Представьте себе абстрактного пользователя, получающего по электронной почте такое вот послание. Выглядит послание настоящим, имеет logo и бланк соответствующей службы, пришло в запечатанном конверте. Но поверит ли пользователь, что послание сие ему действительно отправила служба PinkyLink? Складывается совершенно абсурдная ситуация! Любая настоящая компьютерная служба, у которой возникли проблемы с паролями, станет осуществлять обновление всех паролей в режиме онлайн. Ведь это самый простой и дешевый способ обновить сотни или даже тысячи файлов с пользовательской информацией. Тем не менее, глядя на письмо, получивший его пользователь осознает, что он сам не находится в непосредственной опасности, в отличие от тех несчастных, чьи пароли были украдены; ему не придется получать по электронной почте громадные счета за кого-то, кто нелегально подключится к его, пользователя, бюджету. А как насчет упомянутых в конце 75%? Узнав про них, пользователь ответит на письмо в два раза быстрее. Он почувствует себя обязанным не только вновь сделать свой бюджет безопасным, но и обязанным перед базой данных: если уж они так любезно предупреждают его об опасности, да еще и платят, надо же хоть чем-то их отблагодарить. А оплаченный конверт с обратным адресом! Конечно, PinkyLink, скорее всего, меняет пароли пользователей и в режиме онлайн, но упоминать об этом в письме вовсе необязательно. Помните, что в посланиях подобного рода стиль имеет большее значение, нежели содержание. Прежде чем отправлять подобное письмо, потрудитесь взглянуть на экземпляры настоящей корреспонденции PinkyLink, чтобы получить представление о том, какую бумагу, шрифт и т. д. лучше использовать. На эту удочку обычно попадается довольно много народа, особенно если ваши адресаты - абсолютные новички. Позднее мы еще поговорим о том, как можно с пользой понаблюдать за BBS.
Неприятности в раю
Ведя переговоры с крупной корпорацией, или заставляя людей посылать вам по электронной почте свои пароли, вы можете нарваться на крупные неприятности. Почтовое министерство расценивает подобную деятельность как почтовое мошенничество, даже если вы всего-навсего собирались пошутить. Я привел здесь эти идеи лишь для того, чтобы стимулировать ваше воображению, вовсе не собираясь провоцировать вас на незаконные действия.
При занятиях социальной инженерией существует множество причин, по которым ваш собеседник может отказаться снабдить вас секретными данными. Он может: быть предупрежден об утечках информации; знать о тактике социальной инженерии; не поверить, что вы тот, за кого себя выдаете; знать, что вы не тот, за кого себя выдаете; не иметь причин помогать вам, и дать вам неверную или вводяшую в заблуждение информацию; доложить о вас менеджеру по безопасности. По любой из перечисленных причин человек, у которого вы пытаетесь выудить данные, может не суметь или не захотеть сообщить вам пароли и другую нужную вам информацию. А вы сами, прочитав все вышесказанное, стали бы выбалтывать секретные сведения неизвестному по телефону? Вот в чем проблема. Каково же ее решение?
Обратная социология инженерия
Обратная социальная инженерия (или просто ОСИ, или даже ОИ) является довольно рискованным предприятием с переменной эффективностью и пригодностью в различных ситуациях. Впрочем, результаты, которые дает ОСИ, бывают настолько потрясающими, - а порой столь же забавными - что данный способ ярко выделяется среди остальных методов взлома зашиты систем. Дело в том, что, хотя социальная инженерия представляет собой признанный и проверенный метод получения нужной информации, она имеет свои недостатки. Не бывает совершенных систем, и список в конце предыдущей главы наглядно показывает, что социальная инженерия срабатывает не всегда. ОСИ по многим критериям предпочтительнее СИ. Впрочем, применять обратную СИ можно лишь в некоторых ситуациях, после длительной подготовки и предварительных исследований. Вдобавок, настоящая обратная инженерия может с успехом применяться только самыми хитроумными (и легкими на подъем) хакерами. Не думайте, что эта техника станет вашим основным методом сразу, как только вы начнете знакомиться с миром компьютерных правонарушений. Обратная СИ в своих наиболее совершенных проявлениях требует информации, которой вы пока не располагаете, и уловок, с которыми вы пока что не знакомы. Вот сравнительный список, показывающий некоторые "за" и "против" обоих методов.
Социальная инженерия: вы совершаете звонок, зависите от собеседника.
Обратная социальная инженерия: собеседник совершает звонок и находится в зависимости от вас.
Социальная инженерия: вы чувствуете себя в долгу перед ним, либо он может поверить в это и повести себя соответственно.
Обратная социальная инженерия: принимая вашу помошь и советы, он отблагодарит вас, если в будущем вам понадобится помошь.
Социальная инженерия: вы нуждаетесь в его помощи.
Другой способ заключается в постепенном замедлении времени ответа на каждую новую попытку входа. Начинающий хакер может обнаружить, что ответ от удаленного компьютера приходит к нему через тридцать секунд... затем через минуту... затем через две... Периоды ожидания начинают увеличиваться только после трех или четырех неудачных попыток входа. Компьютер говорит сам себе: "Черт возьми, ни один нормальный пользователь не смог бы ошибиться столько раз. Наверно, это хакер!"
Еще одна хитрость - ложное приглашение ко входу в систему. После определенного количества неудачных попыток входа система продолжает запрашивать входную информацию, но каждый раз возвращает сообщение об ошибке, независимо от того, верна данная информация, или нет.
Отсюда следует мораль: при написании программы для взлома паролей не забудьте о выводе результатов на экран по мере продвижения. Не следует запускать программу на всю ночь и ложиться спать, не убедившись сперва, что в данном случае не имеют места подобные меры безопасности. Ведь проснувшись утром, вы можете обнаружить, что время ответа компьютера на ваши попытки входа составляет сорок минут. Или же программа безуспешно переберет все возможные комбинации, отвечая на ложные приглашения.
Заключение
Значительная часть данной главы повествует о различных "вероятных" паролях, которые перебираются по ходу грамотной силовой атаки перебором.
Наиболее часто встречающиеся пароли можно перечислять ао бесконечности - имена домашних питомцев, исторические даты, названия книг не говоря уже о том, что все они могут быть написаны с пропущенными гласными, задом наперед и в виде различных анаграмм. Порой и думать не приходится о со-крашении числа возможных паролей до нескольких, так как ваше "сокращенное" число окажется таким же бесконечным, как и то, которое вы пытались сократить. Кроме того, пароль может быть "легким" для угадывания и в то же время достаточно тайным, чтобы отбить у вас охоту его отгадывать. Пароль "Смит" не является особенно тайным, равно как и пароль "Ажонс", но пароль "Смит@ёДжонс" вполне отвечает требованиям секретности.
Сторонним наблюдателям кажется, что угадывание паролей как раз и является основным занятием хакеров, но на самом деле это лишь начальный этап взлома.
"Атаки перебором" лучше всего удаются компьютерам и к ним лучше всего прибегать тогда, когда для получения права доступа необходим компьютер (в качестве примера можно привести Роберта Морриса с его компьютерным "червем").
Дело в том, что хакерское дело целиком зависит от знаний и мастерства. Метод перебора имеет мало общего и с тем, и с другим. Но никто не посмотрит сверху вниз на хакера, который грамотно проводит силовые атаки, особенно если у него есть на то веские причины. Но не надейтесь, что электронный мозг сделает за вас всю грязную работу: используйте лучше творческие возможности своего собственного мозга. О них-то и пойдет речь в следующей главе.
Глава 4. Социальная инженерия
Обратная социальная инженерия: Он нуждается в вашей помоши.
Социальная инженерия: ваша жертва обычно остается в недоумении.
Обратная социальная инженерия: все проблемы устраняются, вопросов не остается.
Социальная инженерия: вы почти не контролируете ситуацию.
Обратная социальная инженерия: вы полностью контролируете направление и предмет беседы.
Социальная инженерия: подготовительной работы практически не требуется.
Обратная социальная инженерия: тщательное предварительное планирование; требуется предварительное получение доступа к месту действия.
Социальная инженерия: может применяться где угодно.
Обратная социальная инженерия: применяется только в определенных условиях.
Социальная инженерия в основном исходит из предпосылки, что вы самозванец, притворяетесь, что у вас возникли затруднения и вам требуется помошь другого оператора. А вот обратная ситуация: проблемы возникают у легального пользователя системы, и он (или она) просит вас, хакера, о помоши. Помогая пользователю разрешить возникшие проблемы, хакер без особенных усилий может узнать рабочие имена и пароли. Атака с помощью ОСИ состоит из трех частей: диверсия; реклама; помошь.
Диверсия - это первый краткий контакт с определенным компьютером, во время которого хакер создает какую-либо неполадку, требующую устранения.
Реклама - информирование пользователя о том, что вы разбираетесь в вопросах из области компьютеров.
Помошь - общение с пользователем, в процессе которого вы решаете проблемы пользователя, а тот, сам того не ведая, решает ваши.
Прежде чем я начну объяснять, как применять этот метод и что он может дать, вам следует уяснить для себя, почему лучше, когда пользователь обращается к вам за помошью, а не наоборот. Давайте рассмотрим по пунктам список недостатков социальной инженерии, приведенный в предыдущей главе, чтобы показать, как обратная социальная инженерия преодолевает эти препятствия.
Преодоление недостатков социальной инженерии
Пользователь может быть предупрежден об утечках информации или знать о тактике СИ
Пытаясь подвергнуть социальной инженерии того, кто о ней знает, особенно квалифицированных программистов и других хакеров, вы вряд ли многого добьетесь. Даже если собеседник не знает о СИ как таковой, он (или она) может достаточно серьезно относиться к предупреждениям "Храните в тайне свой пароль", чтобы не купиться на вашу болтовню. Социальная инженерия рассчитана на наивных пользователей. Но ведь не все являются таковыми.
В случае ОСИ легальный пользователь обращается к вам за советом. Следовательно, он считает вас человеком, которому можно доверять, - членом компании или ее доверенным лицом, то есть тем, кто уже и так знает все пароли и протоколы. Так что у него нет причин не давать вам такую информацию. У него даже мысли подобной не возникнет - ведь ему так или иначе придется, обратившись за помошью, выложить всю подноготную.
Следует отметить, что обратная социальная инженерия не является социальной инженерией. Она подходит к проблеме разговора с пользователем с другой стороны, и пользователь, знакомый с обычными ха-керскими уловками, вряд ли сможет ее раскусить. Более того, даже если ваша жертва достаточно умна, чтобы распознать ОСИ, этот человек будет настолько озабочен возникшей у него проблемой, что не заметит происходящего. Ему (или ей) нужна ваша помощь, чтобы устранить неполадку; он понимает, что, если он не договорится с вами, вы ему не поможете.
Пользователь может не поверить, или знать, что вы не тот, за кого себя выдаете
Уязвимое место социальной инженерии в том, что вы являетесь для собеседника темной лошадкой, поскольку он не знаком с вами лично. Кроме того, если человек на другом конце провода узнал о том, что вы не тот, за кого себя выдаете, возможно, воспользовался ID, или телефоном с определителем номера, то в этом случае, пароли могут и не появиться, как по волшебству, перед "таинственными техниками" и "растерянными пользователями" с "испорченными" модемами. НО! При обратной СИ у тех, кто знает волшебные слова, нет причин подозревать или обманывать вас - ведь это они обращаются к вам за советом. Это вы помогаете им в их несчастье. В самом деле, когда они звонят вам, вы вправе спросить, кто они, собственно, такие. Безопасность прежде всего.
Пользователь не имеет причин помогать вам, или может дать неверную,ошибочную информацию
Что прежде всего заботит человека, которого вы подвергли социальной инженерии, независимо от того, помог он вам, или нет?
Если бы я, не покладая рук, трудился в какой-нибудь конторе, или был секретарем, я просто пришел бы в ярость, если бы посередине хлопотного дня какой-то идиот позвонил мне по телефону и попросил уделить ему несколько минут моего драгоценного времени и сообщить некую информацию, которую он, скорее всего, вообще не должен знать! Я мог бы просто брякнуть в трубку, что на ум взбредет, только бы отделаться. При обратной же инженерии вы знаете, что ваши собеседники нуждаются в вашей помощи. Даже самый великий гуру из числа знающих пользователей обратился бы к вам, зная, что вы сможете быстро и эффективно определить суть проблемы и разрешить ее, не тратя времени зря. Этот пользователь знает, что ключ к решению задачи находится у вас, и если он его получит, в следующий раз сможет справиться с такой проблемой самостоятельно.
Пользователь может сообщить о вашем звонке менеджеру по безопасности
Опытный пользователь мгновенно догадается, если вы попытаетесь подвергнуть его социальной инженерии. Он может пойти и рассказать остальным, что вы пытались выманить у него пароль. "Остальные" - коллеги, боссы, менеджеры по компьютерам, человек, роль которого вы пытались сыграть, охранники либо офицеры безопасности. Ни один из них не станет помогать вам в дальнейшем, даже если вас не поймают сразу или не сведут к нулю ваши шансы на взлом. Разоблачение, конечно, совсем не подарок. Но при обратной инженерии вы неизменно приобретаете друзей. Когда вы помогаете людям преодолеть какие-то затруднения, они радостно пустят слух о вашей любезности и отзывчивости - а это означает еще больше звонков и паролей.
Предшествующие разъяснения преследуют три цели. Я хочу, чтобы вы поняли, почему такое мощное средство, как классическая СИ, может случайно провалиться, и как ОСИ может избежать этих ошибок. Я утверждаю следующее: социальная инженерия не может больше оставаться главным оружием в арсенале современного хакера без предупреждения обычных пользователей. Обычные пользователи проявляют все большую осторожность и благоразумие, когда дело касается таких интимных вещей, как пароли и компьютерная безопасность. Обычные пользователи стали больше читать о том, как хакеры взламывают системы. Они посещают лекции по компьютерной безопасности, которые устраивают их компании, колледжи и местные полицейские подразделения. В системы стали включать предупреждения о недопустимости разглашения любой информации; об этом твердят их работодатели и их собственный рассудок. И я сам - даже я! - говорю им о том, что существуют злоумышленники, мечтающие испортить их файлы. Я весьма сомневаюсь в том, что наступит такое время, когда все компьютерные пользователи будут достаточно осведомлены, чтобы держать язык за зубами. Возможно, через несколько лег предприятия поставят на свои телефоны задержку времени и подключат их к голосовым мониторам. Тогда запрещенные к произнесению слова будут обнаруживаться и уничтожаться прежде, чем электроны, составляющие сигнал, покинут пределы находящихся внутри здания проводов. Даже если подобная вещь станет повсеместной, или если 95% людей, общающихся с компьютерами, захотят покончить с социальной инженерией, все же останутся пять процентов, останутся сотни других хакерских уловок, новых и старых, и останется Обратная Социальная Инженерия, помогающая хакеру в его нелегком деле.
Диверсионные методы обратной социальной инженерии