Соціальна інженерія
Соціальна інженерія (англ. social engineering) — це:
- Соціальна інженерія (безпека) — злочинне вивідування даних.
- Соціальна інженерія (соціологія) — технологічний напрям соціології, що ґрунтується на критичному і дієвому ставленні до процесів соціальних змін у суспільстві.
- Соціа́льна інженерія — це наука, що вивчає людську поведінку та фактори, які на неї впливають.
Згідно зі статистикою і практикою зломів високозахищених ресурсів в більшій мірі вразливість знаходиться з боку людей, які в силу непрофесіоналізму, безвідповідальності або нестачі знань піддали сервери атакам. Найбільша проблема — це схильність людей до передачі всієї інформації і здійснення нелогічних дій.
Історія з книги «Психологія впливу»: психологи по телефону передавали медсестрам в лікарнях відповідні вказівки, які могли завдати шкоди здоров'ю і навіть життю. Досить було представитися лікарем — і 95 % медсестер слідували вказівкам «керівника». Варто врахувати, що медперсонал знав наслідки після маніпуляції, але працівники все одно слідували вказівці. Природно, їм не давали це виконати, а біля палати стояли асистенти. Піддослідні навіть не попросили лікаря представитися. Причина, чому медсестри так вчинили, полягає у звичці слідувати вказівкам авторитетної особи. Виходячи з розглянутого прикладу, можна зробити висновок, що за рахунок соціальної інженерії вдалося вразити до 95 % лікарень.
Основна модель соціальної інженерії
Очевидно, що всі співробітники мають різні рівні компетентності в окремих питаннях забезпечення безпеки; відповідно, їм видається належний рівень допуску. Звичайні співробітники не повинні мати доступу до інформації, яка може завдати шкоди компанії. Навіть якщо людина виявиться «засланим» агентом або жертвою маніпуляції, вона не зможе отримати особливо важливу інформацію — цей протокол безпеки використовується у всіх великих фірмах.
Всі ланки ланцюга і персонал з різними рівнями доступу мають лінійний зв'язок, тобто співробітник може передати проблему на наступний щабель, там уже вирішують, чи уповноважені вони вирішувати ситуацію. Якщо відповіді немає, питання передається далі і т. д. Співробітники можуть по цьому ланцюгу передати всю необхідну інформацію безпосередньо до керуючого. Уразливість системи полягає в можливості представитися одним з людей вищого рівня. Тут кілька розвитків ситуації: можна представитись авторитетом, аналогічно тому, як це розглядалося в прикладі з лікарями. Поставити кілька запитань, які на перший погляд невинні і не заподіють шкоди, але це стане частиною мозаїки. Отримати контакт більш високопоставленого співробітника, так як поняття взаємної допомоги в межах однієї команди досить поширене.
Рідко можна побачити питання з розряду параної, коли співробітник буде з'ясовувати дані того, хто телефонував, і строго дотримуватись регламенту. Можна знайти лазівки навіть в строгій структурі, адже емоції — це невід'ємна частина людської натури.
Для наочності можна розглянути приклад, в якому зловмисник набирає дівчину з call-центру кожного тижня по 2-3 рази протягом місяця. Він нічого особливого не вимагає, а представляється співробітником. Позитивні і активні розмови дозволяють уточнити будь-які незначні дрібниці. Вигоду приносить прохання про невелику допомогу, яка викликає довіру до того, хто просив.
У розглянутому прикладі немає необхідності чітко представлятися, замість цього присутній факт частого спілкування. Може знадобитися 10, 20, 30 або 50 разів до моменту входження в норму життя. Дівчина буде думати, що той, хто дзвонив, в курсі структури і дрібниць роботи компанії, адже він телефонує постійно. Наступного разу зловмисник просить про більшу допомогу, тепер оператору потрібно передати потенційно важливі і небезпечні дані. За необхідності доведеться надати обґрунтування і можливу загрозу при відмові. Практично будь-який співробітник піде йому на зустріч.
Може з'явитися думка, що жертвами подібного обману стають виключно низькокомпетентні співробітники. Це не так, як аргумент можна навести вступ з книги «Мистецтво обману». Йдеться про те, як Кевін Митник представився провідним розробником проекту. Він попросив системного адміністратора передати доступ до системи з усіма привілеями. Спеціаліст точно усвідомлював потенційну загрозу, але довірився авторитету і побоявся відмовити.
Зворотня соціальна інженерія
Принципових відмінностей в атаках соціальної інженерії не спостерігається, модель приблизно однакова. У разі зі зворотньою методикою також вдається отримати інформацію, яка призначається тільки користувачеві. Відмінністю є передача потрібних даних самим користувачем.
Методика розігрується в 3 ходи і показує високу ефективність. Потрібно підлаштувати труднощі або неприємність користувачеві. Створити контакт з людиною. Проводиться атака. Для наочності можна уявити, що ви перебуваєте в зоні, що охороняється, ваші повноваження — прибирання території. На стіні з номером техпідтримки потрібно вказати власний контакт замість правильного номера. Тепер потрібно влаштувати невелику проблему. Всього через 1 добу вам надійде дзвінок від засмученого користувача, він готовий передати буквально всю інформацію, бо покладається на компетентність співробітника і вважає, що фахівець і так все це знає. Проблеми авторизації можна виключити, бо користувач сам ідентифікує вас, як йому зручніше, залишається тільки підіграти.
Одним з найнебезпечніших варіацій обману є IVR-фішинг. Потрібно влаштувати невелику атаку на користувача і надіслати лист з номером центру підтримки. Після нетривалої бесіди автовідповідач просить вказати дані від карти.
Більш елегантний спосіб — передати диск одному зі співробітників. Є висока ймовірність, що накопичувач буде використаний, і софт звідти запустять. Часто використовуються соцмережі з метою збору елементів «мозаїки» і спілкування з окремими співробітниками. Вибір вразливостей дійсно величезний.
Резюме жертви
За допомогою соціальної інженерії можна зібрати дані, а потім використати їх для атаки. Наприклад, "Привіт! Я втратив / забув номер Ігоря з 4-го відділу, будь ласка, нагадай мені його ". Можна отримати навіть конфіденційну інформацію: "Добре, спасибі. До речі, у мене стійке враження, що клієнт підозрілий, дивись, як він оглядав розташування камер у відділенні. Підкажи номер карти, якою він користувався щойно ".
Соціальна інженерія дозволяє забезпечити доступ до захищеної частини системи: "Так, промовляйте, що ви вводите зараз. Зачекайте, давайте по буквах. Два-ІГРЕК-долар-пе-ес-ен велика… ". Просунуті хакери можуть отримувати конфіденційні дані. Часом вдається отримати доступ до захищеного сервера, який відключений від мережі.
Ось приклад задачі з турниру з CTF. Перед вами дівчина, вона завжди стоїть на ресепшені, але ви попросили про послугу або влаштували деверс, щоб вона відлучилася. Є всього 30 секунд, що за цей час можна встигнути зробити? Встановити вірус або програму? Відповідь неправильна, буде недостатньо або часу, або прав. Заволодіти документами з робочого столу або спробувати переадресувати листи собі? Ідея робоча, але є ризик розкрити свою особистість. Навіть просто зайняти її місце — це небезпечне рішення, бо висока ймовірність прихованої камери в офісі.
Кращими рішеннями є відповіді зі сфери соціальної взаємодії. Замінити стікер з номером техпідтримки, після милого спілкування запросити на побачення і т. д. За зустріч з дівчиною поза робочою обстановкою атакуючого точно не засудять, але за цей час можна отримати масу корисних даних про ієрархію і потенційно вразливі місця співробітників, аж до даних для шантажу.
Захист компанії — це основне завдання відділу безпеки, але співробітники не в силах виключити ризики соціальної інженерії. Щоб забезпечити кращий захист, варто ознайомитися з книгою «Мистецтво обману» та «Секрети суперхакера», особливо в розділі про соцінженерію. Більш поглиблено можна почитати в «Психологія впливу». При відсутності великого і просунутого відділу безпеки варто ознайомити керівника компанії з інформацією, а потім провести власний тест. З великою часткою ймовірності вдасться дізнатися багато про довірливість і схильність людини говорити «Так».
Крім технічних методів запобігання соціальним загрозам (таких, як введення спільної платформи для обміну повідомленнями всередині компанії, обов'язкової аутентифікації нових контактів тощо) необхідно пояснювати користувачам, що саме відбувається при таких атаках. Правда, це марно, якщо не поєднувати теорію з практикою, а саме — час від часу діяти самому як зловмисник і пробувати проникнути в свої ж системи. Після декількох «навчальних тривог» і розборів співробітники будуть думати, чи не перевіряють їх при дзвінках.
Зрозуміло, для протистояння загрозі потрібно «залізти в голову» атакуючому вас зловмисникові і навчитися думати, як він.
Турнір Cyber Readiness Challenge і соціальна інженерія
В рамках офлайн турніру, Cyber Readiness Challenge спочатку створювався як симулятор для навчання фахівців з безпеки. Турнір Cyber Readiness Challenge надає всім учасникам можливість зрозуміти, як зловмисникам вдається зламувати корпоративні системи. Гравці випробовують свої навички розвідки і крадіжки даних в створеній Symantec імітації реальної ситуації. Вони повинні зламати зашифровані паролі, запустити SQL-атаки і використати відомі уразливості, набираючи очки, змагаючись з іншими хакерами. Серед учасників хак-квесту — студенти, системні адміністратори, програмісти, фахівці з інформаційної безпеки і навіть керівники профільних відділів.
Австрійська школа про соціальну інженерію
Людвіг фон Мізес (1881—1973), представник австрійської школи в економіці, так описує соціальну інженерію:
Сьогодні прийнято говорити про соціальну інженерію. Подібно плануванню, цей термін є синонімом диктатури й тоталітарної тиранії. Ідея полягає у тому, щоб поводитися з людськими істотами так само, як інженер поводиться з матеріалом, з якого він будує мости, дороги і машини. Воля соціального інженера має замінити волю багатьох людей, яких він планує використати для побудови своєї утопії. Людство має бути розділено на два класи: всесильного диктатора, з однієї сторони, й дрібних цяць, які мають бути низведені до статусу простих пішаків у його планах й шестерень у його механізмі, з іншої. Якщо б це було здійсненим, тоді, звичайно, соціальний інженер не мав би непокоїтися про розуміння поведінки інших людей. Він міг би поводитися з ними так само, як й технологія поводиться з деревом і залізом. | ||
— Людвіг Фон Мізес, Людська діяльність: Трактат з економічної теорії |
Література
- Социальная инженерия и социальные хакеры / М. В. Кузнецов, И. В. Симдянов. — СПб. : БХВ-Петербург, 2007. (рос.)
- Мистецтво обману / Кевін Митник, Вільям Л. Саймон.
- Психологія впливу / Роберт Чалдіні.