Основы социотехники (искусства обмана), часть 2. Стратегия предотвращения

Михаил Разумов, по материалам securityfocus

Предисловие

Статья адресована тем, кто не считает себя специалистом в данной теме. Те же, кому все это неинтересно и/или кажется старьем – могут просто не читать.

Вместо вступления

Перед вами вторая часть статьи, посвященной социотехнике. В первой части мы определили социотехнику как умные манипуляции хакера на естественной человеческой черте – доверии с целью получения информации, которая даст ему неправомочный доступ к ценной системе и информации, которая на ней находится. Основная цель социотехники такая же, как и у взлома вообще – получить недозволенный доступ к системам или информации с целью совершения мошенничества, сетевого вторжения, индустриального шпионажа, или просто разрушения системы или сети.

Мой первый опыт в социотехнике пришел еще до того, как я узнал, что означает этот термин. Я тогда учился в старших классах средней школы. В нашей школе проводили компьютерную сеть, а моя роль заключалась в помощи с ее тестированием. Однажды я заметил, что новые компьютеры не были закреплены, тогда я взял монитор и мышь и полчаса ходил с ними по коридорам, чтобы посмотреть, обратит ли кто-нибудь на это внимание. Никто не обратил. Тогда я решил вынести их из школы. Я унес их достаточно далеко и повернулся, затем решил, что этого вполне достаточно, и вернул все на место.

То, что никто не заметил и не остановил меня, встревожило меня: что же это за сетевая безопасность. Я рассказал об этом своему преподавателю. На следующий год все новые компьютеры и периферия уже были физически закреплены. Мой опыт показывает, какими простыми, прямолинейными и эффективными могут быть социотехнические атаки. Интересно, сколько компьютеров к данному времени пропало из-за полного отсутствия защиты от социотехнических атак. В этой статье рассмотрены некоторые пути, которыми отдельные лица и организации могут защитить себя от потенциально дорогостоящих социотехнических атак. Я называю эти инструкции стратегией предотвращения.

С чего начать? Политики безопасности

Социотехнические атаки могут иметь два различных аспекта: физический аспект, или место атаки, например рабочее место, телефон, копание в мусоре, сеть, и психологический аспект, к которому относится способ выполнения атаки: убеждение, олицетворение, покорение, соответствие и дружелюбие. Следовательно, стратегии предотвращения требуют действий как на физическом, так и на психологическом уровне. Обязательно обучение сотрудников. Ошибка, которую делают многие компании – ожидать атаки только на физическом уровне. Это делает их полностью открытыми с социо-психологической стороны. Таким образом, для начала, руководство должно понимать важность разработки и внедрения хорошей политики безопасности, что все деньги, потраченные на программное обеспечение, аппаратные средства защиты и проверки, будут выброшены на ветер без адекватного предупреждения социотехнических и обратных социотехнических атак (Nelson). Одно из преимуществ политик в том, что они снимают со служащих ответственность за принятие решения относительно запросов хакера. Если запрошенное действие запрещено политикой, сотрудник не имеет другого выбора, кроме как проигнорировать этот запрос.

Хорошая политика может быть более общей или более детальной, но я рекомендую что-то среднее. Это дает некоторую гибкость развитию политики в будущем, но не дает служащим расслабиться во время работы (см. Introduction to Security Policies series). Политика безопасности должна касаться контроля за доступом к информации, создания эккаунтов, ограничения системного доступа и смены паролей. Не должно быть модемов внутри сети компании. Обязательно уничтожение ненужных деловых бумаг. Нарушения необходимо регистрировать и принимать соответствующие меры.

Предотвращение физических атак

Теоретически, для осуществления хорошей физической безопасности не надо много думать, но в действительности, чтобы секреты организации не покинули здание, требуются особые меры предосторожности. У любого, входящего в здание, должен проверяться идентификатор. Никаких исключений. Некоторые документы должны быть закрыты в ящиках стола, сейфах или других безопасных местах (а ключи от них не оставлены в очевидных местах). Другие документы, возможно, нужно уничтожать в шредере, а не бросать в мусорную корзину. Кроме того, все выкидываемые магнитные носители должны быть стерты с помощью специальных утилит, поскольку данные можно восстановить и с форматированных дискет и жестких дисков (Berg). Мусорные корзины нужно держать в местах, просматриваемых службой безопасности.

Естественно, все компьютеры в сети (включая удаленные системы) должны быть защищены хорошими паролями (об этом можно прочитать в статье Десять Мифов о Паролях в Windows или Password Crackers, - Ensuring the Security of Your Password). Также рекомендуется установка паролей на screen savers. Можно использовать PGP и другие программы для шифрования файлов на жестком диске для большей безопасности.

Телефон и учрежденческая АТС

Одно из частых мошенничеств заключается в совершении бесплатных звонков через учрежденческую АТС или другую телефонную сеть внутри организации. Хакеры могут позвонить в компанию, совершить процедуру олицетворения, т.е. сделать так, чтоб его считали одним из сотрудников, и попросить перевести его на внешнюю линию, таким образом совершить множество звонков по всему миру за счет этой организации. От этого можно защититься введением политик, запрещающих переключения на внешнюю линию, контролем за международными и междугородными звонками и отслеживанием подозрительных запросов. И если кто-нибудь звонит, и говорит, что он телефонный техник, и ему нужен пароль, чтобы получить доступ, он лжет. Согласно Verizon Communications, телефонные техники могут проводить испытания без помощи клиента, поэтому к запросам о паролях и другой идентификационной информации нужно относиться с подозрением (Verizon). Все сотрудники должны знать об этом, тогда они будут невосприимчивы к этой тактике.

Как было сказано в первой части статьи, телефоны помощи – важнейшая цель для социотехнических атак, в первую очередь потому, что их работа выдавать информацию, нужную пользователям. Наилучший способ защитить телефоны помощи от социотехнических атак – обучение. Они не должны выдавать никакие пароли без авторизации. (Фактически, должна существовать политика, что пароли нельзя никогда раскрывать по телефону или электронной почте, пожалуй, их можно раскрывать только при личном контакте, доверенному персоналу.) Обратные звонки, PINы и пароли – лишь некоторые рекомендуемые способы повышения безопасности. Сотрудники телефонов помощи должны отказать в поддержке, когда звонок кажется подозрительным (Berg). Другими словами, просто сказать «нет».

Обучать, обучать и еще раз обучать

Важность обучения сотрудников относится не только к телефонам помощи, но и ко всей организации. Согласно Naomi Fine, экспертам в области корпоративной конфиденциальности и Pro-Tec Data, сотрудники должны быть обучены тому, как определить информацию, которую следует считать конфиденциальной и полностью понимать свою ответственность по защите этой информации. Компьютерная безопасность в организации должна быть частью всей работы, независимо от того, используют ли сотрудники компьютеры (Harl). Каждый в организации должен хорошо понимать, почему так важна конфиденциальность информации, чтобы чувствовать свою ответственность за безопасность сети (Stevens).

Все сотрудники должны быть обучены тому, как сохранить в безопасности конфиденциальные данные. Они должны следовать политике безопасности (Harl). Требуйте от всех новых служащих, чтобы они прошли это обучение. Ежегодные занятия должны обеспечивать освежение памяти и обновление информации для всех сотрудников. Другой способ освежения памяти, рекомендованный Ms. Fine – ежемесячный информационный бюллетень. Pro-Tec Data, например, предоставляет информационные бюллетени с реальными примерами инцидентов, связанных с безопасностью, и с тем, как эти инциденты могли бы быть предотвращены. Это заставляет служащих осознавать риск, связанный с ослабленной безопасностью. Согласно SANS, организации используют некоторые комбинации из следующего: видео, информационные бюллетени, брошюры, буклеты, значки, эмблемы, кофейные кружки, ручки и карандаши, коврики для компьютерных мышей, скринсейверы, заголовки при входе в систему, записные книжки, настольные экспонаты, футболки и этикетки (Arthurs). Важный момент, однако, заключается в том, чтобы эти предметы регулярно менялись, иначе служащие привыкнут к ним и забудут их значение.

Определение социотехнической атаки

Очевидно, чтобы помешать атаке, нужно уметь распознать ее. Computer Security Institute обращает внимание на несколько признаков социотехнической атаки: отказ дать контактную информацию, спешка, упоминание известных имен, шантаж, небольшие ошибки (орфографические ошибки, неправильные употребления, лишние вопросы), и запросы запрещенной информации. Обращайте внимание на всякие несоответствия. Попробуйте думать, как хакер. Bernz рекомендует, чтобы люди ознакомились с такими работами, как истории Шерлока Холмса, Как заиметь друзей, Влияние на людей, психологические книги. Чтобы понять врага, нужно думать, как он.

Компании могут улучшить безопасность, проводя постоянные программы повышения компетентности в области безопасности. Внутренние сети организаций могут помочь в этом, в частности информационными бюллетенями, напоминаниями по e-mail, тренировочными играми и жесткими условиями смены паролей. Наибольшая опасность в том, что служащие могут расслабиться и забыть о безопасности. Ключ к постоянной защите – в осведомленности сотрудников, некоторые организации даже создают специальные программы для этого, типа раздачи мелочей, перечисленных выше.

Реагирование на социотехнические атаки

В случае, когда сотрудник обнаруживает что-то подозрительное, ему нужен способ, оставаясь на месте, доложить об инциденте. Важно, чтобы был один человек, отвечающий за отслеживание этих инцидентов, желательно сотрудник Группы Реагирования на Инциденты (ГРИ), если в компании есть такая. Также, этот сотрудник должен уведомить других, служащих на аналогичных должностях, что им может угрожать то же самое. Далее, ГРИ, или сотрудник, отвечающий за отслеживание (члены службы безопасности и/или системный администратор) может принять адекватные меры.

Kevin Mitnick в своей статье "My First RSA Conference" утверждает, что решение организаторов конференции не проводить сессий, посвященных социотехнике, было ошибочным. Он пишет: вы можете потратить свое благосостояние, покупая технологии и услуги участников выставки, докладчиков и спонсоров конференции, а ваша сетевая инфраструктура по-прежнему будет подвержена старомодным манипуляциям. Это важно. Чтобы увеличить компетентность, больше организаций, занимающихся безопасностью, должны включать социотехнику в свои программы и конференции. Также, они должны проводить аудиты безопасности, чтобы информация не устаревала.

В следующей таблице перечислены некоторые стандартные тактики вторжения и стратегии предотвращения:

Реальное предотвращение

Конечно, реальное предотвращение – сложная задача. Давайте будем реалистами – большинство компаний не имеют финансовых и людских ресурсов для осуществления всего, что тут написано. Однако, часть денег, тратящихся на затыкание сетевых дыр можно перенаправить. Эта угроза столь же, если не больше реальна, чем большинство сетевых дыр. Однако совсем не обязательно устанавливать военные порядки. Будьте разумнее. Вполне возможно сохранить высокую мораль сотрудников без ущерба безопасности. Слегка меняя правила игры, вы добьетесь того, что злоумышленники больше ничего не получат.