20.12.2006

Социальная инженерия в интеллектуальной битве «добра» и «зла»

Защита информации.Инсайд, №6 2006, Владимир Бычек, Елена Ершова

Вместо предисловия…

Исторически сложилось, что сегодня для прогрессивного сообщества ёмкий англоязычный термин «social engineering» (в русской версии – «социальная инженерия») является синонимом набора прикладных психологических и аналитических приемов, которые злоумышленники применяют для скрытой мотивации пользователей публичной или корпоративной сети к нарушениям устоявшихся правил и политик в области информационной безопасности. Между тем изначально в понятии «социальная инженерия» отсутствовал четкий оттенок злонамеренности - оно применялось для обозначения комплекса специфических знаний, которые позволяют управлять процессом создания, модернизации и воспроизведения некой искусственно созданной реальности, используемой в изобретательской деятельности.

Однако на этом, собственно, расхождения и заканчиваются, так как в основе и того и другого подхода лежит системность, подкрепленная методологией и анализом, которая и позволяет сочетать технологическую инновационность, инженерную точность расчетов с социально-психологическим моделированием. Мастерское владение этими инструментами является залогом успешного выстраивания поведенческой модели людей, «добровольно» и «самостоятельно» действующих в нужном социальному инженеру направлении. Нетрудно догадаться, что интеллектуальным тренажером для мастеров данного жанра может стать практически любая предметная область, предполагающая использование человеческого фактора и формирование морального климата, побуждающего людей к запланированным действиям. Здесь и политическое лоббирование, и консалтинг, и рекрутмент, и управление проектами, и личностное/организационное проектирование, и выстраивание «внешнеполитических» отношений. Но мы сегодня ограничимся только лишь областью использования информационных технологий, а точнее – рассмотрением разных поведенческих моделей которые могут быть использованы как в интересах укрепления обороноспособности сети, так и для злонамеренного использования ее ресурсов.

Виртуальный гений или криминальный виртуоз?

Еще на рубеже 80-х-90х годов прошлого столетия хакерство было сродни некому интеллектуальному виду спорта, в котором демонстрировалось превосходство нового поколения неуловимых гениев-изобретателей, подобных герою Александра Абдулова из фильма «Гений»… Эта романтическая забава напоминала что-то навроде арм-реслинга, в котором разработчики программных продуктов соревновались в силе ума с джентльменами виртуальной удачи, а правоохранительные структуры разных стран и организаций беспомощно разводили руками – им не хватало ни адекватных знаний, ни законодательной основы. Неудивительно, что тогда большинство успешных хакерских атак сопровождались победоносными надписями «Взломана таким-то!». Но за ничего не говорящим ник-неймом, виртуальные «медвежатники» во все времена оставались в тени.

По мере наращивания коммерческой ценности информации и экспансии информационных технологий в сферы обеспечения жизнедеятельности цивилизованного общества, ситуация в корне изменялась. Так, в частности, следствием лавинообразного роста ИТ-грамотности и всё увеличивающегося числа бизнес-аспектов, охваченных информационными технологиями, стал всплеск новых видов охоты за содержимым хранилищ данных (см. рис.1). В ходе этой эволюции хакеры обрели вполне прагматичные цели. При этом виртуальные мошенники и бизнесмены, получающие доход от потоковой продажи краденой информации, успешно используют в своем ремесле как отработанные хакерские приемы, так и достижения современной психологии. Достаточно сказать, что по данным отчета Dalott «Global Security Survey 2006», охватившего все континенты, в числе основных внешних угроз информационной безопасности (рис.2) по мнению респондентов уверенно лидируют вирусы и черви (на них указали 63% опрошенных), технологии фишинга и фарминга (51%), шпионское ПО (48%), приемы социальной инженерии (25%). Причем среди внутренних угроз вирусы также возглавляют рейтинг, хотя их значимость оценивается респондентами вдвое ниже (рис. 2).

Для получения требуемого результата социоинженеры обычно сочетают различные приемы по управлению амбициями и поступками как легальных пользователей сети, так и хакеров-любителей, получающих несанкционированный доступ к конфиденциальным данным «из любопытства» либо «по незнанию».

Простой пример – столь распространенная продажа «конфиденциальных» баз данных, которая пока еще процветает на многочисленных рынках пиратских CD. С помощью этих «игрушек» любой мало-мальски знакомый с компьютером человек может попробовать себя в роли настоящего хакера, благо продавцы-консультанты любезно готовы провести ликбез по взламыванию паролей и обучить прочим «невинным фокусам». Между тем, в результате таких «шалостей» и откровенного вредительства под угрозой оказывается целостность информационных систем органов власти, бесперебойная работа систем жизнеобеспечения градообразующих предприятий и мегаполисов регионального значения. А уж об убытках коммерческих организаций и их клиентов и говорить не приходится! (Тем более, что такие факты ими старательно скрываются как в России, так и в других странах см. рис.3).

Между тем, предполагаемые масштабы потерь, нанесенных в результате успешных атак на корпоративные ресурсы, представляются довольно впечатляющими. Можно с достаточно большой долей уверенности говорить, что они пропорциональны итогам опроса ФБР и Института компьютерной безопасности – «2006 CSI/FBI Computer Crime and Security Survey», проведенным среди американских топ-менеджеров и ИТ-специалистов (см. рис.4).

Равно как и по своей критичности картина таких инцидентов для бизнеса компаний, работающих в России сопоставима с картиной, отраженной в отчете британской исследовательской компании ISBS (рис.5)

Чтобы не быть голословными, приведем пример из практики украинских спецслужб, раскрывших цепочку противоправных нарушений, начавшейся с продажи диска с базой данных абонентов одного из харьковских Интернет-провайдеров. Народный умелец, ставший обладателем этой конфиденциальной информации, не только нашел себе «спонсоров» среди клиентов горемычного Интернет-провайдера, но и произвел ряд перекрестных транзакций, в результате которых восстановление исходного состояния счетов стало абсолютно невозможным. Компания вынуждена была начислить пострадавшим клиентам компенсацию, в результате чего ее собственный ущерб составил несколько тысяч гривен (точная сумма не указывается, но можно предположить, что в долларах США эта сумма тоже выглядит весьма внушительно).

А теперь давайте остановимся на том, как могла разворачиваться ситуация до того, как содержимое базы данных абонентов этой компании стало криминальным достоянием широкой хакерской общественности.

Строго говоря, сейчас самое время вспомнить об официально зарегистрированном пользователе сети, чьи мысли и поступки становятся главным объектом моделирования охотников за конфиденциальными корпоративными информационными ресурсами и противоборствующих им сил, отвечающих за обеспечение информационной безопасности. При этом первые – будем назвать их устоявшимся термином «социальные инженеры» - рассматривают его, в роли «подмастерья на подхвате», от которого ждут лишь маленького золотого ключика и, возможно, подсказки о том, «где находится холст с нарисованным очагом». Вторые же озабочены тем, как заблаговременно разглядеть хитроумные ловушки, зовущие неосмотрительных юзеров в Страну Дураков и, балансируя методами кнута и пряника, оградить их от незавидной участи бездумной марионетки, наивно отдающей свои и чужие богатства виртуальным котам базилио и лисам алисам.

Инсайдер – свой среди чужих? Чужой среди своих!

Начнем со знакомства с социальными инженерами и используемыми ими методами получения доступа к корпоративным информационным ресурсам или публичным сетям передачи данных. Здесь надо иметь в виду два возможных сценария развития событий. Первый – собственно социальная инженерия, или как ее еще называют, прямая социальная инженерия (ПСИ). Она предполагает непосредственный (прямой) выход социоинженера-хакера на интересующую его или его заказчика организацию и мастерски разыгранный спектакль (социальная атака), в ходе которого тщательно изучаются круг лиц, имеющих доступ к интересующим злоумышленников материалам, анализируются возможные пути выхода на него и цепочки обманных действий, позволяющих корпоративной информационной системе принять социохакера (или засланного им представителя - инсайдера) за своего. Затем в действие идут уже отработанные годами хакерские приемы, о которых речь пойдет чуть позже.

Второй сценарий получил распространение и «автономию» относительно недавно. Его принято называть reverse social engineering, что в русскоязычной версии звучит как обратная системная инженерия (ОСИ). Главное отличие ОСИ от ПСИ состоит в том, что представитель компании-жертвы сам (!) обращается к хакеру за помощью в устранении своих проблем. Этому, как правило, предшествует мелкая диверсия, в ходе которой хакер-инженер инициирует неполадку в работе компьютера, подключенного в сеть. Расчет должен быть таким, чтобы масштаб бедствия представлялся пользователю небезнадежным, но при этом устранить его собственными силами он не мог. Дальше уже дело социальной техники - как правило, где-то поблизости (например в списке ICQ контактов) оказывается обладающий нужными знаниями «хороший знакомый» кого-то из сотрудников (уже дней 10 как общается), либо объявление расположенного неподалеку «центра компьютерной скорой помощи», или сообщение о выгодной акции повышения пользовательской грамотности… Главное, что всё быстро, дешево (скорее всего задаром), и «не требует» обязательного оповещения коллег и топ-менеджеров о позорной ИТ-безграмотности конкретной личности. Совершенно очевидно, что мелкая поломка будет успешно и оперативно устранена, сотрудник компании будет счастлив продолжить общение со своим компьютером, а хакер получит заветные зацепки с помощью которых он сможет опять-таки оттачивать своё мастерство и находить новые жертвы.

Итак, резюмируем отличия: в случае ПСИ на начальной стадии присутствует социальная атака, в случае ОСИ – социальная диверсия. Объединяет же оба упомянутых сценария тщательная проработка методов вхождения в доверие к пользователям сети. Главное для социоинженера и в том и в другом случае – не ошибиться в расчетах, учесть все мелочи, чтобы не уподобиться герою Хабенского в фильме «Дневной дозор», который поздоровался с «коллегой» по службе охранны враждебной штаб-квартиры, прочитав его имя на бэйдже, но «забыл» переодеться в униформу.

Теперь перейдем к рассмотрению методов и приемов, которые используются социоинженерами для доступа к закрытым ресурсам. Самый верный, но, отнюдь не самый простой – выяснение пароля либо создание административной учетной записи. Как правило, в организациях, уделяющих хоть сколько-нибудь пристальное внимание ИБ-просвещению своих сотрудников вероятность этого способа довольно низка, хотя случаи записи паролей на стикерах всё еще нередки. Еще один испытанный, но рискованный прием – «помощь в утере или поломке» компьютерного оборудования (ноутбуков), на котором хранится много интересных сведений, в том числе, с грифом «Конфиденциально», скажем персональной информации о сотрудниках и данные о положенных им выплатах (именно такой случай имел место в середине ноября в Лондоне, где из офиса небольшой бухгалтерской компании были украдены 3 ноутбука, содержащих приватные сведения более чем на 15 тыс. офицеров Скотланд-Ярда). Судя по информации упоминавшейся уже британской ISBS такие случаи в благополучной просвященной Англии – не редкость (см. рис. 6), что не может остаться незамеченной мобильным бизнес-сообществом России, активно использующим ноутбуки для работы в командировках, в дороге, на совещаниях и, конечно же во время «отдыха».

Однако наиболее популярными среди социохакеров способами работы с легальными пользоватиелями сетей являются разные формы фишинга (от английского fishing – рыбалка). О силе и популярности этого вида кибер-преступления, сочетающего в себе методы социального инжиниринга и использование безграничных возможностей Интернет-технологий, говорит уже то, что, во-первых слово «fishing» включено в ИТ-глоссарии новой редакции популярного и авторитетного словаря Oxford Dictionary of English, а во-вторых, для борьбы с этим явлением создана мощная международная ассоциация Anti-Phishing Working Group (APWG), насчитывающая несколько тысяч членов по всему миру. Кстати, именно APWG опубликовала довольно свежие данные, наглядно демонстрирующие устойчивую популярность фишинг-рассылок (см. рис 7).

C помощью фишинга – рассылки сообщений, вызывающих полное доверие пользователей сети, социоихакеры выполняют запуск вредоносного ПО (malicious software или malware). Как правило это «троянские» программы и вирусы, инсталлируемые без ведома пользователя на его PC в ходе посещения им различных web-страниц или, например, скачивания вполне безобидного с виду TV-ролика или презентации (метод silent install), присланными в «письме друга». Результатом запуска такого «подарка» социохакер обеспечивает себе прозрачность клавиатурного ввода (key-logging) с конкретного PC, что дает ему возможность безошибочно знать всю информацию, которую юзер набирает на своей клавиатуре и «помогать» ему делать веерные рассылки. Запуск программ-шпионов (spyware), троянских редиректоров, обманная подтасовка псевдолинков на сайты обладателе brand-name (brand hijackers), pharming перехват информации и прочие «добрые услуги» активно используются социохакерами для извлечения из виртуальной реальности вполне осязаемых доходов. При этом формы и масштабы коммерческой деятельности могут быть абсолютно разными – от продажи данных статистики посещения промоушн-сайтов (маркетинговая информация, отражающая спрос на товары) до мощной конкурентной разведки с последующей реализацией стратегического плана по усилению конкурентных преимуществ заказчика либо выводу в тираж мешающей ему команды.

Кстати, о масштабах деятельности! Вот один из довольно свежих примеров успешной spyware-атаки. Летом нынешнего года на Cnews появилось сообщение о том, что бртанская BlackSpider Technologies выявила мощную зомби-сеть (botnet), контролировавшую более 20 тысяч отдельных IP-адресов. В один из воскресных дней она начала рассылать фишерские письма и в течении 24 часов успела отправить их больше чем 8,1 млн. Как сообщил технический директор BlackSpider Technologies Джеймс Кей (James Kay), сама атака не представляла собой ничего необычного, за исключением того, что впервые такое большое количество писем было отправлено из одного источника. "Учитывая масштабы атаки, есть основание полагать, что большое количество пользователей попалось на уловку фишера", - сказал Кей. Думается, другие комментарии каждый из вас может дать сам.

Парадокс в том, что подавляющее большинство владельцев и простых пользователей корпоративных и публичных сетей не только не подозревают о своей роли в теневом кибербизнесе, но и не считают этот вопрос достойным своего внимания.

Так, в частности, по данным исследования, проведенного среди пользователей пользователей Рунета «Лабораторией Касперского» и информационным порталом SecurityLab.ru, 12% респондентов считают себя защищенными от вредоносного ПО на 100%, еще почти 48% считают, что их данные скорее защищены, чем не защищены. Почти 14% серьезно опасаются за сохранность своих данных и считают, что их компьютеры вообще не защищены от вредоносных программ. При этом 53% опрошенных (в том числе добрая половина владельцев конфиденциальной информации) заявили, что понятия не имеют что такое фишинг, а 18% респондентов, осведомленных об опасностях фишинга, попались на удочку фишинг-сообщений. Выводов из сложившейся картины можно сделать навскидку три. Первый – технологии фишеров и социоинженеров даже часть «предупрежденных» оставляют «невооруженными». Второй – информация об угрозах такого рода не носит массовый характер и является недостаточной, в том числе благодаря отсутствию инициативных рабочих групп и ассоциаций для борьбы с такими сетевыми явлениями. И третий, вывод, который делают авторы исследования - угроза фишинга в России по-прежнему высока. Не случайно авторы «Global Security Survey 2006» предполагают, что число практически по всем типам нарушений в течение нынешнего календарного года ожидается порядка 3-5 атак ( см. рис 8).



Офицер службы ИБ: Робин Гуд или Дон Кихот?

Не секрет, что долгое время кибер-преступность в странах бывшего соцлагеря спокойно сходила с рук, так как в перестроечной лихорадке правоохранительные органы были вынуждены многому учиться практически с нуля. Теперь же уголовный кодекс большинства стран (в том числе России) предусматривает совершенно конкретное наказание за такую активность. Так, например, весной этого года РИА «Новости» сообщило о том, что в Воронеже в ходе судебного расследования студент одного из технических вузов был признан виновным в совершении преступления, предусмотренного ч.1 ст.273 УК РФ (создание, использование и распространение вредоносных программ), за что получил наказание в виде двух лет лишения свободы условно с испытательным сроком 1 год. Аналогичные статьи и разделы, предусматривающие наказание за «компьютерные преступления» есть и в УК других стран СНГ, что свидетельствует о серьезной внутренней перестройке законодательных институтов бывшего СССР.

Повзрослели и внутрикорпоративные ИТ-службы и департаменты ИБ, осознавшие, что врага важно не только знать – надо научиться использовать против него его же собственное оружие. Тем более что, как мы уже выяснили, большинство их «подопечных» - легальных пользователей сети - предпочитают не морочить себе голову знанием тонкостей в области защиты информации. И это вполне логично, ведь каждый должен заниматься в первую очередь своим делом: сотрудник службы продаж – выстраиванием взаимодействия с клиентами, информационно-аналитический отдел – поиском и обработкой потоков информации в открытых источниках, HR – изучением кадровой ситуации и управлением отношениями между персоналом к работодателем. В этой ситуации большинство специалистов в области защиты информации ищут наиболее оптимальное для владельца сети соотношение между принудительным ИБ-просвещением пользователей сети и «социоинженерным айкидо» (почему бы не использовать здесь термин, аналогичный популярному среди психологов «психологическому айкидо»?). Так, в частности, по данным отчета «Global Security Survey 2006» до конца 2007 года заметно возрастет доля использования технологий, ориентированных на использование различных факторов, снижающих зависимость работоспособности информационной системы от человеческих слабостей (см. рис.9).

Среди наиболее прогрессивных технологий безусловное лидерство принадлежит технологиям Single Sign On (SSO), средствам биометрии, RFID-решениям, а также аппаратным средствам оперативного (в том числе проактивного) анализа и фильтрации контента сообщений и другой входящей/исходящей информации. Что касается текущего использования и пилотных внедрений, то обращает на себя внимание активный интерес ИТ-сообщества к развертывание PKI-инфраструктуры, управлением доступом пользователей к ресурсам, решениям контентного анализа и использованию средств многофакторной аутентификации (токенов). Практически все эти разработки относятся к новому поколению решений, совмещающих в себе виртуальную эргономичность, экономическую целесообразность, соответствие международным требованиям и стандартам в области ИБ, а также инструменты, позволяющие отслеживать ошибочные и злонамеренные действия внутренних пользователей в отношении корпоративной информации.

Следуя логике действий легальных пользователей сети, разработчики средств защиты информации идут по пути совмещения в одном решении преимуществ нескольких технологий. Так, например, реализацию доступа по технологии Single Sign On (SSO), предусматривающую однократный ввод пароля для доступа ко всем разрешенным приложениям, целесообразнее всего сочетать с реализацией принципов двухфакторной аутентификации, которая предполагает наличие у пользователя отчуждаемого носителя закрытого ключа, подтверждающего его подлинность. Теперь пользователю, знающему простой для запоминания уникальный пароль и имеющему при себе такой предмет (токен или смарт-карту) достаточно лишь выполнить несложную последовательность действий (подключил токен – набрал пароль – нажал «ок») и дождаться подтверждения его авторизации, либо отказа в возможности сеанса работы с ресурсами сети. Именно от корректности решения этих двух задач – идентификации (распознания пользователя по его идентификатору) и аутентификации (проверки его подлинности подлинности) зависит, можно ли разрешить доступ к приложениям сети. При этом с точки зрения пользователя идет одна транзакция, тогда как система выполняет в скрытом режиме целый комплекс действий по идентификации, аутентификации и авторизации пользователя. (см. рис.10).

Такое усложнение дает возможность обеспечить сочетание интересов ВСЕХ заинтересованных сторон. Пользователю – повышенную простоту и удобство работы пользователей с информационными ресурсами. Владельцу сети – чувство повышенной защищенности критичной для жизнеспособности его бизнеса информации от несанкционированных действий, в том числе и со стороны недобросовестных администраторов. Администратору и операторам службы безопасности – удобство централизованного управления доступом и возможность оперативно и доказательно выявить случаи и автора нарушения политики информационной безопасности. А это уже иная культура корпоративного общения, существенно снижающая «синдром 37-го года», что благоприятно сказывается на формировании общего климата взаимоотношения сотрудников организации.

Другой пример – выход разработчиков антивирусного ПО на уровень проактивной фильтрации внешних каналов информации. Таких решений пока еще немного, точнее сказать – только одно: (eSafe ), но прецедент уже создан. Владелец такого программно-аппаратного комплекса не только избавляет пользователей своей сети от потоков спама, прикрепившихся к письмам вирусов и вредоносных программ, но и обеспечивает себе возможность уделить больше внимания другим важным делам и задачам. В астности, в случае использования вышеупомянутого eSafe это достигается его способностью не только распознавать известные вредоносные программы, но и самостоятельно диагностировать результаты инновационной деятельности хакеров. При этом обеспечивается простота инсталляций и целый комплекс критически важных для ИТ-службы выгод, позволяющих поддерживать нормальную работу сети. В том числе: возможность работы сети на проводной скорости (до 40 Mbps); высокая отказоустойчивость; многоуровневая полная очистка от злонамеренного контента HTTP, FTP, SMTP, POP3 трафика; обнаружение Spyware на 4 уровнях, дистанционная “очистка” инфицированных рабочих станций без применения программ-клиентов; фильтрация приложений и т.д. К слову сказать, аппаратно-программный комплекс такого уровня наделен способностью самообучения, что также существенно облегчает жизнь службе техподдержки и многочисленным пользователям сети.

Еще одним удачным примером использования социоинженерных приемов в интересах защиты информации являются программно-аппаратные продукты, отслеживающие соответствие действий пользователей сети их ролевым полномочиям. Организация-владелец такого приложения может быть уверена, попытки несанкционированного копирования или печати конфиденциальных документов или сводок данных будут либо пресечены, либо зафиксированы, что позволит своевременно отследить и перекрыть неустановленные источники утечки данных. Особенно это актуально для владельцев мобильных и портативны компьютеров, на которых содержится приватная и конфиденциальная информация.

Данный перечень примеров использования программно-аппаратных средств в качестве защиты от социохакеров можно было бы продолжить, однако и этого краткого экскурса достаточно для того, чтобы доказать, что противостоять социохакерам можно и нужно не столько путем приказного ужесточения внутренних мер информационной безопасности, сколько разумным сочетанием достижений прогресса и умелым использованием приемов «социоинженерного айкидо». Офицер службы информационной безопасности не должен восприниматься пользователями сети ни как потерявший ориентиры Робин Гуд, «отстреливающий» всякого, кто не вписывается в выстроенную им доктрину обеспечения информационной безопасности, ни как обезумевший Дон Кихот, жаждущий побед над никому не известными виртуальными мельницами. Необходимо добиться того, чтобы пользователи публичной или корпоративной сети (корпоративной, пожалуй, в первую очередь) понимали, что первостепенная задача работы подразделения информационной безопасности – в обеспечения им наиболее оптимальных условий взаимодействия с «внешним миром». Другое дело, что для этого требуется уделить внимание внутрикорпоративному обучению и регулярному проведению тематических тренингов, позволяющих пользователям и сотрудникам служб ИТ и ИБ лучше понимать друг друга. Об этом, кстати, говорили и многие респонденты исследования "2006 CSI/FBI Computer Crime and Security Survey" (см. рис.11)

И еще один момент, который никак нельзя обойти в дискуссии о применении социальной инженерии в мирных – имеются в виду off-line использование уже упомянутых приемов «социоинженерного айкидо». Они незаменимы для организаций, практикующих привлечение ИТ-аутсореров для выполнения разовых поручений, в том числе для тестирования антихакерского ПО. Подход, используемый в таких случаях, основан на формировании у социохакера впечатления об успешно проведенной атаке или диверсии, тогда как на самом деле эти действия были отслежены и использовании для разработки контрмер.

В заключение хотелось бы сказать, что авторы статьи отнюдь не питают иллюзий в отношении скорого прекращения противоборства между индустрией социохакеров и службами информационной безопасности всех уровней. Это было бы утопией. Тем не менее не может не радовать тот факт, что число успешно проведенных хакерских операций неуклонно снижается, о чем свидетельствуют все без исключения исследования в информационной безопасности.