”На свете есть только один способ побудить кого-либо что-то сделать. Задумывались ли вы когда-нибудь над этим? Да, только один способ. И он заключается в том, чтобы заставить другого человека захотеть это сделать. Помните – другого способа нет” – Дейл Карнеги
В любой организации есть уязвимые места. Пускай на компьютерах стоит новейшее программное обеспечение, пуская процесс аутентификации сложен и используются длинные, путанные пароли, пускай за системами следят самые квалифицированные администраторы, но все равное есть уязвимые места. Они есть всегда и заключены никак не в системах, а в людях, которые работают с системами.
Взломщики используют все более оригинальные технологии, но одна и них будет применяться всегда, покуда, работа будет делаться людьми. Человек – существо, умеющее думать, и, пожалуй, от этого все проблемы. Почему я заговорил именно об организациях? Этому каждый день подвергаются миллионы обычных пользователей. Сегодня мы говорим о социальном инжиниринге, о том какую опасность он представляет как для обычных пользователей, так и для организаций. Начнем.
Вступление
Для точного определения приведу цитату из Википедии (http:// ru.wikipedia.org ):
«Социальный инжиниринг – это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным».
Давайте рассмотрим определение из еще одного источника (BugTrag.ru): «Социальная инженерия – термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель – обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону в организацию для выявления тех, кто имеет необходимую информацию, и затем звонок администратору, эмулируя служащего с неотложной проблемой доступа к системе».
Социальный инжиниринг используется очень часто, особенно для проделывания взломщиком «тонкой работы» по краже документов и т.д. Он вышел своими корнями из психологии и теперь развивается как отдельная часть. Ему обучают шпионов, тайных агентов, в общем, всех, чье дело сводится к тайному проникновению и заметанию следов.
Человеческая природа такова, что мы делаем выводы, анализируем, но так ли часто эти выводы являются нашими собственными? Или они нужны такими кому-то другому.
Все самое интересное заключается в том, что человек ничего не замечает. Он до самого последнего момента считает, что он так решил сам.
Тонкая манипуляция сознанием применялась во все времена: даже в древности. Наводящие на средневековую Японию «ночные демоны» или ниндзя весьма активно практиковали эти способности человеческого разума. Наряду с гипнозом и т.д.
Присутствует этот метод и в умениях взломщиков (впрочем, хакеров тоже). Тут, конечно, осложнено все тем, что злоумышленник редко вступает в непосредственный физический контакт с жертвой, что в некотором роде осложняет задачу.
Кроме взломщиков социальным инжинирингом активно пользуются спамеры для того, что бы заставить пользователя приобрести тот или иной товар.
Многие твердят о том, что никому нельзя доверять. Это не так, доверять можно и даже нужно, вот только проверять, а проверка подразумевается довольно сложная. Впрочем, об этом мы поговорим ниже. Пока же давайте определимся с целями злоумышленников.
Цели соц. инжиниринга
Как уже говорилось: цели могут быть самыми разными, но подразумевается один смысл. Этим смыслом и является кража информации. Те, кто использует социальный инжиниринг, претендуют на то, чтобы без лишнего внимания стянуть информацию, как правила сделав копию. Потом же они могут делать все, что угодно, т.е. продавать, перепродавать, шантажировать первичного владельца и т.д. Однако, статистика говорит о том, что так тонко работают в большинстве случаев по заказу конкурирующей организации и т.п.
Способы и атаки
Итак, мы подбираемся к способам атак. Социальная инженерия – не только психологический метод воздействия, непосредственно на человека, так же тут входят и использование особенностей человеческой психологии. Давайте рассмотрим наиболее популярные способы/виды атак.
Human denial of service (HDoS)
Вы заметили, что название очень похоже на DoS. «Человеческий отказ в обслуживании» если перевести. С отказом в обслуживании серверов это не имеет ничего общего. Суть атаки заключается в том, чтобы заставить человека (незаметно для него, естественно) не реагировать на те или иные ситуации. Например, сделать так, чтобы каждое ваше слово воспринималось за правду безоговорочно и не осмысливая.
К такого рода атакам относится и отвлечение внимания. Скажем, вы делаете ложной представление о выполнении одной операции, а на сомом деле выполняете совсем другую. Таким образом, человек-жертва слишком занятый одним просто не замечает другого.
Атаки такого рода выполняются довольно сложно, т.к. необходимо хорошо просчитать психологию жертвы, ее знания и реакции, на такого рода инциденты.
Допустим, отвлекающим маневром служит эмуляция атаки на какой-нибудь порт. Пока администратор будет заниматься логами «атаки», вы можете без проблем проникнуть на сервер и взять все, что необходимо. Но в то же время администратор может отлично знать, что на этом порте уязвимостей нет, и тогда ваше проникновение будет моментально засечено. Именно по этому, необходимо понять: на каком уровне знаний находится администратор.
Техническая соц. инженерия
К этому виду атак относятся все те, в которых нет как таковых «жертвы» и «воздействия на ее». В атаках этого типа используются принципы и стереотипы социума, что и относит их к социальной инженерии.
Как пример можно привести следующие мысли: «Ну, раз камеры стоят, то, скорее всего, никто не полезет» или «Чем больше организация, тем тверже у людей мнение об ее защищенности». Эти стереотипы встречаются везде, большинство считают, что если сайт организации занимающейся безопасностью, то никто не сможет его взломать. Это ведь не так, взломать можно все без исключения.
Такой способ более широко известен как анализ ситуации. Человек, видит, что пройти обычным путем (стандартным) не получится, и он начинает просматривать иные варианты, т.е. занимается анализированием той ситуации, в которую попал.
Звонок…
Подразумевается непосредственный голосовой контакт. Злоумышленник звонит жертве и с помощью правильно построенной речи вводит в заблуждение пользователя. Наиболее гладко это проходит в тех случаях, когда злоумышленнику необходимо представится тем, кого жертва не знает. Достаточно просто завысить свое положение и говорить холодным гневным тоном. Естественно у пользователя сработает механизм «начальство» и он станет учтивым, вежливым и будет готов выложить все, о чем только вы его попросите на блюдце с голубой каемочкой. Наиболее удобно пользователя атакой такого рода в компании с большим штатом, где люди не знают друг друга и охотно поверят.
Все осложняется, когда речь идет о компании средних и малых размеров. Там штат сотрудников не большой и «вклиниться» в него очень и очень трудно. Тогда злоумышленнику необходимо действовать от имени начальника. Что это значит? Объясняю: злоумышленник звонит и говорит, что по просьбе администратора проверяет работоспособность системы безопасности. Просит назвать пароль/имя пользователя и подтверждает нормальную работу системы. Вот так ни о чем не подозревающий пользователь отдает сам необходимую информацию. Другой способ – использование аппарата для изменения голоса. Таким образом, злоумышленник просто напросто имитирует голос того, от чьего имени необходимо сделать операцию.
Личный визуальный контакт
Это является наисложнейшей операцией. Выполнить ее могут только профессиональные психологи или люди специально подготовленные. Осуществляется это следующим образом: необходимо найти к жертве подход, так сказать «ворота». Вычисляется это с помощью анализа его вопросов. Скажем, он очень часто спрашивает один вопрос, но направленный на разные сферы – вот они «ворота». Главное для злоумышленника в таком случае – разговаривать с жертвой в «рамках этих ворот», что в следствии приведет к тому, что жертве очень понравится он как человек и первая выложит все, что необходимо сразу, «за глаза», а сама будет считать, что ничего особо важного не рассказывает.
В этом и есть вся уловка. Но, как я уже говорил, это провернуть сможет далеко не каждый. И если голос можно подделать, то мимику, свет кожи (имеется ввиду изменение цвета, при волнении и т.д.), реакцию зрачков подделать не просто.
Электронная почта
Наиболее распространенный «канал для работы» это электронная почта. E-mail довольно прочно вошел в нашу жизнь и необходим практически каждому, кто пользуется Интернетом.
Для социального инжиниринга почта используется очень активно. И опять же, тут возникают свои сложности при попытках затуманивания разума с использованием ее. Все дело заключается в том, что если злоумышленник собирается слать «ложное письмо» от имени человека с которым жертва знакома, то необходимо очень точно скопировать стиль написания «ложного отправителя». Все проще, когда жертва не знает «отправителя».
Кроме того, необходимо позаботиться и о заголовке письма (header). Это можно сделать, используя стандартный клиент-почтовик. Можно сделать и вручную. Можно, так же, при написании и отправлении письма пользоваться telnet клиентом. Подключение к стандартному 25-ому порту сервера почты позволит это осуществить.
Если исправлять вручную, то заголовок выглядит примерно так, как на рисунке номер один. Последняя строчка, начинающаяся с Received, и является, обычно, адресом отправителя.
Так же можно воспользоваться сервисами, которые затирают заголовки, так называемыми remailers, но это не столь эффективно, как «ручное затирание».
Системы обмена мгновенными сообщениями
вот добрались мы и до icq. По сути своей – это тот же емэл, но только без «архива писем». Программка разработана не так давно, но все активно пользуются ей, несмотря на многочисленные недостатки.
В настоящее время в сети существует множество программ, которые могут тем или иным способом влиять на работу icq. В список их возможностей так же входит и отсылка сообщения от имени другого пользователя.
Так же, злоумышленник может проводить атаку в виде специально сформированного текста. Это немного похоже на телефонный разговор, но имеет одно существенное отличие – отсутствие голосового сопровождения. Общение ведется в текстовом виде.
Подготовка злоумышленника
Как уже говорилось, злоумышленник должен неплохо разбираться в психологии. Разделяю три стадии подготовки такого рода атаки.
• Определение точной цели. Определение местоположения конечной цели;
• Сбор информации об объекте обработки (жертва);
• Разработка плана действий. Моральная подготовка/тренировка.
Давайте рассмотрим каждый из пунктов немного подробнее.
Определение точной цели. Определение местоположения конечной цели
Итак, пожалуй, ключом к проведению любой операции успешно является именно точное знание того, за чем пришли. Сюда входит и место положение. Давайте на секунду вспомним любой из фильмов с ограблениями, все серьезные продуваются, и определяется четко, зачем они осуществляются. Скажем, пришли дядьки грабить банк, а где деньги лежат не знают…вот и бродят по всему зданию в поисках «квартиры, где деньги лежат».
Так же и тут. Злоумышленник сначала пытается четко определить за какого рода информацией он охотится. Если это ясно, то операция производится быстро: путем введения в заблуждение жертвы получатся root и копируется необходимая информация.
Причем, знание точного местоположения информации на диске и позволяет провернуть это очень и очень быстро, а это гарант того, что доступ никто не определит как «несанкционированный». Все будут, что пользователь сделал необходимые операции и все.
Сбор информации об объекте обработки
Это очень важно, пожалуй, важнее, чем все остальное. Ведь, прежде чем писать письмо, звонить и встречаться с жертвой необходимо изучить ее. Это позволит понять характер человека, его уязвимые места, привычки и т.д. Ведь, если при встрече злоумышленник предложит пойти в любимый ресторан объекта, это уже расположит последнего к первому.
В некоторых случаях (когда необходимо подделать стиль письма или общения) злоумышленник изучает и того, за кого собирается себя выдавать. Это естественно затягивает процесс подготовки операции (атаки), но существенно повышает шансы.
Источником же информации об объекте может служить практически все: анализ трафика, почты, даже кассовых чеков (это позволит узнать, какие товары он приобретает, как часто, какую сумму обычно тратит и т.д.). Может злоумышленник и часами наблюдать за объектом, это тоже дает огромную информацию.
К слову, специально подготовленные люди могут свести время, необходимое для получения информации, к минимуму. Например, специальные агенты, которые натренированы на произведение мгновенных расчетов и выводов. Одна лишь деталь может привести к целой цепочке выводов, но это тренированные, большинству приходится сидеть и наблюдать.
Разработка плана действий. Моральная подготовка/тренировка
Вот тут-то и можно увидеть всю красочность социального инжиниринга. Но, не всегда, это потому, что большинство «доморощенных умельцев» просто берут учебник, списывают пример, модифицируют его под совою ситуацию и все.
На самом же деле необходимо просчитывать все слова (взгляды, мимику) в зависимости от объекта, ведь люди разные и реакция на одно и тоже слово у каждого разная. Один человек будет искренне смеяться, когда над ним слегка подшутят, а другой сразу обидится, вот. На данной ступени проводится просто колоссальная работа в области психологи: буквально каждое слово сопоставляется и с психологической моделью изученной жертвы.
Правда, были в истории и люди, которые постоянно импровизировали. Например, Кевин Митник и Роско. Они гордились своим умением. А Роско возвел его в ранг искусства.
Уровень доступа
Естественно, при проведении атаки с использованием социального инжиниринга так же, как и в обычных атаках присутствует классификация степени доступа при успешно проведенной атаке. Эта степень зависит от уровня подготовленности злоумышленника и того, кем является жертва. Например, если вы решили заполучить пароль обычного пользователя, то при его использовании у вас будут пользовательские права, не зависимо от того, как вы подготовлены. И наоборот, если вы плохо подготовлены, то не получите даже пользовательских прав).
Всего уровней четыре, ниже они перечислены в порядке убывания полномочий:
• Администратор;
• Начальник;
• Пользователь;
• Знакомый.
Примеры
Теперь рассмотрим несколько примеров социального инжиниринга разного рода атак и каналов.
«Стоял я как-то перед зданием одной компании. Очень хорошее пятиэтажное здание, отданное полностью под эту компанию, постояв возле входа, я обнаружил, что все кто туда входит, отчитываются вахтеру, куда они и зачем. Понятно, что просто так туда не войти. Обойдя, его я обнаружил две дыры (дыры не такие, какие бывают у OS, а такие, которые бывают в ситуации такой, какая сейчас, я просто провел аналогию). Дыры заключались в следующем: 1) с задней стороны здания нет дверей, поэтому там люди не ходят, но есть лестница на крышу, такая простая лестница, железная, не удобная, немного высоко над землей. И хотя висела видеокамера, которая якобы все снимала, я видел, что она не работает, не горели никакие лампочки и не шли провода. 2) Прямо в притык с этим зданием строили новое здание, выше на четыре этажа, то есть девятиэтажное здание, пустое. И пара окон как раз выходила на крышу этого здания, и хотя на окнах была решетка, я заметил, что другая пара окон, которые на этаж выше без решетки и что высота между ними не большая. На следующую ночь, я вместе с другом забрались через стройку, протащив с собой лестницу и спустив ее со стройки 6-этажа на 5 этаж здания-жертвы. На крыше было: спутниковая антенна, 10 телефонных кабелей, и вроде бы ethernet. Нам тогда кроме телефонных кабелей нечего не надо было, поэтому мы занялись ими. Друг у меня работал в тел. компании, и был хорошим телефонным специалистом, он взял с собой два прибора: первый позволял прослушать, что в линии без подключения, второй – вклинивание в линию, не обрывая ее. В эту ночь все разведали и ушли. На следующую ночь мы разведали первый путь проникновения на крышу: лестницу, как я и предполагал, никто нечего не обнаружил. И на этот раз мы взяли с собой все необходимые приспособления. Вот что мы сделали за эту ночь: поставили 5 диктофонов на линии, чтобы они включались, когда в линии идет сигнал, на остальных линиях мы обнаружили только модемы и, подключившись к этим линиям, мы сделали, так чтобы при звонке на этот телефон запрос передавался на другой телефон (стандартная АТС`ная фича). На всех других телефонах у нас стояли модемы, которые принимали звонки и записывали пароли. Через сутки мы узнали 13 паролей, среди них 2 админовских и куча информации на диктофонах. Обнаружили, что среди тех телефонов присутствует телефон Отдела Кадров, Приемной директора, Серверной (!), Справочной, остальные оказались простыми телефонами сотрудников. За неделю записи данных с первых четырех телефонов нам дали столько информации об этой компании, что хватило бы для того, чтобы разорить их и ограбить легальным путем. А если еще учесть то, что мы обнаружили потом на их серваках через админовские пароли, то этого нам хватило на два месяца просмотра информации».
Это был классический пример технической соц. инженерии. Ниже рассмотрим атаку HDoS:«Он сидел и читал логи сервера под управлением FreeBSD 2.2.8 и не понимал, почему сегодня ночью с 5 хостов одновременно пытались соединиться к порту 7 по протоколу udp. Он знал, что это порт для echo – отображение введенных символов, никаких дыр в этом сервисе он не знал, да и атака не была похоже на DoS – соединение устанавливалось, пересылалась какая-то строка и разрывалось, не занимая никакие сетевые и процессорные ресурсы. Это было похоже на попытку buffer overflow через ECHO. Но он не знал, что в ECHO есть такая дыра и стал упорно изучать исходные тексты свой OS в надежде найти, где там дыра, и сам, тестируя свою систему посылая различные строки, и отлавливая, что ему будут посылать еще в этот порт.
В это же самое время, я сидел и пытался все более его запутать. Я стал посылать строки в finger, в sendmail, в popper, при этом, делал так, чтобы строки были немного разные, для каждой конкретной передачи и очень отличающие для разных служб. Это очень походило на поиск сразу во всех службах строки приводящей к buffer overflow. И все это отображалось в логах у админа, засоряя их по всякому. Я спокойно запустил эти программы посылки строк на 5 машинах, а сам в это время со своей машины ломал его сервер, а так как логи в это время чрезвычайно были пестры о попытках buffer overflow, то мои слабые попытки никак не выдавались в них. Когда у меня была успешная попытка, и я зашел, у него в логах отобразилось, что с внешнего хоста зашли под root`ом, но он этого не видел, он был чрезвычайно занят просмотром исходников».
Отвлечение внимания, вот и все.
Еще несколько примеров разговора:
«Взломщик: Здравствуйте, вы администратор?
Администратор: Да.
В.: Я понимаю, что вы ужасно заняты, извините, что отрываю вас от дел, по я не могу войти в сеть.
А.: (Про себя: ЕПРСТ!!! Поработать не дают!) А что компьютер говорит по этому поводу?
В.: Как это – “говорит”???
А.: (Ха!) Ну, что там написано?
В.: Написано “вронг пассворд”.
А.: (Ну-ну, еще бы…) А-а-а-а… А вы пароль правильно набираете?
В.: Не знаю, я его не совсем помню.
А.: Какое имя пользователя?
В.: anatoly.
А.: Ладно, ставлю вам пароль… мммм… art25. Запомнили? (Если опять не войдет – убью!)
В.: Постараюсь… Спасибо. (Вот дурак-то!)»;
«Хакер: Здравствуйте, вы администратор?
Администратор: Да.
X.: Извините, что отвлекаю. Не могли бы вы мне помочь?
А.: (Ну что еще ему надо?) Да, конечно.
X.: Я не могу в своем каталоге выполнить команду ls.
А.: (Как будто ему это надо!) В каком каталоге?
X.: /home/anatoly.
А.: (Вот ведь глупый юзер!) Сейчас посмотрю. (Заходит в этот каталог и набирает команду ls, которая успешно выполняется и показывает наличие нормальных прав на каталог.)
А.: Все у вас должно работать!
X.: Хммм… Подождите… О! А теперь работает… Странно…
А.: (Рррррр!!!) Да? Хорошо!
X.: Спасибо огромное. Еще раз извиняюсь, что помешал.
А.: (Ну наконец!) Да не за что. (Отстань, противный!) До свидания.».
Последний пример мне очень нравится, не могу обойти вниманием и не прокомментировать. Наверное, мало кто понял в чем заключается подвох, объясняю: в том каталоге лежал не натуральный файл ls, а его модифицированная копия. Естественно, звонил тот, у кого права пользователя (т.к. он только скопировал туда файл). Все знают, что для полного доступа к системе, программа должна быть запущена от имени администратора, что, собсно, и сделал сам администратор?.
Еще один интересный пример:
«Взломщик: Алло, извините, вас беспокоят с телефонной станции. Это номер такой-то?
Жертва: Да.
В.: У нас идет перерегистрация абонентов, не могли бы вы сообщить, на кого у вас зарегистрирован телефон? Имя, фамилию и отчество, пожалуйста.
Ж.: (Говорит информацию.)
В.: Спасибо! Так… секундочку… Хорошо, ничего не изменилось. А место работы?
Ж.: (С некоторым сомнением называет, а если человек очень подозрительный, то спрашивает, зачем.)
В.: Это сведения для новой телефонной книги. По вашему желанию можем внести не одно имя, а всех, кого можно найти по этому телефону.
Ж.: (Тут с радостью называются имена всех членов семьи с их положением в ней, хотя это и не требовалось.)».
Вот, тоже интересная вещь: «Взломщик: Алло, это приемная?
Жертва: Да.
В.: Это администрация сети. Мы сейчас меняли сетевую систему защиты. Необходимо проверить, все ли у вас нормально работает. Как вы обычно регистрируетесь в системе?
Ж.: Ввожу свои имя и пароль.
В.: Хорошо… Так… (Пауза) Какое имя?
Ж.: anna.
В.: Анна… (Пауза) Так… какой у вас раньше был пароль?
Ж.: ienb48.
В.: Та-а-а-ак… Хорошо. Попробуйте сейчас перерегистрироваться.
Ж.: (Пауза) Все нормально. Работает.
В.: Отлично. Спасибо!».
Ну, и все, пожалуй.
Вот так и осуществляются атаки с использованием психологии. На этом все.
Вообще, в моей статье изложена очень маленькая часть всего того, что можно рассказать о социальном инжиниринге и это не понятно, ведь умея манипулировать людьми, да чтобы они об этом не подозревали – это очень сложно (с профессиональной точки зрения) и требует объяснения всех мелочей. Мелочи нам не нужны, пусть этим занимаются психологи и те, кому необходимо.
P.S.: Вся информация предоставленная в рамках данной статьи носит только ознакомительный характер. Автор не несет никакой ответственности за возможное использование ее в злонамеренных целях. Примеры не имеют никакого отношения к дествительности, а просто показывают приемы соц. инжиниринга.