14 ноября 2005 / 10:39
Константин Котов
Некоторые люди уверены, что, установив необходимое аппаратное и программное обеспечение, они смогут обезопасить себя от различного рода хакерских атак и утечек информации. Знакомый по голливудским фильмам образ хакера - взлохмаченный человек с безумным взглядом, сидящий где-то в подвале в окружении свисающих с потолка проводов и с легкостью взламывающий самые защищенные сети и компьютеры в течение нескольких минут.
Интересно, как эти люди поступят, если узнают, что хакер вполне может скрываться под видом простого сервисного инженера, пришедшего для планового осмотра офисной техники в фирменной футболке с логотипом компании - изготовителя и/или поставщика офисного оборудования для этой фирмы.
Для такого рода хакерской деятельности в западной литературе уже давно используется термин "social engineering" (социальная инженерия). Методы социальной инженерии построены на прикладной психологии, позволяющей использовать уязвимости не только в аппаратно-программной части, а, в первую очередь, в человеческом поведении.
Как утверждают специалисты в области социальной инженерии, самое главное, чтобы человек, предоставляющий хакеру нужную информацию, думал, что он сам контролирует весь процесс общения и говорит только о том, о чем считает нужным.
Хакер может действовать издалека. Допустим для начала, хакеру необходимо узнать, каким почтовым сервером для исходящей почты пользуются в интересующей его компании. Напрямую это узнать можно, но при этом можно также навлечь на себя подозрения. Хакер поступает таким образом. Например, отправляет в эту компании свое резюме, указывая все те характеристики, которые требуются компании. В ответ получает письмо с приглашением на собеседование. Из этого письма хакер уже может извлечь некоторую информацию о почтовом сервере. Далее хакер идет на собеседование и, поскольку устраивается на работу, связанную с информационными технологиями, без опасения быть раскрытым узнает всю интересующую его информацию: о конфигурации локальной сети, настройках и параметрах сервера, группе администраторов. Знание имен администраторов вполне может пригодиться потом при организации атак на раскрытие их учетных записей.
Возникает вопрос, почему же служащие компании так легко поделились этой информацией с хакером? Да потому что они были уверены в том, что процесс общения был инициирован ими, и они сами вели его в нужном русле.
Вернемся к примеру, описанному в самом начале. Как могло случиться, что хакер узнал марку используемой офисной техники, и под видом сервисного инженера проник в здание? Вот какой телефонный диалог мог произойти незадолго до этого в офисе компании:
Администратор: "Здравствуйте, компания ...!"
Хакер: "Меня зовут ..., я звоню насчет вашего копировального аппарата. Заканчивается срок его технической поддержки, будете ли вы его продлевать?"
Администратор: "Ну, я этими вещами не занимаюсь, но я вас сейчас соединю с нашей технической службой".
Хакер: "Отлично! Да, кстати, какой именно копировальный аппарат вы используете? Мне необходимо обновить свою базу данных и внести туда номер модели".
Администратор: "У нас ..."
Хакер: "А, спасибо, есть такая модель. Она у нас была по ошибке записана в ... офисе" (список офисов можно посмотреть, например, на интернет-сайте компании).
Вот и все. Информации вполне достаточно для того, чтобы через пару дней в компанию пришел бы человек в фирменной футболке производителя копировальных аппаратов, используемых в этой компании, якобы, для проверки техники перед продлением срока технической поддержки. А уж что он будет делать потом, зависит от его конкретных целей. Явно, ничего хорошего от этого визита ждать не стоит.
Противодействие методам социальной инженерии
Самый основной способ защиты от социальной инженерии - это образование. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения. Для этого можно организовывать специальные курсы и семинары, а также периодические рассылки по электронной почте.
Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной авторизации собеседника им необходимо получить.
Во многих компаниях существуют некие корпоративные правила, с которыми люди знакомятся еще при приеме на работу и обязуются их выполнять.
Вот некоторые правила, которые будут полезны любой компании:
1. Все пользовательские пароли являются собственностью компании. Всем сотрудникам должно быть разъяснено в день приема на работу, что те пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах (известно, что человеку трудно держать в голове все пароли и коды доступа, поэтому он часто пользуется одним паролем для разных ситуаций).
Как такая уязвимость может быть использована в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга. В результате его пароль на некотором интернет-сайте стал известен некоторым злоумышленникам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании.
В принципе, даже не обязательно, чтобы сотрудник компании становился жертвой фишинга. Нет никаких гарантий, что на сайтах, где он авторизуется, соблюдается необходимый уровень безопасности. Так что, потенциальная угроза всегда существует.
2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями. Если в вашей компании допускается принимать посетителей в здании, вам необходимы четкие правила для установления личности посетителя и его сопровождения. Возможно, при посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение.
3. Должно существовать правило корректного раскрытия только действительно необходимой информации. Не секрет, что большая часть информации добывается хакером при непосредственном общении с сотрудниками компании. Надо учесть еще тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому хакер может запросто прикинуться сотрудником, которому требуется помощь. Одним из возможных вариантов решения проблемы раскрытия информации может быть такой: все вопросы об используемых системах, учетных записях и внутренних процессах должны отсылаться к специальной внутренней службе компании, которая и принимает решение по всем этим вопросам. Список вопросов, входящих в компетенцию такой службы, разумеется, должен быть четко сформулирован и доведен до всех сотрудников компании.
Ну и в заключение совет, хорошо знакомый со времен СССР: "Будьте бдительны!"
Интересно, как эти люди поступят, если узнают, что хакер вполне может скрываться под видом простого сервисного инженера, пришедшего для планового осмотра офисной техники в фирменной футболке с логотипом компании - изготовителя и/или поставщика офисного оборудования для этой фирмы.
Для такого рода хакерской деятельности в западной литературе уже давно используется термин "social engineering" (социальная инженерия). Методы социальной инженерии построены на прикладной психологии, позволяющей использовать уязвимости не только в аппаратно-программной части, а, в первую очередь, в человеческом поведении.
Как утверждают специалисты в области социальной инженерии, самое главное, чтобы человек, предоставляющий хакеру нужную информацию, думал, что он сам контролирует весь процесс общения и говорит только о том, о чем считает нужным.
Хакер может действовать издалека. Допустим для начала, хакеру необходимо узнать, каким почтовым сервером для исходящей почты пользуются в интересующей его компании. Напрямую это узнать можно, но при этом можно также навлечь на себя подозрения. Хакер поступает таким образом. Например, отправляет в эту компании свое резюме, указывая все те характеристики, которые требуются компании. В ответ получает письмо с приглашением на собеседование. Из этого письма хакер уже может извлечь некоторую информацию о почтовом сервере. Далее хакер идет на собеседование и, поскольку устраивается на работу, связанную с информационными технологиями, без опасения быть раскрытым узнает всю интересующую его информацию: о конфигурации локальной сети, настройках и параметрах сервера, группе администраторов. Знание имен администраторов вполне может пригодиться потом при организации атак на раскрытие их учетных записей.
Возникает вопрос, почему же служащие компании так легко поделились этой информацией с хакером? Да потому что они были уверены в том, что процесс общения был инициирован ими, и они сами вели его в нужном русле.
Вернемся к примеру, описанному в самом начале. Как могло случиться, что хакер узнал марку используемой офисной техники, и под видом сервисного инженера проник в здание? Вот какой телефонный диалог мог произойти незадолго до этого в офисе компании:
Администратор: "Здравствуйте, компания ...!"
Хакер: "Меня зовут ..., я звоню насчет вашего копировального аппарата. Заканчивается срок его технической поддержки, будете ли вы его продлевать?"
Администратор: "Ну, я этими вещами не занимаюсь, но я вас сейчас соединю с нашей технической службой".
Хакер: "Отлично! Да, кстати, какой именно копировальный аппарат вы используете? Мне необходимо обновить свою базу данных и внести туда номер модели".
Администратор: "У нас ..."
Хакер: "А, спасибо, есть такая модель. Она у нас была по ошибке записана в ... офисе" (список офисов можно посмотреть, например, на интернет-сайте компании).
Вот и все. Информации вполне достаточно для того, чтобы через пару дней в компанию пришел бы человек в фирменной футболке производителя копировальных аппаратов, используемых в этой компании, якобы, для проверки техники перед продлением срока технической поддержки. А уж что он будет делать потом, зависит от его конкретных целей. Явно, ничего хорошего от этого визита ждать не стоит.
Противодействие методам социальной инженерии
Самый основной способ защиты от социальной инженерии - это образование. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения. Для этого можно организовывать специальные курсы и семинары, а также периодические рассылки по электронной почте.
Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной авторизации собеседника им необходимо получить.
Во многих компаниях существуют некие корпоративные правила, с которыми люди знакомятся еще при приеме на работу и обязуются их выполнять.
Вот некоторые правила, которые будут полезны любой компании:
1. Все пользовательские пароли являются собственностью компании. Всем сотрудникам должно быть разъяснено в день приема на работу, что те пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах (известно, что человеку трудно держать в голове все пароли и коды доступа, поэтому он часто пользуется одним паролем для разных ситуаций).
Как такая уязвимость может быть использована в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга. В результате его пароль на некотором интернет-сайте стал известен некоторым злоумышленникам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании.
В принципе, даже не обязательно, чтобы сотрудник компании становился жертвой фишинга. Нет никаких гарантий, что на сайтах, где он авторизуется, соблюдается необходимый уровень безопасности. Так что, потенциальная угроза всегда существует.
2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями. Если в вашей компании допускается принимать посетителей в здании, вам необходимы четкие правила для установления личности посетителя и его сопровождения. Возможно, при посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение.
3. Должно существовать правило корректного раскрытия только действительно необходимой информации. Не секрет, что большая часть информации добывается хакером при непосредственном общении с сотрудниками компании. Надо учесть еще тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому хакер может запросто прикинуться сотрудником, которому требуется помощь. Одним из возможных вариантов решения проблемы раскрытия информации может быть такой: все вопросы об используемых системах, учетных записях и внутренних процессах должны отсылаться к специальной внутренней службе компании, которая и принимает решение по всем этим вопросам. Список вопросов, входящих в компетенцию такой службы, разумеется, должен быть четко сформулирован и доведен до всех сотрудников компании.
Ну и в заключение совет, хорошо знакомый со времен СССР: "Будьте бдительны!"
