Човешкият фактор – слабото звено в системите за сигурност
|„Можете да похарчите цяло състояние за техника и услуги, и сигурността на мрежата ви да бъде все така уязвима пред изтърканите похвати на манипулацията.“ Кевин Митник*
Трудно ще намерите подробно документиран случай на социално инженерство (social engineering). От една страна, организациите-жертви по-скоро биха прикрили подобен пробив в сигурността. От друга страна, служителите, спомогнали за изтичането на поверителна информация, много често не разбират, че са станали неволни съучастници в атаката.
Основната цел на социалното инженерство е същата, като на хакерството: придобиването на неоторизиран достъп до системи или информация, с цел измама, кражба на идентичност, индустриален шпионаж, или причиняване на друга вреда.
Основната разлика е, че социалното инженерство използва главно психологически методи, а именно естествената за човека склонност да се доверява. (Дори за умели хакери много често е по-лесно да пробият сигурността и да получат желаната информация, като просто вдигнат телефона и попитат Марианка от счетоводството за паролата й, вместо да използват техническите си умения.) Типичните цели на подобни атаки са телекомите, известни корпорации и финансови институции, военни и правителствени организации, болници.
Атаките на социалното инженерство протичат на две нива: физическо и психологическо.
Физическото ниво са офиси, телефони, кошчета за боклук, служебна поща.
На работното място социалният инженер може просто да влезе, представяйки се за лице по поддръжката, и да се разходи, докато намери няколко въргалящи се по бюрата пароли. Или незабелязано да наблюдава как усърден служител въвежда паролата си (shoulder surfing).
Още по-лесни са атаките по телефона. Изключително уязвими звена и чудесна точка за прицел са служителите в хелп десковете, които са обучени да предоставят информация и да бъдат максимално полезни.**
Кошчетата за боклук са друг богат източник на фирмена информация. Списъци с телефонни номера, организационни таблици, ръководства за фирмената политика, календари и мемота от срещи, разпечатки с лични данни или логин детайли – изхвърлените листове съдържат всичко необходимо, за да се възпроизведе структурата на организацията, начинът на функциониране, както и да се получи достъп до мрежата й.
Невероятно, но факт: дори изтърканият хакерски номер с изпращане на имейли до всички от името на системния администратор, с искане за паролите на служителите, все още работи.
Какво прави социалното инженерство толкова ефективно? Психологическият подход, използващ утвърдени методи за убеждаване: представяне за някой друг, конформизъм, позоваване на авторитетна фигура, разсейване на отговорността или просто дружелюбно отношение.
В компании със стотици и хиляди служители кражбата на идентичност не е трудна. Най-често използваните роли са: лица, отговарящи за техническата поддръжка, мениджъри, други служители или доверени трети лица (напр. асистент на генералния мениджър, който се обажда да каже, че генералният мениджър е разрешил предоставянето на поверителната информация).
Конформизмът също работи – когато служителят е убеден, че всички негови колеги вече са предоставили паролите си, напрежението намалява, отговорността се размива и получаването на паролата е много по-лесно.
Желанието да впечатлиш шефа е още една човешка слабост, която социалният инженер умело използва. Служителите по правило се чувстват длъжни да отговорят на всички въпроси на лицата, които са в позиция на власт в съответната организация.
Молбата за помощ, придружена от усмивка, лек флирт или ласкателство са други популярни методи за въздействие. Обичайната ни склонност да вярваме в доброжелателността на колегата отсреща и да му съдействаме, значително улеснява задачата на психо хакера.
Независимо от използвания метод, целта е жертвата да бъде убедена, че социалният инженер е човек, на когото може да има доверие при разкриването на поверителна информация.
И така, при всички скъпоструващи защити, сигурността на компанията много често може да се окаже в ръцете на Марианка от счетоводството, която се е опитала да съдейства на симпатичния нов „колега“ от ИТ отдела.
* Хакерската кариера на Кевин Митник започва едва на 12 г., когато чрез социално инженерство успява да получи информация от шофьор на автобус в Лос Анджелис, да хакне картовата система на градския транспорт и да се вози безплатно в цялата мрежа. Следват атаки срещу IBM (за да спечели бас), Motorola, NEC, Nokia, Sun Microsystems, Fujitsu Siemens systems и др., в които Митник използва повече хитрост и убедителност, отколкото техническите си умения. Обявен за най-опасния хакер в света, Митник е заловен и прекарва 5 години в затвора, без право да използва телефон, след като съдията е бил убеден, че подсъдимият може да предизвика ядрена война само като подсвирне в телефонен автомат.
В момента Митник управлява фирма за консултации в областта на сигурността, води лекции и прави демонстрации на живо за уязвимостта на големи корпорации.
Виж видео: http://news.cnet.com/8301-1009_3-9995253-83.html
** Computer Security Institute прави живи демонстрации на лесни сценарии за социално инженерство в няколко стъпки: обаждане в телефонна компания, прехвърляне към служител от хелп деска и поредица от прости въпроси и инструкции. Един от разговорите протича приблизително по следния начин: „Кой е супервайзорът на смяна днес?” „О, днес е Бети.” „Моля те, свържи ме с нея.” (Разговорът е прехвърлен към Бети.) „Здравей, Бети, тежък ден, а?” „Не, защо…?” „Имаш срив в системата.” „Не, няма проблем, всичко работи нормално.” „Виж, сериозно е. По-добре е да излезеш от акаунта си.” (Тя го прави.) „Сега влез отново.” (Направено.) „Няма никаква промяна. Излез отново.” (Готово.) „Бети, ще трябва да вляза през твоя акаунт, за да разбера какъв е проблемът. Кажи ми какъв юзърнейм и парола използваш.” (Тя го прави.) В неколкоминутен телефонен разговор старши супервайзор дава достъп до акаунта си на напълно непознат. Брилянтно.
Използвани източници:
http://news.cnet.com/8301-1009_3-9995253-83.html
http://en.wikipedia.org/wiki/Kevin_Mitnick
http://www.csnc.ch/misc/files/publications/Social_Engineering_V2.0.pdf http://www.auditmypc.com/social-engineering.asp
http://www.symantec.com
http://www.securityfocus.com/news/199