|
|
Социальная инженерия
Последний раздел этой главы посвящен методу, наводящему
наибольший ужас на тех, кто отвечает за сохранность информации,— социальной
инженерии (social engineering). Хотя этот термин прочно закрепился
в хакерском жаргоне, обозначая метод убеждения и/или обмана сотрудников
какой-либо компании для получения доступа к ее информационным системам,
мы считаем его неудачным. Такие приемы обычно применяются в процессе
обычного человеческого общения или при других видах взаимодействия.
В качестве технических средств обычно выбирается телефон, но попытка
наладить общение может быть предпринята и через электронную почту,
коммерческие каналы телевидения или другие самые разнообразные способы,
позволяющие вызвать нужную реакцию. Успешному взлому с применением
социальной инженерии, как правило, предшествуют следующие стандартные
подходы. |
|
| |
Необразованный пользователь и "справочный стол"
Однажды авторы, проявив достаточную настойчивость,
просмотрели списки контактных данных сотрудников компании, адреса
электронной почты и номера телефонов внутренней телефонной сети одной
компании. Все это оказалось возможным благодаря обращению к "справочному
столу" этой компании.
Сначала мы собрали информацию о сотрудниках этой компании, используя
некоторые из методов поиска в открытых источниках (см. главу 1). Очень
ценные данные посчастливилось раздобыть у компании-регистратора доменных
имен Network Solutions по адресу http://www.networksolutions.com.
Здесь были обнаружены данные директора отдела информационных технологий.
Имени этого человека и его телефонного номера, полученных в компании-регистраторе,
оказалось вполне достаточно, чтобы приступить к атаке, которую можно
назвать "удаленный пользователь, попавший в затруднительное положение".
Для прикрытия мы воспользовались следующей легендой: у директора отдела
информационных технологий, который пребывает в командировке по делам
фирмы, возникли трудности. Ему срочно нужно получить некоторые файлы
Power Point для презентации, которая состоится завтра. С помощью такого
трюка от служащих "справочного стола" нам удалось узнать
версию клиентского программного обеспечения удаленного доступа (которую
можно бесплатно получить на Web-узле производителя), ее конфигурационные
параметры, бесплатный номер телефона для дозвона на сервер удаленного
доступа и учетную запись для регистрации на этом сервере. Установив
первоначальный доступ, мы перезвонили несколько часов спустя (выдав
себя за того же пользователя!) и объяснили, что забыли пароль почтовой
учетной записи. Пароль был восстановлен. Теперь можно было отправлять
почту, пользуясь внутренним почтовым ящиком компании.
Затем с использованием нескольких звонков удалось получить доступ
к внутренней телефонной сети компании. Код доступа к этой сети дал
возможность пользоваться исходящими телефонными звонками в любую точку
земного шара за счет компании. Позже было установлено, что сервер
удаленного доступа имеет пустой пароль в учетной записи администратора,
к которой можно получить доступ с помощью полученного ранее номера
бесплатного дозвона. Нет необходимости говорить, что в течение нескольких
часов был установлен полный контроль над сетью этой организации (причем
большая часть этого времени прошла в ожидании ответных звонков из
"справочного стола"). И все это было проделано только с
помощью социальной инженерии.
"Справочный стол" и растерянный пользователь
В предыдущем примере было интересно наблюдать за
тем, какое гипнотизирующее влияние маска руководителя оказала на стоящих
на более низком уровне сотрудников "справочного стола".
Однако в некоторых компаниях, где технические знания персонала "справочного
стола" дают им возможность получать от сотрудников любую информацию,
этот метод можно применить несколько по-другому и добыть сведения
от ничего не подозревающих пользователей. Однажды, найдя на одном
из Web-узлов список внутренних телефонов компании и представляясь
работником отдела внутренней технической поддержки, авторы начали
обзванивать сотрудников, выбирая телефоны случайным образом. Таким
образом удалось получить информацию об именах пользователей и паролях
доступа к внутренним файлам, а также некоторые общие сведения о локатьной
сети. Эту информацию предоставляли 25% из тех, кому звонили. Выдавая
себя либо за директора отдела информационных технологий, либо за сотрудника
группы технической поддержки можно с высокой эффективностью извлекать
необходимые данные.
Контрмеры
В этой главе описаны самые разнообразные атаки. Некоторые
из них выглядят безграничными в своих проявлениях, и кажется, что
их очень трудно предотвратить (например, поиск информации в открытых
источниках Internet). Хотя противодействовать всем атакам с применением
социальной инженерии почти невозможно, мы постарались все же сформулировать
некоторые рекомендации, которые могут оказаться эффективными.
- Ограничение утечки данных. Web-узлы, общедоступные базы
данных, компании-регистраторы, "желтые страницы" и другие
источники информации должны содержать лишь общие сведения, такие
как корпоративные номера телефонов и официальные должности вместо
имен сотрудников (например, "Администратор зоны" вместо
"Джон Смит").
- Выработка строгой политики выполнения процедур внутренней
и внешней технической поддержки. Перед тем, как получить поддержку,
каждый позвонивший должен сообщить свой идентификационный номер
служащего или пройти идентификацию в любой другой форме. Сотрудники
группы поддержки должны предоставлять помощь в строго определенных
рамках и не должны отвечать на вопросы, связанные с используемыми
внутренними технологиями. Нужно также определить те непредвиденные
ситуации, в которых можно выходить за рамки этих требований.
- Проявление особой бдительности в вопросах, касающихся удаленного
доступа. Следует помнить, что подобная привилегия повышает производительность
работы не только сотрудников фирмы, но и взломщиков. Советы, касающиеся
обеспечения безопасности удаленных соединений можно найти в главе
9.
- Тщательная настройка как исходящего, гак и входящего трафика
брандмауэров и маршрутизаторов. Это поможет предотвратить, например,
вовлечение пользователей в процесс совместного использования внешних
файлов. Здесь отлично сработает хорошее правило очистки (последним
правилом каждого списка управления доступом должен быть полный запрет,
т.е. каждому пользователю запрещен доступ к файлам всех остальных)
- Безопасное использование электронной почты. Если кто-нибудь
сомневается в важности этого правила, ему стоит прочитать главу
16. Следует научиться прослеживать маршрут прохождения почтового
сообщения с помощью анализа его заголовка (на Web-узле http://spamcop.net
в разделе часто задаваемых вопросов можно найти информацию о настройке
почтовых клиентских приложений так, чтобы заголовки отображались
полностью).
- Повышение уровня образованности сотрудников фирмы в вопросах
обеспечения безопасности. Нужно выработать политику безопасности
и распространить ее внутри всей организации. Для разработки такой
политики в качестве отправной точки прекрасно подойдет документ
RFC 2196, The Site Security Handbook. К нему следует добавить также
RFC 2504, The Users' Security Handbook, с которым в настоящее время
нужно познакомиться всем пользователям Internet. Оба документа можно
найти на Web-узле http://www.rfc-editor.org
|
|
