Соціальна інженерія

Останній розділ цього розділу присвячений методу, навідному найбільший жах на тих, хто відповідає за збереження інформації, - соціальній інженерії (social engineering). Хоча цей термін міцно закріпився в хакреському жаргоні, позначаючи метод переконання і/або обману співробітників якої-небудь компанії для діставання доступу до її інформаційних систем, ми вважаємо за його невдалий. Такі прийоми зазвичай застосовуються в процесі звичайного людського спілкування або при інших видах взаємодії. Як технічні засоби зазвичай вибирається телефон, але спроба налагодити спілкування може бути зроблена і через електронну пошту, комерційні канали телебачення або інші найрізноманітніші способи, що дозволяють викликати потрібну реакцію. Успішному злому із застосуванням соціальної інженерії, як правило, передують наступні стандартні підходи.

Неосвічений користувач і "довідковий стіл"

Одного разу автори, проявивши достатню наполегливість, проглянули списки контактних даних співробітників компанії, адреси електронної пошти і номера телефонів внутрішньої телефонної мережі однієї компанії. Все це виявилося можливим завдяки зверненню до "довідкового столу" цієї компанії.
Спочатку ми зібрали інформацію про співробітників цієї компанії, використовуючи деякі з методів пошуку у відкритих джерелах (див. розділ 1). Дуже цінні дані пощастило роздобути у компанії-реєстратора доменних імен Network Solutions за адресою http://www.networksolutions.com. Тут були виявлені дані директори відділу інформаційних технологій.
Імені цієї людини і його телефонного номера, отриманих в компанії-реєстраторові, опинилося цілком достатньо, щоб приступити до атаки, яку можна назвати "видалений користувач, що потрапив в скрутне положення". Для прикриття ми скористалися наступною легендою: у директора відділу інформаційних технологій, який перебуває у відрядженні у справах фірми, виникли труднощі. Йому терміново потрібно отримати деякі файли Power Point для презентації, яка відбудеться завтра. За допомогою такого трюка від службовців "довідкового столу" нам вдалося дізнатися версію клієнтського програмного забезпечення видаленого доступу (яку можна безкоштовно отримати на Web-узле виробника), її конфігураційні параметри, безкоштовний номер телефону для дозвону на сервер видаленого доступу і обліковий запис для реєстрації на цьому сервері. Встановивши первинний доступ, ми передзвонили декілька годин опісля (видавши себе за того ж користувача!) і пояснили, що забули пароль поштового облікового запису. Пароль був відновлений. Тепер можна було відправляти пошту, користуючись внутрішньою поштовою скринькою компанії.
Потім з використанням декількох дзвінків вдалося дістати доступ до внутрішньої телефонної мережі компанії. Код доступу до цієї мережі дав можливість користуватися витікаючими телефонними дзвінками в будь-яку точку земної кулі за рахунок компанії. Пізніше було встановлено, що сервер видаленого доступу має порожній пароль в обліковому записі адміністратора, до якого можна дістати доступ за допомогою отриманого раніше номера безкоштовного дозвону. Немає необхідності говорити, що протягом декількох годинників був встановлений повний контроль над мережею цієї організації (причому велика частина цього часу пройшла в очікуванні у відповідь дзвінків з "довідкового столу"). І все це було виконано тільки за допомогою соціальної інженерії.

"Довідковий стіл" і розгублений користувач

У попередньому прикладі було цікаво спостерігати за тим, який гіпнотизуючий вплив маска керівника зробила на співробітників "довідкового столу, що стоять на нижчому рівні". Проте в деяких компаніях, де технічні знання персоналу "довідкового столу" дають їм можливість отримувати від співробітників будь-яку інформацію, цей метод можна застосувати декілька по-іншому і добути зведення ні від чого непідозрюючих користувачів. Одного разу, знайшовши на одному з Web-узлов список внутрішніх телефонів компанії і представляючись працівником відділу внутрішньої технічної підтримки, автори почали обдзвонювати співробітників, вибираючи телефони випадковим чином. Таким чином вдалося отримати інформацію про імена користувачів і паролі доступу до внутрішніх файлів, а також деякі загальні відомості про локатьной мережу. Цю інформацію надавали 25% з тих, кому дзвонили. Видаючи себе або за директора відділу інформаційних технологій, або за співробітника групи технічної підтримки можна з високою ефективністю витягувати необхідні дані.

Контрзаходи

У цьому розділі описані найрізноманітніші атаки. Деякі з них виглядають безмежними в своїх проявах, і здається, що їм дуже важко запобігти (наприклад, пошук інформації у відкритих джерелах Internet). Хоча протидіяти всім атакам із застосуванням соціальної інженерії майже неможливо, ми постаралися все ж таки сформулювати деякі рекомендації, які можуть виявитися ефективними.

•  Обмеження витоку даних. Web-узлы, загальнодоступні бази даних, компанії-реєстратори, "жовті сторінки" і інші джерела інформації повинні містити лише загальні відомості, такі як корпоративні номери телефонів і офіційні посади замість імен співробітників (наприклад, "Адміністратор зони" замість "Джон Сміт").
•  Вироблення строгої політики виконання процедур внутрішньої і зовнішньої технічної підтримки. Перед тим, як отримати підтримку, той, що кожен подзвонив повинен повідомити свій ідентифікаційний номер службовця або пройти ідентифікацію в будь-якій іншій формі. Співробітники групи підтримки повинні надавати допомогу в строго певних рамках і не повинні відповідати на питання, пов'язані з використовуваними внутрішніми технологіями. Потрібно також визначити ті непередбачені ситуації, в яких можна виходити за рамки цих вимог.
•  Прояв особливої пильності в питаннях, що стосуються видаленого доступу. Слід пам'ятати, що подібний привілей підвищує продуктивність роботи не тільки співробітників фірми, але і зломщиків. Ради, що стосуються забезпечення безпеки видалених з'єднань можна знайти в розділі 9.
•  Ретельне налаштування як витікаючого, гак і вхідного трафіку брандмауерів і маршрутизаторів. Це допоможе запобігти, наприклад, залучення користувачів до процесу сумісного використання зовнішніх файлів. Тут відмінно спрацює хороше правило очищення (останнім правилом кожного списку управління доступом має бути повна заборона, тобто кожному користувачеві заборонений доступ до файлів всіх останніх)
•  Безпечне використання електронної пошти. Якщо хто-небудь сумнівається у важливості цього правила, йому варто прочитати розділ 16. Слід навчитися простежувати маршрут проходження поштового повідомлення за допомогою аналізу його заголовка (на Web-узле http://spamcop.net у розділі питань, що часто ставляться, можна знайти інформацію про налаштування поштових клієнтських застосувань так, щоб заголовки відображалися повністю).
•  Підвищення рівня утвореної співробітників фірми в питаннях забезпечення безпеки . Потрібно виробити політику безпеки і розповсюдити її усередині всієї організації. Для розробки такої політики як відправна крапка чудово підійде документ RFC 2196, The Site Security Handbook. До нього слід додати також RFC 2504, The Users' Security Handbook, з яким в даний час потрібно познайомитися всім користувачам Internet. Обидва документи можна знайти на Web-узле http://www.rfc-editor.org.