В любой организации есть уязвимые места. Пускай на компьютерах стоит новейшее программное обеспечение, пуская процесс аутентификации сложен и используются длинные, путанные пароли, пускай за системами следят самые квалифицированные администраторы, но все равное есть уязвимые места. Они есть всегда и заключены никак не в системах, а в людях, которые работают с системами.

Взломщики используют все более оригинальные технологии, но одна и них будет применяться всегда, покуда, работа будет делаться людьми. Человек – существо, умеющее думать, и, пожалуй, от этого все проблемы. Почему я заговорил именно об организациях? Этому каждый день подвергаются миллионы обычных пользователей. Сегодня мы говорим о социальном инжиниринге, о том какую опасность он представляет как для обычных пользователей, так и для организаций. Начнем.

Вступление

Для точного определения приведу цитату из Википедии (http:// ru.wikipedia.org ):
«Социальный инжиниринг - это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным».
Давайте рассмотрим определение из еще одного источника (BugTrag.ru): «Социальная инженерия - термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель - обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону в организацию для выявления тех, кто имеет необходимую информацию, и затем звонок администратору, эмулируя служащего с неотложной проблемой доступа к системе».

Социальный инжиниринг используется очень часто, особенно для проделывания взломщиком «тонкой работы» по краже документов и т.д. Он вышел своими корнями из психологии и теперь развивается как отдельная часть. Ему обучают шпионов, тайных агентов, в общем, всех, чье дело сводится к тайному проникновению и заметанию следов.

Человеческая природа такова, что мы делаем выводы, анализируем, но так ли часто эти выводы являются нашими собственными? Или они нужны такими кому-то другому.

Все самое интересное заключается в том, что человек ничего не замечает. Он до самого последнего момента считает, что он так решил сам.
Тонкая манипуляция сознанием применялась во все времена: даже в древности. Наводящие на средневековую Японию «ночные демоны» или ниндзя весьма активно практиковали эти способности человеческого разума. Наряду с гипнозом и т.д.
Присутствует этот метод и в умениях взломщиков (впрочем, хакеров тоже). Тут, конечно, осложнено все тем, что злоумышленник редко вступает в непосредственный физический контакт с жертвой, что в некотором роде осложняет задачу.
Кроме взломщиков социальным инжинирингом активно пользуются спамеры для того, что бы заставить пользователя приобрести тот или иной товар.

Многие твердят о том, что никому нельзя доверять. Это не так, доверять можно и даже нужно, вот только проверять, а проверка подразумевается довольно сложная. Впрочем, об этом мы поговорим ниже. Пока же давайте определимся с целями злоумышленников.

Цели соц. инжиниринга

Как уже говорилось: цели могут быть самыми разными, но подразумевается один смысл. Этим смыслом и является кража информации. Те, кто использует социальный инжиниринг, претендуют на то, чтобы без лишнего внимания стянуть информацию, как правила сделав копию. Потом же они могут делать все, что угодно, т.е. продавать, перепродавать, шантажировать первичного владельца и т.д. Однако, статистика говорит о том, что так тонко работают в большинстве случаев по заказу конкурирующей организации и т.п.

Способы и атаки

Итак, мы подбираемся к способам атак. Социальная инженерия – не только психологический метод воздействия, непосредственно на человека, так же тут входят и использование особенностей человеческой психологии. Давайте рассмотрим наиболее популярные способы/виды атак.

Human denial of service (HDoS)

Вы заметили, что название очень похоже на DoS. «Человеческий отказ в обслуживании» если перевести. С отказом в обслуживании серверов это не имеет ничего общего. Суть атаки заключается в том, чтобы заставить человека (незаметно для него, естественно) не реагировать на те или иные ситуации. Например, сделать так, чтобы каждое ваше слово воспринималось за правду безоговорочно и не осмысливая.

К такого рода атакам относится и отвлечение внимания. Скажем, вы делаете ложной представление о выполнении одной операции, а на сомом деле выполняете совсем другую. Таким образом, человек-жертва слишком занятый одним просто не замечает другого.

Атаки такого рода выполняются довольно сложно, т.к. необходимо хорошо просчитать психологию жертвы, ее знания и реакции, на такого рода инциденты.

Допустим, отвлекающим маневром служит эмуляция атаки на какой-нибудь порт. Пока администратор будет заниматься логами «атаки», вы можете без проблем проникнуть на сервер и взять все, что необходимо. Но в то же время администратор может отлично знать, что на этом порте уязвимостей нет, и тогда ваше проникновение будет моментально засечено. Именно по этому, необходимо понять: на каком уровне знаний находится администратор.

Техническая соц. инженерия

К этому виду атак относятся все те, в которых нет как таковых «жертвы» и «воздействия на ее». В атаках этого типа используются принципы и стереотипы социума, что и относит их к социальной инженерии.
Как пример можно привести следующие мысли: «Ну, раз камеры стоят, то, скорее всего, никто не полезет» или «Чем больше организация, тем тверже у людей мнение об ее защищенности». Эти стереотипы встречаются везде, большинство считают, что если сайт организации занимающейся безопасностью, то никто не сможет его взломать. Это ведь не так, взломать можно все без исключения.
Такой способ более широко известен как анализ ситуации. Человек, видит, что пройти обычным путем (стандартным) не получится, и он начинает просматривать иные варианты, т.е. занимается анализированием той ситуации, в которую попал.

Звонок…

Подразумевается непосредственный голосовой контакт. Злоумышленник звонит жертве и с помощью правильно построенной речи вводит в заблуждение пользователя. Наиболее гладко это проходит в тех случаях, когда злоумышленнику необходимо представится тем, кого жертва не знает. Достаточно просто завысить свое положение и говорить холодным гневным тоном. Естественно у пользователя сработает механизм «начальство» и он станет учтивым, вежливым и будет готов выложить все, о чем только вы его попросите на блюдце с голубой каемочкой. Наиболее удобно пользователя атакой такого рода в компании с большим штатом, где люди не знают друг друга и охотно поверят.

Все осложняется, когда речь идет о компании средних и малых размеров. Там штат сотрудников не большой и «вклиниться» в него очень и очень трудно. Тогда злоумышленнику необходимо действовать от имени начальника. Что это значит? Объясняю: злоумышленник звонит и говорит, что по просьбе администратора проверяет работоспособность системы безопасности. Просит назвать пароль/имя пользователя и подтверждает нормальную работу системы. Вот так ни о чем не подозревающий пользователь отдает сам необходимую информацию. Другой способ – использование аппарата для изменения голоса. Таким образом, злоумышленник просто напросто имитирует голос того, от чьего имени необходимо сделать операцию.

Личный визуальный контакт

Это является наисложнейшей операцией. Выполнить ее могут только профессиональные психологи или люди специально подготовленные. Осуществляется это следующим образом: необходимо найти к жертве подход, так сказать «ворота». Вычисляется это с помощью анализа его вопросов. Скажем, он очень часто спрашивает один вопрос, но направленный на разные сферы – вот они «ворота». Главное для злоумышленника в таком случае – разговаривать с жертвой в «рамках этих ворот», что в следствии приведет к тому, что жертве очень понравится он как человек и первая выложит все, что необходимо сразу, «за глаза», а сама будет считать, что ничего особо важного не рассказывает.

В этом и есть вся уловка. Но, как я уже говорил, это провернуть сможет далеко не каждый. И если голос можно подделать, то мимику, свет кожи (имеется ввиду изменение цвета, при волнении и т.д.), реакцию зрачков подделать не просто.

Электронная почта

Наиболее распространенный «канал для работы» это электронная почта. E-mail довольно прочно вошел в нашу жизнь и необходим практически каждому, кто пользуется Интернетом.

Для социального инжиниринга почта используется очень активно. И опять же, тут возникают свои сложности при попытках затуманивания разума с использованием ее. Все дело заключается в том, что если злоумышленник собирается слать «ложное письмо» от имени человека с которым жертва знакома, то необходимо очень точно скопировать стиль написания «ложного отправителя». Все проще, когда жертва не знает «отправителя».
Кроме того, необходимо позаботиться и о заголовке письма (header). Это можно сделать, используя стандартный клиент-почтовик. Можно сделать и вручную. Можно, так же, при написании и отправлении письма пользоваться telnet клиентом. Подключение к стандартному 25-ому порту сервера почты позволит это осуществить.

Если исправлять вручную, то заголовок выглядит примерно так, как на рисунке номер один. Последняя строчка, начинающаяся с Received, и является, обычно, адресом отправителя.

Так же можно воспользоваться сервисами, которые затирают заголовки, так называемыми remailers, но это не столь эффективно, как «ручное затирание».

Системы обмена мгновенными сообщениями

вот добрались мы и до icq. По сути своей – это тот же емэл, но только без «архива писем». Программка разработана не так давно, но все активно пользуются ей, несмотря на многочисленные недостатки.

В настоящее время в сети существует множество программ, которые могут тем или иным способом влиять на работу icq. В список их возможностей так же входит и отсылка сообщения от имени другого пользователя.

Так же, злоумышленник может проводить атаку в виде специально сформированного текста. Это немного похоже на телефонный разговор, но имеет одно существенное отличие – отсутствие голосового сопровождения. Общение ведется в текстовом виде.

Подготовка злоумышленника

Как уже говорилось, злоумышленник должен неплохо разбираться в психологии. Разделяю три стадии подготовки такого рода атаки.

• Определение точной цели. Определение местоположения конечной цели;
• Сбор информации об объекте обработки (жертва);
• Разработка плана действий. Моральная подготовка/тренировка.

Давайте рассмотрим каждый из пунктов немного подробнее.

Определение точной цели. Определение местоположения конечной цели

Итак, пожалуй, ключом к проведению любой операции успешно является именно точное знание того, за чем пришли. Сюда входит и место положение. Давайте на секунду вспомним любой из фильмов с ограблениями, все серьезные продуваются, и определяется четко, зачем они осуществляются. Скажем, пришли дядьки грабить банк, а где деньги лежат не знают…вот и бродят по всему зданию в поисках «квартиры, где деньги лежат».

Так же и тут. Злоумышленник сначала пытается четко определить за какого рода информацией он охотится. Если это ясно, то операция производится быстро: путем введения в заблуждение жертвы получатся root и копируется необходимая информация.

Причем, знание точного местоположения информации на диске и позволяет провернуть это очень и очень быстро, а это гарант того, что доступ никто не определит как «несанкционированный». Все будут, что пользователь сделал необходимые операции и все.

Сбор информации об объекте обработки

Это очень важно, пожалуй, важнее, чем все остальное. Ведь, прежде чем писать письмо, звонить и встречаться с жертвой необходимо изучить ее. Это позволит понять характер человека, его уязвимые места, привычки и т.д. Ведь, если при встрече злоумышленник предложит пойти в любимый ресторан объекта, это уже расположит последнего к первому.

В некоторых случаях (когда необходимо подделать стиль письма или общения) злоумышленник изучает и того, за кого собирается себя выдавать. Это естественно затягивает процесс подготовки операции (атаки), но существенно повышает шансы.
Источником же информации об объекте может служить практически все: анализ трафика, почты, даже кассовых чеков (это позволит узнать, какие товары он приобретает, как часто, какую сумму обычно тратит и т.д.). Может злоумышленник и часами наблюдать за объектом, это тоже дает огромную информацию.

К слову, специально подготовленные люди могут свести время, необходимое для получения информации, к минимуму. Например, специальные агенты, которые натренированы на произведение мгновенных расчетов и выводов. Одна лишь деталь может привести к целой цепочке выводов, но это тренированные, большинству приходится сидеть и наблюдать.

Разработка плана действий. Моральная подготовка/тренировка

Вот тут-то и можно увидеть всю красочность социального инжиниринга. Но, не всегда, это потому, что большинство «доморощенных умельцев» просто берут учебник, списывают пример, модифицируют его под совою ситуацию и все.

На самом же деле необходимо просчитывать все слова (взгляды, мимику) в зависимости от объекта, ведь люди разные и реакция на одно и тоже слово у каждого разная. Один человек будет искренне смеяться, когда над ним слегка подшутят, а другой сразу обидится, вот. На данной ступени проводится просто колоссальная работа в области психологи: буквально каждое слово сопоставляется и с психологической моделью изученной жертвы.
Правда, были в истории и люди, которые постоянно импровизировали. Например, Кевин Митник и Роско. Они гордились своим умением. А Роско возвел его в ранг искусства.

Уровень доступа

Естественно, при проведении атаки с использованием социального инжиниринга так же, как и в обычных атаках присутствует классификация степени доступа при успешно проведенной атаке. Эта степень зависит от уровня подготовленности злоумышленника и того, кем является жертва. Например, если вы решили заполучить пароль обычного пользователя, то при его использовании у вас будут пользовательские права, не зависимо от того, как вы подготовлены. И наоборот, если вы плохо подготовлены, то не получите даже пользовательских прав).
Всего уровней четыре, ниже они перечислены в порядке убывания полномочий:

• Администратор;
• Начальник;
• Пользователь;
• Знакомый.

>>>