Основная идея Кевина Митника формулируется очень просто: самое слабое звено в любой системе безопасности -- человек. Поэтому компаниям нужно потратить очень много времени на то, чтобы обучить сотрудников эффективно противостоять подобным атакам.
Кевин Митник — самый известный хакер нашего времени. Его разоблачение в 1995 году породило в итоге сразу три книги, пользующиеся огромной популярностью. После освобождения из тюрьмы 21 января 2000 года Митник выбрал для себя образ «перевоспитанного и исправившегося хакера» — человека, который стремится загладить свою вину за нанесенный ущерб путем объяснения деловой Америке, каким образом лучше оградить себя от атак злоумышленников, стремящихся проникнуть в защищенные компьютерные системы. Правда, следует заметить, что на этом ему хотелось бы еще и заработать кругленькую сумму.
В сентябре Митник представил свою первую книгу, озаглавленную The Art of Deception («Искусство обмана»). В ней описывается, каким образом специалист в области социотехники (введения пользователей или сетевых администраторов в заблуждение с целью выведывания паролей, необходимых для проникновения в защищенную систему) может обмануть офисных служащих, преодолеть технические барьеры, обеспечивающие безопасность, и вдоволь поиздеваться над нашими неуклюжими попытками защитить свои компьютеры. Основная идея Митника формулируется очень просто: самое слабое звено в любой системе безопасности — человек. И компаниям нужно потратить очень много времени на то, чтобы обучить своих сотрудников эффективно противостоять подобным атакам.
Конечно, все это правильно — и нет ничего удивительного в том, что мы слышим подобное из уст бывших мошенников, которые сегодня, по их словам, ведут законопослушный образ жизни и занимают должности консультантов по информационной безопасности. (По общему признанию, именно потрясающая способность Митника обманным путем выуживать из людей нужную информацию, а вовсе не выдающиеся знания компьютерных технологий, помогла ему взломать так много систем самых разных организаций). Однако его постоянное стремление преуменьшить роль, которая отводится технологиям в деле защиты важных данных, тоже своего рода обман. И принятие такой позиции может нанести компаниям гораздо более весомый ущерб, чем все прошлые «подвиги» Митника, которые он уже успел совершить к настоящему времени.
Осведомленность — это еще не все
Многим организациям в первую очередь нужно потрудиться над совершенствованием систем защиты от «человеческого фактора». Чтобы войти в доверие к выбранным ими жертвам, знатоки социотехники зачастую пользуются внутренними номерами телефонов, знанием определенных процедур и даже профессиональным жаргоном.
Вот, например, один из эпизодов, поведанных Митником. Бесстрашный социотехник во время снежной бури набирает номер операционного центра сети сотовой связи. На дружелюбный ответ оператора следует просьба: «Послушайте, я оставил на рабочем столе свою идентификационную карту. Не могли бы вы напомнить мне мой номер?» Естественно, операторы слишком заняты для того, чтобы проделывать подобное, поэтому очень быстро находится компромиссное решение: оператор диктует свой собственный постоянно меняющийся идентификационный код, позволяя таким образом хакеру проникнуть в систему. В данном примере звонящий «подтверждает» свою личность, называя оператору номер своего офиса, подразделение, в котором он якобы работает, и имя своего начальника — выдавая при этом всю ту информацию, которую ему удалось заполучить во время предыдущих звонков в компанию. Чтобы обезопасить себя от угроз со стороны подобных мошенников, Митник советует держать в тайне номера телефонов, структуру организации, описания технологических процедур и иную информацию, которая может помочь злоумышленникам.
Увы, на деле обеспечить конфиденциальность подобных сведений практически невозможно. Компании просто не могут гарантировать того, что эти сведения не окажутся в руках конкурентов, «охотников за головами» или потенциальных взломщиков. Обычно при смене работы сотрудники уносят информацию подобного рода с собой. Исследования, проводившиеся на протяжении многих лет, показали, что обучить персонал эффективно противостоять атакам со стороны знатоков социотехники очень сложно — эти события происходят так редко, что у служащих просто-напросто нет достаточной практики.
Поэтому гораздо более важное значение имеет разработка процедур и технологий, которые позволили бы свести ущерб от утечки конфиденциальной информации к минимуму, а также создание систем и организационных структур, способных отражать подобные атаки.
Так, многие мошенники в книге Митника промышляют кражей номеров кредитных карт или номеров системы социального обеспечения. В одном из описанных случаев злоумышленник представляется менеджером магазина, торгующего видеопродукцией, и пытается по телефону наладить дружеские контакты с сотрудником другого магазина той же сети на противоположном конце города. Затем в один прекрасный день мошенник звонит этому сотруднику, жалуется на то, что компьютер его неожиданно сломался, и говорит: «У меня сейчас находится ваш клиент, который хотел бы взять напрокат фильм ?Крестный отец — 2?, но он не взял с собой кредитной карты... Не могли бы вы сделать для меня одолжение и проверить соответствующую информацию?» Стремясь помочь, дружелюбный продавец с готовностью сообщает имя желаемого клиента, его адрес, номер кредитной карты и последние заказы.
Очень важно научить сотрудников не передавать подобную информацию по телефону. Но возможно и техническое решение: приложения, используемые сотрудниками отделов обслуживания клиентов, ни при каких обстоятельствах не должны отображать на экране номера кредитных карт. Эта идея не нова. Многие компании (в том числе VoiceStream Wireless и Amazon.com) уже внедрили у себя подобные технологии. Компьютерные системы хранят номера кредитных карт в специальном файле для автоматической регистрации будущих покупок, но система не открывает номер кредитной карты ни клиенту, ни сотруднику центра обслуживания.
Простейшие шаги
Подходы, использовавшиеся при организации наиболее удачных компьютерных взломов, которые описаны в книге «Искусство обмана», на самом деле удивительно просты. Время от времени автор просто убеждал ничего не подозревающих служащих запустить на своем офисном ПК какую-то программу дистанционного управления, например, Netbus или Back Orifice. После установки программы хакеру удавалось проникнуть сквозь межсетевой экран и получить доступ к конфиденциальным документам Microsoft Word, электронной почте, расписанию встреч и т. д. Атаки подобного рода особенно эффективны, если они проводятся в отношении секретарей больших начальников.
Существует ли вероятность такой атаки? Безусловно. Но опыт показывает, что разумное использование имеющихся средств может предотвратить вредоносное воздействие большей части деструктивного программного обеспечения. Большинство хакеров не в состоянии создать своих собственных «троянских коней», поэтому они используют уже существующее программные инструменты, которые успешно распознается современными антивирусами. Хорошие антивирусные программы не позволят «троянскому коню» проникнуть в систему из Web или через электронную почту и не дадут скопировать его на жесткий диск пользовательского компьютера с дискеты. Если же деструктивная программа все же оказалась загружена, антивирус воспрепятствует его активизации и не позволит запустить его на выполнение.
Еще более радикальное техническое решение — отказ от продуктов Microsoft. Хотя Митник нигде и не говорит этого, общеизвестно, что знатоки социотехники, авторы вирусов и компьютерные взломщики самых разных видов сумели извлечь из компьютерной монокультуры, которая фактически оккупировала настольные ПК всей корпоративной Америки, немалую выгоду. У компаний, отдавших предпочтение компьютерам Macintosh или операционной системе Linux, не возникает особых осложнений с вирусами и другим вредоносными программами, которые буквально терзают системы Microsoft.
Большинство компаний не имеют представления о том, когда они подвергались атакам злоумышленников. Для атакующего не представляет никакого труда стереть системный журнал или заставить ничего не подозревающего сотрудника рассылать по электронной почте файлы, которые будут разрушать почтовые ящики в организациях за тысячи километров от того места, где он находится. Но технологиям вполне по силам справиться и с этой задачей. Потратив несколько сотен долларов, компании могут развернуть у себя серверы учета событий — устройства, которые регистрируют все события, происходящие в сети и защищены при этом от удаленного доступа. Межсетевые экраны можно настроить таким образом, чтобы регистрировать все файлы: как отправленные из организации, так и поступившие туда. Возможно, вы и не сможете воспрепятствовать отправке критически важного файла к злоумышленнику, но, по крайней мере, и не будете пребывать в неведении.
Не поймите меня неверно: лекции, курсы обучения и информационные беседы — все это, безусловно, необходимо. Но все подобные мероприятия очень далеки от практики. Пожалуй, наилучшим способом обучения сотрудников методам противостояния злоумышленникам является периодическая организация учебных атак на компьютерную систему. Директору по безопасности следует проверять работников «на устойчивость и благонадежность», точно так же, как мы тестируем надежность серверов, межсетевых экранов и телекоммуникационных систем.
Во всех компаниях должен быть определен порядок передачи в группу обеспечения безопасности информации о попытках получения доступа к сведениям конфиденциального характера. После того, как алгоритм действий будет выработан, следует периодически обзванивать случайным образом выбранных работников, пытаясь выведать у них закрытую информацию, и наблюдать за тем, поступит ли соответствующее уведомление в службу безопасности. Особой уязвимости в данном отношении подвержены, как правило, вновь принятые на работу сотрудники. По этой причине во время испытательного срока необходимо обязательно подвергнуть новых работников нескольким подобным атакам, а потом регулярно повторять соответствующие процедуры на протяжении всей их карьеры.
Реальные факты или болезненные фантазии?
Нетрудно предположить, что многие руководители служб безопасности откажутся от приобретения книги, написанной преступником. Естественно, для общества нет ничего хорошего в том, что хакеры еще и получают вознаграждение за свою противоправную деятельность.
Эту точку зрения разделяет и суд. Согласно условиям освобождения Митнику запрещено продавать мемуары, связанные со своей криминальной деятельностью вплоть до 2010 года. Вот почему все эпизоды в книге «Искусство обмана» подаются под соусом художественного вымысла. Все мошенники и жертвы носят другие имена, искажены сами события, мотивация преступников и т. д. Все это вылилось в довольно размытый труд, отдельные мысли в котором зачастую повторяются, хотя здесь присутствуют и моменты, взятые из реальной жизни (например, пояснения Митника по поводу фальсификации идентификатора автора запроса и рассуждения относительно того, почему это имеет столь важное значение для защиты магнитных лент).
На мой взгляд, очень плохо, что книга «Искусство обмана» не имеет отношения к настоящей истории Митника. Думаю, многое из того, что было сказано за прошедшие годы об этом человеке, представляет собой неприкрытую ложь чиновников и других заинтересованных лиц, которая призвана оправдать увеличение финансирования организаций, борющихся с киберпреступниками. Вне всякого сомнения, Митник — та личность, история которой заслуживает опубликования. С другой стороны, между знакомством с опытом покаявшегося хакера и принятием хакера на работу для обеспечения безопасности вашей информационной системы есть очень большая разница. А посему рекомендую почитать то, что Митник хотел сказать, но все же держать свои компьютеры подальше от ему подобных.
Simson Garfinkel. Anti-Social Engineering. CSO, October, 2002