Неосторожный руководитель

Неосторожный руководитель

Хотя многие служащие организаций беззаботны, не интересуются или не подозревают об угрозах безопасности, вы предполагаете, что руководитель компьютерного центра корпорации, входящей в Fortune 500, хорошо знает правила безопасности, верно?

Вероятно, вы не предполагали, что руководитель компьютерного центра – тот, кто является частью отдела информационных технологий компании – окажется жертвой явной игры социальной инженерии. Особенно трудно это предположить, когда социальный инженер не более чем шутник, едва вышедший из подросткового возраста. Но иногда ваши предположения могут быть неверными.

Настройка (на радиоволну)

Очень давно было занятное время для многих людей, которые настраивали радиоприемник на частоты местной полиции или пожарного отделения, слушая разговоры об ограблении банка, пожаре в административном здании или погоне по ходу событий. Сведения о радиочастотах, используемых правоохранительными органами и пожарными отделениями, можно было найти в книжных магазинах; сегодня информация о радиочастотах местных, государственных, и, в некоторых случаях, даже федеральных органов есть в Интернете, в книге, которую можно купить с помощью Radio Shack.

Конечно, это было не просто любопытство со стороны тех, кто слушал эти частоты. Мошенники, грабящие магазин посреди ночи, могли настроить приемник, чтобы слышать, когда полицейская машина направляется к месту происшествия. Торговцы наркотиками могли контролировать деятельность агентов местных органов. Поджигатель мог усилить свое нездоровое удовольствие, устроив пожар и слушая затем весь поток сообщений по радио, в то время как пожарные боролись с огнем.

За последние годы разработки в компьютерных технологиях позволили шифровать голосовые сообщения. По мере того, как инженеры нашли способы разместить на одном кристалле все больше вычислительных мощностей, они начали создавать зашифрованное радиовещание, лишив плохих парней и любопытных возможности прослушивать его.

Дэнни-перехватчик

Энтузиаст сканирования и искусный хакер, которого мы будем звать Дэнни, решил выяснить, не может ли он получить исходный код сверхсекретной программы-шифратора одного из ведущих производителей защищенных радиосистем. Он надеялся изучить код, который позволил бы ему узнать, как прослушивать разговоры правохранительных органов и, возможно, использовать технологию так, чтобы даже самым влиятельным государственным органам было сложно отследить его разговоры с друзьями.

Дэнни из темного мира хакеров принадлежат к особой категории, которая находится где-то между просто любопытными, но безобидными, и опасными. Они обладают знаниями эксперта, сочетающимися с озорным желанием хакера вторгаться в системы и сети ради интеллектуального вызова и удовлетворения от понимания, как работает технология. Их электронные трюки со взломом и проникновением – всего лишь трюки. Эти люди, эти «белые» хакеры незаконно проникают в системы ради забавы и доказательства того, что они могут сделать это. Они ничего не воруют, не зарабатывают деньги на своих деяниях, не уничтожают файлы, не разрушают сети или компьютерные системы. Сам факт их присутствия, получения копий файлов, подбора паролей за спиной сетевых администраторов, утирает носы людей, ответственных за оборону от злоумышленников. Умение превзойти других составляет значительную часть удовлетворения.

Придерживаясь такой направленности, наш Дэнни хотел изучить детали тщательно охраняемого продукта компании только, чтобы удовлетворить жгучее любопытство и удивиться искусным новинкам, которые могли быть внедрены в компании. Излишне говорить о том, что разработка продукта были тщательно охраняемой производственной тайной, такой же ценной и защищенной, как и все, чем владела компания. Дэнни знал это. И нисколько не беспокоился. Как-никак, это была всего лишь некая большая безымянная компания.

Но как получить исходный код программы? Как оказалось, похищение «драгоценностей» из группы защищенной связи было слишком легким, несмотря на то что компания была одной из тех организаций, где используется аутентификация по двум условиям , при которой требуется не один, а два индентификатора для доказательства своей подлинности.

Вот пример, с которым вы уже, возможно, знакомы. Когда к вам приходит новая кредитная карта, вас просят позвонить в компанию-эмитент, чтобы там знали, что карта находится у ее владельца, а не кого-то, кто украл конверт на почте. В наши дни указания на карте, как правило, предписывают звонить вамиз дома . Когда вы звоните, программа в компании анализирует номер, автоматически определенный на телефонном коммутаторе, через который проходят бесплатные звонки. Компьютер в компании-эмитенте сравнивает телефонный номер звонившего с номером в базе данных владельцев кредитных карт. К тому времени, как служащий возьмет трубку, на его дисплее будет отображена информация о клиенте из базы данных. служащий уже знает, что звонок сделан из дома клиента, .

Lingo

Аутентификация по двум условиям – использование двух разных типов аутентификации для идентификации. Например, человек может идентифицировать себя звоня из определенного места и зная пароль.

Затем служащий выбирает элемент отображаемых о вас данных – чаще всего номер (социального обеспечения), дату рождения, девичью фамилию матери – и задает вам вопрос. Если вы даете правильный ответ, это вторая форма аутентификации, основанная на сведениях, которые вы должны знать.

В компании, выпускающей защищенные радиосистемы, у каждого служащего, имеющего доступ к компьютеру, имелись имя и пароль, которые дополнялись небольшим электронным устройством – Secure ID (безопасный идентификатор). Это то, что называют синхронизируемым жетоном. Такие устройства делаются двух типов: одно из них размером с половину кредитной карты, но немного толще; другое настолько мало, что люди могут присоединить его к связке ключей.

В этом устройстве из мира криптографии имеется маленький шестиразрядный дисплей. Каждые 60 секунд на дисплее отображается новое шестизначное число. Когда человеку нужен доступ к сети, сначала он должен идентифицировать себя как зарегистрированного пользователя, введя секретный PIN-код и число, отображаемое его устройством. Пройдя проверку внутренней системы, он затем должен ввести имя и пароль.

Для получения исходного кода, которого так жаждал юный Дэнни, нужно было не только скомпрометировать имя пользователя и пароль одного из служащих (что не представляет особой сложности для опытного социального инженера), но и добраться до синхронизируемого жетона.

Прохождение аутентификации по двум условиям с использованием синхронизируемого жетона в сочетании с секретным PIN-кодом кажется невыполнимой миссией. Для социальных инженеров задача подобна той, когда игрок в покер, который обладает не просто умением «читать» своих противников.

Штурм крепости

Дэнни начал с тщательной подготовки. Вскоре он собрал вместе достаточно сведений, чтобы выдать себя за настоящего служащего. У него было имя, подразделение, телефонный номер служащего, а также имя и номер телефона руководителя.

Теперь было затишье перед штурмом. По составленному плану Дэнни нужна была еще одна вещь перед тем, как сделать следующий шаг, и это было то, чем он не управлял: ему нужна была метель. Ему нужна была помощь Матушки– природы в виде непогоды, которая бы не позволила работникам добраться до офиса. Зимой в Южной Дакоте тому, кто надеялся на плохую погоду, не приходилось ждать очень долго. В пятницу ночью началась метель. снег быстро превратился в град, так что к утру дороги были покрыты слоем льда. Это была отличная возможность для Дэнни.

Он позвонил на завод, попросил соединить с машинным залом и связался с оператором, который представился как Роджер Ковальски.

Назвав имя настоящего служащего, Дэнни сказал: «Это Боб Билингс. Я работаю в группе защищенной связи. Я сейчас дома и не могу приехать из-за метели. Проблема в том, что мне нужен доступ к моему компьютеру и серверу из дома, а я оставил безопасный ID в столе. Не могли бы вы принести его? Или кто-нибудь? А потом прочитать мой код, когда надо будет ввести его? Сроки выполнения у моей группы подходят к концу, и у меня нет другого способа закончить работу. И нет способа попасть в офис – дороги слишком опасны.»

Оператор сказал: «Я не могу оставить вычислительный центр» Дэнни завладел ситуацией: «А у вас есть безопасный ID?»

«В центре есть один, – сказал тот, —Мы храним один для операторов на случай крайней необходимости.»

«Послушайте, – сказал Дэнни, —Вы не могли бы оказать мне большую услугу? Можно позаимствовать ваш безопасный ID, когда мне нужно будет войти в сеть? На время, пока опасно ездить по дорогам?»

–Кто вы? – спросил Ковальски. – Для кого вы делаете работу?

–Для Эда Трентона.

–Ах да, я знаю его.

Когда может возникнуть затруднительное положение, хороший социальный инженер проводит нечто большее, чем простое исследование. «Я работаю на втором этаже, – продолжал Дэнни, – рядом с Роем Такером».

Это имя он тоже знал. Дэнни продолжил обрабатывать его. «Будет проще подойти к моему столу и принести мой безопасный ID.»

Дэнни был уверен, что парень не пойдет на это. Прежде всего, он не оставит свое место посреди рабочей смены ради «прогулки» по коридорам и лестницам в другую часть здания. Он также не захочет шариться в столе на чужом месте. Нет, можно было спорить, что он не сделает этого.

Ковальски не хотел ни отказывать парню, нуждавшемуся в помощи, ни соглашаться и быть втянутым в проблему. Поэтому он отложил решение: «Я должен позвонить моему боссу. Подождите». Он отложил трубку, и Дэнни мог слышать, как тот набирает другой номер, и объясняет просьбу. Затем Ковальски сделал что-то необъяснимое: он по-настоящему ручался за человека, назвавшегося Бобом Билингсом. «Я знаю его, – сказал он своему руководителю, – Он работает для Эда Трентона. Можем мы разрешить ему воспользоваться безопасным ID, который есть в вычислительном центре?» Дэнни, державший трубку, был поражен, услышав о неожиданной поддержке в свою пользу. Он не мог поверить своим ушам.

Через несколько минут Ковальски снова взял трубку, сказал: «Мой руководитель хочет поговорить с вами сам», и дал ему имя и номер сотового телефона.

Дэнни позвонил руководителю и повторил историю снова, подробно рассказав о проекте, над которым он работал, и почему его группа должна закончить работу в срок. «Проще будет кому-нибудь подойти к моему столу и взять мою карту, —сказал он. – Я не думаю, что стол заперт, карта должна быть в левом верхнем ящике».

«Хорошо, – сказал руководитель, – думаю, на выходные мы можем разрешить вам использовать безопасный ID из вычислительного центра. Я скажу дежурным, чтобы они считали случайный код, когда вы позвоните», и дал ему PIN-код для использования.

В выходные, каждый раз, когда Дэнни хотел войти в корпоративную сеть, он должен был только позвонить в вычислительный центр и попросить считать шесть цифр, отображаемых безопасным ID.

Работа изнутри

Он был внутри компьютерной системы компании, что дальше? Как Дэнни найти сервер с нужной ему программой? Для этого он уже подготовился.

Компьютерные пользователи знакомы с телеконференциями, расширенным набором электронных досок объявлений, где одни люди могут поместить вопросы, на которые отвечают другие люди, или найти виртуальных собеседников с общими интересами в области музыки, компьютеров или любой из сотен других тем.

Сообщения, размещаемые в телеконференциях, остаются доступными годами. Например, Google сейчас содержит архив из семисот миллионов сообщений, некоторые из которых были размещены двадцать лет назад! Дэнни начал с адреса http://groups.google.com .

В качестве ключевых слов Дэнни ввел «шифрованная радиосвязь» и название компании, и нашел сообщение годичной давности от служащего. Оно было помещено, когда компания начала разработку продукта, возможно, задолго до того как полицейские ведомства и федеральные органы взяли под контроль радиосигналы.

Сообщение содержало цифровую подпись, дающую не только имя человека, Скотт Пресс, но и номер его телефона и даже название рабочей группы, Группа защищенной связи.

Денни и набрал номер. Это было похоже на – работает ли он в той же организации годы спустя? На работе он в в такую непогоду? Телефон зазвонил один раз, другой, третий, тогда раздался голос. «Скотт, – сказал он».

Утверждая, что он из IT-отдела компании, Дэнни заставил Пресса (одним из способов, знакомых вам по предыдущим главам) назвать имена серверов, используемых для разработки. На этих серверах мог располагаться исходный код, содержащий патентованный алгоритм шифрования и микропрограммы, используемые в защищенных изделиях компании.

Дэнни приближался все ближе и ближе, и его волнение усиливалось. Он чувстовал напряжение, высшую точку, которое всегда испытывал, успешно сделав то, чего могли достигнуть немногие.

В остаток выходных он мог войти в сеть компании, когда ему бы захотелось, благодаря сотрудничеству с руководителем вычислительного центра. Он знал, к каким серверам обратиться. Но когда он набрал номер, терминальный сервер, на который он вошел, не разрешил ему соединение с системой разработки Группы защищенной связи. Это был внутренний брандмауэр или маршрутизатор, защищавший компьютерные системы группы. Нужно было найти другой способ войти.

Следующий шаг требовал нахальства – Дэнни позвонил Ковальски и пожаловался: «Мой сервер не разрешает мне соединиться», и сказал: «Мне нужна учетная запись на одном из компьютеров вашего отдела, чтобы я мог использовать Телнет для соединения с моей системой».

Руководитель уже одобрил раскрытие кода доступа, отображаемого на синхронизируемом жетоне, поэтому новое требование не показалось чрезмерным. Ковальски создал временную учетную запись и пароль на одном из компьютеров вычислительного центра и попросил Дэнни «позвонить, когда учетная запись будет больше не нужна, чтобы я удалил ее».

Зайдя с временной учетной записью, Дэнни мог соединиться по сети с компьютерными системами Группы защищенной связи. После часового поиска уязвимости , которая давала ему доступ к главному серверу, он сорвал куш. Очевидно, системный администратор не следил за последними известиями об ошибках безопасности, которые давали удаленный доступ. Зато Дэнни был хорошо осведомлен об этом.

За короткий срок он нашел файлы с исходными кодами и отправил их на сайт, который предоставлял бесплатное место для хранения. Здесь, даже если файлы были бы обнаружены, на его след никогда не смогли бы выйти.

Перед выходом оставался один заключительный шаг: методичное уничтожение своих следов. Он закончил до того как закончилось шоу Джея Лено. Для Дэнни это была очень хорошая работа на выходных. И он ни разу не подвергнул себя риску. Это было опьяняющее возбуждение, даже лучше чем сноубординг или прыжки с парашютом.

Дэнни был пьян той ночью, не от виски, джина, пива, а от могущества и чувства завершенности, приблизившись к чрезвычайно секретной программе.

Анализ обмана

Как и в предыдущей истории, уловка сработала только потому, что один из работников компании слишком охотно принял, что звонящий был действительно служащим, которым он представился. Стремление помочь сотруднику, с одной стороны, является частью того, что смазывает колеса промышленности, и частью того, что делает приятным работу служащих одних компаний с работниками других организаций. Но с другой стороны, эта полезность может быть главной уязвимостью, которую попытается использовать социальный инженер.

Одна деталь в махинации Дэнни была восхитительной. Когда он просил кого-нибудь принести жетон из своего стола, он настаивал на том, чтобы кто-то «принес» его для него. «Принеси» – это команда, которую вы даете своей собаке. Никто не хочет, чтобы ему велели принести что-нибудь. С помощью одного слова Дэнни сделал так, чтобы просьба была отклонена, было принято другое решение, именно то, которое хотелось ему.

Оператор вычислительного центра, Ковальски, был обманут Дэнни с помощью имен людей, которых он знал. Но почему руководитель Ковальски – IT-руководитель, не меньше, – позволил чужаку проникнуть во внутреннюю сеть компании? Просто потому что звонок о помощи может быть мощным убедительным инструментом в арсенале социального инженера.

Сообщение от Митника

Эта история показывает, что синхронизируемые жетоны и простые формы аутентификации не может быть защитой против коварного социального инженера.

Может что-то подобное случиться в вашей компании? Случилось ли уже?

Предотвращение обмана

Может показаться, что один элемент часто упоминается в этих историях – атакующий приспосабливается звонить в компьютерную сеть компании снаружи, минуя служащего, который помогал бы ему, удостоверившись в том, что звонящий действительно является работником, и у него есть право доступа. Почему я так часто возвращаюсь к этой теме? Потому что это правда один из факторов многих атак социальной инженерии. Для социального инженера это самый легкий путь к достижению цели. Почему атакующий должен тратить часы на вторжение, когда он может сделать это с помощью обычного телефонного звонка?

Один из самых мощных методов провести атаку —это обычная уловка с просьбой о помощи, подход, часто используемый атакующими. Вы не хотите, чтобы ваши служащие перестали быть полезными для коллег и клиентов, поэтому вам нужно вооружить их особыми процедурами подтверждения для всех, кто запрашивает компьютерный доступ или конфиденциальную информацию. Этот способ , служащие могут быть полезными для тех, кто заслуживает помощи, но в то же время защищают информационное имущество и компьютерные системы организации.

Необходимо детально разобрать, какой механизм подтверждения следует использовать в различных случаях. В главе 17 приведен список процедур, есть руководящие принципы для рассмотрения.

Хороший способ удостоверить личность человека, обратившегося с просьбой, позвонить по телефонному номеру, указанному в справочнике компании. Если человек, обратившийся с просьбой, действительно атакующий, проверочный звонок позволит поговорить с настоящим человеком по телефону, пока самозванец не положил трубку, или выйти на голосовую почту служащего, которая позволит сравнить его голос с голосом атакующего.

Если номера служащих используются в вашей компании для проверки подлинности, то они должны тщательно охраняться и не сообщаться чужим людям. То же самое относится ко всем видам внутренних номеров, как телефонные номера, идентификаторы и даже адреса электронной почты.

Корпоративное обучение должно обратить внимание каждого на распространенные случаи принятия неизвестных людей за настоящих служащих на основании того, что они внушительно говорят или хорошо осведомлены. Нет основания полагать, что подлинность не требуется проверять другими способами, только потому что кто-то знает порядки компании или использует внутреннюю терминологию.

Офицеры безопасности и системные администраторы не должны концентрировать свое внимание только на подготовке кого-либо в вопросах безопасности . Они также должны быть уверены, что сами следуют тем же правилам, процедурам и установленным порядкам.

Пароли и т.п., конечно, никогда не должны использоваться совместно, запрет общего использования даже более важен при использовании синхронизирующих жетонов и другими безопасных форм аутентификации. На уровне здравого смысла должно быть ясно, что совместное использование любого из этих элементов нарушает все дело компании, установившей системы . Разделение означает отсутствие ответственности. Если имеет место инцидент с безопасностью или что-то идет не так, вы не сможете определить. кто несет ответственность.

Служащие должны быть знакомы со стратегиями и методами и социальной инженерии, чтобы внимательно анализировать запросы, которые они получают. Рассмотрите использование ролевых игр как часть обучения безопасности, так чтобы служащие могли лучше понять, как работает социальный инженер.