информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Страшный баг в WindowsГде водятся OGRыВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / книги / атака на internet / социальная инженерия
АТАКА НА INTERNET
обложка
содержание
предисловие
о хакерах и не только
социальная инженерия
атаки на распределенные системы
атаки на хосты internet
методы сканирования
причины успеха удаленных атак
безопасные распределенные системы
как защититься от удаленных атак
сетевые операционные системы
атака через WWW
заключение
приложение
литература
работа над ашипками
рецензии
отзывы




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон





Социальная инженерия посредством сети Internet

Беседы через Internet

Для выявления паролей через IRC злоумышленники используют два или более одновременно открытых клиента IRC. Желательно иметь права оператора канала, но необязательно. Один из клиентов представляет собой bot (робот-исполнитель), а другой - это сам злоумышленник (например, ВОВ). Как происходит СИ:

ВОВ: Для получения прав оператора просто пошли сообщение роботу канала, но сначала необходимо проидентифицировать свой DNS. Если ты не знаешь, как это сделать, напиши /msg bot identify твой_пароль. Робот должен запомнить имя, DNS и впоследствии аутентифицировать тебя по набранному паролю.

После чего действительному оператору канала желательно сказать, что нет времени, и необходимо убегать. Все это для того, чтобы не появилось подозрения в соучастии.

Как только "пациент" посылает роботу такое сообщение, для создания полной иллюзии необходимо ответить от имени робота что-нибудь вроде такой фразы:

Имя_пациента: Клиент аутентифицирован. Установка прав оператора.

Теперь злоумышленник имеет пароль пользователя. Конечно, совсем необязательно, что это пароль применялся еще где-либо, но люди, не искушенные в безопасности, по привычке пишут везде один и тот же пароль.

Электронная почта

Работа с помощью электронной почты почти не отличается от работы с телефоном, но есть некоторые особенности:

  • в случаях переписки с незнакомыми людьми письма должны иметь соответствующий вид. Например, подпись в конце письма должна быть стандартной для больших компаний: следует указать имя, фамилию, должность, название организации, адрес и телефон;
  • при переписке со "знакомыми" людьми необходимо выдерживать дружеский стиль;
  • желательно не посылать письмо напрямую, а использовать поддельный адрес и/или скрывать IP-адрес, откуда пришло письмо.

Введем маленькое отступление для объяснения того, каким образом можно послать письмо с поддельным обратным адресом и что это значит. В любом передаваемом электронном письме существует header (заголовок), содержащий служебную информацию, такую как дата отправки, IP-адрес машины, с которой отправили письмо, название отправляющей программы, обратный адрес отправителя и т. д.

Эту информацию обычно можно просмотреть либо в программе, работающей с вашей почтой, либо в "сыром" виде, с помощью любого текстового редактора. Вот, что можно увидеть в этом заголовке:
From Nikolay@imagine.msk.ru Wed Jan 9 17:50:40 1999
Received: from mail1.relcom.ru ( mail1.relcom.ru [193.125.152.4]) by info.tsu.ru (8.8.5/8.8.2) with ESMTP id RAA01375 for <eugene@tsu.ru>; Wed, 9 Jan 1999 17:15:22 +0800 (TSD)
Received: from gw.imagine.msk.ru (root@localhost) by mail1.relcom.ru (8.7/8.7/akolb/960402) with SMTP id HAA07617 for <eugene@tsu.ru>: Fri, 9 Jan 1997 07:13:46 GMT
Received: from nick (nick.imagine.msk.ru [123.123.123.123]) by gw.imagine.msk.ru with SMTP id FAA06917 for <eugene@tsu.ru>; Fri, 8 Jan 1999 11:18:55 +0300
Message-Id: <s3b3a19f.011@gw.imagine.msk.ru>
X-Mailer: Mozilla 4.01 [en] (Win95; 1)
Date: Fri, 8 Jan 1999 11:18:20 +0300
X-UIDL: 867984288.012
From: Nikolay <Nikolay@imagine.msk.ru>
To: eugene@tsu.ru
Subject: For you information
Status: RO

Что здесь может заинтересовать вас или получателя вашего письма? Прежде всего, это поля "Received:", где содержится информация о маршруте, который прошло письмо. Как правило, последнее поле "Received:" показывает адрес машины, с которой это сообщение было отправлено. В самом простом случае, как здесь, будет написан IP-адрес. Тогда получатель письма точно сможет узнать, пришло ли оно от его знакомого.

Существует несколько способов сделать так, чтобы эти адреса не записывались, или чтобы туда записалась ложная информация.

Во-первых, можно использовать широко распространенные в Internet программы, позволяющие заполнить поля From, То и Host - адрес сервера, через который будет отправлена почта. Желательно выбирать сервер, не записывающий, откуда пришло письмо. Идеальный вариант, если этот сервер является еще и почтовым сервером реального отправителя.

Во-вторых, можно просто перенастроить ваш почтовый клиент (Netscape, Outlook Express, The Bat) на другое имя отправителя и другой адрес почтового сервера.

В третьих, можно использовать серверы, переправляющие почту, но стирающие всю информацию о пути прохождения сообщения, - так называемые remailers. Этот способ не очень эффективен, так как соответствующая информация все равно отразится в заголовке.

Мало того, что вы подмените адрес, в некоторых случаях придется поменять и имя программы-отправителя "X-Mailer:". Ну знаю я, что мой друг питает отвращение к Outlook Express, а тут вдруг пользуется им... Может быть, придется изменить даже дату отсылки сообщения! Если отправитель находится в противоположной точке земного шара и разница во времени составляет 12 часов (дата отправки обычно показывается всеми почтовыми программами), то отправление письма в 5 утра может насторожить получателя. Вопрос с датами в любом случае нужно прорабатывать подробнее, так как некоторые серверы ее изменяют, некоторые пишут ее относительно GMT и т. д.

Есть еще один вариант отправки - с помощью программы telnet. 25-й SMTP-порт - стандартный для приемки писем; к почтовому серверу можно подсоединиться на этот порт и самому набрать все поля. Для получения информации об интерфейсе общения можно набрать команду HELP. Обычно требуется ввод следующих полей:

  1. "rept to:" - кому отсылается письмо;
  2. "mail from:" - от кого пришло письмо;
  3. "data" - тело письма.

В тех случаях, когда сервер не записывает IP-адрес отправителя, этот метод тоже может помочь. Не будем останавливаться на деталях процесса, добавим только, что обычно проверкой подлинности письма никто не занимается, да и осуществить такую процедуру сможет далеко не каждый. Поэтому при "работе" с обыкновенными пользователями об этом, как правило, не задумываются, но иногда все же стоит перестраховаться.

Программа-пейджер

Вот, наконец, добрались и до ICQ (I seek you). Как мы уже упоминали, ICQ - это некоторое подобие электронной почты, а значит, с ней можно делать почти все, что и с e-mail. Кроме того, ICQ похожа на IRC, соответственно - те же комментарии. Чем же это средство общения отличается от описанных выше, и как его можно реально использовать в социальной инженерии?

Для тех, кто пока еще не знаком с ICQ, кратко объясним ее суть. В то время, когда вы работаете, она постоянно загружена на вашем компьютере, причем обычно показывается рабочая панель, на которой вы можете увидеть предварительно внесенные имена своих друзей и знакомых. Те из них, у кого в данный момент запущена эта программа, будут показаны вам в самом верху с различными иконками статуса (доступен, недоступен, временно ушел и т. д.). Для общения можно выбрать тип разговора - либо просто послать письмо, либо поговорить в режиме реального времени (больше похоже на программу talk (UNIX), чем на IRC).

Программа разработана не так давно, но уже широко используется, несмотря на множество ее недостатков. В последнее время в Internet стали появляться программы, которые способны тем или иным образом нарушить работу ICQ. Что же можно сделать с их помощью? Послать сообщение от чужого имени, дать возможность постороннему лицу увидеть список друзей, узнать пароль пользователя или просто удаленно вывести программу из строя. Не надо обладать особой проницательностью, чтобы придумать, как применить все это на практике. Да и отличить подделанное сообщение в ICQ значительно труднее, чем в e-mail. Для того чтобы исправить эти недостатки, фирма Mirabilis, разработчик ICQ, время от времени выпускает новые версии.

Все приведенные выше примеры не выдуманы, а взяты из реальной жизни. Они показывают, что наибольшую опасность для организаций представляют люди, а не слабая защита операционных систем. Далее рассмотрим, каким образом можно оградить себя от подобных методов несанкционированного проникновения.

[22215]




Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach