Социальная инженерия

Сюда входят: программы дозвона (dialers), программы-загрузчики (для скачивания файлов из Интернета), IRC-клиенты, FTP-серверы, серверы-посредники (proxy), telnet-серверы, web-серверы, программы мониторинга, PSW-утилиты, утилиты удаленного администрирования и т.п.

Полезность всех вышеназванных программ и утилит трудно переоценить. Однако в связи с коммерциализацией Интернета их начали (сначала легально) использовать, например, в поисках информации о предпочтениях пользователей в целях маркетинга, для продвижения собственных сетевых ресурсов любыми доступными средствами (в том числе с помощью фальсификации результатов поиска в Интернет). Затем злоумышленники стали применять эти программы в целях сбора и кражи конфиденциальных и персональных данных, изменения и уничтожения информации и т.д.

2.5.1.4 Программы-шпионы

Среди потенциально опасных программ, особенно выделяются программы-шпионы (spyware). Данное ПО позволяет собирать сведения об отдельном пользователе или целой организации скрытно.

Первыми такими программами были сетевые сниферы, отнесенные к классу программ-bags, следящей за действиями пользователя и протоколирующая все, что видит. Набор таких программ представлен в Сети в богатом ассортименте позволяющего отслеживать и протоколировать любой доступный канал.

Spyware - это, по сути, тот же снифер, только устанавливается он объектом слежки на свой компьютер добровольно. Среди программ-шпионов выделяют следующие типы:

· Считыватели клавиатуры (монитора) - key/screen loggers. Специальные программы, обеспечивающие сбор и отправку информации, которую пользователь набирает с клавиатуры (выводит на экран).

· Сборщики информации. Программы-шпионы, которые осуществляют поиск на жестком диске определенных данных (пароли, персональные данные, конфиденциальную информацию и т.п.) и отправку их внешнему адресату.

· Программы-загрузчики. Специальный код, позволяющий проделать бреши в системе защиты и загружать на инфицированный компьютер дополнительные вредоносные программы.

Такое ПО распространяется разными способами, но чаще всего - массовой спам-рассылкой. В этом случае можно выделить два варианта: одноэтапный и двухэтапный. Для первого характерно, что в качестве распространяемого спам-рассылкой файла выступает одна из разновидностей шпиона, во втором - сначала на компьютер-жертву устанавливается троянская программа-загрузчик, которая затем осуществляет загрузку одной или нескольких шпионских программ рассматриваемой группы. Другой способ распространения - с почтовыми червями. Такие черви, попадая на компьютер, либо сами загружают шпионскую программу, либо устанавливают на инфицированной машине троянца-загрузчика, который впоследствии осуществляет инсталляцию шпионского ПО. Некоторые версии программ-шпионов используют для распространения HTTP и FTP-трафики.

Все вышеперечисленные способы распространения программ-шпионов объединяет одна, пожалуй, главная причина - неправомерные и небезопасные действия пользователей. Как правило, spyware попадают во внутренние корпоративные сети:

· путем пересылки во вложениях к электронной почте;

· через уязвимости в интернет-браузерах, при загрузке вредоносного содержимого с инфицированного сайта;

· через уязвимости в IM и Р2Р-клиентах;

· с мобильными накопителями (компакт-диски, USB-накопители);

· во время on-line игр.

2.5.1.5 Рекламные коды или adware

Рекламные коды (аdware) - это программное обеспечение, которое проникает на компьютер в рекламных целях. Данное ПО относится к разряду потенциально опасных. Формально аdware- программы являются легальными, что позволяет производителям открыто их разрабатывать, а рекламным компаниям - свободно распространять. Появившись несколько лет назад в виде простейших скриптов, автоматически открывавших множество дополнительных окон в браузере, сейчас они окончательно перешагнули грань между нежелательным, но все-таки легальным, софтом и вредоносными программами.

Более изощренными и нелегальными становятся приемы доставки рекламного контента на компьютеры пользователей. Некоторые современные adware-программы используют вирусные технологии для проникновения и скрытия себя в системе. Все больше обнаруживаемых программ данного класса содержат черты троянцев. Это отражается в способе инсталляции в систему (например, при помощи уязвимостей в браузерах) либо в поведении на компьютере пользователя. Adware-программы серьезно затрудняют свое обнаружение и деинсталляцию из системы (rootkit-технологии, запись собственного кода в системные файлы или подмена собой системных приложений), ищут и удаляют

Программы-конкуренты, занимая их место. В них могут содержаться модули для сбора и отправки третьим лицам информации о посещаемых сайтах и вводимых владельцем компьютера данных. Кроме того, представители класса adware могут конфликтовать с установленным программным обеспечением.

Еще одним свойством adware-программ является подмена результатов поиска. По результатам действий они имеют сходство с вредоносным кодом, осуществляющим фарминг-атаки. Используя уязвимости в браузерах, такие программы перенаправляют пользователя на нужный рекламодателю сайт вне зависимости от того, какой адрес интернет-ресурса он набрал.

2.5.1.6 Всплывающие приложения и диалоговые окна

Как было отмечено adware часто используют такой подход со всплывающими окнами. Отчасти, сотрудники компании также будут использовать средства доступа к Интернет как в рабочих целях (поиск новостей, анализ материалов, отслеживание за маркетинговыми исследованиями, сайты партнеров и авторизованный доступ к закрытым ресурсам через сайт-партнера и т.д.), так и в своих личных целях. Например для совершения покупки в интернет-магазинах, заказать доставку товаров или билетов на мероприятия, разыскивая иную интересующую их информацию. Для мошенников, такое проявление активности корпоративных пользователей важно и на руку, т.к. есть возможность получить через них доступ к корпоративным ресурсам, даже если сама компания не интересна. Но могут заинтересовать вычислительные ресурсы компании для проведения своих атак на другие мишени.

2.5.1.7 Спам

По данным ведущих отечественны провайдеров, объем спама на рунете на май месяц 2008 года доходит до 95-97% от общего количества входящей электронной почты. Ущерб от спама в России от спама в 2004 г. составлял 150-200 млн. евро, при объеме спама 70-80% от общего количества входящей электронной почты.

Сегодня это крайне опасный вид угроз сочетающий технологии спама, фишинга/фарминга и вредоносного кода вместе интегрированные в сочетании с социальной инженерией. По разным оценкам, на спаме предприятия теряют от $100 до $300 в год в расчете на одного офисного сотрудника. По аналитическим данным на 2004 г. убытки от спама составляют ежегодно от $10 млрд. ежегодно в мире.

Совершенствование средств фильтрации ведет к регулярной эволюции способов рассылки спама. Сегодня выделяют в рунете ряд технологических особенностей рассылки спама:

· Распределенность спам-рассылок. Существенная доля спам-сообщений рассылается через «ботнеты». Как правило, отдельный инфицированный компьютер используется для посылки небольшой доли сообщений, при этом в рассылке участвуют сотни и тысячи пользовательских машин. Спамерам удалось наладить сквозной мониторинг доставки сообщений, в результате письмо, отвергнутое при попытке доставки с одного IP-адреса, отправляется заново только с другого IP. Это делает отражение (reject) почты по DNSBL-спискам DNSBL_DNS Black lists - черные списки доменных имен Интернета. Содержат базу адресов, наиболее часто используемых спамерами. неэффективным - попытки доставки сообщения повторятся с других IP-адресов.

· Уникальность спам-сообщений. Спам-сообщения, рекламирующие один и тот же товар или услугу, но отправленные разным пользователям, уникальны. Другими словами, в каждое отдельное письмо вносятся случайные последовательности символов (часто невидимые для читателя), персональные обращения, анекдоты, большие куски связного текста и так далее, что делает спам-сообщения невидимыми для фильтров, основанных на технологии проверки сигнатуры или одинакового текста. Случайные последовательности символов добавляются автоматически, с применением специализированных программ Данный метод получил название obfuscating text - буквально «текст, сбивающий с толку».. В противном случае стоимость и время изготовления индивидуальных сообщений будут слишком большими.

· Маскировка под легальные письма. Спамеры делают техническую информацию в рассылаемых письмах максимально похожей на легальную переписку. В результате большая часть спама легко проходит через формальные фильтры.

К другим особенностям относятся:

· Использование технологии социальной инженерии. Уже не секрет, что тексты спамерских писем составляются специалистами в области психологии.

· Использование технологий обхода антиспам-фильтров. Появление средств обнаружения спама, основанных на анализе содержания письма (контентный анализ), привело к эволюции содержания спамерских писем - их составляют таким образом, чтобы автоматический анализ был затруднен. Кроме того, спамеры стараются фальсифицировать адреса отправителя, заголовки писем, модифицировать сообщения так, чтобы обмануть антиспамерские фильтры. Рекламное сообщение приходит пользователю в виде графического файла, а это крайне затрудняет автоматический анализ.

2.5.1.8 Интернет-пейджеры или служба мгновенного обмена сообщениями

Интернет-пейджеры (в английской терминологии Instant messaging, далее сокращенно - IM) - это средства диалогового обмена сообщениями.

К таким средствам относятся:

· AOL (AOL IM - AIM, AIM Express (web-based), Trillian, Apple iChat, SameTime Connect, как правило, использует для соединения tcp 5190_5193);

· ICQ8 (ICQPro, ICQ Lite, ICQ2GO (web-based);

· Microsoft (MSN Messenger, Windows Messenger, Trillian, как правило, использует для соединения tcp 1863, tcp 6891);

· Yahoo! (Yahoo! Messenger, Yahoo! Web Messenger, Trillian, как правило, использует для соединения tcp 5050).

Двумя основными видами атак, основанных на использовании службы мгновенного обмена сообщениями, являются указание в теле сообщения ссылки на вредоносную программу и доставка самой программы, а также один из способов запроса и передачи конфиденциальной информации.

Мгновенный обмен сообщениями имеет несколько особенностей, которые облегчают проведение социотехнических атак. Одна из таких особенностей -- его неформальный характер. В сочетании с возможностью присваивать себе любые имена этот фактор позволяет злоумышленнику гораздо легче выдавать себя за другого человека и значительно повышает его шансы на успешное проведение атаки, основанной на подделке данных.

Выдавая себя за другого известного пользователя, злоумышленник (красный) отправляет письмо или мгновенное сообщение, получатель которого считает, что получил его от известного ему человека. Знакомство с предполагаемым отправителем ослабляет внимание получателя, и он часто без всяких подозрений щелкает ссылку или открывает вложение, присланное злоумышленником. Большинство поставщиков услуг мгновенного обмена сообщениями позволяют идентифицировать пользователей по их адресу, благодаря чему злоумышленник, определив используемый в компании стандарт адресации, может инициировать с помощью службы мгновенного обмена сообщениями виртуальное знакомство с другими сотрудниками компании. Само по себе это не представляет угрозы, но значительно расширяет диапазон сотрудников и систем, которые могут подвергнуться атакам.

Наличие уязвимостей в IM-клиентах (активные элементы ActiveX, эксплойты JPEG_файлов и т.п.) позволяют злоумышленникам похищать пароли и конфиденциальную информацию, получать несанкционированный доступ к внутренним корпоративным сетям, устанавливать троянские программы, которые позволят включать его в «ботсеть», рассылать через него спам и вредоносные программы.

Как спам, рассылаемый по каналам электронной почты, является серьезной проблемой для безопасности корпоративных сетей, точно также спим Рекламные сообщения, распостраняемые по IM-трафику, называются SPIM (unsolicited instant messages, по аналогии со SPAM) становится угрозой номер один для интернет-пейджеров. Подобно своему собрату спим является не только свободно распространяемой рекламой, но и способом рассылки вредоносных программ через IM-канал. Именно поэтому борьба со спимом также актуальна сегодня, как и защита от вирусов и червей.

Важнейшей особенностью IM-сетей является то, что в настоящее время не существует каких-либо общих стандартов и протоколов, описывающих их архитектуру. Это осложняет контроль использования данных приложений на корпоративном уровне. Межсетевые экраны и прокси-серверы не в состоянии обеспечить должный контроль IM-трафика. Последние версии IM-клиентов способны, например, добавлять HTTP-заголовки к каждому передаваемому пакету, обманывая фильтры протоколов межсетевых экранов. Более того, очень частый выпуск обновлений IM-протоколов и клиентов (практически каждый месяц) не позволяет компаниям, производителям антивирусных программ выпускать соответствующие продукты, способные обеспечивать защиту от вредоносных программ (IM-червей, троянцев и т.п.).

Другая проблема на пути обеспечения безопасного обмена данными по IM-сетям - это появление множества других сетей и IM-клиентов. Среди них можно назвать Trillian (для ОС Windows), Fire (для ОС Mac), кросс-платформенный gaim и другие клиенты. Популярность IM-клиентов «произвела на свет» множество вспомогательных утилит для них, которые содержат нежелательные с точки зрения обеспечения безопасности компоненты, создавая в IM-приложениях дополнительные уязвимости.

2.5.1.9 Приложения класса peer-to-peer

Peer-to-peer (сокращенно P2P) - это технология построения распределенной сети, где каждый узел может одновременно выступать в роли и клиента (получателя информации), и сервера (поставщика информации).

P2P_приложения - это класс приложений, совместно использующих распределенные ресурсы (дисковое пространство и файлы, вычислительные ресурсы, каналы связи и т. д.). Сегодня P2P приобретает все большую популярность и многие производители программного обеспечения объявили о поддержке P2P в своих новых продуктах.

Области применения P2P.

* Файловые обменные сети (file-sharing). P2P выступают хорошей альтернативой FTP-архивам, обладая при этом целым рядом преимуществ: балансировкой нагрузки, более широкой полосой пропускания, высокой «живучестью» и широкими возможностями по публикации контента. Примеры - Napster, Gnutella, eDonkey, KaZaa, BitTorrent, FastTrack, IRC, WinMX и их производные.

* Распределенные вычислительные сети. Например, SETI@HOME. Этот проект продемонстрировал большой вычислительный потенциал для хорошо распараллеливаемых задач. В настоящий момент в нем принимают участие свыше трех миллионов пользователей.

* Службы сообщений (Instant-messaging). Некоторые IM-клиенты способны обеспечивать поддержку архитектуры «клиент-клиент».

* Сети групповой работы (P2P Groupware). Интенсивно развивающиеся приложения. Одними из самых перспективных считаются Groove Network - сеть, предоставляющая защищенное пространство для коммуникаций, и OpenCola - технология поиска информации и обмена ссылками на наиболее интересные источники, где в роли поискового сервера выступает не сервер, а каждый из пользователей сети.

Р2Р являются потенциально опасными приложениями. Через Р2Р-каналы возможна утечка конфиденциальной информации, распространение вредоносных программ и кодов (P2P и IM-черви, различные троянские программы), рассылка спама и т.п. Применение этих приложений сегодня практически не контролируется, поэтому их использование создает реальную угрозу корпоративным информационным сетям.

P2P-приложения, такие как KaZaa или Gnutella (клиент Limewire) могут соединяться с другими клиентами мгновенной отправки сообщений, используя любой открытый TCP или UDP-порт. К тому же данные приложения способны передавать файлы по HTTP-протоколу, который является типичным для веб-трафика и разрешается для прохождения любым межсетевым экраном или прокси-сервером. Это делает фильтрацию P2P-трафика крайне затруднительной.

2.5.1.10 Угроза судебного преследования

Данный вид угроз крайне акутален для компаний, если их сотрудники могут пользоваться файлообменными сетями, скачивая и/или расспространняя мультимедийный контент и другое содержимое, защищенное авторскими правами. В частности P2P продукты и сети в основе своей создавались именно для обмена данными пользователей.

Судебное преследование возможно и за распространение клеветнической и/или порочащей информации, касательно третьих лиц.

2.5.1.11 On-line игры

Современный рынок этого вида электронных продуктов сейчас переживает период максимального расцвета. С увеличением объемов и качества рынка онлайновых игр не заставили себя долго ждать и вредоносные программы, предназначенные для кражи пользовательской информации. В начале 2003 г. появились первые троянские программы, ворующие учетные данные пользовательских аккаунтов к играм. Российские «умельцы» также участвуют в процессе кражи данных пользователей-игроков и продажа их на eBay и других электронных рынках с получением реальных материальных средств, переведенные с электронных на физические. В частности, в зону их внимания попала популярная российская игра «Бойцовский клуб».

Периодически в компании выявляются сотрудники «подсевшие» на виртуальную реальность и происходит не целевое используется ресурсов компании. Такие вопросы должны регулироваться жестко, т.к. социальный фактор толкает «игроков» к различным видам мошенничества, только бы получить больше «виртуальных благ», в ущерб компании и непосредственно выполняемой работе конкретным сотрудником.

2.5.2 Телефонные атаки

Данные тип атак является классическим типом, которые в силу ограниченности распространения в 70-х - 80-х годах персональных компьютеров являлся самый популярный.

Данная угроза обеспечивает мошенникам уникальные возможности для проведения социотехнических атак. Это привычное и в то же время обезличенное средство общения, поскольку жертва не может видеть злоумышленника. Коммуникационные функции, поддерживаемые большинством компьютерных систем, могут также сделать привлекательной мишенью корпоративные телефонные станции.

Сегодня данные атаки стали сложнее и более безопасными для мошенника, т.к. появились средства подделывающие голос как свой, так и например сотрудника компании, с которым уже состоялась встреча и его голос был записан на диктофон (как вариант). Эти же разработки позволяют создавать необходимый фон (например, шумного офиса call-центра), что создает доверие у говорящего на другом конце. Более того, технические средства позволяют подделывать номера и если на другом конце включен АОН, а мошенник выставит себе на линии номер, заведомо всегда занятый (это несложно вычислить), тогда шансы проверить звонящего затруднены или приближаются к нулю.

Выделяют несколько подтипов основных атак:

1. На корпоративную АТС/УАТС.

2. На техническую службу поддержки в компании.

3. На конечного пользователя.

4. На корпоративные телефонные ресурсы использующие технологию доступа VoIP.

5. На мобильного пользователя.

2.5.2.1 Корпоративная АТС/УАТ

Злоумышленник, атакующий корпоративную телефонную станцию, может преследовать три основные цели.

· Запросить информацию (как правило, выдавая себя за легального пользователя), обеспечивающую доступ к самой телефонной системе или позволяющую получить удаленный доступ к компьютерным системам.

· Получить возможность совершать бесплатные телефонные звонки.

· Получить доступ к коммуникационной сети.

Все эти цели объединяет общий сценарий: злоумышленник звонит в компанию и пытается узнать телефонные номера, позволяющие получить доступ к самой корпоративной телефонной станции или опосредованный доступ через нее к телефонной сети общего пользования. Сами злоумышленники называют взлом телефонных систем словом «фрикинг» (phreaking). Как правило, телефонные злоумышленники представляются инженерами по обслуживанию телефонных систем и запрашивают у сотрудника компании внешнюю линию или пароль якобы для анализа и устранения проблем с внутренней телефонной системой

Фантазии мошенника при использовании данного метода безграничны. Как правило, пред тем как осуществить такой вид атаки, изучается объект:

· кто оператор связи и провайдер;

· освещение жизни компании в СМИ;

· есть ли сайт компании и есть ли там конкретное указание:

o конкретных лиц и контакт с ними(чаще руководителей- генеральный директор, главный бухгалтер, системный администратор, руководитель службы поддержки и т.д. );

o какое офисное оборудование и какого бренда используется в компании;

o партнеры и клиенты компании.

Как правило, после узнаются внутренние номера ряда сотрудников. Узнается кто находится в настоящий момент в командировке или в отпуске. Вычисляются новые сотрудники компании и т.д.

Запрос информации или доступа по телефону -- сравнительно неопасный для злоумышленника вид атаки. Если жертва начинает что-то подозревать или отказывается выполнять запрос, злоумышленник может просто повесить трубку. Злоумышленник описывает правдоподобную ситуацию, прося о помощи или наоборот, предлагая ее, а после накопления и получения необходимых данных, начинает запрашивать личную или деловую информацию, как бы между прочим.

Объектом атаки чаще всего являются секретари и лица коммутационного распределения звонков (call-центры, приемные), которые имеют прямые выделенные городские телефоны.

2.5.2.2 Техническая служба поддержки

Сегодня, эта служба является пристальным объект мошенников, так и механизмом защиты от них самих.

Многие сотрудники служб поддержки знают и помнят об угрозах, но сама суть их работы предполагает, что они должны оказывать пользователям помощь и давать рекомендации. Иногда энтузиазм специалистов служб технической поддержки превосходит их готовность следовать процедурам обеспечения безопасности, и тогда возникает проблема. Если они решат строго соблюдать стандарты безопасности, запрашивая у пользователей подтверждения их подлинности, они могут показаться бесполезными или даже произвести неприятное впечатление. Сотрудники производственных отделений или менеджеры по продажам и маркетингу, считающие, что ИТ-отдел не удовлетворило их требования, склонны жаловаться руководителям высшего звена также часто не нравится дотошность службы поддержки, если они сталкиваются с ней сами.

Цели атаки на службу поддержки:

· Получение информации

· Получение доступа

· Получение квалифицированной (и бесплатной) поддержки по IT-разработкам, программным, программно-аппаратным комплексам, выдавая себя за легального пользователя.

2.5.2.3 На конечного пользователя

Еще одним видом атак является кража PIN-кодов кредитных и телефонных карт через телефонные будки или внутренним нарушителем в компании. Чаще всего при этом крадется личная информация конкретных людей, но иногда злоумышленникам удается раздобыть таким способом PIN-коды корпоративных кредитных карт, что дает неограниченные возможности для использования телефонной сети для звонков по всему миру за счет компании.

Большинство людей довольно осторожны при вводе PIN-кодов в банкоматы, но при пользовании общественными телефонами многие из них ведут себя более беспечно.

2.5.2.4 С использованием технологии VoIP

Растущая популярность средств для передачи звуковой информации между компьютерами (называемых также Voice over IP (VoIP)) заставляет принимать меры к контролю передачи такой информации. Есть разные реализации для звонков с компьютера на компьютер и/или на обычные телефоны.

Существуют стандартизированные протоколы для обмена такой информацией, сюда можно отнести Session Instatiation Protocol (SIP), принятый IETF и H.323, разработанный ITU. Эти протоколы являются открытыми, что делает возможным их обработку.

Кроме того, существуют протоколы, разработанные конкретными компаниями, которые не имеют открытой документации, что сильно затрудняет работу с ними. Одной из самых популярных реализаций является Skype, завоевавший широкую популярность во всем мире. Эта система позволяет выполнять звонки между компьютерами, делать звонки на стационарные и мобильные телефоны, а также принимать звонки со стационарных и мобильных телефонов. В последних версиях поддерживается возможность обмена видеоинформацией, передачей файлов. Что несет дополнительные угрозы. Причем, сам проток имеет защищенный канал передачи данных, по которому достаточно свободно можно передавать конфиденциальную информацию и вести разговоры, плюс показывать через подключенную веб-камеру, фотоаппарат или видеокамеру происходящее вокруг, как и самого собеседника.

2.5.2.5 На мобильного пользователя

Варианты "сотового" мошенничества, относительно новая угроза в России. На мобильные телефоны приходят СМС с уведомлением того, что мол вы подключены к новой услуге и если вы желаете отписаться, наберите 4-х значный номер указанный на экране. Разумеется, при наборе этого номера на виртуальный счет мошенника с баланса мобильного пользователя снимается сумма. Если таких абонентов будит 200-300, то сумма окажется месячной средней заработной платы в Москве.

Разновидность этой вариации является приход примерно такого сообщения. «Привет! Ты не мог бы мне положить на счет 100-300 руб. У меня закончились деньги, а возможности положить сейчас нет. Обязательно верну! Лена». Интересно то, что статистика ужасающая. Либо абонент перезванивает на этот номер, чтобы понять, что за «Лена» и с него снимается кругленькая сумма за звонок на этот номер, который тарифицируется совсем иначе и имеет сервисные настройки снятия денег при звонке на него. Либо абонент переводит некоторую сумму.

Кстати, похожий прием используется на форумах знакомств. Когда мошенник создает анкету, вставляет «видную девушку» в качестве образа, взятого в Интернете из фотографий модельного агентства. Сочиняет 100% анкету, что мужская половина дрожит от желания познакомиться. За ночь, сутки появляется несколько сотен сообщений от желающих. Готовится стандартное сообщение для всех и дается мобильный номер, на который можно перезвонить жаждущего любви молодого человека и отсылается «всем желающим». Разумеется, тарификация такого звонка очень дорогая. Прием тот же. После накопления баланса деньги обезличиваются. Часто используются арендуемые через интернет виртуальные номера с набором массой дополнительных услуг, чего лишены операторы сотовой связи.

2.5.3 Поиск информации в мусоре

Несанкционированный анализ мусора -- или, как это еще называют, «ныряние в мусорные контейнеры» -- часто позволяет злоумышленникам получить ценную информацию. Бумажные отходы компании могут содержать сведения, которые злоумышленник может использовать напрямую (например, номера учетных записей и идентификаторы пользователей) или которые облегчают ему проведение дальнейших атак (списки телефонов, схемы структуры организации и т. д.). Для злоумышленника, использующего социотехнику, сведения второго типа особенно ценны, потому что они помогают ему проводить атаки, не вызывая подозрения. Например, зная имена и фамилии людей, работающих в определенном подразделении компании, злоумышленник имеет гораздо больше шансов при поиске подхода к ее сотрудникам, большинству из которых будет легко поверить, что человек, так много знающий о компании, является их коллегой.

Электронные средства хранения информации бывают для злоумышленников более полезными. Если в компании не действуют правила сбора отходов, предусматривающие утилизацию списанных носителей данных, на выброшенных жестких дисках, компакт-дисках и дисках DVD, факсимальных лентах, можно найти самые разнообразные сведения. Современные электронные носители данных надежны и долговечны, поэтому службы, отвечающие за защиту ИТ-систем, должны обеспечить соблюдение политик, предусматривающих уничтожение этих носителей или стирание хранящихся на них данных.

В случае инсайдерской деятельности корзины способны содержать самые невероятные сведения, включая финансовые сведения, действующие учетные записи, маркетинговые планы компании, список сотрудников с номерами телефонов (включая мобильные), планы информационной сети и помещений и другие конфиденциальные сведения, способные причинить компании, как финансовые убытки, так и значительно сыграть на репутации компании.

2.5.4 Персональные (личностные) подходы

Пожалуй, это наиболее дешевый и простой метод с одной стороны, т.к. требуемую информацию злоумышленник на прямую запрашивает у объекта воздействия, с другой стороны в связи с невозможностью изучить человека и предсказать его до конца, он является самым сложным.

Злоумышленник использует чаще всего следующие четыре стратегии:

· Запугивание. Злоумышленники, выбравшие эту стратегию, часто заставляют жертву выполнить запрос, выдавая себя за лиц, облеченных властью.

· Убеждение. Самые популярные формы убеждения -- лесть и ссылки на известных людей.

· Вызов доверия. Этот подход обычно требует достаточно длительного времени и связан с формированием доверительных отношений с коллегой или начальником ради получения у него в конечном итоге нужной информации, стандартная стратегия модели ОСИ.

· Помощь. Злоумышленник, выбравший этот подход, предлагает сотруднику компании помощь, для оказания которой якобы нужна личная информация сотрудника. Получив эту информацию, злоумышленник крадет идентификационные данные жертвы.

В контексте социотехники интересен тот факт, что большинство людей, признавая, что сами иногда лгут, исходят из того, что другие всегда говорят им правду. Безоговорочное доверие -- одна из целей злоумышленника, использующего методы социотехники.

При персональном подходе используется весь арсенал угроз и средств, который рассматривался до этого. Начиная от виртуальных методов и банальной переписки по электронной почте или интернет-пейджера с объектом, и завершая физическим контактом с объектом воздействия. Физическим доступом в служебные помещение с помощью сотрудников компании. Физический доступ к информационной системе, выдавая себя за специалиста сервисной службы или специалиста производящего обновления базы данных информационной системы (например, правовой информационной системы «Консультант Плюс»). Попытка физического выявления наличия беспроводной сети в здании и последующее подключение к ней. Физическая компрометация сотрудников работающих дома и подключающихся к ресурсам корпоративной сети с их помощью, или выдавая себя за друга сотрудника находящегося в командировке. А также, попытка подсмотреть за набором пользователя логина и пароля из-за спины или с боку. Попросить его самого дать свои параметры для входа в сеть с целью что-то улучшить или срочно напечатать один документ. Непосредственная кража мобильного устройства, осуществляющего вход в корпоративную сеть.

2.5.5 Обратная социальная инженерия

Как было отмечено раньше, это излюбленная техника социоинженера, которая действует наверняка. Лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль, им не нужна эта информация для решения проблем. Однако многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Злоумышленнику даже не нужно спрашивать об этом.

Использующий методы социотехники, злоумышленник создает проблемную ситуацию, предлагает решение и оказывает помощь, когда его об этом просят. Один из простых сценариев следующий.

Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу и не возиться с ИТ-подразделением. Злоумышленник говорит, что проблему возможно решить только под пользовательской учетной записью жертвы, хотя корпоративная политика запрещает это. На что получает согласие жертвы. Злоумышленник не спешит соглашаться, но делает это и восстанавливает файл, узнав при этом идентификатор и пароль жертвы. Возможно, он в глазах коллег заработает репутацию специалиста на месте. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника.

Также, злоумышленник может имитировать проблему с помощью диалоговых окон. Как правило, при такой атаке на экране компьютера жертвы отображается окно с уведомлением о проблеме или необходимости обновления конфигурации системы. В этом же окне приводится ссылка на соответствующее обновление или исправление. После загрузки и установки файла сфабрикованная проблема исчезает, и пользователь продолжает работу, не подозревая о том, что он установил вредоносную программу.

Возвращаясь к схеме атаки ОСИ (рис. 2.2.), выделяем три фазы атаки - диверсия, реклама, помощь.

Итак, после диверсии у коллеги возникает необходимость как можно скорее разобраться с проблемой, желательно, чтобы решение было под рукой и чаще всего, избежать по возможности контакт с ИТ-подразделением.

Диверсия подразумевает создание у объекта в компьютере неполадку или сделать так, чтобы пользователь не смог на нем работать. Обычно, это подразумевает такую неполадку, чтобы пользователь не мог войти в систему так, как положено или не смог запустить типовую офисную программу, с которой ежедневно работает. Как правило, это хорошо замаскированная неполадка, легко исправимая и не нарушающая работу системы. Общие идеи по созданию такой неполадки могут выглядеть следующим образом:

· Изменение какого-либо параметра, неизвестного новичкам или такого, о котором они не подумают. Например: устанавливаемые по умолчанию порты принтера, разрешение экрана, макросы, скрытые коды принтера, периферийные технические установки.

· Установка файлов в режим “только для чтения”, переименование их, или перенести в другую папку файлы запуска программы. Пример: если рабочий файл текстового процессора называется WP.EXE, переименуйте его в WP.$A$.

· Прямое вмешательство в аппаратное обеспечение. Например: переключить цветной монитор в монохромный режим или в самый минимальный поддерживающийся на ПК режим, отключить шлейф жесткого диска, отключить на плате питание, отключить клавиатуру.

· Инсталлирование больших резидентные программ, занимающие много оперативной памяти, не позволяющие запускать одновременно 2-3 программы.

· Запуск эмулятора программы, которая выдает служебные окна с системными ошибками, либо перехватывает загрузчик logoff.exe (в OS Windows) не позволяя осуществить вход в систему.

· Небольшое изменение ключа в реестре в LOCAL_MACHINE (в OS Windows).

Нельзя производить инсталляцию вирусов, которые легко выходят из-под контроля.

Предположим, было переименование или перенос файла текстового процессора. Причем на диске был размещен .bat файл с именем setup.bat который, имел инструкции о переименовании WP.$A$ в WP.EXE и команду проверки выполнена ли эта операция или нет. После успешного переименования следующая инструкция в setup.bat сама должна уничтожить этот файл.

Допустим, все прошло как «диверсант» пожелал, и к нему позвонили. После загрузки системы, пользователь увидел что «неполадка» никуда не исчезла. Тогда достаточно просто продиктовать последовательность действий пользователю на клавиатуре, чтобы помочь ему.

В случае создания проблемы с аппаратным обеспечением, как правило социоинженер рассчитывает затратить на устранение неполадки столько времени, сколько потребуется, чтобы успеть определить необходимую информацию на ПК жертвы и либо скопировать её, либо подготовить для этого.

Создание рекламы может происходить по следующим сценариям.

1) Замена пометок с телефоном техподдержки. Обычно, если видно листок рядом со столом с таким телефоном или на телефоне стикерс, его заменяют на свой с номером социоинженера или номером рядом стоящего аппарата.

2) Размещение объявления. Может быть помещено на доску объявлений с достаточно ярким оформлением и примерным тестом:



Указывается точный адрес самой компании, где произведена диверсия или будит произведена. Такие объявления могут быть закреплены на дверях кабинетов или над столами, где была произведена/будит произведена диверсия.

3) Социальная инженерия. Обычно несколько часов или за день, до диверсии, может быть произведен звонок и подошедшему сотруднику сообщить новый номер техподдержки. Попросить держать его под рукой на всякий случай и сообщить коллегам сидящих рядом о новом номере.

4) Изменение в телефонном каталоге. В каталоге компании добавить номер социоинженера в списке, либо заменив текущий номер техподдержки на свой номер, или написав его разборчиво в конце каталога.

5) Диалоговая реклама. Обычно размещается на электронной доске объявлений, на странице внутреннего сайта, либо в рекламный модуль (скриншот например) с приятным запоминающимся выделением цвета.

Каналы коммуникации: СМИ, устные встречи, деловые переговоры и переписка, рекламные материалы и наглядная агитация, специальные события (фестивали, выстаки, митинги и т.д.).

Различные курилки и место у главного входа в компанию.

2.5.6 Инсайд

По статистике в разделе 2.3 видно, что внутренние атаки и связанные с ними угрозы наиболее чувственно отражаются на любой компании.

Говоря об инсайдерстве (подразумевая каждого сотрудника компании) уместно говорить о лояльности сотрудника к компании. Чем выше этот уровень, тем меньше риски. Для этого требуется проведение значительной психологической работы и прививание корпоративной культуры в компании. Нужно понимать, что группы могут значительно видоизменяться, и в зависимости от этого, в них могут появляться мне-дидеры, что чаще способно «выдавливанию» из группы сотрудников (отдел, департамент и иные организационные единицы) - энтузиастов пришедших работать, а не «баклуши бить», т.к. им некогда заниматься интригами, шантажом и саботажем. Что провоцирует последующую ситуацию изменения групп (), когда риск утечки информации становится максимальным. По этой причине сочетание работы с персоналом и технических мер, способно иметь какое-то действие. С учетом дефицита квалифицированных специалистов, не приходится полагать, что вся группа людей в рамках каждого подразделения за короткий срок можно подобрать качественную по составу и квалификации. Это дорогой и выращивание внутри компании кадров, может стоить дешевле и безопаснее.

Ключевыми внутренними угрозами являются:

· Угроза утечки конфиденциальной информации

· Обход средств защиты от утечки конфиденциальной информации

· Кража конфиденциальных данных по неосторожности

· Нарушение авторских прав на информацию

· Мошенничество

· Нецелевое использование информационных ресурсов компании

· Саботаж ИТ-инфраструктуры

Глубоко рассматривать эти угрозы и приводить примеры в работе не стану. Множество угроз, которое было рассмотрено выше, актуальны и здесь. Примеры читатель сможет посмотреть сам в изобилии по этим инцидентам в сети Интернет. В этом разделе рассмотрим в общем перечисленные угрозы.

2.5.6.1 Угроза утечки конфиденциальной информации

Разглашение/неправомочное разглашение корпоративных конфиденциальных и для служебного пользования данных, когда информация покидает корпоративный периметр и попадает к лицам неправомерно их использующим. Класс такой информации ценен, как правило - это коммерческие и промышленные секреты фирмы, интеллектуальная собственность, персональные данные служащих, клиентов и партнеров. Для реализации этой угроз используются всевозможные подручные средства и доступные каналы, рассмотренные выше - это сетевые каналы передачи данных (корпоративная почта, веб-почта, Интернет (чат, форум и т. д.), интернет-пейджеров (ICQ, MSN, Yahoo!, Miranda, AOL Messenger), P2P-сети, VoIP-программы и др.)

Другой канал - мобильные носители (USB-устройства, память мобильного телефона или фотоаппарата, MP3-плеера). Проблема актуальная и сложная, и часто не наказуема (см. 5.2.). Для защиты требуются организационно-технические меры, это и контентная фильтрацию трафика (почты, Интернета, интернет-пейджеры), контроль на уровне рабочей станции (принтер, USB- устройства), архивирование корпоративной корреспонденции (для эффективного расследования инцидентов внутренней ИТ-безопасности), административные ограничения (блокирование Р2Р-сетей, IM-агентов, WEB-mail и любых других открытых каналов на уровне межсетевого экрана).

2.5.6.2 Обход средств защиты от утечки конфиденциальной информации

Если потенциальный инсайдер попытался что-то переслать, а у него не получилось, или скопировать документы на мобильное устройство, немало людей это останавливает, т.к. они понимают, что есть Большой брат, который за всем смотрит и бумаги, которые они подписывали, не фиктивны, меры предприняты и работают. Однако, если человек желает что-то вынести, то его остановит только пуля.

Если инсайдеры знают, что в компании установлены средства фильтрации почтовых сообщений и веб-трафика, тогда будут искаться иные каналы, для обмана/обхода средств технической защиты. Так, с помощью преобразования данных инсайдеры стараются помешать средству фильтрации. В ход идут шифрование, архивация с большой глубиной вложенности, преобразования в графический формат или редкие текстовые форматы, изменение кодировки (а их для русской раскладки не меньше 8), использование неизвестного программного обеспечения или иностранного языка для общения. Замена через функцию текстового редактора ряда слов для служебного пользования. Однако, сегодня не стоит недооценивать потенциал сотрудников и покупка, казалось бы дорогого средства защиты, может оказаться на порядки дешевле хотя бы одного инцидента утечки. Кроме этого, немало современных систем защиты от утечек способны прозрачно интегрироваться с системами шифрования. В этом случае заказчик может обеспечить полный контроль над трафиком и вдобавок криптографическую защиту за пределами корпоративного периметра.

2.5.6.3 Кража конфиденциальных данных по неосторожности

Немало сотрудников невнимательны, как к своему рабочему столу, так и к ряду действий которые они делают в течении дня на своем рабочем месте, подвергая тем самым корпоративные секреты риску непреднамеренно, и часто по неосторожности или незнанию. Например, они могут случайно выложить секретные документы на веб-сайт, перенести данные в ноутбук или карманный компьютер, который впоследствии будет украден или потерян, а также отослать конфиденциальные сведения по неверному почтовому адресу. Технические средства защиты и в этом случае используются одни и те же (фильтрация трафика и контроль операций на уровне рабочих станций) плюс шифрование данных на мобильных устройствах. Часто, столкнувшись с проблемой, сотрудник спрашивает у коллег, почему мол, не могу выложить документ на сайт или в папку на файл-сервере, которые смогут разъяснить неправомерность выполняемых действий. Именно этим, согласно экосистеме внутренних нарушителей, халатные и манипулируемые инсайдеры отличаются от обиженных и нелояльных.

2.5.6.4 Нарушение авторских прав на информацию

В рамках данной угрозы инсайдеры могут реализовать целый букет неправомерных действий. Например, скопировать части документов одного автора в документы другого автора (а также в почтовые сообщения, формы и т. д.), произвести индивидуальное шифрование документов, при котором компания лишается возможности работать с документом в случае утраты пароля или после увольнения сотрудника. Сюда же относится опубликованные в Интернете материалы в своих документах без обработки и указание на авторов, а также использование файлов мультимедиа (графику, аудио- и видеозаписи), программы и любые другие информационные объекты, защищенные авторским правом. Другой вид нарушения, тесно связанный с мошенничеством (а также такими излюбленными лакомствами, как зависть, злоба, гонор, присущи таким субъектам) инсайдер может попытаться подделать адрес отправителя с целью опорочить его доброе имя или скомпрометировать компанию. Для защиты от указанных угроз применяются средства контроля над всеми операциями, которые инсайдеры осуществляют на своих рабочих станциях.

2.5.6.5 Мошенничество

На практике мошенничество часто сводится к искажению финансовой документации, превышению полномочий при доступе к базе данных, модификации важной информации. В качестве защиты организациям следует использовать средства контроля финансовой отчетности, мониторинга всех действий пользователей и протоколирования любых операций с классифицированной информацией. Очевидно, что внедрение систем защиты от утечек позволяет создать целый ряд средств контроля конфиденциальной информации в корпоративной среде. В результате организация может выявить искажение чувствительных сведений и, следовательно, идентифицировать виновного инсайдера -- мошенника.

Часто, инсайдер может играть на чувствах другого (любви, озлобленности, зависти) другого сотрудника, скажем занимаемую должность, при которой мошенник сможет заполучить желаемую информацию через это лицо или доступ к ней. Почему, в большинстве компаний, например, корпоративная влюбленность не приветствуется. Только, если эти сотрудники показали себя как высокие профи и лояльные к компании. Тогда, такие пары образуют некоторый костяк культуры. Но это тема отдельной работы и мы её не рассматриваем здесь. Нужно понимать главное, что некоторая подозрительность у сотрудникам к ряду поведения и вопросам своих коллег смогут снизить этот риск. А также постоянная работа руководителя с подчиненными, чтобы выявить некоторое неудовольствие иных в зачатии.

2.5.6.6 Нецелевое использование информационных ресурсов компании

Или злоупотребление сетевыми ресурсами, проблема 98% компаний. Здесь актуальны все те угрозы, что всегда подстерегает серфингиста по Интернету. А также использование рабочего времени в своих целях, что может играть на скорости и качестве выполнения рабочих задач, а также увлеченность ряда романтичных натур может позволить третьим лицам использовать этот факт для кражи конфиденциальной информации. Погоня за «халявой» как мультимедийных файлов, программ, иных информационных ресурсов способно занести в корпоративную сеть немало гадости в виде троянских программ, загрузчиков, вирусов и т.д.

Итак, что подразумевается под нецелевым использованием ресурсов:: посещение в рабочее время сайтов неделовой (общей и развлекательной) направленности, не имеющее отношения к исполнению служебных обязанностей. Загрузка, хранение и использование файлов мультимедиа и развлекательных программ в рабочее время. Использование ненормативной, грубой, некорректной лексики при ведении деловой переписки, загрузка, просмотр и распространение материалов «для взрослых». Использование материалов, содержащих нацистскую символику, агитацию или другие противозаконные данные. Использование ресурсов компании для рассылки информации рекламного характера, спама или информации личного характера, в том числе персональных данных сотрудников, финансовых данных и т. д.

Защита от всех этих угроз обеспечивается с помощью жесткой централизованной политикой корпоративной ИБ, фильтрацией почтовых сообщений и веб-трафика. Однако, в отличие от фильтрации трафика при защите конфиденциальной информации от утечки, в данном случае производится фильтрация по совсем другим параметрам. Средства защиты от нецелевого использования информационных ресурсов не позволяют предотвратить или выявить утечку. И в тоже время системы предотвращения утечек не защищают от нецелевого использования ресурсов.

2.5.6.7 Саботаж ИТ-инфраструктуры

Один из самых опасных видов инсайдеров -- «обиженные», или «саботажники», т.к. они стремятся нанести вред по личным, чаще всего бескорыстным, мотивам. Это люди, психологически вбившие в свою голову цель, и идущие на пролом, для которых все средства хороши, и им не важно чего стоит информация которой они способны нанести вред или уничтожить. Обиженные сотрудники в своем арсенале способны использовать любой сценарий описанный выше, включая диверсию - скопировать крайне важную для компании информацию на свой мобильный носитель, а потом уничтожить ее на всех серверах фирмы и в резервных копиях на материальных носителях. В руках саботажника оказывается сильный манипулятивный механизм. Не редок случай удаления всей информации вообще (при увольнении или перед оглашением о своем увольнении). Поэтому мониторинг рабочей атмосферы и корпоративных конфликтов важен, в сумме с техническими ограничениями действий каждого сотрудника.

Комплексного решения для защиты от таких действий пока нет. Разные компании предлагают различные варианты решений, позволяющих минимизировать те или иные риски. Например, компания Info Watch поставляет систему комплексной защиты от утечки конфиденциальной информации, которая покрывает также и все другие угрозы, за исключением нецелевого использования сетевых ресурсов. Целый ряд других компаний -- «Инфосистемы Джет», Clearswift, SurfControl и ISS -- решают проблему злоупотребления информационными ресурсами компании.

2.6 Некоторые примеры социальной инженерии

2.6.1 Интернет мошенничество

По данным американского Центра по борьбе с интернет-мошенничеством, в 2002 г. 42 тысячи пользователей сети Интернет стали жертвами сетевых мошенников, а ущерб от их действий превысил $54 млн. По России подобная статистика, пока неизвестна, однако в последние несколько лет волна мошенничества прокатилась и по отечественному сегменту сети Интернет. При этом мало кто из активных "интернетчиков" ни разу не столкнулся бы с тем или иным проявлением мошенничества в сети

Основные составляющие мошенничества в сфере высоких технологий

Наиболее распространенным в России является высокотехнологическое мошенничество использующее методы "социальной инженерии", что подтверждает как статистический опрос, так и мнение экспертов за информационной безопасности, а также риск-менеджеров. Как уже было выяснено выше, этот вид мошенничества имеет две стороны одной медали - психологическую и технологическую. Психологическая составляющая воздействует на значимые элементы мотивационной пирамиды потенциальной жертвы, для побуждения ее к совершению действий, необходимых мошенникам. Повторюсь, что такими элементами мотивационной пирамиды могут быть:

· Стремление к получению материальной прибыли. Быстрое обогащение - основа большинства мошеннических предложений. Используется в мошенничестве с так называемыми "нигерийскими письмами", в инвестиционном мошенничестве и различных пирамидах.

· Желание бесплатно получить некоторые платные услуги и товары. Яркими примерами являются предложения неоплачиваемой сотовой связи и доступа в Интернет, примеры которого ниже.