Иллюстрированный самоучитель по Secure Web

       

Социальная инженерия


Последний раздел этой главы посвящен методу, наводящему наибольший ужас на тех, кто отвечает за сохранность информации,— социальной инженерии (social engineering). Хотя этот термин прочно закрепился в хакерском жаргоне, обозначая метод убеждения и/или обмана сотрудников какой-либо компании для получения доступа к ее информационным системам, мы считаем его неудачным. Такие приемы обычно применяются в процессе обычного человеческого общения или при других видах взаимодействия. В качестве технических средств обычно выбирается телефон, но попытка наладить общение может быть предпринята и через электронную почту, коммерческие каналы телевидения или другие самые разнообразные способы, позволяющие вызвать нужную реакцию. Успешному взлому с применением социальной инженерии, как правило, предшествуют следующие стандартные подходы.

Необразованный пользователь и "справочный стол"

Однажды авторы, проявив достаточную настойчивость, просмотрели списки контактных данных сотрудников компании, адреса электронной почты и номера телефонов внутренней телефонной сети одной компании. Все это оказалось возможным благодаря обращению к "справочному столу" этой компании.

Сначала мы собрали информацию о сотрудниках этой компании, используя некоторые из методов поиска в открытых источниках (см. главу 1). Очень ценные данные посчастливилось раздобыть у компании-регистратора доменных имен Network Solutions по адресу http://www.networksolutions.com. Здесь были обнаружены данные директора отдела информационных технологий.

Имени этого человека и его телефонного номера, полученных в компании-регистраторе, оказалось вполне достаточно, чтобы приступить к атаке, которую можно назвать "удаленный пользователь, попавший в затруднительное положение". Для прикрытия мы воспользовались следующей легендой: у директора отдела информационных технологий, который пребывает в командировке по делам фирмы, возникли трудности. Ему срочно нужно получить некоторые файлы Power Point для презентации, которая состоится завтра. С помощью такого трюка от служащих "справочного стола" нам удалось узнать версию клиентского программного обеспечения удаленного доступа (которую можно бесплатно получить на Web-узле производителя), ее конфигурационные параметры, бесплатный номер телефона для дозвона на сервер удаленного доступа и учетную запись для регистрации на этом сервере. Установив первоначальный доступ, мы перезвонили несколько часов спустя (выдав себя за того же пользователя!) и объяснили, что забыли пароль почтовой учетной записи. Пароль был восстановлен. Теперь можно было отправлять почту, пользуясь внутренним почтовым ящиком компании.



Затем с использованием нескольких звонков удалось получить доступ к внутренней телефонной сети компании. Код доступа к этой сети дал возможность пользоваться исходящими телефонными звонками в любую точку земного шара за счет компании. Позже было установлено, что сервер удаленного доступа имеет пустой пароль в учетной записи администратора, к которой можно получить доступ с помощью полученного ранее номера бесплатного дозвона. Нет необходимости говорить, что в течение нескольких часов был установлен полный контроль над сетью этой организации (причем большая часть этого времени прошла в ожидании ответных звонков из "справочного стола"). И все это было проделано только с помощью социальной инженерии.

"Справочный стол" и растерянный пользователь

В предыдущем примере было интересно наблюдать за тем, какое гипнотизирующее влияние маска руководителя оказала на стоящих на более низком уровне сотрудников "справочного стола". Однако в некоторых компаниях, где технические знания персонала "справочного стола" дают им возможность получать от сотрудников любую информацию, этот метод можно применить несколько по-другому и добыть сведения от ничего не подозревающих пользователей. Однажды, найдя на одном из Web-узлов список внутренних телефонов компании и представляясь работником отдела внутренней технической поддержки, авторы начали обзванивать сотрудников, выбирая телефоны случайным образом. Таким образом удалось получить информацию об именах пользователей и паролях доступа к внутренним файлам, а также некоторые общие сведения о локатьной сети. Эту информацию предоставляли 25% из тех, кому звонили. Выдавая себя либо за директора отдела информационных технологий, либо за сотрудника группы технической поддержки можно с высокой эффективностью извлекать необходимые данные.

Контрмеры

В этой главе описаны самые разнообразные атаки. Некоторые из них выглядят безграничными в своих проявлениях, и кажется, что их очень трудно предотвратить (например, поиск информации в открытых источниках Internet). Хотя противодействовать всем атакам с применением социальной инженерии почти невозможно, мы постарались все же сформулировать некоторые рекомендации, которые могут оказаться эффективными.



  •  Ограничение утечки данных. Web-узлы, общедоступные базы данных, компании-регистраторы, "желтые страницы" и другие источники информации должны содержать лишь общие сведения, такие как корпоративные номера телефонов и официальные должности вместо имен сотрудников (например, "Администратор зоны" вместо "Джон Смит").


  •  Выработка строгой политики выполнения процедур внутренней и внешней технической поддержки. Перед тем, как получить поддержку, каждый позвонивший должен сообщить свой идентификационный номер служащего или пройти идентификацию в любой другой форме. Сотрудники группы поддержки должны предоставлять помощь в строго определенных рамках и не должны отвечать на вопросы, связанные с используемыми внутренними технологиями. Нужно также определить те непредвиденные ситуации, в которых можно выходить за рамки этих требований.


  •  Проявление особой бдительности в вопросах, касающихся удаленного доступа. Следует помнить, что подобная привилегия повышает производительность работы не только сотрудников фирмы, но и взломщиков. Советы, касающиеся обеспечения безопасности удаленных соединений можно найти в главе 9.


  •  Тщательная настройка как исходящего, гак и входящего трафика брандмауэров и маршрутизаторов. Это поможет предотвратить, например, вовлечение пользователей в процесс совместного использования внешних файлов. Здесь отлично сработает хорошее правило очистки (последним правилом каждого списка управления доступом должен быть полный запрет, т.е. каждому пользователю запрещен доступ к файлам всех остальных)


  •  Безопасное использование электронной почты. Если кто-нибудь сомневается в важности этого правила, ему стоит прочитать главу 16. Следует научиться прослеживать маршрут прохождения почтового сообщения с помощью анализа его заголовка (на Web-узле http://spamcop.net в разделе часто задаваемых вопросов можно найти информацию о настройке почтовых клиентских приложений так, чтобы заголовки отображались полностью).


  •  Повышение уровня образованности сотрудников фирмы в вопросах обеспечения безопасности. Нужно выработать политику безопасности и распространить ее внутри всей организации. Для разработки такой политики в качестве отправной точки прекрасно подойдет документ RFC 2196, The Site Security Handbook. К нему следует добавить также RFC 2504, The Users' Security Handbook, с которым в настоящее время нужно познакомиться всем пользователям Internet. Оба документа можно найти на Web-узле http://www.rfc-editor.org.



  • Содержание раздела