Осторожно: социальная инженерия

Многие уверены, что, установив необходимое аппаратное и программное обеспечение, они смогут обезопасить себя от различного рода хакерских атак и утечек информации. Знакомый по голливудским фильмам образ хакера – взлохмаченный человек с безумным взглядом, сидящий где-то в подвале в окружении свисающих с потолка проводов и с легкостью взламывающий самые защищенные сети и компьютеры в течение нескольких минут.

Интересно, как эти люди поступят, если узнают, что хакер вполне может скрываться под видом простого инженера, пришедшего для планового осмотра офисной техники. Для такого рода хакерской деятельности в западной литературе уже давно используется термин "social engineering" (социальная инженерия). Ее методы построены на прикладной психологии, позволяющей использовать уязвимости не только в аппаратно-программной части, но и человеческое поведение. Как утверждают специалисты, самое главное, чтобы человек, предоставляющий хакеру нужную информацию, думал, что он сам контролирует весь процесс общения и говорит только о том, о чем считает нужным.

Хакер может действовать издалека. Допустим, для начала ему необходимо узнать, каким почтовым сервером для исходящей почты пользуются в интересующей его компании. Это узнать можно и напрямую, но при этом можно также навлечь на себя подозрения. Хакер поступает иначе. Например, отправляет в эту компании свое резюме, указывая все те характеристики, которые требуются компании. В ответ получает письмо с приглашением на собеседование. Из этого письма хакер извлекает некоторую информацию о почтовом сервере. Далее он идет на собеседование и, поскольку устраивается на работу, связанную с информационными технологиями, без опасения быть раскрытым узнает всю интересующую его информацию: о конфигурации локальной сети, настройках и параметрах сервера, группе администраторов. Знание имен администраторов вполне может пригодиться потом при организации атак для раскрытия их учетных записей.

Возникает вопрос, почему служащие компании так легко делятся информацией с хакером? Да потому, что они были уверены, будто процесс общения был инициирован ими, и они сами вели его в нужном русле.

Вернемся к примеру, описанному в самом начале. Как могло случиться, что хакер узнал марку используемой офисной техники и под видом сервисного инженера проник в здание? Вот какой телефонный диалог мог произойти незадолго до этого в офисе компании:

Администратор: "Здравствуйте, компания ...!"

Хакер: "Меня зовут ..., я звоню насчет вашего копировального аппарата. Заканчивается срок его технической поддержки, будете ли вы его продлевать?"

Администратор: "Ну, я этими вещами не занимаюсь, но я вас сейчас соединю с нашей технической службой".

Хакер: "Отлично! Да, кстати, какой именно копировальный аппарат вы используете? Мне необходимо обновить свою базу данных и внести туда номер модели".

Администратор: "У нас ..."

Хакер: "А, спасибо, есть такая модель. Она у нас была по ошибке записана в... офисе" (список офисов можно посмотреть, например, на интернет-сайте компании).

Вот и все. Вполне достаточно для того, чтобы через пару дней в компанию пришел бы человек в фирменной футболке производителя копировальных аппаратов, якобы, для проверки техники перед продлением срока технической поддержки.

Основной способ защиты от социальной инженерии – это образование. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения. Для этого можно организовывать специальные курсы и семинары, а также периодические рассылки по электронной почте.

Кроме того, сотрудники компании должны иметь четкие инструкции о том, как и на какие темы говорить с собеседником, какую информацию для точного определения собеседника необходимо получить.

Во многих компаниях существуют правила, с которыми люди знакомятся еще при приеме на работу и обязуются их выполнять. Вот некоторые из них:

1. Все пользовательские пароли являются собственностью компании. Всем сотрудникам в день приема на работу должно быть разъяснено, что пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах.

Как все это может быть использовано в социальной инженерии? Допустим, пароль на интернет-сайте стал известен злоумышленникам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании. Нет никаких гарантий, что на сайтах, где регистрируется тот или иной сотрудник, соблюдается необходимый уровень безопасности. Так что потенциальная угроза всегда существует.

2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями. Возможно, при посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для выяснения, с какой целью посетитель здесь оказался.

3. В крупных компаниях сотрудники могут не знать друг друга, поэтому хакер может запросто прикинуться сотрудником, которому требуется помощь. Одним из возможных вариантов решения проблемы раскрытия информации может быть такой: все вопросы об используемых системах, учетных записях и внутренних процессах должны отсылаться к специальной внутренней службе компании, которая и принимает решение по всем этим вопросам. Список вопросов, входящих в компетенцию такой службы, разумеется, должен быть четко сформулирован и доведен до всех сотрудников.

Ну, и не стоит забывать совет, хорошо знакомый со времен СССР: "Будьте бдительны!"