5 февраля 2012 г.

Социальная инженерия на пальцах

NB: данная статья задумывалась как статья for dummies и поэтому те, кто уже знаком с темой, могут не открыть для себя ничего нового.

   Прилагательное «социальный» в наше время стало неимоверно популярным. Подозреваю, что практически все слышали, что такое социальная сеть. Многие из вас знают, кто такой социальный работник. А некоторые даже имеют представление о социальном налоге и с чем его едят. Но мало кто понимает, что такое социальная инженерия. Давайте сегодня мы разберемся в этом понятии.

   Представим следующую ситуацию: вы проверяете свой почтовый ящик и видите, что вам пришло новое письмо от Васи Пупкина.
   Кстати говоря, а знаете ли вы, откуда взялся этот Вася Пупкин? Нет? Тогда слушайте. Василий Пупкин – это фольклорный персонаж, правда, современный. Его используют, когда не хотят раскрывать своего настоящего имени в Интернете. Также существует скрытый смысл такого именования – сократить длинное и нудное описание «среднестатистический гражданин Российской Федерации». Например, в Англии Вася Пупкин звался бы Джон Буль, а в США стал бы Джоном Доу, довольно распиаренным по многочисленным детективным фильмам.
   Но вернемся к заинтриговавшему нас письму от пресловутого Василия Алибабаевича Пупкина. Человеческая психика устроена так, что интерес в подавляющем большинстве случаев берет верх над разумом, и мы все же кликаем мышкой по заголовку любопытства ради. Что же мы увидим в самом письме? Возможны сотни вариантов.
   Например, самый банальный: «Привет! Как дела? Мне Саша дал твой e-mail и сказал, что ты сможешь помочь. Посмотри, пожалуйста - <тут идет ссылка на какой-либо сайт>».
   Еще вариант: «Добрый день! Вас беспокоит служба <ваша почта>.ru. Совсем скоро мы запускаем новый сервис и хотим, чтобы вы приняли участие в нашем опросе. Это не займет много времени. Подробности по ссылке: <…>. С уважением, В. Пупкин».
   Ну и третий вариант: пришло сообщение от имени вашей любимой социальной сети на тему «Вася Пупкин хочет дружить» и, как вы уже догадались, ссылка на якобы вашу же страничку.
   «А что тут такого?» - подумает как минимум треть из вас и перейдет по ссылке. Перешли? Я вас поздравляю! Вы на себе ощутили всю прелесть социальной инженерии, вернее лишь нескольких ее разновидностей. Да, кстати, уже можно начинать прощаться как минимум со своим почтовым ящиком, а как максимум с операционной системой вашего компьютера.

   Итак, что же такое социальная инженерия? Попросту говоря, это искусство управления действиями человека, которое основано на особенностях его психики. Конечной целью злоумышленника является получение от вас какой-либо конфиденциальной информации, и для этого у него есть два пути: либо заставить вас сообщить ее добровольно, либо получить к ней доступ с помощью набора технических средств.
   В приведенных выше примерах реализован как раз второй случай – злоумышленник получает доступ к вашему компьютеру и узнает все нужные ему пароли и явки. Примером же первого случая может являться звонок из банка от сотрудника, например, отдела безопасности. Его речь будет приблизительно такова: «Не могли бы Вы сообщить нам пин-код Вашей карточки, т.к. по ошибке она была заблокирована и требуется восстановить доступ к банковскому счету».
   Да, я привожу довольно тривиальные примеры, но именно они лежат в основе большинства уловок социнженеров. Помните: ни работники банка, ни разные Интернет-службы, ни вообще какие-либо посторонние люди ни при каких обстоятельствах НЕ имеют права запрашивать у вас пароль. Даже если ваш лучший друг ни с того ни с сего просит прислать ему ваши логины и пароли – на всякий случай подстрахуйтесь и позвоните ему лично, чтобы уточнить с какой целью он ими интересуется. Потому что вполне возможно, что его аккаунт уже не принадлежит ему, и на другой стороне монитора сидит неизвестный вам человек, потирая ручки в предвкушении большого куша.

   А теперь давайте перенесемся в прошлое, когда еще не было ни Интернета, ни персональных компьютеров, но уже родился человек под именем Кевин Митник, который на сегодняшний день считается главным экспертом и популяризатором социальной инженерии.
   Первые эксперименты по получению конфиденциальной информации он провел уже в 12 лет. Для того, чтобы бесплатно кататься по всему Лос-Анджелесу, Кевин выведал у водителя автобуса наводящими вопросами сведения, где можно достать специальный дырокол, которым в определенных местах прокалывали билеты, чтобы отметить день, время и маршрут проезда.
   В средней школе Митник увлекся фрикингом, т.е. взломом телефонных сетей и автоматов. Его излюбленной забавой стало изменение настроек телефонного коммутатора таким образом, что когда человек пытался позвонить куда-нибудь из дома, электронный голос в трубке предлагал ему опустить четвертак, т.к. коммутатор воспринимал звонок как звонок с уличного телефона-автомата.
   Однажды Митнику предложили поучаствовать во взломе компьютерной системы Digital Equipment Corporation. В своей книге «Искусство обмана» Митник так вспоминает дальнейшие события:
   «Представившись Антоном Черновым, одним из ведущих разработчиков проекта, я просто позвонил системному администратору. Я заявил, что не могу войти в один из моих аккаунтов, и убедил этого парня достаточно, чтобы он предоставил мне доступ и позволил мне выбрать пароль по своему усмотрению. В защите экстра класса любой пользователь, соединяющийся с системой, должен был ввести диал-ап пароль. Системный администратор дал мне его. Это был пароль «buffoon» (клоун), которым, я думаю, он себя почувствовал, когда стало понятно что произошло. Менее чем за 10 минут я получил доступ к RSTE/E системе DEC. И я вошёл не как обычный пользователь, у меня были все привилегии системного разработчика.»
   Естественно, данные действия были признаны противозаконными, и Митник понес за них наказание. Но суть не в этом, а в том, что самым уязвимым местом в любой навороченной и современной системе безопасности является, причем во все времена, человеческий фактор. Да-да, человек – это самое слабое звено! Именно он очень часто сообщает всю необходимую информацию просто потому, что его о ней спросили.
   Кстати, сегодня Кевин Митник является специалистом по информационной безопасности и владеет собственной консультационной фирмой. Он написал две книги – «Искусство обмана» и «Искусство вторжения», в которых он рассказывает о деятельности социальных инженеров и приводит множество реальных примеров. После каждой истории идет комментарий автора, в котором показано, как можно было бы избежать инцидента или не допустить вовсе. Кстати говоря, вторую книгу – «Искусство вторжения» – можно читать абсолютно всем вне зависимости от принадлежности к миру IT. Конечно, некоторые методы, описанные в ней, уже устарели, но сама книга похожа на увлекательную детективную историю. Единственное, что хочется отметить – абсолютно любую книгу (также как и фильм) лучше читать на языке оригинала, поэтому если у вас есть такая возможность – не упустите ее!

   Как известно, прогресс не стоит на месте, рутинные действия человека постоянно автоматизируют, и в результате одного такого «упрощения жизни» специалистом по безопасности Дэвидом Кеннеди (известным в сети под ником ReL1K) был разработан специальный инструмент – Social Engineer Toolkit. Данное средство включено в состав популярной среди аудиторов информационной безопасности операционной системы BackTrack, но его можно использовать и отдельно от нее. Естественно, для неспециалистов функционал средства не покажется внушительным, но если за дело возьмется профессионал, правильно ее настроит, да использует самые свежие 0-day уязвимости… Пожалуй, здесь оставлю место для вашей фантазии. Стоит отметить, что скорей всего Social Engineer Toolkit разрабатывался в первую очередь для оценки качества обеспечения информационной безопасности на предприятии, но, как это часто случается с подобными разработками, стал использоваться злоумышленниками.
   С техническими подробностями можно ознакомиться на официальном сайте и многочисленных специализированных форумах. Мы же рассмотрим лишь в общих чертах основные направления проверочных тестов.
   Во-первых, это отправка e-mail либо конкретному человеку, либо массовая рассылка по списку корреспондентов. При этом к письму прикрепляется файл (чаще всего pdf), содержащий вредоносный код, и если пользовать его открывает, то хакер празднует успех.
   Во-вторых, это подделка веб-страниц. Пример этого теста: ничего не подозревающий пользователь по ссылке попадает на сайт, например, своей почтовой службы. Он вводит логин и пароль для входа в почту, но т.к. страничка принадлежит хакеру, но при этом является точной копией настоящей, то этот логин и пароль отправляются прямиком к хакеру в блокнотик.
   Ну и третья разновидность тестов – это распространение вирусов через usb-накопитель или, попросту говоря, флэшку. Сам тест рассчитан на то, что пользователь не отключил автозагрузку и поэтому какая-либо программа запустится автоматически.
   Это далеко не полный список возможностей утилиты SET, но даже он заставляет задуматься над спокойной жизнью в глобальной сети. Обзор утилиты дан лишь для того, чтобы впечатлить вас лишь малой частью арсенала современных злоумышленников. Теперь им совершенно не обязательно сидеть круглые сутки на телефоне с целью узнать от вас нужную информацию или корпеть над программным кодом вредоносных средств, чтобы их не обнаружили антивирусы – достаточно лишь пару раз кликнуть мышкой и вуаля – ваш аккаунт к социальной сети в кармане! Это раньше «хакер» звучало гордо, а теперь это слово прочно ассоциируется с «преступником», но это уже отдельная тема.

   Теперь вы знаете, что социальная инженерия это мощная технология, которое позволяет абсолютно бесплатно и без особых усилий узнать у вас информацию, которую вы хотели бы скрыть от посторонних глаз и ушей.

   А напоследок хочется дать несколько простых советов, которые помогут вам защититься от атак социальной инженерии:
   1. Никогда не открывайте вложения к письму, если вы точно не знаете кто отправитель.
   2. Не переходите по незнакомым ссылкам в письме или сообщении, особенно если они содержат в себе адреса bit.ly или tinyurl.com.
   3. Не нажимайте по ссылке в письме, если вам на почту пришло сообщение из социальной сети, то лучше перейдите на ее страницу из закладок браузера и прочитайте сообщение там.
   4. Никогда не сообщайте ваши пароли никому ни по телефону, ни письмом, ни аськой/джаббером/вконтактом.
   5. Обращайте внимание на стиль изложения писем от друзей, это поможет вам распознать неладное и помочь другу немедленно сменить пароль, пока не стало слишком поздно, да и самому не попасться.
   6. Если в качестве контрольного вопроса вы используете «девичью фамилию», «номер паспорта» и прочие стандартные прелести, то проследите, чтобы эта информация как минимум не была написана у вас на главной страничке социальной сети, а как максимум – о ней знало бы как можно меньшее количество народа.
   7. Помните – предупрежден, значит вооружен! Бдительность и разумная паранойя наше все!

   Ну что же, надеюсь, теперь вам хотя бы немного стало понятнее, как вести себя в Интернете и не попасть в некоторые ловушки хакеров, а на сегодня всё!

Примечание: при написании статьи использовались материалы сайтов Wikipedia.org, xakep.ru, www.social-engineer.org и книги Кевина Митника "Искусство обмана".

Комментариев нет:

Отправить комментарий