Социальная инженерия

В последнее время из различных источников на нас обрушивается шквал сообщений о том, что обнаружена уязвимость в том или ином ПО, появлении нового вируса и так далее. Казалось бы, для всякого рода хакеров наступают «звёздные времена», однако это справедливо лишь отчасти.

Да, компьютер обычного среднестатистического пользователя по-прежнему остаётся уязвимым от всякого рода атак. Но, что даст взлом такого компьютера? Да почти ничего. Зато корпоративные сети представляли и представляют собой лакомый кусочек для хакеров, причём, чем крупнее и известнее такая компания, тем более желанен взлом и проникновение в их сети.

Так как, во-первых, такой взлом значительно повышает статус хакера в своей среде, во-вторых, такие взломы почти никогда не производятся «просто так», как правило, это всегда хорошо оплаченный заказ, который осуществляет конкурирующая компания. Таким взломом могут достигаться самые различные цели, например, дискредитация компании, и, как следствие срыв, важной сделки или заказа, падение курсов акций и так далее. Не нужно забывать и про коммерческий шпионаж, то есть проникновение в ЛВС компании с целью похищения какой-либо информации (научные разработки, результаты экспериментов, бухгалтерская документация и так далее). Однако сделать это уже не так-то просто.

Дело в том, что для увеличения надёжности образовывается специальный шлюз между локальной сетью компании и сетью Интернет — это делается потому, что именно извне исходит основная угроза. Почти всегда такой шлюз строится уже не на Windows-системах, а на системах под управлением различных Unix-ов (различные виды Linux и BSD — систем). Такие системы на несколько порядков надёжней, и найти сообщение о том, что они взломаны, либо в них найдена какая-либо уязвимость очень сложно. Точно такой же профессиональный подход и при выборе антивирусов, брандмауэров, и так далее. Вся входящая электронная корреспонденция тщательным образом проверяется на наличие вирусов, и только после этого доставляется уже внутри сети на компьютеры пользователей. И, получается, большинство пользователей в таких сетях по-прежнему работают на привычных и удобных для них Windows — системах, получают электронную почту, пользуются сервисами icq и irc, но благодаря существованию шлюза и хорошего администрирования, сеть и её пользователи надёжно защищены от атак извне.

Всё это заставляет хакеров отрываться от своих компьютеров и уже «действовать» непосредственно «на местности». Появился даже специальный термин — «социальная инженерия». То есть взлом компьютерных систем, так сказать, альтернативными методами, такими как: обман, подкуп, шантаж. Зачастую, именно так хакеры пытаются получить непосредственный доступ к интересующим их компьютерам. Впрочем, история компьютерных взломов знает и ещё более необычные случаи, когда для получения закрытой информации хакеры искали информацию в …мусорных баках расположенных возле офисов тех или иных компаний. При этом их интересовали самые разнообразные предметы, например, дискеты, которые не читались для обычных пользователей, но, будучи восстановленными, давали хакерам много интересной информации. Различные «руководства пользователя» и прочая документация также давали хакерам информацию о том, какое ПО используется. Иногда в таком мусоре хакеры находят и пароли, будучи записанными на всяких подвернувшихся под руку бумажках они делают первый шаг, чтобы в конечном итоге оказаться в мусорном баке, а значит, теоретически и в руках хакеров…

…А вот самый новый, но в тоже время и самый типичный пример «социальной инженерии», собственно, обнаружение мной которого и дало повод для написания этой заметки. Суть этого нового приёма из области социальной инженерии заключается в том, что хакерами берётся пустая болванка, на специальной бумаге распечатывается наклейка, которая при помощи аппликатора переноситься на поверхность диска. Также распечатываются соответствующие вкладыши для коробочки, то есть диску придаётся соответствующий фирменный вид. Как правило, это будет подделка под уже существующие диски, вроде таких, которые распространяются с журналами, или таких которые раздают на всяких презентациях. Содержанием таких дисков обычно являются всякие прайсы, слайд-шоу и другая рекламная информация. Хакерские и фирменные диски будут почти идентичны, почти потому, что программа — оболочка, на хакерских дисках будет отличаться и помимо традиционной функции навигации по диску, будет выполнять и другие опасные для Вас функции. И ещё одна особенность таких дисков — наличие автозапуска, то есть, как только Вы вставляете диск в привод, Windows тут же пытается найти файл autorun.inf, а в этом файле размещены инструкции какое приложение необходимо запустить.

Теперь, когда фальшивый диск готов, он вместе со всякими проспектами, журналами запечатывается в конверт и подбрасывается в почтовый ящик, либо непосредственно в офис компании. Цель всего этого состоит в том, что существует большая вероятность того, что кто-нибудь из сотрудников компании решит просмотреть этот диск. Как только диск будет вставлен в привод, тут же сработает autorun, и запустит хакерскую программу. Как я уже говорил выше, просмотр такого диска вряд ли вызовет какие-либо подозрения, автоматический запуск программы- оболочки — это вполне обычная ситуация, и вряд ли кто-нибудь обнаружит, что эта оболочка будет выполнять на компьютере ещё какие-нибудь операции, кроме навигации по диску или показа какого-нибудь слайд-шоу. Какие это будут операции? Это уже будет зависеть от конкретной ситуации, возможно, это будет поиск каких — либо файлов на Вашем компьютере, и в intranet сети вашей компании. Естественно, эти данные в последующем будут отправлены хакеру по электронной почте, или закачаны на хакерский сайт по ftp-протоколу. Как Вы понимаете, размерами файла хакеры, в данном случае, не будут ограничены, а, следовательно, они могут реализовать самые сложные свои алгоритмы и задачи.

Поэтому, будьте внимательны, всё чаще и чаще хакерские атаки будут осуществляться не привычным образом, а именно атакой изнутри. Внимательно подходите ко всяким дискам, пришедшим по почте, либо каким-либо другим образом попавшим в Ваш офис, также отключите возможность автоматического запуска, в Windows — это производится следующим способом (Пуск ->Панель управления -> Система -> Устройство чтения компаки дисков ->Свойства -> Настройка -> убрать галачку с опции «Автоматическое распознавание»). В случае любого странного поведения вашего компьютера, немедленно обращайтесь к администратору. И знайте: за утечку информации, произошедшую по Вашей вине, пусть хоть и косвенной, Вас уж точно никто не похвалит.

Роман Горбенко

Оставить комментарий

Ваш email нигде не будет показан. Обязательные для заполнения поля помечены *

*

3 × 1 =