧувство опасности притупляется.
Организационная наивность
Организационная наивность, как следствие наивности отдельного человеканашего национального характера, стала очевидной при первом же удаленном соединении компьютеров. ARPANet (Сеть Агентства по обеспечению Наукоемких Исследований при Министерстве Обороны), прародитель Интернет, была разработана для обмена информацией между правительственными учреждениями, исследовательскими и образовательными институтами. Целями проекта было становление принципов информационной свободы и технологического рационализма. В то время многие университеты пользовались компьютерами, защищенными слабо или вообще никак не защищенными. Один гуманист от программирования, Ричард Столман, нарочито и публично заявлял о том, что не защищаетотказывался защищать паролем свою учетную запись.
Угрозы информационной безопасности драматическим образом ворвались в жизнь после того, как Интернет начал использоваться в роли инструмента электронной коммерции. Эти угрозы и опасности стали Появились качественно другимеи угрозы и опасности и стало ясно, что технология, сама по себе, не способна защитить человекарешить проблему безопасности человека.
Посмотрите на современный аэропорт, где безопасность имеет первостепенное значение. Но в прессе постоянно появляются заметки о пассажирах, проносящих оружие в самолет. Разве это возможно сейчас, когда принимаются такие беспрецедентные меры? Проблема в металлодетекторах? Нет. Проблема не связана с машинами. Проблема заключается в человеческом факторе, в людях, управляющих этими машинами. Руководство аэропорта может задействовать Национальную Гвардию, установить наисовременнейшие детекторы и системы распознавания личности, но реально помочь может только специализированное обучение и тренировка охранников.
Похожие проблемы существуют в деловой сфере, в образовательных и государственных учреждениях. Несмотря на усилия экспертов по безопасности, информация везде и всюду остается лакомым куском для соционженера. И уязвимости в защите не исчезнут до тех пор, пока в цепи безопасности одно из звеньев – человеческий фактор – остается ослабленным.
Сейчас, как никогда раньше, пришло время избавиться от потребительского мышления там, где нужна компетентность в вопросах борьбы с атаками на конфиденциальность, целостность и доступность информации, атаками на компьютеры и сети. Пришло время включить защитные механизмы, научиться безопасной работе с компьютерной техникой.
Угроза может казаться мнимой, если еще не нарушена конфиденциальность Вашей личной информации или не взломаны информационные ресурсы Вашей организации. И чтобы не допустить такого рода нарушений, нам всем необходимо стать компетентными и бдительными, надо активно защищать информационные ресурсы, свою личную информацию и инфраструктуру государства. Реализовать предупредительные меры необходимо «здесь и сейчас».
От фрикера к хакеру
Моя первая встреча с тем, что называется социальная инженерия, произошла в средней школе и благодаря одному учащемуся, которого поймали за его любимым занятием – телефонным фрикингом. Фрикер – это разновидность хакера, который исследует телефонную сеть, неявным образом эксплуатируя телефонные системы и персонал телефонных же компаний. Этот однокашка показал мне несколько приемов работы с телефоном, среди которых было получение абонентской информации и использование для бесплатных междугородних звонков секретного пробного номера для бесплатных междугородних звонков. (На самом деле, эти междугородние звонки были бесплатными только с нашей точки зрения. Позже я выяснил, что этот номер был никаким не секретным и не тестовым. Фактически, звонки оплачивались одной несчастной фирмой.)
Это было мое первое знакомство с социальной инженерией – моей, так сказать, колыбелью. Мой друг и еще один фрикер, с которым я вскоре познакомился, позволяли мне слушать, как они, один за другим, делали совершали подложные звонки в телефонные компании. Я слушал и изучал, как они заставляют операторов поверить им и тому, что они говорили. Я узнавал много интересного об учреждениях телефонных компаний, я изучал сленг телефонистов и их работу. Прошло не так много времени, и я уже все делал сам, иногда даже лучше своих наставников.
Я вышел на дорогу, по которой шел все следующие пятнадцать лет.
В средней школе моим любимым развлечением было взламывать доступ к телефонному коммутатору и изменять класс группу доступа для домашнего телефона одного из моих приятелей-фрикеров. Когда приятель пытался позвонить с домашнего телефона, из трубки раздавалось сообщение о том, что для продолжения разговора в автомат необходимо бросить десять центов. Я делал так, чтобы, потому что коммутатор воспринимал его номер, как номер телефонного автомата.
Я буквально пропитался телефонами и всем, что было связано с телефонами связано. Я разбирался не только в электронике, коммутаторах и компьютерах, но и в корпоративной организации телефонных компаний, терминологии и функциях разнообразных служащих.
Еще через некоторое время я мог сказать о телефонных системах больше, чем любой из этих служащих. И я развил свои навыки социоинженера так, что в семнадцать лет мог спокойно общаться с любым телефонистом практически на любую тему. И неважно, разговаривал я с ними лично или по телефону или при личном контакте.
Моя, более известная, карьера хакера тоже началась в школе. Я не буду раскрывать все подробности, скажу лишь, что, благодаря одной из попыток взлома, я получил признание в команде хакеров.
Тогда мы называли хакером человека, который все свое время тратит на конструирование всевозможных устройств и написание программ;, придумывая более эффективные программы или обходя ненужные процедуры, чтобы в итоге работа выполнялась быстрее. Термин с тех пор приобрел уничижительную окраску – «злостный компьютерныйзлонамеренный
преступник». Я буду использовать это слово так, как делал это всегда – в его более раннем, добром значении.
После школы я проходил курсыпродолжил обучение в Лос-Анжелеском Центре Компьютерного Образования. Через несколько месяцев управляющий центра вдруг понял, что я нашел одну уязвимость в операционной системе, которая позволила мне получить весь набор администраторских привилегий на миникомпьютере IBM. Лучшие эксперты центра так и не смогли понять, каким образом мне это удалось. После этого произошел наверное один из первых в истории «найм хакера». Мне предложили то, от чего нельзя было отказаться: заняться честным делом повышения информационной безопасности центра или быть отчисленным за взлом системы. Естественно, я занялся честным делом повышения безопасности, и окончил учебу с отличием курсы
cum laude.
Относитесь к мусору с уважением
История с копанием в мусоре показывает, что макулатуру можно использовать с умом и нанести тем самым немалый урон компании. Есть восемь простых правил обращения с мусором:
· классифицируйте всю информацию по степени ее важности для компании;
· утвердите специальные процедуры для уничтожения важной информации;
· следите за тем, чтобы любая важная бумажная информация измельчалась бы в клочки, а совсем маленькие клочки уничтожались бы иным образом; уничтожители бумаги не должны быть дешевыми, нарезающими бумагу на ленточки, которые любой серьезный атакующий при определенном старании может сложить обратно в первоначальный лист, они должны измельчать документы буквально в конфетти;
· должны быть определены способы для утилизации ненужных или вышедших из строя компьютерных деталей, таких как флоппи-диски, ZIP-диски, компакт-диски или DVD, использовавшиеся для хранения данных, ленты, старые жесткие диски и т.п. перед их выбрасыванием; запомните, что удаленные файлы не исчезают без следа, их можно восстановить (в этом убедились, к примеру, топ-менеджеры компании Enron и многие другие люди, поплатившиеся за свою беспечность); выбрасывание отработавших деталей компьютера в мусор - это своеобразное приглашение вашим врагам воспользоваться ими в своих интересах (прочтите главу 16, где изложены подробные указания, как надо уничтожать устройства и детали);
· тщательно подбирайте уборщиков в ваших помещениях, при необходимости используйте различные проверки их личных дел и указанных в них сведений;
· напоминайте время от времени сотрудникам, что им всегда следует думать о том, что именно они выбрасывают в мусор;
· запирайте мусорные баки на замки;
· используйте различные мусорные баки для важных и менее важных материалов и поручайте работу с этими баками тем, кто умеет с ними обращаться.
Отвлекающие маневры
Широко известная поговорка гласит о том, что "защищенный компьютер – выключенный компьютер". Хорошо подмечено. Но не соответствует действительности. Злоумышленник заставит кого-нибудь пойти в офис и включить этот самый компьютер. Противник, желающий завладеть Вашим секретом, может сделать это одним из тысячи способов. Это вопрос времени, терпения, настойчивости и характера. Здесь выиграет тот, кто мастерски владеет искусством обмана и перевоплощения.
Шпион или находит способ обмануть доверенное лицо, выдающее ему всю необходимую информацию, или пытается перехитрить ничего не подозревающего человека, с помощью которого можно получить доступ к такой информации. И если сотрудники обмануты, находятся под влиянием мошенника, или сами раскрывают собственные секреты, то никакая технология уже не способна защитить организацию. В этом смысле социоинженер, манипулирующий персоналом компании и, таким образом, обходящий систему безопасности, похож на криптоаналитика, способного расшифровать сообщение, пользуясь слабостями ненадежного алгоритма.
Падение сети
Время: Понедельник, 12 февраля, 15:25.
Место: Офис Starboard Shipbuilding
Переключение
Для выполнения своего плана Эрику надо было получить доступ к телефонистке, ведающей соединением с отделом безопасности в DMV. Он позвонил в департамент телекоммуникаций штата, представился сотрудником компании Nortel (производящей наиболее распространенные офисные телефонные станции DMS-100). Он сказал: «не могли бы вы соединить меня с одним из техников, обслуживающих DMS-100?»
Когда его соединили с техником, он сказал, что представляет Центр технического обслуживания Nortel в Техасе и создает базу данных для обновления ПО на телефонных станциях. Это обновление будет происходит централизованно в удаленном режиме, техникам не надо принимать в нем участия. Но ему надо знать телефоны всех этих телефонных станций, чтобы произвести обновление ПО из Центра технического обслуживания.
Объяснение звучало крайне правдоподобно и техник выдал Эрику телефоны станций. Теперь он мог звонить непосредственно на любую из телефонных станций.
Для защиты от непрошеных посетителей такие станции защищены паролями, как и любая корпоративная компьютерная сеть. Любой социальный инженер с минимальным опытом знает, что у станций Nortel имя пользователя для смены ПО - NTAS (сокращение от Nortel Technical Assistance Support). Но какой пароль? Эрик попробовал несколько очевидных вариантов – NTAS (такой же, как и имя пользователя), «helper», «patch» - ни один не сработал.
Наконец он попробовал «update» - и получил доступ! Очень типичная ситуация. Никто не задумывается, что использовать простой и легко вычисляемый пароль – все равно, что не использовать его вовсе.
Чтобы преуспеть в своей деятельности, Эрик знал достаточно много об устройстве телефонной станции, о ее перепрограммировании и устранении ошибок почти столько же, сколько знают обслуживающие ее техники. Получив авторизованный доступ к станции, он получил полный контроль над всеми ее линиями. Он нашел известный ему телефон в DMV – 555-6127 и обнаружил, что в том же отделе есть еще 19 телефонов. Это означало, что в этот департамент часто звонят.
Для обслуживания каждого входящего звонка телефонная станция находила свободную линию и соединяла с ней.
Эрик выбрал линию 18 и запрограммировал станцию так, чтобы звонки на эту линию перенаправлялись бы на его недавно купленный, дешевый сотовый телефон. Телефоны такого типа очень популярны у наркодельцов, поскольку они очень дешевые и их можно просто выбросить после завершения сделки.
Когда 17 линий в офисе заняты, и звонок должен был пойти на линию 18, он вместо этого перенаправлялся на телефон Эрика. Эрик сел и стал ждать.
Переворачивая таблицы
Молодой человек, назовем его Майкл Паркер, был одним из тех, кто довольно поздно понял, что все хорошо оплачиваемые рабочие места уже разобраны теми, кто хорошо учился в колледже, и имеет звание бакалавра. Он и сам мог учиться в местном колледже, но для этого требовалось сидеть над книгами ночами, а выходные дни подрабатывать, чтобы платить за квартиру, машину и питание. Майкл всегда стремился найти более простые и короткие пути к успеху. Он познакомился с компьютером еще в десятилетнем возрасте, увлекшись компьютерными играми, и решил самостоятельно стать бакалавром компьютерных наук в «ускоренном» порядке.
Первые шаги
– Дорожная полиция, район Холленбек.
– Добрый день, я хотел бы переговорить с кем-то из отдела повесток.
– Я вас слушаю.
– Прекрасно, это адвокат Джон Леланд из юридической конторы «Мешам, Мешам и Талбот». Я хотел бы пригласить одного из ваших инспекторов для разбора случая.
– Кто вам конкретно нужен?
– В вашем подразделении есть инспектор Кендалл?
– А какой у него личный номер?
– 21349.
– Да, такой инспектор есть. Когда он вам нужен?
– В один из дней будущего месяца. Мне надо вызвать еще несколько других свидетелей и договориться с судом, когда может быть назначено слушание. Если ли дни в следующем месяце, когда г-н Кендалл не сможет присутствовать?
– Сейчас посмотрю... У него выходные дня с 20 до 23-го, а с 8 до 16 у него дни специальной подготовки.
– Спасибо большое. Это все, что мне было нужно от вас. Я перезвоню, когда будет назначена дата слушания.
Первый этап: Идентификация
Процедуры идентификации перечислены в порядке эффективности – чем выше порядковый номер, тем эффективнее метод. Вместе с описанием каждой процедуры даны пояснения, раскрывающие слабости метода и тактику злоумышленника, пытающегося преодолеть идентификацию.
1.
Автоматическое определение номера. Подразумевается, что телефонные системы предприятия имеют АОН. Согласно показаниям АОН необходимо удостовериться в том, что звонящий находится по заявленному номеру.
Недостатки: Иногда существует возможность изменения номера со стороны звонящего, в особенности, если злоумышленник имеет доступ к коммутатору телефонной компании.
2. Обратная связь. Найдите представившегося сотрудника в корпоративном справочнике и перезвоните ему по внутреннему номеру.
Недостатки: Если злоумышленник располагает достаточными знаниями, то может переадресовать звонок таким образом, что идентифицирующий обратный вызов будет перенаправлен на внешний телефонный номер атакующего.
3. Поручительство. Инициатора запроса идентифицирует доверенное лицо.
Недостатки: Атакующий может заранее расположить к себе доверенное лицо, которое впоследствии его идентифицирует.
4. Публичный ключ доступа. Shared Secret. Используйте корпоративный ключ, каковым может являться пароль или ежедневно изменяемый код.
Недостатки: Если доступ к ключу имеют многие сотрудники компании, то злоумышленник может с легкостью его узнать.
5. Контакт с руководителем. Перезвоните непосредственному начальнику того, кто делает запрос и попросите подтвердить правомочность запроса.
Недостатки: Если инициатор запроса сам скажет вам номер, по которому находится его начальник, то в результате вы можете получить подтверждение от сообщника, а не настоящего руководителя.
6. Защищенное электронное сообщение. Попросите прислать сообщение с электронной подписью.
Недостатки: Если злоумышленник заранее дискредитировал компьютер сотрудника, за которого себя выдает, то, скорее всего, подделать сообщение для него не составит труда.
7. Идентификация голоса. Человек, получающий запрос, уже имел дело со звонящим (предпочтительно, если встречался с ним лично), уверен, что этот человек является доверенным лицом, и способен точно узнать его по голосу.
Недостатки: Более чем надежный метод, но абсолютно не годится, в случае если получающий запрос никогда прежде не разговаривал с абонентом.
8. Решение на базе динамического пароля. Инициатор запроса идентифицирует себя с помощью динамического пароля (например, использует Secure ID).
Недостатки: Злоумышленнику достаточно получить доступ к зарегистрированному в системе устройству считывания идентификационной карты или узнать PIN пользователя. Кроме того, взломщик может обмануть сотрудника и тот сам предоставит ему код авторизации.
9. Личная встреча. Запрашивающий информацию лично предстанет перед сотрудником, имея соответствующий бэдж или другой документ, удостоверяющий его право на получение информации. Лучше, если эта (известная вам!) форма документа содержит фотографию запрашивающего.
Недостатки: Атакующий может украсть или подделать бэдж. Но, с другой стороны, злоумышленник попытается избежать личной встречи по понятным причинам – это слишком большой риск.
Первый звонок: Андре Лопес
Андре Лопес подняла телефонную трубку, находясь на своем рабочем месте, в отделе видео-проката. А уже через мгновение она улыбнулась: всегда приятно, когда клиент затрудняет себявысказывает лестными лестные отзывами отзывы об услугах. Человек на другом конце провода сказал, что получил очень хороший опыт общения с персоналом видео-проката и хотел бы написать письмо менеджеру отдела.
Он спросил имя менеджера и его почтовый адрес, и она ответила ему, что менеджера зовут менеджера Томми Алиссон, сказалаи назвала его адрес. Уже почти повесив трубку, собеседник вдруг передумал и произнес: «Наверное мне следует также написать и в головной офис. Какой номер вашего магазина?» Она ответила и на этот вопрос. Он поблагодарил в ответ, добавил что-то о том, насколько она любезна и попрощался.
– Благодаря таким звонкая и смена пролетает незаметно,«Такой звонок,» - подумала Андре, –- «Всегда заставляет смену заканчиваться быстрее. Как было бы здорово было бы, если бы клиенты чаще звонили с такими отзывами.»
Первый звонок: Ким Эндрюс
– Банк Нэшнл. Это У телефона Ким. Вы хотелиите открыть счет?
– Привет Ким! У меня есть к вам Вам вопрос. Пользуются ли ваши парни CreditChex?
– Да.
– Когда Вы звоните в CreditChex, тот номер, который Вы сообщаете... Это называется Коммерческий идентификатор[sinm5] ?
Возникла пауза. Ким взвешивала вопрос, оценивая, должна ли она отвечать.
Не дожидаясь ответа, голос на другом конце провода продолжил:
– Ким, я работаю над книгой. Материал касается частного расследования.
– Да, я понимаю, – Ким ответила с доверием в голосе. Она была бы рада оказаться полезной писателю.
– Так номер называется Коммерческий идентификатор Идентификатор Коммерческого банка?
– О да.
– Окей, великолепно. Я хотел быть точным в повествовании и не хотел бы ошибаться в употреблении терминов. Серьезная книга, вы же понимаете. Спасибо за помощь. Всего хорошего, Ким.
Первый звонок: Секретарь
Атакующая, называя назвав себя Диди Сэндс, звонит позвонила в офис сотовой компании. Разговор получился примерно следующим:
Секретарь: Добрый день. ЭтоУ телефона Мари, чем могу быть полезна?
Диди: Вы можете соединить меня с транспортным отделом?
С: Я не уверена, что знаю номер. Сейчас посмотрю в справочнике. С кем я говорю?
Д: Это Диди.
С: Вы в здании или...?
Д: Нет, я не в здании.
С: Диди, как дельше кто?
Д: Диди Сэндс. У меня был раньше записан внутренний номер транспортного отдела, но теперь я не могу его найти.
С: Один моментМинуточку.
Во избежании лишних подозрений, Диди задала вполне обычный и одновременно поддерживающий разговор вопрос. Вопрос, который впрочем, позволял ей притвориться «своей», знакомой с инфраструктурой предприятия.
Д: Вы в каком здании находитесь, Лейквью или в Центральном?
С: Так, ЦентральноеВ Центральном. (пауза) Номер (805) 555-6469.
На случай, если в транспортном отделе ей не удастся выяснить ничего подходящего, Диди попросила секретаршу назвать узнала номер отдела по работе с недвижимостью. А когда она попросила соединить ее с транспортным отделом, номер оказался занят, что тоже оказалось кстати.
Теперь Диди спросила третий номер, счетного отдела, который находился в Техасе, в городе Остин. Секретарша попросила немного подождать и исчезла. Поспешила сообщить о странном звонке в отдел безопасности? Вовсе нет, и Диди в этом ничуть не сомневалась. Почти через минуту секретарша вернулась на линию, найдя номер счетного отдела и еще через мгновение соединила Диди с Техасом.
Первый звонок: Тед
Для начала, социоинженер позвонил в один из магазинов сети по продаже электроники. Магазин располагался на улице Вест Джирар.
– Электрон Сити, говорит Тед.
– Привет Тед, это Адам. Послушай, я как-то вечером заходил к вам и разговаривал с продавцом в зале о сотовом телефоне. Я сказал, что перезвоню ему, как только определюсь с тарифным планом, но забыл его имя. Как зовут человека, который работает у вас в вечернюю смену?
– Тут не один. Может это Вильям?
– Я не уверен. Может и Вильям. Как он выглядит?
– Высокий парень. Худой такой.
– Думаю, что это он. Как говорите его фамилия?
– Хадли. Х-А-Д-Л-И.
– Да. Похоже. Когда он будет на месте?
– Я не знаю его расписания, но вечерняя смена приходит к пяти.
– Хорошо. Я попытаюсь найти его сегодня вечером. Спасибо, Тед.
Первый звонок: Том Де Лей.
– Том Де Лей, бухгалтерия.
– Привет Том, это Эдди Мартин из службы поддержки. Мы здесь стараемся решить проблему с компьютерной сетью. У вас в группе нет проблем со связью?
– Ну, я ничего подобного не слышал.
– И у вас лично тоже все нормально?
– Да, кажется все в порядке.
– Отлично. Слушайте, мМы обзваниваем всех, кого могли коснуться неполадки, так что перезвоните нам, если проблема покажет себя проявится и сеть упадет. Это очень важно!.
– Звучит грозносурово. Думаете, это может произойти?
– Надеемся, что нет, но если такое случится, вы позвоните, не так ли?
– Позвоню, уУж поверьте.
– Похоже, что если сеть упадет – вам это совсем не понравится...
– Точно.
– ... так что я дам вам номер своего сотового, мы сейчас работаем на выезде и меня, скорее всего, не будет на рабочем месте. Вы мне перезвоните если что.?
– Это было бы великолепно. Продолжайтездорово. Говорите.
– 555-867-5309
– 555-867-5309. Записал. Да, спасибо. Как вас зовут, повторите, пожалуйста.
– Эдди. Вот еще что – я должен проверить номер порта сетевого подключения вашего компьютера. Взгляните на системный блок, там должен быть стикер с надписью вроде «порт номер:...».
– Не вешайте трубку. Сейчас. Нет, ничего определенного не вижу.
– Так. Тогда посмотрите с обратной стороны компьютера... вы видите шнур локальной сети?
– Да.
– Посмотрите, куда он идет, где включен в розетку. На розетке должна быть надпись.
– Секунду. Да, сейчас, я сейчас попробую рассмотреть. Да –Ага, здесь написано Порт 6 тире 47.
–Хорошо – это именно то, о чем я говорил, все верно.
Подглядывание за Кевином
Несколько лет назад, когда я работал в небольшой компании, подметил, что каждый раз, как только я заходил в небольшой офис, в котором работали еще три компьютерщика из ИТ-департамента, один из этих ребят, назовем его Джо, быстро переключал экран своего компьютера на другую страницу. Конечно же, мне это показалось подозрительным. Когда подобное “экстренное” переключение произошло трижды за один и тот же день, я понял, что должен разобраться с тем, что происходит. Что именно этот парень скрывает от меня?
Компьютер Джо работал в качестве терминала для доступа к миникомпьютерам компании, поэтому я установил на миникомпьютер VAX
специальную программу мониторинга, которая позволяла мне шпионить за тем, что делает Джо. Программа действовала, как телекамера, расположенная за спиной у Джо и показывала все то, что происходило на его компьютере.
Мой стол был расположен рядом со столом Джо, и мне пришлось повоернуть монитор так, чтобы он не видел моего экрана, но он мог бы наклониться и, заглянув мне через плечо разглядеть все в деталях. Однако, он был слишком погружен в свои проблемы, чтобы обращать на меня внимание.
Когда я увидел, что он творит, то пришел в ярость: этот проходимец рассматривал платежные ведомости фирмы, чтобы узнать мою
зарплату! Я работал на этом месте всего несколько месяцев и полагал, что у Джо не должна была возникнуть мысль, что я зарабатываю больше него.
Через несколько минут я увидел, что он перекачивает с моего компьютера некоторые хакерские программы, которые используют начинающие хакеры, не умеющие самостоятельно создать необходимые средства. Я понял, что Джо невежда и не имеет ни малейшего представления о том, что рядом с ним расположен стол одного из самых опытных хакеров Америки. Мне это показалось очень забавным.
Он уже выяснил размер моей зарплаты, поэтому слишком поздно было останавливать его. Кроме того, любой сотрудник с компьютерным доступом к системе социального страхования (Social Security Administration) мог запросто узнать мой гонорар. В мои намерения не входило дать понять Джо, что я узнал, чем он занимается. Мое целью было демонстрировать незнание, поскольку хороший социальный инженер никогда не стремится показать свои истинные знания и возможности. Всегда лучше, если люди недооценивают вас и не воспринимают в качестве реальной угрозы.
Поэтому я позволил событиям развиваться своим чередом и внутри себя подсмеивался над Джо, который думал, что узнал мои секреты, тогда как все обстояло ровно наоборот: я полностью контролировал все его действия.
Со временем я обнаружил, что все три моих коллеги по ИТ-департаменту грешат тем же: они изучали зарплаты и другие вознаграждения всех сотрудников компании - от миловидной секретарши до руководителей.
Подготовка к обороне
К обороне от большинства атак социальных инженеров подготовиться достаточно легко, если только .... хорошо знать, как именно выглядят подобные атаки.
Именно поэтому возрастает роль предварительной подготовки и выработки мер по отражению подобных атак. Мало того, надо самыми разными способами напоминать сотрудникам, к чему конкретно они готовятся.
Пусть при включении компьютера можно использовать появление различных всплывающих окон с информацией из области безопасности. Причем надпись не должна исчезать автоматически, а только после того, как владелец компьютера подтвердит кликом мыши, что прочел и осознал ее.
Напоминания о важности безопасности должны доходить до пользователей различными путями, постоянно, они должны выражаться различными фразами и использовать для иллюстрации различные примеры.
Одна из привлекательных возможностей – использование коротких запоминающихся заметок в корпоративной газете или новостях. Они не должны быть длинными – нечто вроде небольшого экрана с двумя-тремя фразами – и каждый раз новыми.
Поищите оправдание, пожалуйста
Однажды, возвратившись поздно вечером к себе домой, он посмотрел на окна своей квартиры и увидел, что свет выключен, хотя он всегда оставляет одну из ламп включенной, когда уходит из дома.
Он позвонил в соседскую дверь, пока не разбудил соседа, который сообщил ему, что в дом приходила полиция. Они попросили соседей остаться внизу, поэтому сосед не знает, в какую из квартир они заходили. Он только знает, что полицейские унесли с собой какие-то тяжелые вещи, правда вещи были завернуты, и он не знает, что именно унесли. Они никого не увели с собой в наручниках.
Артуро осмотрел свою квартиру. Плохая новость заключалась в том, что на двери была прикреплена бумага с требованием немедленно позвонить в полицию и назначить время беседы в течение ближайших трех дней. Еще более плохая новость заключалась в том, что его компьютеры исчезли.
Артуро выбегает из квартиры и решает переночевать у приятеля. Но неизвестность гнетет его. Что знает полиция? Поймали ли они его или оставили возможность удрать? Или произошедшее имеет иную причину, с которой он сможет справится и не уезжая из города?
Перед тем, как читать дальше, остановитесь и подумайте: есть ли какой-нибудь способ узнать, что именно полиция знает о вас? Предположим, у вас нет знакомых политиков или друзей в департаменте полиции, есть ли тогда способ обычному человеку получить подобную информацию? Может ли вам помочь в таком нелегком деле социальный инженер?
Полезный архивный работник
Теперь Майкл знает, к какому компьютеру ему надо присоединиться, и у него есть ID пользователя и пароль. Но вот какие команды надо использовать для поиска файлов с информацией о дипломниках по компьютерным наукам, да еще с нужным именем и сроком окончания института? База данных информации о студентах наверняка является нестандартной, скорее всего она разработана здесь же в университете и обладает доморощенными командами.
Первый шаг на пути к окончательному результату - найти того, кто сможет служить проводником в поисках по студенческой базе данных. Майкл опять позвонил в секретариат, на этот раз он представился сотрудником офиса декана факультета инженерных наук: «Подскажите, к кому мне обратиться за помощью, если возникли проблемы с доступом к базе данных студентов?»
Буквально через минуту он уже разговаривал с администратором базы данных университета, налаживая с ним доверительные отношения: «Я Марк Селлерс из секретариата. Впечатление такое, что вы мне не очень рады? Извините, что тревожу вас, но все наши сотрудники на конференции и нет никого вокруг меня, кто мог бы помочь. Мне надо восстановить список всех выпускников, получивших диплом по компьютерным наукам между 1990 и 2000 гг. Списки нужны до конца дня и, если я их не получу, я не задержусь на этой работе надолго. Вы могли бы помочь человеку в беде?» Помогать людям - это главная задача любого администратора базы данных, поэтому он особенно тщательно объяснял все подробности Майклу шаг за шагом.
За время разговора, Майкл успел перегрузить к себе полный список дипломников со степенью компьютерных наук за эти годы. Он запустил поиск по этому файлу и буквально через несколько минут обнаружил двух Майклов Паркеров, выбрал наиболее подходящего и узнал номер его социальной страховки, так же как и другие личные данные.
Теперь он стал «Майклом Паркером, бакалавром компьютерных наук, получившим степень с отличием в 1998 году».
Полезный звонок
Звонящий спросил, кто в компании отвечает за компьютеры, и телефонный оператор соединил его с техником Полем Ахерном.
Звонящий представился, как:
– Эдвард из компании SeerWare, которая является поставщиком баз данных для вашей компании. Так получилось, что целый ряд клиентов не получил электронное письмо о срочном обновлении кода, поэтому мы обзваниваем всех для проверки - есть ли проблемы с установкой «заплатки». Вы уже установили ее?
Поль ответил, что он уверен в том, что ничего подобного он не видел.
Эдвард озабоченно сказал:
– Да, тогда это может привести к немедленной потере данных, поэтому мы рекомендуем вам установить «заплатку» как можно быстрее.
Ситуация явно требовала срочных решений.
– Конечно, – ответил Поль.
– Тогда мы пришлем вам CD с «заплаткой» и я хочу сказать вам, что проблема действительно критическая - две компании уже потеряли несколько дней. Вам надо установит «заплатку» как можно быстрее, если вы не хотите оказаться в их положении.
– А не могу я скачать «заплатку» с вашего Интернет-сайта? – спросил Поль.
– Мы ее выложим туда в самом ближайшем будущем - наша техническая служба активно занимается этим. Если хотите, наш технический центр обслуживания установит «заплатку» вам через удаленный доступ. Мы можем соединиться с вами через dial-up
или использовать Telnet для соединения, если вы его поддерживаете.
– У нас не разрешается использовать Telnet, особенно через Интернет, поскольку это не безопасно, – ответил Поль. – Если вы можете использовать SSH, тогда все в порядке, – сказал он, назвав протокол безопасной передачи данных.
– Конечно, у нас есть SSH. Какой у вас IP-адрес?
Поль сообщил ему IP-адрес, а когда Эндрю попросил назвать имя пользователя и пароль, тот сообщил и эту информацию.
Полицейские простофили
Частному детективу или социальному инженеру часто требуется узнать номер водительских прав другого человека, например при получении сведений о его банковском счете.
Можно конечно вытащить бумажник этого человека и заглянуть туда или же, улучив момент, заглянуть через его плечу, но у социального инженера есть масса более интересных способов узнать желаемое.
Одному из моих знакомых социальных инженеров – Эрику Мантини – регулярно требовалось узнавать номера водительских прав и номера регистрации автомобилей. Он пришел к выводу, что постоянно звонить в организацию, где хранится эта информация (Department of Motor Vehicles – департамент автомашин) и каждый раз придумывать новые способы извлечения ее – это слишком большой риск. Он начал искать более простой путь решения проблемы.
И он нашел такой способ, причем он основан на сервисе, который предлагает DMV (в разных странах это ведомство может носить разные названия), делая приватную информацию доступной страховым компаниям, частным детективам и другим заинтересованным лицам.
Естественно, у DMV есть правила для того, какую информацию и кому можно сообщать. Страховым компаниям доступен вполне определенный набор сведений, есть правила для общения с частными детективами и т.д.
Для представителей правоохранительных органов есть другое правило: DMV должно предоставлять любую информацию полицейскому, если он доказал, что он полицейский. В штате, где тогда жил Эрик, это был определенный код запроса в сочетании с номеров водительских прав полицейского. Сотрудник DMV должен тщательно проверить имя офицера полиции, номер его прав и дату рождения (с теми, что хранятся в картотеке организации) перед тем, как выдавать запрошенную информацию.
Эрик решил изобразить из себя офицера полиции.
Как же ему это удалось? Используя технику обратного жала!
Полицейские штрафы
Каждый, кому инспекторы ДПС выписывали штраф за превышение скорости, мечтал каким-либо образом от этого штрафа избавиться. Естественно не таким банальным способом, как заплатить или сходить в школу вождения для прослушивания лекции о правилах движения, или убедить инспектора ДПС в том, что его радар или спидометр дают неверные показания. Нет, самый увлекательный способ не платить штраф – это обмануть систему.
Полицейский рейд
Представьте такую ситуацию: правительство пытается поймать человека по имени Артуро Санчес, который бесплатно распространяет копии кинокартин через интернет. Студии Голливуда считают, что он нарушает права их собственности, он отвечает, что пытается убедить их в неизбежном приходе нового рынка, чтобы заставить сделать хоть что-нибудь, открыть какую-нибудь возможность для скачивания новых фильмов. Он отмечает (абсолютно правильно, кстати), что это может стать новым источником доходов для студий, на который они просто не обращают никакого внимания.
Политика информационных технологий
Отдел информационных технологий особенно нуждается в правилах обеспечения безопасности информационных ресурсов компании. Для того чтобы не противоречить структуре IT-операций, я разделил эти правила на следующие разделы: «Общая часть», «Справочная служба», «Администрирование компьютерных систем», и «Правила для операционистов компьютерных систем».
Посылка от друга
Несмотря на принятые меры предосторожности, события могут развиваться не самым лучшим образом. Представьте себе, что вы решили не оставлять злоумышленникам и вандалам не ни единого шанса. Теперь вы загружаете файлы только с надежных и всемирно известных сайтов, вроде SecurityFocus.com
или Amazon.com. Вы больше не нажимаете на гиперссылки в приходящих письмах и не открываете атачменты от незнакомцев. И вы, что-то покупая или чем-то обмениваясь в Internetинтернете, посещаете только те страницы, которые заставляют браузер показывать значок «безопасный сайт».
И вот, в один замечательный день, вы получаете письмо от друга или сослуживца. В письме вложенный файл. Разве может быть что-то токсичное опасное в письме от человека, которого вы отлично знаете? По крайней мере, думаете вы, будет понятно, кого винить в случае разрушения данных на компьютере.
Вы открываете файл и... ХЛОП! Компьютер заражен червем или трояном. И почему ваш друг так поступил с вами? Потому что некоторые вещи непохожи на то, чем являются на самом деле. А на самом деле это червь, который, пробравшись на компьютер друга, разослал себя по всем адресам его адресной книги. Каждое такое письмо приходит адресату от хорошо знакомого ему отправителя. И адресат вряд ли будет долго думать перед открытием вложенного файла. Эффект аналогичен кругам, расходящимся по гладкой воде от брошенного и подпрыгивающего камня.
Взломщик убивает двух зайцев одним выстрелом. Вирус свободно распространяется и, более того, к новым жертвам он попадает от людей, которым доверяют.
Комментарий Митника
Человек за свою историю изобрел множество замечательных вещей, которые изменили наш мир и образ жизни. Но у любой технологии, будь то компьютер, сотовый телефон или Internetинтернет, есть обратная сторона. Всегда найдется тот, кто применит технологическое решение в своих личных целях и во вред остальным.
На современном этапе развития необходимо признать досадный факт: получая электронное письмо от близкого друга, нам приходится сомневаться в безвредности содержимого посылки.
Позвони телефонистам...
Джонни начал с того, что позвонил в офис телефонной компании и представился сотрудником General Services Administration - агентства, занимающегося поставками товаров и услуг для правительственных учреждений. Он сказал, что изучает возможность предоставления дополнительных услуг и ему нужна информация обо всех телефонах исправительного центра Сан-Диего с номерами и ежемесячными выплатами. Сотрудница телефонной компании была рада ему помочь.
Только для того, чтобы убедиться, он позвонил по одному из указанных номеров и услышал ожидаемый ответ: «Эта линия отключена или больше не обслуживается», - что означало вовсе не это, а лишь блокирование всех входящих звонков.
Из своего долгого опыта общения с телефонными компаниями Джонни знал, что ему надо добраться до департамента со сложным названием Recent Change Memory Authorization Center (RCMAC - центр авторизации недавних изменений памяти - и кто только изобретает такие названия!). Он начал с того, что позвонил в секретариат телефонной компании, представился сотрудником ремонтного отдела и сказал, что ему необходимо знать номер телефона RCMAC, которые обслуживают район со следующими номерами - и он дал номера телефонов исправительного центра. Это был совершенно обычный запрос, который часто делают работающие по вызовам техники, поэтому у клерка, беседующего с Джонни, не возникло никаких подозрений, и он назвал номер.
Далее Джонни позвонил в RCMAC, назвался вымышленным именем и представился сотрудником ремонтного отдела. Ответившей женщине он перечислил полученные в секретариате номера и спросил:
– На эти номера установлено «отклонение запроса»?
– Да, – ответила она.
– Тогда понятно, почему клиенту нельзя дозвониться, – сказал Джонни. – Помогите, пожалуйста. Мне надо изменить параметры этой линии или устранить запрет входящих звонков.
На том конце линии возникла пауза - женщина проверяла в компьютерной системе правильность запроса.
– Но этот номер должен быть установлен на запрет входящих звонков и нет никакого приказа об изменении.
– Я знаю, но это ошибка. Мы хотели выполнить заказ еще вчера, но наш сотрудник заболел и забыл передать заказ кому-то другому. Клиент сегодня просто в ярости.
После небольшой паузы женщина выполнила просьбу Джонни, хотя его запрос был необычным и выходил за рамки принятых правил. Он слышал, как она стучала по клавишам, делая необходимые изменения. Через несколько секунд все было сделано.
Между говорящими возникло своеобразное взаимопонимание, Джонни почувствовал, что женщина готова помогать ему и дальше. Он сказал:
– У вас есть несколько минут для того помочь мне еще?
– Конечно, а что вам нужно?
– У меня есть еще несколько номеров, принадлежащих тому же клиенту, и у всех та же самая проблема. Я их вам перечислю, а вы сделайте так, чтобы у них не было отказа в обслуживании входящих звонков - хорошо?
Она сказала, что все будет в порядке. Через несколько минут все десять телефонных линий были «исправлены» так, что могли принимать входящие звонки.
Правила для дистанционных пользователей
Дистанционные пользователи находятся с внешней стороны корпоративного межсетевого экрана и, поэтому, подвергаются большей угрозе со стороны компьютерных взломщиков. Представленные ниже правила позволят вам предотвратить атаки на пользователей, которых социоинженеры могут превратить в канал для получения служебной информации.
Правила для секретарей
Секретари обычно находятся на внешней линии обороны, они обычно первыми сталкиваются с нападающим и, тем не менее, имеют недостаточные знания в области информационной безопасности.
Правила для служащих отдела кадров
Отдел кадров несет на себе особенную миссию сохранения личной информации сотрудников компании. Кроме того, отдел кадров должен защищать предприятие от действий уволенных или несостоявшихся в деловом отношении сотрудников.
Правила для службы чрезвычайного реагирования
В компании должна быть организована служба, которая централизованно собирает сообщения об обнаруженных следах информационных атак.