Мусор forever
Наблюдая за предновогодней генеральной уборкой в офисе, когда из ящиков столов выгребаются кипы бумаг и летят в мусорную корзину, а со столов, в ту же корзину сметаются стикеры и настольные календари, я думаю о том, сколько личной и коммерческой информации сейчас становится мусором. Кому-то мусором, а кому-то ценным подарком…
Мусор. Он сопровождает всю нашу жизнь. Мы настолько привыкли к нему, что просто не задумываемся, что мусор – это зеркало нашей жизни. Мусор расскажет о наших привычках, предпочтениях в еде, увлечениях, о наших болезнях… Знающий человек может составить по мусору даже наш психологический портрет.
Так и с организациями. Из офисного мусора злоумышленник, использующий методы социальной инженерии (соцоинженер) может узнать о компании очень многое: о ее структуре, сотрудниках, проектах…
Скрытая ценность информации
Все организации тщательно оберегают информацию, ставят межсетевые экраны и навороченные системы шифрования, системы охранной сигнализации и видеонаблюдения. Охранника в форме у входа в офис.
Но всех этих мер может быть недостаточно. Очень часто проникновение злоумышленника через защиту компании начинается с получения даже фрагмента какого-нибудь документа, который кажется такими безвредным и незначительным, что практически никто из сотрудников организации и не задумались бы об ограничении к нему доступа.
Даже та информация, которая не считается конфиденциальной
Многое из кажущейся бесполезной информации, ценно для социоинженера, потому что он может использовать ее для вхождения в роль, для создания атмосферы доверия и симпатии.
Разгребание мусора
Термин «разгребание мусора» описывает процесс извлечения злоумышленниками не уничтоженной конфиденциальной или иной непубличной информации, представляющей ценность для социоинженера, в мусорных корзинах компании. Объем информации, добытой таким способом огромен. Ведь большинство людей не задумываются о том, что они выбрасывают дома: телефонные счета, выписки, рецепты и т.д. Соответственно и на работе они также не задумываются, что выбрасываемый ими, например, вариант описания нового проекта, может использоваться злоумышленником для проведения атаки. Поэтому все сотрудники компании должны быть предупреждены, что на самом деле люди могут рыться в мусорных корзинах, чтобы выудить оттуда полезную и выгодную для них информацию.
Компания может поставить лучшую систему охраны и навороченную систему видеонаблюдения, а также здоровенного охранника у входа, но она будет по сути «голой» если не позаботится о том, какой мусор выбрасывается за пределы системы защиты.
Недавно я наблюдала следующую сценку из жизни: место действия маленькое отделение небольшого банка. Системы охранной сигнализации, видеонаблюдения и охранник присутствуют. Время: полчаса до окончания рабочего дня. Действие первое: место действия операционный зал. Оператор что-то печатает (какие-то выписки, возможно со счетов), смотрит, исправляет и отправляет распечатку в мусорную корзину, в которой уже полно бумаг. Появляется уборщица, которая собирает мусорные корзины и сваливает все в один мешок.
Действие второе: место действия улица. Система видеонаблюдения присутствует. Уборщица выносит пакет с мусором и бросает его в мусорный бак. Охранник стоит курит: он видит, что уборщица выбросила мусор в бак и ждет ее, чтобы перекинуться парой слов. Некоторое время спустя к баку подходит бомжеватого вида тип и начинает копаться в отходах. Охранник стоит, курит.
Ради тренировки ума можно попробовать посчитать, сколько допущено ошибок и представить, какие могут быть последствия, если бомжеватого вида тип вдруг оказался злоумышленником, готовящим план атаки на информационную систему банка. Ведь исходя из того, что все ненужные бумаги просто сваливались сотрудниками в корзины, социоинженер мог бы добыть не мало важной для него информации.
Еще один случай из жизни. В одной небольшой организации администратор сети был очень озабочен вопросами безопасности и ввел процедуру ежемесячной смены пароля. Причем пароли пользователям выдавал он сам и строго следил за тем, чтобы сотрудники не развешивали памятки с паролем на мониторах, системных блоках и других (по части видных) местах. Но по окончании месяца в мусорной корзине секретаря всегда можно было найти стикер с паролем. Это было занимательное зрелище: получив новый пароль на месяц девушка записывала его на стикер, затем переворачивала телефонный аппарат, стоящий у нее на столе и заменяла старый стикер, прилепленный к днищу, на новый. Стикер с паролем прошедшего месяца летел в корзину. Впрочем, надо отдать должное девушке: я никогда не видела, чтобы секретарь заглядывала в свой тайник, а вот два товарища-менеджера по продажам меня изрядно позабавили. Каждый день перед началом работы один из них заглядывал в выдвижной ящик стола, а другой что-то делал под столешницей. Как я уже писала администратор следил за тем, чтобы пользователи не расклеивали памятки с паролем на видных (!!) местах, но он не следил за тем, чтобы пользователи вообще не использовали памятки. И в случае с менеджерами выяснилось, что первый из них прикрепил стикер с паролем внутри выдвижного ящика, а второй – с внутренней стороны крышки стола.
Удивительно, как много полезной для социоинженера информации можно найти в мусорных баках. Но в определенное время ее становится неприлично много. Обычно это время совпадает с концом квартала, предновогодней лихорадкой и генеральными уборками в офисе. В это время в корзины отправляются старые договора, отчеты, телефонные справочники, приказы, должностные инструкции, стикеры и настольные календари, на страницах которых многие любят делать заметки. Также в мусоре можно найти организационные графики и структуру компании, графики командировок, и прочую подобную информацию. Кроме того, в мусор попадают дискеты и нерабочие винчестеры.
Впрочем, не все просто так отправляют ненужную бумагу в корзину: некоторые рвут ее на части. Однако охотников до чужой информации этим не остановить и любители пазлов смогут решить головоломку, если все ее части находятся в одном мусорном контейнере.
Разгребанием мусора занимаются не только хакеры-одиночки, но и силовые ведомства, шпионы и контрразведчики. Крупные корпорации тоже непрочь покопаться в мусоре своих конкурентов. Вот один известный случай. В 2000 году корпорация Оракл (Oracle) наняла детективное агентство, покопаться в мусоре одной из подведомственных Майкрософту организаций, компании АСТ. Сотрудник детективного агентства пытался подкупить уборщиков, чтобы получить бумажный мусор компании АСТ. Они отказались от предложения и все рассказали полиции.
Черновики
Где-то в начале 90-х наша страна столкнулась со многими трудностями. Экономический спад и всеобщий бардак,
Было и еще одно явление: начала пропадать бумага. С полок канцелярских магазинов исчезли бумага цветная и чертежная, пропали тетради. А в некоторых регионах тетради школьникам выдавали по спискам и точно по количеству изучаемых предметов.
Впрочем и тогда и сейчас многие руководители предприятий стараются «урезать» потребности отделов в офисной бумаге. Привычка экономить на бумаге вошла у нас в привычку и породило такое явление как черновики. Конечно «экономика должна быть экономной» и «копейка рубль бережет», но мало кто задумывается над тем, что можно, а что нельзя использовать в качестве черновиков и как это может повлиять на безопасность компании.
Много раз я наблюдала, как в кипу черновиков летели все ненужные бумаги подряд и сотрудники порой даже никак не помечали, что это черновик. Потом черновики «использовались по назначению» и, по истечению какого-то времени, оказывались в мусорной корзине. А что происходит с офисным мусором я уже писала.
Приведу несколько примеров того, что мне попадалось в качестве черновика:
листы договора (варианта) с полными реквизитами заказчика и исполнителя и указанной суммой договора;
листы договора (варианта) с полными реквизитами заказчика и исполнителя и с печатью и подписью директора одной из сторон;
просто лист бумаги с печатью организации;
части (правда, разрозненные) накладных;
часть списка внутренних телефонов компании;
часть списка сотрудников с указанием окладов и индивидуальных номеров пенсионного фонда.
Представляете, как можно использовать эту информация, только подключив воображение. А социнженеры на свое воображение не жалуются.
Поразительно, но ценную информацию или бумагу можно заполучить неожиданно и вовсе не затрачивая никаких усилий. Люди дают ее вам сами.
Пример: идет прием врача. Жалобы, комментарии, врач глазами ищет на чем бы ему написать памятку для пациента. Берет бумажку со стола и пишет рекомендации. Очень часто он не смотрит, что на оборотной стороне, так как взял эту бумажку или из стопки черновиков или из стопки бланков.
Моей такой «добычей» становились:
незаполненные бланки рецептов;
чистый лист бумаги с личной печатью врача;
официальный бланк клиники с печатью (не заполненный);
график забора анализов и привоза результатов (примечание: не все анализы делаются, например, в поликлинике, часть отвозится в спец. лабораторию).
Конечно, ценность информации о графике забора анализов сомнительна, но какой-нибудь маргинальный ум, используя эту информацию, может исполнить очень злую шутку.
И не думайте, что это просто только врачи так небрежны. Мне давали различные записки, статьи и т.п., напечатанные на черновиках, информация на черновой стороне которых более ценна, чем на лицевой, в разных компаниях, в том числе и в тех, которые предоставляют услуги по защите информации.
Как обращаться с мусором
Как уже не раз отмечалось, для социального инженера копание в мусоре имеет свою выгоду. Он может раскопать достаточно информации, чтобы успешно начать штурм на определенную компанию, а информация, которую сотрудники компании считали незначительной, может иметь решающее значение.
Поэтому при работе с мусором необходимо выполнять ряд правил:
- вся информация должна быть классифицирована в соответствии со степенью важности;
- в компании должны существовать единые правила документов, содержащих конфиденциальную информацию;
- для уничтожения важных бумаг в офисе необходимо установить шредер. Причем лучше выбрать такую модель, которая превращает листы бумаги в измельченную однородную бумажную массу, а не в полоски;
- перед утилизацией компьютерных носителей информации, таких как дискеты, Zip-диски, CD и DVD-диски, используемые для хранения файлов, носители на магнитной ленте, старые жесткие диски, и др., их необходимо полностью затереть или привести в такое состояние, при котором ими невозможно будет воспользоваться;
- необходимо обеспечить проверки временных сотрудников, принятых на должности уборщиков;
- периодически проводите инструктаж с сотрудниками, чтобы они следили за тем, какие материалы они выбрасывают в мусорную корзину;
- оградите доступ к мусорным контейнерам компании;
- ограничьте хождение черновиков.
Конечно, меры по усилению безопасности можно довести и до абсурда и заставлять сотрудников уничтожать каждую бумажку в шредере, но сотрудники компании должны знать и понимать насколько серьёзной может быть выдача непубличной информации. Хорошая продуманная информационная политика вместе с надлежащим обучением улучшат понимание работников о надлежащей работе с корпоративной информацией. А до того как будут разработаны правила классификации данных вся внутренняя информация должна рассматриваться как конфиденциальная, если не определено иначе.
Литература:
- Дэнис Фэри «Секреты супер-хакера», Издательский дом «Невский проспект», 1997
- Кевин Митник, Вильям Саймон «Искусство вторжения», ДМК пресс, Компания АйТи; 2005
- Кевин Митник, Вильям Саймон «Искусство обмана»