Sociālā inženierija jeb Īsā pamācība IT krāpniecībā
30. jūnijs, 2015 pl. 17:50,
Nav komentāru
Kā rāda pasaules veiksmīgāko hakeru uzbrukumu statistika, vairums no tiem saistīti ar cilvēciskajām problēmām. Cilvēku stulbums mēdz būt bezgalīgs, no tiem var izmakšķerēt jebkuru informāciju, un tie spēj paveikt vismuļķīgākās darbības. Pēc Latvijas piemēriem labi zinām, ka joprojām un vēl aizvien atrodas indivīdi, kurus var apmānīt ar SMS "Jūs esat vinnējis 10,000 Ls" vai zvanu "Jūsu mazdēls ir lielās nepatikšanās, nepieciešami 500 Ls". Atmetīsim šoreiz superstulbeņus, un pievērsīsimies normālām manipulācijām ar ikdienas cilvēkiem.
Eksperiments: ASV psihologi veica testu: apzvanīja slimnīcas, un, uzdodoties par ārstu, lika medmāsām ievadīt slimniekam nāvējošu zāļu devu. Medmāsai atbilstoši savai izglītībai bija jāzin, kādas tam var būt sekas, bet vienalga 95% no viņām izpildīja rīkojumu. Protams, eksperimentā neviens necieta; psihologa asistenti laicīgi apturēja bezgalvas medmāsas. Interesanti, ka neviena medmāsa neveica jebkādu ārsta personas autorizāciju, bet akli izpildīja pavēli. Tas tāpēc, ka ārsts ir autoritāte, kura rīkojumus izpilda bez ierunām.
Secinājums: piemērā 95% slimnīcu izrādījās kritiski ievainojamas.
Metodes nenoveco
Sistēmas nepārtraukti mainās. Dzelži un programmatūra kļūst aizvien sarežģītāki. Lai vairāk vai mazāk izsekotu līdz aizsardzības un uzbrukuma tehnoloģijām, teicami jāpārzina visas IT nianses un nepārtraukti jāseko līdz visam jaunajam. Tas ir klasiskā, romantiskā hakera ceļš. Mūsdienās maz kas vairs nes tādus upurus. Tagad šauras specializācijas urķi veic konkrētas darbības grupveidā, bet galamērķis vienmēr ir aizsardzības perimetra uzlaušana. Atceramies kaut vai šā brīža skandālu ar Denisu Čalovski: ja tas, ko mums iebaro prese, ir taisnība, tad viens hakeris izstrādāja Gozi Virus, Čalovskis to pielāgoja web-injekcijai, bet trešais grupas biedrs izpildīja menedžera funkcijas.
Viens no mūsdienās izplatītiem paņēmieniem ir sociālā inženierija. Tieši tā ir bāze, uz kuras atrodas virsbūve no IT un tehnoloģiju zināšanām. Kas mūsu kontekstā tas ir par zvēru? Sociālā inženierija ir iepriekšējā sagatavošanās, datu un informācijas ievākšana, bez kā nevar veikt sekmīgu uzbrukumu. Par IT sfēras administratoriem labprāt pieņem paranoiķus (vienmēr visā saskata uzbrukumus saviem objektiem) un ciniķus (netic nekad un nevienam). Tieši šādi cilvēki parasti sastāda drošības instrukcijas, piešķir permisijas, kā arī veic drošības testēšanu. Šāda pieeja dod zināmus plusus, bet tā nekādā gadījumā nav absolūtā garantija. Sociālajā inženierijā nevar uzlikt patchu un par to aizmirst - ļaundaru apgūtās metodes darbosies vienmēr, jo cilvēku uzvedība "pa lielam" nemainās.
Socinženierijas bāzes modelis
Iedomāsimies, ka katrs darbinieks zin tikai to, kas viņam atļauts zināt. Līnijas darbinieki (piem. meitene, kas apkalpo klientus) netiek klāt kritiskiem datiem. Tāpēc, ja arī savāktu visu ierindas darbiniekiem pieejamo informāciju, firmai netiktu nodarīts nopietns kaitējums. Bet šie dati var tikt izmantoti sakariem ar augstāku līmeni. Piemēram, var piezvanīt un stādīties priekšā kā vadošs darbinieks. Tad var paspēlēties ar autoritāti kā gadījumā ar ārstiem sākumā. Vai arī var uzdot pāris nevainīgu jautājumu un iegūt gabaliņu puzles. Trešais variants - iziet uz augstāka ranga darbinieku pēc principa "kolektīvā viens otram palīdz". Pat pie drošām instrukcijām pastāv iespēja, ka emocijas gūs virsroku.
Eksperiments: hakeris zvana vienai un tai pašai meitenei no call-centre jau mēnesi vairākas reizes nedēļā. Viņš uzdodas par darbinieku, runā bez aizķeršanās, piemin tikai pozitīvo, precizē šādus-tādus visiem zināmus sīkumus, citreiz prasa nelielu palīdzību. Konkrētu autorizāciju nomaina fakts, ka cilvēks zvana bieži. Ja vajadzīgs, hakeris zvana 10, 20, 30 reižu - tik ilgi līdz kļūst par meitenes dzīves sastāvdaļu. Viņš pārzin visas firmas darbības nianses, zvana vienmēr, un ir savējais.
Tad nu 31. zvana reizē hakeris atkal prasa sīku palīdzību, bet šoreiz jau par tēmu, kas skaitās konfidenciāla. Ja vajag - tiek sniegts loģisks pamatojums sakarā ar personiskām problēmām utml. Protams, ka jebkurš normāls cilvēks palīdzēs. Leģendārais hakeris Kevins Mitņiks darbā "The Art Of Deception" aprakstījis, ka šādā veidā ieguvis visaugstākā līmeņa pielaidi datorsistēmai no paša sisadmina.
Reversīvā socinženierija
Bāzes modelis ir klasiskais: jūs saņemat datus, ar kuriem to turētāji gatavi dalīties. Bet atšķirībā no klasiskā paņēmiena datu īpašnieks pats tos brīvprātīgi izstāsta. Efektīvs trīs soļu gājiens: uztaisāt nepatikšanas datu turētājam, nodrošināt kontaktu ar sevi, tad veicat uzbrukumu.
Eksperiments: pārģērbjaties par apkopēju, un ar visiem rīkiem apmeklējat apsargājamo objektu. Neuzkrītoši ziņojumu dēlī nomainiet tehniskā atbalsta tālruņa numuru pret savējo un mazliet sabojājiet kādu no PC. Ļoti drīz jūs saņemsiet zvanu, kurā PC īpašnieks stāstīs visu, ko vien gribēsiet. Jūsu autorizācija aizdomas neizraisa - cilvēks tak zina, kam viņš zvana!
Jauka variācija: banku IVR-phishing. Upuris saņem vēstuli no bankas ar viltotu klientu centra numuru, uz kuru lietotājs tiek lūgts piezvanīt. Tur viņam paprasa konta un kredītkartes numuru, varbūt arī vēl ko vairāk. Kas to prasa - cilvēks? Taču nē - autoatbildētājs! Bet mašīnas taču nekrāpjas!!!
Speciālie gadījumi
Gadījumos, ja kāds konkurents ļoti nepatīk, ir speciālas metodes ieriebšanai. Noteikti jābūt kādām web-lapām, kuru apmeklēšana ir darbinieku ikdienas pienākums. Tādās var ievietot kaitīgo programmatūru. Metode mūsdienās top intensīvi piekopta. Vēl var parūpēties, lai darbinieki "atrod" aizmirstas zibatmiņas vai DVD diskus ar interesantu saturu. Lai izdibinātu firmā strādājošo darbinieku loku, lieti noder sociālie tīkli. Tajos arī var sapazīties ar vajadzīgiem cilvēkiem.
Pēc sadraudzēšanās iegūstamo datu loks jau ir daudz plašāks: "Aizmirsu 4. nodaļas telefonu - vai vari man to iedot?". "Paldies! Vakar man gadījās ļoti aizdomīgs klients [vārds, uzvārds]. Varbūt pateiksi viņa kartes numuru, ar ko viņš maksāja pagājušo reizi?" Blondīnei: "Ko tu vadi iekšā, lai iekļūtu datorā? Pa burtiem, lūdzu - Iks-septiņi-dolāra zīme-bē-lielais a-deviņi-igrek?" Un var pat paveikt neticamas lietas - ja drošības apsvērumu dēļ dators atslēgts no tīkla, var panākt, lai to pievieno.
Eksperiments: kādā hakeru turnīrā bija iesildīšanās uzdevums: "Klientu apkalpošanas servisa meitene pametusi posteni uz 30 sekundēm. Jūsu rīcība?"
Tika izbrāķētas tādas atbildes kā "uzinstalēt kaut ko uz PC" - tam noteikti nepietiks laika un permisiju. Nozagt dokumentus no galda vai pārsūtīt e-pastus sev? Pamanīs uzreiz. Vispār piesēsties pie PC nedrīkst - mūsdienās visur kameras. Labākās atbildes bija no sociālās inženierijas lauciņa: neuzkrītoši pielīmēt stikeri ar "tehniskā atbalsta" tālruni vai kaut vai uzaicināt meiteni uz randiņu. Par to nevienu nesoda, bet sieviešu daba ir neizdibināma, un ja izdodas - pēc tam var iegūt jebkādu info!
Ko darīt?
Ja jūs esat persona, kas tieši atbildīga par datu drošību, tad visefektīvākā metode ir sarīkot reālus tiešsaistes treniņus savā firmā - ja jūsu ārieni un balsi pazīst, iesaistiet uzticamus draugus vai radus. Lekcija datordrošībā daudz nepalīdzēs, bet kad vietējās blondīnes iekritīs, un viņām drebēs ceļi, gaidot, vai atlaidīs no darba - būs mācība pašām un arī citiem.
Pamatinformācija - Wikipēdijā, tur pielikumos ir darbu saraksts, kur atrodami visi līdzšinējo krāpšanu piemēri.
Rakstā izmantoti materiāli no Habrahabr