National Computer Security Association 10
South Courthouse Ave Carlisle, Pennsylvania 17013 E-mail:
[email protected] Telephone: (717)258-1816 Fax: (717)243-8642
Многие компании тратят
сотни тысяч долларов на
организацию корпоративной
компьютерной безопасности. Эта
безопасность позволяет защищать
секреты компании, помогает
соблюдать федеральные законы, и
обеспечивает конфиденциальность
клиентов компании. К сожалению даже
лучшие механизмы безопасности
могут быть обойдены с помощью
социальной инженерии. Социальная
инженерия использует очень дешевые
и не технологические средства для
того, чтобы преодолеть препятствия,
создаваемые механизмами
информационной безопасности. Эта
статья детально описывает атаку с
помощью социальной инженерии,
выполненную против компании с ее
разрешения. Эта атака позволила
получить критическую для компании
информацию и много паролей
пользователей, дав атакующим
возможность проникнуть в компанию
несмотря на очень хорошие
технические меры информационной
безопасности. Аналогичные
результаты могут быть получены и в
других компаниях. Статья
завершается рекомендациями по
минимизации угрозы социальной
инженерии.
На меры информационной
безопасности и исследования в этой
области тратятся миллионы
долларов. Эти меры предназначены
для предотвращения получения
неавторизованными людьми доступа к
компьютерным системам, а также для
предотвращения получения
авторизованными пользователями
дополнительных привилегий.
Правильные технические меры
безопасности могут эффективно
противостоять почти любой
технической угрозе, исходящей от
постороннего. К сожалению,
большинство серьезных атак не
являются чисто техническими.
Социальная инженерия -
это термин хакеров, связанный с
процессом использования
человеческого общения для
получения информации о
компьютерной системе-цели атаки. Во
многих случаях хакер случайным
образом звонит в компанию и просит
людей сообщить свои пароли. В более
сложных случаях хакер может рыться
в мусоре или представляться
сотрудником службы безопасности
для получения критической
информации. В свежем выпуске
журнала 2600 детально описаны методы
получения места уборщика в
компании. Хотя эти методы могут
показаться простыми и иногда даже
комичными, они очень эффективны.
Социальная инженерия является для
хакеров удобным способом, и во
многих случаях позволяет
осуществить атаки, которые без нее
были бы невозможны. Например, Masters of
Deception, проникавшие в
телекоммуникационные системы в
США, могли делать это только после
исследования содержимого мусорных
ящиков в Нью-Йоркской Телефонной
Компании.
Эта статья не является
описанием одной операции. Для
сохранения конфиденциальности
клиентов была произведена
компиляция нескольких реальных
атак против больших финансовых
организаций. Эти атаки проводились
в ходе полного анализа уязвимых
мест в организации. Хотя
ответственные лица в организации и
были осведомлены об атаках,
основная часть служащих была не в
курсе. Все, описанное здесь,
происходило в большинстве атак.
"Атакующие" должны
были только собрать информацию по
телефону, и им было запрещено ей
пользоваться. Атака была
ограничена четырьмя днями, что
потребовало от атакующих большей
наглости, чем это понадобилось бы в
реальном случае. Реальная атака
социальной инженерии должна
выполняться в течение недель, если
не месяцев. Так как потенциальная
добыча очень велика, реальная атака
может включать несколько
физических визитов в компанию и
возможно даже устройство туда на
работу.
Вначале атакующие
выполнили поиск в билиотеках
Интернета для получения
представления об организации.
Изучение дополнительных баз данных
позволило установить имена
большогоч числа сотрудников
организации и ее руководства. Поиск
в телефонном справочнике дал
телефонный номер офиса компании
поблизости от атакующих. Звонок в
фоис позволил получить копию
ежегодного отчета компании, а также
бесплатный телефонный номер
компании. Для получения этой
информации не потребовалось ничего
объяснять.
Объединив данные
ежегодного отчета с данными,
полученными из Интернета,
атакующие получили имена и
должности многих лиц из
руководства, вместе с информацией о
проектах, над которыми они
работают. Следующим шагом было
получение телефонного справочника
компании, что позволило установить
имена еще ряда сотрудников и
получить полное представление об
организационной структуре
компании.
Используя бесплатный
телефонный номер, был сделан звонок
по основному номеру компании для
контакта с службой рассылки.
Звонивший сказал, что он новый
сотрудник и хочет узнать, какую
информацию требуется указать для
пересылки по почте в США и за
границу. В результате атакующие
узнали, что требуется только два
числа - личный номер сотрудника и
номер торгового центра. Звонок в
отдел графики подтвердил важность
этих двух чисел.
Используя телефонный
справочник, атакующие стали
звонить десяткам служащих в разных
отделах для получения личных
номеров служащих, которые могли
быть применены для последующих
атак. Номера обычно узнавались с
помощью выдавания себя за
сотрудника отдела кадров, который
по ошибке звонил не тому сотруднику
и спрашивал номер для того, чтобы
понять, что он ошибся.
Затем атакующие
определили, что они могут
попытаться получить имена новых
сотрудников, которые скорее всего
наименее осведомлены об угрозах
компании. Используя информацию
первой фазы атаки, были установлены
имена нескольких руководителей
компании. Телефонный справочник
позволил установить имя служащего,
который скорее всего и является
руководителем. На этот момент
времени было установлено, что самым
лучшим методом получения имен
новых служащих будет заявление, что
руководитель хочет сам
познакомиться с новыми служащими
компании. Атакующий будет заявлять,
что выполняет поручение
руководителя, а затем, что
руководитель был расстроен, так как
полученная информация уже
устарела.
Удача сопутствовала им, и
на звонок в отдел по работе с новыми
сотрудниками ответил
автосекретарь. Соощение позволило
установить:1) что отдел переехал, 2)
имя человека, за которым закреплен
телефонный номер и 3) новый
телефонный номер. Имя человека было
важно, так как знание конкретного
имени увеличивает
правдоподобность вопросов
звонившего. Было уже поздно, и это
человек уже ушел. Это позволило
атакующему заметить в разговоре,
что отсутствующий человек обычно
предоставляет информацию.
Атакующий также заявил, что очень
большой начальник был очень
расстроен. Его "пожалуйста"
побудило человека, отвечавшего по
телефону, дать запрошенную
информацию. Были получены имена
всех сотрудников, которые начали
работать в течение этой недели, и
для многих стали известные отделы,
в которых они работают.
Затем было установлено,
что атакующие следует избегать
контакта с сотрудниками отдела
информационных систем, так как они
скорее всего знают о важности
защиты паролей. Атакующие выдавали
себя за сотрудников отдела
информационных систем при звонках
новым сотрудникам и проводили с
ними по телефону краткий
инструктаж по компьютерной
безопасности. В ходе этого
инструктажа атакующий получал
базовую информацию, включая типы
используемых компьютерных систем,
используемые приложения, номер
сотрудника, идентификатор
пользователя и пароль. В одном
случае атакующий предложил новому
сотруднику сменить пароль, так как
он легко угадываем.
Demon Dialer и звонок в
справочную службу отдела
информационных систем дал
телефонные номер модемов компании.
Эти номера дали атакующим
возможность использовать
скомпрометированные
идентификаторы. Получение
информации о модемах позволило
обойти очень сложную систему
брандмауэра и сделать ее
бесполезной. В ходе дальнейших атак
аналогичные методы использовались
для того, чтобы получить свой
собственный идентификатор в
компьютерах компании. После этого
атакующие заставили служащих
компании послать им
коммуникационную математику,
которая организует безопасное
соединение.
Несмотря на сильные меры
защиты, атакующие достигли полного
успеха за короткий преиод времени.
Хотя атака может показаться очень
сложной и ресурсоемкой, она была
проведена менее чем за три дня и
практически ничего не стоила.
Многие их уязвимых мест,
использовавшихся атакующими,
имеются в большинстве компаний.
Работа в направлении устранения
этих уязвимых мест поможет
компаниям защититься от большого
числа приемов социальной
инженерии.
Не полагайтесь на
систему внутренней идентификации
Атакующих иногда просят
аутентифицироваться с помощью
указания их личного номера
сотрудника. К радости атакующих
номера сотрудников часто
используются и могут быть легко
получены от реальных сотрудников. У
атакующего имеется список номеров
сотрудников и он готов к любому
вопросу. Многие компании
полагаются на похожие системы
идентификации. Компаниям следует
иметь отдельный идентификатор для
работ, связанных с поддержкой
работы информационных систем.
Наличие отдельного идентификатора
позволит отделить функции
технического сопровождения от
других функций и обеспечит
дополнительную безопасность как
для работ по техническому
сопровождению, так и для
взаимодействия сотрудников в
организации.
Реализуйте систему
проверки с помощью встречного
звонка, когда сообщаете защищенную
информацию.
От многих атак можно было
бы защититься, если бы служащие
компании проверили личность
звонившего, позвонив по его
телефонному номеру, который указан
в телефонном справочнике компании.
Эта процедура не создаст много
неудобств для повседневной работы,
но эти нудобства будут оправданы в
сопоставлении с возможными
потерями. Если от сотрудников
потребовать делать встречные
звонки любому, кто просит сообщить
персональную или конфиденциальную
информацию, компрометация будет
минимизирована. Использование АОН
также может пригодиться для этой
цели.
Реализация программы
обучения пользователей в области
безопасности
Хотя предоставление
своего пароля постороннему может
показаться глупым для читателей
этой статьи , многие компьютерные
пользователи не увидят в этом
ничего плохого. Компании тратят
миллионы долларов, закупая самое
современное оборудование и
программы, но необходимость
обучать пользователей
игнорируется. Компьютерные
профессионалы должны понимать, что
то, что для них естественно, может
быть неизвестно непрофессионалам.
Хорошая программа обучения
пользователей может быть
реализована с минимальными
затратами и сохранить компании
миллионы долларов.
Назначьте
ответственных за техническую
поддержку
Каждый сотрудник
компании должен быть персонально
знаком с ответственным за
техническую поддержку. Должен быть
один ответственный на 60
пользователей. Они должны быть
единственными людьми, к которым
обращаются пользователи.
Пользователи должны быть
проинструктированы немедленно
связываться с аналитиком, если к
ним обращается кто-то, заявляющий,
что он сотрудник службы
технической поддержки.
Создайте систему
оповещения об угрозах
В ходе атак атакующие
знали, что даже если они были бы
обнаружены, у сотрудника не имелось
бы способов предупредить других
сотрудников об атаках. В
результате, даже если бы произошла
их компрометация в ходе атаки,
атаку можно было продолжать с
минимальными изменениями. По
существу компрометация только
улучшит атаку, так как атакующие
узнают, что не срабатывает.
Социальная инженерия
для проверки политик безопасности
Социальная инженерия
является единственным подходящим
методом для проверки политик
безопасности и их эффективности.
Хотя многие тесты эффективности
безопасности проверяют только
физические и электронные уязвимые
места, лишь немногие анализы
безопасности исследуют
человеческие уязвимые места.
Следует отметить, что только
квалифицированные и надежные люди
должны проводить такие тесты.
Описанная выше атака была
проведена людьми, обучавшимися в
разведывательных школах
Разведывательного Сообщества США,
которые хорошо знакомы с мерами
компьютерной безопасности и
контрмерами.
Самые лучшие технические
механизмы не могут защитить от
атаки. Только использование
механизмов одноразовых паролей
может минимизировать эффект атак
социальной инженерии. Атакующие
используют необразованность
сотрудников в области
безопасности, как в области
информационной безопасности, так и
в области операционной
безопасности. Даже если атакующий
не мог получить компьютерные
пароли, он мог узнать критическую
информацию о человеке и компании.
Атаки социальной
инженерии выявляют уязвимые места
в политиках безопасности и
необразованность, которые не могут
быть обнаружены другими способами.
Вообще атаки социальной инженерии
могут раскрыть аналогичные
проблемы во многих организациях.
Тем не менее, каждая атака будет
выявлять специфические проблемы
исследуемой организации. Поэтому
каждый анализ риска и оценка угроз
должны включать серьезное
исследование в области социальной
инженерии, выполняемое
квалифицированными и доверенными
людьми.
Ответственные за
безопасность должны учитывать
нетехнические аспекты
компьютерной безопасности помимо
технических мер. Чересчур часто
профессионалы в компьютерах
полагают, что базовые принципы
компьютерной безопасности
известны всем. Это опасное
предположение, и очень часто это не
так. Должна иметься полная
программа создания информационной
безопасности, которая должна
включать постоянное обучение в
области безопасности.
Slatalla, M. and J. Quittner (1995), Masters of
Deception: The Gang that Ruled Cyberspace, New York:
HarperCollins, 1995.
Voyager (1994), Janitor Privileges, 2600: The
Hacker's Quarterly, 11(4).