(перевод)
Правдивая история. Основы социотехники (искусства обмана), часть 1. Тактика хакеров
Однажды утром, несколько лет тому назад, группа незнакомцев вошла в большую фирму и вышла с доступом ко всей корпоративной сети фирмы. Как они сделали это? Получая маленькие количества доступа, понемногу от множества служащих в той фирме. Сначала они в течение двух дней изучили компанию перед тем, как войти в нее. Например, они узнали имена ключевых служащих. Затем они притворились, что потеряли ключ от парадной двери, и кто-то впустил их. Затем они «потеряли» свои идентификационные карточки при входе на третий защищенный уровень, улыбнулись, и добрый служащий открыл им дверь.
Незнакомцы знали, что главного финансового администратора (ГФА) не было в городе, так что они могли проникнуть в его офис и получить финансовую информацию с его разблокированного компьютера. Они перерыли мусор корпорации в поисках полезных документов. Попросив у швейцара мусорное ведро, они поместили туда все, что насобирали, и вынесли в руках из здания. Незнакомцы изучили голос ГФА, поэтому смогли позвонить от его имени и срочно потребовать его сетевой пароль. Далее, они использовали обычные инструменты взлома, чтобы получить суперпользовательский доступ в систему.
В данном случае, незнакомцы оказались сетевыми консультантами, проверяющими безопасность в корпорации по заказу ГФА. Они не получали никакой привилегированной информации от ГФА, но смогли получить требуемый им доступ с помощью социотехники. (Подробно эта история изложена Kapil Raina, экспертом по безопасности в Verisign и соавтором mCommerce Security: A Beginner's Guide, основанной на реальном опыте с предыдущим работодателем.)
Определения.
Большинство статей на тему социотехники, начинаются с определений типа "искусство и наука подчинения людей вашим желаниям" (Bernz 2), "использование хакером психологических уловок на легитимных пользователях компьютерной системы с целью получения информации, необходимой для доступа к системе" (Palumbo), или "получение необходимой информации (например, пароля) от человека вместо взлома системы" (Berg). В действительности, социотехника может быть чем угодно из этого, в зависимости от того, в какой ситуации вы находитесь. Единственное, с чем должен согласится каждый, это что социотехника обычно есть умная манипуляция хакера на естественной человеческой черте – доверии. Цель хакера – получить информацию, которая позволит ему получить неавторизованный доступ к ценной системе и информации, которая находится на ней.
Безопасность держится на доверии. Природная человеческая готовность принимать что-то на слово делает многих из нас уязвимыми к атаке. Многие опытные эксперты по безопасности подчеркивают этот факт. Независимо от того, как много статей опубликовано о сетевых дырах, патчах, firewall’ах, мы можем только значительно уменьшить угрозу…, а затем она возрастет из-за Мэгги из бухгалтерии или ее друга, Вилла, дозванивающегося с удаленного компьютера.
Цель и атака
Основные задачи социотехники – те же, что и у взлома вообще: получить неавторизованный доступ к системе или информации для совершения мошенничества, сетевого вторжения, промышленного шпионажа, или просто для разрушения системы или сети. В типичные цели входят телефонные компании, крупные корпорации и финансовые институты, военные и правительственные агенства, и больницы.
Найти хороший пример из реальной жизни о применении социотехнических атак довольно сложно. Компании-жертвы либо не хотят признавать, что их обманули (в конце концов, признание огромной бреши в безопасности не только стыдно, но и может повредить репутации организации) и/или атака не была зарегистрирована, так что никто не может с уверенностью сказать, была ли она вообще.
Что касается того, почему организации подвергаются этим атакам – зачастую это более легкий путь получения незаконного доступа, чем многие виды технического взлома. Даже для людей-техников зачастую гораздо проще просто поднять трубку телефона и спросить у кого-либо его пароль. Именно это хакер зачастую и делает.
Социотехнические атаки применяются на двух уровнях: физическом и психологическом. Сначала мы сосредоточимся на физических способах атаки: рабочее место, телефон, мусорная корзина, и даже компьютерная сеть. На рабочем месте, хакер может просто войти в дверь, как в кино, и изобразить рабочего из обслуживания или консультанта, который имеет допуск к организации. Затем он начнет расхаживать по офису, пока не найдет несколько паролей, лежащих вокруг, затем покинет здание с информацией, достаточной для вторжения в сеть из дома ближайшей ночью. Другой способ получения паролей – просто встать рядом и наблюдать, как рассеянный пользователь вводит свой пароль.
Социотехника по телефону
Наиболее распространенный способ проведения социотехнических атак – по телефону. Хакер звонит и имитирует кого-то (например, начальника), постепенно вытягивая информацию из пользователя. Телефоны помощи особенно склонны к таким атакам. Хакер может сымитировать внутренний телефонный звонок в компании (например, позвонить, и несколько раз попросит перевести его с номера на номер), и в конце концов сказать: “Переведите меня, пожалуйста, на номер 98… (где … это - еще 7 цифр)”. Так как на большинстве офисных мини-АТС цифра 9 – это выход на внешнюю линию, а 8 – это выход на междугороднюю линию, то хакер за счет компании позвонит в другой город.
Или вот еще один пример получше. Вам позвонят в полночь и спросят “Вы звонили в Египет в течение последних 6 часов?” – “Нет”. Тогда они скажут “у нас есть активный звонок, звонят по вашей карте в Египет. Сумма уже составляет около 2000 долларов. Вам нужно это оплатить”. Вы начнете возмущаться. Далее они скажут “Я готов рискнуть своей работой, но избавить вас от этого. Для этого вы должны сказать мне номер и PIN своей карты”. Люди не устоят перед этим.
Телефоны помощи уязвимы в частности потому, что они предназначены специально для помощи, что и используется людьми, пытающимися получить недозволенную информацию. Сотрудники, отвечающие на этих телефонах, обучены быть дружелюбными и выдавать информацию, так что это золотая жила для социотехники. Большинство сотрудников на этих телефонах имеют минимум образования в области безопасности, так что стараются просто отвечать на вопросы и переходить к следующему телефонному звонку. Это может создать огромную дыру в безопасности.
Live Computer Security Institute демонстрирует такой пример уязвимости телефонов помощи, когда хакер звонит в компанию и просит соединить его со справочной. “Кто сегодня дежурный администратор?” – “Бэтти.” – “Соедините меня с Бэтти.” Его соединяют. “Привет, Бэтти, плохой день сегодня?” – “Да нет, почему это?” – “У вас система не работает.” Она отвечает “Да нет, у нас все работает.” Он говорит “попробуйте выйти из системы.” Она выходит. Он говорит “а теперь снова войдите.” Она входит. Он говорит “мы не видим никаких изменений. Попробуйте еще раз выйти.” Она выходит. – “Бэтти, мне придется войти в систему под вашим именем, чтобы понять, что происходит с вашим эккаунтом. Скажите мне имя и пароль.” После этого администратор говорит ему нужный пароль. Дело сделано!
Разновидность телефонной темы – оплата по телефону. Хакеры стоят за спиной, чтобы узнать номера кредитных карт и PIN-коды. В людных местах около телефонов-автоматов всегда много народа – так что нужно быть очень осторожными.
Копание в мусоре
Копание в мусоре – еще один популярный метод социотехники. В мусоре компании можно собрать огромное количество информации. The LAN Times перечислил следующие предметы, которые могут создать угрозу безопасности компании, оказавшись в мусоре: телефонные книги компании, структура организации, записки, руководства политики компании, календари встреч, событий и отдыха, системные руководства, распечатки чувствительных данных или логинов и паролей, распечатки исходного текста программ, дискеты и пленки, фирменные бланки компании, устаревшее оборудование.
Эти источники могут обеспечить богатую информацию для хакера. Телефонные книги могут дать могут дать имена и номера телефонов людей, которых можно “обработать”. Структура организации содержит информацию о людях, имеющих власть в организации. Записки содержать маленькие кусочки информации, необходимой для создания подлинности своего статуса. Руководства политики показывают хакерам уровень безопасности в компании. Календари тоже очень полезны – они могут сказать хакерам, кого из сотрудников не будет в городе в определенное время. Системные инструкции, чувствительные данные и другие источники технической информации могут дать хакерам то, что им нужно для взлома компьютерной сети. Наконец, устаревшее оборудование, в частности жесткие диски, могут быть восстановлены для получения разнообразной полезной информации.
Социотехника в Сети
Интернет – богатая почва для социотехники в поисках паролей. Наибольшая уязвимость в том, что многие пользователи часто используют один и тот же простой пароль во всех эккаунтах: будь то e-mail или что-то еще. Таким образом, если хакер получил один пароль, он наверняка сможет войти во множество эккаунтов. Один известный способ, которым хакеры получают пароли – через онлайновые формы: они могут послать некоторую интересную информацию и попросить вас ввести имя (включая e-mail адрес – в этом случае они даже могут получить корпоративный эккаунт человека) и пароль. Эти формы могут посылаться как через e-mail, так и через обычную почту. Обычная почта даже предпочтительней, так как вызывает большее доверие.
Другой путь получения хакерами информации онлайн – притвориться сетевым администратором и послать e-mail пользователю с запросом на его пароль. Этот способ атаки обычно не работает, поскольку пользователи в сети, как правило, более информированы о хакерах, однако об этом не следует забывать. Кроме того, хакеры могут создать самооткрывающиеся окна, выглядящие вполне естественно и запрашивающие повторно ввести имя пользователя и пароль, чтобы устранить некоторые проблемы. Большинство пользователей уже должны знать, что не желательно посылать пароль как простой текст, но не повредит, если системный администратор напомнит об этой простой мере безопасности. Даже лучше, если сисадмины предупредят своих пользователей, чтобы они не раскрывали свои пароли за исключением случаев беседы лицом к лицу с сотрудником, который уполномочен на это, и которому можно доверять.
E-mail также может использоваться для более прямых средств получения доступа к системе. Например, почтовые вложения, посланные от известного вам человека, могут содержать вирусы, сетевых червей и троянских коней. Хорошим примером этого является взлом AOL, описанный VIGILANTe. Хакер позвонил в отдел технической поддержки AOL и около часа разговаривал с сотрудником поддержки. Во время беседы хакер упомянул, что он дешево продает свой автомобиль. Сотрудник тех. поддержки заинтересовался, и хакер послал ему e-mail с вложением “фото машины”. Вместо фотографии, из письма запустился троянский конь, который открыл в firewall доступ к AOL.
Убеждение
Хакеры изучают социотехнику с психологической точки зрения, обращая особое внимание на то, как создать совершенную психологическую среду для атаки. Основные методы убеждения включают: олицетворение, покорение, соответствие, разделение ответственности, и простое дружелюбие. Вне зависимости от используемого метода, основная цель состоит в том, чтобы убедить человека, раскрывающего информацию, в том, что хакер и есть тот человек, которому он может доверить эту информацию. Другой важный момент – никогда не запрашивать слишком много информации сразу, а спрашивать понемногу у каждого человека, чтобы не вызвать подозрений.
Олицетворение обычно означает создание и игра определенной роли. Чем проще роль, тем лучше. Иногда это мог бы быть просто звонок со словами: “Привет, это Джо из административной информационной системы, мне нужен ваш пароль”, но это не всегда работает. В другой раз хакер изучит реального сотрудника из организации, а затем дождется, когда того не будет в городе, чтобы исполнить его роль по телефону. Согласно Bernz, хакеры, которые тщательно прорабатывают роль, используют маленькие коробочки для маскировки своего голоса и изучают манеру говорить и структуру организации. Я бы сказал, это наименее типичный способ атаки олицетворения, поскольку требует длительной подготовки, но все же такое случается.
Список стандартных ролей, которые могут играть имитаторы, включает: ремонтник, IT-поддержка, менеджер, доверенное третье лицо (например, исполнительный помощник Президента, который звонит со словами, что Президент дал ей согласие на получение определенной информации), или такого же служащего. В огромной компании это не так сложно сделать. Невозможно знать всех – поэтому и легко обмануться относительно личности имитатора. Большинство этих ролей попадает под категорию кого-то, имеющего власть, что заставляет людей подчиниться. Большинство сотрудников хотят впечатлить босса, так что они сделают все, чтобы обеспечить требуемой информацией кого-то из руководства.
Соответствие – это групповое поведение, но иногда может использоваться в индивидуальном порядке путем убеждения пользователя, что все давали хакеру такую же информацию, которую он сейчас запрашивает. Таким образом, хакеры распространяют ответственность служащего, отдающего пароль, на других служащих, что снижает его беспокойство.
Зачастую лучший способ для получения информации с помощью социотехнической атаки – просто быть дружелюбным. Идея в том, что средний пользователь хочет верить коллеге, с которым говорит по телефону и хочет помочь, таким образом, хакеру только требуется действовать более-менее правдоподобно. Более того, большинство сотрудников отвечают охотно, в особенности женщинам. Небольшая лесть или флирт могли бы даже помочь смягчить служащего для дальнейшего сотрудничества, но умный хакер знает, когда прекратить вытягивать информацию до того, как служащий заподозрит что-либо странное. Например, наверняка сработает следующее: “Извините (взмах ресницами), я попала в затруднительную ситуацию, не могли бы вы помочь мне?”
Обратная социотехника
Более продвинутый метод получения запрещенной информации известен как “обратная социотехника”. В данном случае хакер создает персону, которая оказывается в авторитетном положении, так что сотрудники сами будут обращаться за помощью к нему, а не куда-либо еще. Если атака обратной социотехники хорошо разработана и исполнена, она может дать хакеру больше шансов в получении ценной информации от сотрудников; однако, это требует огромной работы по подготовке, исследованию и предварительному взлому.
Согласно Methods of Hacking: Social Engineering, статье Рика Нельсона, существуют три части обратной социотехнической атаки: саботаж, реклама и помощь. Хакер подрывает деятельность сети, создавая определенные проблемы. Затем он представляется тем специалистом, который может решить проблемы, а когда приходит выполнить эту работу, он запрашивает у сотрудников требуемую ему информацию, получая таким образом то, для чего в действительности он сюда пришел. Они никогда не узнают, что это был хакер, поскольку их проблема с сетью исчезла и все счастливы.
Заключение
Как бороться с социотехническими атаками? Читайте в следующей части.
По материалам: Securitylab.ru
Online.securityfocus.com