Haló, tady je váš útočník

Ochrana sítí před hackery je snadná alespoň v porovnání s obranou před útoky pomocí sociálního inženýrství. Je...


Ochrana sítí před hackery je snadná alespoň v porovnání s obranou před útoky
pomocí sociálního inženýrství.
Jedná se o síť, která spojuje více než 98 % obyvatel. Sahá do každé země a
občas i do vesmíru. Ne, nemluvím o internetu, ale o telefonní síti. Telefony
jsou nezbytnou součástí informační infrastruktury naší firmy, ale také téměř
dokonalým prostředkem útoku.
Internetovou adresu lze podvrhnout, ale ne pokud chcete, aby si pakety nalezly
cestu zpět k vám. V takovém případě musíte uvést svou skutečnou adresu, a to
znamená, že kdokoliv mezi vámi a vaším cílem (a také cíl sám) tuto adresu může
získat.
Na počítačové síti mohou přes IDS procházet každou sekundu gigabajty informací,
v nichž jsou vyhledávána podezřelá data. Při útoku přes telefon ale nemáte k
dispozici žádný snadný způsob, jak vystopovat původ zlomyslných volajících,
aniž byste se dostali do rozporu se zákony; musíte proto spoléhat na vlastní
zaměstnance a na to, že případné incidenty ohlásí.
Útoky prostřednictvím e-mailu a webu lze automatizovat, a spustit je tak proti
tisícům cílů současně. Nicméně pokud máte na mysli cíl jediný, pak je telefon
zbraní první volby.
Přetečení zásobníku a hádání hesel po telefonu nefunguje, takže je třeba zvolit
jinou taktiku, které říkáme sociální inženýrství. S její pomocí se útočník
snaží někoho přinutit, aby udělal věci, které by jinak normálně nedělal.
Útok může být realizován například ve formě výzvy od nějaké autority. Někdo
může třeba zavolat, že potřebuje důvěrné informace pro člena správní rady.
Každý chce před šéfem vypadat dobře, takže zaměstnanec může vyžadované údaje
poskytnout, aniž by se nad tím zamyslel.
Dobrým školením pro pochopení sociálního inženýrství je reklama. Co funguje v
ní, může pomoci i útočníkům. A tak nám mnohdy lidé telefonují a při určitých
požadavcích se odvolávají na kolegy, kteří údajně již podobné kroky podnikli.
Pokud to dělají všichni ostatní, co by na tom mohlo být špatného?

Volání o pomoc
Někteří útočníci si pohrávají se soucitem svých obětí. Jistý podvodník nám
třeba tvrdil, že ztratil svůj laptop a nutně potřebuje důvěrné firemní
informace pro prezentaci, kterou má za několik hodin. Kdo by ho v takové
situaci nepolitoval? Nicméně měli byste dostatečný soucit k tomu, abyste mu
poslali prezentace a grafy na e-mailovou adresu na Yahoo?
Určité taktiky jsou čistě obskurní. Mnohokrát jsme zažili telefonáty od lidí,
kteří předstírali, že pracují pro firmu mající na starosti integraci IT. Firma
neexistuje, ale lidé, kteří se vydávají za její zástupce, pravidelně telefonují
a informují, že příští týden přijdou instalovat bezdrátovou myš. A než tak
učiní, potřebují výrobní číslo myši daného zaměstnance. "Prosím otočte tu myš
vzhůru nohama a nadiktujte nám číslo, abychom mohli zkontrolovat, že ji máme na
seznamu pro upgrade," požaduje volající.
Naštěstí jsou naši zaměstnanci velmi podezřívaví, a navzdory různým školením
týkajícím se jednání s partnery, která absolvují, danou informaci nikdo
neposkytl. Všichni zavěsili nebo přepojili telefonát na IT helpdesk.
Hovory na mnohé naše linky jsou z důvodu zákonných požadavků zaznamenávány, a
tak jsme mohli vyslechnout spoustu hovorů, které požadovaly sériové číslo myši.
Obvykle jsem schopen z hovorů využívajících sociálního inženýrství vytvořit
nějaký smysluplný scénář, ale v daném případě nemám ani potuchy, k čemu by tato
informace mohla být dobrá. Možná chtějí znát hardware, který používáme. Ale
nebylo by v tom případě snazší zavolat a zeptat se: "Funguje dnes váš Dell
dobře?" Někdy téměř lituji, že zaměstnanci ukončí hovor dříve, než dojde na
následující otázku. Snad slouží informace o myši pouze k prolomení ledů a
podvodníci chtějí následně vylákat nějaké užitečnější údaje.
Zvažovali jsme dokonce vytvoření speciální linky, na kterou by zaměstnanci
mohli tyto hovory přepojit. "Jé, já musím běžet na schůzku, přepojím vás na
asistentku, která vám s tím pomůže," mohli by třeba říci. Poté by si hovor
převzali pracovníci mého oddělení a předstírali by, že se snaží pomoci, zatímco
by se pokoušeli získat informace o taktice a motivech. Nezdá se nám sice příliš
fér, abychom sami využívali sociálního inženýrství, ale někdy se prostě musíte
poučit z taktiky útočníka, abyste se sami ochránili.

Znovu MyDoom
Neustále také pracujeme na vyřešení problémů, které má na svědomí virus MyDoom.
Jak už jsem zmiňoval ve svém minulém příspěvku (CW 17/2004), virus se nedostal
do našich systémů, ale snažily se o to desetitisíce infikovaných e-mailů.
Všechny se nám podařilo zastavit, nicméně pouze za cenu velmi nepříjemného
bombardování uživatelů varovnými zprávami při každém výskytu takového e-mailu.
Pro mateřskou firmu vytváříme statistiky o tom, kolik virů jsme zastavili a
minulý měsíc jsme zlomili rekord. Na kontaktní osoby na ředitelství firmy to
jednak udělalo dojem, ale současně byly poněkud šokovány. Neuměly si vysvětlit,
co způsobilo takový nárůst. Poslal jsem jim e-mail s vysvětlením, že se jednalo
o virus MyDoom a připojil několik webových odkazů na stránky s podrobnými
informacemi o tomto viru.
Byl jsem skutečně překvapen, že někdo, kdo má na centrále firmy na starosti
bezpečnost, si nevšiml celého povyku týkajícího se dané epidemie, ale odpověď
na e-mail mne udivila ještě více. Říkala, že pracovníci centrály považují
zaslané odkazy za velmi užitečné a hodně se toho dozvěděli. Dokonce zjistili,
že některé ze zpráv, které v minulých dnech neotevřeli, byly infikovány. Zdá
se, že moje každoměsíční zpráva zachránila centrálu před infekcí virem MyDoom.
Doporučil jsem jim proto, aby zlepšili své povědomí o bezpečnosti a začali
právě u zaměstnanců, kteří ji mají starosti. Řešíte podobné problémy jako Vince
Tuesday? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu.
Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.