ифыафыв. Максим Кузнецов Игорь Симдянов СанктПетербург бхвпетербург 2007

Ãëàâà 1. Ñîöèàëüíàÿ èíæåíåðèÿ — èíñòðóìåíò õàêåðîâ XXI âåêà
13 Замечу также, что для того, чтобы заниматься обеспечением безопасности, особенно в части настройки "человеческих файр- волов, нужно обладать устойчивой нервной и психической системой. Почему, вы поймете из следующей прекрасной фразы А. Эйнштейна, которую мы, вслед за Кевином Митником, немо- жем не повторить "Можно быть уверенным только в двух вещах существовании вселенной и человеческой глупости, и я не совсем уверен насчет первой.
Îñíîâíàÿ ñõåìà âîçäåéñòâèÿ
â ñîöèàëüíîé èíæåíåðèè Все атаки социальных хакеров укладываются в одну достаточно простую схему (рис. 1.2). Рис. 1.2. Основная схема воздействия в социальной инженерии
Ïðèìå÷àíèå Эта схема носит название схема Шейнова. В общем виде она приведена в книге белорусского психолога и социолога В. П. Шей- нова, долгое время занимавшегося психологией мошенничества. В немного измененном нами виде эта схема подходит и для социальной инженерии. Итак, сначала всегда формулируется цель воздействия на тот или иной объект.
Ïðèìå÷àíèå Под "объектом" здесь и далее мы будем иметь ввиду жертву, на которую нацелена социоинженерная атака.

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
14 Затем собирается информация об объекте, с целью обнаружения наиболее удобных мишеней воздействия. После этого наступает этап, который психологи называют аттракцией. Аттракция (от лат. attrahere — привлекать, притягивать) — это создание нужных условий для воздействия социоинженера на объект. Принуждение к нужному для социального хакера действию обычно достигается выполнением предыдущих этапов, те. после того, как достигнута аттракция, жертва сама делает нужные социоин- женеру действия. Однако в ряде случаев этот этап приобретает самостоятельную значимость, к примеру, тогда, когда принуждение к действию выполняется путем введения в транс, психологического давления и т. д. Вслед за В. П. Шейновым, проиллюстрируем данную схему на примере рыбной ловли. Мишень воздействия в данном случае — потребность рыбы в пище. Приманкой служит червяк, кусок хлеба, блесна и т. д. А аттракция — это создание условий, необходимых для успешной рыбной ловли выбор нужного места ловли, создание тишины, выбор нужной насадки, прикорм рыбы. Принуждение к действию, это, допустим, рывки удилищем, благодаря которым червяк или другая насадка дергается и рыба понимает, что пища может и уйти и надо действовать активнее. Ну ас итогом все понятно. Другой пример подкуп сотрудника. Здесь мишень — потребность сотрудника предприятия в деньгах. О том, что он в них нуждается и что с большой вероятностью "примет предложение, узнается на этапе сбора информации. Аттракцией может быть, к примеру, создание таких условий, при которых сотрудник будет в деньгах очень нуждаться.
Ïðèìå÷àíèå Эти условия часто создаются умышленно. Банальный пример — ехал сотрудник на машине и "слегка попал в аварию, после которой и машину надо ремонтировать, и тому джипу, в который он врезался, деньги заплатить. Количество таких "дорожных подстав" сейчас выросло неимоверно, и исполнителей найти несложно. Теперь кратко остановимся на таком популярном виде преступлений, как кража баз данных.

Ãëàâà 1. Ñîöèàëüíàÿ èíæåíåðèÿ — èíñòðóìåíò õàêåðîâ XXI âåêà
15
Ïðèìå÷àíèå Кража баз данных — это одна из основных областей применения социальной инженерии. Разговор о кражах баз данных мы продолжим также ив главе 2. Каких только баз сейчас не найдешь и базы МГТС, и базы Цен- тробанка, и базы Пенсионного фонда, и базы БТИ, и базы МВД с
ГИБДД, и базы по прописке. В настоящий момент эксперты спорят о том, к какому виду преступлений относить кражу клиентских баз данных. С одной стороны, данный вид преступлений, вроде бы, по мнению многих экспертов, относится к преступлениям в области IT. Те, кто так считают, исходят из того простого положения, что базы данных хранятся на жестких дисках серверов, и, значит, если их украли, то это преступление в IT. Нос другой стороны, это не совсем так, потому что большинство краж совершаются с использованием методов социальной инженерии. Кто и каким способом ворует базы данных Если в ответ на этот вопрос вы услышите, что их воруют хакеры, взламывая корпоративные серверы государственных органов и крупных компаний не верьте этому. Это не так. Все гораздо проще и прозаичнее. Воруют их обыкновенные люди, не пользуясь, в большинстве случаев, никакими сложными приборами, если таковым не считать обыкновенный накопитель Flash Drive, подключаемый к порту USB. Как мы уже говорили, примерно в 80 случаях из 100 информацию воруют не по техническому каналу, а по социальному. Таким образом, это не хакеры сидят ночи напролет и взламывают серверы, а, скажем, обидевшийся системный администратор уволился. Ноне один, а вместе со всеми базами данных и всей информацией о предприятии. Или за умеренную плату сотрудник компании сам "сливает" на сторону информацию о компании. Или просто пришел человек со стороны, представился лучшим другом системного администратора, и сел налаживать "глючную" базу данных, потому что лучший друг нынче болен. После его ухода эта база действительно стала работать лучше, нов другом месте. Если высчитаете, что это очень тривиально и проходит только в маленьких и совсем уж беспечных компаниях, то вы зря так считаете. Совершенно недавно именно так похитили ценную информацию водной из весьма крупных питерских компаний, работающих в области энергетики. И таких примеров очень много. Тот факт, что основной канал утечки информации — социальный, задачу защиты информации крайне сильно усложняет. Потому что вероятность утечки по техническому каналу в принципе можно свести к нулю. Можно сделать сеть очень защищенной, что никакая атака извне ее "не прошибет. Можно вообще сделать так, что внутренняя сеть учреждения не будет пересекаться с внешней, как это сделано в российских силовых ведомствах, к примеру, где внутренние сети не имеют выхода в Интернет. Кабинеты руководства и все кабинеты, в которых проводятся важные совещания, следует оборудовать средствами защиты от утечки информации. Никто ничего на диктофон не запишет — мы поставили подавители диктофонов. По радиоканалу и каналу побочных электромагнитных излучений никто ничего не прослушает поставили генератор радиошума. Виброакустический канал тоже перекрыли, невозможен и лазерный съем информации по колебаниям оконного стекла, через вентиляционные шахты тоже никто ничего не услышит. Телефонные линии защитили. Итак, все сделали. А информация все равно "сделала ноги. Как, почему А люди унесли. Без всяких сложных технических манипуляций. В очередной раз сработал тот самый пресловутый и навязший в зубах человеческий фактор, о котором все вроде бы и знают, и о котором все стараются забыть, живя по принципу "пока гром не грянет. Заметьте похитить информацию из сетей государственных органов по техническому каналу практически невозможно. А она, тем не менее, похищается. И это является еще одним доказательством того, что, в основном, информацию похищают с использованием людей, а не технических средств. Причем похищают иногда до смешного просто. Мы проводили аудит одного крупного предприятия нефтехимической отрасли на предмет организации в нем защиты информации. И выяснили интересную штуку доступ к столу секретаря генерального директора могла иметь любая ночная уборщица. И имела, судя по всему. Вот такая демократия царила на этом предприятии. А бумаг на этом столе столько было разбросано, что по ним можно было составить представление почти обо всей нынешней деятельности предприятия и о планах его развития на ближайшие

Ãëàâà 1. Ñîöèàëüíàÿ èíæåíåðèÿ — èíñòðóìåíò õàêåðîâ XXI âåêà
17 5 лет. Оговоримся еще раз, что это действительно крупное предприятие, с солидной репутацией и миллионными оборотами. В долларовом эквиваленте, конечно. А защита информации была поставлена. Впрочем, никак она не была поставлена. Еще один интересный социоинженерный канал утечки информации — это различные выставки, презентации и т. д. Представитель компании, который стоит у стенда, из самых лучших побуждений, ради того, чтобы всем понравиться, нередко выдает самые сокровенные секреты компании, которые ему известны, и отвечает на любые вопросы. Яне раз это говорил многим своим знакомым директорами один из них в шутку предложил мне подойти к представителю его компании на ближайшей выставке и попытаться таким образом что-нибудь этакое у него выведать. Когда я принес ему диктофонную запись, он, можно, сказать, плакал, потому что одна из фраз звучала примерно так "А вот недавно наш директор еще ездил в Иран. Этот способ добычи информации, кстати, используется немалым количеством фирм.
Ïðèìå÷àíèå Подробнее о том, как выведывается информация на презентациях в главе 2. К сожалению, многие люди крайне беспечны, и не хотят заботиться о сохранности информации. Причем часто даже в очень крупных организациях это "не хотение" простирается от самых рядовых сотрудников до генерального директора. И при таком раскладе один системный администратор или начальник службы безопасности, будь они даже полными параноиками, помешанными на защите информации, ситуацию не спасут. Потому что на данный момент, увы, даже те из руководителей, которые понимают, что информацию защищать надо, не всегда осознают еще одну вещь что защита информации должна быть системной, те. проводится по всем возможным каналам утечки. Вы можете сколько угодно защищать компьютерную сеть, но если люди получают низкую зарплату и ненавидят предприятие, на котором они работают, хлеще, чем советский народ гитлеровских оккупантов, тона эту защиту можно даже не тратить денег. Другой пример несистемности можно нередко наблюдать, ожидая приема

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
18 у дверей какого-нибудь директора. Очень нередки случаи, когда те, кто конструирует систему безопасности, не учитывают такую вещь директора имеют свойство говорить громко, иногда срываясь на крик. Двери же в кабинет генерального директора часто настолько звукопроницаемы, что совещающихся в "генеральском" кабинете можно слушать, совершенно не напрягаясь, даже если они говорят шепотом. Как-то я приехал в Москву к одному "близкому к телу" директору проконсультироваться с ним на предмет, что же ожидает дальше нашу отрасль. Ау него как раз случилось важное незапланированное совещание, и меня попросили подождать. Посидев 15 минуту его кабинета, я понял, что узнал гораздо больше того, что хотел узнать, ив принципе можно уезжать. Остался только из приличия. Пикантность ситуации в том, что когда дошла очередь до меня, на мои вопросы директор почти не ответил, говоря, что, мол, сам понимаешь, очень конфиденциально, я и сам пока не очень-то в курсе. Итак далее. Тем не менее, я его очень горячо и любезно поблагодарил. Возвращаясь к базам данных, содержащих конфиденциальные сведения, следует отметить, что после вышенаписанного полностью понятно, кто и каких крадет. Обыкновенные люди их крадут. Очень часто — сами же сотрудники предприятий. Недавно вот осудили таможенника в чине подполковника, который снабжал рынок таможенными базами данных. В соседнем регионе поймали за руку начальника отдела налоговой инспекции, который за умеренную плату сливал данные местным криминальным браткам. Итак далее. Для чего их воруют и кому это нужно Нужно это многим. От млада до велика. Нужно как рядовым гражданам, таки "финансовым акулам. Если начать с граждан, тоне вдаваясь в глубинные рассуждения об особенностях русского менталитета, скажем лишь, что пока в справочных службах наших "телекомов" сидят крикливые и всем недовольные барышни, то даже самому законопослушному и честному человеку гораздо проще для своих
1
Здесь и далее, когда повествование ведется от первого лица, это означает, что либо приводимые примеры из коллекции одного из авторов, либо излагается личный опыт одного из авторов. — Прим. авт.

Ãëàâà 1. Ñîöèàëüíàÿ èíæåíåðèÿ — èíñòðóìåíò õàêåðîâ XXI âåêà
19 нервов пойти и купить эту базу номеров телефонов организаций на рынке пиратского ПО, чем позвонить на справочную службу. Это по понятным причинам нужно всем тем, кто занимается конкурентной разведкой. Это нужно криминалитету. К примеру, каждый уважающий себя угонщик автомобилей имеет базу ГИБДД. Криминалу также немаловажно знать, не обделяют ли его те, кого он "крышует". Домушники находят себе жертв с помощью баз данных. Это нужно финансовым гигантам, практикующим практику рей- дерских наездов.
Ïðèìå÷àíèå
Рейдерские наезды — это такая практика в новой российской истории, при которой, грубо говоря, большая компания прибирает к рукам те компании, которые меньше с помощью так называемых рейдеров. Допустим, некая большая компания захотела купить ка- кую-то другую компанию, которая поменьше. Для этого она делает заказ рейдерам, — людям, которые построят план захвата компании и его исполнят. Подробно о рейдерах рассказано в главе 2. Продолжать можно долго. В общем, рынок обширен и спрос на продукцию есть. А спрос всегда рождает предложение. Это один из основных законов экономики. Если есть спрос, обязательно, рано или поздно, дорогое или дешевое, но предложение будет. Каким бы этот спрос не был. Даже если этот спрос очень кощунственный, к примеру, спрос на детские органы. Страшнее спрос сложно придумать. А все равно предложение есть. Что уж тут говорить про какие-то базы данных.
Ïðèìå÷àíèå В настоящее время цена вопроса на воровство одной базы данных крупного предприятия составляет около $2000. Можно ли вообще прекратить воровство баз данных Наго- сударственном уровне это можно сделать, наверное, только ужесточив наказание заданное преступление. Хотелось бы посмотреть на того, кто осмелился бы своровать какую-то базу в советские времена. Правда, "ужесточив, это не совсем тот термин дело в том, что сейчас базы данных можно красть практически

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
20 безнаказанно. Ну чего стоит любому сотруднику практически любой структуры вынести эту самую базу Правильно — ничего не стоит. В худшем случае уволят. Но это еще надо умудриться попасться. Дошло до того, что согласно публикации в "Комсомольской правде" от 03.03.06 базами данных приторговывает даже Московский центр экономической безопасности, который, судя из названия, должен эти самые базы охранять. Поэтому, как всегда, на государство, конечно, стоит уповать, но рассчитывать на него не стоит. И некоторые компании сами, не дожидаясь государства, пошли другими путями. К примеру, по пути дискредитации этого рынка и тех, кто на нем работает. Проще говоря, сливают обыкновенную "дезу", действуя по принципу, если государство не может нас защитить, то приходится самим учиться играть в шпионские игры. И многие неплохо учатся. Я знаю случай, когда одна компания, узнав, что ее "заказали, сама подготовила всю необходимую информацию, которую и украл злоумышленник. Когда "заказчик" понял, в чем дело, он, говорят, был вне себя. А цена вопроса была высока. История умалчивает, что было с теми, кто эту информацию добывал, но, по слухам, после этого случая количество желающих, в том числе и сотрудников, добывать конфиденциальную информацию о деятельности этой компании резко уменьшилось. Кстати, хотя и говорят, что нет подзаконных актов, направленных на то, чтобы прекратить воровство баз данных, дело, зачастую, совсем не в них. Да, с подзаконными актами действительно проблема. Нов большинстве краж, как мы уже говорили ранее, виноваты сами организации. Кстати, в судах практически нет обращений от организаций, у которых крадут информацию. Что объясняется одной простой вещью никто не хочет выносить сор из избы. Что, в общем-то, понятно, нос другой стороны, очень сильно упрощает дело злоумышленникам. Дело еще ив том, что даже в том случае, когда фирме точно известно, что ее сотрудник похитил информацию, иона желает подать на этого сотрудника в суд, вероятность того, что фирма выиграет дело очень мала. По причине все той же беспечности очень минимальное количество фирм оформляет договоры с сотрудниками должным образом, те. так, чтобы в нем было прописано, что сотрудник ознакомлен

Ãëàâà 1. Ñîöèàëüíàÿ èíæåíåðèÿ — èíñòðóìåíò õàêåðîâ XXI âåêà
21 стем, что имеет дело с конфиденциальной информацией и что ему будет зато, если он эту информацию разгласит.
Îñíîâíûå îòëè÷èÿ
ñîöèàëüíîé èíæåíåðèè
îò ñîöèàëüíîãî ïðîãðàììèðîâàíèÿ Кроме социальной инженерии, мы будем еще употреблять термин "социальное программирование, которое, хотя и кажется на первый взгляд похожим на социальную инженерию, на самом деле от нее очень отличается. Тому, чтобы прекратить эту путаницу в терминах, и посвящен этот раздел. Социальную инженерию можно определить как манипулирование человеком или группой людей с целью взлома систем безопасности и похищения важной информации. Социальное программирование же может применяться безотносительно от како- го-либо взлома, а для чего угодно, к примеру, для обуздания агрессивной толпы или обеспечения победы какого-либо кандидата на очередных выборах, или наоборот, для очернения кандидата и для того, чтобы миролюбивую толпу сделать агрессивной. Важно то, что здесь уже речи о той или иной ЭВМ нет ив помине. Таким образом, термин социальная инженерия мы будем употреблять тогда, когда речь идет об атаке на человека, который является частью компьютерной системы, как это показано на рис. 1.1.