Искусство обмана

Анализ обмана


С помощью пары телефонных звонков, на которые было затрачено не более 15 минут, злоумышленник получил доступ к сети компании. Эта компания, подобно многим другим, имела, что называется, карамельную безопасность (candy security), впервые описанную Стивом Белловином и Стивеном Чесвиком – двумя исследователями из Bell Labs.

Они характеризовали такую безопасность как: «твердая хрустящая оболочка с мягким жевательным центром (chewy)», наподобие конфет M&M. Внешняя оболочка, брандмауэр, как доказали Белловин и Чесвик, является недостаточной защитой, потому что как только злоумышленник обойдет ее, внутренние компьютерные системы имеют мягкую, chewy-безопасность. В большинстве случаев, они недостаточно защищены.

Эта история соответствует данному определению. С помощью номера модема и аккаунта, взломщику не надо даже беспокоиться о преодолении интернет-брандмауэра, ведь как только он окажется внутри, то легко сможет подвергнуть риску большинство из систем внутренней сети.

Насколько я понял из моих источников, в точности такой трюк был проделан с одним из крупнейших мировых производителей компьютерного программного обеспечения. Вы могли бы подумать, что системные администраторы в этих компаниях должны быть обучены для обнаружения подобного рода проникновения. Но как показывает мой опыт, никто не может быть в полной безопасности, если социоинженер достаточно умен и убедителен.


Как и в предыдущей истории, эта уловка сработала только потому, что один из работников компании добровольно принял за чистую монету то, что звонивший был тем, кем он представился. Старание помочь коллеге, у которого возникла проблема, является, с одной стороны, частью того, что «смазывает колеса промышленности», и частью того, что позволяет работникам одних компаний более приятно взаимодействовать с работниками из других. Но именно эта услужливость может быть главной брешью, через которую пытаются проникнуть социоинженеры.

Одна из манипуляций Дэнни была восхитительна: Когда он просил кого-нибудь сходить и принести Secure ID из его стола, он использовал слово fetch (принести). Fetch – это команда, которую вы подаете своей собаке. Никто не хочет, чтобы его попросили «принести» что-либо. С помощью одного слова Дэнни устроил все таким образом, что в его просьбе «принести» было бы отказано и вместо этого принято другое решение, которое в точности соответствовало тому, к которому он стремился.

Оператор компьютерного центра Ковальски был обманут Дэнни с помощью упоминания имени человека, которого Ковальски, случайно знал. Но почему руководитель Ковальски, IT-менеджер, позволил какому-то незнакомцу получить доступ к внутренней сети компании? Просто потому, что звонок о помощи был веским и убедительным средством в арсенале социоинженера.




Ключ ко всем рассказанным историям – это получение ежедневных банковских кодов. Чтобы добыть их, атакующий Винс использует различные приемы.

Все начинается с легкого противоборства с Луи, который не хочет называть коды. У него есть все основания быть подозрительным: коды должен называть тот, кто звонит, а не кому звонят. В нормальной ситуации звонящий должен был назвать код сам. Это самый критичный момент для Винса, от которого зависит успех всей операции.

Чтобы развеять подозрительность Луи, Винс начинает давить на обычные человеческие чувства: «я собираюсь к доктору, уже 16 часов, а у меня еще куча работы», в сочетании с мягким запугиванием: «скажите ей, что я сделал все, что мог, но вы не назвали мне кода». Винс не пугает, он подразумевает, что Луи окажется в неудобном положении: если вы не назовете мне код, я не смогу переслать необходимую информацию вашему коллеге и она узнает, что вы не захотели ей помочь.



И все же не надо уж слишком обвинять Луи. Звонящий знает (или убедительно представляется знающим), что Анджела ждет факс, он знает о банковских порядках и даже об обозначении кодов при помощи букв. Он жалуется, что его начальник «озверел» в плане безопасности, что, скорее всего, характерно и для начальника Луи. Нет никаких оснований, отказывать ему в этой простой просьбе.

Луи совсем не одинок. Ежедневно сотни сотрудников банков называют коды безопасности хакерам. Это невероятно, но факт.

В деятельности Винса есть момент, когда из абсолютно законопослушного гражданина он становится преступником. Когда он узнает номер филиала банка и даже когда получает от Луи значения двух банковских кодов, еще нет повода для наказания. Он переступает границу, когда получает факс с конфиденциальными данными о клиенте банка.

Однако, для Винса и его нанимателя – это предприятие с очень небольшим риском. Когда вы крадете деньги или товары, кто-то наверняка заметит пропажу. Кражу информации очень сложно заметить, поскольку она никуда не исчезает, а остается на прежнем месте.




Давайте вернемся ко всей веренице уловок, с помощью которых Эрику удалось обмануть людей. Первый шаг – это получение конфиденциального номера DMV посредством звонка в комнату секретной связи Teletype в полицейском отделении. Ему поверили на слово, никак не проверив его личность.

Далее последовал звонок в департамент телекоммуникаций, где Эрику без колебаний поверили, что он является представителем Nortel, и снабдили телефонными номерами телефонных станций.

Эрику удалось безо всякого труда проникнуть на телефонную станцию, поскольку большинство производителей телефонного оборудования недостаточное внимание уделяют проблемам обеспечения безопасности и используют одно и то же имя пользователя для всех своих переключателей. Эта беззаботность позволяет хакеру быстро вычислить пароль, зная, что техники выбирают для паролей самые простые слова.

Получив доступ к переключателю телефонной станции, Эрик установил перенаправление звонка с одной из линий службы безопасности DMV на свой телефон.

После этого происходила самая трудная и в то же время наиболее эффектная часть работы, когда один полицейский за другим добровольно рассказывал Эрику все конфиденциальные сведения о себе, давая тому возможность в дальнейшем выдавать себя за них.

Операция удалась в результате сочетания мастерства и Эрика и беспечности целого ряда его собеседников. Она служит наглядным примером того, что люди никогда не задаются вопросом «Почему спрашивают именно меня?». Почему служащий в комнате секретной связи Teletype предоставляет сведения сотруднику шерифа – в нашем случае человеку, который всего лишь представился сотрудником шерифа – даже не предложив ему получить те же сведения у любого сержанта? Единственный ответ, который можно дать на этот вопрос заключается в том, что людям крайне редко задают такие вопросы, и они не знают – должны они на них отвечать или нет. Они не хотят выглядеть грубыми или невежливыми. Можно подумать о причинах такого поведения и еще, но меньше всего это занимает социального инженера; ему важно, что прием срабатывает, и он с легкостью получает информацию, которую по-другому очень непросто получить.




Стоит отметить, что в этой истории, основанной на реальных событиях, самозванцы были подростками, для которых вторжение являлось простой забавой. Они просто хотели посмотреть, получится ли у них выйти сухими из воды. Если парочке подростков удалось так легко провести всех вокруг пальца, можно представить, как легко это было бы сделать совершеннолетним похитителям, промышленным шпионам или террористам.

Каким образом три опытных охранника позволили паре самозванцев спокойно улизнуть? И не просто каким-то самозванцам, а подросткам, при виде которых любой разумный человек  должен был бы насторожиться.

Лерой был насторожен с самого сначала. Он сделал правильно, когда отвел их в отдел безопасности и стал задавать вопросы парню, выдающему себя за Тома Стилтона. И когда он проверял имена и телефоны, которые ему назвал этот парень. И, конечно, он правильно сделал, что позвонил менеджеру.

Но, в конце концов, он попался на крючок благодаря уверенности молодого человека и его негодованию. Лерой не мог предположить, что вор или самозванец будет так себя вести – только настоящий сотрудник повел бы себя так… По крайней мере он так думал. Надо было бы научить Лероя полагаться на веские факты, а не на восприятие.

Почему он не насторожился еще больше, когда молодой человек повесил трубку, не передав ее Лерою, чтобы тот сам смог услышать подтверждение непосредственно от Джуди Андервуд. И она бы сказала, что у этого паренька действительно была причина находиться на заводе так поздно.

Хитрость, на которую попался Лерой, была такой откровенной, что это даже очевидно.

Но посмотрите на это дело с его стороны: вчерашний выпускник школы, обеспокоенный за свою работу, которого раздирают сомнения. Вдруг у него будут неприятности из-за того, что он побеспокоил менеджера компании посреди ночи дважды? Если бы вы были на его месте, вы бы позвонили второй раз?

Но конечно, второй телефонный звонок не был единственно возможным ответным действием. Что еще мог сделать охранник?

Например, перед тем как позвонить, он мог бы попросить обоих предъявить какое-нибудь удостоверение личности, причем с фотографией.


Принимая во внимание мой личный опыт и опыт корпорации Оракл, вам вероятно будет небезынтересно узнать, почему кому-то хочется рисковать, воруя чей-либо мусор.

Ответ, я думаю, в том, что риск нулевой, а выгода может быть вполне существенной. Попытка подкупить уборщиков конечно повышает риск последствий, но для тех, кто готов лишь слегка запачкаться, давать взятку совершенно не обязательно.

Копание в мусоре выгодно и социоинженеру. Он может получить достаточно информации для нападения на определенную компанию. Это могут быть докладные записки, программы встреч, письма и все такое, что раскрывает имена, отделы, телефонные номера, задачи проектов. Мусор может выдать организационные схемы компании, информацию о ее структуре, графики поездок и так далее. Все эти детали покажутся сотрудникам компании слишком незначительными, однако могут стать драгоценной информацией для нападающего.

В своей книге «Безопасность в Интернете на основе Windows NT» Марк Джозеф Едвардс рассказывает об огромном числе рассекреченных документов благодаря паролям, которые были написаны на клочках бумаги, сообщениям «Меня нет на месте» с номерами контактных телефонов, папкам с документами, дискетам и пленкам, которые не были уничтожены или стерты – все то, что может помочь нападающему.

Автор восклицает: «Кто те люди, которые являются уборщиками? Вы регламентировали, что уборщикам нельзя входить в компьютерный зал. Но не забывайте про мусорные корзины. Если федеральные агенты считают необходимым проверять прошлое людей, у которых есть доступ к мусорным корзинам и уничтожителям бумаг, так может быть и Вам стоит следовать их примеру».

***




При помощи подростка-хакера, обиженный работник умудрился получить доступ к компьютеру начальника отдела, открыть файл с важной презентацией и поменять картинки на некоторых слайдах. Затем он просто вернул этот файл на место.

При помощи модема, подключенного к телефонной розетке и к офисному компьютеру, юный хакер смог подключиться к этому компьютеру находясь вне офисеа. Этот мальчишка установил удаленный доступ к компьютерным программам заранее для того, чтобы однажды подключившись к компьютеру, у него был доступ ко всем файлам, хранимых в единой системе. Так как этот компьютер был подключен к сети, а он знал логин и пароль босса, то без труда мог открыть любой файл босса.

Вся эта работа заняла несколько часов, включая и сканирование картинок из журналов. А последствия удара по репутации хорошего человека даже сложно вообразить!




Захватчик, который представился Питером Мильтоном, прибегнул к двум психологическим методам – одна методика была спланирована, другая –импровизация. Он оделся как менеджер, который зарабатывает хорошие деньги. Костюм, галстук, очень аккуратно причесанные волосы. Кажется, что это мелкие детали, но они производят впечатление. Я это сам открыл совершенно случайно. За короткое время, что я был программистом в компании GTE California – крупная телефонная компания, которая уже больше не существует – я выяснил однажды, что, входя в здание без пропуска, аккуратно одетым, но в повседневной одежде, например, спортивной футболке, хлопчатобумажных брюках, меня останавливали и начинали задавать вопросы. Где ваш пропуск, кто вы, где вы работаете? На следующий день я прибыл без пропуска, но в костюме и галстуке и выглядел очень официально. Я прибегнул к старой технике – присоединился к толпе людей, входящей в здание или проходящей через охрану. Я держался рядом с людьми, когда они приближались к главному входу, и прошел внутрь, болтая с кем-то из толпы, как будто я был одним из них. Я прошел мимо охранников. И даже если они заметили, что на мне нет пропуска, то не остановили меня. Потому что я выглядел как менеджер и я был с людьми, на которых были пропуска.

Из этого опыта я понял, насколько поведение охраны предсказуемо. Они, так же как и мы, судят по внешности – это и есть уязвимое место, которое социоинженеры научились использовать в своих интересах.

Второй психологический прием атакующий применил, когда заметил необычные достижения секретаря. Делая несколько дел сразу, она была спокойна, и вела делала так, что каждый чувствовал – она уделяет ему все свое внимание. Он увидел в этом желание продвигаться по службе. Потом, когда он заявил, что работает в отделе маркетинга, он наблюдал за ее реакцией, ожидая знака, с помощью которого между ними бы установилось взаимопонимание. У него это получилось. Для нападающего это означало, что у него теперь есть еще один человек, которым он может манипулировать, достаточно было пообещать девушке работу получше. (Само собой разумеется, если бы она сказала, что хочет работать в отделе бухучета, он бы заверил, что у него есть там знакомые, и он поможет найти работу.)




Это история проливает свет на интересную проблему. Платежные ведомости были доступны людям, занимающимся поддержкой компьютерных систем компании. Встает вопрос о том, можно ли им было доверять. Довольно часто ИТ-сотрудники не могут устоять от соблазна “вынюхать” информацию, лежащую на поверхности. И они имеют все возможности для этого, поскольку обладают привилегиями доступа к файлам.

Всегда разумно обеспечивать проверку любого доступа к таким важным файлам компании, как платежные ведомости. Конечно, человек с правами администратора может отключить проверку или уничтожить следы своего просмотра тех или иных файлов, но каждое такое дополнительное усилие также приходится маскировать, а это все труднее сделать.




Рассказанный эпизод наглядно демонстрирует, как социальный инженер может решить задачу, которая кажется совершенно непосильной, при этом обмануть несколько человек, заставив их делать то, что с их точки зрения совершенно безобидно. На самом деле каждое их действие представляло собой маленький кусочек, которые, складываясь воедино, сделали возможным это мошенничество.

Первым «кусочком» была сотрудница телефонной компании, которая думала, что дает информацию кому-то из правительственной организации.

Следующей стала сотрудница телефонной компании, которая знала, что не должна менять параметры телефонной линии без специального заказа на обслуживание, но согласилась помочь симпатичному человеку. Это дало возможность свободно звонить извне по всем десяти телефонам исправительного центра.

Для мужчины из исправительного центра в Майами, звонок коллеги из другого исправительного учреждения с просьбой помочь и сообщением о компьютерной проблеме был совершенно естественным. И хотя по здравому размышлению совершенно непонятно, зачем звонить из Нью-Йорка в Майами, чтобы узнать номер корпуса, где содержится заключенный, почему бы не ответить на вопрос коллеги?

А охранник из десятого северного корпуса, который поверил, что звонящий действительно его коллега звонит по официальному делу? Для него абсолютно естественным было позвать к телефону заключенного Гондорффа. Пустячное дело.

Целая серия хорошо спланированных шагов сложилась в единую цепь.




В этой атаке, которая базируется на использовании, как технических так и человеческих уязвимостей, атакующий начал свою работу с телефонных звонков для получения наименований и мест расположения серверов команды разработчиков, на которых хранится нужная ему информация.

Затем он использовал специальную программу, чтобы выяснить имена пользователей, имеющих учетные записи на сервере разработчиков. После этого он провел две последовательные атаки для выяснения паролей. Словарную атаку, которая отыскивала наиболее распространенные пароли, путем перебора всех слов из словаря, а также имен, географических названий и других известных слов.

Поскольку коммерческие и общедоступные хакерские средства могут быть запросто получены любым человеком, независимо от того, какие мысли бродят в его голове, надо гораздо более серьезно относиться к защите корпоративных компьютерных систем и сетевой инфраструктуры.

Степень этой угрозы нельзя переоценить. Как отмечает журнал Computer World, исследование фонда Оппенгеймера привело к потрясающим результатами. Вице-президент этого фонда по сетевой безопасности запустил ПО для атаки на сотрудников своей компании, используя один из широкодоступных пакетов программ: через три минуты ему удалось раскрыть пароли 800 сотрудников!




Любой охранник имеет набор инструкций, которым он должен следовать в процессе работы, но никакая инструкция не может предусмотреть все возможные ситуации. Никто не говорил этому охраннику, что пара строк напечатанных на компьютере по просьбе того, кого он посчитал сотрудником компании, может принести колоссальный вред.

Благодаря помощи охранника, оказалось достаточно просто получить доступ к ключевой системе, которая содержала оригинал кодов, несмотря на то, что была спрятана за закрытой дверью лаборатории. Естественно, у охранника есть ключи ко всем дверям.

Даже вполне лояльный сотрудник (в нашем случае Юлия) может быть обманут таким образом, что выдаст важную информацию социальному инженеру, например о расположении компьютера с этой информацией. А это в дальнейшем послужит ключом к успеху атаки, во время подготовки к выпуску очередной версии ПО для распространения. Это очень важно, поскольку если изменения такого рода сделаны слишком рано, то они имеют шанс быть обнаружены или устранены при переформировании операционной системы из независимого источника.

Вы зафиксировали тот факт, что охранник взял распечатку из лаборатории на свое рабочее место и затем уничтожил ее? Это очень важная деталь. Когда оператор, работающий на компьютере, придет утром на работу, он не должен найти следов присутствия атакующего ни в ПК, ни в мусорной корзине. Этого удалось избежать при помощи все того же охранника.




Конечно, такой звонок вполне мог на самом деле исходить от производителя баз данных. Но тогда он бы не попал в эту книгу.

В этом случае социальный инженер повлиял на свою жертву тем, что создал ощущение страха из-за возможности потерять важную информацию и предложил немедленное решение, как избежать этой потери.

Когда социальный инженер общается с тем, кто осознает ценность информации, он должен привести убедительные аргументы для получения параметров удаленного доступа. Иногда ему приходится создать ощущение срочности происходящего, чтобы не дать оппоненту возможности серьезно задуматься о том, что происходит на самом деле.




В этом примере атакующий достиг своей цели, заставив новичка действовать в своих интересах, опираясь на то, что новичок будет более расположен помочь старожилу и менее осведомлен о сотрудниках компании и правилах безопасности, которые могли бы ему помешать.

Поскольку Курт в разговоре с Анной, сотрудницей финансового отдела, представился вице-президентом, он знал, что почти наверняка она не станет проверять правильность его слов. Наоборот, она скорее всего получала удовольствие от того, что помогает вице-президенту.

И процесс установки шпионского ПО не вызвал у Анны никаких эмоций. Она и представить себе не могла, что ее совершенно безобидные действия помогут атакующему получить информацию, которая может быть использована против интересов ее компании.

Почему для сбора всей информации, исходящей от вице-президента, был выбран почтовый адрес на Украине? Прежде всего потому, что удаленное расположение адреса затрудняет действия против его владельца, а кроме того в таких странах подобные виды мошенничества еще не считаются серьезным преступлением. Именно поэтому, перекачивание украденной информации в те страны, которые не сотрудничают с правоохранительными органами США, является очень привлекательным выбором для хакеров.



Содержание раздела