Библиотека Интернет Индустрии I2R.ru

Под "социальной инженерией" подразумевается набор приемов, с помощью которых злоумышленник может собрать необходимые для взлома системы данные, злоупотребляя доверчивостью и/или халатностью сотрудников.

Большинство людей, живущих в цивилизованной среде, предрасположены к сотрудничеству, ибо без этого невозможно преуспевание. Цивилизованный человек, избалованный отсутствием ежедневной угрозы голода и опасности нападения, готов к сотрудничеству, склонен ответить скорее "да" чем "нет", обычно не отказывает в просьбе о мелкой помощи и неосторожно вступает в разговор с посторонними. И вот в некоторый момент среди мирного стада появляется волк в овечьей шкуре.

Один из способов получить нужную информацию - выдать себя за лицо, обладающее полномочиями. Злоумышленник может позвонить системному администратору и, представившись новым сотрудником, попросить создать для него учетную запись на сервере, "а то отдел кадров тянет с оформлением, а к работе надо приступить немедленно". Он может представиться сотрудником, забывшим свой пароль, и попросить изменить пароль на указанный им. Еще меньше подозрений вызовет вопрос о телефонном номере для удаленного доступа, который "был утерян, когда на моем домашнем ПК полетел диск со всем содержимым". Злоумышленник может позвонить сотруднику и, представившись системным администратором, спросить его пароль "в целях отладки и настройки системы" (в большинстве систем пароль недоступен администратору, ибо хранится в зашифрованном виде).

Во всех этих случаях замотанный своими делами собеседник часто склонен выполнить просьбу не утруждая себя проверкой личности звонящего. Ситуация усугубляется тем, что при контакте по телефону невозможно видеть лицо звонящего и наблюдать его мимику, а при общении по электронной почте невозможно даже уловить тембр голоса и интонацию. По счастью, обычно у злоумышленника нервы взвинчены до предела, поэтому достаточно пригласить его для личной беседы, мол "зайдите, и мы с Вами тут все сразу решим" или просто попросить оставить телефон "я сейчас занят, перезвоню через несколько минут", чтобы злоумышленник запаниковал и бросил попытку получить данные в этом месте. Еще лучше - попросить, чтобы кто-нибудь подтвердил полномочия собеседника, желательно - чтобы это делал знакомый Вам лично человек, а то у злоумышленника может быть наготове столь же фальшивый заверитель. Это не исключает вероятность подлога, но вряд ли кто-то будет ручаться за незнакомого человека, а если будет - вина падет на него, а не на Вас. При очень ответственных операциях необходимо удостовериться в личности собеседника "по полной программе", а еще лучше - получить распоряжение от своего начальства.

Основной вопрос, который надо решить системному администратору вместе с администрацией фирмы: сколько внимания надо уделять подготовке персонала к нападению злоумышленника, которое, может быть, вообще никогда не произойдет, тем более что чем выше готовность сотрудников к нападению, тем менее вероятно само нападение? Возможно также, что заучивший наизусть правила безопасности и свято соблюдающий их сотрудник допустит элементарную ошибку, которую в силу очевидности не внесли в эти самые правила. Или регулярные тренировки и проверки персонала превратятся в формальную повинность, отбываемую сотрудниками по стандартному сценарию, а при реальном нападении все будет совсем иначе, и выработанные тренировками привычки окажутся бесполезными.

Многие фирмы решают этот вопрос нанимая высокопрофессионального взломщика, который должен "прощупать" информационную систему на предмет наличия слабых мест, но не воспользоваться найденными дырками, а помочь администратору укрепить безопасность системы. Но многие менеджеры опасаются приглашать хакеров, справедливо указывая на невозможность проконтролировать их работу - ведь никто, кроме самих хакеров, не может быть уверен в том, что они сообщили без утайки обо всех найденных дырках и не воспользовались ими для кражи информации. Пожалуй, единственным критерием может служить предыдущий опыт работы нанимаемого хакера с другими фирмами, так же как "кредитная история" служит критерием при предоставлении кредита.

Пассивная социальная инженерия:

"Пассивная" - потому что стороннего "злоумышленника" как такового в ситуации не существует. "Охотник-злоумышленник" может не предпринимать активных действий для достижения своих грязных целей, либо злоумышленником, в некотором смысле, может являться сама "жертва". Это я к тому, что несанкционированное изменение, порчу, потерю - либо реальные, либо вполне возможные - зачастую организуют сами пользователи.

Рассмотрим маленький пример:

Вы наверное сами встречались с такой ситуацией. Как это обычно бывает: к вашей жене приходит подруга которой надо распечатать пару строк на принтере, а вы тем временем решили вздремнуть часок другой после работы. Ну и естественно разрешаете им воспользоваться своим компьютером, ну распечатать то файл они сумеют. Вот пожалуйста вставляю они дискету и на ваш компьютер попадает злобный вирус, который естественно и пожирает 200Мб ваших рабочих документов, или там был какой ни будь заумный троян, о последствиях сами можете догадаться...

Неправда ли знакомая ситуация? И таких примеров можно привести тысячи...