По мнению многих специалистов, самую большую угрозу информационной безопасности, как крупных компаний, так и обычных пользователей, в следующие десятилетия будут представлять все более совершенствующиеся методы социальной инженерии, применяемые для взлома существующих средств защиты. Хотя бы потому, что применение социальной инженерии не требует значительных финансовых вложений и досконального знания компьютерных технологий. Так, к примеру, Рич Могулл, глава отдела информационной безопасности корпорации Gartner, говорит о том, что "социальная инженерия представляет из себя более серьезную угрозу, чем обычный взлом сетей. Исследования показывают, что людям присущи некоторые поведенческие наклонности, которые можно использовать для осторожного манипулирования. Многие из самых вредоносных взломов систем безопасности происходят и будут происходить благодаря социальной инженерии, а не электронному взлому. Следующее десятилетие социальная инженерия сама по себе будет представлять самую высокую угрозу информационной безопасности". Солидарен с ним и Роб Форсайт, управляющий директор одного из региональных подразделений антивирусной компании Sophos, который привел пример "о новом циничном виде мошенничества, направленного на безработных жителей Австралии. Потенциальная жертва получает по электронной почте письмо, якобы отправленное банком Credit Suisse, в котором говорится о свободной вакансии. Получателя просят зайти на сайт, представляющий собой почти точную копию настоящего корпоративного сайта Credit Suisse, но в поддельной версии представлена форма для заполнения заявления о приеме на работу. А за то, чтобы рассмотрели заявление, "банк" просил пусть символические, но деньги, которые требовалось перевести на такой-то счет. Когда же деньги перевели весьма много человек, сумма получилась уже не столь символическая. Фальшивый сайт сделан столь мастерски, что экспертам потребовалось время, чтобы убедиться, что это подделка. Стоит признать, что злоумышленники применили довольно хитрую комбинацию технологий. Их цель – самые нуждающиеся члены общества, т. е. те, кто ищет работу. Это как раз те люди, которые могут поддаться на такого рода провокацию", – говорится в словах Форсайта. Энрике Салем, вице-президента компании Symantec, вообще считает, что такие традиционные угрозы, как вирусы и спам, – это "проблемы вчерашнего дня", хотя компании обязательно должны защищаться и от них. Проблемой сегодняшнего дня Салем называет фишинг с использованием методов социальной инженерии.
Примечание
Подробно о фишинге – в главе 2.
Почему же многие исследователи считают, что социальная инженерия станет одним из основных инструментов хакеров XXI века? Ответ прост. Потому что технические системы защиты будут все больше и больше совершенствоваться, а люди так и будут оставаться людьми со своими слабостями, предрассудками, стереотипами, и будут самым слабым звеном в цепочке безопасности. Вы можете поставить самые совершенные системы защиты, и все равно бдительность нельзя терять ни на минуту, потому что в вашей схеме обеспечения безопасности есть одно очень ненадежное звено – человек. Настроить человеческий брандмауэр, иначе говоря файрвол (firewall), – это самое сложное и неблагодарное дело. К хорошо настроенной технике вы можете не подходить месяцами. Человеческий брандмауэр нужно подстраивать постоянно. Здесь как никогда актуально звучит главный девиз всех экспертов по безопасности: "Безопасность – это процесс, а не результат". Очень простой и часто встречающийся пример. Пусть вы директор, и у вас очень хороший сотрудник, который, по вашему мнению, ну уж никогда ничего никому не продаст и никого не продаст. В следующем месяце вы понизили ему зарплату, скажем, по тем или иным причинам. Пусть даже эти причины весьма объективны. И ситуация резко изменилась: теперь за ним глаз да глаз, потому что он места себе не находит от обиды, он уже вас убить готов, что уж тут говорить о каких-то внутрикорпоративных секретах.
Замечу также, что для того, чтобы заниматься обеспечением безопасности, особенно в части настройки "человеческих файрволов", нужно обладать устойчивой нервной и психической системой. Почему, вы поймете из следующей прекрасной фразы А. Эйнштейна, которую мы, вслед за Кевином Митником, не можем не повторить: "Можно быть уверенным только в двух вещах: существовании вселенной и человеческой глупости, и я не совсем уверен насчет первой".
Основная схема воздействия в социальной инженерии
Все атаки социальных хакеров укладываются в одну достаточно простую схему (рис. 1.2).
Рис. 1.2. Основная схема воздействия в социальной инженерии
Примечание
Эта схема носит название схема Шейнова. В общем виде она приведена в книге белорусского психолога и социолога В.П. Шейнова, долгое время занимавшегося психологией мошенничества. В немного измененном нами виде эта схема подходит и для социальной инженерии.
Итак, сначала всегда формулируется цель воздействия на тот или иной объект.
Примечание
Под "объектом" здесь и далее мы будем иметь в виду жертву, на которую нацелена социоинженерная атака.
Затем собирается информация об объекте, с целью обнаружения наиболее удобных мишеней воздействия. После этого наступает этап, который психологи называют аттракцией. Аттракция (от лат. attrahere – привлекать, притягивать) – это создание нужных условий для воздействия социоинженера на объект. Принуждение к нужному для социального хакера действию обычно достигается выполнением предыдущих этапов, т. е. после того, как достигнута аттракция, жертва сама делает нужные социоинженеру действия. Однако в ряде случаев этот этап приобретает самостоятельную значимость, к примеру, тогда, когда принуждение к действию выполняется путем введения в транс, психологического давления и т. д.
Вслед за В.П. Шейновым, проиллюстрируем данную схему на примере рыбной ловли. Мишень воздействия в данном случае – потребность рыбы в пище. Приманкой служит червяк, кусок хлеба, блесна и т. д. А аттракция – это создание условий, необходимых для успешной рыбной ловли: выбор нужного места ловли, создание тишины, выбор нужной насадки, прикорм рыбы. Принуждение к действию, это, допустим, рывки удилищем, благодаря которым червяк или другая насадка дергается и рыба понимает, что пища может и уйти и надо действовать активнее. Ну а с итогом все понятно.
Другой пример: подкуп сотрудника. Здесь мишень – потребность сотрудника предприятия в деньгах. О том, что он в них нуждается и что с большой вероятностью "примет предложение", узнается на этапе сбора информации. Аттракцией может быть, к примеру, создание таких условий, при которых сотрудник будет в деньгах очень нуждаться.
Примечание
Эти условия часто создаются умышленно. Банальный пример – ехал сотрудник на машине и "слегка попал в аварию", после которой и машину надо ремонтировать, и тому джипу, в который он врезался, деньги заплатить. Количество таких "дорожных подстав" сейчас выросло неимоверно, и исполнителей найти не сложно.
Теперь кратко остановимся на таком популярном виде преступлений, как кража баз данных.
Примечание
Кража баз данных – это одна из основных областей применения социальной инженерии. Разговор о кражах баз данных мы продолжим также и в главе 2.
Каких только баз сейчас не найдешь: и базы МГТС, и базы Центробанка, и базы Пенсионного фонда, и базы БТИ, и базы МВД с ГИБДД, и базы по прописке… В настоящий момент эксперты спорят о том, к какому виду преступлений относить кражу клиентских баз данных. С одной стороны, данный вид преступлений, вроде бы, по мнению многих экспертов, относится к преступлениям в области IT. Те, кто так считают, исходят из того простого положения, что базы данных хранятся на жестких дисках серверов, и, значит, если их украли, то это преступление в IT. Но с другой стороны, это не совсем так, потому что большинство краж совершаются с использованием методов социальной инженерии.
Кто и каким способом ворует базы данных? Если в ответ на этот вопрос вы услышите, что их воруют хакеры, взламывая корпоративные серверы государственных органов и крупных компаний – не верьте этому. Это не так. Все гораздо проще и прозаичнее. Воруют их обыкновенные люди, не пользуясь, в большинстве случаев, никакими сложными приборами, если таковым не считать обыкновенный накопитель Flash Drive, подключаемый к порту USB.
Как мы уже говорили, примерно в 80 случаях из 100 информацию воруют не по техническому каналу, а по социальному. Таким образом, это не хакеры сидят ночи напролет и взламывают серверы, а, скажем, обидевшийся системный администратор уволился. Но не один, а вместе со всеми базами данных и всей информацией о предприятии. Или за умеренную плату сотрудник компании сам "сливает" на сторону информацию о компании. Или просто пришел человек со стороны, представился лучшим другом системного администратора, и сел налаживать "глючную" базу данных, потому что лучший друг нынче болен. После его ухода эта база действительно стала работать лучше, но – в другом месте. Если вы считаете, что это очень тривиально и проходит только в маленьких и совсем уж беспечных компаниях, то вы зря так считаете. Совершенно недавно именно так похитили ценную информацию в одной из весьма крупных питерских компаний, работающих в области энергетики. И таких примеров очень много. Тот факт, что основной канал утечки информации – социальный, задачу защиты информации крайне сильно усложняет. Потому что вероятность утечки по техническому каналу в принципе можно свести к нулю. Можно сделать сеть очень защищенной, что никакая атака извне ее "не прошибет". Можно вообще сделать так, что внутренняя сеть учреждения не будет пересекаться с внешней, как это сделано в российских силовых ведомствах, к примеру, где внутренние сети не имеют выхода в Интернет. Кабинеты руководства и все кабинеты, в которых проводятся важные совещания, следует оборудовать средствами защиты от утечки информации. Никто ничего на диктофон не запишет – мы поставили подавители диктофонов. По радиоканалу и каналу побочных электромагнитных излучений никто ничего не прослушает – поставили генератор радиошума. Виброакустический канал тоже перекрыли, невозможен и лазерный съем информации по колебаниям оконного стекла, через вентиляционные шахты тоже никто ничего не услышит. Телефонные линии защитили. …Итак, все сделали. А информация все равно "сделала ноги". Как, почему? А люди унесли. Без всяких сложных технических манипуляций. В очередной раз сработал тот самый пресловутый и навязший в зубах человеческий фактор, о котором все вроде бы и знают, и о котором все стараются забыть, живя по принципу "пока гром не грянет…". Заметьте: похитить информацию из сетей государственных органов по техническому каналу практически невозможно. А она, тем не менее, похищается. И это является еще одним доказательством того, что, в основном, информацию похищают с использованием людей, а не технических средств. Причем похищают иногда до смешного просто. Мы проводили аудит одного крупного предприятия нефтехимической отрасли на предмет организации в нем защиты информации. И выяснили интересную штуку: доступ к столу секретаря генерального директора могла иметь любая ночная уборщица. И имела, судя по всему. Вот такая демократия царила на этом предприятии. А бумаг на этом столе столько было разбросано, что по ним можно было составить представление почти обо всей нынешней деятельности предприятия и о планах его развития на ближайшие 5 лет. Оговоримся еще раз, что это действительно крупное предприятие, с солидной репутацией и миллионными оборотами. В долларовом эквиваленте, конечно. А защита информации была поставлена… Впрочем, никак она не была поставлена. Еще один интересный социоинженерный канал утечки информации – это различные выставки, презентации и т. д. Представитель компании, который стоит у стенда, из самых лучших побуждений, ради того, чтобы всем понравиться, нередко выдает самые сокровенные секреты компании, которые ему известны, и отвечает на любые вопросы. Я не раз это говорил многим своим знакомым директорам, и один из них в шутку предложил мне подойти к представителю его компании на ближайшей выставке и попытаться таким образом что-нибудь этакое у него выведать. Когда я принес ему диктофонную запись, он, можно, сказать, плакал, потому что одна из фраз звучала примерно так: "А вот недавно наш директор еще ездил в Иран…". Этот способ добычи информации, кстати, используется немалым количеством фирм.
Примечание
Подробнее о том, как выведывается информация на презентациях – в главе 2.
…К сожалению, многие люди крайне беспечны, и не хотят заботиться о сохранности информации. Причем часто даже в очень крупных организациях это "не хотение" простирается от самых рядовых сотрудников до генерального директора. И при таком раскладе один системный администратор или начальник службы безопасности, будь они даже полными параноиками, помешанными на защите информации, ситуацию не спасут. Потому что на данный момент, увы, даже те из руководителей, которые понимают, что информацию защищать надо, не всегда осознают еще одну вещь: что защита информации должна быть системной, т. е. проводится по всем возможным каналам утечки. Вы можете сколько угодно защищать компьютерную сеть, но если люди получают низкую зарплату и ненавидят предприятие, на котором они работают, хлеще, чем советский народ гитлеровских оккупантов, то на эту защиту можно даже не тратить денег. Другой пример несистемности можно нередко наблюдать, ожидая приема у дверей какого-нибудь директора. Очень нередки случаи, когда те, кто конструирует систему безопасности, не учитывают такую вещь: директора имеют свойство говорить громко, иногда срываясь на крик. Двери же в кабинет генерального директора часто настолько звукопроницаемы, что совещающихся в "генеральском" кабинете можно слушать, совершенно не напрягаясь, даже если они говорят шепотом. Как-то я[1] приехал в Москву к одному "близкому к телу" директору проконсультироваться с ним на предмет, что же ожидает дальше нашу отрасль. А у него как раз случилось важное незапланированное совещание, и меня попросили подождать. Посидев 15 минут у его кабинета, я понял, что узнал гораздо больше того, что хотел узнать, и в принципе можно уезжать. Остался только из приличия. Пикантность ситуации в том, что когда дошла очередь до меня, на мои вопросы директор почти не ответил, говоря, что, мол, сам понимаешь, очень конфиденциально, я и сам пока не очень-то в курсе… И так далее. Тем не менее, я его очень горячо и любезно поблагодарил.
…Возвращаясь к базам данных, содержащих конфиденциальные сведения, следует отметить, что после вышенаписанного полностью понятно, кто и как их крадет. Обыкновенные люди их крадут. Очень часто – сами же сотрудники предприятий. Недавно вот осудили таможенника в чине подполковника, который снабжал рынок таможенными базами данных. В соседнем регионе поймали за руку начальника отдела налоговой инспекции, который за умеренную плату сливал данные местным криминальным браткам. И так далее.
Для чего их воруют и кому это нужно? Нужно это многим. От млада до велика. Нужно как рядовым гражданам, так и "финансовым акулам". Если начать с граждан, то не вдаваясь в глубинные рассуждения об особенностях русского менталитета, скажем лишь, что пока в справочных службах наших "телекомов" сидят крикливые и всем недовольные барышни, то даже самому законопослушному и честному человеку гораздо проще для своих нервов пойти и купить эту базу номеров телефонов организаций на рынке пиратского ПО, чем позвонить на справочную службу.