Защитное программное обеспечение современных компьютеров – антивирусы, файрволы, антишпионы, антиспамовые решения, системы обнаружения вторжений и т.д. – выполняет задачи любой даже самой высокой сложности, но всеми этими высокотехнологичными решениями управлять гораздо легче, нежели людьми. Каким бы сложным ни было программное обеспечение, любой специалист из области информационной безопасности с легкостью подтвердит, что самое слабое звено в любой защитной системе – это человеческий фактор.

В последние годы во многих странах получил распространение социальный инжиниринг, т.е. метод управления действиями человека без использования технических средств, основанный на использовании человеческих слабостей. Объяснение сущности социального инжиниринга и, в частности, таких его разновидностей, как гипноз и нейролингвистическое программирование (НЛП), достойно отдельной статьи, самое главное, что ключом к пониманию уязвимости человеческого фактора, является взаимодействие между сознанием и подсознанием. Люди верят в то, что принимают решения осознанно, но НЛП и гипноз уже давно продемонстрировали силу подсознания, а исследования последних лет подтвердили, что подсознательное принятие решений опережает сознательное порой на 10 секунд.

На этом основаны технологии, позволяющие манипулировать людьми, чтобы заставить их выполнить определенные действия и тем самым раскрыть конфиденциальную информацию. Рассмотрим, как такие методы могут быть использованы для взлома облачных систем.

Примеры несанкционированного доступа к данным

Исследовательской группой были внесены изменения в работу сайта – об этом знало руководство компании, которой принадлежал сайт, но ИТ-специалисты не были предупреждены. Для того чтобы пользователь мог работать с электронной почтой, в дополнение к обычному требованию ответить на секретный вопрос система попросила ввести имя пользователя и пароль. Как результат, в течение часа было введено 25% логинов/паролей. Кроме того, прошло 2 часа, прежде чем ИТ-команда сообразила, что происходит, и еще 2 часа, прежде чем специалисты компании смогли опубликовать предупреждение для пользователей. Несмотря на принятые меры, учетные данные пользователей поступали еще несколько часов после того, как было разослано предупреждение.

В другом случае исследовательская группа зарегистрировала домен, очень похожий на домен целевой компании. Затем всем сотрудникам компании было разослано письмо, описывающее новую процедуру ввода пароля, в результате чего сотрудники попадали на фальшивый сайт компании. Адрес подложного сайта, содержащий схожий с реальным домен, открыто размещался в письме; исследователи не делали попыток замаскировать URL. Как и предполагалось, большинство сотрудников, получивших письмо, послушно выполнили указанные действия.

Еще одно исследование показало, что наличие строгих процедур в процессе внесения изменений в административный интерфейс также является уязвимым местом системы безопасности по причине отсутствия гибкости. То есть, если хакеру удается реализовать внештатную ситуацию, пользователь, скорее всего, будет искать пути к ее исправлению, и злоумышленнику останется только «подсказать» ему ответ. Таким образом, часто строгие алгоритмы работы системы открывают лицам, в достаточной мере владеющим методами социального инжиниринга, доступ к конфиденциальной информации компании.

В целом эксперименты показали, что пользователи не просто не видят разницы между официальным и подложным доменом, проблема гораздо глубже. Несмотря на регулярно проводимые в компаниях тренинги и внедряемые учебные программы, большинство сотрудников предпочитает знакомиться не со всеми методами обнаружения и противодействия вторжениям, а лишь с теми, которые для них важны, к примеру, особо популярны возможности безопасного онлайн-банкинга и работы с известными онлайн-аукционами. Таким образом, сотрудники компаний своими действиями подтвердили, что не ожидают фишинг-атак, направленных на их рабочие данные, хотя и знают, что такая атака возможна.

Ловля на живца

Разумеется, разработчики программного обеспечения не могут в полной мере учитывать человеческий фактор, но для того, чтобы определить наиболее уязвимые места в системе безопасности отдельно взятой компании, как ни парадоксально, не обойтись опять же без помощи пользователей. Речь идет об имитации хакерских атак на систему заказчика, результаты которых дадут клиенту механизм для измерения эффективности текущей защиты системы от социального инжиниринга. Под атакой, таким образом, понимаются различные тестовые сценарии, которые предназначены для оценки успешности/неуспешности системы.

Определенную трудность представляет разработка подобных атак, поскольку, во-первых, атаковать нужно не какого-либо из пользователей, а непосредственно службу поддержки, вынуждая ее предоставить хакеру права администратора, а во-вторых, нужно достаточно точно и быстро определить сектор системы для проверки, чтобы не затягивать процесс и быстрее ликвидировать уязвимость.

Взлом облачного сервиса

Осуществляемую в исследовательских целях атаку можно разделить на несколько фаз. В течение первой – происходит сбор начальных данных о системе, к примеру, о расположенных в других странах подразделениях, о территориальном покрытии службой поддержки, информации о клиентах, а также сбор сведений о топ-менеджерах и директорах компании.

Вторая фаза включает в себя доступ к сетям компании в ночное время суток, для того чтобы оценить, что происходит с системой безопасности в отсутствии администраторов, а также для того, чтобы при необходимости изменить IP-адрес. Также во второй фазе происходит сбор данных о недавно произведенных увольнениях и сокращениях сотрудников, а заодно проверяется, внесли ли администраторы соответствующие изменения в систему. На третьем этапе исследователями берутся под контроль учетные записи управляющего и технического директоров целевой компании. На четвертом осуществляется контакт с сотрудниками, чтобы добиться их личного расположения.

Результат экспериментальной атаки превзошел все ожидания исследователей: они добились желаемого всего за три целенаправленных телефонных звонка с использованием психологических методов социального инжиниринга в подразделения компании – в Великобритании, США и в Китае. Сначала управляющий директор позвонил в британский офис компании незадолго до окончания рабочего дня, предупредил о возможных проблемах и запросил информацию о доступе к поддержке, но, отрабатывая сценарий злоумышленника, не просил открыть ему доступ в систему. Второй звонок поступил в офис в США от клиента управляющего директора, который просил внести изменения в логин и пароль, объясняя это тем, что у него возникли трудности с доступом в систему. Третий звонок поступил в китайский офис компании от технического директора компании, находящегося в чрезвычайных обстоятельствах.

Вследствие атаки исследователям удалось обойти строгие процедуры обеспечения безопасности; сотрудники компании представили исследователям подробности учетных записей; трафик удалось перенаправить на новый адрес, и в этом был задействован сотрудник компании; по телефону был продиктован новый пароль администратора. Чрезвычайно важно, что никто из сотрудников не попытался установить личность звонившего.

Участники эксперимента, учитывая характер атаки, отсутствие аудита и уведомлений об изменениях в системе, пришли к выводу, что в результате вторжения реальных хакеров несанкционированный доступ мог оставаться незамеченным в течение продолжительного времени. Таким образом, несмотря на то, что облачная система является техническим решением, подобные сервисы зависят от человеческого фактора так же, как большинство систем информационной безопасности. Как подтвердил эксперимент, социальный инжиниринг оказался самым быстрым и легким путем к нарушению информационной безопасности и самым труднообнаруживаемым. Методы социально инжиниринга, в отличие от электронного взлома сайтов, почти невозможно каталогизировать, а воздействие приходится оценивать, полагаясь на свидетельские показания сотрудников, ставших жертвами, причем надо учитывать, что они могут извращать реальность, желая спасти свою репутацию.