Учиться, учиться и еще раз учиться
Есть старая история о туристе в Нью‑Йорке, который остановил мужчину на улице и спросил: «Как пройти к Carnegie hall»? Мужчина ответил: «Тренироваться, тренироваться, тренироваться». Все уязвимы к атакам социальных инженеров, и единственная эффективная система защиты компании – обучать и тренировать людей, давая им необходимые навыки для распознавания социального инженера. А потом постоянно напоминать людям о том, что они выучили на тренировке, но способны забыть.
Все в организации должны быть обучены проявлять некоторую долю подозрения при общении с людьми, которых они не знают лично, особенно когда кто‑либо просит любой вид доступа к компьютеру или сети. Это естественно для человека – стремиться доверять другим, но как говорят японцы, бизнес это война. Ваш бизнес не может позволить себе ослабить защиту. Корпоративная техника безопасности должна четко отделять положенное и не положенное поведение.
Безопасность – не «один размер на всех». Персонал в бизнесе обычно разделяет роли и обязанности, и у каждой должности есть свои уязвимости. Должен быть базовый уровень обучения, который надо пройти всем в компании, но кроме того каждый сотрудник должен быть обучен в соответствии со своим профилем работы придерживаться некоторых процедур, которые уменьшают вероятность возникновения упомянутых в этой главе проблем. Люди, которые работают с важной информацией или поставлены на места, требующие доверия, должны получить особое специализированное обучение.
Безопасное хранение важной информации
Когда к людям подходит незнакомец и предлагает свою помощь, как описано в историях в этой главе, работники должны опираться на технику безопасности компании, которая создана в соответствии с нуждами бизнеса, размером и видом вашей компании.
Заметка
Лично я не считаю, что бизнес должен разрешать любой обмен паролями. Гораздо проще выработать жесткое правило, которое запретит персоналу использовать общий пароль или обмениваться ими. Так безопасней. Но каждый бизнес должен учитывать его специфику и соответствующие меры безопасности.
Никогда не сотрудничайте с незнакомцем, который просит вас посмотреть информацию, набрать незнакомые команды на компьютере, изменить настройки ПО, или, самое разрушительное из всего – открыть приложение к письму или скачать непроверенную программу. Любая программа, даже та, которая, на ваш взгляд, ничего не делает, может не быть настолько невинной, как кажется.
Есть некоторые процедуры, о которых, независимо от качества нашего обучения, мы часто имеем тенденцию забывать через определенное время. Часто мы забываем наше обучение в то время, когда оно нам как раз нужно. Вы можете подумать, что о том, что нельзя выдавать свое имя пользователя и пароль знают все(или должны знать) и практически не надо напоминать об этом: это просто здравый смысл. Но на самом деле, каждому сотруднику надо постоянно напоминать, что сообщение имени пользователя и пароля к офисному или домашнему компьютеру и даже устройству в почтовом отделе эквивалентно сообщению PIN‑кода карточки ATM.
Часто возникают достоверные ситуации, когда это необходимо, а возможно даже важно дать кому‑либо конфиденциальную информацию. По этой причине, надо сделать четкое правило о «никогда не…» При этом, в ваших правилах безопасности и процедурах должны быть особенности об условиях, при которых работник может сообщать его или ее пароль и, самое главное – кому разрешено спрашивать эту информацию.
Учитывай источник
Во многих организациях должно существовать правило, что любая информация, которая может причинить вред компании или сотруднику, может быть выдана только тому, с которым сотрудник, владеющий информацией знаком в лицо или чей голос настолько знаком, что вы узнаете его без вопросов.
В высокобезопасных ситуациях, единственные просьбы, которые можно выполнять – это те, которые получены лично или с серьезным подтверждением, к примеру, две отдельных вещи, как общий секрет и временной жетон (time‑based token).
Процедуры классификации данных должны предусматривать, что никакая информация не должна быть предоставлена из отдела организации, работающего с секретами, кому‑либо, не знакомому лично или подтвержденному каким‑либо способом.
Заметка
Удивительно, но даже если проверить имя и телефон звонящего в базе данных о сотрудниках компании и перезвонить ему, не будет гарантии, что социальный инженер не добавил имя в базу данных компании или не перенаправляет звонки.
Так как же разобраться со звучащей вполне законно просьбой об информации от другого сотрудника компании, вроде списка имен и адресов электронной почты людей из вашей группы? На самом деле, как можно усилить бдительность, когда подобная вещь гораздо менее ценна, чем, скажем, листок о разрабатываемом продукте, и должна применяться только для внутреннего использования? Одна основная часть решения: назначить сотрудников в каждом отделе, которые будут работать со всеми просьбами об отправке информации вне группы. Тогда этим сотрудникам должна быть предоставлена усовершенствованная программа обучения по безопасности, чтобы они знали об особенных процедурах удостоверения личности, которым им надо следовать.
Ни о ком не забывайте
Кто угодно может быстро назвать отделы в своей компании, которые нуждаются в высокой степени защиты от вредоносных атак. Но мы часто не обращаем внимание на другие места, которые менее очевидны, но более уязвимы. В этих рассказах, просьба отправить факс на номер внутри компании казалась невинной и достаточно безопасной, но атакующий извлек выгоду из этой лазейки в безопасности. Здесь урок таков: каждый, от секретаря и административного ассистента до руководителей и менеджеров должны получать специальное обучение, чтобы быть готовым к такому виду трюков. И не забывайте охранять переднюю дверь: секретари часто являются главными мишенями для социальных инженеров и должны быть поставлены в известность об обманных техниках, используемых некоторыми посетителями и звонящими.
Корпоративная безопасность должна четко выработать единый вид контактов, вроде центральной «расчётной палаты» для сотрудников, которым кажется, что они могли стать жертвой уловки социального инженера. Имея единое место для сообщения об инцидентах предоставит эффективную, заранее предупреждающую систему, которая сделает все правильно, когда произойдет скоординированная атака, и можно мгновенно уменьшить возможный ущерб.
Глава 6: «Не могли бы Вы помочь?»
(Chapter 6 «Can You Help Me?»)
Перевод: Artem (artem [email protected])
Вы знаете, как социальные инженеры обманывают людей, предлагая им свою помощь. Другой излюбленный подход основан на обратном: социальный инженер делает вид, что нуждается в помощи другого человека. Мы можем сочувствовать людям в затруднительном положении, и подход оказывается эффективным снова и снова, позволяя социальному инженеру достигнуть своей цели.
Чужак
История в главе 3 показала, как атакующий может служащего сообщить свой (табельный) номер. В этой истории применяется другой подход, чтобы добиться того же результата, и показывает, как атакующий может им воспользоваться.
Наравне с Джонсами
В Силиконовой долине есть некая мировая компания, название которой упоминаться не будет. Отделы сбыта и другие подразделения, расположенные по всему миру, соединены со штаб‑квартирой компании посредством глобальной сети (WAN). Взломщик, проворный малый по имени Брайан Аттерби (Brian Atterby), знал, что почти всегда легче проникнуть в сеть в одном из отдаленных мест, где уровень безопасности должен быть ниже, чем в головном офисе.
Взломщик позвонил в офис в Чикаго и попросил соединить с мистером Джонсом. Секретарь в приемной спросила, знает ли он имя мистера Джонса; он ответил: «Оно где‑то здесь, я ищу его. Сколько у вас работает Джонсов?». Она сказала: «Три. В каком он подразделении?» Он сказал: «Если вы зачитаете мне имена, может, я вспомню его».
– Барри, Джозеф и Гордон.
– Джо. Я вполне уверен, что это он. И… в каком он подразделении?
– Развития бизнеса
– Отлично. Соедините меня с ним, пожалуйста.
Она соединила его. Когда Джонс взял трубку, атакующий сказал: «Мистер Джонс? Это Тони из отдела (начисления) заработной платы. Мы как раз выполняем ваш запрос о переводе ваших денег на кредитный счет».
– ЧТО?! Вас обманули. Я не делал таких запросов. У меня даже нет счета.
– Проклятие, я уже выполнил запрос.
Джонс был в смятении от мысли, что его деньги могли отправиться на чей‑нибудь счет, он начал думать, что парню на том конце провода не следовало торопиться. Прежде чем он успел ответить, атакующий сказал: «Я понимаю, что произошло. Изменения вносятся по номеру служащего. Какой у вас номер?»
Джонс сообщил свой номер. Звонивший сказал: «Действительно, вы не делали запрос».
«Они становятся все более бестолковыми с каждым годом», – подумал Джонс.
«Я внесу исправление прямо сейчас. Не беспокойтесь, вы получите вашу зарплату без проблем», – заверил парень.
Командировка
Почти сразу после этого позвонили системному администратору в отдел сбыта в Остине, Техас.
«Это Джозеф Джонс, – представился звонивший. – Я из отдела развития бизнеса. Я буду в отеле Дрискил (Driskill Hotel) через неделю. Мне нужна временная учетная запись, чтобы я мог получать электронную почту, не делая междугородных звонков».
«Повторите имя и сообщите мне свой номер», – сказал системный администратор. Лже‑Джонс дал ему номер и продолжил: «У вас есть высокоскоростные номера?».
«Подожди, приятель. Я должен проверить тебя по базе данных». Через некоторое время он сказал: «О.К., Джо. Скажи мне номер дома».
Атакующий тщательно подготовился и держал ответ наготове.
Сообщение от Митника
Не надейтесь, что сетевая защита и брандмауэры защитят вашу информацию. Следите за самым уязвимым местом. В большинстве случаев вы обнаружите, что уязвимость заключается в ваших людях.
«О.К., – сказал системный администратор, – ты убедил меня».
Это было просто. Системный администратор проверил имя «Джозеф Джонс», подразделение, номер, и « Джо» сообщил ему правильный ответ на тестовый вопрос. "Имя пользователя будет таким же, как и корпоративное, «jbjones», – сказал системный администратор, – и начальный пароль «changeme» («смени меня»).
Анализ обмана
С помощью пары звонков и 15 минут атакующий получил доступ к глобальной сети компании. В этой компании, как и во многих организациях, было то, что я называю «слабой безопасностью » (candy security), термином впервые использованным двумя исследователями из Bell Labs, Стивом Белловином (Steve Bellovin)и Стивеном Чесвиком (Steven Cheswick). Они описывали такую безопасность как «крепкая оболочка со слабым центром», похожую на конфеты M&M. Белловин и Чесвик доказывали, что внешней оболочки, брандмауэра, недостаточно для защиты, потому что взломщик способен обойти ее, а внутренние компьютерные системы защищены слабо. В большинстве случаев они защищаются недостаточно надежно.
Данная история подходит под определение. Имея номер для удаленного доступа и учетную запись, атакующему даже не надо было беспокоиться о проникновении через брандмауэр Интернет, и, будучи внутри, он легко мог скомпрометировать большинство систем во внутренней сети.
По моим данным, эта хитрость сработала с одним из крупнейших производителей компьютерных программ. Вы подумаете, что системных администраторов таких компаний, вероятно, учат обнаруживать уловки такого типа. Мой опыт подсказывает, что никто полностью не защищен от способного и убедительного социального инженера.
Lingo
«Слабая безопасность» (candy security) – термин, введенный Белловином и Чесвиком из Bell Labs для описания сценария безопасности, где внешняя граница, такая как брандмауэр, прочна, но инфраструктура, расположенная за ним, слаба.
Speakeasy security – «прозрачная» безопасность, которая основана на знании, где находится нужная информация, и использовании слова или имени для доступа к информации или компьютерной системе.
«Прозрачная» безопасность (Speakeasy security)
В дни существования – ночных клубов (speakeasies), где разливался джин – потенциальный клиент получал доступ, найдя дверь и постучав в нее. Через несколько минут , открывалось маленькое окошко и показывалось устрашающее бандитское лицо. Если посетитель был «своим», он называл имя завсегдатая (часто было достаточно сказать: «меня отправил Джо»), после чего вышибала открывал дверь и разрешал войти.
Хитрость была в том, что нужно было знать, где находится заведение, так как дверь ничем не выделялась, и хозяева не размещали вывеску, указывающую на свое присутствие.
Я видел это в фильмах
Вот пример из известного фильма, который многие люди помнят. В "Трех днях Кондора " главный герой Тернер (роль играет Роберт Рэдфорд) работает с небольшой исследовательской фирмой по контракту с ЦРУ. Однажды он возвращается с обеда и обнаруживает, что всех его сотрудников застрелили. Ему нужно было выяснить, кто это сделал и почему, зная, что в это время те плохие парни разыскивают его.
Позже он сумел узнать телефонный номер одного из парней. Но кто он такой и как найти его? Ему повезло: сценарист, Дэвид Рэйфил, к счастью, снабдил его опытом, который включает подготовку в войсках связи, дающую ему представление о работе телефонных компаний. Располагая номером парня, Тернер точно знает, что нужно делать дальше. В фильме сцена выглядит таким образом:
Тернер повторно соединяется и набирает другой номер
звонок! звонок! Затем:
Женский голос (фрагмент). Служба имен и адресов (CNA – Customer Name and Address bureau). Миссис Колеман.
Тернер. Миссис Колеман, это Гарольд Томас, абонентская служба. Имя и адрес абонента, пожалуйста, для 202‑555‑7389.
Женский голос (фрагмент). Одну минуту.
(почти сразу)
Леонард Этвуд, Маккенси Лэйн, 765, Мэриленд. (Leonard Atwood, 765 MacKensie Lane, Chevy Chase, Maryland).
Можете вы осознать случившееся, не обращая внимания на то, что сценарист ошибочно использует междугородный код Вашингтона, округ Колумбия, для адреса в Мэриленде?
Тернер, благодаря опыту линейного монтера, знает, по какому номеру надо звонить в офис компании, которая называется «Служба имен и адресов». Служба имен и адресов абонентов предназначена для удобства монтажников и другого персонала компании. Монтажник может позвонить в службу и назвать номер. Служащий сообщит имя и адрес человека, которому принадлежит телефон.
Обман телефонной компании
В реальной жизни номер службы имен и адресов – тщательно охраняемая тайна. Хотя телефонные компании в наши дни не так легко предоставляют информацию, в то же время они используют разновидность «прозрачной» безопасности, которую специалисты по безопасности называют«security through obscurity» ( безопасность, основанная на незнании). Предполагается, что любой, кто позвонил в службу имен и адресов и владеет соответствующей терминологией (например, «имя и адрес для 555‑1234, пожалуйста»), является человеком, имеющим право на получение информации.
Lingo
SECURITY THROUGH OBSCURITY – неэффективный метод компьютерной безопасности, основанный на содержании в тайне деталей работы системы (протоколы, алгоритмы, внутренние системы). Такая безопасность основана на обманчивом предположении, согласно которому никто за пределами группы посвященных людей не способен обойти систему.
Сообщение от Митника
Безопасность, основанная на незнании, не приносит никакой пользы при отражении атак социальной инженерии. В каждой компьютерной системе в мире есть как минимум один человек, который ее использует. Таким образом, если социальный инженер способен манипулировать людьми, использующими системы, незаметность системы не подходит.
Не нужно было подтверждать свою личность, сообщать свой номер, ежедневно изменяемый пароль. Если вы знали номер и говорили достоверно, то должны получить право на информацию.
Это было не очень основательным предположением со стороны телефонной компании. Единственная мера безопасности, которую они предприняли, – периодическая смена телефонного номера, по крайней мере, раз в год. Несмотря на это, действующий номер в определенный момент времени был широко известен среди фрикеров, использующих этот удобный источник информации в своих кругах. Хитрость со службой имен и адресов абонентов была одной из первых вещей, которые я изучил во время увлечения фрикингом в юношеском возрасте.
В мире бизнеса и правительства все еще преобладает «прозрачная» безопасность. Вероятно, здесь необходимо обладать знаниями о подразделениях, людях, и терминологии. компании. Иногда все, что требуется знать, – это внутренний телефон.
Неосторожный руководитель
Хотя многие служащие организаций беззаботны, не интересуются или не подозревают об угрозах безопасности, вы предполагаете, что руководитель компьютерного центра корпорации, входящей в Fortune 500, хорошо знает правила безопасности, верно?
Вероятно, вы не предполагали, что руководитель компьютерного центра – тот, кто является частью отдела информационных технологий компании – окажется жертвой явной игры социальной инженерии. Особенно трудно это предположить, когда социальный инженер не более чем шутник, едва вышедший из подросткового возраста. Но иногда ваши предположения могут быть неверными.
Настройка (на радиоволну)
Очень давно было занятное время для многих людей, которые настраивали радиоприемник на частоты местной полиции или пожарного отделения, слушая разговоры об ограблении банка, пожаре в административном здании или погоне по ходу событий. Сведения о радиочастотах, используемых правоохранительными органами и пожарными отделениями, можно было найти в книжных магазинах; сегодня информация о радиочастотах местных, государственных, и, в некоторых случаях, даже федеральных органов есть в Интернете, в книге, которую можно купить с помощью Radio Shack.
Конечно, это было не просто любопытство со стороны тех, кто слушал эти частоты. Мошенники, грабящие магазин посреди ночи, могли настроить приемник, чтобы слышать, когда полицейская машина направляется к месту происшествия. Торговцы наркотиками могли контролировать деятельность агентов местных органов. Поджигатель мог усилить свое нездоровое удовольствие, устроив пожар и слушая затем весь поток сообщений по радио, в то время как пожарные боролись с огнем.
За последние годы разработки в компьютерных технологиях позволили шифровать голосовые сообщения. По мере того, как инженеры нашли способы разместить на одном кристалле все больше вычислительных мощностей, они начали создавать зашифрованное радиовещание, лишив плохих парней и любопытных возможности прослушивать его.
Дэнни‑перехватчик
Энтузиаст сканирования и искусный хакер, которого мы будем звать Дэнни, решил выяснить, не может ли он получить исходный код сверхсекретной программы‑шифратора одного из ведущих производителей защищенных радиосистем. Он надеялся изучить код, который позволил бы ему узнать, как прослушивать разговоры правохранительных органов и, возможно, использовать технологию так, чтобы даже самым влиятельным государственным органам было сложно отследить его разговоры с друзьями.
Дэнни из темного мира хакеров принадлежат к особой категории, которая находится где‑то между просто любопытными, но безобидными, и опасными. Они обладают знаниями эксперта, сочетающимися с озорным желанием хакера вторгаться в системы и сети ради интеллектуального вызова и удовлетворения от понимания, как работает технология. Их электронные трюки со взломом и проникновением – всего лишь трюки. Эти люди, эти «белые» хакеры незаконно проникают в системы ради забавы и доказательства того, что они могут сделать это. Они ничего не воруют, не зарабатывают деньги на своих деяниях, не уничтожают файлы, не разрушают сети или компьютерные системы. Сам факт их присутствия, получения копий файлов, подбора паролей за спиной сетевых администраторов, утирает носы людей, ответственных за оборону от злоумышленников. Умение превзойти других составляет значительную часть удовлетворения.
Придерживаясь такой направленности, наш Дэнни хотел изучить детали тщательно охраняемого продукта компании только, чтобы удовлетворить жгучее любопытство и удивиться искусным новинкам, которые могли быть внедрены в компании. Излишне говорить о том, что разработка продукта были тщательно охраняемой производственной тайной, такой же ценной и защищенной, как и все, чем владела компания. Дэнни знал это. И нисколько не беспокоился. Как‑никак, это была всего лишь некая большая безымянная компания.
Но как получить исходный код программы? Как оказалось, похищение «драгоценностей» из группы защищенной связи было слишком легким, несмотря на то что компания была одной из тех организаций, где используется аутентификация по двум условиям , при которой требуется не один, а два индентификатора для доказательства своей подлинности.
Вот пример, с которым вы уже, возможно, знакомы. Когда к вам приходит новая кредитная карта, вас просят позвонить в компанию‑эмитент, чтобы там знали, что карта находится у ее владельца, а не кого‑то, кто украл конверт на почте. В наши дни указания на карте, как правило, предписывают звонить вамиз дома . Когда вы звоните, программа в компании анализирует номер, автоматически определенный на телефонном коммутаторе, через который проходят бесплатные звонки. Компьютер в компании‑эмитенте сравнивает телефонный номер звонившего с номером в базе данных владельцев кредитных карт. К тому времени, как служащий возьмет трубку, на его дисплее будет отображена информация о клиенте из базы данных. служащий уже знает, что звонок сделан из дома клиента, .
Lingo
Аутентификация по двум условиям – использование двух разных типов аутентификации для идентификации. Например, человек может идентифицировать себя звоня из определенного места и зная пароль.
Затем служащий выбирает элемент отображаемых о вас данных – чаще всего номер (социального обеспечения), дату рождения, девичью фамилию матери – и задает вам вопрос. Если вы даете правильный ответ, это вторая форма аутентификации, основанная на сведениях, которые вы должны знать.
В компании, выпускающей защищенные радиосистемы, у каждого служащего, имеющего доступ к компьютеру, имелись имя и пароль, которые дополнялись небольшим электронным устройством – Secure ID (безопасный идентификатор). Это то, что называют синхронизируемым жетоном. Такие устройства делаются двух типов: одно из них размером с половину кредитной карты, но немного толще; другое настолько мало, что люди могут присоединить его к связке ключей.
В этом устройстве из мира криптографии имеется маленький шестиразрядный дисплей. Каждые 60 секунд на дисплее отображается новое шестизначное число. Когда человеку нужен доступ к сети, сначала он должен идентифицировать себя как зарегистрированного пользователя, введя секретный PIN‑код и число, отображаемое его устройством. Пройдя проверку внутренней системы, он затем должен ввести имя и пароль.
Для получения исходного кода, которого так жаждал юный Дэнни, нужно было не только скомпрометировать имя пользователя и пароль одного из служащих (что не представляет особой сложности для опытного социального инженера), но и добраться до синхронизируемого жетона.
Прохождение аутентификации по двум условиям с использованием синхронизируемого жетона в сочетании с секретным PIN‑кодом кажется невыполнимой миссией. Для социальных инженеров задача подобна той, когда игрок в покер, который обладает не просто умением «читать» своих противников.
Штурм крепости
Дэнни начал с тщательной подготовки. Вскоре он собрал вместе достаточно сведений, чтобы выдать себя за настоящего служащего. У него было имя, подразделение, телефонный номер служащего, а также имя и номер телефона руководителя.
Теперь было затишье перед штурмом. По составленному плану Дэнни нужна была еще одна вещь перед тем, как сделать следующий шаг, и это было то, чем он не управлял: ему нужна была метель. Ему нужна была помощь Матушки– природы в виде непогоды, которая бы не позволила работникам добраться до офиса. Зимой в Южной Дакоте тому, кто надеялся на плохую погоду, не приходилось ждать очень долго. В пятницу ночью началась метель. снег быстро превратился в град, так что к утру дороги были покрыты слоем льда. Это была отличная возможность для Дэнни.
Он позвонил на завод, попросил соединить с машинным залом и связался с оператором, который представился как Роджер Ковальски.
Назвав имя настоящего служащего, Дэнни сказал: «Это Боб Билингс. Я работаю в группе защищенной связи. Я сейчас дома и не могу приехать из‑за метели. Проблема в том, что мне нужен доступ к моему компьютеру и серверу из дома, а я оставил безопасный ID в столе. Не могли бы вы принести его? Или кто‑нибудь? А потом прочитать мой код, когда надо будет ввести его? Сроки выполнения у моей группы подходят к концу, и у меня нет другого способа закончить работу. И нет способа попасть в офис – дороги слишком опасны.»
Оператор сказал: «Я не могу оставить вычислительный центр» Дэнни завладел ситуацией: «А у вас есть безопасный ID?»
«В центре есть один, – сказал тот, –Мы храним один для операторов на случай крайней необходимости.»
«Послушайте, – сказал Дэнни, –Вы не могли бы оказать мне большую услугу? Можно позаимствовать ваш безопасный ID, когда мне нужно будет войти в сеть? На время, пока опасно ездить по дорогам?»
–Кто вы? – спросил Ковальски. – Для кого вы делаете работу?
–Для Эда Трентона.
–Ах да, я знаю его.
Когда может возникнуть затруднительное положение, хороший социальный инженер проводит нечто большее, чем простое исследование. «Я работаю на втором этаже, – продолжал Дэнни, – рядом с Роем Такером».
Это имя он тоже знал. Дэнни продолжил обрабатывать его. «Будет проще подойти к моему столу и принести мой безопасный ID.»
Дэнни был уверен, что парень не пойдет на это. Прежде всего, он не оставит свое место посреди рабочей смены ради «прогулки» по коридорам и лестницам в другую часть здания. Он также не захочет шариться в столе на чужом месте. Нет, можно было спорить, что он не сделает этого.
Ковальски не хотел ни отказывать парню, нуждавшемуся в помощи, ни соглашаться и быть втянутым в проблему. Поэтому он отложил решение: «Я должен позвонить моему боссу. Подождите». Он отложил трубку, и Дэнни мог слышать, как тот набирает другой номер, и объясняет просьбу. Затем Ковальски сделал что‑то необъяснимое: он по‑настоящему ручался за человека, назвавшегося Бобом Билингсом. «Я знаю его, – сказал он своему руководителю, – Он работает для Эда Трентона. Можем мы разрешить ему воспользоваться безопасным ID, который есть в вычислительном центре?» Дэнни, державший трубку, был поражен, услышав о неожиданной поддержке в свою пользу. Он не мог поверить своим ушам.
Через несколько минут Ковальски снова взял трубку, сказал: «Мой руководитель хочет поговорить с вами сам», и дал ему имя и номер сотового телефона.
Дэнни позвонил руководителю и повторил историю снова, подробно рассказав о проекте, над которым он работал, и почему его группа должна закончить работу в срок. «Проще будет кому‑нибудь подойти к моему столу и взять мою карту, –сказал он. – Я не думаю, что стол заперт, карта должна быть в левом верхнем ящике».
«Хорошо, – сказал руководитель, – думаю, на выходные мы можем разрешить вам использовать безопасный ID из вычислительного центра. Я скажу дежурным, чтобы они считали случайный код, когда вы позвоните», и дал ему PIN‑код для использования.
В выходные, каждый раз, когда Дэнни хотел войти в корпоративную сеть, он должен был только позвонить в вычислительный центр и попросить считать шесть цифр, отображаемых безопасным ID.
Работа изнутри
Он был внутри компьютерной системы компании, что дальше? Как Дэнни найти сервер с нужной ему программой? Для этого он уже подготовился.
Компьютерные пользователи знакомы с телеконференциями, расширенным набором электронных досок объявлений, где одни люди могут поместить вопросы, на которые отвечают другие люди, или найти виртуальных собеседников с общими интересами в области музыки, компьютеров или любой из сотен других тем.
Сообщения, размещаемые в телеконференциях, остаются доступными годами. Например, Google сейчас содержит архив из семисот миллионов сообщений, некоторые из которых были размещены двадцать лет назад! Дэнни начал с адреса http://groups.google.com .
В качестве ключевых слов Дэнни ввел «шифрованная радиосвязь» и название компании, и нашел сообщение годичной давности от служащего. Оно было помещено, когда компания начала разработку продукта, возможно, задолго до того как полицейские ведомства и федеральные органы взяли под контроль радиосигналы.
Сообщение содержало цифровую подпись, дающую не только имя человека, Скотт Пресс, но и номер его телефона и даже название рабочей группы, Группа защищенной связи.
Денни и набрал номер. Это было похоже на – работает ли он в той же организации годы спустя? На работе он в в такую непогоду? Телефон зазвонил один раз, другой, третий, тогда раздался голос. «Скотт, – сказал он».
Утверждая, что он из IT‑отдела компании, Дэнни заставил Пресса (одним из способов, знакомых вам по предыдущим главам) назвать имена серверов, используемых для разработки. На этих серверах мог располагаться исходный код, содержащий патентованный алгоритм шифрования и микропрограммы, используемые в защищенных изделиях компании.
Дэнни приближался все ближе и ближе, и его волнение усиливалось. Он чувстовал напряжение, высшую точку, которое всегда испытывал, успешно сделав то, чего могли достигнуть немногие.
В остаток выходных он мог войти в сеть компании, когда ему бы захотелось, благодаря сотрудничеству с руководителем вычислительного центра. Он знал, к каким серверам обратиться. Но когда он набрал номер, терминальный сервер, на который он вошел, не разрешил ему соединение с системой разработки Группы защищенной связи. Это был внутренний брандмауэр или маршрутизатор, защищавший компьютерные системы группы. Нужно было найти другой способ войти.
Следующий шаг требовал нахальства – Дэнни позвонил Ковальски и пожаловался: «Мой сервер не разрешает мне соединиться», и сказал: «Мне нужна учетная запись на одном из компьютеров вашего отдела, чтобы я мог использовать Телнет для соединения с моей системой».
Руководитель уже одобрил раскрытие кода доступа, отображаемого на синхронизируемом жетоне, поэтому новое требование не показалось чрезмерным. Ковальски создал временную учетную запись и пароль на одном из компьютеров вычислительного центра и попросил Дэнни «позвонить, когда учетная запись будет больше не нужна, чтобы я удалил ее».
Зайдя с временной учетной записью, Дэнни мог соединиться по сети с компьютерными системами Группы защищенной связи. После часового поиска уязвимости , которая давала ему доступ к главному серверу, он сорвал куш. Очевидно, системный администратор не следил за последними известиями об ошибках безопасности, которые давали удаленный доступ. Зато Дэнни был хорошо осведомлен об этом.
За короткий срок он нашел файлы с исходными кодами и отправил их на сайт, который предоставлял бесплатное место для хранения. Здесь, даже если файлы были бы обнаружены, на его след никогда не смогли бы выйти.
Перед выходом оставался один заключительный шаг: методичное уничтожение своих следов. Он закончил до того как закончилось шоу Джея Лено. Для Дэнни это была очень хорошая работа на выходных. И он ни разу не подвергнул себя риску. Это было опьяняющее возбуждение, даже лучше чем сноубординг или прыжки с парашютом.
Дэнни был пьян той ночью, не от виски, джина, пива, а от могущества и чувства завершенности, приблизившись к чрезвычайно секретной программе.
Анализ обмана
Как и в предыдущей истории, уловка сработала только потому, что один из работников компании слишком охотно принял, что звонящий был действительно служащим, которым он представился. Стремление помочь сотруднику, с одной стороны, является частью того, что смазывает колеса промышленности, и частью того, что делает приятным работу служащих одних компаний с работниками других организаций. Но с другой стороны, эта полезность может быть главной уязвимостью, которую попытается использовать социальный инженер.
Одна деталь в махинации Дэнни была восхитительной. Когда он просил кого‑нибудь принести жетон из своего стола, он настаивал на том, чтобы кто‑то «принес» его для него. «Принеси» – это команда, которую вы даете своей собаке. Никто не хочет, чтобы ему велели принести что‑нибудь. С помощью одного слова Дэнни сделал так, чтобы просьба была отклонена, было принято другое решение, именно то, которое хотелось ему.
Оператор вычислительного центра, Ковальски, был обманут Дэнни с помощью имен людей, которых он знал. Но почему руководитель Ковальски – IT‑руководитель, не меньше, – позволил чужаку проникнуть во внутреннюю сеть компании? Просто потому что звонок о помощи может быть мощным убедительным инструментом в арсенале социального инженера.
Сообщение от Митника
Эта история показывает, что синхронизируемые жетоны и простые формы аутентификации не может быть защитой против коварного социального инженера.
Может что‑то подобное случиться в вашей компании? Случилось ли уже?
Предотвращение обмана
Может показаться, что один элемент часто упоминается в этих историях – атакующий приспосабливается звонить в компьютерную сеть компании снаружи, минуя служащего, который помогал бы ему, удостоверившись в том, что звонящий действительно является работником, и у него есть право доступа. Почему я так часто возвращаюсь к этой теме? Потому что это правда один из факторов многих атак социальной инженерии. Для социального инженера это самый легкий путь к достижению цели. Почему атакующий должен тратить часы на вторжение, когда он может сделать это с помощью обычного телефонного звонка?
Один из самых мощных методов провести атаку –это обычная уловка с просьбой о помощи, подход, часто используемый атакующими. Вы не хотите, чтобы ваши служащие перестали быть полезными для коллег и клиентов, поэтому вам нужно вооружить их особыми процедурами подтверждения для всех, кто запрашивает компьютерный доступ или конфиденциальную информацию. Этот способ , служащие могут быть полезными для тех, кто заслуживает помощи, но в то же время защищают информационное имущество и компьютерные системы организации.
Необходимо детально разобрать, какой механизм подтверждения следует использовать в различных случаях. В главе 17 приведен список процедур, есть руководящие принципы для рассмотрения.
Хороший способ удостоверить личность человека, обратившегося с просьбой, позвонить по телефонному номеру, указанному в справочнике компании. Если человек, обратившийся с просьбой, действительно атакующий, проверочный звонок позволит поговорить с настоящим человеком по телефону, пока самозванец не положил трубку, или выйти на голосовую почту служащего, которая позволит сравнить его голос с голосом атакующего.
Если номера служащих используются в вашей компании для проверки подлинности, то они должны тщательно охраняться и не сообщаться чужим людям. То же самое относится ко всем видам внутренних номеров, как телефонные номера, идентификаторы и даже адреса электронной почты.
Корпоративное обучение должно обратить внимание каждого на распространенные случаи принятия неизвестных людей за настоящих служащих на основании того, что они внушительно говорят или хорошо осведомлены. Нет основания полагать, что подлинность не требуется проверять другими способами, только потому что кто‑то знает порядки компании или использует внутреннюю терминологию.
Офицеры безопасности и системные администраторы не должны концентрировать свое внимание только на подготовке кого‑либо в вопросах безопасности . Они также должны быть уверены, что сами следуют тем же правилам, процедурам и установленным порядкам.
Пароли и т.п., конечно, никогда не должны использоваться совместно, запрет общего использования даже более важен при использовании синхронизирующих жетонов и другими безопасных форм аутентификации. На уровне здравого смысла должно быть ясно, что совместное использование любого из этих элементов нарушает все дело компании, установившей системы . Разделение означает отсутствие ответственности. Если имеет место инцидент с безопасностью или что‑то идет не так, вы не сможете определить. кто несет ответственность.
Служащие должны быть знакомы со стратегиями и методами и социальной инженерии, чтобы внимательно анализировать запросы, которые они получают. Рассмотрите использование ролевых игр как часть обучения безопасности, так чтобы служащие могли лучше понять, как работает социальный инженер.