Несмотря на то, что информационная безопасность бесконечно совершенствуется, данные и объекты, представляющие интерес для взлома, защищают, прежде всего, люди. Обычные люди со своими страхами, предрассудками, комплексами и слабыми местами, на которых хакер может сыграть. Атакуя человека, который работает с нужной нам информацией, сервером или компьютером, мы пользуемся приемами социальной инженерии. Многие специалисты не без основания считают, что в ближайшем будущем социальная инженерия станет представлять наибольшую угрозу, так как технические средства все больше и больше совершенствуются, а люди так и остаются людьми. Человеческий фактор нужно учитывать постоянно. Например, работник честный, трудолюбивый, без видимых слабых сторон, надежный, как скала, – и ты думаешь, что его уже ничем нельзя взять. Уж он-то никогда не отдаст тебе корпоративные секреты своей компании! А тут вдруг по какой-то причине человеку понизили заработную плату, может, мировой финансовый кризис так сказался, а может, другие причины были у руководства, и все – человек уже обижен. На его обиде легко можно сыграть, добившись того, что ранее было невозможно. Безусловно, применение приемов социальной инженерии требует не только знания психологии, но и умения собрать о человеке необходимую информацию. К счастью, блогосфера уже развита настолько хорошо, что такие сайты, как livejournal, «Одноклассники», «Вконтакте», содержат огромное количество данных, которые люди и не пытаются скрыть. Выплескивая обиду в постах и оставляя различные комментарии, мы выдаем некоторую информацию о себе, не подозревая, что это может кого-то интересовать. И все может быть использовано против нас! Приведу пример из жизни не социального хакинга, а использования такой вот информации с целью выведения человека на чистую воду. Допустим, наш «объект» отправляется в другую страну, говорит: «улетаю 9-го числа». Проверить его слова невозможно. Но мы, зная, что у него есть жена, которая очень любит по секрету всему свету писать в ЖЖ, идем и ищем информацию в блоге. В одном из комментариев в чужом журнале она проговаривается, когда именно летит ее муж и она сама. Все, информация найдена, ее можно использовать с целью выведения человека на чистую воду. Поймав «жертву» на лжи, можно использовать психологическое давление, совершить какую-нибудь манипуляцию, сыграть на чувстве вины – и так далее. Это примитивный бытовой пример. Или подумай, как можно использовать найденную информацию о том, что у человека нестандартная сексуальная ориентация? Пригрозив рассказать об этом его окружению, можно добиться не только пароля на защищенную область корпоративного сайта, но и плотно держать человека на крючке. Именно такими приемами и найденным компроматом пользуются спецслужбы, имея своих агентов там, где это нужно. Так что недооценка человеческого фактора службами безопасности может быть если не фатальной, то приносящей значительный урон. Воздействие на жертву В одном из номеров хакера мы уже рассматривали схему воздействия – актуальна она и для воздействия в социальной инженерии. Вспомним, из чего состоит схема: Определение цели воздействия; Сбор информации об объекте – попросту компрометирующие данные, слабые стороны, стереотипы; Создание необходимых условий для воздействия на объект (здесь могут использоваться как приемы гипноза, психологического давления, так и создание условий, при которых «жертва» окажется в компрометирующей ее ситуации; можно использовать и банальный подкуп, если в предыдущем этапе выяснилось, что человек в этом слаб); Понуждение к действию (я тебе деньги – ты мне пароль, или я тебе компрометирующие фотографии, а ты забудешь на ночь закрыть нужный мне порт); Получение результата. Утечки По каким каналам утекает нужная информация? Возьмем, к примеру, выставки и презентации. Представитель компании, который стоит у стенда, даже не замечает, как может выдавать секретную информацию. Предположим, компания небольшая, и на стенд выставки отправили секретаря или помощницу вице-президента. Ну, нет у них специальных людей для этого! Такая помощница может знать очень много о том, куда, когда и с кем ездил вице-президент. А представившись его знакомым и задав сначала вопросы по продукции, затем можно постепенно переходить на действительно интересующие тебя темы. Каналом утечки может быть и элементарное несоблюдение правил безопасности. Бывают случаи, когда в небольшую компанию приходит лучший друг заболевшего системного администратора и берется, скажем, заменить сетевую карту на файловом/SQL-сервере. Как следствие – слита база данных, встроен бэкдор, установлен перехватчик сетевых пакетов и т.д. Причем, пришел необязательно человек со стороны, узнавший, что системный администратор болен. Это действительно может быть его знакомый, которого попросили подменить. Но спрашивается, куда смотрит служба безопасности или руководство в таких случаях? Может, тебе это кажется невероятным? Мой личный опыт показывает, что по такой вот наводке с целью, например, вылечить завирусованные файлы, можно совершенно спокойно унести полную базу небольшой компании. Сколько бы ни писали предупреждений, люди снова и снова попадаются в одни и те же ловушки и наступают на старые грабли. Еще один канал утечки информации – уборщицы и подсобный персонал. Иногда служба безопасности ставит электронные замки на двери, добавив к ним несколько постов охраны до кабинета директора, чтобы никто не смог незаконно проникнуть и унести конфиденциальные данные. А потом выясняется, что уборщица беспрепятственно может войти в этот самый кабинет в любое время дня и ночи. Может скопировать, прочитать, подсмотреть информацию и рассказать ее случайно (или неслучайно) кому-то. И кто будет виноват? А виноват-то сам директор, который разбрасывает бумаги на столе или забывает, пренебрегает уничтожителем документов – просто бросает их в урну. В крупных компаниях предпринимаются титанические усилия, чтобы свести такие ошибки к минимуму, но они все равно есть и будут. Для хакера же это все – каналы утечки информации. Нужные условия Какую бы роль ни разыгрывал хакер, будь то роль уборщицы, инженера-телефониста или сотрудника газеты, для взлома человеческого фактора в цепи информационных систем он должен «вжиться» в персонажа, которого играет. Хороший социальный хакер на 50% актер, на остальные 50% – психолог. А из них 10% приходится на знание предметной области, которую он собрался ломать. Под знанием предметной области я понимаю такие вещи, как терминология, ориентирование в ситуации и последних новостях и новинках отрасли. Социальный хакер должен не просто надеть маску-роль, он обязан соответствовать своей маске, чтобы не получилось, что человек блистает манерами посудомойки на королевском балу. Манера разговора, понятийный аппарат - все должно соответствовать выбранной роли. Теперь поговорим о нескольких ключевых правилах. Одно из них звучит так: «большинство людей отрицательно зависимы от своего собственного чувства значимости». И это является отличной мишенью для атак! Отрицательная зависимость - это жажда человека выделиться любой ценой. Распознать такого человека легко, ибо даже на объективную критику, сказанную в нормальном тоне, такая личность обижается, надувается, может затаить злобу, демонстрировать всем своим видом чувство оскорбленного достоинства. Самый простой прием, которым такого человека можно социально взломать, - это лесть. Достаточно польстить, сказать ему: «я вижу, как тебя не ценят, не понимают», и человек уже растаял… Допустим, ты занимаешься выманиванием клиентской базы у конкурентов, и тогда за лестью «обиженному человеку» может последовать предложение о работе, в котором невзначай упоминается, что платить будут еще и проценты от каждого привлеченного клиента. После этого человек вместе с клиентской базой конкурента сам придет и базу принесет, и не нужно ничего взламывать. Еще одно правило, о котором я хотела упомянуть, можно сформулировать так: «люди хотят, чтобы все хорошее, что может произойти, произошло бы с ними как можно быстрее и без особых усилий». Пример работы этого правила в социальной инженерии - миллионы обманутых вкладчиков с помощью всевозможных финансовых пирамид (МММ, «Русский дом Селенга», «Хопер-инвест» и другие). Люди до сих пор верят, что отделавшись минимальными затратами, можно получить сверхприбыль. Что касается правила «некоторые люди очень жадны до денег», то я уже упоминала вскользь, лишь повторю, что людям свойственно утрачивать чувство реальности, увидев перед собой купюру, не говоря уже о пачке или чемоданчике с деньгами. Социальная инженерия – это, в общем-то, игра на пороках и слабостях людей. И последний необходимый атрибут социального хакера - продумывание мелочей. Если ты представился корреспондентом журнала с целью выманить нужную тебе информацию, то не забудь приготовить визитку, где будет указан телефон, по которому твою легенду о том, кем ты являешься, смогут подтвердить. Учитывай любые мелочи, вживайся в роль от и до. Социальное программирование Помимо термина «социальная инженерия» существует понятие «социального программирования». Тут ты можешь вспомнить все, что тебе доводилось читать в предыдущих выпусках Psycho о НЛП, манипулировании, психологии толпы. По сути, социальное программирование людей - это некий инструмент влияния, который может существовать самостоятельно, независимо от взлома, а может быть помощником при взломах. Например, стоит задача разорить какой-то банк. Сделать это можно несколькими путями, один из них чисто технический: взломать сервер, совершить финансовую махинацию при помощи технического взлома сервера. Это сложно, долго и дорого. Можно использовать социальную инженерию, найти слабые места у служащих банка, спровоцировать их на передачу необходимой тебе информации. А можно поступить еще проще: воспользоваться методом социального программирования. Всем известно, что если много людей разом пойдут снимать свои деньги из банка, он попросту обанкротится. Таким образом, задача сводится к программированию людей забрать свои деньги именно из того банка, который является мишенью. А для этого можно пустить в ход черный пиар, распространить слух о том, что вкладчики именно этого банка вот-вот потеряют все свои средства. И люди побегут к банкоматам. Пускай сначала это будет всего десяток человек – далее сработает эффект «социального доказательства» (иногда его называют «принцип подражательства» или «программа социальной оглядки»), который заключается в том, что в той или иной ситуации люди считают свое поведение правильным, если другие люди поступают точно также, и, соответственно, неправильным, если так никто не делает. Таким образом, достаточно создать небольшую очередь у банкоматов и пустить нужный слух, – снятие денег станет массовым и лавинообразным. Никто ничего не взламывал, а банк разорился. Так работают программы социального программирования.. Thread restrictions: The topic author allowed to post messages in the topic only to the following groups (and higher ranked): Local, Staff Members and Curators