Соціальна інженерія
Соціальна інженерія - це метод управління діями людини без використання технічних засобів. Метод заснований на використанні слабкостей людського фактора і вважається дуже руйнівним. Найчастіше соціальну інженерію розглядають як незаконний метод отримання інформації, проте це не зовсім так. Соціальну інженерію можна також використовувати і в законних цілях, і не тільки для отримання інформації, а і для здійснення дій конкретною людиною. Сьогодні соціальну інженерію найчастіше використовують в інтернеті, для отримання закритої інформації, або інформації, яка представляє велику цінність. Зловмисник одержує інформацію, наприклад, шляхом збору інформації про службовців об'єкта атаки, за допомогою звичайного телефонного дзвінка або шляхом проникнення в організацію під виглядом її службовця. Зловмисник може подзвонити працівникові компанії (під виглядом технічної служби) і вивідати пароль, пославшись на необхідність вирішення невеликої проблеми в комп'ютерній системі. Дуже часто цей трюк проходить. Імена службовців вдається дізнатися після низки дзвінків і вивчення імен керівників на сайті компанії і інших джерел відкритої інформації (звітів, реклами і т. п.). Використовуючи реальні імена в розмові зі службою технічної підтримки, зловмисник розповідає вигадану історію, що не може потрапити на важливу нараду на сайті з своїм обліковим записом віддаленого доступу. Іншою підмогою в даному методі є дослідження сміття організацій, віртуальних сміттєвих кошиків, крадіжка портативного комп'ютера або носіїв інформації. Даний метод використовується, коли зловмисник окреслив як жертву конкретну компанію. Соціальна інженерія - відносно молода наука, яка є складовою частиною соціології, і претендує на сукупність тих специфічних знань, які спрямовують, приводять до ладу і оптимізують процес створення, модернізації та відтворення нових («штучних») соціальних реальностей. Певним чином вона «добудовує» соціологічну науку, завершує її на фазі перетворення наукових знань у моделі, проекти та конструкції соціальних інститутів, цінностей, норм, алгоритмів діяльності, відносин, поведінки і т.п. Заняття зорієнтовані на озброєння слухачів насамперед методологією аналітико - синтетичного мислення і знаннями формалізованих процедур (технологій) конструкторсько-винахідницької діяльності. У характеристиці формалізованих операцій, з яких складається це останнє, особлива увага звертається на операції складної комбінаторики. Ігнорування принципу системності в операціях комбінаторики завдали і продовжують завдавати великої шкоди на всіх рівнях трансформаційних процесів, які відбуваються в нашому суспільстві. Послідовні знання принципових вимог до зазначених операцій дають підстави для запобігання помилкових перекручень у реформаційної практиці на її макро-, мезо-та мікрорівнях. Незважаючи на те, що поняття соціальної інженерії з'явилося нещодавно, люди в тій чи іншій формі користувалися її техніками споконвіку. У тій самій Стародавній Греції та Римі у великій пошані були люди, що можуть навішати на вуха будь-яку локшину і переконати співрозмовника в «очевидній неправоті». Виступаючи від імені верхів, вони вели дипломатичні переговори, а, підмішуючи в свої слова брехню, лестощі та вигідні аргументи, нерідко вирішували такі проблеми, які, у противному випадку, неможливо було вирішити без допомоги меча. У середовищі шпигунів соціальна інженерія завжди була головною зброєю. Видаючи себе за кого завгодно, агенти КДБ і ЦРУ могли вивідати найстрашніші державні таємниці. На початку 70-х рр.., В період розквіту фрикінгу, деякі телефонні хулігани бавилися тим, що надзвонювали з вуличних автоматів операторам Ma Bell і підколювали їх на тему компетентності. Потім хтось, очевидно, зрозумів, що, якщо трохи перебудувати фрази і подекуди збрехати, можна змусити тех. персонал не просто виправдовуватися, а видавати в пориві емоцій конфіденційну інформацію. Фрікери стали потихеньку експериментувати з прийомами і до кінця 70-х настільки відпрацювали техніки маніпулювання непідготовленими операторами, що могли без проблем дізнатися у них практично все, що хотіли. Заговорювати людям зуби по телефону, щоб отримати якусь інформацію або просто змусити їх щось зробити, прирівнювалося до мистецтва. Професіонали в цій області дуже пишалися своєю майстерністю. Наймайстерніші соціальні інженери (сінжери) завжди діяли експромтом, покладаючись на своє чуття. За навідним питаннням, з інтонації голосу вони могли визначити комплекси й страхи людини і, миттєво зорієнтувавшись, зіграти на них. Якщо на тому кінці дроту перебувала молоденька, нещодавно надійшла на роботу дівчина - Фрікер натякав на можливі неприємності з босом, якщо це був якийсь самовпевнений - досить було представитися початківцем користувачем, якому все треба показати і розповісти. До кожного підбирався свій ключ. З появою комп'ютерів, багато фрікерів перебралися в комп'ютерні мережі і стали хакерами. Навички СІ в новій області стали ще корисніше. Якщо раніше мізки оператору пудрили в основному для отримання шматочків інформації з корпоративних довідників, то тепер стало можливим дізнатися пароль для входу в закриту систему і завантажити звідти купу тих же довідників чи щось секретне. Причому такий спосіб був набагато швидше і простіше технічного. Не потрібно шукати дірки в навороченной системі захисту, не треба чекати, поки Jack the Ripper вгадає правильний пароль, не обов'язково грати в кішки-мишки з адміном. Достатньо зателефонувати по телефону і, при правильному підході, на іншому кінці лінії самі назвуть заповітне слово.
Зміст
Техніки і терміни соціальної інженерії
Всі техніки соціальної інженерії засновані на особливостях прийняття рішень людьми, званих когнітивним базисом. Вони також можуть бути названі особливістю прийняття рішення людської і соціальної психологій, заснованої на тому, що людина повинна кому-небудь довіряти в соціальному середовищі виховання.
Претекстінг
Претекстінг - це прийом, відпрацьований за заздалегідь складеним сценарієм (претексту). В результаті мішень повинна видати певну інформацію або вчинити певну дію. Цей вид атак застосовується зазвичай по телефону. Найчастіше ця техніка включає в себе більше, ніж просто брехню, і вимагає будь-яких попередніх досліджень (наприклад, персоналізації: дата народження, сума останнього рахунку та ін), з тим, щоб забезпечити довіру мішені. До цього ж виду належать атаки і з онлайн-мессенджерам, наприклад, по ICQ.
Фішинг
Фішинг - техніка, спрямована на шахрайське отримання конфіденційної інформації. Зазвичай зловмисник посилає мішені e-mail, підроблений під офіційний лист - від банку або платіжної системи - вимагає «перевірки» певної інформації або вчинення певних дій. Це лист, зазвичай, містить лінк на фальшиву веб-сторінку, яка імітує офіційну, з корпоративним логотипом і контентом, і що містить форму, що вимагає ввести конфіденційну інформацію - від домашньої адреси до пін-коду банківської картки.
Троянський кінь
Ця техніка експлуатує цікавість, або жадібність мішені. Зловмисник відправляє e-mail, що містить у вкладенні «кльовий» або «сексуальний » скрін-сейвери, важливий апгрейд антивіруса або навіть свіжий компромат на співробітника. Така техніка залишається ефективною, поки користувачі будуть сліпо клікати по будь-яких вкладенням.
Дорожнє яблуко
Цей метод атаки є адаптацію троянського коня і полягає у використанні фізичних носіїв. Зловмисник може підкинути інфікований CD або флеш в місці, де носій може бути легко знайдений (туалет, ліфт, парковка). Носій підробляється під офіційний і супроводжується підписом, покликаним викликати цікавість. Приклад: Зловмисник може підкинути CD, забезпечений корпоративним логотипом і посиланням на офіційний сайт компанії цілі, і забезпечити його написом «Заробітна плата керівного складу Q1 2007 ». Диск може бути залишений на підлозі ліфта або у вестибюлі. Співробітник через незнання може підібрати диск і вставити його в комп'ютер, щоб задовольнити свою цікавість, або просто «добрий самаритянин» віднесе диск в компанію.
Кві про кво
Зловмисник може зателефонувати за випадковим номером в компанію і представитися співробітником техпідтримки, опитувати, чи є будь-які технічні проблеми. У разі, якщо вони є, в процесі їх «рішення» ціль вводить команди, які дозволяють хакеру запустити шкідливе програмне забезпечення.
Зворотня соціальна інженерія
Метою зворотного соціальної інженерії (reverse social engineering) є змусити мета саму звернутися до зловмиснику за «допомогою». З цією метою хакер може застосувати такі техніки:
- Диверсія. Створення оборотної неполадки на комп'ютері жертви.
- Реклама. Зловмисник підсовує жертві оголошення виду «Якщо виникли неполадки з комп'ютером, зателефонуйте за таким-то номером».
Захист користувачів від соціальної інженерії
Для захисту користувачів від соціальної інженерії можна застосовувати як технічні, так і антропогенні засоби. Антропогенна захист Найпростішими методами антропогенного захисту можна назвати:
- Залучення уваги людей до питань безпеки.
- Усвідомлення користувачами всієї серйозності проблеми і прийняття політики безпеки системи.
- Вивчення та впровадження необхідних методів і дій для підвищення захисту інформаційного забезпечення.
Дані методи мають один спільний недолік: вони пасивні. Величезний відсоток користувачів не звертає уваги на попередження, навіть написані самим помітним шрифтом.
Технічний захист До технічного захисту можна віднести зусилля, що заважають отримати інформацію і засоби, що заважають скористатися отриманою інформацією. Найбільшу поширеність серед атак в інформаційному просторі соціальних мереж з використанням слабкостей людського фактора отримали атаки за допомогою електронних листів, як то: e-mail і внутрішня пошта мережі. Саме до таких атак можна з найбільшою ефективністю застосовувати обидва методи технічного захисту. Перешкодити зловмиснику отримати запитувану інформацію можна, аналізуючи як текст вхідних листів (імовірно, зловмисника), так і вихідних (імовірно, цілі атаки) за ключовими словами. До недоліків даного методу можна віднести дуже велике навантаження на сервер і неможливість передбачити всі варіанти написання слів. Наприклад, якщо зломщикові стає відомо, що програма реагує на слово «пароль» і слово «вказати», зловмисник може замінити їх на «пассворд» і, відповідно, «ввести». Так само варто брати до уваги можливість написання слів із заміною кириличних літер латиницею для співпадаючих символів (a, c, e, o, p, x, y, A, B, C, E, H, K, M, O, P, T, X) і використання так званого мови t + [невідомий термін]. Засоби, що заважають скористатися отриманою інформацією, можна розділити на ті, які повністю блокують використання даних, де б то не було, крім робочого місця користувача (прив'язка аутентифікаційних даних до серійними номерами та електронним підписам комплектуючих комп'ютера, ip і фізичному адресами), так і ті , які роблять неможливим (або важкореалізованих) автоматичне використання отриманих ресурсів (наприклад, авторизація по системі Captcha, коли в якості пароля потрібно вибрати названу раніше зображення або частину зображення, але в сильно спотвореному вигляді). Як у першому, так і в другому випадку відомий баланс між цінністю необхідної інформації та роботою, необхідної для її отримання, зміщується, взагалі кажучи, в бік роботи, так як частково або повністю блокується можливість автоматизації. Таким чином, навіть маючи всі дані, видані нічого не підозрюють, користувачем, наприклад, з метою масово розіслати рекламне повідомлення (спам), зловмиснику доведеться на етапі кожної ітерації самостійно вводити отримані реквізити.
Відомі люди
Засуджений комп'ютерний злочинець і консультант з безпеки Кевін Митник популяризував термін «соціальна інженерія», вказавши, що для зловмисника набагато простіше хитрістю вивудити інформацію з системи, ніж намагатися зламати її.