Реферат : Социальная инженерия 


Полнотекстовый поиск по базе:

Главная >> Реферат >> Менеджмент


Социальная инженерия




Социальная инженерия

Кевин Митник – в прошлом хакер, взломавший информационные системы крупнейших компаний мира, а ныне консультант по информационной безопасности, учредитель компании Mitnick Security Consulting. Автор книг «Искусство обмана» и «Искусство вторжения».

Сегодня человеческий фактор в информационной безопасности играет гораздо более важную роль, чем 20 лет назад, когда Интернет не был коммерческим и его пользователями были лишь специалисты. Многие компании, которые думают, что проблему информационной безопасности можно решить просто с помощью аппаратных и программных средств, сильно заблуждаются. Технологии безопасности, которым мы привыкли доверять, – межсетевые экраны, устройства идентификации, средства шифрования, системы обнаружения сетевых атак и другие – малоэффективны в противостоянии хакерам, использующим методы социальной инженерии. Необходима мощная работа с персоналом, обучение сотрудников применению политики безопасности и техникам противостояния социоинженерам – только тогда ваша система безопасности будет комплексной.

Непрямая атака

Представьте ситуацию: крупный московский офисный центр. Вы входите в лифт и видите на полу компакт-диск с логотипом известной компании и наклейкой: «Строго конфиденциально. Заработная плата сотрудников за 2005 год». Самая естественная человеческая реакция – взять этот диск, отнести в свой офис и вставить в CD-ROM своего рабочего компьютера. Предположим, вы так и сделали. На диске – файл со знакомой иконкой MS Excel. Вы пытаетесь его открыть, но вместо столбиков цифр и фамилий видите лишь сообщение операционной системы: «ошибка, файл поврежден». В этот момент на ваш компьютер, помимо вашей воли и вашего ведома, загружается вредоносная программа. В лучшем случае это «троянец», отслеживающий, какие клавиши вы нажимаете и какие совершаете операции, и передающий эту информацию по мгновенно налаженному каналу связи на чужой компьютер. В худшем варианте – вирус, который в считанные мгновения разрушит вашу информационную систему и распространится по локальной сети, пожирая всю корпоративную информационную систему. Вы ведь подключены к локальной сети, правда?

Это типичный пример социальной инженерии – нарушения информационной безопасности компании с помощью воздействия на человека. Есть много способов манипулировать людьми, и любопытство – только один из мотивов, которые можно использовать.

Почему злоумышленники прибегают к социальной инженерии?

Это проще, чем взломать техническую систему безопасности.

Такие атаки не вычислить с помощью технических средств защиты информации.

Это недорого.

Риск – чисто номинальный.

Работает для любой операционной системы.

Эффективно практически на 100%.

База для социоинженера

Первый этап любой атаки – исследование. Используя официальную отчетность компании-жертвы, ее заявки на патенты, сообщения о ней в прессе, рекламные буклеты этой фирмы и, конечно же, корпоративный сайт, хакер пытается получить максимум информации об организации и ее сотрудниках. В ход идет даже содержимое мусорных корзин, если его удается раздобыть. Социоинженер выясняет, кто в компании имеет доступ к интересующим его материалам, кто в каком подразделении работает и где это подразделение расположено, какое программное обеспечение установлено на корпоративных компьютерах... Словом, все, что только можно.

Хакер всегда стремится выдать себя за того, кто имеет право на доступ к интересующим его данным и кому эти данные действительно нужны по долгу службы. Для этого он должен свободно ориентироваться в терминологии, владеть профессиональным жаргоном, знать внутренние порядки компании-жертвы. Затем следует разработка плана атаки: предстоит изобрести предлог или схему обмана, которые помогут построить доверительные отношения с нужным сотрудником. Если атака прошла успешно и работник организации ничего не заподозрил, хакер, скорее всего, не ограничится одним вторжением, а вернется и будет дальше пользоваться возникшим доверием.

Ошибка резидента (пример из фильма «Дневной дозор»): главный герой (Антон Городецкий), успешно сымитировав личность представителя вражеского стана, пытается проникнуть в этот самый стан. Проходя мимо охранника, он небрежно бросает ему: «Привет, Витек!» - ориентируясь на бейдж с именем стража, приколотый к его пиджаку. Разоблачение следует немедленно: пиджак на охраннике – чужой.

Самые распространенные методы атак:

Выяснение, передача или несанкционированная смена паролей

Создание учетных записей (с правами пользователя или администратора)

Запуск вредоносного программного обеспечения (например, «троянца»)

Выяснение телефонных номеров или иных способов удаленного доступа к корпоративной информационной системе

Фишинг (электронное мошенничество)

Несанкционированное добавление дополнительных прав и возможностей зарегистрированным пользователям системы

Передача или распространение конфиденциальной информации.

Прямая атака

В «доэлектронную эру» социальной инженерией пользовались злоумышленники, звонившие по телефону. Например, для того чтобы получить доступ к базе абонентов телефонной компании, достаточно было позвонить туда и представиться сотрудником сервисной службы, совершающим плановую проверку, или работником органов власти, уточняющим данные. Главное – выбрать нужный тон. Этот метод действует и сейчас, а современные средства телефонии только облегчают хакерам задачу. Так, с помощью специальной приставки к аппарату звонящий может изменить тембр голоса. А использование офисной мини-АТС помогает замести следы – усложнить определение номера, с которого звонят. Хакер набирает один из телефонов компании и спрашивает у сотрудника его логин и пароль, представляясь системным администратором. Если это крупная организация, где не все сотрудники знают друг друга, велика вероятность того, что пользователь сообщит социоинженеру интересующие его данные.

Невероятно, но факт: в ходе специального исследования 7 из 10 офисных сотрудниц лондонского вокзала Ватерлоо назвали свои логин и пароль незнакомцу в обмен на шоколадку!

С распространением компьютеров возможности социальной инженерии расширились. Теперь для атаки можно использовать электронную почту или ICQ. Иногда даже не нужно подделывать стиль того, от чьего имени пишешь, и сотрудник все равно ничего не заподозрит. Например, человеку приходит «письмо от начальства»: «Прошу направить мне копию базы данных по клиентам Северного Федерального округа в формате MS Excel в срок до 15.00 сегодня, 5 марта». Он, конечно же, направит – и прости-прощай секретные данные. Или «письмо от системного администратора»: «Уважаемые коллеги! В связи с обновлением версии системы совместной работы ваш логин и пароль изменен. Ваш новый логин и пароль – во вложенном файле». На самом же деле вложение содержит вирус, выводящий из строя операционную систему. Последнее – реальный пример из недавней практики московской компании «Тауэр».

Бреши в информационной системе – сотрудники обычно:

считают, что корпоративная система безопасности непогрешима, и теряют бдительность

легко верят полученной информации, независимо от ее источника

считают соблюдение корпоративной политики безопасности пустой тратой времени и сил

недооценивают значимость информации, которой владеют

искренне хотят помочь каждому, кто об этом просит

не осознают пагубных последствий своих действий.

Ключик к каждому

В различных странах люди по-разному подвержены социоинженерному воздействию. Россияне – не самая доверчивая нация, а вот жители США и Японии очень внушаемы. В каждой стране есть свои культурные особенности, которые должен учитывать социоинженер. Например, на западе прекрасно работает «норма взаимности»: если человеку сделать что-то приятное, он будет чувствовать себя обязанным и при первой же возможности постарается отплатить добром. В Испании атака успешнее всего пройдет, если использовать личное доверие, завязать с жертвой приятельские отношения. А немец скорее поддастся на уловки хакера, если сыграть на его приверженности к корпоративному порядку.

Независимо от национальности, наиболее уязвимы для атак социоинженеров новые сотрудники. Как правило, им еще не успели рассказать о всех существующих корпоративных правилах, они не изучили регламентов информационной безопасности. Новички еще не знают всех своих коллег, особенно лично. К тому же, им свойственна повышенная доверчивость и готовность помочь, дабы зарекомендовать себя как активных и отзывчивых членов команды, на которых можно положиться. Они вряд ли будут интересоваться правами доступа социального инженера, который выдает себя за другого сотрудника, особенно вышестоящего.

Возможно, вас атакуют, если ваш собеседник:

проявляет к вам повышенный интерес, преувеличенное внимание и заботу

отказывается дать вам свои координаты

обращается к вам со странной или необычной просьбой

пытается втереться к вам в доверие или льстит вам

говорит с вами подчеркнуто начальственным тоном.

Даже самые бдительные сотрудники не всегда могут распознать социальную инженерию. Да они и не должны действовать как детектор лжи. Ключевой фактор успеха – обучение. Политики безопасности должны войти в плоть и кровь каждого, кто работает в компании. И, разумеется, прежде чем втолковывать сотрудникам суть этих политик, нужно их разработать.

Светлана Шишкова, E-xecutive

Список литературы

Для подготовки данной работы были использованы материалы с сайта http://www.e-xecutive.ru

Похожие работы:

  • Концепция "социальной инженерии" А.К.Гастева

    Доклад >> История
    ... прикладные разработки социальной инженерии. Впервые в научный оборот понятие социальной инженерии ввел Алексей ... , психофизиологического, экономического. Гастев А.К. рассматривал социальную инженерию, как относительно самостоятельную отрасль исследований ...
  • Филантропия: милостыня или социальная инженерия

    Доклад >> Наука и техника
    ... : милостыня или социальная инженерия В российском общественном ... применить в этой сфере принципы социальной инженерии, предполагавшие формулировку проблем в ... так и отрицательные тенденции социально и социально-политически ориентированной филантропии. Начиная ...
  • Конструировать федерацию: Renovatio Imperii как метод социальной инженерии

    Реферат >> Политология
    ... Renovatio Imperii как метод социальной инженерии С.И. Каспэ Российская Федерация: ... что дурна не всякая социальная инженерия, но лишь дурная, ... рядом фундаментальных особенностей посттрадиционного общества социальных, политических, экономических, ментальных ...
  • Социальная ответственность российских компаний, на примере компании «Балтика»

    Реферат >> Философия
    ... 5 курса факультета «Социологии» ИСИ (Институт Социальной Инженерии) Александрова М.А. Москва, 2008 1. Введение По ... рыночного хозяйства – М.: «Экономика», 2000г. 3. Фролова Л.Н., «Социальная ответственность крупных российских компаний» - [Электронный ...
  • Социально-политические и психологические истоки тоталитаризма

    Контрольная работа >> Политология
    ... идеологических установок, были результатом социальной инженерии, социального моделирования. Тоталитаризм представляет собой ... видимо, не только в социальной инженерии большевиков - трудно предположить подобный социальный эксперимент, например, в ...
  • Социальная технология на базе биополитики

    Доклад >> Философия
    ... охотников-собирателей; 2) представить управленческую разработку (социальную технологию), связанную с биополитикой, в частности, с ... лишь от желания менеджера или социального инженера (социальная инженерия — совокупность разработок по моделированию и ...
  • Социальная организация

    Курсовая работа >> Менеджмент
    ... образом, в теории организации выделяют социально-политические, социально-об­разовательные, социально-экономические и другие виды органи­заций3 ... деятельности, что предъявляет высокие требования к социальным инженерам, от которых зависит не только ...
  • Основы социальной информатики

    Реферат >> Информатика
    ... вовлечение в процесс информатизации различных социальных групп. Социальные последствия информатизации. Таблица Хессига “Последствия ... . Речь идет о формировании методами социальной инженерии информационной среды как основы интеллектуальной ...
  • Концепции мироустройства, идеологии и социальные практики-2

    Реферат >> Философия
    ... путях перехода к ноосферной цивилизованности. Введение “…социальная инженерия для человека столь же опасна ... человечества цель развития, разработана программа социальной инженерии и найдены механизмы ее реализации. 3. Описания ...
  • Либерализм как социально-политическое течение

    Реферат >> Политология
    ... как философское направление и социальная _________________________________________________________________ 1 Политология. Краснодар. ... упреки в чрезмерной “социальной инженерии”. Так например, ... либералы обычно поддерживают “социальную инженерию” лишь в той ...