Правнуки лейтенанта Шмидта

Со времен древнего человека развивались два способа получить нечто, принадлежащее другому: силой и обманом. Первый подход породил гонку вооружений, а второй — целый класс приемов работы на уровне подсознания. Сегодня они известны как социальная инженерия и успешно используются для несанкционированного доступа в компьютерных сетях любого уровня защиты. Доступные технологии меняются быстро, а люди и их привычки — нет. Человек уязвим к методам социальной инженерии из-за своих предубеждений. Люди склонны замечать только то, что ожидают или боятся увидеть. Они домысливают пробелы в легенде и помогают этим хакеру.

Хакер во плоти. 

Сегодня социальная инженерия стала неотъемлемой частью тестов на проникновение. Их проведение заказывают частным фирмам крупные компании и государственные организации, каждый раз увеличивая число седых волос у руководителей подразделений. По их результатам устраивают тренинги для руководящего состава и увольняют наиболее провинившихся рядовых сотрудников. Однако ситуация от этого принципиально не меняется. 

Эксперт компании Pwnie Express Джейсон Стрит приводит множество показательных историй из своей практики. Как истинный этичный хакер, он, конечно же, не указывает названия фирм. Особенно запомнился ему двойной аудит банка X: заказчик попросил проверить как физическую, так и информационную безопасность своих филиалов. Джейсон подошел к вопросу со свойственной ему артистичностью. Он надел куртку с хакерской конференции DEF CON и направился в ближайшее отделение банка с трояном на флешке. 

Войдя в холл, он дождался момента, когда отлучится начальник отдела (спасибо за установку стеклянных перегородок!), после чего молча направился в служебную зону. Он беспрепятственно открыл дверь с табличкой «Только для персонала» и прошел к свободному компьютеру. Тут же были открытые кассы с наличными и много других интересных штук. 

Находившийся рядом сотрудник банка отвлекся от обслуживания очередного клиента и уставился на Джейсона с немым вопросом на лице. «Порядок! — ответил Джейсон. — Мне сказали проверить настройки подключения USB-устройств». Он вставил флешку в порт на передней панели, а банковский клерк решил, что это не его дело, и вернулся к работе. Джейсон сел в кресло и стал ждать. Он даже немного покрутился в нем, изображая скуку и смертную тоску, чем окончательно развеял опасения. Ленивый техник дурачится, что с него взять? 

За несколько минут троян скопировал базу данных, содержащую полную информацию о клиентах. В ней были имена и фамилии, адреса проживания, номера соцстрахования, водительских удостоверений и выданных банковских карт. Этого Джейсону показалось мало. Слишком легкие задачи его всегда немного расстраивали. «Похоже, этот компьютер сломан, — сказал он, вновь обращаясь к сотруднику банка. — Передай, что я забрал его в ремонт». Отсоединив провода, он вышел мимо охранника со свежей базой данных на флешке в кармане и системным блоком под мышкой. 

Может показаться, что это уникальный случай в каком-то отдельном банке, но Джейсон не раз использовал похожую методику. Просто потому, что никто не ожидает увидеть хакера во плоти. Для современных пользователей «хакер» — это красноглазый дядька в свитере на том конце сети, а не парень в соседнем кресле у тебя на работе. 

Нейросеть как универсальный шлюз

Инспектировать подобным образом государственное учреждение Джейсону было сложнее, но только поначалу. Проблема заключалась в том, что серверная находилась на втором этаже, а на первом был установлен турникет со сканером чипованных пропусков и постоянно дежурили вооруженные охранники. 

На этот раз Джейсон оделся посолиднее. Он подождал, когда закончится перерыв и в холле начнется столпотворение. Поравнявшись с одним из возвращавшихся сотрудников в трех метрах от турникета, он заговорил с ним как давний знакомый, чем дезориентировал охрану. Ей стало казаться, что Джейсон — новый парень, который успел подружиться с давно известным им сотрудником. Бывалый уже прошел по своему пропуску, а его новый компаньон замешкался и виновато попрощался перед турникетом.

«Кажется, я потерял этот гребаный пропуск, — посетовал Джейсон охраннику. — Мне теперь конкретно влетит». «О! Думаю, это не проблема, — ответил охранник, — сейчас мы выдадим вам временный, а потом вы либо найдете свой, либо получите новый, подав стандартное заявление». Сочувствие — великая сила. Она позволяет скучающему охраннику почувствовать себя мессией регионального масштаба и ощутить власть над судьбами людей. 

Получив пропуск прямо из рук охранника, Джейсон поднялся на второй этаж и зашел в серверную. «Мне надо проверить компы», — сказал он и пошел к ближайшему, но администратор был настороже. «Кто вы и что делаете здесь?» — спросил он. На этот случай у Джейсона была припасена дурацкая отмазка — распечатка сфабрикованного email, в котором один из руководителей фирмы якобы поручает ему сделать внеплановый аудит на аутсорсинге, поскольку обеспокоен низкой компетентностью собственных сотрудников. 

Это никогда не существовавшее в реальности письмо ударило прямо в самое уязвимое место админа — его профессиональную гордость. Он посмотрел пропуск Джейсона, стиснул зубы и сам проводил его по всем закрытым кабинетам, помогая установить на компьютеры в разных подсетях троян. Тот находился на флешке под видом утилиты для анализа сети, что было полуправдой — сеть он действительно анализировал, но немного по-своему. 

В каждом случае хакера спасает невероятная убежденность правомерности своих действий и детальное представление используемой легенды. Так считает Крис Хэднеги, ставший основателем компании с говорящим названием Social-Engineer Inc. Этой весной он проделал серию тестов на проникновение, в которых опробовал новую тактику. Задачей было выяснить у сотрудников крупной фирмы персональные данные, включая номера соцстрахования и сведения о внутренних учетных записях. Крис узнал номера телефонов из открытых источников, а затем просто обзвонил всех, представляясь новым ассистентом начальника отдела кадров. Он сказал, что в базе данных произошел сбой и теперь он, бедолага, все записи проверяет вручную. Поговорив с каждым по пять минут, он получил даже больше, чем требовалось. 

Социализируй это! 

Раньше для выполнения атаки с применением социальной инженерии приходилось подолгу собирать сведения о жертве. Покупать справочники, копаться в корпоративном мусоре в надежде обнаружить ценный документ, знакомиться с секретаршами и даже взламывать телефонные коммутаторы, как это описывает Кевин Митник в своей книге «Искусство обмана». Сегодня львиную долю грязной работы за хакера выполняют соцсети. Просто зайди в LinkedIn и узнаешь многое о компании и ее сотрудниках. Откуда они пришли, где учились, как долго и кем работают. Фейсбук расскажет все про их интересы и семьи. Twitter — о привычках и распорядке. Foursquare даже предоставит геолокацию и завершит образ потенциальной жертвы. Основная часть «кражи личности» теперь происходит еще до начала атаки. 

Для основателя Global Digital Forensics Джо Карузо соцсети и социальный инжиниринг — просто идеальное сочетание. Представь, что ты нашел в Facebook страницу руководителя компании, который только что уехал в отпуск. Посмотрев список его френдов, легко найти подчиненных и отправить им письмо с невинным текстом вроде: «Здесь невероятно круто! Только взгляни на эти фото!» Далее следует фишинговая ссылка, по которой сотрудник точно перейдет, потому что это письмо пришло якобы от его босса, желающего поделиться с ним своей радостью. 

Keep it simple! 

Иногда кажется, что социальная инженерия — это всегда многоходовка, в которой велик риск проколоться на любом этапе. Джон Хаймел из компании Solutionary, напротив, считает, что самые простые схемы часто оказываются самыми эффективными.

Во время аудита одной компании ему достаточно было обзвонить телефоны сотрудников, чтобы найти зацепку. Он даже не знал прямых номеров, а просто перебирал их. Один из клерков отправился в отпуск и оставил уведомление на своем автоответчике: «Меня не будет до такого-то числа. Если возникнут проблемы — звоните в техподдержку по телефону XX». Джон позвонил по указанному телефону и притворился, что парень вернулся из отпуска раньше по причине болезни. Имитируя простуду, он пожаловался на прерванный отпуск, срочный пакет документов, который надо было сдать еще до отъезда, и забытый пароль к почте — беда не приходит одна. 

Техподдержка прониклась сочувствием и без проблем сменила пароль. Так Джон вошел под украденной учетной записью в почтовый аккаунт отдыхающего сотрудника. Он посмотрел все его письма и нашел в них массу конфиденциальной информации, включая логины и пароли для доступа к корпоративным ресурсам. Через полчаса Джон авторизовался в домене, при этом никак не выдавая себя. Если бы на уровне доменной политики учетные записи сотрудников блокировались на время их отпуска, атака потерпела бы неудачу на этом этапе. Если бы техподдержка не выдавала новые пароли по телефону, Джона бы удалось остановить еще раньше. Однако забытый после отпуска пароль — настолько распространенная проблема, что никто даже не усомнился в реальности ситуации. 

Обратная социальная инженерия

Легендарный Кевин Митник сделал популярным сам термин «социальная инженерия» и подробно описал ее разновидности. Среди них особого внимания заслуживает тактика Reverse SE. В общем случае она заключается в том, что жертва попадает в условия, при которых сама сообщает необходимые данные — без лишних вопросов со стороны атакующего. Эту же тактику использовал Эдвард Сноуден, чтобы получить доступ к некоторым секретным материалам. Как выяснилось на слушаниях в Комитете по разведке сената США, Сноуден втерся в доверие к коллегам регионального центра управления АНБ на Гавайях, так как был системным администратором и часто помогал им решать технические проблемы. В нормальных условиях сисадмину не требуются пароли пользователей для выполнения своих задач. Он использует свою учетную запись или просит сотрудника залогиниться без разглашения пароля. По инструкции, если админ случайно узнает пароль пользователя, то сообщает об этом и просит 

сменить. Однако Сноуден сначала просто вежливо просил коллег называть учетные данные, а затем это вошло у них в привычку. Они сами звали его по любому поводу и первым делом называли текущий пароль своей учетки, стремясь помочь в решении проблемы. Используя данные более чем двадцати аккаунтов с разным уровнем доступа к секретной информации, 

Сноуден похитил более полутора миллионов файлов из сети АНБ. Он долго не вызывал подозрений, поскольку не делал ничего странного под своей учетной записью.

Кто проверит проверяющих? 

Бывает, что одну фирму нанимают проверить качество работы другой. Когда речь идет о социальной инженерии, это особенно актуальная практика. Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Его сотрудников только что напугали до чертиков предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают диски и флешки, не разглашают ничего по телефону и вообще строго следуют должностным инструкциям. 

«Да это же идеальные жертвы!» — подумал Швартау и принялся за работу. Он скопировал с сайта компании образец шапки делового письма, там же взял часть адресов обычной почты сотрудников, а остальные узнал из справочников. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.

В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности (сущая правда!). Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры. Далее для усыпления бдительности следовал детальный план с обилием технических терминов, которые офисный клерк вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях. В заключение письма говорилось, что с ИТ-отделом и службой безопасности теперь надлежит общаться только посредством физической почты, так как это единственный канал связи, недоступный хакерам. Постскриптум: указанный адрес не принадлежит компании, чтобы эти письма никто не мог вычислить и перехватить. «Мы будем помещать их в надежно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности, — говорилось в письме. — Прямо сейчас вам надлежит прислать свои учетные данные, чтобы мы проверили их вручную и завершили обновление системы». Двадцать восемь процентов сотрудников ответили на следующий же день, указав в письме все свои данные. 

Вывод Швартау неутешителен: как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет стопроцентной защищенности. Любые высокие показатели безопасности — лишь временный эффект. Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию.

Перечень ссылок: журнал "Хакер", 2015, №197

Жмите "Подписаться" чтобы первыми читать интересные статьи.

Обсудить в чате - @liechat | Обратная связь - @liemebot

Канал "Обмани меня" — здесь не обманут!

© 2017 @lieme