ифыафыв. Максим Кузнецов Игорь Симдянов СанктПетербург бхвпетербург 2007

Îãëàâëåíèå
IX
Циклотимики ................................................................................. 339
Реактивно-лабильные (эмотивно-лабильные) психопаты .......... Группа шизоидов ............................................................................... Группа астеников ............................................................................... 340
Ананкастическая психопатия ....................................................... Группа параноиков ............................................................................ Фанатики ........................................................................................ Группа эпилептоидов ......................................................................... Группа истероидов ............................................................................. Патологические лгуны .................................................................. Группа неустойчивых психопатов .................................................... Группа антисоциальных психопатов ................................................ Предметный указатель ................................................................352

Îãëàâëåíèå
X

Ââåäåíèå
Äëÿ êîãî è î ÷åì ýòà êíèãà Предметом книги является рассмотрение основных методов социальной инженерии — по мнению многих исследователей одного из основных инструментов хакеров XXI века. По своей сути, это книга о роли человеческого фактора в защите информации. О человеческом факторе в программировании выходило несколько хороших книг, одна из них, книга Ларри Константина, таки называется "Человеческий фактор в программировании. Это, пожалуй, единственная книга на данную тему, переведенная на русский язык. Вот что пишет автор в предисловии к этой книге Хорошее программное обеспечение создается людьми. Также как и плохое. Именно поэтому основная тема этой книги — не аппаратное и не программное обеспечение, а человеческий фактор в программировании (peopleware)". Несмотря на то, что книга Л. Константина скорее по психологии, чем по программированию, первое издание книги было признано классическим трудом в области информационных технологий. Информация тоже защищается людьми, и основные носители информации — тоже люди, со своим обычным набором комплексов, слабостей и предрассудков, на которых можно играть и на которых играют. Тому, как это делают и как от этого защититься, и посвящена данная книга. Исторически так сложилось, что ха- керство с использованием человеческого фактора называют "социальной инженерией, поэтому наша книга таки называется "Социальная инженерия и социальные хакеры. Защититься от социальных хакеров можно только зная их методы работы. Наша цель, как авторов книги, — ознакомить читателей с этими методами, чтобы лишить социальных хакеров их главного козыря неискушенности их жертв в вопросах мошенничества и методах скрытого управления человеком. Мы также надеемся, что изучение материала книги будет полезным для читателей не только в профессиональном, но ив жизненном плане. Ведь изучение тех разделов психологии, о которых мы будем говорить в этой книге, позволит вам взглянуть на окружающую действительность глазами психолога. Поверьте, это большое удовольствие и большая экономия нервов, сил и времени. Авторы предлагаемой книги пришли к социальному программированию и основным его концепциям, с одной стороны (и большей частью, через программирование, связанное с защитой информации, ас другой — через одно из направлений нашей профессиональной деятельности, связанное с проектированием и установкой средств защиты информации от несанкционированного доступа, систем охранной сигнализации, систем контроля доступа и т. д. Анализируя причины и методы взлома ПО или каналы утечки информации из различных структур, мы пришли к очень интересному выводу о том, что примерно в восьмидесяти
(!) процентах причина этого — человеческий фактор сам по себе или умелое манипулирование оным. Хотя это наше открытие, безусловно, не ново. Потрясающий эксперимент провели английские исследователи. Не мудрствуя лукаво, они разослали сотрудникам одной крупной корпорации письма якобы от системного администратора их компании с просьбой предоставить свои пароли, поскольку намечается плановая проверка оборудования. На это письмо ответило 75% сотрудников компании, вложив в письмо свой пароль. Как говорится, комментарии излишни. Ненужно думать, что это просто люди такие глупые попались. Вовсе нет. Как мы увидим дальше, человеческие поступки тоже вполне неплохо программируются. И дело здесь не в умственном развитии людей, которые попадаются на подобные удочки. Просто есть другие люди, которые очень неплохо владеют языком программирования человеческих поступков.

Ââåäåíèå
3 Сейчас интерес к социальной инженерии очень высок. Это можно заметить по многим признакам. К примеру, пару лет назад поза- просу "социальная инженерия" в поисковой системе Google было только 2 ссылки. Теперь же их сотни Известный хакер К. Мит- ник, использующий для взломов методы социальной инженерии, выступает с лекциями в гостинице "Редиссон-Славянская" для топ-менеджеров крупных компаний и специалистов служб безопасности корпораций. По социальной инженерии стали устраивать конференции, в ряде университетов собираются вводить курсы лекций на эту тему Однако у многих лекций и опубликованных статей, с которыми ознакомились авторы, есть несколько серьезных недостатков. Во- первых, не объясняется психологическая подоплека применяемых приемов. Авторы статей просто говорят "Это делается так- то. А почему именно так — никто не объясняет. В лучшем случае приводятся фразы "в основе этого приема лежат принципы нейролингвистического программирования, что, правда, запутывает еще больше. Иногда еще говорят, что "для того, чтобы не стать жертвой социальных хакеров, нужно развивать в себе психологическое чутье. О том, куда за этим самым чутьем сходить и где его приобрести, тоже ничего не говорится. И, наконец, третий и, пожалуй, самый серьезный недостаток публикуемых в настоящее время статей по социальной инженерии состоит в том, что большинство примеров, которые в них приводятся — надуманные ("киношные"), которые в реальной жизни не сработают. Читатель, изучая этот пример, понимает, что если к нему заявится такой хакер, он его непременно раскусит. Что правда такого раскусит. Но когда к нему приходит настоящий, — он выкладывает ему самые сокровенные секреты. Предлагаемая книга призвана, с одной стороны, устранить эти недостатки и дать читателю реальный психологический минимум, который лежит в основе "социального хакерства". С другой стороны, в книге много реальных, а не выдуманных примеров, что тоже поможет читателю в освоении материала, и покажет основные приемы, которыми действуют социальные хакеры. Прочитав эту книгу, читатели будут в немалой степени защищены от подобных манипуляций. И еще одно небольшое замечание. Во многих местах книга написана в стиле учебника по социальной инженерии. Таким образом, мы нередко писали так, как если бы обучали читателей методам социальной инженерии. Это не из-за того, что нам

Ââåäåíèå
4 хотелось научить читателей методам мошенничества, а потому, что очень часто, для того чтобы распознать манипулятора, нужно знать, как он действует, вжиться в эту роль Не для того, чтобы кого-то "охмурить, а только для того, чтобы суметь предвидеть опасность и предсказать дальнейшие действия. Книга будет в одинаковой степени полезна представителям трех видов профессий специалистам, сотрудникам служб безопасности предприятий и психологам, изучающих социальную инженерию. В первую очередь, книга будет интересна специалистам, причем самого широкого круга профессий программистам, системными сетевым администраторам, специалистам по компьютерной безопасности и т. д. Хотя бы потому, что за кражу ценной информации из "недр компьютера" спрашивают именно с специалистов. И именно им в первую очередь приходится "расхлебывать" последствия такой кражи. Нередко на плечи IT- специалистов ложится и выяснение причин утечки информации. В силу этого многие зарубежные университеты уже вводят для специалистов по компьютерной безопасности курс лекций по основам социальной психологии. Книга будет интересна также и "рядовым" пользователям ПК, поскольку именно они наиболее часто выбираются социальными хакерами в качестве наиболее удобных мишеней. Психологам книга будет интересна по причине того, что в ней впервые изложены основные принципы социальной инженерии и показано, на каких психологических концепциях она базируется. Сотрудникам служб безопасности она полезна по причине того, что за несанкционированное проникновение на объект отвечают именно они, а такие проникновения очень часто строятся на использовании "человеческого фактора. Читатели книги смогут задать любой вопрос, посвященный методам социального программирования, на специальном форуме на сайте авторов.
Áëàãîäàðíîñòè Авторы выражают признательность сотрудникам издательства "БХВ-Петербург", благодаря которым наша рукопись увидела свет.

ЧАСТЬ I
×òî òàêîå ñîöèàëüíàÿ
èíæåíåðèÿ è êòî òàêèå
ñîöèàëüíûå õàêåðû Впервой части обсуждаются основные концепции социальной инженерии и социального хакерства. Первая глава, как обычно это введение в обсуждаемый вопроса во второй главе приведены различные примеры использования методов социальной инженерии.
Ãëàâà 1. Ñîöèàëüíàÿ èíæåíåðèÿ — îäèí èç îñíîâíûõ
èíñòðóìåíòîâ õàêåðîâ XXI âåêà
Ãëàâà 2. Ïðèìåðû âçëîìîâ ñ ïîìîùüþ ìåòîäîâ ñîöèàëüíîé
èíæåíåðèè
Ãëàâà 3. Ïðèìåðû ñîöèàëüíîãî ïðîãðàììèðîâàíèÿ
Ãëàâà 4. Ïîñòðîåíèå ñîöèàëüíûõ ôàéðâîëîâ
Ãëàâà 5. Ïñèõîëîãè÷åñêèå àñïåêòû ïîäãîòîâêè ñîöèàëüíûõ
õàêåðîâ

ÃËÀÂÀ
1
Ñîöèàëüíàÿ èíæåíåðèÿ — îäèí
èç îñíîâíûõ èíñòðóìåíòîâ
õàêåðîâ XXI âåêà Вначале февраля 2005 года многие специалисты по информационной безопасности нашей страны ждали выступления К. Митника, известного хакера, который должен был рассказать о том, какую опасность представляет собой социальная инженерия, и какими методами пользуются социальные инженеры (которых мы в дальнейшем будем называть социальными хакерами. Увы, ожидания не очень-то оправдались Митник рассказал лишь об основных положениях социальной инженерии. И много говорило том, что методы социальной инженерии используют преступники всего мира для получения самой различной засекреченной информации. По мнению многих участников встречи, слушать было интересно, т. к. человек действительно очень обаятельный, но никаких особых тайн раскрыто не было.
Ïðèìå÷àíèå Кевин Митник — известный хакер, которому противостояли лучшие эксперты по защите информации из ФБР, и осужденный в х годах правосудием США за проникновение во многие правительственные и корпоративные секретные базы. По мнению многих экспертов, Митник не обладал ни значительной технической базой, ни большими познаниями в программировании. Зато он обладал искусством общения по телефону в целях получения нужной информации итого, что сейчас называют "социальной инженерией. Тоже самое можно сказать и о его книгах — никаких особенных откровений там нет. Мы совершенно не исключаем, что Митник это все прекрасно знает, более того, мы даже в этом почти уверены, только, к сожалению, он ничего из того, что действительно знает, не рассказывает. Нив своих выступлениях, нив книгах.
Ïðèìå÷àíèå Что, наверное, в общем-то, и неудивительно, т. к. ФБР взялось тогда за него очень плотно, показав, кто в доме хозяин, и нервы ему подергали изрядно. Было и множество объяснений, и запрет на работу с ЭВМ в течение нескольких лети тюремное заключение. Не стоит удивляться тому, что после таких перипетий он стал весьма законопослушным человеком, и не будет не то какие-то секретные базы похищать, но даже ионе секретных вещах станет говорить с большой осторожностью. В результате таких недоговорок социальная инженерия представляется этаким шаманством для избранных, что не так. Более того, есть еще один важный момент. Во многих описаниях атак пропускаются целые абзацы, если не страницы. Это мы вот к чему. Если взять конкретно схемы некоторых, наиболее интересных атаки попытаться их воспроизвести согласно написанному, то, скорее всего, ничего не выйдет. Потому что многие схемы К. Митника напоминают примерно такой диалог.
— Вася, дай пароль, пожалуйста
— Дана Жалко мне, что ли для хорошего человека. Разбор же этой "атаки" напоминает примерно следующее "Вася дал социальному хакеру, потому что он с рождения неумел говорить "Нет" незнакомым людям. Поэтому основной метод противодействия социальным инженерам — это научиться говорить "Нет. Может быть, эта рекомендация и подходит для Америки, но, боюсь, что не для России, где большинство скорее не умеют говорить "Да, а "Нету всех получается весьма неплохо. Действительно, есть тип людей, которые органически не могут отказать другому человеку, но, во-первых, таких людей немного, а всех остальных нужно к такому состоянию подводить. А о том, как подводить, не сказано ни слова.

Ãëàâà 1. Ñîöèàëüíàÿ èíæåíåðèÿ — èíñòðóìåíò õàêåðîâ XXI âåêà
9
Ïðèìå÷àíèå О психологической типологии и о том, как эти знания использовать в социальной инженерии, мы подробно поговорим в приложении. Вот примерно это и имеется ввиду, когда мы говорим, что у
Митника нередко пропускаются целые абзацы. Можно допустить, что первая фраза могла иметь место вначале, а вторая — в конце разговора. Но между ними было еще очень многое и самое интересное. Потому что, чтобы все было так просто, нужно человека погрузить либо в глубокий гипноз, либо вколоть ему "сыворотку правды. Но даже если это таки было, то об этом тоже нужно писать. В жизни же происходит, как правило, по-другому. И пароли говорят, и базы выносят, не потому что непросто "нет" ответить не могут, а потому что "нет" отвечать бывает, очень не хочется. А для того, чтобы человеку, который владеет какой-то серьезной информацией, очень сложно было ответить "нет, нужно его подвести к такому состоянию. Проследив за ним, скажем, в течение недельки. Вдруг что интересное обнаружиться Может он сам "засланный казачок" или по вечерам на конкурентов подрабатывает, а может дело то вообще серьезнее обстоит по вечерам он подрабатывает не на конкурентов, а ходит в публичный дом для людей с нетрадиционной сексуальной ориентацией, и, будучи для всех прочих примерным семьянином, очень не хочет, чтобы об этом кто-то узнал. Вот имея примерно такую информацию, к нему же можно смело подходить и говорить
— Вася, а ну скажи-ка мне все пароли, которые знаешь. И доступ мне в свою сеть открой, чтобы я время попусту не терял. И вот в этом случае уже очень многие Васи ответят
— Дана, пожалуйста. И пароли дам и доступ открою. Жалко мне, что ли для хорошего человека. На языке разведчиков это называется "вербовка. И если вдруг в вашей организации все куда-то исчезает, все пароли кому-то известны, подумайте о том, не сел ли кто "на хвост" кому-то из ваших сотрудников. Вычислить того, на кого сели, и тех, кто сел, обычно бывает несложно. Умные сотрудники служб безопасности, кстати, прежде чем доверять людям ключевые посты, обычно очень сильно его проверяют на предмет, скажем так, слабых сторон кандидата на должность. И следят за ними тесты всякие умные устраивают, чтобы знать, что за человек работать пришел. Это вступление написано не для того, чтобы покритиковать К. Митника — каждого из насесть за что покритиковать — а для того, чтобы показать, что в социальной инженерии не все так просто, как это иногда преподносится, и относиться к этому вопросу нужно серьезно и вдумчиво. Теперь, после этого вступления, как говорится, давайте начнем. Компьютерная система, которую взламывает хакер, не существует сама по себе. Она всегда содержит в себе еще одну составляющую человека. Образно выражаясь, компьютерную систему можно представить следующей простой схемой (рис. 1.1). Рис. 1.1. Основные варианты взлома компьютерной системы человек — с карикатуры Х. Бидструпа) Задача хакера состоит в том, чтобы взломать компьютерную систему. Поскольку, как мы видим, у этой системы две составляющие, то и основных путей ее взлома соответственно два. Первый путь, когда "взламывается компьютер, мы назовем техническим. Асоциальной инженерией называется то, когда, взламывая компьютерную систему, вы идете по второму пути и атакуете человека, который работает с компьютером. Простой пример. Допустим, вам нужно украсть пароль. Вы можете взломать компьютер жертвы и узнать пароль. Это первый путь. А пойдя по второму пути, вы этот же самый пароль можете узнать, попросту спросив пароль у человека. Многие говорят, если правильно спросить. По мнению многих специалистов, самую большую угрозу информационной безопасности, как крупных компаний, таки обычных пользователей, в следующие десятилетия будут представлять все более совершенствующиеся методы социальной инженерии, применяемые для взлома существующих средств защиты. Хотя бы потому, что применение социальной инженерии не требует значительных финансовых вложений и досконального знания компьютерных технологий. Так, к примеру, Рич Могулл, глава отдела информационной безопасности корпорации Gartner, говорит о том, что "социальная инженерия представляет из себя более серьезную угрозу, чем обычный взлом сетей. Исследования показывают, что людям присущи некоторые поведенческие наклонности, которые можно использовать для осторожного манипулирования. Многие из самых вредоносных взломов систем безопасности происходят и будут происходить благодаря социальной инженерии, а не электронному взлому. Следующее десятилетие социальная инженерия сама по себе будет представлять самую высокую угрозу информационной безопасности. Солидарен сними Роб Форсайт, управляющий директор одного из региональных подразделений антивирусной компании Sophos, который привел пример "о новом циничном виде мошенничества, направленного на безработных жителей Австралии. Потенциальная жертва получает по электронной почте письмо, якобы отправленное банком Credit Suisse, в котором говорится о свободной вакансии. Получателя просят зайти на сайт, представляющий собой почти точную копию настоящего корпоративного сайта Credit
Suisse, нов поддельной версии представлена форма для заполнения заявления о приеме на работу. Аза то, чтобы рассмотрели заявление, "банк" просил пусть символические, но деньги, которые требовалось перевести на такой-то счет. Когда же деньги перевели весьма много человек, сумма получилась уже не столь символическая. Фальшивый сайт сделан столь мастерски, что экспертам потребовалось время, чтобы убедиться, что это подделка. Стоит признать, что злоумышленники применили довольно хитрую комбинацию технологий. Их цель — самые нуждающиеся члены общества, тете, кто ищет работу. Это как раз те люди, которые могут поддаться на такого рода провокацию, — говорится в словах Форсайта. Энрике Салем, вице-президента компании Symantec, вообще считает, что такие традиционные угрозы, как вирусы и спам, — это "проблемы вчерашнего дня, хотя компании обязательно должны защищаться и от них. Проблемой сегодняшнего дня Салем называет фишинг с использованием методов социальной инженерии.