Skip to main content

Обзор книги Кевина Митника «Искусство обмана»

Искусство обмана

Книга «Искусство обмана» самого известного социального инженера современности Кевина Митника вышла в 2001 году и переведена на русский язык в 2004 году. Соавтором Митника стал Вильям Л. Саймон, который в дальнейшем напишет книгу про Стива Джобса «iКона».

В качестве аннотации к книге хорошо подходит цитата из введения:

Работаете ли вы в правительстве или занимаетесь бизнесом, эта книга снабдит вас качественным планом, поможет вам понять, как социальные инженеры работают, и что вы можете сделать, чтобы помешать им. Используя придуманные истории, которые одновременно развлекают и просвещают, Кевин и его соавтор Билл Симон воплотили в жизнь технику социальной инженерии. После каждой истории они предлагают практические указания, чтобы помочь защититься от описанных нарушений и угроз.

Стив Возняк. Сооснователь компании Apple

Несомненно, Митник крут. И книга, написанная им, не содержит море саморекламы и лозунгов, нацеленных на продажу книги. Но эгоистический прудик там есть. Т.е. вот этого вот «прочитав книгу вы взбежите по карьерной лестнице и будете принимать каждый вечер ванну из шампанского», там нет. А «я был признан всеми Врагом Государства Номер Один» — есть. Но это автору очень даже можно простить.

Биографические главы

Художественную и профессиональную ценность составляют сценарии атак социальных инженеров на вымышленные компании. Понятно, что описаны действенные подходы, и что автор описывает собственный опыт. Надо сказать, что несмотря на давность лет, описанные в книге атаки могут привести к взлому и через 20 лет после публикации. При проведении учебных атак в рамках оказания услуг для наших клиентов, мы используем материалы Митника как хороший справочник, требующий актуализации под современные и российские реалии.

Примеры атак

Прочтение книги дает ощущение отрыва от современных реалий. Как смотреть фильм про Джеймса Бонда с Шоном Коннери: нестареющая классика, но к технике «есть вопросы». Точнее, даже нет вопросов: для тех времен это работало. Так и в книге: описанные методы взлома работали с теми людьми и в то время.

Еще одна важная деталь, которую сам Митник упомянул в начале книги. Он пишет про Америку. Американские граждане воспитаны в парадигме открытости и доверия. США очень подходит термин «Страна непуганных дураков», да простят меня американцы. А Митник со своими телефонными «розыгрышами» вообще купался в чистейшем незамутненном бассейне! И, прошу прощения за каламбур, туда напрудил, инженер такой. Это еще мягко сказано. После него еще много кто там побывал, и доверчивости и жертв поубавилось за годы. В России же наивности и доверчивости прилично меньше изначально. А исторический фон и наша бытность делает нам прививки против наивности регулярно и принудительно. Так что есть вероятность, что и 15 лет назад господин Митник со своими сценариями атак был бы вычислен, послан и, возможно, побит без всякого участия ФБР!

Тем не менее. Сценарии крутые для тех, у кого развито аналитическое мышление и фантазия. Это позволяет создать скрипты атак, работающих здесь и сейчас. Пища для ума просто восхитительная! У меня блокнот с записями не закрывался всю дорогу, пока я читал книгу.

В основном, описанные в книге атаки направлены на крупные организации, где есть шанс не быть узнанным, представившись внутренним сотрудником.

В книге большинство социальных инженеров — мужчины. Во времена написания книги так и было. Сейчас баланс сместился: большего успеха на хакатонах по социальной инженерии достигают женщины!

Классификации атак будет посвящена отдельная заметка в нашем блоге.

Рекомендации по защите

  • Разработчики систем ошибочно считают информацию по создаваемой ими системам безвредными и охотно делятся ей. Нужно повышать их осведомленность о составе конфиденциальной информации и коммерческой тайне работодателя.
  • Политика безопасности компании должна распространяться по всему предприятию, независимо от положения служащих.
  • Не поддавайтесь на атаку «со старшим не спорят», когда атакующий выдает себя за вашего начальника или человеку, должность которого заставляет вас безоговорочно подчиниться. Страх неугодить или подставить коллегу — один из ключевых мотиваторов атакующих, особенно для рядовых сотрудников (менеджеры, IT-сотрудники, пользователи ПК, обслуживающий персонал, администраторы и их ассистенты, техники связи, охранники).
  • Проверяйте полномочия спрашивающего. Не бойтесь задать вопрос «Почему вы звоните мне?»
  • Мотивируйте сотрудников сделать безопасность корпоративных данных частью их должностных обязанностей. Мотивировать значит не только наказывать за разглашение, но и премировать за предотвращение утечки!
  • Атака проходит не по расписанию, если она не учебная, так что сохранение бдительности важно перманентно, в особенности в горячее время (закрытие квартала, аврал по проекту), которое скорее всего выберет атакующий.
  • Если незнакомый человек окажет вам услугу, а потом попросит сделать что-либо, не делайте этого, не обдумав хорошенько то, что он просит. Бойтесь «своих парней», которые не свои!
  • Во многих организациях должно существовать правило, что любая информация, которая может причинить вред компании или сотруднику, может быть выдана только тому, с которым сотрудник, владеющий информацией знаком в лицо или чей голос настолько знаком, что вы узнаете его без вопросов.
  • Назначьте ответственного за обработку внешних запросов на предоставление конфиденциальной информации. Этот человек должен быть полностью покружен в политику конфиденциальности и нести должностную ответственность за данный информационный обмен.
  • Никто не будет ломать ваш межсетевой экран при возможности получить чувствительные данные более легким путем. Термин Candy Security описывает слабость защиты внутренних систем, как конфет с твердой оболочкой, мягких внутри. Проверьте, в том числе инструментально, нет ли доступа к начинке вашего ИТ в обход твердой оболочки из периметровых средств защиты.
  • Сбор открытых данных о вашей компании может обеспечить злоумышленнику отрывочные знания, достаточные для убеждения сотрудников вашей компании в том, что он свой. Это даст ему незаконное право получить дополнительную конфиденциальную информацию, используя веру в безопасность, основанную на незнании непосвященных (security through obscurity). Не дайте запутать себя деталями, которые может знать выдающий себя за внутреннего сотрудника злоумышленник!
  • Социальные инженеры на то и социальные, что могут играть на нежелании сотрудников подчиняться командам, вместо чего им предлагается сделать противоправное действие, разгласив чувствительную информацию. Анализируйте диалог, выявляя мнимый выбор, который вам предлагается. Например, вам командуют принести аппаратный ключ доступа, якобы забытый в тумбочке другого сотрудника, или, что проще, продиктовать временный пароль к учетной записи.
  • При отсутствии автоматизированной антифишинговой системы проверяйте электронные ссылки на предмет их корректности (email, URL). Самый технически простой способ вас обмануть — направить на ложный, пусть и защищенный сайт, отличающийся от оригинального неправильной буквой, цифрой вместо буквы или иным способом.
  • Особое внимание уделяйте обучению техникам противодействия социальным инженерам для новых сотрудников. Без тренинга не допускайте их до работы с конфиденциальной информацией!
  • Обновляйте свои тренинги по ИБ, делайте их доступными не только очно, но и дистанционно. Обучение должно быть циклично и выделено в процесс. Сам процесс обучения должен проходить в рабочее время, а не представлять собой факультативное, не обязательное к исполнению задание.
  • Курс по противодействию методам социальной инженерии в обязательном порядке должен включать следующие разделы:
    • Описание того, как атакующий использует навыки социнженерии для обмана людей.
    • Описание методов, используемых социнженером для достижения цели.
    • Как предупреждать возможные атаки с использованием социальной инженерии.
    • Процедура обработки подозрительных запросов.
    • Куда сообщать о попытках или удачных атаках.
    • Процедуры защиты важной информации, включая любые данные для о системе ее хранения.
    • Аннотация ключевых политик безопасности и их назначение.
    • Обязанности каждого работника следовать политикам и важность «несговорчивости».
    • Политики безопасности для паролей компьютеров и голосовой почты.
    • Процедуры предоставления важной информации и материалов.
    • Политика использования электронной почты, включая защиту от удаленных атак с помощью вирусов, червей и «троянов».
    • Ношение бейджей как метод физической защиты.
    • Специальные меры в отношении людей, не носящих визиток-бейджей.
    • Практика использования голосовой почты наиболее безопасным образом.
    • Классификация информации и меры для защиты особенно важной.
    • Регламент периодического тестирования на проникновения, инструментального и с применением учебных атак социальной инженерии.

Типичные методы действий социальных инженеров

  • Представляться другом-сотрудником.
  • Представляться сотрудником поставщика, партнерской компании, представителем закона.
  • Представляться кем-либо из руководства.
  • Представляться новым сотрудником, просящим о помощи
  • Представляться поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч.
  • Предлагать помощь в случае возникновения проблемы, потом заставить эту проблему возникнуть, принуждая жертву попросить о помощи.
  • Отправлять бесплатное ПО или патч жертве для установки.
  • Отправлять вирус или троянского коня в качестве приложения к письму.
  • Использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль.
  • Записывание вводимых жертвой клавиш компьютером или программой.
  • Оставлять диск или дискету на столе у жертвы с вредоносным ПО.
  • Использование внутреннего сленга и терминологии для возникновения доверия.
  • Предлагать приз за регистрацию на сайте с именем пользователя и паролем.
  • Подбрасывать документ или папку в почтовый отдел компании для внутренней доставки.
  • Модифицирование надписи на факсе, чтобы казалось, что он пришел из компании.
  • Просить секретаршу принять, а потом отослать факс/email.
  • Просить отослать документ в место, которое кажущееся локальным.
  • Получение голосовой почты, чтобы работники, решившие перезвонить, подумали, что атакующий – их сотрудник
  • Притворяться, что он из удаленного офиса и просит локального доступа к почте.

Выводы

В части противодействия методам Социальной инженерии автор предлагает учиться, учиться и еще раз учиться.

Все уязвимы к атакам социальных инженеров, и единственная эффективная система защиты компании – обучать и тренировать людей, давая им необходимые навыки для распознавания социального инженера. А потом постоянно напоминать людям о том, что они выучили на тренировке, но способны забыть.

Кевин Митник

Social Engineering