Користувач:CyCJIuK228/Чернетка

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

Соціа́льна інженерія — це наука, що вивчає людську поведінку та фактори, які на неї впливають. Згідно зі статистикою і практикою зломів високозахищених ресурсів в більшій мірі вразливість знаходиться з боку людей, які в силу непрофесіоналізму, безвідповідальності або нестачі знань піддали сервери атакам. Найбільша проблема - це схильність людей до передачі всієї інформації і здійснення нелогічних дій.

Історія з книги «Психологія впливу»: психологи по телефону передавали медсестрам в лікарнях відповідні вказівки, які могли завдати шкоди здоров'ю і навіть життю. Досить було представитися лікарем і 95% медсестер слідували вказівкою «керівника». Варто врахувати, що медперсонал знав наслідки після маніпуляції, але працівники все одно слідували вказівці. Природно, їм не давали це виконати, а біля палати стаяли асистенти. Піддослідні навіть не попросили лікаря представитися. Причина, чому медсестри так вчинили, полягає у звичці слідувати вказівкам авторитетної особи. Виходячи з розглянутого прикладу можна зробити висновок, що за рахунок соціальної інженерії вдалося вразити до 95% лікарень.

Основна модель соціальної інженерії[ред. | ред. код]

Очевидно, що всі співробітники мають різні рівні компетентності в окремих питаннях забезпечення безпеки, відповідно, їм видається належний рівень допуску. Звичайні співробітники не повинні мати доступу до інформації, яка може завдати шкоди для компанії. Навіть якщо людина виявиться "засланим" агентом або просто обдуреним, вона не зможе отримати особливо важливу інформацію - цей протокол безпеки використовується у всіх великих фірмах.

Всі ланки ланцюга і персонал з різними рівнями доступу мають лінійний зв'язок, тобто співробітник може передати проблему на наступний щабель, там уже вирішують, чи уповноважені вони вирішувати ситуацію. Якщо відповіді немає, питання передається далі і т.д. Співробітники можуть по цьому ланцюгу передати всю необхідну інформацію безпосередньо до керуючого. Уразливість системи полягає в можливості представитися одним з людей вищого рівня. Тут кілька розвитків ситуації:

Можна представитись авторитетом, аналогічно це розглядалося в прикладі з лікарями. Поставити кілька запитань, які на перший погляд невинні і не заподіють шкоди, але це стане частино мозаїки. Отримати контакт більш високопоставленого співробітника, так як поняття взаємної допомоги в межах однієї команди досить поширене.

Рідко можна побачити питання з розряду параної, коли співробітник буде з'ясовувати дані того, хто телефонував людини і строго слідувати регламенту. Можна знайти лазівки навіть в строгій структурі, адже емоції - це невід'ємна частина людської натури

Для наочності можна розглянути приклад, при якому зловмисник набирає дівчину з call-центру кажного тижня по 2-3 рази протягом місяця. Він нічого особливого не вимагає, а представляється співробітником. Позитивні і активні розмови дозволяють уточнити будь-які незначні дрібниці. Вигоду приносить прохання про невелику допомогу, яка дає довіру тому, хто просив.

У розглянутому прикладі немає необхідності чітко представлятися, замість цього присутній факт частого спілкування. Може знадобитися 10, 20, 30 або 50 разів, до моменту входження в норму життя. Дівчина буде думати, що той, хто дзвонив в курсі структури і дрібниць роботи компанії, так як він дзвонить постійно. Наступного разу зловмисник просить про більшу допомогу, тепер оператору потрібно передати потенційно важливі і небезпечні дані. За необхідності доведеться надати обґрунтування і можливу небезпеку при відмові. Практично будь-який співробітник піде йому на зустріч.

Ймовірно, з'явиться думка, що да подібного обману схильні виключно низько компетентні співробітники. Це не так, як аргумент можна навести вступ з книги «Мистецтво обману». Тут розповідається про те, як Митник представився провідним розробником проекту. Він попросив системного адміністратора передати доступ з усіма привілеями до системи. Спеціаліст точно усвідомлював потенційну шкоду для роботи, але довірився авторитету і побоявся відмовити.

Зворотня соціальна інженерія[ред. | ред. код]

Принципових відмінностей в атаках соціальної інженерії не спостерігається, модель приблизно однакова. У разі зі зворотньою методикою також вдається отримати інформацію, яка призначається тільки користувачеві. Відмінністю є вказівка ​​потрібних даних самим користувачем.

Методика розігрується в 3 ходи і показує високу ефективність:

Потрібно підлаштувати труднощі або неприємність користувачеві. Створити контакт з людиною. Проводиться атака. Для наочності можна уявити, що ви перебуваєте в зоні, що охороняється, ваші повноваження - прибирання території. На стіні з номером техпідтримки потрібно вказати власний контакт замість правильного номера. Тепер потрібно влаштувати невелику проблему. Всього через 1 добу вам надійде дзвінок від засмученого користувача, він готовий передати буквально всю інформацію, так як очікує компетентність співробітника і має на увазі, що фахівець і так все це знає. Проблеми авторизації можна виключити, так як користувач сам ідентифікує вас як він хоче, залишається тільки підіграти.

Одним з найнебезпечніших варіацій обману є IVR-фішинг. Потрібно влаштувати невелику атаку на користувача і надіслати лист з номером центру підтримки. Після нетривалої бесіди автовідповідач просить вказати дані від карти.

Більш тоскний спосіб - передати цікавий диск одному зі співробітників. Є висока ймовірність, що накопичувач буде запущений, а софт звідти запустять. Часто використовуються соцмережі з метою збору елементів "мозаїки" і спілкування з окремими співробітниками. Вибір вразливостей дійсно величезний.

Резюме жертви[ред. | ред. код]

За допомогою соціальної інженерії можна зібрати дані, а потім їх використовувати для атаки. Наприклад, «Привіт! Я втратив / забув номер Ігоря з 4-го відділу, будь ласка, нагадай мені його ». Можна отримати навіть конфіденційну інформацію: «Добре, спасибі. До речі, у мене стійке враження, що клієнт підозрілий, дивись як він оглядав розташування камер у відділенні. Підкажи номер карти, якою він користувався щойно ».

Соціальна інженерія дозволяє забезпечити доступ до захищеної частини системи: «Так, промовляйте, що ви вводите зараз. Зачекайте, давайте по буквах. Два-ІГРЕК-долар-пе-ес-ен велика ... ». Просунуті «хакери» можуть отримувати конфіденційні дані. Часом вдається отримати доступ до захищеного сервера, який відключений від мережі.

Щорічно проводиться хакерський турнір, в рамках якого була цікава задача. Перед вами дівчина, вона завжди стоїть на ресепшені, але ви попросили про послугу або влаштували Деверс, щоб вона відлучилася. Є всього 30 секунд, що за цей час можна встигнути зробити? Встановити вірус або програму в систему? Відповідь неправильна, буде недостатньо або часу, або прав. Заволодіти документами з робочого столу або спробувати переадресувати листи собі? Ідея робоча, але ви розкриєте свою особистість. Навіть просто зайняти її місце - це небезпечне рішення, так як висока ймовірність прихованої камери в офісі.

Кращими рішення є відповіді зі сфери соціальної взаємодії. Замінити стікер з номером техпідтримки, після милого спілкування запросити на побачення і т.д. За зустріч з дівчиною поза робочої обстановки атакуючого точно не засудять, але за час зустрічі можна отримати масу корисних даних про ієрархію і потенційно вразливі місця співробітників, аж до даних для шантажу.

Захист компанії - це основне завдання відділу безпеки, але співробітники не в силах виключити ризики соціальної інженерії. Щоб забезпечити кращий захист варто ознайомитися з книгою «Мистецтво обману» та «Секрети супер хакера», особливо в розділі про соцінженерію. Більш поглиблено можна почитати в «Психологія впливу». При відсутності великого і просунутого відділу безпеки варто ознайомити керівника компанії з інформацією, а потім провести власний тест. З великою часткою ймовірності вдасться дізнатися багато про довірливість і схильність людини говорити «Так».

Крім технічних методів запобігання соціальних загроз (таких як введення спільної платформи для обміну повідомленнями всередині компанії, обов'язкової аутентифікації нових контактів і так далі) необхідно пояснювати користувачам, що саме відбувається при таких атаках. Правда, це марно, якщо не поєднувати теорію з практикою, а саме - час від часу діяти самому як зловмисник і пробувати проникнути в свої ж системи. Після декількох «навчальних тривог» і розборів співробітники будуть думати, чи не перевіряють їх при дзвінках.

Зрозуміло, для протистояння загрозі потрібно «залізти в голову» атакуючому вас зловмисникові і навчитися думати як він.

Турнір Cyber ​​Readiness Challenge і соціальна інженерія[ред. | ред. код]

В рамках офлайн турніру, Cyber ​​Readiness Challenge спочатку створювався як симулятор для навчання фахівців з безпеки. Турнір Cyber ​​Readiness Challenge надає всім учасникам можливість зрозуміти, як зловмисникам вдається зламувати корпоративні системи. Гравці випробовують свої навички розвідки і крадіжки данних в створеній Symantec імітації реальної ситуації. Вони повинні зламати зашифровані паролі, запустити SQL-атаки і використати відомі уразливості, набираючи очки, змагаючись з іншими хакерами. Серед учасників хак-квесту - студенти, системні адміністратори, програмісти, фахівці з інформаційної безпеки і навіть керівники профільних відділів. Переможцем турніру, як і минулої влітку онлайн-ігри, з великим відривом від суперників став Влад Роско.

Отримано з https://uk.wikipedia.org/w/index.php?title=Користувач:CyCJIuK228/Чернетка&oldid=23908002