Wykrywanie cyberzagrożeń i zapobieganie im

Inżynierii społecznej nie można w każdych okolicznościach uznać za bezpośredni atak cybernetyczny, ale jest ona warunkiem koniecznym powodzenia wielu ataków cybernetycznych.

Gdybyśmy chcieli zdefiniować pojęcie inżynierii społecznej, moglibyśmy powiedzieć, że jest to wywieranie wpływu na ludzi, przekonywanie ich lub manipulowanie nimi w celu skłonienia ich do wykonania określonego działania lub uzyskania od nich informacji, których w przeciwnym razie by nie przekazali. Ma to na celu wywołanie u ofiary wrażenia, że sytuacja, w której się znajduje, jest inna niż w rzeczywistości. W bardziej uproszczonym ujęciu można powiedzieć, że jest to "sztuka oszustwa", a Mitnick wyróżnia dwie specjalizacje w zawodzie manipulatora. "Ten, kto wyłudza pieniądze od ludzi, jest zwykłym oszustem, natomiast ten, kto stosuje manipulację i perswazję wobec firm - zwykle z zamiarem zdobycia informacji - jest socjotechnikiem".[1]

Jestem przekonany, że to stwierdzenie Mitnicka z 2003 r. nie utrzymałoby się w obecnym cyfrowym świecie, ponieważ wielu atakujących wykorzystuje techniki inżynierii społecznej do pozyskiwania informacji lub danych, a następnie wykorzystuje je, na przykład w ramach usługi "przestępstwo jako usługa" (crime-as-a-service). Co więcej, techniki te są wykorzystywane nie tylko przeciwko firmom, ale także przeciwko osobom prywatnym. Faktyczny atak może nie przybrać przede wszystkim formy oszustwa, ale informacje mogą zostać sprzedane lub wykorzystane do poważniejszego ataku.

Główną ideą socjotechniki nie jest stosowanie różnych czysto technicznych metod lub narzędzi do złamania hasła, gdy na przykład o wiele łatwiej jest wprowadzić ofiarę w błąd, aby dobrowolnie podała hasło. Najsłabszym ogniwem w systemie bezpieczeństwa jest i zawsze będzie człowiek (użytkownik). Ponieważ nie ma na świecie systemu komputerowego, który przynajmniej na jakimś etapie (czy to przy uruchamianiu, konfigurowaniu, czy konserwacji systemu komputerowego) nie byłby zależny od człowieka, najłatwiejszym sposobem uzyskania niezbędnych informacji jest właśnie człowiek.

To właśnie prostota ataku ukierunkowanego na najsłabsze ogniwo systemu sprawia, że jest to zazwyczaj najskuteczniejsza forma ataku. Inżynieria społeczna wysunęła się na pierwszy plan wraz ze sprawą Mitnicka[2] , który przez wielu uważany jest za hakera, ale sam uważa się raczej za socjotechnika. Mitnick pokazuje w swoich książkach[3] , jak łatwo jest uzyskać informacje, które są wrażliwe i stanowią zagrożenie dla bezpieczeństwa osób i organizacji. Podczas przesłuchania przed Komisją Senatu USA ds. Rządowych[4] , gdzie Mitnick zeznawał na temat sposobu, w jaki zdobył hasła i poufne informacje do systemów komputerowych spenetrowanych przez siebie firm, Mitnick stwierdził między innymi: "Przedstawiłem się jako ktoś inny i po prostu poprosiłem o nie".

W przypadku inżynierii społecznej jednym z kluczowych czynników jest zdobycie jak największej ilości informacji o celu ataku (niezależnie od tego, czy jest to system komputerowy, podmiot prawny czy osoba fizyczna). Często przed właściwym atakiem następuje długotrwałe oddziaływanie na kluczową osobę i budowanie "zaufania" między atakującym a ofiarą, przy czym atakujący zazwyczaj wykorzystuje ludzką nieostrożność, łatwowierność, chęć niesienia pomocy innym, lenistwo, słabość, strach (np. aby nie wpaść w kłopoty), nieodpowiedzialność, głupotę itp.

Powyższe cechy ludzkie bardzo pomagają napastnikowi w przeprowadzeniu ataku. Zadaj sobie pytanie, na ile weryfikujesz drugą stronę, np. w rozmowie telefonicznej lub komunikacji za pośrednictwem ICT? W jakim stopniu sprawdzasz nośniki pamięci (dyski USB, karty pamięci itp.), które otrzymałeś w prezencie podczas prezentacji?

Szczególnie w dziedzinie ICT można zaobserwować coraz bardziej wyrafinowane i rozbudowane ataki [np. dobrze przygotowane oszukańcze e-maile, prawdziwe instytucje (wykorzystywane jako rzekomy nadawca), przekierowania na oszukańcze strony lub instalacja złośliwego oprogramowania w załączniku do dokumentu lub na nośniku pamięci itp.]

Ataki socjotechniczne są zwykle przeprowadzane na trzy sposoby, które są ze sobą połączone:

1.     Gromadzenie swobodnie (publicznie) dostępnych danych o celu ataku

2.     Atak fizyczny (np. napastnik podszywa się pod pracownika agencji usługowej - np. serwisanta drukarek, konserwatora itp.), w którym napastnik stara się uzyskać jak najwięcej informacji z "wnętrza" firmy lub poufnych informacji o poszczególnych pracownikach (w tym np. przeszukuje śmieci itp.)

3.     Atak psychologiczny

Do najczęstszych metod ataków socjotechnicznych należą:

1.     Oszukańcza wiadomość e-mail lub fałszywa strona internetowa

2.     Rozmowa telefoniczna

3.     Atak twarzą w twarz

4.     Dumpster diving ("nurkowanie po śmietnikach", a także "nurkowanie z danymi")

5.     Przeszukiwanie sieci, portali społecznościowych itp.(jest to łatwo dostępne, otwarte źródło danych dla osób zajmujących się inżynierią społeczną, które pomaga w zdobyciu lub zweryfikowaniu informacji o potencjalnym celu ataku). Informacje publiczne dostępne w Internecie (np. życiorysy, prace dyplomowe, propozycje itp. zamieszczone w Internecie). Raporty roczne i inne publicznie dostępne informacje o firmie.

6.     Dostarczanie reklam lub innych materiałów na płytach CD, DVD lub innych nośnikach pamięci

7.     Pozostawienie nośnika danych (USB itp.) w obszarze zainteresowania (np. w firmie, w domu pracownika itp. nośnik ten zwykle zawiera złośliwe oprogramowanie) 

8.     Zaproponuj wypróbowanie usługi online (np. oferta przechowywania danych w chmurze lub interesujących bezpłatnych usług itp.)

9.     Dostawa lub znalezienie sprzętu (systemu komputerowego)

10.  Fałszywy serwisant

11.  Inne

            Jeśli chodzi o cele ataków socjotechnicznych w organizacji, to mogą nimi być:

Socjotechnik jest w stanie manipulować ludźmi dzięki swoim umiejętnościom, jednak w niektórych przypadkach zwykła manipulacja nie wystarcza i konieczne jest połączenie tych informacji z wiedzą techniczną z zakresu technologii informacyjno-komunikacyjnych.

Rozdział ten kończę przykładem, w którym Mitnick pokazuje, w jaki sposób można połączyć techniki społeczne z wiedzą z zakresu technologii informacyjno-komunikacyjnych:[5]

Młody haker, którego będę nazywał Ivan Peters, wyruszył, aby zdobyć kod źródłowy nowej gry. Nie miał problemów z dostaniem się do sieci WAN firmy, ponieważ jego kolega haker zdołał już włamać się do jednego z serwerów internetowych. Po odkryciu słabego punktu w oprogramowaniu aż dziw, że nie spadł z krzesła. Okazało się, że system korzystał z "podwójnego naprowadzania", co oznacza, że miał dostęp do sieci wewnętrznej również z tego miejsca.

Jednak po wstąpieniu Ivan stanął przed problemem podobnym do tego, z jakim spotyka się turysta w Luwrze, który chce znaleźć portret Mony Lisy. Bez przewodnika może tam być tygodniami. Była to globalna korporacja z setkami biur i tysiącami serwerów, która nie publikowała w swojej sieci indeksów deweloperskich ani innych usług przewodników po swoich danych. Zamiast korzystać z metod technologicznych, aby znaleźć serwer, do którego chciał się dostać, użył metody socjotechnicznej. Przeprowadził kilka rozmów telefonicznych w oparciu o procedury opisane wcześniej w tej książce. Po pierwsze, zadzwonił do działu pomocy technicznej działu IT, przedstawił się jako pracownik firmy i powiedział, że chce omówić konkretny problem związany z interfejsem produktu, nad którym pracuje jego grupa. Poprosił o numer telefonu kierownika projektu w grupie programistów, którzy pracowali nad grami. Następnie zadzwonił pod wskazany numer i podał się za pracownika działu IT. "Późnym wieczorem" - powiedział - "będziemy zmieniać router i chcemy mieć pewność, że osoby z Twojej grupy nie stracą połączenia z serwerem. Jakiego serwera używasz?" Sieć była stale unowocześniana, a podanie nazwy serwera nie zaszkodzi, prawda? W końcu jest on chroniony hasłem, a sama znajomość nazwy nikomu nie pomoże. Kierownik projektu podał więc nazwę serwera. Nie próbował nawet oddzwonić i zweryfikować tej historii, a przynajmniej zapisać nazwiska i numeru telefonu rozmówcy. Podał jedynie nazwy serwerów: ATM5 i ATM6.

Teraz Ivan powrócił do metod technologicznych, aby uzyskać informacje o uwierzytelnianiu. W większości przypadków pierwszym krokiem jest zidentyfikowanie konta za pomocą łatwego hasła, które pozwoli uzyskać dostęp do systemu. Jeśli atakujący próbuje zdalnie zidentyfikować hasła za pomocą narzędzi hakerskich, wymaga to wielogodzinnego połączenia z siecią firmową.

Wiąże się z tym pewne niebezpieczeństwo: im dłużej jest on podłączony do sieci, tym większe ryzyko jego wykrycia i schwytania. Po pierwsze, Ivan użył wyliczania, aby ujawnić szczegóły systemu. Jak zwykle, odpowiednie narzędzia można znaleźć w Internecie (http://mtslenth.0catch.com). Ivan znalazł w sieci kilka ogólnodostępnych narzędzi hakerskich, które pozwoliły mu zautomatyzować proces i uniknąć ręcznej pracy, która wydłużałaby czas operacji, a tym samym zwiększała ryzyko złapania. Wiedząc, że firma używa głównie serwerów opartych na systemie Windows, pobrał program o nazwie NTBEnum, narzędzie do wyliczania[6] NetBIOS (podstawowy system wejścia/wyjścia). Wprowadził adres IP serwera ATM5 i uruchomił program. Narzędzie zidentyfikowało kilka kont istniejących na serwerze.

Po zidentyfikowaniu istniejących kont ten sam program umożliwił przeprowadzenie ataku słownikowego. Atak słownikowy jest dobrze znany osobom zajmującym się bezpieczeństwem komputerowym i, oczywiście, hakerom. Inni ludzie są zszokowani, że coś takiego jest w ogóle możliwe. Celem tego ataku jest poznanie haseł użytkowników przy użyciu powszechnie używanych słów. Wszyscy jesteśmy leniwi w niektórych sprawach, ale nigdy nie przestaje mnie zadziwiać, że ludzka kreatywność i wyobraźnia biorą urlop, gdy przychodzi do wyboru hasła. Większość z nas chce mieć hasło, które będzie nas chronić, ale jednocześnie będzie łatwe do zapamiętania. Zazwyczaj oznacza to użycie słowa, które jest nam bliskie. Mogą to być na przykład nasze inicjały, drugie imię, przezwisko, imię współmałżonka, nazwa ulubionej piosenki, filmu lub marki piwa. Następnie nazwę ulicy lub miasta, w którym mieszkamy, markę samochodu, którym jeździmy, ulubione miejsce na wakacje lub nazwę strumienia, w którym pstrągi najlepiej biorą. Czy widzimy regułę? W większości przypadków są to nazwy lub wyrażenia, które można znaleźć w słowniku. Atak słownikowy polega na próbach użycia jako hasła haseł słownikowych jednego lub kilku użytkowników.

Iwan przeprowadził atak słownikowy w trzech fazach. W pierwszej fazie - lista 800 najczęściej używanych haseł. Na liście znajdują się takie hasła, jak sekret, praca czy hasło. Ponadto program tworzył permutacje tych wyrażeń z dodanymi cyframi lub numerem bieżącego miesiąca. Program wypróbował każde hasło na wszystkich kontach znalezionych w systemie. Brak wyników. W drugiej fazie otwarto stronę wyszukiwarki Google i wpisano hasło "wordlists dictionaries", po czym znaleziono tysiące stron zawierających wordlists oraz słowniki angielskie i inne. Pobrał cały elektroniczny słownik języka angielskiego. Uzupełnił ją o kilka list terminów, które wyszukiwarka znalazła. Ivan wybrał adres www.outpost9.com/files/Wordlists.html. Z tej strony mógł pobrać (całkowicie za darmo) zestaw plików zawierających nazwiska, nietypowe imiona, nazwy i terminy związane z polityką, nazwiska aktorów oraz słowa i imiona z Biblii. Inna strona z listami wyrażeń jest dostępna na Uniwersytecie Oksfordzkim pod adresem ftp://ftp.ox.ac.uk/pub/wordlists. Pod innymi adresami można znaleźć listy imion postaci z filmów animowanych, cytaty z Szekspira, Odysei, Tolkiena i Gwiezdnych wojen oraz słowa związane z nauką, religią itp. (Jedna z firm internetowych sprzedaje listę 4,4 mln słów i imion już za 20 dolarów). Program atakujący można również skonfigurować tak, aby tworzył anagramy na podstawie terminów słownikowych - jest to kolejna ulubiona metoda użytkowników zwiększająca ich bezpieczeństwo.

Gdy Ivan wybrał listę, której będzie używał, i uruchomił program, przełączył go w tryb automatyczny, aby mógł zająć się czymś innym. Można by pomyśleć, że taki atak dałby atakującemu czas na dłuższą drzemkę, a nawet, że po przebudzeniu postępy byłyby niewielkie. W rzeczywistości, w zależności od rodzaju zaatakowanego systemu, konfiguracji systemów bezpieczeństwa i szybkości połączenia, cały zasób słownictwa angielskiego można przetestować w ciągu 30 minut! W trakcie ataku Ivan włączył drugi komputer i przeprowadził podobny atak na drugi serwer wykorzystywany przez grupę programistyczną ATM6. Dwadzieścia minut później udało się dokonać czegoś, co większość ludzi uznałaby za niemożliwe: złamać hasło i odkryć, że jeden z użytkowników wybrał hasło "Frodo", imię jednego z hobbitów, bohatera Władcy Pierścieni. Mając hasło w ręku, Ivan połączył się z serwerem ATM6. Czekały na niego dobre i złe wieści. Dobra wiadomość była taka, że konto, na które się włamał, miało uprawnienia administratora. A zła wiadomość była taka, że nigdzie nie mógł znaleźć kodu źródłowego gry. Najwyraźniej znajdował się on na drugim serwerze, ATM5, który oparł się atakowi słownikowemu. Ale Ivan nie poddawał się - miał jeszcze w zanadrzu kilka sztuczek. W niektórych systemach operacyjnych Windows i UNIX zaszyfrowane hasła są dostępne dla każdego, kto ma dostęp do komputera, na którym się znajdują. Dzieje się tak dlatego, że zaszyfrowanych haseł nie można odszyfrować, a zatem nie ma powodu, aby je chronić. Ta teoria jest błędna. Używając innego narzędzia dostępnego w sieci, pwdump3, pobrał zaszyfrowane hasła z serwera ATM6. Typowy plik z zaszyfrowanym hasłem wygląda tak:

Mając plik na swoim komputerze, Ivan użył innego narzędzia do przeprowadzenia ataku, który nazwał atakiem brute force.[7] Testuje wszystkie kombinacje znaków alfanumerycznych i większości znaków specjalnych.

Ivan użył narzędzia L0phtcrack3 (czytaj loft-crack; dostępne pod adresem www.atstake.com; inne źródło doskonałych narzędzi do zgadywania haseł to www.elcomsoft.com ). Administratorzy używają L0phtcrack3 do znajdowania "słabych" haseł, a hakerzy do ich łamania. Program L0phtcrack3 umożliwia wypróbowywanie haseł zawierających kombinacje liter, cyfr i większości symboli, w tym @#$%^&. Systematycznie testuje wszystkie możliwe kombinacje większości znaków. (Jeśli jednak w haśle użyto niewidocznych znaków, L0phtcrack3 nie będzie w stanie wykryć takiego hasła). Program ten działa z niewiarygodną szybkością, która na komputerze z procesorem 1 GHz może osiągnąć 2,8 miliona prób na sekundę. Nawet przy takiej szybkości, jeżeli administrator dobrze skonfigurował system Windows (tzn. wyłączył korzystanie z funkcji haszowania LANMAN), złamanie hasła może zająć dużo czasu. Z tego powodu atakujący często pobiera pliki z hasłami na swój komputer i przeprowadza atak na własnym komputerze, aby nie ryzykować wykrycia podczas długotrwałego połączenia. Ivan nie musiał długo czekać.

Kilka godzin później program odnalazł hasła wszystkich członków grupy programistów. Były to jednak hasła użytkowników korzystających z ATM6, gdzie nie było kodu źródłowego. Co teraz? Nadal nie udało się uzyskać haseł dostępu do serwera ATM5. Będąc hakerem, znał złe nawyki większości użytkowników i doszedł do wniosku, że jeden z członków zespołu mógł wybrać to samo hasło na obu serwerach. I tak właśnie się stało. Jeden z programistów miał hasło gracza zarówno w ATM5, jak i ATM6. Drzwi otworzyły się dla Ivana, który mógł poszukać kodu źródłowego.

 Gdy je znalazł i pobrał całe drzewo, zrobił jeszcze jedną typową dla hakerów rzecz. Zmienił hasło na nieaktywnym koncie z uprawnieniami administratora, na wszelki wypadek, gdyby chciał później wrócić i pobrać nową wersję programu.

Aby zmniejszyć ryzyko związane z socjotechniką, należy podnosić świadomość potencjalnych zagrożeń nie tylko wewnątrz organizacji, ale w całym społeczeństwie. Jak już wspomniałem, socjotechnika pomaga w przeprowadzeniu ataku, a określenie celu zależy wyłącznie od osoby atakującej. O wiele łatwiej jest atakować masy niewyrobionych i nieświadomych ludzi niż względnie dobrze chronione społeczeństwo.