Компанията vs. Social Engineering
При цена от няколко цента до няколко долара за пълен комплект идентифицираща информация (За България това би било ЕГН, адрес по лична карта, трите имена, номер на дебитна/кредитна карта, e-mail), можем да заключим че тя вече се превръща във валута на черния пазар. Но цената за поръчково получаване на информация за дадена компания, варира от няколко хиляди и расте според големината на компанията и ценността на получената информация. Пазарът е огромен - заради голямото търсене и предлагане. И ако искаме да не сме стока на тезгяха, е време да вземем мерки. Не е достатъчно да купим оборудване за десетки хиляди евро и да спим спокойно. Трябва да обърнем особено внимание на обучение на служителите за работа с класифицирана информация, защото те са първите атакувани и често са първите паднали в боя.
Web mining
Днес вече не е задължително атакуващия да се рови в нета за да вади парче по парче идентифицираща информация. Социални мрежи като MySpace, Facebook, LinkedIn (Oсобено LinkedIn!), сайтове за запознанства - могат за секунди да бъдат преровени чрез автоматизирани програми. Ако сте гледали филми в които служител на ФБР въвежда името на човек, и на екрана се появява цяла мрежа от хора свързани с него, неговия адрес, телефон, и хоби - такива програми вече са притежание на хората които са на лов за информация - изглеждат много красиво и смайват с функционалността си, повярвайте ми. Дори и те са безсилни обаче срещу компании и хора, които са внимателни за това което публикуват в публичното пространство.
Служителите ви трябва да знаят, че всеки коментар в публичното или интернет пространство без знанието на работодателя може да причини изтичане на поверителна информация. И не е толкова важно съдържанието на коментара а това, че потенциален атакуващ може да използва тези дори малки количества информация за да се представи за вътрешен човек и да получи още повече такава.
Използването на служебен мейл за цели различни от служебните трябва не само да се забрани но и да се контролира. Ако някой редовно се регистрира онлайн за какво ли не, ползвайки служебния си адрес, рано или късно адресът ще попадне не където трябва. И тук опасността не идва толкова от спам, колкото от таргетирани атаки - ако аз знам че служителят Иван Петров има мейл ivan_petrov@company.com, и че той е главният счетоводител, няма да му пращам спам за виагра, а ще му пратя “методи за спестяване на време при извършване на финансов анализ” - които естествено, ще съдържат в себе си и малка изненада… И естествено информацията съдържаща се в неговия компютър ще ми е много по-полезна от тази намираща се в компютъра на неизвестен служител от компанията. Много по-трудно е да го направя, ако не мога да извлека от интернет връзката между името му, позицията му и неговата поща.
Мислите, че това не е толкова вероятно да се случи на вас? Помислете пак. Веднъж при оглед на компютър на счетоводител, открих 17! вируса от типа “троянски кон”, и това при положение че имаше инсталирана антивирусна програма. Проблемът не беше технически - не беше заради неработеща антивирусна - а в това, че счетоводителя не знаеше как да се държи в интернет.
При едно проучване направено много наскоро се установи, че до 15 минути! след презентация на продукт, започват таргетирани атаки срещу точно определени хора в компанията, съдържащи в себе си името на продукта а понякога и слайдове от тази презентация! Естествено, не става въпрос за български компании, но изводите са очевадни.
Phone mining
Социалните инженери* използват желанието на човек да помогне на колега в нужда. Един примерен сценарий:
Банка. Обаждане на телефон, получен чрез социален инженеринг от друго място, или чрез проучване на уеб коментари или дори на официалния сайт на компанията. Този телефонен номер би трябвало да се знае само от служители, затова телефонния оператор вдига слушалката вече с доверие към обаждащия се.
“Здравей, тук в клон Х ни падна отново връзката с основния сървър, и не знам вече какво да правя, аз съм нов(a) а тук има много важен клиент. Казва че е клиент на банката, но аз няма как да проверя - ще ти дам неговото ЕГН, и трите му имена, ще провериш ли в системата за неговия IBAN и наличност по сметка и да ми ги продиктуваш, за да сравним с това което той ми даде?”
За съжаление не съм банков служител и не мога да използвам “банкови” термини, но се надявам да сте уловили есенцията на това което се случва в горния диалог.
Обаждащия се не се идентифицира. Дори да е научил име на служител от съответния клон и да се представя за него, трябва да има изградени начини за автентификация с информация, която не може да се получи отвън - добра практика за това е всеки служител да има уникален идентификационен номер който може да се види в директория на служителите - но никъде извън компанията. Когато се обади някой и се представя за служител, и иска поверителна информация, винаги ще може да го попитате “А какъв е твоят id номер?” - ако каже ще се обадя по-късно, е време да проверите автентичността на обадилия се. Ако сте записали името му, намерете служебния му телефон от директния му ръководител или от служебна директория и му позвънете - ако потвърди че той се е обаждал, дайте му нужната информация. Ако каже че не знае за какво става въпрос, имаме инцидент и служителите по сигурността трябва незабавно да бъдат информирани, че някой опитва да атакува компанията. Защото ако някой се опитва да получи конфиденциална информация по телефона, едва ли това е единствената област в която ще търси пролуки.
Друг начин да предотвратим изтичане на информация по телефона е като изградим изцяло вътрешна телефонна мрежа, която не е достъпна отвън. Но отново, служителите които могат да получат подобни обаждания, задължително трябва да преминат през инструктаж за това какво да очакват, как да идентифицират обаждащия се, каква информация могат да дават по телефона и каква - не, дори ако се обажда прекият им ръководител. Много често социалните инженери използват именно страха от висшестоящ когато се обаждат - много е трудно да откажеш на някой от който зависи заплатата ти, и те го знаят.
Понякога атакуващите се представят за служители от ИТ отдела, които тестват нещо и искат от нищо неподозиращата секретарка да щракне на тестовия файл който току-що са и изпратили.. всеки служител трябва да е наясно с тази опасност - по-долу ще намерите примери как да се предотврати.
Стъпки за действие:
Като цяло, начините за компрометиране на потребителски компютър не са много - или чрез отваряне на линк към файл в интернет, или чрез отваряне на уеб сайт който съдържа в себе си изпълним код (Java, gifar (Java в Gif файл), javascript, exploit in client OS), или чрез отваряне на атачмънт. Атачмънтът също може да не е изпълним файл а просто картинка съдържаща изпълним код (като популярния ani еxploit, който зарежда код само чрез показване на ani mouse cursor) - затова, служителят трябва да е информиран кои негови действия могат да доведат до компрометиране на неговия компютър. Ако знае кое е опасно, той няма да изпълни дори молбата на мним ИТ специалист да отвори атачмънт или да посети даден уеб адрес - ще знае, че това е опасно и ще поиска ИТ специалиста да измисли друг начин да тества системите си.
Трябва да внимават за линкове имитиращи популярни уеб ресурси - като www.dirr.bg, или http://89.119.22.35/index.html - линкове съдържащи IP адреси, много много рядко са легитимни. Темата за порнографията е неудобна, но трябва да бъде спомената във фирмените обучения. Информирайте хората си, че в огромна част от сайтовете съдържащи порнографски или еротични материали, има вируси - не само че преглеждането им би трябвало да е забранено (и физически невъзможно) във всяка компания от етични съображения, но и от съображения за сигурност!
Ако получат мейл който съдържа брандинга на компанията като лого и фирмени цветове, който ги приканва да попълнят анкета - много е вероятно един от въпросите да е “Попълнете потребителското си име и парола за да потвърдите идентичността си” - ясно е какво се случва тогава, нали? Нека такива мейли не ги подлъгват - единственото място където който и да е служител трябва да въвежда паролата си са фирмените уеб ресурси, служебния компютър, и служебните приложения които ползва. Никога, при никакви обстоятелства никой не трябва да дава паролата си на никого!
Обяснявайте на служителите чрез месечни бюлетини и първоначално обучение на новопостъпили, че всичко което правят онлайн може да бъде свързано с компанията и да бъде използвано срещу тях и срещу компанията. Че те ще бъдат държани отговорни, ако са били причина за изтичане на класифицирана информация чрез необмислено държание в интернет. Обяснете им че конфиденциална информация е не само финансовото състояние на компанията, но също имена на служители, вътрешни телефонни номера, и-мейл адреси и тн. Изрично трябва да се забрани препращане на съобщения от типа “Изпрати на всичките си приятели това писмо, което ще помогне на бедното дете” и подобните му - и да се обясни, че по подобен начин се събират и-мейл адреси на всички които са получили и изпратили писмото, и след това тези адреси се използват за изпращане на спам и таргетирани атаки. Те трябва да знаят че информацията с която работят всеки ден, е обект на търсене от външни лица постоянно, и да са постоянно нащрек за хора които се опитват да я получат без да са оторизирани.
Много ясно им обяснете защо не трябва да използват истинското си име и служебния си и-мейл адрес при регистрация в сайтове и форуми - никой не гарантира че сайта или форума утре няма да бъдат компрометирани, и регистрационната информация от тях - продадена и препродадена на десетки места. И повече от естествено е да знаят, че ако такъв форум бъде атакуван техните пароли ще бъдат получени от трети лица - а ако използват една и съща парола за личната си поща, служебната поща, служебния компютър и пин на банковата си карта - стоят на много, много тънък лед. Вие също.
Няма кой друг да го направи освен вас, техните ръководители - дори да ви се струва че да обясните на секретарката да внимава каква парола използва за регистрация в сайта за запознанства не е ваша работа, ако не го направите - вие ще сте отговорни за евентуален пробив на нейния служебен и-мейл, чрез използване на същата парола…
Ключови хора, които могат да станат жертви на таргетирана атака - а това са ИТ персонала, икономистите, секретарките на ръководители, дори изпълнителни директори - трябва да са наясно колко интересни са за атакуващите заради позициите си. Трябва да знаят, че докато са на служебния си компютър не трябва да отварят линкове и прикачени файлове пратени в чат или и-мейл - дори да са сигурни, че става въпрос за безобидно видео или виц. Обяснете им защо (този линк или прикачен файл могат да съдържат в себе си написан лично за тях вирус - и в такъв случай антивирусната програма няма да помогне. Ако ще посещават сайтове, нека са само известни със сигурността си и популярни уеб ресурси - всички знаем че хората браузват, но нека поне го правят отговорно.
Служителите в ИТ отдела са особено уязвими заради самоувереността си и нерядко те стават най-лесната жертва за атакуващия. Правилата за всички останали, трябва да важат и за тях!
Презумпцията “невинен до доказване на противното” не важи когато пазим информацията. Човека който се обажда по телефона и иска от нас да нарушим правилата защото е спешно и светът ще рухне ако не го направим, трябва винаги да получава сериозна съпротива.
*Social engineer - човек владеещ майсторски умения в манипулиране на хора