В решении задач информационной безопасности человеческий фактор занимает одну из важнейших позиций. Еще несколько лет назад подавляющее большинство всех несанкционированных доступов (НСД) к информации совершались с использованием технических средств. Ситуация изменилась и на смену техническим средствам пришла социальная инженерия. Технологии безопасности, которые бурно развивались последнее время (межсетевые экраны, устройства идентификации, средства шифрования, системы обнаружения сетевых атак и другие) оказались малоэффективными в противостоянии хакерам, использующим методы социальной инженерии.
Социальная инженерия (англ. social engineering) - это способ совершения преступлений в сфере компьютерной информации с использованием комплекса приемов, не имеющих отношения к программно-аппаратным методам НСД, совершаемых с использованием познаний в области психологии.
Специалисты в области информационной безопасности долгое время обращали внимание только на аппаратные и программные средства защиты, однако этого стало недостаточно. Кроме данных способов защиты необходима серьезная работа с персоналом, обучение сотрудников применению политики безопасности и техники противостояния социоинженерам – только в этом случае система обеспечения информационной безопасности будет комплексной.
В совокупности с техническими познаниями в области информационной безопасности социальная инженерия представляет собой очень серьезное оружие. В области компьютерных преступлений ее используют для достижения следующих целей:
1. Сбор информации о потенциальной жертве. Приведем пример: злоумышленник обладает исключительно общей информацией о жертве, но для достижения каких-либо результатов ему необходимо обладать некоторой конкретной информацией о жертве. В этом случае злоумышленник, например, вступает в диалог (переписка, разговор в службах обмена быстрыми сообщениями (messenger), например, ICQ) сначала с теми, кто непосредственно общается с жертвой, затем и с самой жертвой. Из подобного рода общения злоумышленник может без проблем узнать конкретную информацию о жертве, такую как время появления в сети Интернет, интересы, особенности поведения, предпочтения, вкусы, увлечения, территориальное месторасположение, часто посещаемые ресурсы (например форумы), имена под которыми жертва появляется в сети Интернет и даже тип операционной системы, используемой жертвой. По этим данным злоумышленник может спланировать дальнейшие действия, направленные на получение НСД.
2. Получение конфиденциальной информации. Для достижения данной цели злоумышленник при продолжительном общении с жертвой входит в доверие и под удобными предлогами получает необходимую информацию (например, получить пароли от почтовых аккаунтов). После вхождения в доверие к жертве, злоумышленник может узнать реальное имя и фамилию жертвы. Затем воспользоваться этими сведениями для получения остальной необходимой информации (например, используя базы данных, вычислить номера телефонов жертвы, адрес прописки/проживания и многое другое вплоть до информации о жертве, как о налогоплательщике).
3. Получение информации, необходимой для НСД. Жертва имеет аккаунт на одном из публичных почтовых серверов (таких как mail.ru, yandex.ru и т.д.). На любом из них присутствует «Служба восстановления пароля». Эта служба существует для того, чтобы пользователи могли восстановить свой пароль при его утере. Для этого при регистрации они обычно вводят специальный вопрос, ответ на который является однозначной аутентификацией пользователя. Чаще всего используются такие вопросы как «Девичья фамилия матери», «Ваше любимое блюдо» или «Серия и номер паспорта». Таким образом, если пользователь забыл свой пароль, он обращается в автоматизированную службу его восстановления, правильно отвечает на вопрос и получает новый пароль для доступа к своему почтовому аккаунту. Для достижения данной цели злоумышленник обращается к автоматической службе восстановления пароля и узнает контрольный вопрос. Допустим, вопросом является «Ваше любимое блюдо». Далее злоумышленник входит в доверие к жертве и предлагает провести встречу «в живую». Далее злоумышленник под разными предлогами (встреча в ресторане, предпочтения в домашней кухне и т.д.) получает перечень кулинарных предпочтений жертвы. После этого злоумышленник с высокой степенью вероятности правильно отвечает на контрольный вопрос службы восстановления пароля. Или же, если контрольный вопрос звучит как «Серия и номер паспорта», злоумышленник узнает реальное имя, отчество и фамилию жертвы после чего по нелегально добытым, однако, находящимся в свободной продаже на компьютерных рынках базам данных вычисляет серию и номер паспорта жертвы.
4. Вынуждение объекта совершить необходимые злоумышленнику действия. Под необходимыми злоумышленнику действиями подразумевается совершение таких действий, которые вынудят жертву сделать что-то, что повлечет за собой потенциальную возможность НСД. Рассмотрим следующий пример: злоумышленник вычислил каким именно браузером пользуется жертва. Допустим это Internet Explorer версии 5.Х. Злоумышленник владеет так называемым exploit кодом, который позволяет выполнить любое приложение на компьютере жертвы, если она зайдет на сайт, содержащий данный exploit, используя при этом Internet Explorer необходимой версии. Таким образом, заранее подготовив сайт, злоумышленник входит в доверие к жертве и предлагает ей посетить данный сайт под каким-либо предлогом, например, под предлогом того, что на этой страничке находится какой-либо сетевой розыгрыш. При удачном для злоумышленника исходе, он получает полный доступ к компьютеру жертв.
Следует отметить, что в условиях современного развития способов организации информационной безопасности в России, необходимо акцентировать внимание на различных вариантах защиты от методов социальной инженерии, используемых злоумышленником, для получения конфиденциальной информации.
Прежде всего, защитой является осведомленность. Она играет ведущую роль в защите организации от проникновения в информационные системы с помощью социальной инженерии, так как социальная инженерия основана на использовании таких сторон человеческой природы, как неосторожность и невнимательность. Осведомленность является ключевым звеном в обеспечении информационной безопасности и вследствие того, что это предварительная, превентивная мера, нацеленная на усвоение работниками основных принципов и необходимых правил защиты от НСД. Разумеется, этот аспект требует обучения и тестирования сотрудников.
Для повышения уровня безопасности информационных систем организации необходимо привлечение внимания работников к вопросам информационной безопасности.
|