Imagjinoni këtë situatë. Mëngjes i ftohtë tetori, instituti i projektimit në qendrën rajonale të një prej rajoneve të Rusisë. Dikush nga departamenti i burimeve njerëzore shkon në një nga faqet e vendeve të lira në faqen e internetit të institutit, postuar disa ditë më parë dhe sheh një foto të një mace atje. Mëngjesi shpejt pushon së qeni i mërzitshëm...
Në këtë artikull, Pavel Suprunyuk, kreu teknik i departamentit të auditimit dhe konsulencës në Group-IB, flet për vendin e sulmeve socioteknike në projektet që vlerësojnë sigurinë praktike, cilat forma të pazakonta mund të marrin dhe si të mbrohen nga sulme të tilla. Autori sqaron se artikulli është i natyrës rishikuese, megjithatë, nëse ndonjë aspekt i intereson lexuesit, ekspertët e Group-IB do t'u përgjigjen me lehtësi pyetjeve në komente.
Pjesa 1. Pse kaq serioze?
Le të kthehemi te macja jonë. Pas ca kohësh, departamenti i burimeve njerëzore fshin foton (pamjet e ekranit këtu dhe më poshtë janë pjesërisht të retushuara për të mos zbuluar emrat e vërtetë), por ajo kthehet me kokëfortësi, fshihet përsëri dhe kjo ndodh edhe disa herë të tjera. Departamenti i Burimeve Njerëzore e kupton që macja ka qëllimet më serioze, ai nuk dëshiron të largohet, dhe ata thërrasin për ndihmë nga një programues në internet - një person që krijoi sitin dhe e kupton atë, dhe tani e administron atë. Programuesi shkon në sit, fshin edhe një herë macen e bezdisshme, zbulon se është postuar në emër të vetë departamentit të burimeve njerëzore, më pas supozon se fjalëkalimi i departamentit të burimeve njerëzore ka rrjedhur te disa huliganë në internet dhe e ndryshon atë. Macja nuk shfaqet më.
Çfarë ndodhi në të vërtetë? Në lidhje me grupin e kompanive që përfshinte institutin, specialistët e Group-IB kryen testimin e penetrimit në një format të afërt me Red Teaming (me fjalë të tjera, ky është një imitim i sulmeve të synuara ndaj kompanisë tuaj duke përdorur metodat dhe mjetet më të avancuara nga arsenali i grupeve të hakerëve). Ne folëm në detaje për Red Teaming . Është e rëndësishme të dini se gjatë kryerjes së një testi të tillë, mund të përdoret një gamë shumë e gjerë sulmesh të parapajtuara, duke përfshirë inxhinierinë sociale. Është e qartë se vetë vendosja e maces nuk ishte qëllimi përfundimtar i asaj që po ndodhte. Dhe kishte si vijon:
- faqja e internetit e institutit u strehua në një server brenda vetë rrjetit të institutit, dhe jo në serverë të palëve të treta;
- U gjet një rrjedhje në llogarinë e departamentit të burimeve njerëzore (skedari i regjistrit të emailit është në rrënjë të faqes). Ishte e pamundur të administrohej faqja me këtë llogari, por ishte e mundur të modifikoheshin faqet e punës;
- Duke ndryshuar faqet, mund t'i vendosni skriptet tuaja në JavaScript. Zakonisht ato i bëjnë faqet interaktive, por në këtë situatë, të njëjtat skripta mund të vjedhin nga shfletuesi i vizitorit atë që e dallonte departamentin e burimeve njerëzore nga programuesi, dhe programuesin nga një vizitor i thjeshtë - identifikuesin e sesionit në sit. Macja ishte një shkas sulmi dhe një foto për të tërhequr vëmendjen. Në gjuhën e shënjimit të uebsajtit HTML, dukej kështu: nëse imazhi juaj është ngarkuar, JavaScript tashmë është ekzekutuar dhe ID-ja juaj e sesionit, së bashku me të dhënat në lidhje me shfletuesin tuaj dhe adresën IP, tashmë janë vjedhur.
- Me një ID të vjedhur të sesionit të administratorit, do të ishte e mundur të fitohej akses i plotë në sajt, të priste faqe të ekzekutueshme në PHP, dhe për rrjedhojë të fitohej akses në sistemin operativ të serverit, dhe më pas në vetë rrjetin lokal, që ishte një qëllim i rëndësishëm i ndërmjetëm i projekti.
Sulmi ishte pjesërisht i suksesshëm: ID-ja e sesionit të administratorit u vodh, por ishte e lidhur me një adresë IP. Ne nuk mund ta shmangnim këtë; ne nuk mund t'i ngrinim privilegjet e faqes sonë në privilegje administratori, por përmirësonim disponimin tonë. Rezultati përfundimtar u mor përfundimisht në një seksion tjetër të perimetrit të rrjetit.
Pjesa 2. Po ju shkruaj - çfarë tjetër? Unë gjithashtu telefonoj dhe rri në zyrën tuaj, duke hedhur disqet flash.
Ajo që ndodhi në situatën me macen është një shembull i inxhinierisë sociale, megjithëse jo mjaft klasike. Në fakt, kishte më shumë ngjarje në këtë histori: kishte një mace, një institut, dhe një departament personeli dhe një programues, por kishte edhe emaile me pyetje sqaruese që gjoja "kandidatët" i shkruanin vetë departamentit të personelit dhe personalisht. programuesit në mënyrë që t'i provokojë ata të shkojnë në faqen e faqes.
Duke folur për letra. Emaili i zakonshëm, ndoshta mjeti kryesor për kryerjen e inxhinierisë sociale, nuk e ka humbur rëndësinë e tij për disa dekada dhe ndonjëherë çon në pasojat më të pazakonta.
Ne e tregojmë shpesh në eventet tona historinë e mëposhtme, pasi është shumë zbuluese.
Zakonisht, bazuar në rezultatet e projekteve të inxhinierisë sociale, ne përpilojmë statistika, të cilat, siç e dimë, janë një gjë e thatë dhe e mërzitshme. Kaq shumë përqind e marrësve hapën bashkëngjitjen nga letra, aq shumë ndoqën lidhjen, por këta të tre në fakt futën emrin e përdoruesit dhe fjalëkalimin e tyre. Në një projekt, ne morëm më shumë se 100% të fjalëkalimeve të futura - domethënë, doli më shumë sesa dërguam.
Ndodhi kështu: u dërgua një letër phishing, gjoja nga CISO e një korporate shtetërore, me një kërkesë për të "testuar urgjentisht ndryshimet në shërbimin e postës". Letra arriti te kreu i një departamenti të madh që merrej me mbështetjen teknike. Menaxheri ishte shumë i zellshëm në zbatimin e udhëzimeve të autoriteteve të larta dhe ua përcillte të gjithë vartësve. Vetë qendra e thirrjeve doli të ishte mjaft e madhe. Në përgjithësi, situatat kur dikush dërgon emaile "interesante" phishing kolegëve të tyre dhe ata gjithashtu kapen është një dukuri mjaft e zakonshme. Për ne, ky është reagimi më i mirë për cilësinë e shkrimit të një letre.
Pak më vonë ata mësuan për ne (letra u mor në një kuti postare të komprometuar):
Suksesi i sulmit ishte për shkak të faktit se postimi shfrytëzoi një sërë mangësish teknike në sistemin e postës së klientit. Ai ishte konfiguruar në atë mënyrë që të ishte e mundur të dërgohej çdo letër në emër të çdo dërguesi të vetë organizatës pa autorizim, qoftë edhe nga interneti. Kjo do të thotë, ju mund të pretendoni të jeni një CISO, ose shef i mbështetjes teknike, ose dikush tjetër. Për më tepër, ndërfaqja e postës, duke vëzhguar letra nga domeni "e saj", futi me kujdes një foto nga libri i adresave, i cili i shtoi natyrshmërinë dërguesit.
Në të vërtetë, një sulm i tillë nuk është një teknologji veçanërisht komplekse; është një shfrytëzim i suksesshëm i një defekti shumë themelor në cilësimet e postës. Ai rishikohet rregullisht në burime të specializuara të TI-së dhe sigurisë së informacionit, por megjithatë ka ende kompani që i kanë të gjitha këto të pranishme. Meqenëse askush nuk është i prirur të kontrollojë tërësisht titujt e shërbimit të protokollit të postës SMTP, një letër zakonisht kontrollohet për "rrezik" duke përdorur ikona paralajmëruese në ndërfaqen e postës, të cilat jo gjithmonë shfaqin të gjithë figurën.
Është interesante se një dobësi e ngjashme funksionon edhe në drejtimin tjetër: një sulmues mund t'i dërgojë një email në emër të kompanisë suaj një marrësi të palës së tretë. Për shembull, ai mund të falsifikojë një faturë për pagesë të rregullt në emrin tuaj, duke treguar detaje të tjera në vend të tuajat. Përveç çështjeve kundër mashtrimit dhe parave të gatshme, kjo është ndoshta një nga mënyrat më të lehta për të vjedhur para përmes inxhinierisë sociale.
Përveç vjedhjes së fjalëkalimeve përmes phishing, një sulm klasik socioteknik po dërgon bashkëngjitje të ekzekutueshme. Nëse këto investime tejkalojnë të gjitha masat e sigurisë, nga të cilat kompanitë moderne zakonisht kanë shumë, do të krijohet një kanal aksesi në distancë në kompjuterin e viktimës. Për të demonstruar pasojat e sulmit, telekomanda që rezulton mund të zhvillohet deri në akses në informacione konfidenciale veçanërisht të rëndësishme. Vlen të përmendet se shumica dërrmuese e sulmeve që mediat përdorin për të trembur të gjithë nisin pikërisht kështu.
Në departamentin tonë të auditimit, për argëtim, ne llogarisim statistika të përafërta: sa është vlera totale e aktiveve të kompanive në të cilat kemi fituar akses në Domain Administrator, kryesisht përmes phishing dhe dërgimit të bashkëngjitjeve të ekzekutueshme? Këtë vit ajo arriti në rreth 150 miliardë euro.
Është e qartë se dërgimi i emaileve provokuese dhe postimi i fotove të maceve në faqet e internetit nuk janë metodat e vetme të inxhinierisë sociale. Në këta shembuj jemi përpjekur të tregojmë shumëllojshmërinë e formave të sulmit dhe pasojat e tyre. Përveç letrave, një sulmues i mundshëm mund të telefonojë për të marrë informacionin e nevojshëm, të shpërndajë media (për shembull, disqet flash) me skedarë të ekzekutueshëm në zyrën e kompanisë së synuar, të marrë një punë si praktikant, të fitojë qasje fizike në rrjetin lokal. nën maskën e një instaluesi kamerash CCTV. Të gjitha këto, meqë ra fjala, janë shembuj nga projektet tona të përfunduara me sukses.
Pjesa 3. Mësimi është dritë, por i pamësuari është errësirë
Lind një pyetje e arsyeshme: mirë, mirë, ka inxhinieri sociale, duket e rrezikshme, por çfarë duhet të bëjnë kompanitë për të gjithë këtë? Kapiteni Obvious vjen në shpëtim: ju duhet të mbroni veten, dhe në një mënyrë gjithëpërfshirëse. Një pjesë e mbrojtjes do të synohet në masat tashmë klasike të sigurisë, si mjetet teknike të mbrojtjes së informacionit, monitorimi, mbështetja organizative dhe ligjore e proceseve, por pjesa kryesore, sipas mendimit tonë, duhet të drejtohet drejt punës së drejtpërdrejtë me punonjësit. hallka më e dobët. Në fund të fundit, sado të forconi teknologjinë ose të shkruani rregulla të ashpra, gjithmonë do të ketë një përdorues që do të zbulojë një mënyrë të re për të thyer gjithçka. Për më tepër, as rregulloret dhe as teknologjia nuk do të vazhdojnë me fluturimin e krijimtarisë së përdoruesit, veçanërisht nëse ai nxitet nga një sulmues i kualifikuar.
Para së gjithash, është e rëndësishme të trajnoni përdoruesin: shpjegoni se edhe në punën e tij rutinë, mund të lindin situata që lidhen me inxhinierinë sociale. Për klientët tanë ne shpesh kryejmë mbi higjienën dixhitale - një ngjarje që mëson aftësitë themelore për të luftuar sulmet në përgjithësi.
Mund të shtoj se një nga masat më të mira të mbrojtjes nuk do të ishte të mësosh përmendësh rregullat e sigurisë së informacionit, por të vlerësosh situatën në një mënyrë paksa të shkëputur:
- Kush është bashkëbiseduesi im?
- Nga erdhi propozimi apo kërkesa e tij (kjo nuk ka ndodhur kurrë më parë dhe tani është shfaqur)?
- Çfarë është e pazakontë në lidhje me këtë kërkesë?
Edhe një lloj i pazakontë i fontit të shkronjave ose një stil i të folurit që është i pazakontë për dërguesin mund të shkaktojë një zinxhir dyshimi që do të ndalojë një sulm. Duhen gjithashtu udhëzime të përshkruara, por ato funksionojnë ndryshe dhe nuk mund të specifikojnë të gjitha situatat e mundshme. Për shembull, administratorët e sigurisë së informacionit shkruajnë në to se nuk mund të futni fjalëkalimin tuaj në burimet e palëve të treta. Po nëse burimi i rrjetit "i juaj", "korporativ" kërkon një fjalëkalim? Përdoruesi mendon: "Kompania jonë tashmë ka dy duzina shërbime me një llogari të vetme, pse të mos ketë një tjetër?" Kjo çon në një rregull tjetër: një proces i mirëstrukturuar i punës gjithashtu ndikon drejtpërdrejt në sigurinë: nëse një departament fqinj mund të kërkojë informacion nga ju vetëm me shkrim dhe vetëm përmes menaxherit tuaj, një person "nga një partner i besuar i kompanisë" me siguri nuk do të jetë në gjendje ta kërkoni atë me telefon - kjo është për ju do të jetë e pakuptimtë. Duhet të jeni veçanërisht të kujdesshëm nëse bashkëbiseduesi juaj kërkon të bëjë gjithçka menjëherë, ose "ASAP", siç është në modë të shkruhet. Edhe në punë normale, kjo situatë shpesh nuk është e shëndetshme dhe përballë sulmeve të mundshme, është një shkas i fortë. Nuk ka kohë për të shpjeguar, ekzekutoni skedarin tim!
Vëmë re se përdoruesit janë gjithmonë në shënjestër si legjenda për një sulm socioteknik nga tema që lidhen me paratë në një formë ose në një tjetër: premtime për promovime, preferenca, dhurata, si dhe informacione me thashetheme dhe intriga të supozuara lokale. Me fjalë të tjera, "mëkatet vdekjeprurëse" banale janë në punë: etja për fitim, lakmia dhe kurioziteti i tepruar.
Trajnimi i mirë duhet të përfshijë gjithmonë praktikë. Këtu mund të vijnë në shpëtim ekspertët e testimit të penetrimit. Pyetja tjetër është: çfarë dhe si do të testojmë? Ne në Group-IB propozojmë qasjen e mëposhtme: zgjidhni menjëherë fokusin e testimit: ose vlerësoni gatishmërinë për sulme vetëm të vetë përdoruesve, ose kontrolloni sigurinë e kompanisë në tërësi. Dhe testoni duke përdorur metoda të inxhinierisë sociale, duke simuluar sulme reale - domethënë, të njëjtin phishing, dërgimin e dokumenteve të ekzekutueshme, thirrjeve dhe teknikave të tjera.
Në rastin e parë, sulmi përgatitet me kujdes së bashku me përfaqësuesit e klientit, kryesisht me specialistët e tij të IT dhe sigurisë së informacionit. Legjendat, mjetet dhe teknikat e sulmit janë të qëndrueshme. Vetë klienti ofron fokus grupe dhe lista të përdoruesve për sulm, të cilat përfshijnë të gjitha kontaktet e nevojshme. Përjashtimet krijohen në masat e sigurisë, pasi mesazhet dhe ngarkesat e ekzekutueshme duhet të arrijnë tek marrësi, sepse në një projekt të tillë interesojnë vetëm reagimet e njerëzve. Opsionale, mund të përfshini shënues në sulm, me anë të të cilëve përdoruesi mund të hamendësojë se ky është një sulm - për shembull, mund të bëni disa gabime drejtshkrimore në mesazhe ose të lini pasaktësi në kopjimin e stilit të korporatës. Në fund të projektit, fitohen të njëjtat “statistika të thata”: cilat grupe fokusi iu përgjigjën skenarëve dhe në çfarë mase.
Në rastin e dytë, sulmi kryhet me njohuri fillestare zero, duke përdorur metodën e "kutisë së zezë". Ne mbledhim në mënyrë të pavarur informacione për kompaninë, punonjësit e saj, perimetrin e rrjetit, krijojmë legjenda sulmi, zgjedhim metoda, kërkojmë masat e mundshme të sigurisë të përdorura në kompaninë e synuar, përshtatim mjetet dhe krijojmë skenarë. Specialistët tanë përdorin si metodat klasike të inteligjencës me burim të hapur (OSINT) ashtu edhe produktin e vetë Group-IB - Threat Intelligence, një sistem që, kur përgatitet për phishing, mund të veprojë si një grumbullues i informacionit për një kompani për një periudhë të gjatë, duke përfshirë informacionin e klasifikuar. Sigurisht, në mënyrë që sulmi të mos bëhet një surprizë e pakëndshme, detajet e tij bien dakord edhe me klientin. Rezulton të jetë një test i plotë penetrimi, por do të bazohet në inxhinieri sociale të avancuar. Opsioni logjik në këtë rast është zhvillimi i një sulmi brenda rrjetit, deri në marrjen e të drejtave më të larta në sistemet e brendshme. Nga rruga, në një mënyrë të ngjashme ne përdorim sulmet socioteknike në , dhe në disa teste depërtimi. Si rezultat, klienti do të marrë një vizion të pavarur gjithëpërfshirës të sigurisë së tyre kundër një lloji të caktuar sulmesh socioteknike, si dhe një demonstrim të efektivitetit (ose, anasjelltas, joefektivitetit) të linjës së ndërtuar të mbrojtjes kundër kërcënimeve të jashtme.
Ne rekomandojmë kryerjen e këtij trajnimi të paktën dy herë në vit. Së pari, në çdo kompani ka qarkullim të stafit dhe përvoja e mëparshme harrohet gradualisht nga punonjësit. Së dyti, metodat dhe teknikat e sulmeve po ndryshojnë vazhdimisht dhe kjo çon në nevojën për të përshtatur proceset e sigurisë dhe mjetet e mbrojtjes.
Nëse flasim për masa teknike për t'u mbrojtur nga sulmet, më poshtë ndihmojnë më shumë:
- Prania e vërtetimit të detyrueshëm me dy faktorë në shërbimet e publikuara në internet. Lëshimi i shërbimeve të tilla në vitin 2019 pa sisteme Single Sign On, pa mbrojtje kundër forcës brutale të fjalëkalimit dhe pa vërtetim me dy faktorë në një kompani prej disa qindra personash është e barabartë me një thirrje të hapur për të "thyer mua". Mbrojtja e zbatuar siç duhet do ta bëjë të pamundur përdorimin e shpejtë të fjalëkalimeve të vjedhura dhe do të japë kohë për të eliminuar pasojat e një sulmi phishing.
- Kontrollimi i kontrollit të aksesit, minimizimi i të drejtave të përdoruesve në sisteme dhe ndjekja e udhëzimeve për konfigurimin e sigurt të produktit që lëshohen nga secili prodhues kryesor. Këto masa shpesh janë të thjeshta në natyrë, por shumë efektive dhe të vështira për t'u zbatuar, të cilat të gjithë, në një shkallë ose në një tjetër, i neglizhojnë për hir të shpejtësisë. Dhe disa janë aq të nevojshme sa pa to asnjë mjet mbrojtjeje nuk do të shpëtojë.
- Linja e mirë-ndërtuar e filtrimit të postës elektronike. Antispam, skanim total i bashkëngjitjeve për kod me qëllim të keq, duke përfshirë testimin dinamik përmes kutive të rërës. Një sulm i përgatitur mirë do të thotë që bashkëngjitja e ekzekutueshme nuk do të zbulohet nga mjetet antivirus. Sandbox, përkundrazi, do të testojë gjithçka vetë, duke përdorur skedarë në të njëjtën mënyrë siç i përdor një person. Si rezultat, një komponent i mundshëm me qëllim të keq do të zbulohet nga ndryshimet e bëra brenda sandbox.
- Mjetet e mbrojtjes kundër sulmeve të synuara. Siç u përmend tashmë, mjetet klasike antivirus nuk do të zbulojnë skedarë me qëllim të keq në rast të një sulmi të përgatitur mirë. Produktet më të avancuara duhet të monitorojnë automatikisht tërësinë e ngjarjeve që ndodhin në rrjet - si në nivelin e një hosti individual ashtu edhe në nivelin e trafikut brenda rrjetit. Në rastin e sulmeve, shfaqen zinxhirë shumë karakteristikë të ngjarjeve që mund të gjurmohen dhe ndalohen nëse monitorimi është i fokusuar në ngjarje të këtij lloji.
Artikull origjinal në revistën “Siguria e Informacionit/ Siguria e Informacionit” #6, 2019.
Burimi: www.habr.com