| Социальная инженерия
Последний раздел этой главы посвящен методу, наводящему наибольший ужас на тех,
кто отвечает за сохранность информации,— социальной инженерии (social engineering).
Хотя этот термин прочно закрепился в хакерском жаргоне, обозначая метод убеждения
и/или обмана сотрудников какой-либо компании для получения доступа к ее информационным
системам, мы считаем его неудачным. Такие приемы обычно применяются в процессе
обычного человеческого общения или при других видах взаимодействия. В качестве
технических средств обычно выбирается телефон, но попытка наладить общение может
быть предпринята и через электронную почту, коммерческие каналы телевидения или
другие самые разнообразные способы, позволяющие вызвать нужную реакцию. Успешному
взлому с применением социальной инженерии, как правило, предшествуют следующие
стандартные подходы.
Необразованный
пользователь и "справочный стол"
Однажды авторы, проявив достаточную настойчивость, просмотрели
списки контактных данных сотрудников компании, адреса электронной почты и номера
телефонов внутренней телефонной сети одной компании. Все это оказалось возможным
благодаря обращению к "справочному столу" этой компании.
Сначала
мы собрали информацию о сотрудниках этой компании, используя некоторые из методов
поиска в открытых источниках (см. главу 1). Очень ценные данные посчастливилось
раздобыть у компании-регистратора доменных имен Network Solutions по адресу http://www.networksolutions.com.
Здесь были обнаружены данные директора отдела информационных технологий.
Имени этого человека и его телефонного номера, полученных в компании-регистраторе,
оказалось вполне достаточно, чтобы приступить к атаке, которую можно назвать "удаленный
пользователь, попавший в затруднительное положение". Для прикрытия мы воспользовались
следующей легендой: у директора отдела информационных технологий, который пребывает
в командировке по делам фирмы, возникли трудности. Ему срочно нужно получить некоторые
файлы Power Point для презентации, которая состоится завтра. С помощью такого
трюка от служащих "справочного стола" нам удалось узнать версию клиентского
программного обеспечения удаленного доступа (которую можно бесплатно получить
на Web-узле производителя), ее конфигурационные параметры, бесплатный номер телефона
для дозвона на сервер удаленного доступа и учетную запись для регистрации на этом
сервере. Установив первоначальный доступ, мы перезвонили несколько часов спустя
(выдав себя за того же пользователя!) и объяснили, что забыли пароль почтовой
учетной записи. Пароль был восстановлен. Теперь можно было отправлять почту, пользуясь
внутренним почтовым ящиком компании.
Затем с использованием нескольких звонков
удалось получить доступ к внутренней телефонной сети компании. Код доступа к этой
сети дал возможность пользоваться исходящими телефонными звонками в любую точку
земного шара за счет компании. Позже было установлено, что сервер удаленного доступа
имеет пустой пароль в учетной записи администратора, к которой можно получить
доступ с помощью полученного ранее номера бесплатного дозвона. Нет необходимости
говорить, что в течение нескольких часов был установлен полный контроль над сетью
этой организации (причем большая часть этого времени прошла в ожидании ответных
звонков из "справочного стола"). И все это было проделано только с помощью
социальной инженерии.
"Справочный
стол" и растерянный пользователь
В предыдущем
примере было интересно наблюдать за тем, какое гипнотизирующее влияние маска руководителя
оказала на стоящих на более низком уровне сотрудников "справочного стола".
Однако в некоторых компаниях, где технические знания персонала "справочного
стола" дают им возможность получать от сотрудников любую информацию, этот
метод можно применить несколько по-другому и добыть сведения от ничего не подозревающих
пользователей. Однажды, найдя на одном из Web-узлов список внутренних телефонов
компании и представляясь работником отдела внутренней технической поддержки, авторы
начали обзванивать сотрудников, выбирая телефоны случайным образом. Таким образом
удалось получить информацию об именах пользователей и паролях доступа к внутренним
файлам, а также некоторые общие сведения о локатьной сети. Эту информацию предоставляли
25% из тех, кому звонили. Выдавая себя либо за директора отдела информационных
технологий, либо за сотрудника группы технической поддержки можно с высокой эффективностью
извлекать необходимые данные.
Контрмеры
В этой главе описаны самые разнообразные атаки. Некоторые из
них выглядят безграничными в своих проявлениях, и кажется, что их очень трудно
предотвратить (например, поиск информации в открытых источниках Internet). Хотя
противодействовать всем атакам с применением социальной инженерии почти невозможно,
мы постарались все же сформулировать некоторые рекомендации, которые могут оказаться
эффективными.
- Ограничение утечки данных.
Web-узлы, общедоступные базы данных, компании-регистраторы, "желтые страницы"
и другие источники информации должны содержать лишь общие сведения, такие как
корпоративные номера телефонов и официальные должности вместо имен сотрудников
(например, "Администратор зоны" вместо "Джон Смит").
- Выработка
строгой политики выполнения процедур внутренней и внешней технической поддержки.
Перед тем, как получить поддержку, каждый позвонивший должен сообщить свой идентификационный
номер служащего или пройти идентификацию в любой другой форме. Сотрудники группы
поддержки должны предоставлять помощь в строго определенных рамках и не должны
отвечать на вопросы, связанные с используемыми внутренними технологиями. Нужно
также определить те непредвиденные ситуации, в которых можно выходить за рамки
этих требований.
- Проявление особой бдительности
в вопросах, касающихся удаленного доступа. Следует помнить, что подобная
привилегия повышает производительность работы не только сотрудников фирмы, но
и взломщиков. Советы, касающиеся обеспечения безопасности удаленных соединений
можно найти в главе 9.
- Тщательная настройка
как исходящего, гак и входящего трафика брандмауэров и маршрутизаторов.
Это поможет предотвратить, например, вовлечение пользователей в процесс совместного
использования внешних файлов. Здесь отлично сработает хорошее правило очистки
(последним правилом каждого списка управления доступом должен быть полный запрет,
т.е. каждому пользователю запрещен доступ к файлам всех остальных)
- Безопасное
использование электронной почты. Если кто-нибудь сомневается в важности
этого правила, ему стоит прочитать главу 16. Следует научиться прослеживать маршрут
прохождения почтового сообщения с помощью анализа его заголовка (на Web-узле
http://spamcop.net в разделе часто задаваемых вопросов можно найти информацию
о настройке почтовых клиентских приложений так, чтобы заголовки отображались полностью).
- Повышение
уровня образованности сотрудников фирмы в вопросах обеспечения безопасности.
Нужно выработать политику безопасности и распространить ее внутри всей организации.
Для разработки такой политики в качестве отправной точки прекрасно подойдет документ
RFC 2196, The Site Security Handbook. К нему следует добавить также RFC 2504,
The Users' Security Handbook, с которым в настоящее время нужно познакомиться
всем пользователям Internet. Оба документа можно найти на Web-узле
http://www.rfc-editor.org.
|
