ликбез по социальному инжинирингу
На свете есть только один способ побудить кого-либо что-то сделать. Задумывались ли вы когда-нибудь над этим? Да, только один способ. И он заключается в том, чтобы заставить другого человека захотеть это сделать. Помните — другого способа нет.
Дейл Карнеги
В любой организации есть уязвимые места. Пускай на компьютерах стоит новейшее программное обеспечение, пускай процесс аутентификации сложен и используются длинные, путаные пароли, пускай за системами следят самые квалифицированные администраторы — все равно есть уязвимые места. Они есть всегда и заключаются никак не в системах, а в людях, которые работают с системами. Взломщики используют все более оригинальные технологии, но одна из них будет применяться всегда, пока работа будет делаться людьми. Человек — существо, умеющее думать, и, пожалуй, от этого все проблемы. Почему я заговорил именно об организациях? Этому каждый день подвергаются миллионы обычных пользователей. Сегодня мы говорим о социальном инжиниринге, о том, какую опасность он представляет как для обычных пользователей, так и для организаций. Начнем.
вступление
Для точного определения приведу цитату из Википедии ( сайт «Социальный инжиниринг — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным». А теперь давайте рассмотрим определение из еще одного источника (BugTrag.ru): «Социальная инженерия — термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель — обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону в организацию для выявления тех, кто имеет необходимую информацию, и затем звонок администратору, эмулируя служащего с неотложной проблемой доступа к системе». Социальный инжиниринг используется очень часто, особенно для проделывания взломщиком «тонкой работы» по краже документов и т.д. Он вышел своими корнями из психологии и теперь развивается как отдельная часть. Ему обучают шпионов, тайных агентов — в общем, всех, чье дело сводится к тайному проникновению и заметанию следов. Человеческая природа такова, что мы делаем выводы, анализируем, но так ли часто эти выводы являются нашими собственными? Или они нужны такими кому-то другому? Все самое интересное заключается в том, что человек ничего не замечает. Он до самого последнего момента считает, что он так решил сам. Тонкая манипуляция сознанием применялась во все времена: даже в древности. Наводящие на мысль о средневековой Японии «ночные демоны», или ниндзя, весьма активно практиковали эти способности человеческого разума наряду с гипнозом и т.д. Присутствует этот метод и в умениях взломщиков (впрочем, хакеров тоже). Тут, конечно, осложнено все тем, что злоумышленник редко вступает в непосредственный физический контакт с жертвой, что в некотором роде осложняет задачу. Кроме взломщиков, социальным инжинирингом активно пользуются спамеры для того, что бы заставить пользователя приобрести тот или иной товар.
Многие твердят о том, что никому нельзя доверять. Это не так: доверять можно и даже нужно, вот только проверять, а проверка подразумевается довольно сложная. Впрочем, об этом мы поговорим ниже. Пока же давайте определимся с целями злоумышленников.
цели социнжиниринга
Как уже говорилось, цели могут быть самыми разными, но подразумевается один смысл. Этим смыслом и является кража информации. Те, кто использует социальный инжиниринг, претендуют на то, чтобы без лишнего внимания стянуть информацию, как правило, сделав копию. Потом же они могут делать все, что угодно, т.е. продавать, перепродавать, шантажировать первичного владельца и т.д. Однако статистика говорит о том, что так тонко работают в большинстве случаев по заказу конкурирующей организации и т.п.
способы и атаки
Итак, мы подбираемся к способам атак. Социальная инженерия — не только психологический метод воздействия непосредственно на человека, сюда же входит и использование особенностей человеческой психологии. Давайте рассмотрим наиболее популярные способы/виды атак.
human denial of service (HDoS)
Вы заметили, что название очень похоже на DoS. «Человеческий отказ в обслуживании», если перевести. С отказом в обслуживании серверов это не имеет ничего общего. Суть атаки заключается в том, чтобы заставить человека (незаметно для него, естественно) не реагировать на те или иные ситуации. Например, сделать так, чтобы каждое ваше слово воспринималось за правду безоговорочно и без осмысливания. К такого рода атакам относится и отвлечение внимания. Скажем, вы делаете ложное представление о выполнении одной операции, а на самом деле выполняете совсем другую. Таким образом человек-жертва, слишком занятый одним, просто не замечает другого. Атаки такого рода выполняются довольно сложно, т.к. необходимо хорошо просчитать психологию жертвы, ее знания и реакции на такого рода инциденты. Допустим, отвлекающим маневром служит эмуляция атаки на какой- нибудь порт. Пока администратор будет заниматься логами «атаки», вы можете без проблем проникнуть на сервер и взять все, что необходимо. Но в то же время администратор может отлично знать, что на этом порте уязвимостей нет, и тогда ваше проникновение будет моментально засечено. Именно поэтому необходимо понять: каким уровнем знаний обладает администратор?
техническая социнженерия
К этому виду атак относятся все те, в которых нет как таковых «жертвы» и «воздействия на нее». В атаках этого типа используются принципы и стереотипы социума, что и относит их к социальной инженерии. В качестве примера можно привести следующие рассуждения: «Ну, раз камеры стоят, то, скорее всего, никто не полезет» или «Чем больше организация, тем тверже у людей мнение о ее защищенности». Эти стереотипы встречаются везде — большинство считает, что, если это, скажем, сайт организации, занимающейся безопасностью, то никто не сможет его взломать. Это ведь не так: взломать можно все без исключения. Такой способ более широко известен как анализ ситуации. Человек видит, что пройти обычным путем (стандартным) не получится, и начинает просматривать иные варианты, т.е. занимается анализированием ситуации, в которую попал.
звонок...
Подразумевается непосредственный голосовой контакт. Злоумышленник звонит жертве и с помощью правильно построенной речи вводит пользователя в заблуждение. Наиболее гладко это проходит в тех случаях, когда злоумышленнику необходимо представиться тем, кого жертва не знает. Достаточно просто завысить свое положение и говорить холодным гневным тоном. Естественно, у пользователя сработает механизм «начальство», и он станет учтивым, вежливым и будет готов выложить все, о чем вы его ни попросите. Наиболее удобно использовать атаку такого рода в компании с большим штатом, где люди не знают друг друга и охотно поверят. Все осложняется, когда речь идет о компании средних и малых размеров. Там штат сотрудников небольшой, и «вклиниться» в него очень и очень трудно. Тогда злоумышленнику необходимо действовать от имени начальника. Что это значит? Объясняю: злоумышленник звонит и говорит, что по просьбе администратора проверяет работоспособность системы безопасности. Просит назвать пароль/имя пользователя и подтверждает нормальную работу системы. Вот так ни о чем не подозревающий пользователь отдает сам необходимую информацию. Другой способ — использование аппарата для изменения голоса. Таким образом злоумышленник просто-напросто имитирует голос того, от чьего имени необходимо сделать операцию.
личный визуальный контакт
Это является наисложнейшей операцией. Выполнить ее могут только профессиональные психологи или специально подготовленные люди.
Осуществляется это следующим образом: необходимо найти к жертве подход — так сказать, «ворота». Вычисляется это с помощью анализа его вопросов. Скажем, он очень часто задает один и тот же вопрос, но направленный на разные сферы — вот они, «ворота». Главное для злоумышленника в таком случае — разговаривать с жертвой «в рамках этих ворот», что впоследствии приведет к тому, что он очень понравится жертве как человек, и та выложит все, что необходимо, сразу, «за глаза», считая при этом, что ничего особо важного не рассказывает. В этом и есть вся уловка. Но, как я уже говорил, провернуть это сможет далеко не каждый. И если голос можно подделать, то мимику, цвет кожи (имеется в виду изменение цвета при волнении и т.д.), реакцию зрачков подделать непросто.
электронная почта
Наиболее распространенный «канал для работы» — электронная почта. E-mail довольно прочно вошел в нашу жизнь и необходим практически каждому, кто пользуется Интернетом. Для социального инжиниринга почта используется очень активно. И, опять же, тут возникают свои сложности при попытках затуманивания разума с ее использованием. Все дело в том, что, если злоумышленник собирается слать «ложное письмо» от имени человека, с которым жертва знакома, необходимо очень точно скопировать стиль написания «ложного отправителя». Все проще, когда жертва не знает «отправителя». Кроме того, необходимо позаботиться и о заголовке письма (header). Это можно сделать, используя стандартный клиент-почтовик. Можно сделать и вручную. Можно, также при написании и отправлении письма пользоваться telnet-клиентом. Подключение к стандартному 25-му порту сервера почты позволит это осуществить. Если исправлять вручную, то заголовок выглядит примерно так, как на рисунке номер один. Последняя строчка, начинающаяся с Received, и является обычно адресом отправителя. Также можно воспользоваться сервисами, которые затирают заголовки так называемыми remailers, но это не столь эффективно, как «ручное затирание».
системы обмена мгновенными сообщениями
Вот добрались мы и до ICQ и т.п. По сути своей это тот же e-mail, но только без «архива писем». Обмен мгновенными сообщениями – относительно недавняя (в сравнении со временем существования глобальных сетей) разработка, но все активно пользуются ею, несмотря на многочисленные недостатки. В настоящее время в Сети существует множество программ, которые могут тем или иным способом влиять на работу таких систем. В список их возможностей также входит и отсылка сообщения от имени другого пользователя. Также злоумышленник может проводить атаку в виде специально сформированного текста. Это немного похоже на телефонный разговор, но имеет одно существенное отличие — отсутствие голосового сопровождения. Общение ведется в текстовом виде.
подготовка злоумышленника
Как уже говорилось, злоумышленник должен неплохо разбираться в психологии. Разделяют три стадии подготовки такого рода атаки:
- определение точной цели. Определение местоположения конечной цели;
- сбор информации об объекте обработки (жертва);
- разработка плана действий, моральная подготовка/тренировка;
Давайте рассмотрим каждый из пунктов немного подробнее.
определение точной цели и ее местоположения
Итак, пожалуй, ключом к успешному проведению любой операции является именно точное знание того, за чем пришли. Сюда входит и местоположение. Давайте на секунду вспомним любой из фильмов с ограблениями — все серьезные варианты продумываются, и определяется четко, зачем они осуществляются. Скажем, пришли дядьки грабить банк, а где деньги лежат, не знают — вот и бродят по всему зданию в поисках «квартиры, где деньги лежат». Так же и тут. Злоумышленник сначала пытается четко определить, за какого рода информацией он охотится. Если это ясно, то операция производится быстро: путем введения в заблуждение жертвы получается root и копируется необходимая информация. Причем знание точного местоположения информации на диске и позволяет провернуть это очень и очень быстро, а это — гарант того, что доступ никто не определит как «несанкционированный». Все будут думать, что пользователь сделал необходимые операции, и все.
сбор информации об объекте обработки
Это очень важно — пожалуй, важнее, чем все остальное. Ведь прежде, чем писать письмо, звонить и встречаться с жертвой, необходимо изучить ее. Это позволит понять характер человека, его уязвимые места, привычки и т. д. Ведь если при встрече злоумышленник предложит пойти в любимый ресторан объекта, это уже расположит того к нему. В некоторых случаях (когда необходимо подделать стиль письма или общения) злоумышленник изучает и того, за кого собирается себя выдавать. Это, естественно, затягивает процесс подготовки операции (атаки), но существенно повышает шансы. Источником же информации об объекте может служить практически все: анализ трафика, почты, даже кассовых чеков (это позволит узнать, какие товары он приобретает, как часто, какую сумму обычно тратит и т. д.). Злоумышленник может и часами наблюдать за объектом — это тоже дает огромную информацию. К слову, специально подготовленные люди могут свести время, необходимое для получения информации, к минимуму. Например, специальные агенты, которые натренированы в произведении мгновенных расчетов и выводов. Одна лишь деталь может привести к целой цепочке выводов, но это тренированные — большинству приходится сидеть и наблюдать:).
разработка плана действий, моральная подготовка/тренировка
Вот тут-то и можно увидеть всю красочность социального инжиниринга. Но не всегда — это потому, что большинство «доморощенных умельцев» просто берут учебник, списывают пример, модифицируют его под свою ситуацию, и все. На самом же деле необходимо просчитывать все слова (взгляды, мимику) в зависимости от объекта, ведь люди разные, и реакция на одно и то же слово у каждого разная. Один человек будет искренне смеяться, если над ним слегка подшутить, а другой сразу обидится, вот. На данной ступени проводится просто колоссальная работа в области психологии: буквально каждое слово сопоставляется и с психологической моделью изученной жертвы. Правда, были в истории и люди, которые постоянно импровизировали. Например, Кевин Митник и Роско. Они гордились своим умением. А Роско возвел его в ранг искусства.
уровень доступа
Естественно, при проведении атаки с использованием социального инжиниринга так же, как и в обычных атаках, присутствует классификация степени доступа при успешно проведенной атаке. Эта степень зависит от уровня подготовленности злоумышленника и того, кем является жертва. Например, если вы решили заполучить пароль обычного пользователя, то при его использовании у вас будут пользовательские права независимо от того, как вы подготовлены. И, наоборот, если вы плохо подготовлены, то не получите даже пользовательских прав).
примеры
Теперь рассмотрим несколько примеров социального инжиниринга разного рода атак и каналов.
«Стоял я как-то перед зданием одной компании. Очень хорошее пятиэтажное здание, отданное полностью под эту компанию. Постояв возле входа, я обнаружил, что все, кто туда входит, отчитываются вахтеру, куда они и зачем. Понятно, что просто так туда не войти. Обойдя его, я обнаружил две дыры (дыры не такие, какие бывают у OS, а такие, которые бывают в ситуации — такой, какая сейчас, — я просто провел аналогию). Дыры заключались в следующем: 1. С задней стороны здания нет дверей, поэтому там люди не ходят, но есть лестница на крышу — такая простая лестница, железная, неудобная, немного высоко над землей. И хотя висела видеокамера, которая якобы все снимала, я видел, что она не работает — не горели никакие лампочки и не шли провода. 2. Прямо впритык к этому зданию строили новое здание, выше на четыре этажа, то есть девятиэтажное, пустое. И пара окон как раз выходила на крышу этого здания, и, хотя на окнах была решетка, я заметил, что другая пара окон, которые на этаж выше, без решетки, и высота между ними небольшая. На следующую ночь я вместе с другом забрался через стройку, протащив с собой лестницу и спустив ее со стройки 6 этажа на 5 этаж здания-жертвы. На крыше было: спутниковая антенна, 10 телефонных кабелей и вроде бы Ethernet. Нам тогда, кроме телефонных кабелей, ничего не надо было, поэтому мы занялись ими. Друг у меня работал в тел. компании и был хорошим телефонным специалистом. Он взял с собой два прибора: первый позволял прослушать, что в линии без подключения, второй — вклиниваться в линию, не обрывая ее. В эту ночь все разведали и ушли. На следующую ночь мы разведали первый путь проникновения на крышу — лестницу. Как я и предполагал, никто нечего не обнаружил. И на этот раз мы взяли с собой все необходимые приспособления. Вот что мы сделали за эту ночь: поставили 5 диктофонов на линии, чтобы они включались, когда в линии идет сигнал, на остальных линиях мы обнаружили только модемы и, подключившись к этим линиям, сделали так, чтобы при звонке на этот телефон запрос передавался на другой телефон (стандартная АТСная фича). На всех других телефонах у нас стояли модемы, которые принимали звонки и записывали пароли. Через сутки мы узнали 13 паролей, среди них — 2 админовских, и кучу информации на диктофонах. Обнаружили, что среди тех телефонов присутствует телефон отдела кадров, приемной директора, серверной, справочной — остальные оказались простыми телефонами сотрудников. За неделю записи данных с первых четырех телефонов нам дали столько информации об этой компании, что хватило бы для того, чтобы разорить их и ограбить легальным путем. А если еще учесть то, что мы обнаружили потом на их серваках через админовские пароли, то этого нам хватило на два месяца просмотра информации».
Это был классический пример технической социнженерии. Ниже рассмотрим атаку HDoS: «Он сидел и читал логи сервера под управлением FreeBSD 2.2.8 и не понимал, почему сегодня ночью с 5 хостов одновременно пытались присоединиться к порту 7 по протоколу udp. Он знал, что это порт для echo- отображения введенных символов, никаких дыр в этом сервисе он не знал, да и атака не была похожа на DoS — соединение устанавливалось, пересылалась какая-то строка и разрывалось, не занимая никаких сетевых и процессорных ресурсов. Это было похоже на попытку buffer overflow через ECHO. Но он не знал, что в ECHO есть такая дыра, и стал упорно изучать исходные тексты своей OS в надежде найти, где там дыра, и сам тестировал свою систему, посылая различные строки и отлавливая, что ему будут посылать еще в этот порт.
В это же самое время я сидел и пытался все более его запутать. Я стал посылать строки в finger, в sendmail, в popper, при этом делая так, чтобы строки были немного разные для каждой конкретной передачи и очень отличающиеся для разных служб. Это очень походило на поиск сразу во всех службах строки, приводящей к buffer overflow. И все это отображалось в логах у админа, засоряя их по-всякому. Я спокойно запустил эти программы посылки строк на 5 машинах, а сам в это время со своей машины ломал его сервер, а, так как логи в это время чрезвычайно пестрели попытками buffer overflow, то мои слабые попытки в них никак не выдавались. Когда у меня была успешная попытка, и я зашел, у него в логах отобразилось, что с внешнего хоста зашли под root`ом, но он этого не видел — он был чрезвычайно занят просмотром исходников».
Отвлечение внимания — вот и все. Еще несколько примеров разговора:
«Взломщик: Здравствуйте, вы администратор?
Администратор: Да.
В.: Я понимаю, что вы ужасно заняты, извините, что отрываю вас от дел, но я не могу войти в сеть.
А.: (Про себя: ЕПРСТ!!! Поработать не дают!) А что компьютер говорит по этому поводу?
В.: Как это — "говорит"???
А.: (Ха!) Ну, что там написано?
В.: Написано "вронг пассворд".
А.: (Ну-ну, еще бы...) А-а-а-а... А вы пароль правильно набираете?
В.: Не знаю, я его не совсем помню.
А.: Какое имя пользователя?
В.: anatoly.
А.: Ладно, ставлю вам пароль... мммм... art25. Запомнили? (Если опять не войдет — убью!)
В.: Постараюсь... Спасибо. (Вот дурак-то!)»
***
«Хакер: Здравствуйте, вы администратор?
Администратор: Да.
X.: Извините, что отвлекаю. Не могли бы вы мне помочь?
А.: (Ну что еще ему надо?) Да, конечно.
X.: Я не могу в своем каталоге выполнить команду ls.
А.: (Как будто ему это надо!) В каком каталоге?
X.: /home/anatoly.
А.: (Вот ведь глупый юзер!) Сейчас посмотрю. (Заходит в этот каталог и набирает команду ls, которая успешно выполняется и показывает наличие нормальных прав на каталог.)
А.: Все у вас должно работать!
X.: Хммм... Подождите... О! А теперь работает... Странно...
А.: (Рррррр!!!) Да? Хорошо!
X.: Спасибо огромное. Еще раз извиняюсь, что помешал.
А.: (Ну наконец!) Да не за что. (Отстань, противный!) До свидания.»
Последний пример мне очень нравится — не могу обойти вниманием и не прокомментировать. Наверное, не все поняли, в чем заключается подвох. Объясняю: в том каталоге лежала модифицированная копия утилиты ls. Естественно, звонил тот, у кого были права пользователя (так как он мог скопировать туда файл). Все знают, что для полного доступа к системе программа должна быть запущена от имени администратора, что, собсно, и сделал сам администратор :)
***
Еще один интересный пример:
«Взломщик: Алло, извините, вас беспокоят с телефонной станции.
Это номер такой-то?
Жертва: Да.
В.: У нас идет перерегистрация абонентов, не могли бы вы сообщить, на кого у вас зарегистрирован телефон? Имя, фамилию и отчество, пожалуйста. Ж.: (Говорит информацию.)
В.: Спасибо! Так... секундочку... Хорошо, ничего не изменилось. А место работы?
Ж.: (С некоторым сомнением называет, а если человек очень подозрительный, то спрашивает, зачем.)
В.: Это сведения для новой телефонной книги. По вашему желанию можем внести не одно имя, а всех, кого можно найти по этому телефону. Ж.: (Тут с радостью называются имена всех членов семьи с их положением в ней, хотя этого и не требовалось.)»
***
Вот тоже интересная вещь:
«Взломщик: Алло, это приемная?
Жертва: Да.
В.: Это администрация сети. Мы сейчас меняли сетевую систему защиты. Необходимо проверить, все ли у вас нормально работает. Как вы обычно регистрируетесь в системе?
Ж.: Ввожу свои имя и пароль.
В.: Хорошо... Так... (Пауза) Какое имя?
Ж.: anna.
В.: Анна... (Пауза) Так... какой у вас раньше был пароль?
Ж.: ienb48.
В.: Та-а-а-ак... Хорошо. Попробуйте сейчас перерегистрироваться.
Ж.: (Пауза) Все нормально. Работает.
В.: Отлично. Спасибо!».
Вот так и осуществляются атаки с использованием психологии. На этом все. Вообще в моей статье изложена очень маленькая часть всего того, что можно рассказать о социальном инжиниринге и это понятно, ведь умение манипулировать людьми, да чтобы они об этом не подозревали — это очень сложно (с профессиональной точки зрения) и требует объяснения всех мелочей. Мелочи нам не нужны — пусть этим занимаются психологи и те, кому необходимо.
P.S.: Вся информация, предоставленная в рамках данной статьи, носит только ознакомительный характер. Автор не несет никакой ответственности за ее возможное использование в злонамеренных целях.
Евгений Кучук, руководитель SASecurity gr
Дейл Карнеги
В любой организации есть уязвимые места. Пускай на компьютерах стоит новейшее программное обеспечение, пускай процесс аутентификации сложен и используются длинные, путаные пароли, пускай за системами следят самые квалифицированные администраторы — все равно есть уязвимые места. Они есть всегда и заключаются никак не в системах, а в людях, которые работают с системами. Взломщики используют все более оригинальные технологии, но одна из них будет применяться всегда, пока работа будет делаться людьми. Человек — существо, умеющее думать, и, пожалуй, от этого все проблемы. Почему я заговорил именно об организациях? Этому каждый день подвергаются миллионы обычных пользователей. Сегодня мы говорим о социальном инжиниринге, о том, какую опасность он представляет как для обычных пользователей, так и для организаций. Начнем.
вступление
Для точного определения приведу цитату из Википедии ( сайт «Социальный инжиниринг — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным». А теперь давайте рассмотрим определение из еще одного источника (BugTrag.ru): «Социальная инженерия — термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель — обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону в организацию для выявления тех, кто имеет необходимую информацию, и затем звонок администратору, эмулируя служащего с неотложной проблемой доступа к системе». Социальный инжиниринг используется очень часто, особенно для проделывания взломщиком «тонкой работы» по краже документов и т.д. Он вышел своими корнями из психологии и теперь развивается как отдельная часть. Ему обучают шпионов, тайных агентов — в общем, всех, чье дело сводится к тайному проникновению и заметанию следов. Человеческая природа такова, что мы делаем выводы, анализируем, но так ли часто эти выводы являются нашими собственными? Или они нужны такими кому-то другому? Все самое интересное заключается в том, что человек ничего не замечает. Он до самого последнего момента считает, что он так решил сам. Тонкая манипуляция сознанием применялась во все времена: даже в древности. Наводящие на мысль о средневековой Японии «ночные демоны», или ниндзя, весьма активно практиковали эти способности человеческого разума наряду с гипнозом и т.д. Присутствует этот метод и в умениях взломщиков (впрочем, хакеров тоже). Тут, конечно, осложнено все тем, что злоумышленник редко вступает в непосредственный физический контакт с жертвой, что в некотором роде осложняет задачу. Кроме взломщиков, социальным инжинирингом активно пользуются спамеры для того, что бы заставить пользователя приобрести тот или иной товар.
Многие твердят о том, что никому нельзя доверять. Это не так: доверять можно и даже нужно, вот только проверять, а проверка подразумевается довольно сложная. Впрочем, об этом мы поговорим ниже. Пока же давайте определимся с целями злоумышленников.
цели социнжиниринга
Как уже говорилось, цели могут быть самыми разными, но подразумевается один смысл. Этим смыслом и является кража информации. Те, кто использует социальный инжиниринг, претендуют на то, чтобы без лишнего внимания стянуть информацию, как правило, сделав копию. Потом же они могут делать все, что угодно, т.е. продавать, перепродавать, шантажировать первичного владельца и т.д. Однако статистика говорит о том, что так тонко работают в большинстве случаев по заказу конкурирующей организации и т.п.
способы и атаки
Итак, мы подбираемся к способам атак. Социальная инженерия — не только психологический метод воздействия непосредственно на человека, сюда же входит и использование особенностей человеческой психологии. Давайте рассмотрим наиболее популярные способы/виды атак.
human denial of service (HDoS)
Вы заметили, что название очень похоже на DoS. «Человеческий отказ в обслуживании», если перевести. С отказом в обслуживании серверов это не имеет ничего общего. Суть атаки заключается в том, чтобы заставить человека (незаметно для него, естественно) не реагировать на те или иные ситуации. Например, сделать так, чтобы каждое ваше слово воспринималось за правду безоговорочно и без осмысливания. К такого рода атакам относится и отвлечение внимания. Скажем, вы делаете ложное представление о выполнении одной операции, а на самом деле выполняете совсем другую. Таким образом человек-жертва, слишком занятый одним, просто не замечает другого. Атаки такого рода выполняются довольно сложно, т.к. необходимо хорошо просчитать психологию жертвы, ее знания и реакции на такого рода инциденты. Допустим, отвлекающим маневром служит эмуляция атаки на какой- нибудь порт. Пока администратор будет заниматься логами «атаки», вы можете без проблем проникнуть на сервер и взять все, что необходимо. Но в то же время администратор может отлично знать, что на этом порте уязвимостей нет, и тогда ваше проникновение будет моментально засечено. Именно поэтому необходимо понять: каким уровнем знаний обладает администратор?
техническая социнженерия
К этому виду атак относятся все те, в которых нет как таковых «жертвы» и «воздействия на нее». В атаках этого типа используются принципы и стереотипы социума, что и относит их к социальной инженерии. В качестве примера можно привести следующие рассуждения: «Ну, раз камеры стоят, то, скорее всего, никто не полезет» или «Чем больше организация, тем тверже у людей мнение о ее защищенности». Эти стереотипы встречаются везде — большинство считает, что, если это, скажем, сайт организации, занимающейся безопасностью, то никто не сможет его взломать. Это ведь не так: взломать можно все без исключения. Такой способ более широко известен как анализ ситуации. Человек видит, что пройти обычным путем (стандартным) не получится, и начинает просматривать иные варианты, т.е. занимается анализированием ситуации, в которую попал.
звонок...
Подразумевается непосредственный голосовой контакт. Злоумышленник звонит жертве и с помощью правильно построенной речи вводит пользователя в заблуждение. Наиболее гладко это проходит в тех случаях, когда злоумышленнику необходимо представиться тем, кого жертва не знает. Достаточно просто завысить свое положение и говорить холодным гневным тоном. Естественно, у пользователя сработает механизм «начальство», и он станет учтивым, вежливым и будет готов выложить все, о чем вы его ни попросите. Наиболее удобно использовать атаку такого рода в компании с большим штатом, где люди не знают друг друга и охотно поверят. Все осложняется, когда речь идет о компании средних и малых размеров. Там штат сотрудников небольшой, и «вклиниться» в него очень и очень трудно. Тогда злоумышленнику необходимо действовать от имени начальника. Что это значит? Объясняю: злоумышленник звонит и говорит, что по просьбе администратора проверяет работоспособность системы безопасности. Просит назвать пароль/имя пользователя и подтверждает нормальную работу системы. Вот так ни о чем не подозревающий пользователь отдает сам необходимую информацию. Другой способ — использование аппарата для изменения голоса. Таким образом злоумышленник просто-напросто имитирует голос того, от чьего имени необходимо сделать операцию.
личный визуальный контакт
Это является наисложнейшей операцией. Выполнить ее могут только профессиональные психологи или специально подготовленные люди.
Осуществляется это следующим образом: необходимо найти к жертве подход — так сказать, «ворота». Вычисляется это с помощью анализа его вопросов. Скажем, он очень часто задает один и тот же вопрос, но направленный на разные сферы — вот они, «ворота». Главное для злоумышленника в таком случае — разговаривать с жертвой «в рамках этих ворот», что впоследствии приведет к тому, что он очень понравится жертве как человек, и та выложит все, что необходимо, сразу, «за глаза», считая при этом, что ничего особо важного не рассказывает. В этом и есть вся уловка. Но, как я уже говорил, провернуть это сможет далеко не каждый. И если голос можно подделать, то мимику, цвет кожи (имеется в виду изменение цвета при волнении и т.д.), реакцию зрачков подделать непросто.
электронная почта
Наиболее распространенный «канал для работы» — электронная почта. E-mail довольно прочно вошел в нашу жизнь и необходим практически каждому, кто пользуется Интернетом. Для социального инжиниринга почта используется очень активно. И, опять же, тут возникают свои сложности при попытках затуманивания разума с ее использованием. Все дело в том, что, если злоумышленник собирается слать «ложное письмо» от имени человека, с которым жертва знакома, необходимо очень точно скопировать стиль написания «ложного отправителя». Все проще, когда жертва не знает «отправителя». Кроме того, необходимо позаботиться и о заголовке письма (header). Это можно сделать, используя стандартный клиент-почтовик. Можно сделать и вручную. Можно, также при написании и отправлении письма пользоваться telnet-клиентом. Подключение к стандартному 25-му порту сервера почты позволит это осуществить. Если исправлять вручную, то заголовок выглядит примерно так, как на рисунке номер один. Последняя строчка, начинающаяся с Received, и является обычно адресом отправителя. Также можно воспользоваться сервисами, которые затирают заголовки так называемыми remailers, но это не столь эффективно, как «ручное затирание».
системы обмена мгновенными сообщениями
Вот добрались мы и до ICQ и т.п. По сути своей это тот же e-mail, но только без «архива писем». Обмен мгновенными сообщениями – относительно недавняя (в сравнении со временем существования глобальных сетей) разработка, но все активно пользуются ею, несмотря на многочисленные недостатки. В настоящее время в Сети существует множество программ, которые могут тем или иным способом влиять на работу таких систем. В список их возможностей также входит и отсылка сообщения от имени другого пользователя. Также злоумышленник может проводить атаку в виде специально сформированного текста. Это немного похоже на телефонный разговор, но имеет одно существенное отличие — отсутствие голосового сопровождения. Общение ведется в текстовом виде.
подготовка злоумышленника
Как уже говорилось, злоумышленник должен неплохо разбираться в психологии. Разделяют три стадии подготовки такого рода атаки:
- определение точной цели. Определение местоположения конечной цели;
- сбор информации об объекте обработки (жертва);
- разработка плана действий, моральная подготовка/тренировка;
Давайте рассмотрим каждый из пунктов немного подробнее.
определение точной цели и ее местоположения
Итак, пожалуй, ключом к успешному проведению любой операции является именно точное знание того, за чем пришли. Сюда входит и местоположение. Давайте на секунду вспомним любой из фильмов с ограблениями — все серьезные варианты продумываются, и определяется четко, зачем они осуществляются. Скажем, пришли дядьки грабить банк, а где деньги лежат, не знают — вот и бродят по всему зданию в поисках «квартиры, где деньги лежат». Так же и тут. Злоумышленник сначала пытается четко определить, за какого рода информацией он охотится. Если это ясно, то операция производится быстро: путем введения в заблуждение жертвы получается root и копируется необходимая информация. Причем знание точного местоположения информации на диске и позволяет провернуть это очень и очень быстро, а это — гарант того, что доступ никто не определит как «несанкционированный». Все будут думать, что пользователь сделал необходимые операции, и все.
сбор информации об объекте обработки
Это очень важно — пожалуй, важнее, чем все остальное. Ведь прежде, чем писать письмо, звонить и встречаться с жертвой, необходимо изучить ее. Это позволит понять характер человека, его уязвимые места, привычки и т. д. Ведь если при встрече злоумышленник предложит пойти в любимый ресторан объекта, это уже расположит того к нему. В некоторых случаях (когда необходимо подделать стиль письма или общения) злоумышленник изучает и того, за кого собирается себя выдавать. Это, естественно, затягивает процесс подготовки операции (атаки), но существенно повышает шансы. Источником же информации об объекте может служить практически все: анализ трафика, почты, даже кассовых чеков (это позволит узнать, какие товары он приобретает, как часто, какую сумму обычно тратит и т. д.). Злоумышленник может и часами наблюдать за объектом — это тоже дает огромную информацию. К слову, специально подготовленные люди могут свести время, необходимое для получения информации, к минимуму. Например, специальные агенты, которые натренированы в произведении мгновенных расчетов и выводов. Одна лишь деталь может привести к целой цепочке выводов, но это тренированные — большинству приходится сидеть и наблюдать:).
разработка плана действий, моральная подготовка/тренировка
Вот тут-то и можно увидеть всю красочность социального инжиниринга. Но не всегда — это потому, что большинство «доморощенных умельцев» просто берут учебник, списывают пример, модифицируют его под свою ситуацию, и все. На самом же деле необходимо просчитывать все слова (взгляды, мимику) в зависимости от объекта, ведь люди разные, и реакция на одно и то же слово у каждого разная. Один человек будет искренне смеяться, если над ним слегка подшутить, а другой сразу обидится, вот. На данной ступени проводится просто колоссальная работа в области психологии: буквально каждое слово сопоставляется и с психологической моделью изученной жертвы. Правда, были в истории и люди, которые постоянно импровизировали. Например, Кевин Митник и Роско. Они гордились своим умением. А Роско возвел его в ранг искусства.
уровень доступа
Естественно, при проведении атаки с использованием социального инжиниринга так же, как и в обычных атаках, присутствует классификация степени доступа при успешно проведенной атаке. Эта степень зависит от уровня подготовленности злоумышленника и того, кем является жертва. Например, если вы решили заполучить пароль обычного пользователя, то при его использовании у вас будут пользовательские права независимо от того, как вы подготовлены. И, наоборот, если вы плохо подготовлены, то не получите даже пользовательских прав).
примеры
Теперь рассмотрим несколько примеров социального инжиниринга разного рода атак и каналов.
«Стоял я как-то перед зданием одной компании. Очень хорошее пятиэтажное здание, отданное полностью под эту компанию. Постояв возле входа, я обнаружил, что все, кто туда входит, отчитываются вахтеру, куда они и зачем. Понятно, что просто так туда не войти. Обойдя его, я обнаружил две дыры (дыры не такие, какие бывают у OS, а такие, которые бывают в ситуации — такой, какая сейчас, — я просто провел аналогию). Дыры заключались в следующем: 1. С задней стороны здания нет дверей, поэтому там люди не ходят, но есть лестница на крышу — такая простая лестница, железная, неудобная, немного высоко над землей. И хотя висела видеокамера, которая якобы все снимала, я видел, что она не работает — не горели никакие лампочки и не шли провода. 2. Прямо впритык к этому зданию строили новое здание, выше на четыре этажа, то есть девятиэтажное, пустое. И пара окон как раз выходила на крышу этого здания, и, хотя на окнах была решетка, я заметил, что другая пара окон, которые на этаж выше, без решетки, и высота между ними небольшая. На следующую ночь я вместе с другом забрался через стройку, протащив с собой лестницу и спустив ее со стройки 6 этажа на 5 этаж здания-жертвы. На крыше было: спутниковая антенна, 10 телефонных кабелей и вроде бы Ethernet. Нам тогда, кроме телефонных кабелей, ничего не надо было, поэтому мы занялись ими. Друг у меня работал в тел. компании и был хорошим телефонным специалистом. Он взял с собой два прибора: первый позволял прослушать, что в линии без подключения, второй — вклиниваться в линию, не обрывая ее. В эту ночь все разведали и ушли. На следующую ночь мы разведали первый путь проникновения на крышу — лестницу. Как я и предполагал, никто нечего не обнаружил. И на этот раз мы взяли с собой все необходимые приспособления. Вот что мы сделали за эту ночь: поставили 5 диктофонов на линии, чтобы они включались, когда в линии идет сигнал, на остальных линиях мы обнаружили только модемы и, подключившись к этим линиям, сделали так, чтобы при звонке на этот телефон запрос передавался на другой телефон (стандартная АТСная фича). На всех других телефонах у нас стояли модемы, которые принимали звонки и записывали пароли. Через сутки мы узнали 13 паролей, среди них — 2 админовских, и кучу информации на диктофонах. Обнаружили, что среди тех телефонов присутствует телефон отдела кадров, приемной директора, серверной, справочной — остальные оказались простыми телефонами сотрудников. За неделю записи данных с первых четырех телефонов нам дали столько информации об этой компании, что хватило бы для того, чтобы разорить их и ограбить легальным путем. А если еще учесть то, что мы обнаружили потом на их серваках через админовские пароли, то этого нам хватило на два месяца просмотра информации».
Это был классический пример технической социнженерии. Ниже рассмотрим атаку HDoS: «Он сидел и читал логи сервера под управлением FreeBSD 2.2.8 и не понимал, почему сегодня ночью с 5 хостов одновременно пытались присоединиться к порту 7 по протоколу udp. Он знал, что это порт для echo- отображения введенных символов, никаких дыр в этом сервисе он не знал, да и атака не была похожа на DoS — соединение устанавливалось, пересылалась какая-то строка и разрывалось, не занимая никаких сетевых и процессорных ресурсов. Это было похоже на попытку buffer overflow через ECHO. Но он не знал, что в ECHO есть такая дыра, и стал упорно изучать исходные тексты своей OS в надежде найти, где там дыра, и сам тестировал свою систему, посылая различные строки и отлавливая, что ему будут посылать еще в этот порт.
В это же самое время я сидел и пытался все более его запутать. Я стал посылать строки в finger, в sendmail, в popper, при этом делая так, чтобы строки были немного разные для каждой конкретной передачи и очень отличающиеся для разных служб. Это очень походило на поиск сразу во всех службах строки, приводящей к buffer overflow. И все это отображалось в логах у админа, засоряя их по-всякому. Я спокойно запустил эти программы посылки строк на 5 машинах, а сам в это время со своей машины ломал его сервер, а, так как логи в это время чрезвычайно пестрели попытками buffer overflow, то мои слабые попытки в них никак не выдавались. Когда у меня была успешная попытка, и я зашел, у него в логах отобразилось, что с внешнего хоста зашли под root`ом, но он этого не видел — он был чрезвычайно занят просмотром исходников».
Отвлечение внимания — вот и все. Еще несколько примеров разговора:
«Взломщик: Здравствуйте, вы администратор?
Администратор: Да.
В.: Я понимаю, что вы ужасно заняты, извините, что отрываю вас от дел, но я не могу войти в сеть.
А.: (Про себя: ЕПРСТ!!! Поработать не дают!) А что компьютер говорит по этому поводу?
В.: Как это — "говорит"???
А.: (Ха!) Ну, что там написано?
В.: Написано "вронг пассворд".
А.: (Ну-ну, еще бы...) А-а-а-а... А вы пароль правильно набираете?
В.: Не знаю, я его не совсем помню.
А.: Какое имя пользователя?
В.: anatoly.
А.: Ладно, ставлю вам пароль... мммм... art25. Запомнили? (Если опять не войдет — убью!)
В.: Постараюсь... Спасибо. (Вот дурак-то!)»
***
«Хакер: Здравствуйте, вы администратор?
Администратор: Да.
X.: Извините, что отвлекаю. Не могли бы вы мне помочь?
А.: (Ну что еще ему надо?) Да, конечно.
X.: Я не могу в своем каталоге выполнить команду ls.
А.: (Как будто ему это надо!) В каком каталоге?
X.: /home/anatoly.
А.: (Вот ведь глупый юзер!) Сейчас посмотрю. (Заходит в этот каталог и набирает команду ls, которая успешно выполняется и показывает наличие нормальных прав на каталог.)
А.: Все у вас должно работать!
X.: Хммм... Подождите... О! А теперь работает... Странно...
А.: (Рррррр!!!) Да? Хорошо!
X.: Спасибо огромное. Еще раз извиняюсь, что помешал.
А.: (Ну наконец!) Да не за что. (Отстань, противный!) До свидания.»
Последний пример мне очень нравится — не могу обойти вниманием и не прокомментировать. Наверное, не все поняли, в чем заключается подвох. Объясняю: в том каталоге лежала модифицированная копия утилиты ls. Естественно, звонил тот, у кого были права пользователя (так как он мог скопировать туда файл). Все знают, что для полного доступа к системе программа должна быть запущена от имени администратора, что, собсно, и сделал сам администратор :)
***
Еще один интересный пример:
«Взломщик: Алло, извините, вас беспокоят с телефонной станции.
Это номер такой-то?
Жертва: Да.
В.: У нас идет перерегистрация абонентов, не могли бы вы сообщить, на кого у вас зарегистрирован телефон? Имя, фамилию и отчество, пожалуйста. Ж.: (Говорит информацию.)
В.: Спасибо! Так... секундочку... Хорошо, ничего не изменилось. А место работы?
Ж.: (С некоторым сомнением называет, а если человек очень подозрительный, то спрашивает, зачем.)
В.: Это сведения для новой телефонной книги. По вашему желанию можем внести не одно имя, а всех, кого можно найти по этому телефону. Ж.: (Тут с радостью называются имена всех членов семьи с их положением в ней, хотя этого и не требовалось.)»
***
Вот тоже интересная вещь:
«Взломщик: Алло, это приемная?
Жертва: Да.
В.: Это администрация сети. Мы сейчас меняли сетевую систему защиты. Необходимо проверить, все ли у вас нормально работает. Как вы обычно регистрируетесь в системе?
Ж.: Ввожу свои имя и пароль.
В.: Хорошо... Так... (Пауза) Какое имя?
Ж.: anna.
В.: Анна... (Пауза) Так... какой у вас раньше был пароль?
Ж.: ienb48.
В.: Та-а-а-ак... Хорошо. Попробуйте сейчас перерегистрироваться.
Ж.: (Пауза) Все нормально. Работает.
В.: Отлично. Спасибо!».
Вот так и осуществляются атаки с использованием психологии. На этом все. Вообще в моей статье изложена очень маленькая часть всего того, что можно рассказать о социальном инжиниринге и это понятно, ведь умение манипулировать людьми, да чтобы они об этом не подозревали — это очень сложно (с профессиональной точки зрения) и требует объяснения всех мелочей. Мелочи нам не нужны — пусть этим занимаются психологи и те, кому необходимо.
P.S.: Вся информация, предоставленная в рамках данной статьи, носит только ознакомительный характер. Автор не несет никакой ответственности за ее возможное использование в злонамеренных целях.
Евгений Кучук, руководитель SASecurity gr
Сетевые решения. Статья была опубликована в номере 07 за 2007 год в рубрике save ass…
