BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/library/books/mitnick/chapter05/

Глава 5: "Разрешите Вам помочь"

(Chapter 5 "Let Me Help You")

Перевод: Daughter of the Night (admin[at]mitnick.com.ru)

Мы все благодарны, когда кто-нибудь со знанием, опытом и желанием помочь приходит и предлагает помочь с проблемами. Социальный инженер понимает это, и знает, как извлечь из этого выгоду.

Он также знает как создать вам проблему... а потом сделать вас благодарными, когда он решит проблему... и на вашей поиграв на вашем чувстве благодарности, извлечет из вас информацию или попросит оказать небольшую услугу, которая  оставит вашу компанию (или вас лично) в гораздо более плохом состоянии после встречи. И вы можете даже не узнать, что вы потеряли что-то ценное.

Есть несколько типичных способов, которыми социальные инженеры пытаются "помочь".

Неполадки в сети 

Дата/Время: Понедельник, 12 февраля, 15:25
Место: Офис кораблестроительной фирмы Starboard.

Первый звонок: Том ДиЛэй

"Том ДиЛэй, бухгалтерия".
"Здравствуй, Том, это Эдди Мартин, отдел техпомощи, мы пытаемся найти причины неисправности компьютерной сети. Были ли у кого-либо в вашей группе проблемы с подключением?"
"Нет, я не в курсе".
"А у тебя?"
"Нет, все вроде в порядке".
"Окей, это хорошо. Мы звоним людям, на кого это может повлиять, потому что важно всех проинформировать заранее, если будут внезапные отключения".
"Это звучит нехорошо. Вы думаете, это может случиться?"
"Надеюсь, что нет, но если что случится, позвонишь?"
"Можешь не сомневаться".
"Похоже, отсутствие связи будет для тебя проблемой".
"Бесспорно".
"Так что пока мы над этим работаем, я дам тебе свой сотовый. Тогда ты сможешь мне все сообщить при первой необходимости".
"Отлично, говори".
"Номер 555 867 5309".
"555 867 5309. Записал. Спасибо. А как тебя зовут?"
"Эдди. И последнее. Мне надо знать, к какому порту подключен твой компьютер. Посмотри, там где-то есть наклейка с надписью "Порт N..."
"Сейчас... Нет, не вижу ничего подобного".
"Ладно, тогда сзади компьютера. Ты узнаешь сетевой провод?"
"Да".
"Тогда посмотри, где он подключен. Там должна быть табличка".
"Подожди секунду. Сейчас. Мне придется туда пролезть, чтобы ее увидеть. Вот. На ней написано Порт 6-47."
"Отлично, как раз как записано про тебя. Просто проверяю".

Второй звонок: Человек из техобслуживания

Через пару дней поступил звонок в отдел локальной сети.

"Здравствуй, это Боб, я в офисе Тома ДиЛэя из бухгалтерии. Мы пытаемся найти неисправность в кабеле. Надо отключить порт 6-47."

Человек из техобслуживания сказал, что это будет сделано за несколько минут, и попросил перезвонить, когда потребуется включить порт.

Третий звонок: Помощь от врага.

Примерно через час, человек, представившийся как Эдди Мартин, ходил по магазинам в Circuit City, и вдруг зазвенел телефон. Он посмотрел номер звонящего, узнал, что он из кораблестроительной компании поспешил в спокойное, тихое место, прежде чем ответить.

"Отдел техпомощи, Эдди."
"О, здравствуй, Эдди. Проблемы со связью. Ты где"?
"Я, э, в кабельной комнате. Кто это"?
"Это Том ДиЛэй. Я рад, что нашел тебя. Может, помнишь, ты мне звонил недавно? Мое соединение не работает, как ты и говорил, и я немножко паникую".
"Да, у нас сейчас отключена куча людей. Но мы все поправим к концу дня. Сойдет"?
"НЕТ! Черт, я серьезно отстану, если я буду отключен столько времени. Никак нельзя побыстрее"?
"Насколько это важно?"
"Пока я могу заняться другими делами. Может, ты все поправишь за полчаса?"
"ПОЛЧАСА? Ну ладно, я брошу то, чем я занимаюсь, и попытаюсь сделать что-нибудь для тебя".
"Я очень благодарен, Эдди!"

Четвертый звонок: Попался!

Через 45 минут...

"Том? Это Эдди. Проверь свое подключение".

Через несколько минут:

"Отлично, оно работает. Великолепно".
"Хорошо, что я смог тебе помочь".
"Да, спасибо большое".
"Слушай, если ты хочешь быть уверен, что твое подключение больше не прервется, надо поставить одну программку".
"Сейчас не лучшее время".
"Я понимаю... Но зато не будет проблем в следующий раз, когда произойдет сбой сети".
"Ну... только если это займет несколько минут".
"Вот что надо сделать..."

Эдди рассказал Тому, как скачать маленькое приложение с одного сайта. После того, как программа скачалась, Эдди сказал запустить ее двойным щелчком мыши. Он попробовал и сказал:

"Не работает. Она ничего не делает".
"Ужас. Наверно, что-то не так с программой. Давай от нее избавимся, и попробуем еще раз в другое время". Он рассказал Тому, как безвозвратно удалить программу.

Затрачено времени: 12 минут.

История атакующего

Бобби Уоллас считал, что это смешно, когда он находил хорошее задание, вроде этого, и его клиент увиливал от неприкрытого, но очевидного вопроса - зачем ему нужна эта информация. В данном случае он мог предположить, что могут быть только две причины. Возможно, они были заинтересованы в покупке кораблестроительной компании Starboard, и хотели узнать, как у них обстоят дела с финансами - особенно все то, что компания может скрывать от потенциального покупателя. Или они были представителями инвесторов, которые думали, что есть что-то подозрительное в том, что делается с деньгами, и хотели узнать, не  вмешаны ли их исполнители во что-либо.

А возможно, клиент не хотел говорить Бобби истинную причину потому, что если он узнает, насколько ценна информация, он, скорее всего, попросит больше денег.

***

Существует множество способов взломать самые секретные файлы компании. Бобби провел несколько дней, обдумывая различные варианты и выполняя небольшую проверку перед тем, как он наметил план. Он остановился на том, в котором применялся его любимый подход, где все подстроено так, что жертва просит атакующего о помощи. 

Для начала, Бобби купил сотовый телефон за $39.95 в продуктовом магазине. Он позвонил мужчине, которого он выбрал в качестве цели, представился  сотрудником техподдержки компании, и устроил все так, чтобы мужчина позвонил Бобби на сотовый, если возникнет проблема с сетью.

Он сделал паузу в несколько дней, чтобы все не было слишком очевидно, и позвонил в центр сетевых операций (network operations center, NOC) той компании. Он утверждал, что устраняет проблему для Тома, его жертвы, и попросил отключить сеть Тому. Бобби знал, что это была самая коварная часть плана - во многих компаниях люди из техпомощи тесно общались с NOC; на самом деле, он знал, что техпомощь обычно является частью IT отдела организации. Но равнодушный парень из NOC, с которым он говорил,  принял звонок как рутину, и даже не спросил имя человека из техпомощи, который теоретически работал над проблемой в сети, и согласился отключить сетевой порт "цели". Когда все будет сделано, Том будет полностью изолирован от локальной сети компании, не сможет работать с файлами с сервера, обмениваться информацией с сотрудниками, скачивать почту, и даже отправлять страницы на принтер. В сегодняшнем мире, это все равно, что жить в пещере.

Как Бобби и ожидал, вскоре зазвенел его сотовый. Конечно, он старался звучать так, будто он жаждет помочь своему "товарищу-сотруднику" в беде. Тогда он позвонил в NOC и вновь включил сетевое соединение мужчины. Наконец, он позвонил мужчине и снова использовал его, на этот раз, заставив его почувствовать вину, сказав "нет" после того, как Бобби оказал ему услугу. Том согласился выполнить просьбу и скачал программу на свой компьютер.

Конечно, то, с чем он согласился, не было тем же, чем казалось. Программа, которая, как было сказано Тому, должна была предотвращать отключение его соединения, на самом деле была троянским конем - программным приложением, которое сделало с компьютером Тома то же, что первоначально сделали с Троянцами: она была внесена противником в лагерь. Том отчитался, что ничего не произошло, когда он 2 раза кликнул по ярлыку; на самом деле, было задумано, чтобы он не мог видеть, как что-то происходит, даже не смотря на то, что приложение установило секретную программу, которая позволит взломщику получать скрытый доступ к компьютеру Тома.

С работающей программой, Бобби получал полный контроль над компьютером Тома, который называется удаленной командной строкой. Когда Бобби подключился к ПК Тома, он смог посмотреть все бухгалтерские файлы, которые могут оказаться интересными, и скопировать их. Затем, в свое удовольствие, он проверил файлы на наличие информации, которая даст клиентам то, чего они ищут.

LINGO
Троянский конь
- программа, содержащая хулиганский или вредоносный код, созданная для того, чтобы повредить компьютер или файлы жертвы, или получить данные из компьютера или сети. Некоторые трояны прячутся в ОС компьютера, и смотрят за каждой нажатой клавишей или действием, или принимают команды через сетевое соединение с целью выполнения некоторой функции, и это происходит без ведома жертвы.

И это было еще не все. Он мог вернуться в любое время, и просмотреть электронную почту и личные памятки служащих компании, сделав поиск текста, который сможет показать любые лакомые кусочки информации. 

Поздно, тем же вечером, когда он обманом заставил свою жертву установить троянского коня, Бобби выкинул свой сотовый в помойку. Конечно, он был осторожен, и очистил память, а потом вытащил батарейку, прежде чем выбросить его - ему меньше всего было надо, чтобы кто-нибудь случайно набрал номер, и телефон зазвонил.

Анализ обмана

Атакующий плетет сети для того, чтобы убедить жертву, что у него есть проблема, которая на самом деле не существует. Или, как в данном случае, проблема, которой пока нет, но атакующий знает, что она будет, так как он ее и создаст. Он представил себя человеком, способным найти решение.

Организация этого вида атаки особенно привлекательна для атакующего. Из-за того, что все было спланировано заранее, когда "цель" узнает, что у него есть проблема, он звонит и умоляет о помощи. Атакующий просто сидит и ждет, когда зазвенит телефон - эта тактика более известна, как обратная социальная инженерия. Атакующий, который может заставить жертву позвонить ему,  получает мгновенное доверие: "если я позвоню кому-нибудь, кто, как мне кажется, из технической поддержки, я не буду просить его подтвердить свою личность". В этот момент можно считать, что атакующий уже победил.

LINGO
Удаленная командная строка - Неграфический интерфейс, который принимает текстовые команды для выполнения определенных функций или запуска программ. Атакующий, который эксплуатирует технические уязвимости или может установить Троянского Коня на компьютер жертвы, получает доступ к удаленной командной строке.
Обратная социальная инженерия - Социально инженерная атака, в которой атакующий создает ситуацию, где жертва сталкивается с проблемой, и просит атакующего о помощи. Другая форма обратной социальной инженерии переводит стрелки на атакующего. Цель распознает атаку и использует психологические приемы, чтобы узнать как можно больше информации об атакующем, чтобы бизнес мог направленно охранять свое имущество.


Сообщение от Митника

Если незнакомый человек окажет вам услугу, а потом попросит сделать что-либо, не делайте этого, не обдумав хорошенько то, что он просит.

В афере, подобной этой, социнжинер пытается выбрать такую цель, у которой ограниченные знания в области использования компьютеров. Чем больше он знает, тем больше вероятность того, что он что-то заподозрит, или поймет, что его пытаются использовать. Такой человек, который мало знает о технике и процедурах, "рабочий, бросивший вызов компьютеру", скорее всего, подчинится. Очень вероятно, что он попадет на уловку вроде "Просто скачайте эту программу", потому что даже не подозревает, сколько вреда может принести подобное ПО. Помимо этого, зачастую он не понимает ценности информации, которой он рискует.

Немного помощи для новенькой девушки.

Новые сотрудники - сочные цели для атакующих. Они еще многого не знают - они не знают процедуры, что можно и что нельзя делать в компании. И, ради создания хорошего впечатления, они жаждут показать, как быстро и хорошо они могут работать и откликаться на просьбы.

Доброжелательная Андреа

"Отдел кадров, говорит Андреа Калхун".
"Андреа! Привет, это Алекс, отдел безопасности корпорации".
"Да".
"Как твои дела сегодня"?
"Все ОК, чем могу быть полезна?"
"Слушай, мы тут планируем семинар по безопасности для новых сотрудников, надо подыскать несколько человек. Мне нужен список имен и телефонов сотрудников, которых взяли на работу за последний месяц. Можешь мне с этим помочь?"
"Но я не смогу сделать это до обеда, это не страшно? В каком отделении ты работаешь?"
"А, ладно, отделение 52...  но я буду почти весь день на деловых встречах.  Я тебе перезвоню, когда буду в офисе, где-то после 4-х. 

Когда Алекс позвонил где-то в 4:30, Андреа уже подготовила список и прочла ему имена и номера отделений.

Сообщение для Розмери

Розмери Морган была очень рада получить эту работу. Она никогда раньше не работала в издательстве, и все казались ей гораздо более дружелюбными, чем она ожидала, что удивительно, учитывая  бесконечное напряжение под которым находился коллектив, чтобы успеть сделать новый номер за месяц. И звонок в этот четверг подтвердил ее впечатление о дружелюбии.

"Вы Розмери  Морган?"
"Да"
"Здравствуй, Розмери, это Билл Джордай, отдел безопасности информации".
"Чем могу быть полезна"?
"Кто-нибудь из нашего отдела обсуждал с тобой технику безопасности?"
"Вроде, нет".
"Так, посмотрим.  Для начала, мы не позволяем никому устанавливать программное обеспечение не из компании. Это потому что мы не хотим отвечать за использование лицензионных программ. А также чтобы избежать проблем с программами, содержащими червь или вирус".
"Окей."
"А ты знаешь, что мы предпринимаем для безопасности электронной почты?"
"Нет".
"Какой у тебя сейчас e-mail"?
"Rosemary@ttrzine.net"
"Вы используете логин Rosemary"?
"Нет, R_Morgan".
"Итак. Всем новым сотрудникам надо знать, что опасно открывать вложенные файлы, которых вы не ожидаете... Много вирусов и червей распространяются и приходят ос адресов тех людей, кого вы знаете. Так что если ты не ожидала письма с вложением,  ты должна проверить, действительно ли отправитель его отправил. Понятно?"
"Да, я об этом слышала".
"Отлично. По нашим требованиям, пароль надо менять каждые 90 дней. Когда ты в последний раз меняла пароль?"
"Я тут всего две недели, и использую тот, который я в начале поставила".
"Окей. Это хорошо. Но мы должны быть уверены, что люди используют пароли, которые не слишком легко отгадать. Используешь ли ты пароль, состоящий из букв и цифр?"
"Нет".
"Ну, мы это поправим... Какой пароль ты используешь сейчас?"
"Имя моей дочери - Annette."
"Это не очень безопасный пароль. Ты никогда не должна использовать пароль, основанный на семейной информации. Так, посмотрим. Вы можете сделать так же, как я. То, что ты используешь сейчас, сойдет для 1-й части пароля, но каждый раз, когда его меняешь, добавляй число текущего месяца".
"Так что если я сменю пароль сейчас, в Марте, я поставлю «3»".
"Это уже как хочешь. Какой вариант тебе подойдет?"
"Я думаю, Annette3".
"Отлично. Тебе рассказать, как его изменить?"
"Нет, я знаю как".
"Хорошо. И последнее, о чем надо поговорить. У тебя на компьютере есть антивирус, который надо регулярно обновлять. Ты не должна отключать автоматическое обновление, даже если твой компьютер временно тормозит. Ладно?"
"Конечно".
"Отлично. У тебя есть наш номер, чтобы ты могла связаться с нами в случае неполадок?"

Номера у нее не было. Он сказал ей номер, и она его аккуратно записала, и вернулась к работе, опять довольная, что о ней заботятся.

Анализ обмана

Эта история затрагивает основную тему, которая упоминается на протяжении всей книги: чаще всего, информация, которую социальный инженер хочет получить от работника, не знающего о его конечной цели, это аутентификационные данные жертвы. Зная имя пользователя и пароль одного из пользователей, который находится в нужной части компании, атакующий получит то, что ему нужно, чтобы попасть вовнутрь и найти любую нужную ему информацию. Обладать этими данными - то же самое, что найти ключи от города; с ними в руке, он сможет свободно ходить по корпоративному пространству и найдет сокровище, которое он ищет.

Сообщение от Митника

Прежде, чем новым сотрудникам будет разрешено получить доступ к компьютерным системам, они должны быть обучены правилам  безопасности, в особенности правилам о нераскрывании паролей.

Не так безопасно, как думаешь

"Компания, которая не прикладывает усилий для защиты важной информации просто поступает небрежно". Многие люди согласятся с этим утверждением. И мир был бы более приятным местом, если бы жизнь была бы более простой и очевидной. Правда в том, что даже те компании, которые прикладывают усилия для защиты конфиденциальной информации, так же могут быть в опасности.

История Стива Крэмера

Эта не была большая лужайка, из тех, с дорогими саженцами. И она явно не была достаточно большой, чтобы дать повод для нанимания косильщика на постоянную работу, что его вполне устраивало, потому что он все равно ой не пользовался. Стив наслаждался подстриганием травы ручной газонокосилкой, и это предоставляло ему убедительное оправдание, чтобы сфокусироваться на его собственных мыслях вместо того, чтобы слушать рассказы Анны о людях в банке, с которыми она работала, или объясняла ему очередные поручения. Он ненавидел записки вроде "Дорогой, сделай...", которые стали неотъемлемой частью его выходных. В его голове вспыхнуло, что его 12-летний сын Пит очень умный и пойдет в команду по плаванью. Но теперь ему придется ходить на тренировки или встречать его каждое воскресенье, так что он не будет настолько застревать с субботней уборкой.

Некоторые люди могут подумать, что работа Стива по созданию новых устройств для GeminiMed Medical Products  была скучной; Стив же знал, что он спасает жизни. Стив считал, что он занимается творческой работой. Художник, композитор, инженер - все они, с точки зрения Стива, стояли перед одним и тем же испытанием, что и он: они создавали нечто, что никто до них не делал. В последнее время, он работает над новой моделью искусственного сердца, и это станет его величайшим достижением.

Было почти 11-30 в эту субботу, и Стив был раздражен потому, что он еще не закончил стричь траву, и у него не было новых идей в изобретении метода уменьшения энергозатрат в сердце,  последнее оставшееся препятствие. Идеальная проблема, над которой можно подумать во время скоса газона, и он еще не придумал решение.

Анна появилась из-за двери. Ее голова была покрыта красным  ковбойским платком, который она надевала, когда убиралась.

"Тебе звонят", - она крикнула ему. "Кто-то с работы".

"Кто?" - Стив крикнул в ответ.

"Ральф какой-то. Мне кажется".

Ральф? Стив не мог вспомнить кого-нибудь из GeminiMed по имени Ральф, который мог бы позвонить ему в выходной. Но, похоже, Анна перепутала имя.

"Стив, это Рэймон Перез из техподдержки". Интересно, как же Анне удалось перепутать испанское имя на "Ральфа", подумал Стив.

"Это просто звонок вежливости", говорил Рэймон. "Трое из серверов не работают, возможно, у нас появился червь, и нам придется переустановить драйвера и восстанавливать все из архивов. Мы полностью восстановим Ваши файлы в среду или четверг. Если повезет".

"Абсолютно недопустимо", - Стив сказал, пытаясь не дать своему гневу завладеть им. Как люди могут быть такими глупыми? Они правда думают, что он сможет обойтись без доступа к своим файлам все выходные и большинство недели? "Ни за что. Я сяду за свой домашний терминал через 2 часа, и должен буду получить доступ к своим файлам. Я ясно выражаюсь?"

"Да, да, и каждый, кому я звонил, хочет поставить себя в верх списка. Я остался без выходных, пришел на работу, и выслушиваю жалобы каждого, с кем я говорю".

"У меня жесткие сроки выполнения работы, компания рассчитывает на это;  я должен закончить работу сегодня в полдень".

"Мне еще многим надо позвонить, прежде чем я даже смогу начать", - выложил Рэймон. "А что если ты получишь свои файлы во вторник?"

"Не во вторник, не в понедельник, а СЕЙЧАС! "- сказал Стив, интересуясь, кому же он еще позвонит, если пункт еще до него не дошел.

"Ладно, ладно", сказал Рэймон, и Стив услышал в его голосе знаки раздражения. "Дай посмотрю, что я смогу для тебя сделать. Ты используешь RM22, верно?"

"RM22 и GM16. Оба".

"Ясно. Я могу кое-как что-нибудь сделать, не потратив много времени - мне понадобится твое имя пользователя и пароль".

Ой, подумал Стив. Что здесь происходит? Зачем ему мой пароль? Зачем нужно сотрудникам IT спрашивать об этом?

"Какая там у вас фамилия? Кто ваш начальник?"

"Рэймон Перез. Смотрите, вот что я вам скажу: когда вас принимали на работу, был листок, которого надо было заполнить для получения учетной записи, и ты записал пароль. Я могу посмотреть, что у тебя записано, идет?"

Стив обдумывал это несколько моментов, а потом согласился. Он ждал с растущим нетерпением, пока Рэймон пошел искать документ из архива. В конце концов, снова у телефона, Стив мог слышать, как он шелестит стопкой бумаги.

"Ах, вот оно", в конце концов, сказал Рэймон. "Вы записали пароль "Janice"."

Дженис, подумал Стив. Так звали его маму, и он иногда использовал его или в качестве пароля, когда заполнял бумаги при приеме на работу.

"Да, верно", - он признался.

"Окей, мы тратим время зря. Вы знаете, что я серьезно, и если вы хотите, чтобы я воспользовался коротким путем и вернул ваши файлы поскорее, вам придется мне помочь".

"Мой ID - s, d, нижнее подчеркивание, cramer - c-r-a-m-e-r. Пароль - "pelican1".

"Я сейчас этим займусь", сказал Рэймон, наконец-то звуча любезно. "Дай мне пару часов".

Стив закончил с газоном, поел, и когда он добрался до компьютера, он обнаружил, что его файлы были действительно восстановлены. Он был доволен собой, потому что справился с недружелюбным парнем из IT, и надеялся, что Анна слышала, насколько утвердительно он звучал. Было бы неплохо устроить парню или его боссу нагоняй, но он знал, что это - одно из тех вещей, до чего у него никогда не дойдут руки.

История Крэйга Коборна

Крэйг Коборн был продавцом в одной высокотехнологичной компании, и делал свою работу очень хорошо. Через некоторое время он начал осознавать, что у него есть навык ощущения покупателя, понимание, где человек будет сопротивляться, а где у него слабость или уязвимость, которая сильно увеличивала шансы продать товар. Он начал думать о том, как использовать его талант и этот путь привел его к куда более прибыльной области: промышленному шпионажу.

Это было срочное задание. Мне кажется, оно займет немного времени и прибыли хватит, чтобы поехать на Гавайи. А может быть, Таити. 

Парень, который нанял меня, не сказал, конечно, кто клиент, но понятно, что это - некая компания, которая хотела догнать соперников за 1 большой и простой прыжок. Все, что мне надо сделать - получить схемы и спецификации изделия для нового устройства под названием искусственное сердце, что бы это ни значило. Компания называлась GeminiMed. Никогда не слышал о ней, но это - состоятельная компания с офисами в полудюжине разных мест - что делает работу гораздо проще, чем в маленькой компании, где есть серьезный шанс, что парень, с которым ты разговариваешь, знает парня, за которого ты себя выдаешь, и знает, что это не ты. Это, как говорят пилоты о столкновении в воздухе, может испортить весь твой день.

Мой клиент послал мне факс, вырезку из медицинского журнала, в котором говорилось, что GeminiMed работают над сердцем с кардинально новой структурой, и она будет называться STH-100. Громко заявив об этом, какой-то репортер уже сделал большую часть работы за меня. И у меня уже была важная информация даже раньше, чем я начал - название нового продукта.

Проблема первая: получить имена людей из компании, которые работали над STH-100 или нуждаются в просмотре его схем. Так что я позвонил телефонистке  и сказал: "я обещал связаться с одним из людей из группы инженеров, но не помню его фамилии, а его имя начиналось на "С".  И она сказала, что "у нас есть Скотт Арчер и Сэм Дэвидсон". Я пошел дальше. "Кто из них работает над STH-100?" Она не знала, так что я решил выбрать Скотта Арчера, и она набрала его номер.

Когда он ответил, я сказал "Здравствуй, это Майк, из почтового отдела. У нас посылка для группы разработчиков Искусственное сердце  STH-100. Ты случайно не знаешь, кому это отдать?" И он назвал мне имя руководителя проекта, Джерри Мендела. Я даже смог уговорить его посмотреть его номер для меня.

Я позвонил. Мендела не было на месте, но его автоответчик сказал, что он будет в отпуске до 13-го, что означало, что у него целая неделя для катания на лыжах или чего бы то ни было другого, а в его отсутствие можно звонить Мишель по телефону 9137. Какие любезные люди! Очень любезные!

Я положил трубку и позвонил Мишель, и когда она ответила, я сказал: "Это Бил Томас, Джерри сказал мне, что я должен буду позвонить тебе, когда будет готовы документы, которые он хотел показать своим ребятам из группы. Вы работаете над искусственным сердцем, верно?" Она сказала, что да.

Теперь переходим к сложной части аферы. Если она стала бы подозревать что-то, я был готов выложить карту, что я просто пытался оказать услугу, о которой попросил Джерри. Я сказал: "какой системой вы пользуетесь"?

"Системой"?

"Какими серверами пользуется ваша группа"?

"А", - она сказала, -"RM22. И некоторые из группы также пользуются  GM16". Отлично. Мне это было нужно, и я смог спросить у нее,  не вызвав подозрения. И это немного смягчило ее перед следующей частью, которую я пытался сделать как можно более обыденно. "Джерри сказал,  что вы можете дать мне список адресов электронной почты людей из команды разработчиков", сказал я и задержал дыхание.

"Конечно. Список слишком длинный, чтобы прочитать, можно я тебе его отправлю по e-mail"?

Ой! Любой адрес, который не заканчивается на geminimed.com, будет как огромный красный флаг. "А что если вы мне его отправите по факсу"?

Она была не против.

"Наш факс не в порядке . Я перезвоню как только получу номер другого", я сказал и положил трубку.

Вы можете подумать, что меня могла обременить эта неприятная проблема, но есть еще один обыденный трюк из торговли. Я подождал некоторое время, чтобы мой голос не показался знакомым секретарше, позвонил ей и сказал: "привет, это Бил Томас, наш факс тут не работает, можно отправить к вам факс"? Она сказала "конечно", и дала мне номер. 

А потом я просто вхожу и забираю факс, верно? Конечно нет. Первое правило: никогда не посещайте помещения, если это не обязательно. Они будут долго мучаться, пытаясь опознать тебя, если ты просто голос из телефона. И даже если они тебя опознают, то не смогут арестовать. Сложно надеть наручники на голос. Так что я позвонил секретарше через некоторое время и спросил: пришел ли мой факс? "Да", она сказала.

"Слушай", я сказал ей, "мне надо отправить это нашему консультанту. Ты можешь выслать это за меня"? Она согласилась. А почему бы и нет - как может любой секретарь узнать ценную информацию. Она отправила этот факс "консультанту", и мне пришлось сделать сегодняшнюю пробежку до фирмы неподалеку от меня, со знаком "Прием/Отправка факсов". Мой факс должен был прийти раньше, чем я, и он уже ожидал меня, когда я вошел. Шесть страниц за $1.75. За $10 со сдачей, я получил полный список имен и e-mail'ов.

Проникая вовнутрь

Так, значит мне пришлось поговорить с тремя или четырьмя разными людьми всего за несколько часов, и уже приблизиться к компьютерам на огромный шаг. Но мне понадобятся еще пару фактов, и все будет сделано.

Во-первых. номер дозвона на инженерный сервер извне. Я позвонил в GeminiMed опять, и попросил соединить с отделом IT, с кем-нибудь, кто помогает с компьютером. Меня соединили, и я начал играть роль смущенного и глупого человека в обращении с техникой. "Я дома, только что купил новый ноутбук, и мне нужно его настроить для доступа извне".

Эта процедура была обычной, но я с нетерпением разрешил ему рассказать все, и вскоре он добрался до номера дозвона. Он назвал мне номер как самую рутинную информацию. И потом, заставил его подождать, пока я пробовал. Идеально.

Так что теперь я преодолел препятствие подключения к сети. Я дозвонился и обнаружил, что они настроили терминальный сервер, который позволяет звонящему подключаться к любому компьютеру в их локальной сети. После кучи попыток, я наткнулся на чей-то компьютер, где был гостевой аккаунт без необходимости ввода пароля. Некоторые ОС, когда они только установлены, заставляют пользователя создать логин и пароль, а также предоставляют гостевой аккаунт. Пользователь должен поставить свой пароль на гостевую учетную запись или отключить ее, но многие даже не знают об этом или не хотят чего-либо делать. Эта система, скорее всего, была только что установлена, и владелец даже не побеспокоился об отключении гостевого аккаунта.

Благодаря гостевому аккаунту, у меня теперь был доступ к одному компьютеру, на котором оказалась старая версия операционной системы Unix. В Unix'е, операционная система содержит файл, в котором есть зашифрованные пароли каждого, у кого есть доступ к компьютеру. Файл с паролями содержит одностроронний хэш (т.е. форма шифрования необратима) пароля каждого пользователя. С хэшем, пароль, к примеру "justdoit" будет представлен в зашифрованном виде; в данном случае, хэш будет конвертирован Юниксом в 13 численно-буквенных символов.

LINGO
хэш
- строка беспорядочно записанных символов, которая получается из пароля путем одностороннего шифрования. Процесс теоретически необратим; т.е. считается, что невозможно извлечь пароль из хэша.

Когда Билли Боб из зала захочет перевести какие-либо файлы на другой компьютер, он обязан идентифицировать себя, предоставив логин и пароль. Система, которая проверяет его авторизацию, шифрует его пароль, а потом сравнивает его результат с хэшем, содержащимся в файле с паролем; если они совпадают, ему предоставляют доступ.

Из-за того, что пароли в файле зашифрованы, файл сделан доступным для пользователей, так как, по теории, нет способа расшифровки пароля. И это смешно. Я скачал файл, сделал атаку по словарю(см. главу 12 для более подробного объяснения метода), и выяснил, что один из инженеров, парень по имени Стив Крэмер, в данный момент имел учетную запись на компьютере с паролем "Janice". Я решил попробовать войти с этим паролем на один из серверов разработчиков; он не подошел; если бы все сработало, это бы сэкономило много времени и уменьшило риск. Не помогло.

Это значило, что мне придется обманом заставить парня сказать его имя пользователя и пароль. Для этого мне пришлось дождаться выходных. Вы уже знаете остальное. В субботу я позвонил Крэмеру и рассказал уловку о черве и сервере, которого надо восстановить, чтобы избежать его подозрений.

А что насчет истории, которую я ему рассказал о том, что он заполнял свои бумаги при приеме? Я рассчитывал на то, что он не вспомнит, что этого никогда не было. Новый сотрудник обычно заполняет столько бумаг, что через несколько лет никто не вспомнит. И даже если он меня раскусит, у меня еще был длинный список других имен.

С его именем пользователя и паролем я вошел на сервер, покопался некоторое время, а потом обнаружил файлы со схемами STH-100. Я не был уверен, какие из них являются ключевыми, так что я перевел файлы на dead drop, бесплатный FTP  сайт в Китае, где они будут храниться без чьих-либо подозрений. Пусть клиент разбирается в этом мусоре и ищет, что ему нужно.

LINGO
dead drop
- место для хранения информации, где вряд ли ее найдут другие. В мире традиционных шпионов, это место могло бы быть за отколотым камнем в стене; в мире компьютерного хакера, это обычно сайт в удаленной стране.

Анализ обмана

Для мужчины, которого мы называем Крэйгом Коборном, или кого-нибудь вроде него, также с опытом в воровском-но-не-всегда-незаконном искусстве социальной инженерии, испытание, представленное здесь, было почти обыденным. Его целью было обнаружить и скачать файлы, находящиеся на безопасном корпоративном сервере, защищенном фаэрволом и всеми обычными техническими средствами.

Большинство его работы было не сложнее, чем поймать дождевые капли в ведро. Он начал с того, что представился кем-то из почтового отдела и добавил ощущение срочности, утверждая, что есть посылка, которую нужно доставить. Этот обман позволил узнать имя руководителя команды инженеров (что полезно для любого социального инженера, который пытается украсть информацию), создающих искусственное сердце, который был в отпуске - он любезно отставил имя и телефон его ассистента. Позвонив ей, Крэйг рассеял любые подозрения, утверждая, что он выполняет просьбу руководителя проекта. Поскольку руководителя проекта не было в городе, Мишель не могла проверить его утверждения. Она приняла все за правду и без проблем предоставила список людей из группы, что явилось для Крэйга очень важным этапом.

Она даже не заподозрила ничего, когда Крэйг попросил отправить список по факсу вместо электронной почты, обычно более удобной на обеих концах. Почему она была настолько легковерна? Как и многие другие сотрудники, она не хотела, чтобы босс по возвращению узнал, что она отказала звонящему, который просто пытался сделать что-то, о чем попросил ее директор. Кроме того, звонящий сказал, что босс не только разрешил выполнить просьбу, но и попросил помочь. Опять, здесь пример, как кто-то изъявляет сильное желание "играть в команде".

Крэйг избежал риска физического проникновения в здание, просто отправив факс секретарше, зная, что она скорее всего поможет. Секретарей обычно выбираются за очаровательные личные качества и возможность произвести хорошее впечатление. Оказание небольших услуг, отправка и прием факса входит в должность секретарши, и Крэйг хотел извлечь выгоду из этого факта. То, с чем она столкнулась - информация, которая могла бы поднять тревогу, если бы кто-нибудь знал ее цену. Но как может она распознать, какая информация безвредна, а какая - конфиденциальна?

Используя другой стиль манипуляции, Крэйг разыгрывал смущение и наивность, чтобы убедить парня в отделе компьютерных операций предоставить dial-up доступ к терминальному серверу компании, используемого в качестве места для подключения к компьютерным системам локальной сети.

Сообщение от Митника

Главная задача каждого сотрудника - сделать свою работу. Под этим давлением, безопасность переходит на второй план и игнорируется. Социальные инженеры рассчитывают на это, когда занимаются своим искусством.

Крэйг смог с легкостью подключиться, используя стандартный пароль, который никогда не менялся, один из бросающихся в глаза, широко-открытых пробелов, которые существуют во многих локальных сетях, которые основываются на фаэрволах. На самом деле, стандартные пароли многих операционных систем, роутеров и других продуктов, включая PBX, доступны в сети. Любой социальный инженер, хакер, промышленный шпион, а также просто любопытствующий может найти список на http://www.phenoelit.de/dpl/dpl.html (Просто невероятно, как облегчает Интернет жизнь тех, кто знает где искать, и теперь вы знаете).

Коборн смог убедить осторожного, подозрительного мужчину ("Какая там у вас фамилия? Кто ваш начальник?") сообщить его имя пользователя и пароль, чтобы он мог мог получить доступ к серверам, используемым командой разработчиков. Это было аналогично оставлению Крэйга с открытой   дверью и возможностью работать с самыми охраняемыми секретами компании, качать схемы нового продукта.

А что если Стив Крэмер продолжил чувствовать нечто подозрительное насчет звонка Крэйга? Это маловероятно, что он решит рассказать о своих подозрениях раньше, чем появится на работе утром в понедельник, что было бы поздно для предотвращения атаки.

И еще один ключ к последней уловке: Крэйг сначала относился безответственно и незаинтересованно к требованиям Стива, а потом изменил интонации, будто он пытается помочь Стиву завершить его работу. В большинстве случаев, если жертва верит, что ей пытаются помочь или оказать услугу, то расстанется с конфиденциальной информацией, которую она защищала бы в другом случае.

Предотвращение обмана

Один из наиболее мощных трюков социального инженера включает "перевод стрелок". Это именно то, что вы видели в этой главе. Социальный инженер создает проблему, а потом чудесным образом ее решает,  обманом заставляя жертву предоставить доступ к самым охраняемым секретам компании. А ваши сотрудники попадутся на эту уловку? А вы позаботились о создании и применении специальных правил безопасности, которые могли бы предотвратить такое?

Учиться, учиться и еще раз учиться

Есть старая история о туристе в Нью-Йорке, который остановил мужчину на улице и спросил: "Как пройти к Carnegie hall"? Мужчина ответил: "Тренироваться, тренироваться, тренироваться". Все уязвимы к атакам социальных инженеров, и единственная эффективная система защиты компании - обучать и тренировать людей, давая им необходимые навыки для распознавания социального инженера. А потом постоянно напоминать людям о том, что они выучили на тренировке, но способны забыть.

Все в организации должны быть обучены проявлять некоторую долю подозрения при общении с людьми, которых они не знают лично, особенно когда кто-либо просит любой вид доступа к компьютеру или сети. Это естественно для человека - стремиться доверять другим, но как говорят японцы, бизнес это война. Ваш бизнес не может позволить себе ослабить защиту. Корпоративная техника безопасности должна четко отделять положенное и не положенное поведение.

Безопасность - не "один размер на всех". Персонал в бизнесе обычно разделяет роли и обязанности, и у каждой должности есть свои уязвимости. Должен быть базовый уровень обучения, который надо пройти всем в компании, но кроме того каждый сотрудник должен быть обучен в соответствии со своим профилем работы придерживаться некоторых процедур, которые уменьшают вероятность возникновения упомянутых в этой главе проблем. Люди, которые работают с важной информацией или поставлены на места, требующие доверия, должны получить особое  специализированное обучение.

Безопасное хранение важной информации

Когда к людям подходит незнакомец и предлагает свою помощь, как описано в историях в этой главе, работники должны опираться на технику безопасности компании, которая создана в соответствии с нуждами бизнеса, размером и видом вашей компании.

Заметка

Лично я не считаю, что бизнес должен разрешать любой обмен паролями. Гораздо проще выработать жесткое правило, которое запретит персоналу использовать общий пароль или обмениваться ими. Так безопасней. Но каждый бизнес должен учитывать его специфику и соответствующие меры безопасности.

Никогда не сотрудничайте с незнакомцем, который просит вас посмотреть информацию, набрать незнакомые команды на компьютере, изменить настройки ПО, или, самое разрушительное из всего - открыть приложение к письму или скачать непроверенную программу. Любая программа, даже та, которая, на ваш взгляд, ничего не делает, может не быть настолько невинной, как кажется.

Есть некоторые процедуры, о которых, независимо от качества нашего обучения, мы часто имеем тенденцию забывать через определенное время. Часто мы забываем наше обучение в то время, когда оно нам как раз  нужно. Вы можете подумать, что о том, что нельзя выдавать свое имя пользователя и пароль знают все(или должны знать) и практически не надо напоминать об этом: это просто здравый смысл. Но на самом деле, каждому сотруднику надо постоянно напоминать, что сообщение имени пользователя и пароля к офисному или домашнему компьютеру и даже устройству в почтовом отделе эквивалентно сообщению PIN-кода карточки ATM.

Часто возникают достоверные ситуации, когда это необходимо, а возможно даже важно дать кому-либо конфиденциальную информацию. По этой причине, надо сделать четкое правило о "никогда не..." При этом, в ваших правилах безопасности и процедурах должны быть особенности об условиях, при которых работник может сообщать его или ее пароль и, самое главное - кому разрешено спрашивать эту информацию.

Учитывай источник

Во многих организациях должно существовать правило, что любая информация, которая может причинить вред компании или сотруднику, может быть выдана только тому, с которым сотрудник, владеющий информацией знаком в лицо или чей голос настолько знаком, что вы узнаете его без вопросов.

В высокобезопасных ситуациях, единственные просьбы, которые можно выполнять - это те, которые получены лично или с серьезным подтверждением, к примеру, две отдельных вещи, как общий секрет и временной жетон (time-based token).

Процедуры классификации данных должны предусматривать, что никакая информация не должна быть предоставлена из отдела организации, работающего с секретами, кому-либо, не знакомому лично или подтвержденному каким-либо способом.

Заметка

Удивительно, но даже если проверить имя и телефон звонящего в базе данных о сотрудниках компании и перезвонить ему, не будет гарантии, что социальный инженер не добавил имя в базу данных компании или не перенаправляет звонки.

Так как же разобраться со звучащей вполне законно просьбой об информации от другого сотрудника компании, вроде списка имен и адресов электронной почты людей из вашей группы? На самом деле, как можно усилить бдительность, когда подобная вещь гораздо менее ценна, чем, скажем, листок о разрабатываемом продукте, и должна применяться только для внутреннего использования? Одна основная часть решения: назначить сотрудников в каждом отделе, которые будут работать со всеми просьбами об отправке информации вне группы. Тогда этим сотрудникам должна быть предоставлена усовершенствованная программа обучения по безопасности, чтобы они знали об особенных процедурах удостоверения личности,  которым им надо следовать.

Ни о ком не забывайте

Кто угодно может быстро назвать отделы в своей компании, которые нуждаются в высокой степени защиты от вредоносных атак. Но мы часто не обращаем внимание на другие места, которые менее очевидны, но более уязвимы. В этих рассказах, просьба отправить факс на номер внутри компании казалась невинной и достаточно безопасной, но атакующий извлек выгоду из этой лазейки в безопасности. Здесь урок таков: каждый, от секретаря и административного ассистента до руководителей и менеджеров должны получать специальное обучение, чтобы быть готовым к такому виду трюков. И не забывайте охранять переднюю дверь: секретари часто являются главными мишенями для социальных инженеров и должны быть поставлены в известность об обманных техниках, используемых некоторыми посетителями и звонящими.

Корпоративная безопасность должна четко выработать единый вид контактов, вроде центральной "расчётной палаты" для сотрудников, которым кажется, что они могли стать жертвой уловки социального инженера. Имея единое место для сообщения об инцидентах предоставит эффективную, заранее предупреждающую систему, которая сделает все правильно, когда произойдет скоординированная атака, и можно мгновенно уменьшить возможный ущерб.





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach