Краткое Введение В Социальную Инженерию

Информация может составлять коммерческую тайну общества, т.е.

при существующих или возможных обстоятельствах увеличивать доходы, избегать необоснованных расходов, сохранять положение на рынке товаров, работ, услуг или приносить иную коммерческую выгоду обществу.

Соответственно, такая информация должна быть защищена.

Поскольку в любой компании работают люди, неизбежно возникает влияние человеческого фактора на все процессы организации.

В том числе и процесс защиты конфиденциальной информации.

Человеческий фактор - устойчивое выражение, обозначающее умственные способности человека как потенциальный и действительный источник (причину) информационных проблем при использовании этим человеком современных технологий.

Любые действия человека, связанные с нарушением режима безопасности, можно разделить на две большие категории: преднамеренные и непреднамеренные действия.

К преднамеренный действия включают хищение информации сотрудниками, модификацию информации или ее уничтожение (саботаж).

Это крайний случай, и разбираться с ним приходится постфактум, с привлечением сотрудников внутренних дел.

К непреднамеренный К действиям относятся: утрата носителей информации, уничтожение или искажение информации по неосторожности.

Человек не осознает, что его действия приводят к нарушению режима коммерческой тайны.

К непреднамеренным действиям также относится «помощь» не тем людям, или так называемая социальная инженерия.

Когда работник не осознает, что его действия направлены на нарушение режима коммерческой тайны, но тот, кто просит его об этом, четко знает, что он нарушает режим.

Социальная инженерия — метод (атаки) несанкционированного доступа к информации или системам хранения информации без использования технических средств.

Метод основан на использовании слабых сторон человеческого фактора и очень эффективен.

Злоумышленник получает информацию, например, собирая информацию о сотрудниках цели, используя простой телефонный звонок или проникая в организацию под видом сотрудника.

Злоумышленник может позвонить сотруднику компании (под видом технической службы) и узнать пароль, мотивируя это необходимостью решить небольшую проблему в компьютерной системе.

Очень часто этот трюк срабатывает. Самое мощное оружие в этом случае – приятный голос и актерское мастерство нападающего.

Имена сотрудников можно узнать после ряда звонков и изучения имен менеджеров на сайте компании и других источниках открытой информации (отчеты, реклама и т. д.).

Используя настоящие имена в разговоре с техподдержкой, злоумышленник рассказывает выдуманную историю о том, что он не может попасть на важную встречу на сайте со своей учетной записью удаленного доступа.

Еще одной помощью в этом методе является исследование организационных мусорных контейнеров, виртуальных мусорных баков, кражи портативного компьютера и других носителей информации.

Этот метод используется, когда злоумышленник выбрал в качестве жертвы конкретную компанию.

предлог – это действие, отработанное по заранее составленному сценарию (предлогу).

В результате цель (жертва) должна выдать определенную информацию или выполнить определенное действие.

Этот тип атаки обычно используется по телефону.

Чаще всего этот метод предполагает нечто большее, чем просто ложь, и требует какого-то предварительного исследования (например, персонализации: выяснения имени сотрудника, должности и названия проектов, над которыми он работает), чтобы убедиться в том, что цель доверять.

Фишинг - метод, направленный на получение конфиденциальной информации обманным путем.

Обычно злоумышленник отправляет жертве электронное письмо, подделанное под официальное письмо — от банка или платежной системы — с требованием «проверить» определенную информацию или выполнить определенные действия.

Обычно это письмо содержит ссылку на поддельную веб-страницу, имитирующую официальную, с корпоративным логотипом и содержанием, а также форму, требующую ввода конфиденциальной информации — от домашнего адреса до PIN-кода банковской карты.

Троянский конь : эта техника использует любопытство или жадность цели.

Злоумышленник отправляет электронное письмо, содержащее в виде вложения важное обновление антивируса или даже свежую грязь на сотрудника.

Этот метод остается эффективным до тех пор, пока пользователи слепо нажимают на любое вложение.

Дорожное яблоко : Этот метод атаки является адаптацией троянского коня и заключается в использовании физических носителей.

Злоумышленник может подложить зараженный компакт-диск или карту памяти в место, где носитель можно легко найти (коридор, лифт, парковка).

СМИ подделаны, чтобы выглядеть официальными, и сопровождаются подписью, призванной вызвать любопытство.

Пример: Злоумышленник может подбросить компакт-диск с корпоративным логотипом и ссылкой на официальный сайт целевой компании и пометить его «Зарплаты руководителей за первый квартал 2010 года».

Диск можно оставить на этаже лифта или в вестибюле.

Сотрудник может неосознанно взять диск и вставить его в компьютер, чтобы удовлетворить свое любопытство.

Что о кво : Злоумышленник может позвонить в компанию по произвольному номеру и выдать себя за сотрудника техподдержки и спросить, есть ли какие-либо технические проблемы.

Если они существуют, то в процессе их «решения» цель вводит команды, позволяющие злоумышленнику запустить вредоносное ПО.

Обратная социальная инженерия.

Цель обратной социальной инженерии — заставить цель обратиться к злоумышленнику за «помощью».

Для этого злоумышленник может использовать следующие приемы: Саботаж : Создает обратимую проблему на компьютере жертвы.

Реклама : Злоумышленник подсовывает жертве рекламу типа «Если у вас проблемы с компьютером, позвоните по такому-то номеру» (в большей степени это касается сотрудников, находящихся в командировке или отпуске).

Потому что кто предупрежден, тот вооружен.

А незнание, в свою очередь, не освобождает от ответственности.

Все сотрудники компании должны знать об опасности раскрытия информации и способах ее предотвращения.

Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы разговаривать с собеседником и какую информацию им необходимо получить от него для точной аутентификации собеседника.

Вот несколько правил, которые будут полезны: 1. Все пароли пользователей являются собственностью компании.

Всем сотрудникам в день приема на работу следует разъяснить, что выдаваемые им пароли не могут быть использованы для каких-либо иных целей, например, для авторизации на сайтах в Интернете (известно, что человеку сложно сохранить все пароли и коды доступа, поэтому он часто использует один и тот же пароль в разных ситуациях).

Как такую уязвимость можно использовать в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга.

В результате его пароль на определенном интернет-сайте стал известен третьим лицам.

Если этот пароль совпадает с тем, который используется компанией, существует потенциальная угроза безопасности самой компании.

В принципе, сотруднику компании даже не обязательно становиться жертвой фишинга.

Нет никаких гарантий, что на сайтах, где он заходит, поддерживается необходимый уровень безопасности.

А значит, потенциальная угроза существует всегда.

2. Все сотрудники должны быть проинструктированы о том, как вести себя с посетителями.

Необходимы четкие правила для установления личности посетителя и его сопровождения.

С посетителем всегда должен находиться один из сотрудников компании.

Если сотрудник компании сталкивается с посетителем, бродящим по зданию в одиночку, он должен иметь необходимые инструкции, чтобы правильно определить, почему посетитель находится в данной части здания и куда его сопровождают. 3. Должно быть правило корректного раскрытия только действительно необходимой информации по телефону и в личных беседах, а также порядок проверки того, является ли человек, который что-то запрашивает, действительным сотрудником компании.

Не секрет, что большую часть информации злоумышленник получает посредством прямого общения с сотрудниками компании.

Также необходимо учитывать тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому злоумышленник легко может выдать себя за сотрудника, которому нужна помощь.

Все описанные меры достаточно просты, однако большинство сотрудников забывают об этих мерах и том уровне ответственности, который на них возлагается при подписании обязательств о неразглашении коммерческой тайны.

Компания тратит огромные средства на обеспечение информационной безопасности с помощью технических методов, но эти технические средства можно обойти, если сотрудники не принимают меры по противодействию социальным инженерам, а службы безопасности не проводят периодическую проверку бдительности персонала компании.

Таким образом, средства, направленные на обеспечение информационной безопасности, будут потрачены впустую.

P.S. Если тема интересна, то в следующей теме я более подробно расскажу о методах и процедурах, которые помогают минимизировать негативные последствия, связанные с методами социальной инженерии.