Социальная Инженерия
Интро
Со времен древнего человека развивались два способа получить нечто, принадлежащее другому: силой и обманом. Первый подход породил гонку вооружений, а второй — целый класс приемов работы на уровне подсознания. Сегодня они известны как социальная инженерия и успешно используются для НСД в компьютерных сетях любого уровня защиты. Доступные технологии меняются быстро, а люди и их привычки — нет.
WARNING
Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Журнал ошибок
Основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов. Например, в 1906 году в предместье Берлина безработный Вильгельм Фойгт купил на рынке изношенную форму прусского капитана и направился к ближайшим казармам. Там он встретил незнакомого сержанта с четырьмя гренадерами и приказал им захватить ратушу. Фойгт забрал у сдавшегося бургомистра без малейшего сопротивления всю городскую казну — четыре тысячи марок. Затем он отдал распоряжение всем оставаться на местах еще полчаса, после чего уехал из города на поезде уже в гражданской одежде.
Английские газеты долго вспоминали эту историю, указывая с сарказмом на заведенные в Германии столь странные порядки, что человек в форме обладает непререкаемым авторитетом. Однако суть этой и массы подобных афер лежит гораздо глубже. Они всегда работают на уровне психологии людей независимо от страны их проживания и актуальны по сей день. Именно из них выросла самая эффективная тактика сетевых атак — на нейросеть, уютно расположившуюся между монитором и спинкой офисного кресла.
Хакер во плоти
Сегодня социальная инженерия стала неотъемлемой частью тестов на проникновение. Их проведение заказывают частным фирмам крупные компании и государственные организации, каждый раз увеличивая число седых волос у руководителей подразделений. По их результатам устраивают тренинги для руководящего состава и увольняют наиболее провинившихся рядовых сотрудников. Однако ситуация от этого принципиально не меняется.
Эксперт компании Pwnie Express Джейсон Стрит приводит множество показательных историй из своей практики. Как истинный этичный хакер, он, конечно же, не указывает названия фирм. Особенно запомнился ему двойной аудит банка X: заказчик попросил проверить как физическую, так и информационную безопасность своих филиалов. Джейсон подошел к вопросу со свойственной ему артистичностью. Он надел куртку с хакерской конференции DEF CON и направился в ближайшее отделение банка с трояном на флешке.
Войдя в холл, он дождался момента, когда отлучится начальник отдела (спасибо за установку стеклянных перегородок!), после чего молча направился в служебную зону. Он беспрепятственно открыл дверь с табличкой «Только для персонала» и прошел к свободному компьютеру. Рядом были открытые кассы с наличными и много других интересных штук.
Находившийся рядом сотрудник банка отвлекся от обслуживания очередного клиента и уставился на Джейсона с немым вопросом на лице. «Порядок! — ответил Джейсон. — Мне сказали проверить настройки подключения USB-устройств». Он вставил флешку в порт на передней панели, а банковский клерк решил, что это не его дело, и вернулся к работе. Джейсон сел в кресло и стал ждать. Он даже немного покрутился в нем, изображая скуку и смертную тоску, чем окончательно развеял опасения. Ленивый техник дурачится, что с него взять?
За несколько минут троян скопировал базу данных, содержащую полную информацию о клиентах. В ней были имена и фамилии, адреса проживания, номера соцстрахования, водительских удостоверений и выданных банковских карт. Этого Джейсону показалось мало. Слишком легкие задачи его всегда немного расстраивали. «Похоже, этот компьютер сломан, — сказал он, вновь обращаясь к сотруднику банка. — Передай, что я забрал его в ремонт». Отсоединив провода, он вышел мимо охранника со свежей базой данных на флешке в кармане и системным блоком под мышкой.
Может показаться, что это уникальный случай в каком-то отдельном банке, но Джейсон не раз использовал похожую методику. Просто потому, что никто не ожидает увидеть хакера во плоти. Для современных пользователей «хакер» — это красноглазый дядька в свитере на том конце сети, а не парень в соседнем кресле у тебя на работе.
Нейросеть как универсальный шлюз
Инспектировать подобным образом государственное учреждение Джейсону было сложнее, но только поначалу. Проблема заключалась в том, что серверная находилась на втором этаже, а на первом был установлен турникет со сканером чипованных пропусков и постоянно дежурили вооруженные охранники.
На этот раз Джейсон оделся посолиднее. Он подождал, когда закончится перерыв и в холле начнется столпотворение. Поравнявшись с одним из возвращавшихся сотрудников в трех метрах от турникета, он заговорил с ним как давний знакомый, чем дезориентировал охрану. Ей стало казаться, что Джейсон — новый парень, который успел подружиться с давно известным им сотрудником. Бывалый уже прошел по своему пропуску, а его новый компаньон замешкался и виновато попрощался перед турникетом.
«Кажется, я потерял этот гребаный пропуск, — посетовал Джейсон охраннику. — Мне теперь конкретно влетит». «О! Думаю, это не проблема, — ответил охранник, — сейчас мы выдадим вам временный, а потом вы либо найдете свой, либо получите новый, подав стандартное заявление». Сочувствие — великая сила. Она позволяет скучающему охраннику почувствовать себя мессией регионального масштаба и ощутить власть над судьбами людей.
Получив пропуск прямо из рук охранника, Джейсон поднялся на второй этаж и зашел в серверную. «Мне надо проверить компы», — сказал он и пошел к ближайшему, но администратор был настороже. «Кто вы и что делаете здесь?» — спросил он. На этот случай у Джейсона была припасена дурацкая отмазка — распечатка сфабрикованного email, в котором один из руководителей фирмы якобы поручает ему сделать внеплановый аудит на аутсорсинге, поскольку обеспокоен низкой компетентностью собственных сотрудников.
Это никогда не существовавшее в реальности письмо ударило прямо в самое уязвимое место админа — его профессиональную гордость. Он посмотрел пропуск Джейсона, стиснул зубы и сам проводил его по всем закрытым кабинетам, помогая установить на компьютеры в разных подсетях троян. Тот находился на флешке под видом утилиты для анализа сети, что было полуправдой — сеть он действительно анализировал, но немного по-своему.
В каждом случае хакера спасает невероятная убежденность в правомерности своих действий и детальное представление используемой легенды. Так считает Крис Хэднеги, ставший основателем компании с говорящим названием Social-Engineer Inc. Этой весной он проделал серию тестов на проникновение, в которых опробовал новую тактику. Задачей было выяснить у сотрудников крупной фирмы персональные данные, включая номера соцстрахования и сведения о внутренних учетных записях. Крис узнал номера телефонов из открытых источников, а затем просто обзвонил всех, представляясь новым ассистентом начальника отдела кадров. Он сказал, что в базе данных произошел сбой и теперь он, бедолага, все записи проверяет вручную. Поговорив с каждым по пять минут, он получил даже больше, чем требовалось.
Социализируй это!
Раньше для выполнения атаки с применением социальной инженерии приходилось подолгу собирать сведения о жертве. Покупать справочники, копаться в корпоративном мусоре в надежде обнаружить ценный документ, знакомиться с секретаршами и даже взламывать телефонные коммутаторы, как это описывает Кевин Митник в своей книге «Искусство обмана». Сегодня львиную долю грязной работы за хакера выполняют соцсети. Просто зайди в LinkedIn и узнаешь многое о компании и ее сотрудниках. Откуда они пришли, где учились, как долго и кем работают. Фейсбук расскажет все про их интересы и семьи. Twitter — о привычках и распорядке. Foursquare даже предоставит геолокацию и завершит образ потенциальной жертвы. Основная часть «кражи личности» теперь происходит еще до начала атаки.
INFO
Человек уязвим к методам социального инжиниринга из-за своих предубеждений. Люди склонны замечать только то, что ожидают или что боятся увидеть. Они домысливают пробелы в легенде и помогают хакеру.
Для основателя Global Digital Forensics Джо Карузо соцсети и социальный инжиниринг — просто идеальное сочетание. Представь, что ты нашел в Facebook страницу руководителя компании, который только что уехал в отпуск. Посмотрев список его френдов, легко найти подчиненных и отправить им письмо с невинным текстом вроде: «Здесь невероятно круто! Только взгляни на эти фото!» Далее следует фишинговая ссылка, по которой сотрудник точно перейдет, потому что это письмо пришло якобы от его босса, желающего поделиться с ним своей радостью.
Keep it simple!
Иногда кажется, что социальная инженерия — это всегда многоходовка, в которой велик риск проколоться на любом этапе. Джон Хаймел из компании Solutionary, напротив, считает, что самые простые схемы часто оказываются самыми эффективными.
Во время аудита одной компании ему достаточно было обзвонить телефоны сотрудников, чтобы найти зацепку. Он даже не знал прямых номеров, а просто перебирал их. Один из клерков отправился в отпуск и оставил уведомление на своем автоответчике: «Меня не будет до такого-то числа. Если возникнут проблемы — звоните в техподдержку по телефону XX». Джон позвонил по указанному телефону и притворился, что парень вернулся из отпуска раньше по причине болезни. Имитируя простуду, он пожаловался на прерванный отпуск, срочный пакет документов, который надо было сдать еще до отъезда, и забытый пароль к почте — беда не приходит одна.
Техподдержка прониклась сочувствием и без проблем сменила пароль. Так Джон вошел под украденной учетной записью в почтовый аккаунт отдыхающего сотрудника. Он посмотрел все его письма и нашел в них массу конфиденциальной информации, включая логины и пароли для доступа к корпоративным ресурсам. Через полчаса Джон авторизовался в домене, при этом никак не выдавая себя. Если бы на уровне доменной политики учетные записи сотрудников блокировались на время их отпуска, атака потерпела бы неудачу на этом этапе. Если бы техподдержка не выдавала новые пароли по телефону, Джона бы удалось остановить еще раньше. Однако забытый после отпуска пароль — настолько распространенная проблема, что никто даже не усомнился в реальности ситуации.
Подобные простые приемы использовал Майк Буратовски, который сегодня занимает пост вице-президента компании General Dynamics Fidelis Cybersecurity Solutions. Однажды он сыграл на лени сотрудников проверяемой фирмы и использовал простой метод перенаправления.
Он нашел адрес веб-страницы сетевого шлюза компании (SSL VPN) и разместил фишинговую страницу по ссылке с похожим адресом. Сотрудникам Майк разослал email от имени сисадмина со следующим сообщением: «Из-за ухудшающейся погоды и руководствуясь заботой о здоровье персонала мы приняли решение обеспечить всем возможность комфортной удаленной работы. Наш сервер сейчас выполняет апдейт, и всем без исключения надлежит обновить клиентскую часть вручную. Пожалуйста, перейдите по указанной ссылке для загрузки новой версии. Во время установки вас попросят ввести логин и пароль».
Идея сработала. В первый же час более 60% сотрудников оставили на фишинговой странице данные своих корпоративных аккаунтов и даже ничего не заподозрили. ИТ-отдел забил тревогу только через полтора часа, когда число жертв превысило 75%. Среди них были представители всех отделов (включая сам ИТ) и большая часть руководства.
Рыба гниет с головы
Технические меры безопасности практически не снижают риски от атак методами социальной инженерии, считает Марк Раш, директор подразделения сетевой безопасности Computer Sciences Corporation. «Не существует устройства, которое запретит людям быть идиотами», — прокомментировал он отчет аудита подведомственных организаций Министерства внутренней безопасности США. За два года до инцидента со Сноуденом там проверяли людей, которые отвечают за предотвращение угроз в масштабах страны, и они повели себя как малые дети.
Служба собственной безопасности разбросала на парковке возле правительственного здания несколько компакт-дисков. Часть из них была без опознавательных знаков, а на другие был нанесен логотип DHS. Усевшись за мониторы камер наблюдения, офицеры стали наблюдать за поведением людей.
Вскоре примерно 60% дисков без надписей были подобраны и вставлены в приводы рабочих компьютеров сотрудников самых разных отделов. В группе дисков с логотипом министерства так поступили в отношении 90% болванок. Практически каждый подумал, что нашел ценную пропажу, и захотел почувствовать себя героем шпионской истории.
Схожая история произошла весной этого года с Министерством обороны Израиля. Связанные с ЦАХАЛ компьютерные сети заразили способом, впервые опробованным при распространении примитивного червя ILOVEYOU в 2000 году. Как минимум четыре месяца из правительственных сетей выкачивалась информация о текущих контрактах и передислокации военных сил. Расследовать инцидент наняли калифорнийскую фирму Blue Coat, недавно приобретенную частной инвестиционной компанией Bain Capital.
Эксперт Blue Coat Уэйлон Грандж утверждает, что сам код червя был примитивным. Судя по оставшимся метаданным, его наспех писали арабские программисты с помощью популярных хакерских утилит и модулей удаленного администрирования. Некоторые модификации использовали грубый бэкдор, работу которого в итоге и заметили сотрудники одной из служб безопасности.
Для обхода антивирусов авторы воспользовались методом обфускации, но главный фокус заключался в ручной методике распространения. По всем общедоступным адресам израильского МО и его контрагентов разослали электронные письма с темой Girls of the Israel Defence Forces и схожими по смыслу вариациями. Любопытные сотрудники запускали аттач через одного, даже несмотря на предупреждения встроенных систем безопасности о подозрительном вложении.
Обратная социальная инженерия
Легендарный Кевин Митник сделал популярным сам термин «социальная инженерия» и подробно описал ее разновидности. Среди них особого внимания заслуживает тактика Reverse SE. В общем случае она заключается в том, что жертва попадает в условия, при которых сама сообщает необходимые данные — без лишних вопросов со стороны атакующего. Эту же тактику использовал Эдвард Сноуден, чтобы получить доступ к некоторым секретным материалам. Как выяснилось на слушаниях в Комитете по разведке сената США, Сноуден втерся в доверие к коллегам регионального центра управления АНБ на Гавайях, так как был системным администратором и часто помогал им решать технические проблемы.
В нормальных условиях сисадмину не требуются пароли пользователей для выполнения своих задач. Он использует свою учетную запись или просит сотрудника залогиниться без разглашения пароля. По инструкции, если админ случайно узнает пароль пользователя, то сообщает об этом и просит сменить. Однако Сноуден сначала просто вежливо просил коллег называть учетные данные, а затем это вошло у них в привычку. Они сами звали его по любому поводу и первым делом называли текущий пароль своей учетки, стремясь помочь в решении проблемы. Используя данные более чем двадцати аккаунтов с разным уровнем доступа к секретной информации, Сноуден похитил более полутора миллионов файлов из сети АНБ. Он долго не вызывал подозрений, поскольку не делал ничего странного под своей учетной записью.
Кто проверит проверяющих?
Бывает, что одну фирму нанимают проверить качество работы другой. Когда речь идет о социальной инженерии, это особенно актуальная практика. Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Его сотрудников только что напугали до чертиков предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают диски и флешки, не разглашают ничего по телефону и вообще строго следуют должностным инструкциям.
«Да это же идеальные жертвы!» — подумал Швартау и принялся за работу. Он скопировал с сайта компании образец шапки делового письма, там же взял часть адресов обычной почты сотрудников, а остальные узнал из справочников. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности (сущая правда!). Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры. Далее для усыпления бдительности следовал детальный план с обилием технических терминов, который офисный клерк вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях.
В заключение письма говорилось, что с ИТ-отделом и службой безопасности теперь надлежит общаться только посредством физической почты, так как это единственный канал связи, недоступный хакерам. Постскриптум: указанный адрес не принадлежит компании, чтобы эти письма никто не мог вычислить и перехватить. «Мы будем помещать их в надежно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности, — говорилось в письме. — Прямо сейчас вам надлежит прислать свои учетные данные, чтобы мы проверили их вручную и завершили обновление системы». Двадцать восемь процентов сотрудников ответили на следующий же день, указав в письме все свои данные. Ни один тренинг не помог им понять, что и в XXI веке хакер может отправить письмо на бумаге.
«Иногда я сам удивляюсь результатам, — комментирует Швартау другую историю из своей практики. — Мы проверяли сотрудников одной компании после очень серьезного курса подготовки по безопасности. Они имели на руках свежие сертификаты, но с треском провалились на первом же нашем тесте». Идея была настолько примитивной, что ее никто не воспринимал всерьез. Всем сотрудникам отправили совершенно дурацкое письмо — из тех, что обычно сразу попадают в категорию «спам». В нем говорилось, что человек выиграл крупную сумму. Чтобы получить ее, надо пройти по указанной ссылке. Сорок процентов (!) только что сертифицированных «профессионалов» купились на эту древнюю уловку и загрузили троян.
Вывод Швартау неутешителен: как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет стопроцентной защищенности. Любые высокие показатели безопасности — лишь временный эффект.
Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию.
«Невозможно предвосхитить все сценарии атак, поэтому мы стараемся выработать у сотрудников критическое мышление и элементарную осторожность», — комментирует свой подход Крис Хэднеги. Если всякий раз, заметив отклонения в повседневной работе, звонить в службу безопасности, то она погрязнет в проверке ложноположительных результатов. Однако это все же лучше, чем думать, что все в порядке, и продолжать игнорировать хакера, сидящего в соседнем кресле. Один такой случай может лишить компанию всего.