Введение в компьютерную безопасность для начинающих
Все-таки желательно, гражданин артист, чтобы вы незамедлительно разоблачили бы перед зрителями технику ваших фокусов. М. Булгаков. Мастер и Маргарита
Наверное Вы чуть ли не каждый день слышите о хакерах. Данные Центробанка продаются? Виноваты хакеры! В Интернете появились данный очередной знаменитости - хакеры, а кто же иначе! Даже в поломках своих компьютеров часто винят хакеров.
Но так ли они виноваты и всемогущи - эти "боги" компьютеров? Не помогаем ли мы им в силу своих возможностей? Об этом я постараюсь рассказать в цикле статей о компьютерной безопасности.
Самая первая из них посвящена взлому хакерами Ваших компьютеров вовсе даже без компьютеров. Как такое возможно? Рассказываю о Социальной Инженерии.
Часть 0(1). Социальная Инженерия
Хакеры(или те, кого пользователи, слабо знакомые с компьютерами, обычно называете хакерами) могут получить доступ Вашим данных даже не прикасаясь к вашему компьютеру. Вы сами сделаете за него его работу. Те способы и приёмы, которые они применяют, и называются социальной инженерией(2).
Что же это такое? Если Вы попробуете найти значение этого сочетания в словаре, то прочитаете буквально следующее: "Социальная инженерия(далее в тексте будем писать сокращённо - СИ) - термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель - обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы".
Но если сказать коротко и понятно - то это просто мошенничество, обман. Но тем, кто Вас обманывает, не слишком нравится такой термин : поэтому и появилось такое "благородное название". Как говорил Весельчак У из "Тайны Третей планеты" - "Мы не бандиты, мы благородные пираты".
Как же это происходит? Какими приёмами пользуются профессионалы взлома, чтобы обмануть Вас и получить нужную им информацию? Рассмотрим это на примерах.
Пример первый: Вы получаете письмо:
Уважаемый пользователь портала mail.ru. Мы проводим перерегистрацию пользователей портала и удаление пользователей, долгое время не работающих с нашим порталом. Для подтверждения продолжения пользования нашим сервисом пошлите на адрес MailSupport@mail.ru ваше имя и пароль. В случае отсутствия ответа от Вас ваш аккоунт будет автоматически удалён в течении 5 дней.
С уважением, администрация портала mail.ru.
Возможен и другой вариант письма - от Вас не просят послать пароль по указанному адресу, а просто просят сменить его на другой, указанный в этом письме.
В чём же подвох такого письма? Да в том, что ни одна администрация интернетовского ресурса - будь то бесплатная или платная почта, хостинг ваших сайтов, блоги и другое - не нуждается в ваших паролях. Они и так имеют полный доступ к своему ресурсу и могут самостоятельно сменить(3) Ваш пароль, если потребуется. Точно так им не нужно спрашивать у Вас - пользуетесь ли Вы их ресурсом или нет. Им это прекрасно видно.
Что же получает мошенник? Во-первых - полный доступ Вашему ящику, и он даже может закрыть доступ для Вас. Во-вторых - он теперь может, пользуясь Вашим адресом, отравлять письма Вашим партнёрам по бизнесу(а их адреса он легко может узнать взглянув на адреса тех, с кем Вы переписываетесь). А значит он, пользуясь Вашим именем, может обделывать свои дела, компрометируя в итоге Вас. В третьих - эта почта может быть указана как контрольная в других ресурсах Интернет(например в номере ICQ) - и ваш "неизвестный доброжелатель" получает доступ и к ним тоже. В четвёртых : в общем чем более продвинут взломщик, тем больше он вреда Вам нанесёт.
Как бороться с этим? Да очень просто - не поддавайтесь на такие провокации. А для того, чтобы Вы не попадались, провайдеры даже стали помещать на своих сайтах подобные тексты: "Уважаемые клиенты, если Вам приходят письма от нашего имени с просьбой изменить Ваши пароли на что-то, указанное в письме - не делайте этого. Это попытка Вас обмануть. При любых спорных ситуациях связывайтесь с нами по телефону и мы ответим Вам на Ваши вопросы. ".
Пример второй: "криворукий пользователь"
Наверное некоторое из Вас баловались в детстве такими невинными звонками: "Алло, это зоопарк?" - "Нет". - "А почему обезьяна у телефона?". Теперь слегка его изменим, внесём сюда СИ:
Звонок 1:
- Алло, это ЖЭУ. У Вас вода есть?
- Есть
- Срочно наполняйте ванну!
- А зачем?
- Бегемота к Вам придём купать(бросает трубку)
Звонок 2:
- Алло, это милиция. Вам хулиганы звонили?
- Да, звонили.
- И что говорили?
- Да сказали ванну надо налить, бегемота привезут купать ...
- И вы налили?
- Нет.
- Так чего же Вы, бегемот уже в пути!(бросает трубку, давясь от хохота)
В чём особенность этого звонка? Особенность в том, что неизвестный Вам человек получил информацию(хотя бы и шуточную) от Вас. Теперь представим более жизненную ситуацию. Организация, занимающая несколько комнат(или даже этажей), звонок администратору сети:
Хакер: Позовите администратора у телефону, у меня проблемы
Администратор: Это я. В чём дело то?
Х.: Ой! Извините, мне отчёт надо делать, а я в сеть не могу войти.
А.: (Про себя: БЛИИИН!!! Достали уже, ламеры!) И что компьютер говорит при входе?
Х.: Говорит??? Он пищит просто и в сеть не пускает..
А.: (Ха!) Ну пишет он что на экране?
Х.: Сейчас посмотрю : "вронг пассворд".
А.: (Ну-ну, еще бы...) Вот оно что!... А пароль то вы правильно набрали?
Х.: Да я его никак вспомнить не могу ...
А.: А имя в сети какое?
Х.: masha.
А.: Ну ладно, сменю вам пароль на... пускай будет такой - masha999. Запомнили? (Если ещё раз позвонит - убью!)
Х.: Ой! Спасибо. (Сам ламер!)
P.S. А Вы думаете что не бывает девушек - хакеров? Вы сильно ошибаетесь!
Вот так мы получили доступ в систему. Допустим нам мало доступа под определённым пользователем, нам нужен более полный доступ, от имени администратора. Скажете - невозможно? Ничего невозможного нет. Конечно это не пройдёт у Вас там, где администратор постоянно находится на месте во время работы. Но часто администратор появляется не каждый день, а только в определённое время, а в остальное - администрирует удалённо. Тогда возможен такой сценарий:
Пример третий: "больной администратор"
1. Отыскивается организация, в которой администрирование проводится подобным способом(4).
2. Следует невинный звонок секретарю, чтобы узнать, с кем можно проконсультироваться по проблемам работы с системой, а также узнаётся, когда его можно застать
3. Далее, в тот день, когда администратора точно нет, следует звонок с изменённым голосом(5) якобы от него(6). Тому же секретарю говорится, что он заболел(поэтому голос немного непохож на нормальный), а сейчас, как назло, надо обновлять систему, поскольку он только что по Аське(7) узнал, что появился новый злобный вирус, который разрушает документы. Как назло, он забыл свой пароль, но он сейчас скажет, что надо делать. И, если секретарь достаточно доверчив и его удастся убедить(а вероятность этого вовсе не нулевая), то через короткое время взломщик получает полный контроль над сервером, а затем и над всей сетью.
В чём общность всех этих примеров?
1. Взломщик делает так, чтобы жертва сама была "заинтересована" в результате
2. Взломщик использует техническую неграмотность жертв
3. Лень и доверчивость - вот главные помощники взломщика. В примерах 2 и 3 легко было убедится в том, что звонит вовсе не тот человек. В примере 1 можно было, зайдя на сайт, убедится что администрация не проводит ничего такого, что указано в письме.
С помощью этих простейших(но часто действенных) примеров Вы получили понятие, что же такое СИ и как действует взломщик, применяющий их. Но все эти примеры - только простейшие, которые пришли в голову в течении 15 минут мозгового штурма. Реальный социальный инженер, этот современный Остап Бендер компьютерного разлива, может прибегнуть и к более изощрённым методам. Как же бороться с ними, как не попасть на удочку мошенника?
Специалисты в области компьютерной безопасности говорят вот что:
"Осведомленность сотрудников - вот что играет ведущую роль в защите организаций от проникновения в компьютеры и компьютерные сети с помощью СИ. СИ основана на использовании таких сторон человеческой природы, как неосторожность и беззаботность - изживайте их у сотрудников(хотя бы финансовым способом).
Осведомленность очень важна потому, что это предварительная, предупреждающая мера. Она нацелена на усвоение всеми служащими фирмы основных принципов и необходимых правил защиты. Конечно же, этот аспект требует обучения и последующего тестирования работников фирмы."
Какие же шаги надо предпринять:
1. Привлечь внимание сотрудников к вопросам безопасности
2. Добиться осознания сотрудниками всей серьёзности проблемы
3. Наладить обучение сотрудников - какие методы и действия они должны предпринимать для зашиты информации
Какой же минимальный набор конкретных методов и действия должны знать сотрудники?
Если сообщаете защищённую информацию, прибегайте к помощи обратного звонка
Телефоны сотрудников фирмы известны или их легко узнать у секретаря. Легко проверить, тот ли человек звонит, просто позвонив по известному номеру. Кончено это замедляет скорость работы, но при этом достаточно сильно защищает от возможных потерь, если закрытая информация попадёт не в те руки. Если от сотрудников потребовать делать встречные звонки любому, кто просит сообщить персональную или конфиденциальную информацию, риск её утечки информации будет сведен к минимуму.
Обучайте персонал элементарным правилам безопасности
Хотя приведённые в примерах выдача своего пароля постороннему может показаться глупым в процессе прочтения этой статьи, многие компьютерные пользователи не увидят в этом ничего плохого. Фирмы тратят деньги, закупая компьютерное оборудование, но при этом "забывают" обучать пользователей. Поэтому, при такой порочной практике, компьютерщики и специалисты в области безопасности должны понимать: то, что для них естественно, может быть совершенно неизвестно остальным. Но достаточно элементарного обучения, чтобы предотвратить потерю информации по вине необученных пользователей.
Создайте систему оповещения об угрозах
Взломщики знают, что, даже если их обнаружат, у сотрудника фирмы часто нет возможности предупредить других сотрудников об атаках. В результате атака может быть продолжена с минимальными изменениями и после компрометации. По существу, компрометация только улучшит атаку, так как атакующие узнают, что именно не срабатывает.
Каковы дальнейшие шаги, после проведения обучения? Конечно же проверка. А наилучшая проверка действенности(или нет) защиты от СИ заключается в том, чтобы проверка также проводилась с помощью СИ. Естественно проверка должна быть доверена только квалифицированным и надёжным людям.
Вместо итога:
Методы СИ, которые применяют взломщики, представляют серьезную угрозу информационной безопасности для любой фирмы. Нужно создать и разработать различные варианты политики безопасности, определить правила корректного использования телефонов, компьютеров и т. д. Необходимо учитывать и слабую осведомленность в области безопасности, так как любые средства технического контроля (независимо от их эффективности) могут быть использованы людьми ненадлежащим образом. В итоге тестирование системы безопасности должно обеспечить вам защиту от проникновения.
В дополнение:
С автором статьи легко связаться через почту сайта, почту адресуйте на ник ником FreeCat. Если же Вы заинтересовались вопросами безопасности компьютеров и взлома, то добро пожаловать на форум компьютерной безопасности forum.web-hack.ru , где Вы можете прочитать практические рекомендации в области взлома и защиты и задать свои вопросы. Только убедительная просьба начать задавать их в разделе Для новичков (Trash) - иначе Ваше пребывание на форуме ВХБ будет недолгим, к чему, возможно, приложит руку и автор статьи, являющийся админом на этом форуме.
1. В программировании обычно начинаю считать не с единицы, а с нуля. Привыкайте.
2. Это просто калька с английского термина Social Engineering. К сожалению более корректного русского термина пока не придумано.
3. А вот сам пароль они, скорее всего, не знают - если только не заводили его для Вас. Это связано с особенностью современной системы хранения паролей.
4. Это делается с помощью специальных программ, обсуждение работы которых выходит за материал данной статьи.
5. Имеется достаточно большое количество программ, которые это делают - даже мужской голос легко переделывается в женский или детский, а также наоборот.
6. Для надёжности стоит позвонить ему, чтобы "послушать", как он говорит, какой у него голос - чтобы потом знать, под какой голос подстраиваться.
7. Так компьютерщики называют программу ICQ.
Статья создана для журнала "Умный Офис", издаваемый рекламно-издательской кампанией "Июль в Швейцарии", опубликован в номере 4`2006. Любое использование материалов данной статьи возможно только с согласия рекламно-издательской кампании "Июль в Швейцарии".
|