«Где вы выросли?»
«Я люблю собак. О, а у вас есть пес? Какая у него кличка?»
«Мои друзья зовут меня Человек-паук. А как на счет вас, у вас в детстве было прозвище?»
Вы отвечаете на эти вопросы и ваш новый друг смеется вместе с вами над вашим дурацким прозвищем. Затем ваш новый друг вносит ваши данные в программу, имеющуюся на его компьютере, которая генерирует миллионы комбинаций паролей. Они взламывают ваш аккаунт электронной почты. Им это удается.
«Мистер Робот» – новейшее шоу, вводящее нас в мир хакерства. Оно рассказывает о главном герое Эллиоте, инженере-технике по безопасности в компании по обеспечению кибербезопасности «Allsafe Security». «Мистер Робот» сосредотачивается на попытках Эллиота взломать «E Corp» [aka «Корпорация Зла»] – крупнейший в мире конгломерат (а еще клиент «Allsafe») и ликвидировать все задолженности по кредитам.
Самое главное, «Мистер Робот» демонстрирует социальную инженерию [aka прикладная социология или инженерия человеческой души] – невероятно увлекательную, и пугающую, типа хакерского взлома. Шоу предполагает минимальное использование компьютера.
Согласно «Лайфхакеру», социальная инженерия – это «искусство манипулировать людьми, заставляя их делать вещи, особенно те, которые относятся к безопасности. Вроде вынуждения открыть доступ к компьютеру ради раскрытия конфиденциальной безопасности. Социальному инженеру не обязательно взламывать компьютер или сеть – проще использовать приемы психологического воздействия на человека».
Почему?
Потому что еще во время Второй Мировой войны шпионы обнаружили, что человек – слабейшее звено любой информационной системы. По большей части, мы об этом не догадываемся и смеемся над параноиками. Мы не верим, что с нами может случиться худшее, пока не станет слишком поздно. По этой же причине многие собственники жилья не оформляют страхование жилых помещений.
Этот же фактор играет на вашей кибербезопасности. Мы не задумываемся над тем, что все эти схемы придуманы, чтобы добраться до нашей информации, пока не столкнемся с этим. Наше блаженное неведение делает нас легкой мишенью для хакеров. Не помогает и то, что компании желают скрыть свои уязвимости от хакеров, чтобы таким образом уберечь информацию от общественности (высмеянная практика, известная в специализированных кругах как «безопасность через неясность» [англ. «security through obscurity», принцип, используемый для обеспечения безопасности в различных сферах деятельности человека. Основная идея заключается в том, чтобы скрыть внутреннее устройство системы или реализацию для обеспечения безопасности. Система, полагающаяся на «безопасность через неясность», может иметь существующие или предполагаемые уязвимости, но её владельцы или разработчики считают, что если недостатки неизвестны, то злоумышленник не сможет их обнаружить – прим. пер.].
Некоторые люди используют социальную инженерию для развлечения. Есть целый подфорум на сайте раздел основного форума на сайте reddit*точка*com, посвященный людям, которые делятся городскими открытиями или историями о том, как они получили доступ к тому, к чему не следовало.
Вот как может выглядеть социальная инженерия взлома:
Осторожно, СПОЙЛЕРЫ шоу!
В сериале «Мистер Робот», главный герой – профессиональный хакер по имени Эллиот – позвонил мужчине, Майклу, и представился сотрудником отдела компьютерной безопасности банка. Это самый распространенный метод претекстинга [выдача себя за другого человека с целью получения информации, которая может быть предоставлена этому человеку, а для обманщика, занимающегося претекстингом, является недоступной – прим. пер.].
Эллиот подтверждает домашний Майкла и задает ему вопросы безопасности, для его авторизации: название любимой бейсбольной команды и прозвище его домашнего питомца. Используя эту информацию, Эллиот подбирает пароли, используя сочетание этих слов, и взламывает аккаунт Майкла.
Вот как это выглядит: • Вот как это работает: У Эллиота есть программа, которая подбирает миллионы паролей в секунду и видит, если они верны. Поскольку многие люди включают в свои пароли имена или даты, чем больше Эллиот знает о своей цели, тем более точны его догадки, и лучше работает его программа. • Эллиот звонит Майклу, якобы от лица отдела компьютерной безопасности банка. • Эллиот говорит, что счет Майкла был скомпрометирован и, прежде чем он [якобы сотрудник банка] сможет ответить на любые вопросы, он должен проверить некоторую информацию.
Эллиот: Вы проживаете по адресу Хоттн авеню 306? Майкл: Да, квартира 2Си. *Эллиот вводит в программу «2С»* Эллиот: Контрольный вопрос: Название любимой бейсбольной команды? Майкл: «Янкис». *Эллиот вводит в программу «Янкис»* (Майкл становится подозрительным.) Эллиот: Прозвище вашего питомца. Майкл: Флиппер. *Эллиот вводит в программу «Флиппер»* Эллиот: *кладет трубку* Голос за кадром: С этой информацией обычная брут-форс атака [метод хакерской атаки или взлома компьютерной системы путем подбора паролей путем перебора всех возможных комбинаций символов до нахождения комбинации, подходящей в качестве пароля. Такие атаки являются одним из самых эффективных способов взлома компьютерных систем – прим. пер.] расколет его пароль за пять минут.
Мы видим возможное количество комбинаций слов – от 0 до 9,875,794.
Программа не находит совпадения. Эллиот думает, что Майкл слишком стар, чтобы иметь сложный пароль. Там должно быть сочетание этих вещей (прозвище питомца, адрес или название любимой бейсбольной команды).
Эллиот знает, что ему чего-то не хватает. Эллиот узнает, что Майкл использовал фальшивое имя (Майкл Хансен). Ленни Шеннон – вот как его зовут на самом деле.
Но вы же просто простой человек. Возможно, вы не у дел, и вам нет необходимости скрытничать. И вы не богаты. Вы не знамениты. Зачем бы хакеру понадобилась ваша информация?
Зачем хакеру вообще хотеть уничтожить вас (всех людей)?
А вот зачем:
1. Они могут сделать деньги (даже если у вас их не так много).
Хакеры могут воспользоваться вашей личностью, и использовать ее для совершения преступлений, которые принесут им прибыль.
Даже если у вас есть деньги в достаточном объеме, чтобы не беспокоиться об их количестве, в этом есть масса головной боли и неудобств. Ваша репутация может оказаться под угрозой, если хакеры провернут какие-нибудь темные делишки, используя вашу личность.
Как самый простой пример: хакер может открыть банковский счет на ваше имя и использовать его для отмывания денег. Или они могут обратиться за кредитными картами и загнать вас в долговую яму.
2. Они могут украсть данные вашей компании.
Так было в «Мистере Роботе». Хакеры обманули одного из сотрудников «AllSafe», заставив думать, что на компакт-диск записаны хип-хоп треки, чтобы потом сыграть на его чувстве вини. Когда сотрудник вставил компакт-диск в свой домашний компьютер, хакер получил доступ к компьютеру этого сотрудника. Хакер нашел кое-какую компрометирующую информацию о личной жизни сотрудника. Хакер шантажировал его, вынуждая вставить диск в компьютер «AllSafe», чтобы взломать компанию.
Это не так надумано, как кажется. Версия социальной инженерии имела место быть при нападении на Wal-Mart [американская компания-ретейлер, управляющая крупнейшей в мире розничной сетью – прим. пер.]. Вот как это было:
Социальный психолог, «Гэри Дарнелл», позвонил менеджеру магазина Wal-Mart в Канаде, притворившись, что звонит из головного офиса Wal-Mart, чтобы рассказать о возможности выиграть крупный государственный контракт. «Дарнелл» спрашивал о логистике магазина: подрядчике по уборке, предприятии общественного питания, периоде трудового вознаграждения и графике работы сотрудников. Управляющий магазином в Канаде сотрудничали предоставлял информацию.
К счастью для Wal-Mart, этот телефонный звонок всего лишь был частью соревнований на конференции по компьютерной безопасности Defcon. Можете поспорить, что такое случается и в реальной жизни. Легко использовать человеческие слабости в сфере безопасности, если человек думает, что речь идет о деньгах.
3. Они могут украсть ваши личные данные.
Это, скорее, цена приватности, чем стоимость в денежном выражении. Как сообщает «Вашингтон Пост», взломать чей-то аккаунт на iCloud довольно легко. При запросе забытого пароля Apple запрашивает идентификатор личности Apple (чаще всего – адрес электронной почты), дату рождения (легко вычислить по социальным сетям), город, в котором встретились родители (возможно, где человек родился или может быть найден по социальной сети) и детское прозвище (тоже можно найти в социальных сетях). Любой, кто знает вас или знал, легко может добыть эту информацию.
Это не проблема до тех пор, пока хакеры не начинают шерстить по вашим контактам и потенциально использовать имеющуюся у вас информацию, чтобы досаждать вашим друзьям и семье.
Личная информация имеет ценность. Шантаж – одно из наиболее распространенных интернет-преступлений. Например, жертва раздевается, даже не подозревая, что хакер записывает видео, следя через веб-камеру. Такое можно провернуть даже через мобильный.
Ваша информация принадлежит только вам, а не кому-либо еще.
Пять распространенных форм социальной инженерии, и как от них защититься.
Вот пять приемов, которые используются прикладными социологами на своих потенциальных целях, чтобы добыть нужную им информацию:
1. Сбор информации
Кристофер Хэднеги, который написал книгу под названием «Социальная инженерия», дает этому термину следующее определение: «этот термин применяется для тонкого извлечения информации во время обычного и невинного разговора. Это разговор с определенной целью – собрать информацию о вашей работе, составить представление о вас или ваших коллегах».
Сбор информации выглядит как обычный разговор. Ас следует остерегаться людей, набивающихся к вам в друзья. Если разговор с кем-то, с кем вы только что познакомились, случайным образом переводится на конфиденциальную информацию или обеспечение безопасности, то вам следует сказать, что было приятно познакомиться, и закончить разговор. Очевидно, что большинство людей не пытается вас хакнуть, но сохранять бдительность не помешает. Агентство национальной безопасности США выпустило брошюру о сборе информации.
2. Претекстинг
Хэднеги определяет претекстинг как «выдача себя за кого-то другого с целью получения личной информации. Это больше, чем просто нагромождение лжи, в некоторых случаях это может быть создание совершенно новой личности».
В «Мистере Роботе», например, примером претекстинга является то, что Эллиот позвонил Майклу и сказал, что он из банка.
Для сопротивления претекстингу важен здоровый уровень скептицизма.
Не сообщайте конфиденциальную информацию по телефону. Критически относитесь с информации, которой с вами делиться этот случайный человек. Претекстинг эффективен только тогда, когда социальный инженер завоевывает ваше доверие с помощью правдоподобной информации и авторитета.
3. Как социальные инженеры «читают» вас: Микровыражения лица
Социальные инженеры – мастера чтения людей, и делают они это посредством изучения микровыражений человеческого лица. Например, социальные инженеры используют следующие типы поведения: • Противоречие (например, если незнакомый человек звонит вам и просит уделить ему вашего времени, а вы скажете: «Я занят», но всё равно не положите трубку – этим вы противоречите сами себе); • Колебание (например, это создает у них впечатление, что вы оцениваете, хотите ли ответить правдиво. Или пытаетесь что-то вспомнить); • Изменения в поведении (например, изменения в экспрессии или том, как вы сидите); • Жесты (например, когда вы нервничаете, то касаетесь своего лица).
4. Ненадежные пароли
Не совершайте распространенных ошибок с паролями. Американское Агентство передовых оборонных исследовательских проектов (DARPA) опубликовало исследование, которое показало наиболее распространенные структуры для паролей: • она заглавная, пять строчных и три цифры (пример: Expres123); • одна заглавная шесть строчных и две (пример: Express12); • одна заглавная, три строчные и пять цифр (пример: Evpn12345)
Не используйте один и тот же пароль для всего. Это просто облегчает работу для хакеров.
Вот несколько советов для надежного пароля: • Случайный набор букв (заглавные и строчные), цифры и символы; • Восемь + символы. Любой пароль короче восьми символов может быть легко взломан с помощью компьютера, если система позволяет неограниченное число попыток в секунду; • Используйте разные пароли для каждой учетной записи.
Любой пароль короче восьми символов может быть легко взломан с помощью компьютера, особенно если ваша системная процедура регистрации допускает неограниченное число попыток в секунду. Когда в сомнении, используйте менеджер паролей, вроде LastPass [бесплатная программа для хранения паролей, разработанная компанией LastPass – прим. пер.] или KeePass [кроссплатформенная свободная программа для хранения паролей, распространяемая по лицензии GPL – прим. пер.].
5. Держите свои жадность и любопытство в узде.
Социальные инженеры охотятся на человеческую природу. Мы склонны быть жадными, и наше любопытство всегда одерживает над нами верх. Мошенники десятилетиями добивались успеха, обводя нас вокруг пальца, потому что использовали человеческую жадность и наше желание срезать угол.
Не встаньте жертвами подобных приманок: • Если есть таинственный USB-накопитель или компакт-диска – обратитесь к группе безопасности или специалисту по информационным технологиям. Отдайте его просканировать на наличие вредоносных программ. Не подключайте его к компьютеру, потому что на нем могут быть вредоносные программы. Если у вас нет команды, спросите ваших коллег –вдруг кто-то потерял USB-накопитель – и предупредите их, что они не должны потакать своему любопытству и подключать их. И сами не подключайте; • Если у письма действительно заманчивая тема – не открывайте его. Напишите человеку, который послал его вам, потому что это может быть фишинг-мошенничество, [оно же выуживание – способ незаконного получения важных сведений путем отправки подложных электронных сообщений – прим. пер.]; • Если написано, что вас ждут большие перспективы («Не пропустите!») – игнорируйте это. Если это звучит слишком хорошо, чтобы быть правдой, вероятно, так оно и есть.
Стив Комисар, бывший мошенник, входивший в ТОП-10 ФБР (на втором месте был Фрэнк Эбегнейл, о котором сняли фильм «Поймай меня, если сможешь»), говорит, что если это звучит слишком хорошо, чтобы быть правдой, вероятно, это афера.
Большинство своих афер Комисар совершил по телефону. Он по-настоящему узнавал людей и давал им понять, что они ему нравятся. Добившись определенного уровня комфорта, было несложно вынудить человека отстегнуть деньжат.
Социальная инженерия – это страшно.
Самая увлекательная и самая страшная часть «Мистера Робота» это вовсе не технический аспект взлома. Это человеческий фактор. Насколько же разрушительными могу оказаться последствия из-за таких низкотехнологичных методов, как претекстинг или легкодоступность электронной почты. По этой причине, я стал проявлять здоровую дозу недоверия во время каждого процесса общения, и вам бы тоже не помешало.
Одно дело, когда хакер нацелен на вас. В таком случае, вам следует придерживаться иной стратегии, чтобы защитить себя.
Но не упрощайте хакеру работу, косвенно предоставляя информацию.
Несколько простых советов:
• Выбирайте сложные пароли; • Не предоставляйте информацию по телефону; • Относитесь с подозрением к электронным письмам, индуцирующим жадность или провоцирующим любопытство; • Создавайте пароль наугад, чтобы сделать его менее уязвимым. Защитите себя настолько, насколько можете. Артур Бакстер, аналитик компьютерных систем и сетей «ExpressVPN», ведущий специалист по защите конфиденциальности. Перевод выполнен Deruddy специально для сайта www.twilightrussia.ru и группы http://vk.com/twilightrussiavk. При копировании материала обязательно укажите активную ссылку на сайт, группу и автора перевода.
Как просмотр шоу «Мистер Робот» включает параноидальную боязнь быть взломанным
|