Страница:
Занимаясь социальной инженерией, вы нередко будете попадать впросак, особенно вначале. Ведь вы будете разговаривать с секретарями и другими членами компании, которые отлично знакомы с реалиями своей "конторы" и вполне способны заметить обман. Вам станут задавать вопросы, на которые вам будет непросто ответить немедленно. Вот несколько примеров такого рода.
СЕКРЕТАРЬ В ПРИЕМНОЙ: Так вы Чарльз Грин? Но в нашем компьютерном отделе нет никакого Грина.
ВАШ ОТВЕТ: Я работаю здесь всего несколько дней.
СЕКРЕТАРЬ: Интересно, почему же это я не видела вашей фотографии на доске объявлений о найме новых сотрудников?
ВАШ ОТВЕТ: Вы правы. Она... как ее там... еще не успела приклеить мою фотографию. Может быть, после обеда...
СЕКРЕТАРЬ: То есть как это - она? Этим всегда занимается Джек.
ВАШ ОТВЕТ: Ах да, правильно, Джек!
СЕКРЕТАРЬ: Я ничем не смогу вам помочь, пока вы не сообщите ваш идентификационный код сотрудника.
ВАШ ОТВЕТ: О, у меня его нет. Я здесь временно. Заменяю сотрудницу, ушедшую в декретный отпуск.
СЕКРЕТАРЬ: Просто прочтите код на вашем идентификационном значке.
ВАШ ОТВЕТ: У меня еще нет значка... тут произошла какая-то путаница, и супервизор сказал, что я, наверное, получу его завтра. Вы же знаете, у них там вечно какая-то ерунда происхо...
СЕКРЕТАРЬ: Кто ваш супервизор?
ВАШ ОТВЕТ: N. Вы знаете что-нибудь о нем (о ней)? (Если вы провели предварительные исследования, вы должны знать ответ на этот вопрос. Если ответа вы не знаете, а компания большая, вы можете выдумать общеупотребительное имя или прибегнуть к старой уловке: "Хм... Кажется, на Ш-Шиндлер? Шиффер?")
А вот другая ситуация:
СЕКРЕТАРЬ: Но у меня нет компьютера!
ВАШ ОТВЕТ: Простите, я, должно быть, ошибся. Могу я поговорить с N.? (N. - имя босса).
Если вам удастся незаметно собрать новости и слухи, циркулирующие в компании, используйте данную информацию в беседе, если, конечно, собеседник настроен дружелюбно. Это еще один способ завоевать доверие.
ВЫ: Кстати, вы не знаете, нет ли у N. сына в Лиге малышей? У моего сына есть друг по имени...
Но не забудьте - такие вопросы лучше задавать до того, как вы начнете расспрашивать о процедурах входа.
РАЗНООБРАЗНЫЕ советы по социальной ИНЖЕНЕРИИ
Вот еще несколько советов для обеспечения успешных занятий социальной инженерией.
Обращайте внимание на то, как собеседник реагирует на ваши вопросы. Если вы разговариваете с секретарем, или другим сотрудником, занимающим одну из нижних ступеней на лестнице зарплаты, он (или она) может не захотеть болтать с вами о компьютерах, если его (или ее) контролируют, либо если звонки прослушиваются боссом.
Зайдите в какое-либо доступное вам место с подключенными терминалами, и взгляните на стену, туда, где терминал подключается к телефонному щитку. Найдите на щитке четыре цифры и спишите их (это четыре последних цифры телефонной линии, к которой подключен терминал). Остальные три цифры можно узнать по соответствующему каталогу. Затем в течение нескольких дней набирайте этот номер по несколько раз в день, дабы убедиться, что линия всегда занята. При занятиях социальной инженерией такие "взятые напрокат" телефонные номера следует держать под рукой, чтобы давать тем людям, которые захотят вам перезвонить. Как правило, это операторы систем, которые подозревают в вас хакера и хотят убедиться, что вы без опаски можете дать им информацию о себе. Давать такие номера лучше, чем выдумывать, поскольку если телефон будет просто занят, это даст людям хоть какую-то уверенность в вашей честности. Уже одно то, что вы даете им свой номер, может рассеять их подозрения.
Когда человек дает вам свой пароль, ему надо мягко возразить: "А вы уверены, что вы действительно используете именно это?" У секретарей может быть два пароля: один - их собственный, который дает им доступ к групповому бюджету нижнего уровня, а другой - пароль более высокого уровня, принадлежащий боссу (секретарь знает этот пароль, так как секретари действительно знают об организации все). Разоблачающим тоном расспрашивая кого-либо о сообщенном вам пароле, вы можете заставить человека пойти на попятную, если он решил дать вам неверный пароль, и таким образом от вас отделаться. У него создастся впечатление, что вы и так знаете верный пароль, и хотите уличить его во лжи. Если при упоминании пароля более высокого уровня собеседник приходит в замешательство, скажите: "Неужели вам до сих пор не повысили уровень доступа? Только что куплена новая система, которая может работать в пятьдесят раз быстрее. Все ее так хвалят...". Затем быстро перемените тему разговора.
Прежде чем сделать звонок, обзаведитесь соответствующей звуковой дорожкой, которая будет звучать на заднем плане. Перед этим наведайтесь в компанию и запишите их обычный рабочий звуковой фон. Дайте прослушать пленку по телефону своему другу, и сами тоже прослушайте ее по телефону, чтобы определить нужную громкость звучания. Но помните, что если вы решили сыграть "нового пользователя, пришедшего на работу раньше всех", пленка с записью болтовни и печатающего принтера вам не пригодится!
Беседуя с людьми, даже по телефону, старайтесь все время улыбаться; ведите разговор дружелюбно и непринужденно. Если собеседник снимает трубку со словами вроде: "Здравствуйте, это корпорация ..., Лу-лу у телефона", скажите: "Привет, Лулу! Это...", и начинайте вашу проникновенную речь. Теперь Лулу будет тщетно вспоминать, не встречались ли вы раньше, и, если вы продолжите беседу с ней в том же духе, она потихоньку начнет воспринимать вас как друга.
Можно почерпнуть какие-то идеи из пособий по подражению голосам. Линия, по которой поступил ваш звонок, тоже может повлиять на ваш успех. Во многих компаниях телефон сортирует звонки на внешние и внутренние. Если вы притворяетесь, будто звоните по внутренней линии, ваш звонок должен отразить это. Позвоните в другой отдел той же компании, скажите им, что ошиблись номером, и попросите соединить вас с нужным вам отделом. Например:
СОБЕСЕДНИК: Отдел рекламы. Чем могу быть полезен?
ВЫ: Извините, я, кажется, неверно набрал номер. Не могли бы вы соединить меня с 4358?
Теперь ваш звонок автоматически становится внутренним, а у вас появляется какой-никакой авторитет (а может быть, на телефоне даже зажигается специальный внутренний сигнал). Еще один способ смоделировать внутренний телефонный звонок - набрать не тот номер, что указан в каталоге, а другой, отличающийся от указанного на одну цифру. Почти любая организация с собственной телефонной линией обычно располагает блоком телефонных номеров. Так, если в каталоге указан номер 123-4567, попытайтесь набрать 123-4568, и т. д. Такие звонки, если они проходят, могут создать впечатление, что звонит кто-то из своих - посторонний набрал бы номер из каталога.
Следует учесть, что, если вы пытаетесь добраться до одного из начальников корпорации, вы можете так и не пройти дальше его секретарей и других подчиненных. Неплохо бывает позвонить в офис того же или более высокого уровня, что избранный вами, и попросить секретаря соединить вас с искомым. К примеру, я собираюсь опробовать свои методы социальной инженерии на мистере Палука - менеджере среднего уровня, занимающегося обувным отделом. Но мне никак не удается поговорить с ним лично. Тогда я звоню мистеру Колту, менеджеру того же или более высокого уровня, и прошу его секретаря соединить меня с мистером Колтом лично. Секретарь спрашивает, по какому поводу я хотел бы поговорить с Колтом, и я отвечаю: "Обувь!" Но мистер Колт занимается не обувью, а резинками для трусов. Поэтому секретарь отвечает: "Об этом вам следует поговорить с мистером Палука; соединить вас с ним?" И она передаст ваш звонок секретарю мистера Палука, которому вы скажете: "Здравствуйте. Это такой-то. В офисе мистера Колта посоветовали мне поговорить с мистером Палука насчет обуви." Это уже рекомендация, исходящая от другого сотрудника компании. Теперь вам станет проще добраться до мистера Палука.
Другие Роли
Основной частью социальной инженерии является получение групповых или личных паролей путем разыгрывания роли по придуманному вами сценарию в надежде на то, что ваш собеседник подыграет вам. Но целью социальной инженерии необязательно являются пароли, и переговоры могут вестись не по телефону, а лично, либо по электронной почте. Личные переговоры требуют сильных нервов и незаурядного актерского мастерства, электронная почта больше подходит для тех, кто испытывает трудности с СИ (социальной инженерией) по телефону.
Непосредственная инженерия
Любое исполнение какой-либо роли является формой социальной инженерии. Это может быть перевоплощение во вполне конкретную личность (например, президента компании, который желает знать, почему не работает его пароль), или же абстрактную (техник имярек, который звонит, чтобы узнать, не возникло ли каких-нибудь проблем с компьютерами). При этом, как правило, используется телефон - во-первых, потому, что он дает возможность хакеру вести переговоры с удаленными пунктами, не выходя из дома, а во-вторых, телефон создает защитный барьер между хакером и его собеседником. Если беседа идет не так, как планировалось, можно повесить трубку; но если вы теряете контроль над разговором, который ведете лицом к лицу, вам нелегко будет выпутаться из этой ситуации.
Для практических занятий непосредственной социальной инженерией (т. е. лицом к лицу) существует одно неплохое правило: всегда надевать приличный костюм, который хорошо на вас смотрится. Вы должны выглядеть так, словно только что вышли из модного ателье. На худой конец, наденьте рубашку и галстук. Для женщин подойдет любая одежда в деловом стиле.
Многие методы СИ, которые срабатывают по телефону, не годятся для личной беседы. Вы не сможете притвориться, что звоните из офиса, сидя рядом с компьютером. Поэтому информация, полученная таким образом, будет минимальной, либо малоценной. Возможно, у вас появится больше вспомогательных сведений, чем необходимой на данный момент информации. Делая вид, что ищете работу в фирме, совершая экскурсию, или даже просто проникая в здание и бродя по нему в одиночестве, можно получить много полезной информации о взаимоотношениях сотрудников. Чтобы проникнуть в компанию, хакеры также часто притворяются ремонтниками, малярами и другими рабочими. Сыграть роль охранника-тоже неплохая выдумка. Прототипом непосредственного "социального инженера" можно взять социолога, который делает опрос. Вы стоите у входа в здание с ручкой и анкетой, и просите проходящих мимо людей заполнить для вас одну ячейку. "Социолога" интересуют имена сотрудников, их жен и мужей, их хобби, домашние животные и их клички, и тому подобная информация. Придя домой, попробуйте ввести всю эту информацию в качестве паролей. Вы можете возразить, что за заполнение анкеты полагается какой-нибудь приз. Что ж, анкеты могут, к примеру, разыгрываться в лотерее, а выигравшие получат билеты на какое-нибудь местное шоу или бесплатный визит в близлежащий ресторан. (Примечание: не приставайте к людям с анкетами по утрам, когда они спешат на работу).
Заниматься социальной инженерией можно по электронной почте или с помощью других видов контакта с пользователями. Например, если вам не хочется целый день торчать с авторучкой у входа в здание, вы можете просто оставить бланки анкет рядом с письменным ящиком или указать на них адрес электронной почты, по которому их следует переслать. Но много ответов не ждите.
Другие уловки эпистолярной инженерии принимают вид рекламы. Наклейте в компьютерном зале объявление о найме добровольцев для работы над специальным проектом. "Требуются системные менеджеры с опытом работы!" Попросите желающих заполнить почтовые карточки с именем, адресом, желательным паролем, и, возможно, типом компьютера, с которым клиент предпочитает иметь дело. Создавая такую рекламу, вам захочется сказать себе "Т-с-с-с! Это слишком явная ложь!". Но вы не поверите, сколько людей попадается на эту удочку. Напишите, чтобы они посылали свои почтовые карточки по адресу вроде: "Университет X, отдел компьютерной техники, кабинет Роджера Хэмма", далее укажите свой адрес. Но если вы живете в тридцати милях от настоящего университета - забудьте об этом.
Однажды двое манхэттенских хакеров заметили, что в одном из журналов после рекламы популярной информационной системы с данными об играх осталось свободное место. Они набрали в библиотеках как можно больше журналов с этой рекламой и вставили в пустой промежуток, напечатав на принтере, следующее сообщение: "Региональные резиденты Манхэттена! Звоните (телефонный номер). Свободное членство в течение шести месяцев!" Затем журналы были возвращены в библиотеку. Когда люди звонили по указанному номеру, им включали следующую запись: "Добро пожаловать в программу свободного шестимесячного участия в сети X! Послушайте, какие потрясающие веши можно проделывать в нашей сети!.." После этого один из хакеров задавал звонившему несколько вопросов: "Где вы услышали о нашей программе?", "Не присоединялись ли вы ранее к сети X?", "Какими еще платными BBS или компьютерными сетями вы пользуетесь?", "Под каким именем вы хотели бы входить в сеть X?", "А каков будет ваш секретный пароль?", "А вы уверены, что сможете запомнить такой пароль? Может быть, выберете другой?". Действуя по этой схеме, они получили десяток имен для входа в компьютеры, и парочку паролей. Если вы живете в небольшом городке, такого улова у вас не наберется, но попробовать все равно стоит.
Можно также вклеить напечатанную карточку с рекламой прямо в журнал или поместить рекламу на BBS. Подобная же уловка заключается в распространении вашего номера в качестве локального переключателя звонков. Это может весьма пригодиться, если в ваших краях пока отсутствует связь Telenet или Tymnet. При загрузке пользователи увидят обычный открывающийся экран, хотя на самом деле это будет ваша модель программы. Занимаясь хакерством, вы, видимо, узнали адреса различных сетей, и сможете программно смоделировать любой подходящий входной экран. В противном случае отвечайте сообщениями вроде: "Линия занята" либо "Не удается установить связь". В этой ситуации важным бывает правильно установить таймерные задержки, соответствующие обычным задержкам в сети.
После "соединения" с компьютером или сетью моделирующая программа продолжает работать: она запрашивает у пользователя имя и пароль, а затем "вылетает" из-за помех на линии или какой-либо другой неприятности. Если пользователь пытается тут же вызвать ее снова, можно сделать для него сообщение, что, дескать, пути передачи данных подвергаются перепроверке, или любую подобную чепуху.
Требование информации
А теперь давайте вернемся к чистой социальной инженерии, проводимой по электронной почте... Не ленитесь просматривать все компьютерные газеты и журналы, даже самые никудышные, в поисках информации о недостатках программных продуктов и лазеек в их безопасности. Журналистский кодекс чести вообще-то запрещает публикацию опасных секретов, так что точного описания ошибок в обеспечении безопасности систем вы не найдете. Вам будут попадаться заметки типа: "Вчера были пойманы четыре хакера, нашедшие лазейку в программе Х на машине Y военной базы Z". Или: "Компания Y опубликовала предупреждение о недостатках выпушенного ею элемента Z, который создавался для зашиты системы от проникновения в нее нелегальных пользователей..." Вы можете сделать следующее: отпечатайте некое псевдоофициальное заявление и отправьте его по электронной почте той самой компании, а ответ не заставит себя ждать. Содержание может быть приблизительно таким:
Уважаемый м-р Абель Джонс! До меня дошли сведения о серьезных недостатках вашей продукции, а именно элемента Z. Я веду свои дела, полагаясь на то, что наши данные находятся в полной безопасности благодаря элементу Z.
Увидев, как мы обманывались в течение шести лет, я хотел бы получить от вас следующее: подробное описание изъянов, делающих ненадежным использование элемента Z, либо компенсацию за шестилетнюю эксплуатацию двенадцати непригодных элементов Z, что составит 14 000 $.
Жду вашего скорейшего ответа.
Заявление может также быть выполнено в духе "давайте поработаем вместе, чтобы улучшить этот мир":
Уважаемый м-р Абель Джонс!
Я был весьма огорчен, увидев в номере "Computer Magazine" за пятницу информацию о дефектах, обнаруженных в вашем элементе Z.
На моем предприятии используется двенадцать таких устройств, и мне бы очень не хотелось потерять наши данные из-за их непригодности. Пожалуйста, вышлите в заклеенном конверте объяснение данной проблемы, чтобы мои техники могли устранить неполадки как можно скорее. Спасибо за помошь.
Искренне ваш...
Одно из этих посланий написано угрожающим тоном, другое - нет. С одной стороны, вам не хочется, чтобы ваше письмо посчитали липовым. С другой данная компания наверняка получит множество писем подобного содержания, большинство которых будут отнюдь не подделками. Чтобы у вас не возникло проблем, напечатайте письмо на качественной бумаге, с настоящим или выдуманным бланком наверху.
Для пущего эффекта напечатайте адрес на конверте, а вместо того, чтобы наклеивать марку, пропустите конверт через почтовый счетчик. Можно дополнительно вложить визитку собственного сочинения - их можно недорого заказать. Если компания отказывается помогать вам без подтверждения сделанной у них покупки, - что ж, вы ничего не теряете. Вы всегда можете попытаться подвергнуть социальной инженерии техников данной компании, дабы выведать у них секреты безопасности. Вдобавок существует много ассоциаций и организаций по компьютерной безопасности, которым известны подробности допущенных ошибок. Можно попытаться узнать детали, написав в тот журнал, который напечатал статью об "элементе Z". Постарайтесь встретиться с автором этой статьи. Журналистов и газетчиков обычно на удивление просто поймать по телефону, но заполучить их для разговора - это другое дело!
Послание свыше
Уважаемый пользователь! Я вынужден сообщить вам неприятную новость. Являясь директором PinkyLink, самой крупной информационной службы Америки, работающей в режиме онлайн, я был шокирован, узнав о том, что шестого июля сего года имело место незаконное хищение нескольких файлов с именами пользователей. После нелегального копирования оригиналы были уничтожены. Одна из записей содержала, помимо всего прочего, закрытые личные данные небольшого количества наших клиентов. Хотя, к счастью, вашего имени не оказалось на похищенных файлах, все же определенная опасность для вас существует. На данный момент мы не можем сказать, содержались ли в похищенных файлах данные о каких-либо пользователях с программистским уровнем доступа, или нет. Таким образом, мы предлагаем вам заполнить приложенную анкету и незамедлительно выслать обратно по почте конверте. Мы берем на себя все ваши почтовые издержки. Оплаченный конверт с нашим адресом прилагается.
Заполнив анкету, верните ее, пожалуйста, как можно скорее. При получении мы создадим вам новый секретный ID.
Спасибо за поддержку.
В качестве компенсации за причиненные неудобства мы вычтем 75% из вашего счета за август.
Имя. Адрес. Индекс. Рабочий телефон. Домашний телефон. Старый (непригодный) пароль. Новый (измененный) пароль. PinkyLink, самая большая информационная служба Америки, гарантирует, что вновь присланные личные данные будут введены не позднее 19-го сентября сего года. Конфиденциальность гарантируется до и после означенного срока. Просьба сохранить для себя копию или оригинал данного сообщения.
Представьте себе абстрактного пользователя, получающего по электронной почте такое вот послание. Выглядит послание настоящим, имеет logo и бланк соответствующей службы, пришло в запечатанном конверте. Но поверит ли пользователь, что послание сие ему действительно отправила служба PinkyLink? Складывается совершенно абсурдная ситуация! Любая настоящая компьютерная служба, у которой возникли проблемы с паролями, станет осуществлять обновление всех паролей в режиме онлайн. Ведь это самый простой и дешевый способ обновить сотни или даже тысячи файлов с пользовательской информацией. Тем не менее, глядя на письмо, получивший его пользователь осознает, что он сам не находится в непосредственной опасности, в отличие от тех несчастных, чьи пароли были украдены; ему не придется получать по электронной почте громадные счета за кого-то, кто нелегально подключится к его, пользователя, бюджету. А как насчет упомянутых в конце 75%? Узнав про них, пользователь ответит на письмо в два раза быстрее. Он почувствует себя обязанным не только вновь сделать свой бюджет безопасным, но и обязанным перед базой данных: если уж они так любезно предупреждают его об опасности, да еще и платят, надо же хоть чем-то их отблагодарить. А оплаченный конверт с обратным адресом! Конечно, PinkyLink, скорее всего, меняет пароли пользователей и в режиме онлайн, но упоминать об этом в письме вовсе необязательно. Помните, что в посланиях подобного рода стиль имеет большее значение, нежели содержание. Прежде чем отправлять подобное письмо, потрудитесь взглянуть на экземпляры настоящей корреспонденции PinkyLink, чтобы получить представление о том, какую бумагу, шрифт и т. д. лучше использовать. На эту удочку обычно попадается довольно много народа, особенно если ваши адресаты - абсолютные новички. Позднее мы еще поговорим о том, как можно с пользой понаблюдать за BBS.
Неприятности в раю
Ведя переговоры с крупной корпорацией, или заставляя людей посылать вам по электронной почте свои пароли, вы можете нарваться на крупные неприятности. Почтовое министерство расценивает подобную деятельность как почтовое мошенничество, даже если вы всего-навсего собирались пошутить. Я привел здесь эти идеи лишь для того, чтобы стимулировать ваше воображению, вовсе не собираясь провоцировать вас на незаконные действия.
При занятиях социальной инженерией существует множество причин, по которым ваш собеседник может отказаться снабдить вас секретными данными. Он может: быть предупрежден об утечках информации; знать о тактике социальной инженерии; не поверить, что вы тот, за кого себя выдаете; знать, что вы не тот, за кого себя выдаете; не иметь причин помогать вам, и дать вам неверную или вводяшую в заблуждение информацию; доложить о вас менеджеру по безопасности. По любой из перечисленных причин человек, у которого вы пытаетесь выудить данные, может не суметь или не захотеть сообщить вам пароли и другую нужную вам информацию. А вы сами, прочитав все вышесказанное, стали бы выбалтывать секретные сведения неизвестному по телефону? Вот в чем проблема. Каково же ее решение?
Обратная социология инженерия
Обратная социальная инженерия (или просто ОСИ, или даже ОИ) является довольно рискованным предприятием с переменной эффективностью и пригодностью в различных ситуациях. Впрочем, результаты, которые дает ОСИ, бывают настолько потрясающими, - а порой столь же забавными - что данный способ ярко выделяется среди остальных методов взлома зашиты систем. Дело в том, что, хотя социальная инженерия представляет собой признанный и проверенный метод получения нужной информации, она имеет свои недостатки. Не бывает совершенных систем, и список в конце предыдущей главы наглядно показывает, что социальная инженерия срабатывает не всегда. ОСИ по многим критериям предпочтительнее СИ. Впрочем, применять обратную СИ можно лишь в некоторых ситуациях, после длительной подготовки и предварительных исследований. Вдобавок, настоящая обратная инженерия может с успехом применяться только самыми хитроумными (и легкими на подъем) хакерами. Не думайте, что эта техника станет вашим основным методом сразу, как только вы начнете знакомиться с миром компьютерных правонарушений. Обратная СИ в своих наиболее совершенных проявлениях требует информации, которой вы пока не располагаете, и уловок, с которыми вы пока что не знакомы. Вот сравнительный список, показывающий некоторые "за" и "против" обоих методов.
Социальная инженерия: вы совершаете звонок, зависите от собеседника.
Обратная социальная инженерия: собеседник совершает звонок и находится в зависимости от вас.
Социальная инженерия: вы чувствуете себя в долгу перед ним, либо он может поверить в это и повести себя соответственно.
Обратная социальная инженерия: принимая вашу помошь и советы, он отблагодарит вас, если в будущем вам понадобится помошь.
Социальная инженерия: вы нуждаетесь в его помощи.
Другой способ заключается в постепенном замедлении времени ответа на каждую новую попытку входа. Начинающий хакер может обнаружить, что ответ от удаленного компьютера приходит к нему через тридцать секунд... затем через минуту... затем через две... Периоды ожидания начинают увеличиваться только после трех или четырех неудачных попыток входа. Компьютер говорит сам себе: "Черт возьми, ни один нормальный пользователь не смог бы ошибиться столько раз. Наверно, это хакер!"
Еще одна хитрость - ложное приглашение ко входу в систему. После определенного количества неудачных попыток входа система продолжает запрашивать входную информацию, но каждый раз возвращает сообщение об ошибке, независимо от того, верна данная информация, или нет.
Отсюда следует мораль: при написании программы для взлома паролей не забудьте о выводе результатов на экран по мере продвижения. Не следует запускать программу на всю ночь и ложиться спать, не убедившись сперва, что в данном случае не имеют места подобные меры безопасности. Ведь проснувшись утром, вы можете обнаружить, что время ответа компьютера на ваши попытки входа составляет сорок минут. Или же программа безуспешно переберет все возможные комбинации, отвечая на ложные приглашения.
СЕКРЕТАРЬ В ПРИЕМНОЙ: Так вы Чарльз Грин? Но в нашем компьютерном отделе нет никакого Грина.
ВАШ ОТВЕТ: Я работаю здесь всего несколько дней.
СЕКРЕТАРЬ: Интересно, почему же это я не видела вашей фотографии на доске объявлений о найме новых сотрудников?
ВАШ ОТВЕТ: Вы правы. Она... как ее там... еще не успела приклеить мою фотографию. Может быть, после обеда...
СЕКРЕТАРЬ: То есть как это - она? Этим всегда занимается Джек.
ВАШ ОТВЕТ: Ах да, правильно, Джек!
СЕКРЕТАРЬ: Я ничем не смогу вам помочь, пока вы не сообщите ваш идентификационный код сотрудника.
ВАШ ОТВЕТ: О, у меня его нет. Я здесь временно. Заменяю сотрудницу, ушедшую в декретный отпуск.
СЕКРЕТАРЬ: Просто прочтите код на вашем идентификационном значке.
ВАШ ОТВЕТ: У меня еще нет значка... тут произошла какая-то путаница, и супервизор сказал, что я, наверное, получу его завтра. Вы же знаете, у них там вечно какая-то ерунда происхо...
СЕКРЕТАРЬ: Кто ваш супервизор?
ВАШ ОТВЕТ: N. Вы знаете что-нибудь о нем (о ней)? (Если вы провели предварительные исследования, вы должны знать ответ на этот вопрос. Если ответа вы не знаете, а компания большая, вы можете выдумать общеупотребительное имя или прибегнуть к старой уловке: "Хм... Кажется, на Ш-Шиндлер? Шиффер?")
А вот другая ситуация:
СЕКРЕТАРЬ: Но у меня нет компьютера!
ВАШ ОТВЕТ: Простите, я, должно быть, ошибся. Могу я поговорить с N.? (N. - имя босса).
Если вам удастся незаметно собрать новости и слухи, циркулирующие в компании, используйте данную информацию в беседе, если, конечно, собеседник настроен дружелюбно. Это еще один способ завоевать доверие.
ВЫ: Кстати, вы не знаете, нет ли у N. сына в Лиге малышей? У моего сына есть друг по имени...
Но не забудьте - такие вопросы лучше задавать до того, как вы начнете расспрашивать о процедурах входа.
РАЗНООБРАЗНЫЕ советы по социальной ИНЖЕНЕРИИ
Вот еще несколько советов для обеспечения успешных занятий социальной инженерией.
Обращайте внимание на то, как собеседник реагирует на ваши вопросы. Если вы разговариваете с секретарем, или другим сотрудником, занимающим одну из нижних ступеней на лестнице зарплаты, он (или она) может не захотеть болтать с вами о компьютерах, если его (или ее) контролируют, либо если звонки прослушиваются боссом.
Зайдите в какое-либо доступное вам место с подключенными терминалами, и взгляните на стену, туда, где терминал подключается к телефонному щитку. Найдите на щитке четыре цифры и спишите их (это четыре последних цифры телефонной линии, к которой подключен терминал). Остальные три цифры можно узнать по соответствующему каталогу. Затем в течение нескольких дней набирайте этот номер по несколько раз в день, дабы убедиться, что линия всегда занята. При занятиях социальной инженерией такие "взятые напрокат" телефонные номера следует держать под рукой, чтобы давать тем людям, которые захотят вам перезвонить. Как правило, это операторы систем, которые подозревают в вас хакера и хотят убедиться, что вы без опаски можете дать им информацию о себе. Давать такие номера лучше, чем выдумывать, поскольку если телефон будет просто занят, это даст людям хоть какую-то уверенность в вашей честности. Уже одно то, что вы даете им свой номер, может рассеять их подозрения.
Когда человек дает вам свой пароль, ему надо мягко возразить: "А вы уверены, что вы действительно используете именно это?" У секретарей может быть два пароля: один - их собственный, который дает им доступ к групповому бюджету нижнего уровня, а другой - пароль более высокого уровня, принадлежащий боссу (секретарь знает этот пароль, так как секретари действительно знают об организации все). Разоблачающим тоном расспрашивая кого-либо о сообщенном вам пароле, вы можете заставить человека пойти на попятную, если он решил дать вам неверный пароль, и таким образом от вас отделаться. У него создастся впечатление, что вы и так знаете верный пароль, и хотите уличить его во лжи. Если при упоминании пароля более высокого уровня собеседник приходит в замешательство, скажите: "Неужели вам до сих пор не повысили уровень доступа? Только что куплена новая система, которая может работать в пятьдесят раз быстрее. Все ее так хвалят...". Затем быстро перемените тему разговора.
Прежде чем сделать звонок, обзаведитесь соответствующей звуковой дорожкой, которая будет звучать на заднем плане. Перед этим наведайтесь в компанию и запишите их обычный рабочий звуковой фон. Дайте прослушать пленку по телефону своему другу, и сами тоже прослушайте ее по телефону, чтобы определить нужную громкость звучания. Но помните, что если вы решили сыграть "нового пользователя, пришедшего на работу раньше всех", пленка с записью болтовни и печатающего принтера вам не пригодится!
Беседуя с людьми, даже по телефону, старайтесь все время улыбаться; ведите разговор дружелюбно и непринужденно. Если собеседник снимает трубку со словами вроде: "Здравствуйте, это корпорация ..., Лу-лу у телефона", скажите: "Привет, Лулу! Это...", и начинайте вашу проникновенную речь. Теперь Лулу будет тщетно вспоминать, не встречались ли вы раньше, и, если вы продолжите беседу с ней в том же духе, она потихоньку начнет воспринимать вас как друга.
Можно почерпнуть какие-то идеи из пособий по подражению голосам. Линия, по которой поступил ваш звонок, тоже может повлиять на ваш успех. Во многих компаниях телефон сортирует звонки на внешние и внутренние. Если вы притворяетесь, будто звоните по внутренней линии, ваш звонок должен отразить это. Позвоните в другой отдел той же компании, скажите им, что ошиблись номером, и попросите соединить вас с нужным вам отделом. Например:
СОБЕСЕДНИК: Отдел рекламы. Чем могу быть полезен?
ВЫ: Извините, я, кажется, неверно набрал номер. Не могли бы вы соединить меня с 4358?
Теперь ваш звонок автоматически становится внутренним, а у вас появляется какой-никакой авторитет (а может быть, на телефоне даже зажигается специальный внутренний сигнал). Еще один способ смоделировать внутренний телефонный звонок - набрать не тот номер, что указан в каталоге, а другой, отличающийся от указанного на одну цифру. Почти любая организация с собственной телефонной линией обычно располагает блоком телефонных номеров. Так, если в каталоге указан номер 123-4567, попытайтесь набрать 123-4568, и т. д. Такие звонки, если они проходят, могут создать впечатление, что звонит кто-то из своих - посторонний набрал бы номер из каталога.
Следует учесть, что, если вы пытаетесь добраться до одного из начальников корпорации, вы можете так и не пройти дальше его секретарей и других подчиненных. Неплохо бывает позвонить в офис того же или более высокого уровня, что избранный вами, и попросить секретаря соединить вас с искомым. К примеру, я собираюсь опробовать свои методы социальной инженерии на мистере Палука - менеджере среднего уровня, занимающегося обувным отделом. Но мне никак не удается поговорить с ним лично. Тогда я звоню мистеру Колту, менеджеру того же или более высокого уровня, и прошу его секретаря соединить меня с мистером Колтом лично. Секретарь спрашивает, по какому поводу я хотел бы поговорить с Колтом, и я отвечаю: "Обувь!" Но мистер Колт занимается не обувью, а резинками для трусов. Поэтому секретарь отвечает: "Об этом вам следует поговорить с мистером Палука; соединить вас с ним?" И она передаст ваш звонок секретарю мистера Палука, которому вы скажете: "Здравствуйте. Это такой-то. В офисе мистера Колта посоветовали мне поговорить с мистером Палука насчет обуви." Это уже рекомендация, исходящая от другого сотрудника компании. Теперь вам станет проще добраться до мистера Палука.
Другие Роли
Основной частью социальной инженерии является получение групповых или личных паролей путем разыгрывания роли по придуманному вами сценарию в надежде на то, что ваш собеседник подыграет вам. Но целью социальной инженерии необязательно являются пароли, и переговоры могут вестись не по телефону, а лично, либо по электронной почте. Личные переговоры требуют сильных нервов и незаурядного актерского мастерства, электронная почта больше подходит для тех, кто испытывает трудности с СИ (социальной инженерией) по телефону.
Непосредственная инженерия
Любое исполнение какой-либо роли является формой социальной инженерии. Это может быть перевоплощение во вполне конкретную личность (например, президента компании, который желает знать, почему не работает его пароль), или же абстрактную (техник имярек, который звонит, чтобы узнать, не возникло ли каких-нибудь проблем с компьютерами). При этом, как правило, используется телефон - во-первых, потому, что он дает возможность хакеру вести переговоры с удаленными пунктами, не выходя из дома, а во-вторых, телефон создает защитный барьер между хакером и его собеседником. Если беседа идет не так, как планировалось, можно повесить трубку; но если вы теряете контроль над разговором, который ведете лицом к лицу, вам нелегко будет выпутаться из этой ситуации.
Для практических занятий непосредственной социальной инженерией (т. е. лицом к лицу) существует одно неплохое правило: всегда надевать приличный костюм, который хорошо на вас смотрится. Вы должны выглядеть так, словно только что вышли из модного ателье. На худой конец, наденьте рубашку и галстук. Для женщин подойдет любая одежда в деловом стиле.
Многие методы СИ, которые срабатывают по телефону, не годятся для личной беседы. Вы не сможете притвориться, что звоните из офиса, сидя рядом с компьютером. Поэтому информация, полученная таким образом, будет минимальной, либо малоценной. Возможно, у вас появится больше вспомогательных сведений, чем необходимой на данный момент информации. Делая вид, что ищете работу в фирме, совершая экскурсию, или даже просто проникая в здание и бродя по нему в одиночестве, можно получить много полезной информации о взаимоотношениях сотрудников. Чтобы проникнуть в компанию, хакеры также часто притворяются ремонтниками, малярами и другими рабочими. Сыграть роль охранника-тоже неплохая выдумка. Прототипом непосредственного "социального инженера" можно взять социолога, который делает опрос. Вы стоите у входа в здание с ручкой и анкетой, и просите проходящих мимо людей заполнить для вас одну ячейку. "Социолога" интересуют имена сотрудников, их жен и мужей, их хобби, домашние животные и их клички, и тому подобная информация. Придя домой, попробуйте ввести всю эту информацию в качестве паролей. Вы можете возразить, что за заполнение анкеты полагается какой-нибудь приз. Что ж, анкеты могут, к примеру, разыгрываться в лотерее, а выигравшие получат билеты на какое-нибудь местное шоу или бесплатный визит в близлежащий ресторан. (Примечание: не приставайте к людям с анкетами по утрам, когда они спешат на работу).
Заниматься социальной инженерией можно по электронной почте или с помощью других видов контакта с пользователями. Например, если вам не хочется целый день торчать с авторучкой у входа в здание, вы можете просто оставить бланки анкет рядом с письменным ящиком или указать на них адрес электронной почты, по которому их следует переслать. Но много ответов не ждите.
Другие уловки эпистолярной инженерии принимают вид рекламы. Наклейте в компьютерном зале объявление о найме добровольцев для работы над специальным проектом. "Требуются системные менеджеры с опытом работы!" Попросите желающих заполнить почтовые карточки с именем, адресом, желательным паролем, и, возможно, типом компьютера, с которым клиент предпочитает иметь дело. Создавая такую рекламу, вам захочется сказать себе "Т-с-с-с! Это слишком явная ложь!". Но вы не поверите, сколько людей попадается на эту удочку. Напишите, чтобы они посылали свои почтовые карточки по адресу вроде: "Университет X, отдел компьютерной техники, кабинет Роджера Хэмма", далее укажите свой адрес. Но если вы живете в тридцати милях от настоящего университета - забудьте об этом.
Однажды двое манхэттенских хакеров заметили, что в одном из журналов после рекламы популярной информационной системы с данными об играх осталось свободное место. Они набрали в библиотеках как можно больше журналов с этой рекламой и вставили в пустой промежуток, напечатав на принтере, следующее сообщение: "Региональные резиденты Манхэттена! Звоните (телефонный номер). Свободное членство в течение шести месяцев!" Затем журналы были возвращены в библиотеку. Когда люди звонили по указанному номеру, им включали следующую запись: "Добро пожаловать в программу свободного шестимесячного участия в сети X! Послушайте, какие потрясающие веши можно проделывать в нашей сети!.." После этого один из хакеров задавал звонившему несколько вопросов: "Где вы услышали о нашей программе?", "Не присоединялись ли вы ранее к сети X?", "Какими еще платными BBS или компьютерными сетями вы пользуетесь?", "Под каким именем вы хотели бы входить в сеть X?", "А каков будет ваш секретный пароль?", "А вы уверены, что сможете запомнить такой пароль? Может быть, выберете другой?". Действуя по этой схеме, они получили десяток имен для входа в компьютеры, и парочку паролей. Если вы живете в небольшом городке, такого улова у вас не наберется, но попробовать все равно стоит.
Можно также вклеить напечатанную карточку с рекламой прямо в журнал или поместить рекламу на BBS. Подобная же уловка заключается в распространении вашего номера в качестве локального переключателя звонков. Это может весьма пригодиться, если в ваших краях пока отсутствует связь Telenet или Tymnet. При загрузке пользователи увидят обычный открывающийся экран, хотя на самом деле это будет ваша модель программы. Занимаясь хакерством, вы, видимо, узнали адреса различных сетей, и сможете программно смоделировать любой подходящий входной экран. В противном случае отвечайте сообщениями вроде: "Линия занята" либо "Не удается установить связь". В этой ситуации важным бывает правильно установить таймерные задержки, соответствующие обычным задержкам в сети.
После "соединения" с компьютером или сетью моделирующая программа продолжает работать: она запрашивает у пользователя имя и пароль, а затем "вылетает" из-за помех на линии или какой-либо другой неприятности. Если пользователь пытается тут же вызвать ее снова, можно сделать для него сообщение, что, дескать, пути передачи данных подвергаются перепроверке, или любую подобную чепуху.
Требование информации
А теперь давайте вернемся к чистой социальной инженерии, проводимой по электронной почте... Не ленитесь просматривать все компьютерные газеты и журналы, даже самые никудышные, в поисках информации о недостатках программных продуктов и лазеек в их безопасности. Журналистский кодекс чести вообще-то запрещает публикацию опасных секретов, так что точного описания ошибок в обеспечении безопасности систем вы не найдете. Вам будут попадаться заметки типа: "Вчера были пойманы четыре хакера, нашедшие лазейку в программе Х на машине Y военной базы Z". Или: "Компания Y опубликовала предупреждение о недостатках выпушенного ею элемента Z, который создавался для зашиты системы от проникновения в нее нелегальных пользователей..." Вы можете сделать следующее: отпечатайте некое псевдоофициальное заявление и отправьте его по электронной почте той самой компании, а ответ не заставит себя ждать. Содержание может быть приблизительно таким:
Уважаемый м-р Абель Джонс! До меня дошли сведения о серьезных недостатках вашей продукции, а именно элемента Z. Я веду свои дела, полагаясь на то, что наши данные находятся в полной безопасности благодаря элементу Z.
Увидев, как мы обманывались в течение шести лет, я хотел бы получить от вас следующее: подробное описание изъянов, делающих ненадежным использование элемента Z, либо компенсацию за шестилетнюю эксплуатацию двенадцати непригодных элементов Z, что составит 14 000 $.
Жду вашего скорейшего ответа.
Заявление может также быть выполнено в духе "давайте поработаем вместе, чтобы улучшить этот мир":
Уважаемый м-р Абель Джонс!
Я был весьма огорчен, увидев в номере "Computer Magazine" за пятницу информацию о дефектах, обнаруженных в вашем элементе Z.
На моем предприятии используется двенадцать таких устройств, и мне бы очень не хотелось потерять наши данные из-за их непригодности. Пожалуйста, вышлите в заклеенном конверте объяснение данной проблемы, чтобы мои техники могли устранить неполадки как можно скорее. Спасибо за помошь.
Искренне ваш...
Одно из этих посланий написано угрожающим тоном, другое - нет. С одной стороны, вам не хочется, чтобы ваше письмо посчитали липовым. С другой данная компания наверняка получит множество писем подобного содержания, большинство которых будут отнюдь не подделками. Чтобы у вас не возникло проблем, напечатайте письмо на качественной бумаге, с настоящим или выдуманным бланком наверху.
Для пущего эффекта напечатайте адрес на конверте, а вместо того, чтобы наклеивать марку, пропустите конверт через почтовый счетчик. Можно дополнительно вложить визитку собственного сочинения - их можно недорого заказать. Если компания отказывается помогать вам без подтверждения сделанной у них покупки, - что ж, вы ничего не теряете. Вы всегда можете попытаться подвергнуть социальной инженерии техников данной компании, дабы выведать у них секреты безопасности. Вдобавок существует много ассоциаций и организаций по компьютерной безопасности, которым известны подробности допущенных ошибок. Можно попытаться узнать детали, написав в тот журнал, который напечатал статью об "элементе Z". Постарайтесь встретиться с автором этой статьи. Журналистов и газетчиков обычно на удивление просто поймать по телефону, но заполучить их для разговора - это другое дело!
Послание свыше
Уважаемый пользователь! Я вынужден сообщить вам неприятную новость. Являясь директором PinkyLink, самой крупной информационной службы Америки, работающей в режиме онлайн, я был шокирован, узнав о том, что шестого июля сего года имело место незаконное хищение нескольких файлов с именами пользователей. После нелегального копирования оригиналы были уничтожены. Одна из записей содержала, помимо всего прочего, закрытые личные данные небольшого количества наших клиентов. Хотя, к счастью, вашего имени не оказалось на похищенных файлах, все же определенная опасность для вас существует. На данный момент мы не можем сказать, содержались ли в похищенных файлах данные о каких-либо пользователях с программистским уровнем доступа, или нет. Таким образом, мы предлагаем вам заполнить приложенную анкету и незамедлительно выслать обратно по почте конверте. Мы берем на себя все ваши почтовые издержки. Оплаченный конверт с нашим адресом прилагается.
Заполнив анкету, верните ее, пожалуйста, как можно скорее. При получении мы создадим вам новый секретный ID.
Спасибо за поддержку.
В качестве компенсации за причиненные неудобства мы вычтем 75% из вашего счета за август.
Имя. Адрес. Индекс. Рабочий телефон. Домашний телефон. Старый (непригодный) пароль. Новый (измененный) пароль. PinkyLink, самая большая информационная служба Америки, гарантирует, что вновь присланные личные данные будут введены не позднее 19-го сентября сего года. Конфиденциальность гарантируется до и после означенного срока. Просьба сохранить для себя копию или оригинал данного сообщения.
Представьте себе абстрактного пользователя, получающего по электронной почте такое вот послание. Выглядит послание настоящим, имеет logo и бланк соответствующей службы, пришло в запечатанном конверте. Но поверит ли пользователь, что послание сие ему действительно отправила служба PinkyLink? Складывается совершенно абсурдная ситуация! Любая настоящая компьютерная служба, у которой возникли проблемы с паролями, станет осуществлять обновление всех паролей в режиме онлайн. Ведь это самый простой и дешевый способ обновить сотни или даже тысячи файлов с пользовательской информацией. Тем не менее, глядя на письмо, получивший его пользователь осознает, что он сам не находится в непосредственной опасности, в отличие от тех несчастных, чьи пароли были украдены; ему не придется получать по электронной почте громадные счета за кого-то, кто нелегально подключится к его, пользователя, бюджету. А как насчет упомянутых в конце 75%? Узнав про них, пользователь ответит на письмо в два раза быстрее. Он почувствует себя обязанным не только вновь сделать свой бюджет безопасным, но и обязанным перед базой данных: если уж они так любезно предупреждают его об опасности, да еще и платят, надо же хоть чем-то их отблагодарить. А оплаченный конверт с обратным адресом! Конечно, PinkyLink, скорее всего, меняет пароли пользователей и в режиме онлайн, но упоминать об этом в письме вовсе необязательно. Помните, что в посланиях подобного рода стиль имеет большее значение, нежели содержание. Прежде чем отправлять подобное письмо, потрудитесь взглянуть на экземпляры настоящей корреспонденции PinkyLink, чтобы получить представление о том, какую бумагу, шрифт и т. д. лучше использовать. На эту удочку обычно попадается довольно много народа, особенно если ваши адресаты - абсолютные новички. Позднее мы еще поговорим о том, как можно с пользой понаблюдать за BBS.
Неприятности в раю
Ведя переговоры с крупной корпорацией, или заставляя людей посылать вам по электронной почте свои пароли, вы можете нарваться на крупные неприятности. Почтовое министерство расценивает подобную деятельность как почтовое мошенничество, даже если вы всего-навсего собирались пошутить. Я привел здесь эти идеи лишь для того, чтобы стимулировать ваше воображению, вовсе не собираясь провоцировать вас на незаконные действия.
При занятиях социальной инженерией существует множество причин, по которым ваш собеседник может отказаться снабдить вас секретными данными. Он может: быть предупрежден об утечках информации; знать о тактике социальной инженерии; не поверить, что вы тот, за кого себя выдаете; знать, что вы не тот, за кого себя выдаете; не иметь причин помогать вам, и дать вам неверную или вводяшую в заблуждение информацию; доложить о вас менеджеру по безопасности. По любой из перечисленных причин человек, у которого вы пытаетесь выудить данные, может не суметь или не захотеть сообщить вам пароли и другую нужную вам информацию. А вы сами, прочитав все вышесказанное, стали бы выбалтывать секретные сведения неизвестному по телефону? Вот в чем проблема. Каково же ее решение?
Обратная социология инженерия
Обратная социальная инженерия (или просто ОСИ, или даже ОИ) является довольно рискованным предприятием с переменной эффективностью и пригодностью в различных ситуациях. Впрочем, результаты, которые дает ОСИ, бывают настолько потрясающими, - а порой столь же забавными - что данный способ ярко выделяется среди остальных методов взлома зашиты систем. Дело в том, что, хотя социальная инженерия представляет собой признанный и проверенный метод получения нужной информации, она имеет свои недостатки. Не бывает совершенных систем, и список в конце предыдущей главы наглядно показывает, что социальная инженерия срабатывает не всегда. ОСИ по многим критериям предпочтительнее СИ. Впрочем, применять обратную СИ можно лишь в некоторых ситуациях, после длительной подготовки и предварительных исследований. Вдобавок, настоящая обратная инженерия может с успехом применяться только самыми хитроумными (и легкими на подъем) хакерами. Не думайте, что эта техника станет вашим основным методом сразу, как только вы начнете знакомиться с миром компьютерных правонарушений. Обратная СИ в своих наиболее совершенных проявлениях требует информации, которой вы пока не располагаете, и уловок, с которыми вы пока что не знакомы. Вот сравнительный список, показывающий некоторые "за" и "против" обоих методов.
Социальная инженерия: вы совершаете звонок, зависите от собеседника.
Обратная социальная инженерия: собеседник совершает звонок и находится в зависимости от вас.
Социальная инженерия: вы чувствуете себя в долгу перед ним, либо он может поверить в это и повести себя соответственно.
Обратная социальная инженерия: принимая вашу помошь и советы, он отблагодарит вас, если в будущем вам понадобится помошь.
Социальная инженерия: вы нуждаетесь в его помощи.
Другой способ заключается в постепенном замедлении времени ответа на каждую новую попытку входа. Начинающий хакер может обнаружить, что ответ от удаленного компьютера приходит к нему через тридцать секунд... затем через минуту... затем через две... Периоды ожидания начинают увеличиваться только после трех или четырех неудачных попыток входа. Компьютер говорит сам себе: "Черт возьми, ни один нормальный пользователь не смог бы ошибиться столько раз. Наверно, это хакер!"
Еще одна хитрость - ложное приглашение ко входу в систему. После определенного количества неудачных попыток входа система продолжает запрашивать входную информацию, но каждый раз возвращает сообщение об ошибке, независимо от того, верна данная информация, или нет.
Отсюда следует мораль: при написании программы для взлома паролей не забудьте о выводе результатов на экран по мере продвижения. Не следует запускать программу на всю ночь и ложиться спать, не убедившись сперва, что в данном случае не имеют места подобные меры безопасности. Ведь проснувшись утром, вы можете обнаружить, что время ответа компьютера на ваши попытки входа составляет сорок минут. Или же программа безуспешно переберет все возможные комбинации, отвечая на ложные приглашения.