Социальная инженерия. Заметки
Наверняка человеческий мозг, в котором особым способом развиты сверхспособности, делающие его живым компьютером, до сих пор находит применение.
Ф. Херберт. "Бог — император Дюны".
Введение. Понятие СИ
Как вы думаете, что самое ценное в любой организации? Это не компьютеры, не помещения или продукция, это даже не то, что стало модным клише в некоторых корпорациях: «Наши самые ценные активы — это наши люди», а информация, которой эти люди обладают. И это верно, так как сегодня человеческий фактор в информационной безопасности играет гораздо более важную роль, чем 20 лет назад. Наверно м ногие слышали о социальной инженерии, но вряд ли представляли себе насколько это реально работающая технология, если ей пользоваться умело.
Социальная инженерия (СИ) (англ. social engineering) — совокупность подходов прикладных социальных наук, или прикладной социологии, ориентированной на целенаправленное изменение организационных структур, определяющих человеческое поведение и обеспечивающих контроль за ним. Помимо психологии на становление СИ определенное влияние оказала прикладная антропология, которая имеет дело с описанием изменений в сфере человеческих отношений и разработкой принципов контроля над ними. СИ удивительна тем, что включает в себя очень широкий набор различных техник и методик, позаимствованных из практической психологии, нейро-лингвистического программирования (НЛП), гипноза, и других техник, позволяющих манипулировать людьми.
В качестве устоявшегося термина СИ появилась в американской социологии только в 60-х гг., однако сама идея и принципы ее практической реализации сложились гораздо раньше, еще до второй мировой войны — в рамках так называемой «человеческой инженерии» (human engineering), направленной, в основном, на повышение безопасности труда и повышении эффективности работы машин, снижение утомляемости работника и обеспечение комфортности в системах «человек—машина». После Второй Мировой войны СИ стала широко применяться в авиационной и оборонной промышленности США, а также в индустриальной социологии, военной социологии, пропаганде и коммуникациях.
Сегодня методы СИ используются в различных областях, например, в рекламе. С СИ можно столкнуться и в повседневной жизни: это могут быть всевозможные гипнотизеры, целители, аферисты, цыгане. А также дети – великие манипуляторы. И хотя они и не знают основ психологии, но умело применяют те же методы, что и социальные инженеры (с-инженеры).
Промышленный шпионаж, взлом информационных систем, мошенничество все это направления деятельности с-инженера. Успешная деятельность злоумышленника становится возможной, благодаря человеческой беспечности, глупости, психической неустойчивости, жадности, страха, доверчивости.
Развитие информационных технологий дает большие возможности для применения СИ, так как несмотря на развитие аппаратных и программных средств защиты информации, человек остается самым слабым звеном в системе безопасности.
Почему же злоумышленники прибегают к СИ при организации атак на информационные системы? Во- первых, это проще, чем взломать техническую систему безопасности и т акие атаки невозможно вычислить с помощью технических средств защиты информации. Во-вторых, атаки с использованием методов СИ эффективны, недороги и имеют низкую степень риска попасться. И работает СИ независимо, от того какое аппаратное и программное обеспечение установлено в системе.
Прямая СИ
Как уже было сказано, в СИ используются различные техники и методики практической психологии, НЛП и т.п. Некоторые с-инженеры действительно изучают психологию, гипноз, НЛП, другим это дано от природы. Но всегда использование методов СИ сравни с искусством. Как и любому художнику с-инженеру нужны средства доступа к объекту своего воздействия. Ими могут быть [ 1 ] :
телефон;
электронная почта;
разговор по Internet в "реальном времени";
обыкновенная почта;
личная встреча.
Профессиональные с-инженеры могут по наводящим вопросам, по интонации голоса определить интересы, комплексы и страхи человека и, мгновенно сориентировавшись, сыграть на них.
Так, например, у любого человека существуют так называемые "Врата Сортировки" (ВС) - жизненные ориентиры человека в те вещи, которые для него важны. Это:
Люди. Кто? Для человека имеющего эти врата важны люди и говорит он в основном о людях.
Вещи, Действия. Что? Эти люди обращают много внимания на вещи и предметы. Кроме того, сюда будут относиться "овеществленные процессы" - действия.
Ценности. Зачем? Человек с этими вратами обращает внимание в первую очередь на ценности и говорит больше с этих позиций. Вопрос "а зачем все это нужно?" проходит сквозь все его рассуждения.
Процесс. Как? В данном случае человек в первую очередь он обращает внимание на то, "чем мы будем заниматься и как решать данную задачу". В речи это может быть представлено, как некая последовательность событий.
Время. Когда? Человек с этими вратами ориентируется на время и хорошо в нем разбирается, для него важно, когда это было, во сколько, какой день недели, часы минуты.
Место. Где? Скорее всего, этот человек с большим удовольствием будет рассказывать о местах, в которых бывал или собирается быть.
Правда, у человека обычно более представлены 2-3 ВС, например (Люди и Процесс; Вещи, Ценности и Время), причем в различных ситуациях врата могут меняться. ВС по сути фильтр через который нужно «просочиться» с-инженеру.
С-инженер может использовать различные комплексы и страхи:
Доверчивость. Это качество заложено в каждом человеке. Люди доверяют или потому, что им лень перепроверять информацию или просто в силу робости или хорошего воспитания или в силу излишней самоуверенности. Как правило именно самоуверенность атакуемого в том, что со мной этот фокус не пройдет и используется с-инженерами.
Страх. Каждый из нас подвержен страхам в большей или меньшей степени, но есть такие, которые сильно влияют практически на всех людей. Это: угроза своей жизни, страх потерять близкого, страх перед болью и т.п. Существуют огромное количество маленьких и больших страхов, которые заставят человека пойти на самые необдуманные поступки, так как напуганного человека больше заботит, как выйти из этого неприятного состояния, чем мысль о том, что его страх может быть фикцией.
Жадность. Ну, про жадность сказано много. Желание людей быстро обогатиться настолько велико, что часто достаточно просто всего лишь пообещать человеку что-то, что ему необходимо.
Превосходство. Методика превосходства сложна тем, что манипулировать ей нужно очень тонко, так как существует достаточное количество людей которым просто лень что-то доказывать даже если кто-то сомневается в их компетенции. Однако, амбиции человека бывают настолько велики, что необходимость чувствовать себя лучше, красивее, умнее, сильнее и т.п. принимает уродливые формы и даже намек на сомнение в компетенции вызывает бурю эмоций (с выдачей необходимой с-инженеру информацией).
С-инженер обычно демонстрирует несколько характерных признаков той роли, которую он разыгрывает. Большинство атакуемых самостоятельно награждают исполнителя определенной роли дополнительными характеристиками, после того, как им продемонстрируют некоторые знаковые элементы. Более того с-инженеры навязывают объекту определенную роль, входя в которую он начинает испытывать к инженеру симпатию, которая помогает установить доверительные отношения. Людям нравятся те, кто похож на них, имеет такие же склонности, аналогичное образование и хобби. С-инженер всегда тщательно изучает всю информацию, связанную с мишенью атаки. Он может увеличивать чувство симпатии, используя комплименты или откровенную лесть, а также и собственную внешнюю привлекательность. Кроме того, с-инженер может сыграть на необходимости помогать другим. Ведь люди испытывают позитивные эмоции, когда помогают другим – это дает ощущение собственного могущества.
Наиболее уязвимы для атак с-инженеров новые сотрудники. Как правило, им еще не успели рассказать о всех существующих корпоративных правилах, они не изучили регламентов информационной безопасности. Новички еще не знают всех своих коллег, особенно лично. К тому же, им свойственна повышенная доверчивость и готовность помочь, дабы зарекомендовать себя как активных и отзывчивых членов команды, на которых можно положиться.
Обратная социальная инженерия
Обратная социальная инженерия может использоваться только в определенных условиях и требует тщательное планирование и предварительную подготовку. ОСИ практически не дает сбоев, так как использующий ее методы с-инженер полностью контролирует ситуацию, а объект получает решение «проблемы» (которую, в общем-то и создал инженер). В случае с ОСИ пользователь считает с-инженера человеком, которому можно доверять и у него нет причин не давать ему важную информацию. Следует отметить, что ОСИ не является, по сути, социальной инженерией. И даже опытный пользователь, знакомый с методами СИ не сможет ее распознать. Тем более его голова будет занята возникшей проблемой. Как правило, атака с помощью ОСИ состоит из трех частей [ 2 ] : диверсия; реклама; помощь. Диверсия — это первый этап ОСИ, на котором инженер создает неполадку в атакуемой системе, такую, чтобы объект не мог с ней работать. Это может быть изменение какого-либо параметра (установки монитора, принтера, параметры файла и даже переключение клавиатуры). Можно возразить, мол пользователи сейчас не такие «тупые». Отнюдь. Свидетельство тому один случай в банке: один оператор говорит другому: - У меня пароль не вводится. -Переключи регистр… -Что????? И таких пользователей много. Достаточно, чтобы инженер смог найти объект. Другими диверсиями могут быть аппаратные неполадки (да просто, например, выдернуть кабель из разъема), запуск вредоносных программ (только не вирусов, т.к. они часто выходят из под контроля) или программ-имитаторов. Однако следует помнить, что неполадки должны быть легко устранимыми, т.к. инженер должен решить проблему «в одно мгновение». Вторым этапом ОСИ является реклама. На этом этапе инженер должен донести до объекта информацию о том, что он (инженер) может помочь решить проблему в любое время суток. При этом не надо навязывать свои услуги: пусть лучше объект сам найдет информацию в доступном месте. Так у него будет иллюзия свободного выбора. Помощь — общение инженера с объектом, при котором объект получает решение проблемы, а инженер – необходимую ему информацию. Однако стоит ли ОСИ затраченных усилий? Если срабатывает - несомненно. При атаке с использованием методов ОСИ инженер «помогает» объекту. При этом инженер становится для объекта «своим», а при определенных обстоятельствах и «другом». Объект может сам связаться с инженером, например, при возникновении другой проблем, или же инженер на правах «своего» может и дальше поддерживать отношения с объектом, «беспокоясь» о возможных повторениях неполадок и, заодно добывая новую информацию. Помогите людям и они помогут вам…
Противодействие социальной инженерии
Методы социальной инженерии представляют серьезную угрозу информационной безопасности для любой организации. Для предотвращения атак необходимо создать и разработать различные варианты политики безопасности, определить правила корректного использования телефонов, компьютеров и т. д. При этом необходимо учитывать, что даже самые лучшие правила и инструкции могут не спасти, если будут использоваться ненадлежащим образом.
В [ 3 ] предлагается несколько мер противодействия СИ:
1. Разработка четкого плана действий для сотрудников в случае обнаружения атаки социальной инженерии.
Для предотвращения атак с использованием методов СИ необходимо разработать четкие инструкции для всех категорий сотрудников, в которых будут пошагово расписаны действия сотрудников в случае обнаружения атак СИ. Эта информация должна быть размещена в доступном месте. Кроме того, все сотрудники должны быть осведомлены о принимаемых мерах по предотвращению проникновения в информационные системы с помощью СИ и протестированы на знание инструкций и политик безопасности, принятых в данной организации.
2. Разработка правила для сотрудников, позволяющие определять, какая информация является важной для компании.
Как правило в компаниях существуют правила доступа к конфиденциальной информации. Однако даже та информация, которая не считается особенно важной, может быть полезной с-инженеру, собирающему крупицы информации, внешне бесполезной, но которую он может использовать для создания атмосферы доверия и симпатии. Такой информацией может быть рабочее название проекта, место нахождения команды разработчиков, имя сервера, которым пользуются сотрудники и т.п. Кроме того, сотрудники должны знать правила уничтожения офисного мусора.
3. Научить сотрудников говорить «Нет!»
Говорить «Нет!» достаточно сложно. Не многие владеют этим не испытывая чувства неловкости. Программа компании по противодействию атакам СИ одной из задач должна ставить изменение норм вежливости, а именно разработку вежливого отклонения запроса о важной информации, пока не будет установлена личность запрашивающего и его право на доступ к этой информации.
4. Разработать процедуры для проверки личности человека и его авторизации.
В любой организации должен быть разработан процесс проверки личности и авторизации людей, запрашивающих информацию или требующих каких?то действий от сотрудников компании. При этом не следует полагаться на личный номер сотрудника или иные похожие методы идентификации, так как такие номера часто используются и могут быть легко получены с-инженером от реальных сотрудников.
С другой стороны, можно обязать сотрудников проверять личность звонившего, набрав его телефонный номер, который указан в телефонном справочнике компании. Эта процедура не очень удобна в повседневной работе и не решает проблем с установлением личности, но может защитить от многих атак. Использование АОН также может пригодиться для этой цели.
5. Получить поддержку руководства кампании
Конечно, служба безопасности не сможет вводить меры по предотвращению атак без одобрения руководства. Однако часто само руководство нарушает политики безопасности. Поэтому сотрудники никогда не должны получать от руководства указаний обойти протокол безопасности и ни один сотрудник не должен быть наказан за то, что будет следовать протоколу безопасности, даже если он получил от руководства указание нарушить его. Причем эти положения должны быть задокументированы и заверены подписями всех руководителей.
Кроме того, действенными мерами противодействия СИ являются тесты на проникновение, которые могут проводиться регулярно. Тесты позволяют не только проверить политики безопасности и правильность их применения, но и обнаружить те недостатки защиты, которые не были учтены при разработке политики безопасности.
Заключение
Многие компании, которые думают, что проблему информационной безопасности можно решить просто с помощью аппаратных и программных средств, сильно заблуждаются. Они привыкли доверять межсетевым экранам, устройствам идентификации, средствам шифрования и т.д., мало внимания уделяют угрозам со стороны социальных инженеров. О СИ незаслуженно забывают, как и о том, что человек является самым слабом звеном любой системы безопасности.
Очень важно информировать сотрудников об методах СИ, обучать их тому, как противостоять им и не давать себя использовать в качестве пособника атакующих. Защита компании от вторжения злоумышленников, использующих СИ должна входить в обязанности каждого сотрудника, даже тех, кто не пользуется компьютерами по роду своей деятельности. Уязвимы топ?менеджеры, охранники, девушки в приемной, телефонисты, уборщики, работники гаража, а особенно— недавно принятые на работу сотрудники — все они могут подвергнуться атаке с-инженеров.
Литература
- Медведовский И.Д., Семьянов П.В., Леонов Д.Г. «Атака на INTERNET», Издательство ДМК, 1999
- Дэнис Фэри «Секреты супер-хакера», Издательский дом «Невский проспект», 1997
- Кевин Митник, Вильям Саймон «Искусство вторжения», ДМК пресс, Компания АйТи; 2005
- «Энциклопедия по безопасности и гигиене труда», МОТ. М., 1986. Т. 2.