Социальный инжиниринг в Интернете

Понятие социальной инженерии расширило свое значение в век Интернета. Оно дало жизнь новому явлению - социальному инжинирингу. Под ним понимается технология манипулирования сознанием и подсознательной сферой человека, использующего компьютер и активно включенному во всемирную сеть в корыстных целях, например, ради инфицирования его сервера. Оба термина - социальная инженерия и социальный инжиниринг - применяются для обозначения техники компьютерного взлома. Словарь хакерского жаргона сообщает: «Социальная инженерия - термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель - обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону в организацию для выявления тех, кто имеет необходимую информацию, и затем звонок администратору, эмулируя служащего с неотложной проблемой доступа к системе».

У пользователей Интернета под социальной инженерией понимается технологию, позволяющая получить доступ к любому серверу и управлять с его помощью поведением человека, который стоит за этим сервером. Специальная программа, которая, используя какую-либо брешь в Сети, предоставляет право доступа администратора, называется эксплоитом. «Социальная инженерия - это одна из частей социальной психологии, направленная на то, чтобы манипулировать людьми или внедрять в их разум новую модель поведения. Она удивительна тем, что включает в себя очень широкий набор различных техник и методик, позаимствованных из нейро-лингвистического программирования, практической психологии, гипноза, и других техник воздействия на бессознательное человека»[1]. Социальная инженерия использует очень дешевые и не технологические средства для того, чтобы преодолеть препятствия, создаваемые механизмами информационной безопасности.

Существуют и другие определения новой технологии манипулирования человеческим поведением. Так, утверждается, что социальная инженерия - наука и методология, изучающая управление метамоделью поведения человека, а также изучающая разрушение и построение соответствующих новых метамоделей. Соответственно социальный инженер - это человек, который в совершенстве освоил техники и методы социальной инженерии. Другие полагают, что социальная инженерия - это попытка выведать у легального пользователя системы информацию, необходимую для прохождения защитного барьера данной системы. Этот метод еще называют «заболтать оператора». Социальная инженерия может принимать самые разные формы1. Социальную инженерию можно определить как действия, результатом которых является вхождение в доверие к легальным пользователям компьютерной системы до такой степени, что они раскрывают секреты компьютерной системы или неумышленно помогают кому-либо получить нсавторизованный доступ к этой системе. Используя социальную инженерию, атакующий может узнать важную информацию или получить помощь, которая поможет ему легко обойти имеющиеся средства защиты в системе[2] [3].

Социальный инжиниринг вошел в моду и содержание современного компьютерного андерграунда. Social engineering (социальная инженерия) - использование обмана, мошенничества, своего актерского мастерства и владения словом для выманивания у легального пользователя системных секретов. На языке компьютерного андерграунда социальная инженерия означает классическую тактику телефонных звонков в компанию от лица того, кто имеет право знать запрашиваемую информацию. Вредоносные программы могут распространяться под видом новостей о самых актуальных политических или экономических событиях. В 1992 г. хакер Кевин Митник с помощью социального инжиниринга вынудил одного из сотрудников корпорации Novell выдать ему коды доступа к секретной информации о новой программе[4]. В 2002 г. вирусописатели активно использовали дыры в программном обеспечении и методы социального инжиниринга. Речь идет о копировании исходного кода сотовой телефонной службы, подслушивании телефонных разговоров агентов ФБР, а также попытке социального инжиниринга, или мошенничества в отношении официальных представителей Министерства автомобилестроения. Хакеры продолжают свои опыты в области социального инжиниринга. Очередной почтовый вирус предлагает пользователям кликнуть мышкой на безобидный с виду URL. Далее все происходит типичным образом - компьютер заражается вредоносной программой, которая загружается с указанного адреса, письмо рассылается АО всем адресам из книги контактов почтового клиента. Новизна этого способа заражения заключается в том, что в письме нет никакого присоединенного файла с программой, вместо этого весь расчет делается на психологию пользователя, который фактически своими руками и заражает компьютер[5].

Используя приемы социального инжиниринга, создатели вирусов манипулируют сознанием пользователя для заражения компьютеров. Простодушный пользователь, заинтригованный содержанием файла-носителя вредоносной программы, собственноручно пропускал «заразу» на компьютер. Для манипулирования сознанием, используя социальный инжиниринг, надо хорошо разбираться в человеческой психологии, например, в желании практически всех людей, независимо от страны проживания, получить с помощью компьютера нечто (программу, новости) бесплатно или как можно дешевле. Как писало в 2001 г. немецкое издание «Trojaner-Info», неизвестные хакеры создали сайт www.virus- research.org, на котором всем желающим предлагалось бесплатно скачать антивирусную программу VScan2001. Профессионально выполненная web-страница выглядела как корпоративный сайт американской компьютерной фирмы. После инсталляции Vscan2001 немедленно «обнаруживал» на компьютере пользователя два вируса и тут же их якобы удалял. Прием рассчитан на то, что «счастливо спасенный» пользователь, уверовав в чудодейственную программу, начнет ее активно пропагандировать среди своих знакомых - новых потенциальных жертв. А тем временем VScan2001 в фоновом режиме (незаметном для пользователя) устанавливал шпионские программы, с помощью которых хакер получал возможность удаленно управлять компьютером, манипулировать данными. Циничные хакеры сыграли на человеческой слабости- нежелании платить много, если можно достать бесплатно (источник: PC WORLD).

Используя эффективные приемы социального инжиниринга, хакеры маскируют вирусы под праздничные поздравления, равно как и под любовные послания. Известно, что 14 февраля - день святого Валентина, покровителя всех влюбленных. В этот праздник принято радовать подарками, так называемыми «валентинками», открытками и шоколадными конфетами в виде сердца. В эпоху высоких технологий под «валентинку» часто маскируют не признание в любви, а вирус. Более опасные примеры использования любопытства в хакерских целях заключались в создании обманных серверов с заманивающими сообщениями, на которых доверчивые пользователи оставляли конфиденциальную информацию о себе, включая пароли. Один из распространенных приемов социального инжиниринга состоит в следующем: позвонивший в корпорацию неизвестный человек представляется администратором системы, которую использует данная организация, чтобы получить пароли и другую информацию, необходимую для входа в систему.

Социальная инженерия в Интернете занимается тем, что разрабатывает способы установления эффективного контакта между людьми в корыстных целях (если ее приемы используются для несанкционированного проникновения в Сеть), прежде всего для получения секретной информации, которую законными способами получить нельзя. Собственно социальная инженерия, как и социальный инжиниринг, заключается в знании основ человеческой психологии и использовании различных психологических техник общения ради обмана и манипуляции поведением. Для начала необходимо узнать координаты и личные данные (как можно больше) о тех людях, кто имеет отношение к этой информации. Если вы знаете хотя бы домашний телефон одного сотрудника, то можно по справочнику узнать фамилию, иногда имя и отчество. Если вы это узнали, то вы можете попробовать узнать через этого человека всю информацию о компании. Поскольку социальная инженерия связана не только с психологией поведения людей, но и письменным текстом, передаваемым по сетям Интернета, ее относят также к эмпирической социологии журналистики .

Социальный инжиниринг в Интернете так быстро развивается, что к многочисленным приемам, новым вирусным программам постоянно добавляются новые термины, в совокупности составляющие некий субкультурный сленг. Вот некоторые термины социального инжиниринга: Аутентификация - процедура проверки является ли человек тем, за кого он себя выдал при идентификации. Врата сортировки - характеристика бессознательного восприятия человеком, которой/которыми обладает каждый индивидуум и с помощью которых можно расположить человека к себе. Идентификация - процедура опознавания человека объектом информатизации. Лога сервера - файл(ы) на компьютере, в которых фиксируются события указанные по критериям оценки опасности этих событий. Часто применяется при обнаружении попыток взлома сервера. Метамодель (метапрограмма) - базовые фильтры восприятия человека, на которых держится его мировосприятие. Принцип уподобления - метод, при котором, социальный инженер «уподобляется» жертве. То есть зеркально копирует все вербальные и не вербальные жесты и позы жертвы, что начинает «управлять» позами, а соответственно расположенностью жертвы. Asynchronous (асинхронный) - название множественных программ или процессов, которые перекрывают друг друга в использовании и, возможно, в памяти. [6]

Асинхронная атака на систему заключается в том, что одна программа пытается изменить те параметры, которые другая программа проверила на достоверность с положительным результатом, но еще не использовала. Boffin (боффин) - термин, использовавшийся во времена второй мировой войны для обозначения людей, подобных хакерам, которые стремились понять, как устроен этот мир, и использовали свои знания на благо этого мира. Buffer Overflow - самый популярный вид ошибки в программах UNIX, которые позволяют при некоторых характеристиках (suid-флаг и т.п.) получить права доступа высшей категории. Brute-force атака - вид перебора пароля, который заключается в переборе все возможных паролей. При достаточной скорости и недостаточной защищенности криптоалгоритма, brute-force атака может быстро узнать пароль аккаунта. С (Си) - язык программирования, с которым, равно как и Си++, должен быть знаком каждый хакер. На Си написана UNIX. Denial- of-service (DoS) - общий вид атаки на сервера в Интернете, главной целью которой является остановка обслуживания или искажения обслуживания этим сервером своих пользователей. Это добиваются путем перезагрузки сервера, «зависания» сервера, прекращение его работы и т.п. Exploit (эксплоит) - небольшая программа, часто написанная на языке С с использованием ассемблера (если она под UNIX), которая используя заранее известный недочет в другой программе, позволяет получить какую-либо привилегию. Human denial- of-service (HDoS) - вид атаки на человека с общими принципами как у DoS-атаки, когда главной целью остановка реагирования или искажения реагирования человека на определенные факторы и др..

Западные компании уже организуют специальные курсы по социальной инженерии для своего персонала, где обучают элементарным навыкам информационной защиты. В цепочке компьютер- Интернет-человек самым слабым звеном оказался последний. Зная человеческие слабости, опытный хакер способен выведать самые секретные сведения о компании и нанести ей значительный вред. Когда-то, а именно в 1920-е годы социальная инженерия разрабатывалась для того, чтобы, в частности, сконструировать удобные в использовании рабочие места, станки, аппаратуру, кресла. Их приспосабливали и конструировали с учетом антропометрических параметров человека. Ныне тоже учитывают параметры человека, но уже психологические, с тем, чтобы позже принести ему вред.

  • [1] Рудоманов В. Социальная инженерия // http://tricon.nnov.ru/obzor/article_20.shtml
  • [2] Дополнительную информацию см.: Дубнов А. П. Устойчивое развитие против глобальнойкатастрофы: утопия или социоинженерный проект? // Социальная философия и социальнаяинженерия. - Новосибирск, 1998.
  • [3] Веб-адрес: http://www.kgtu.runnet.ru/WD/USERSEC/usersec5.htm
  • [4] Рерих А. Митник пожал руку жертве своего социального инжиниринга II Нетос-коп/Новости/22.02.2002
  • [5] Источник: http://upgrade.computery.ru/news/archive/2002/news20130.htm
  • [6] Иващенко Г. В. Философские проблемы теории журналистики как область исследований //http://credo.osu. ru/016/004.shtml
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ