Sociālā inženierija jeb Īsā pamācība IT krāpniecībā

Sākumlapa Forumi Notepad.lv IT ziņas Raksti Sociālā inženierija jeb Īsā pamācība IT krāpniecībā

Tiek skatīts 5 ierakstu – 1 līdz 5 (no 5 kopumā)
  • Autors
    Ieraksti
  • #158597
    samurajs
    Participant

    Kā rāda pasaules veiksmīgāko hakeru uzbrukumu statistika, vairums no tiem saistīti ar cilvēciskajām problēmām. Cilvēku stulbums mēdz būt bezgalīgs, no tiem var izmakšķerēt jebkuru informāciju, un tie spēj paveikt vismuļķīgākās darbības. Pēc Latvijas piemēriem labi zinām, ka joprojām un vēl aizvien atrodas indivīdi, kurus var apmānīt ar SMS “Jūs esat vinnējis 10,000 Ls” vai zvanu “Jūsu mazdēls ir lielās nepatikšanās, nepieciešami 500 Ls”. Atmetīsim šoreiz superstulbeņus, un pievērsīsimies normālām manipulācijām ar ikdienas cilvēkiem.

    Eksperiments: ASV psihologi veica testu: apzvanīja slimnīcas, un, uzdodoties par ārstu, lika medmāsām ievadīt slimniekam nāvējošu zāļu devu. Medmāsai atbilstoši savai izglītībai bija jāzin, kādas tam var būt sekas, bet vienalga 95% no viņām izpildīja rīkojumu. Protams, eksperimentā neviens necieta; psihologa asistenti laicīgi apturēja bezgalvas medmāsas. Interesanti, ka neviena medmāsa neveica jebkādu ārsta personas autorizāciju, bet akli izpildīja pavēli. Tas tāpēc, ka ārsts ir autoritāte, kura rīkojumus izpilda bez ierunām.

    Secinājums: piemērā 95% slimnīcu izrādījās kritiski ievainojamas.

    Metodes nenoveco

    Sistēmas nepārtraukti mainās. Dzelži un programmatūra kļūst aizvien sarežģītāki. Lai vairāk vai mazāk izsekotu līdz aizsardzības un uzbrukuma tehnoloģijām, teicami jāpārzina visas IT nianses un nepārtraukti jāseko līdz visam jaunajam. Tas ir klasiskā, romantiskā hakera ceļš. Mūsdienās maz kas vairs nes tādus upurus. Tagad šauras specializācijas urķi veic konkrētas darbības grupveidā, bet galamērķis vienmēr ir aizsardzības perimetra uzlaušana. Atceramies kaut vai šā brīža skandālu ar Denisu ÄŒalovski: ja tas, ko mums iebaro prese, ir taisnība, tad viens hakeris izstrādāja Gozi Virus, ÄŒalovskis to pielāgoja web-injekcijai, bet trešais grupas biedrs izpildīja menedžera funkcijas.

    Viens no mūsdienās izplatītiem paņēmieniem ir sociālā inženierija. Tieši tā ir bāze, uz kuras atrodas virsbūve no IT un tehnoloģiju zināšanām. Kas mūsu kontekstā tas ir par zvēru? Sociālā inženierija ir iepriekšējā sagatavošanās, datu un informācijas ievākšana, bez kā nevar veikt sekmīgu uzbrukumu. Par IT sfēras administratoriem labprāt pieņem paranoiķus (vienmēr visā saskata uzbrukumus saviem objektiem) un ciniķus (netic nekad un nevienam). Tieši šādi cilvēki parasti sastāda drošības instrukcijas, piešķir permisijas, kā arī veic drošības testēšanu. Š āda pieeja dod zināmus plusus, bet tā nekādā gadījumā nav absolūtā garantija. Sociālajā inženierijā nevar uzlikt patchu un par to aizmirst – ļaundaru apgūtās metodes darbosies vienmēr, jo cilvēku uzvedība “pa lielam” nemainās.

    Socinženierijas bāzes modelis

    Iedomāsimies, ka katrs darbinieks zin tikai to, kas viņam atļauts zināt. Līnijas darbinieki (piem. meitene, kas apkalpo klientus) netiek klāt kritiskiem datiem. Tāpēc, ja arī savāktu visu ierindas darbiniekiem pieejamo informāciju, firmai netiktu nodarīts nopietns kaitējums. Bet šie dati var tikt izmantoti sakariem ar augstāku līmeni. Piemēram, var piezvanīt un stādīties priekšā kā vadošs darbinieks. Tad var paspēlēties ar autoritāti kā gadījumā ar ārstiem sākumā. Vai arī var uzdot pāris nevainīgu jautājumu un iegūt gabaliņu puzles. Trešais variants – iziet uz augstāka ranga darbinieku pēc principa “kolektīvā viens otram palīdz”. Pat pie drošām instrukcijām pastāv iespēja, ka emocijas gūs virsroku.

    Eksperiments: hakeris zvana vienai un tai pašai meitenei no call-centre jau mēnesi vairākas reizes nedēļā. Viņš uzdodas par darbinieku, runā bez aizķeršanās, piemin tikai pozitīvo, precizē šādus-tādus visiem zināmus sīkumus, citreiz prasa nelielu palīdzību. Konkrētu autorizāciju nomaina fakts, ka cilvēks zvana bieži. Ja vajadzīgs, hakeris zvana 10, 20, 30 reižu – tik ilgi līdz kļūst par meitenes dzīves sastāvdaļu. Viņš pārzin visas firmas darbības nianses, zvana vienmēr, un ir savējais.

    Tad nu 31. zvana reizē hakeris atkal prasa sīku palīdzību, bet šoreiz jau par tēmu, kas skaitās konfidenciāla. Ja vajag – tiek sniegts loģisks pamatojums sakarā ar personiskām problēmām utml. Protams, ka jebkurš normāls cilvēks palīdzēs. Leģendārais hakeris Kevins Mitņiks darbā “The Art Of Deception” aprakstījis, ka šādā veidā ieguvis visaugstākā līmeņa pielaidi datorsistēmai no paša sisadmina.

    Reversīvā socinženierija

    Bāzes modelis ir klasiskais: jūs saņemat datus, ar kuriem to turētāji gatavi dalīties. Bet atšķirībā no klasiskā paņēmiena datu īpašnieks pats tos brīvprātīgi izstāsta. Efektīvs trīs soļu gājiens: uztaisāt nepatikšanas datu turētājam, nodrošināt kontaktu ar sevi, tad veicat uzbrukumu.

    Eksperiments: pārģērbjaties par apkopēju, un ar visiem rīkiem apmeklējat apsargājamo objektu. Neuzkrītoši ziņojumu dēlī nomainiet tehniskā atbalsta tālruņa numuru pret savējo un mazliet sabojājiet kādu no PC. Ļoti drīz jūs saņemsiet zvanu, kurā PC īpašnieks stāstīs visu, ko vien gribēsiet. Jūsu autorizācija aizdomas neizraisa – cilvēks tak zina, kam viņš zvana!

    Jauka variācija: banku IVR-phishing. Upuris saņem vēstuli no bankas ar viltotu klientu centra numuru, uz kuru lietotājs tiek lūgts piezvanīt. Tur viņam paprasa konta un kredītkartes numuru, varbūt arī vēl ko vairāk. Kas to prasa – cilvēks? Taču nē – autoatbildētājs! Bet mašīnas taču nekrāpjas!!!

    Speciālie gadījumi

    Gadījumos, ja kāds konkurents ļoti nepatīk, ir speciālas metodes ieriebšanai. Noteikti jābūt kādām web-lapām, kuru apmeklēšana ir darbinieku ikdienas pienākums. Tādās var ievietot kaitīgo programmatūru. Metode mūsdienās top intensīvi piekopta. Vēl var parūpēties, lai darbinieki “atrod” aizmirstas zibatmiņas vai DVD diskus ar interesantu saturu. Lai izdibinātu firmā strādājošo darbinieku loku, lieti noder sociālie tīkli. Tajos arī var sapazīties ar vajadzīgiem cilvēkiem.

    Pēc sadraudzēšanās iegūstamo datu loks jau ir daudz plašāks: “Aizmirsu 4. nodaļas telefonu – vai vari man to iedot?”. “Paldies! Vakar man gadījās ļoti aizdomīgs klients [vārds, uzvārds]. Varbūt pateiksi viņa kartes numuru, ar ko viņš maksāja pagājušo reizi?” Blondīnei: “Ko tu vadi iekšā, lai iekļūtu datorā? Pa burtiem, lūdzu – Iks-septiņi-dolāra zīme-bē-lielais a-deviņi-igrek?” Un var pat paveikt neticamas lietas – ja drošības apsvērumu dēļ dators atslēgts no tīkla, var panākt, lai to pievieno.

    Eksperiments: kādā hakeru turnīrā bija iesildīšanās uzdevums: “Klientu apkalpošanas servisa meitene pametusi posteni uz 30 sekundēm. Jūsu rīcība?”

    Tika izbrāķētas tādas atbildes kā “uzinstalēt kaut ko uz PC” – tam noteikti nepietiks laika un permisiju. Nozagt dokumentus no galda vai pārsūtīt e-pastus sev? Pamanīs uzreiz. Vispār piesēsties pie PC nedrīkst – mūsdienās visur kameras. Labākās atbildes bija no sociālās inženierijas lauciņa: neuzkrītoši pielīmēt stikeri ar “tehniskā atbalsta” tālruni vai kaut vai uzaicināt meiteni uz randiņu. Par to nevienu nesoda, bet sieviešu daba ir neizdibināma, un ja izdodas – pēc tam var iegūt jebkādu info!

    Ko darīt?

    Ja jūs esat persona, kas tieši atbildīga par datu drošību, tad visefektīvākā metode ir sarīkot reālus tiešsaistes treniņus savā firmā – ja jūsu ārieni un balsi pazīst, iesaistiet uzticamus draugus vai radus. Lekcija datordrošībā daudz nepalīdzēs, bet kad vietējās blondīnes iekritīs, un viņām drebēs ceļi, gaidot, vai atlaidīs no darba – būs mācība pašām un arī citiem.

    Pamatinformācija – Wikipēdijā, tur pielikumos ir darbu saraksts, kur atrodami visi līdzšinējo krāpšanu piemēri.

    [img]https://notepad.lv/userpix/28_personal_trollface_hd_1.png[/img]

    Rakstā izmantoti materiāli no Habrahabr

    #300167
    aoma
    Participant

    Nu drūmi. Par laimi, esmu gan ciniķis, gan paranoiķis, bet drošs tomēr nevari būt nekad 😀

    #300168
    garaisezis
    Participant

    pret iekšējo (fizisko) uzbrukumu vēl var aizsargāties, jo nemaz tik vienkārši fiziski nav iespējams piekļūt klāt, bet no ārpasaules vienīgais glābiņš ir atslēdzot internetu, lietojot tikai iekšējo tīklu un tikai tur kur nepieciešams, pēc drošības līmeņiem utt. Tad vēl “nahrenezēt” visus USB un cd-rom, vārdu sakot ir pliks monitors, klaviatūra un pele. Dati tiek padoti pa iekšējo tīklu. Bet tā pat atradīsies kāds mudaks, kas atnesīs disketē Solitaire uzspēlēt kopā ar sazin vēl ko.

    Un lai vai kādas būtu paroles, un šifrējumi, to tā pat atlauzīs, tas ir tikai laika jautājums, jo tā pat kāds cilvēks to ir veidojis nevis no NASA atvests marsietis.

    #300169
    BlackHalt
    Participant

    Nedomāju, ka būtu speciāli jāuzsver, ka šī “Sociālā inženierija” būtu IT un hakeru lauciņš.

    Arī pirms datoriem pastāvēja “Sociālās inženierijas” un Ostapi Benderi.

    #300170
    nitro
    Participant

    Labu veiksmi uzlauzt sarezhgjiitu paroli un shifreejumu kas pie veiksmiigas atkoshanas buus neveertiiga jo buus pagaajis paaraak daudz laika. Ja vien neesi arheleogs va mazohists atmetiisi ar roku uzreiz. 😀

Tiek skatīts 5 ierakstu – 1 līdz 5 (no 5 kopumā)
  • Jums ir jāpieslēdzas sistēmai, lai varētu komentēt šo tēmu.
Jaunākais portālā