Фишинг не сработает, если сотрудник не сможет предоставить свои учетные данные для авторизации. Простые логины с паролями уходят в прошлое с распространением двухфакторной аутентификации (2FA), цифровых сертификатов, устройств авторизации, аутентификации по внешнему каналу и других методов входа в систему, которые не подвержены фишингу.
Технологии против социальной инженерии
Большинство решений для защиты от вредоносных программ, веб-фильтров и антиспам-модулей пытаются свести к минимуму риск атаки компьютеров путем социальной инженерии. Антивирусное ПО предупреждает запуск вредоносных файлов. Веб-фильтр может определить вредоносные сайты и заблокировать их, если браузер посетителя пытается загрузить фишинговую страницу. А решения по борьбе со спамом по электронной почте отфильтровывают сообщения социальной инженерии. Однако технология никогда не будет эффективной на 100 %, поэтому обучение конечных пользователей и другие методы должны использоваться совместно.
Социальная инженерия – очень успешный метод взлома. Некоторые специалисты по ИБ скажут, что вы никогда не проведете обучение так, чтобы все сотрудники смогли ей противостоять. Они ошибаются. Сочетание полноценного обучения и правильных технологий может значительно снизить риск ущерба от методов социальной инженерии.
В следующей главе вы узнаете о специалисте по социальной инженерии Кевине Митнике. Его опыт в качестве хакера помог ему эффективно защищать своих клиентов на протяжении десятилетий.
5. Профиль: Кевин Митник
При разговоре о компьютерных хакерах большинство людей вспоминает Кевина Митника. В 1970-е, 1980-е и 1990-е годы он был тем самым хакером. Сочетая методы социальной инженерии с низкоуровневым анализом операционных систем, Митник проворачивал всевозможные возмутительные трюки, хотя причиненный им вред вряд ли может сравниться с масштабом ущерба, наносимого современными APT-атаками и программами-вымогателями.
Он и его «подвиги» были описаны в нескольких книгах, показаны в кино и даже породили своеобразную субкультуру приписывания ему всевозможных эксцентричных хакерских выходок, которых он никогда не совершал. Власти настолько боялись того, что одно слово Митника способно запустить ядерную ракету, что он стал единственным заключенным в США, которому пришлось отбывать наказание в одиночной камере без права доступа к телефону. Если вы когда-либо видели фильм, где главный герой говорит по телефону всего одно слово, которое запускает цепь ужасных киберсобытий, знайте, что эта сцена порождена паранойей, вызванной страхом перед Митником.
Я поместил историю о Кевине в начало этой книги, потому что после совершения множества киберпроступков он посвятил свою жизнь борьбе с компьютерными преступлениями и стал одним из немногих исправившихся «черных шляп», которым я полностью доверяю. Митник написал несколько книг по информационной безопасности (https://www.amazon.com/Kevin-D-Mitnick/e/B001IO9WEW), работает с разными компаниями (в том числе с KnowBe4), управляет собственной консалтинговой фирмой (Mitnick Security Consulting) и стал самым востребованным из известных мне лекторов в сфере ИБ. Он также принимал участие в программе The Colbert Report и даже появлялся в телевизионном шоу Alias. Благодаря Митнику была осознана роль методов социальной инженерии в хакинге и важность защиты от них. В конце концов, если вы хотите остановить преступника, вам не помешает поучиться у того, кто когда-то им был.
Когда я спросил Митника о том, что вызвало у него интерес к хакерству, он сказал: «В детстве я любил магию. Один парень из моей школы показал мне разные трюки с телефоном, в частности, научил тому, как бесплатно звонить по межгороду, как узнать чей-то адрес при помощи одного лишь номера телефона, как переадресовывать звонки и т. д. Он заходил в телефонную будку, набирал номер [телефонной компании], представлялся кем-то другим – и происходило чудо. Тогда я впервые узнал о социальной инженерии, которая показалась мне настоящим волшебством. Я не знал, как это называется. Я знал лишь то, что это весело и интересно, и это захватывало меня все сильнее. Я тратил на это все свое время. Мне наскучила школа, и поскольку по ночам, вместо того чтобы спать, я занимался фрикингом, моя успеваемость начала стремительно ухудшаться».
Я спросил, что думали родители о его хакерских «подвигах». Он ответил: «Ну, поначалу они ничего не знали. Может быть, просто думали, что я вытворяю с телефоном что-то сомнительное. Но моя мать, должно быть, считала, что самое страшное, что можно сделать с телефоном, – это кого-нибудь разозлить. Однако они понятия не имели, чем именно я занимаюсь, пока мама не получила официальное письмо из компании AT&T, уведомляющее об отключении телефонной связи. Она была очень расстроена. Как вы понимаете, это было задолго до появления сотовых телефонов. Домашний стационарный телефон был единственным средством связи. Я попросил ее успокоиться и пообещал все исправить.
С помощью все той же социальной инженерии я восстановил дома телефонную связь. Мы жили в доме № 13. Я позвонил в отдел продаж телефонной компании, представившись жителем дома № 13 “Б”. После трехдневного ожидания, необходимого для регистрации нового адреса в системе, я позвонил в отдел технического обслуживания и попросил установить новый телефон в этом доме. Я даже сходил в магазин и купил там букву Б, чтобы повесить ее на дверь. В ходе телефонного разговора я выдал себя за нового клиента по имени Джим Бонд из Англии. Я сообщил настоящий номер телефона в Англии, который нашел вместе с другой личной информацией, потому что знал, что они не смогут проверить сведения об иностранце. Затем спросил, могу ли я выбрать “красивый номер”, мне дали добро, и я выбрал номер телефона, заканчивающийся на 007. В конце разговора я спросил, можно ли мне использовать сокращение Джим, или им необходимо мое полное имя. Они попросили назвать полное имя, и я сказал, что меня зовут Джеймс. Итак, я был зарегистрирован в AT&T как Джеймс Бонд с номером телефона, заканчивающимся на 007, а у моей матери снова появилась телефонная связь. Представители компании AT&T были в бешенстве, когда моя схема была раскрыта».
В тот момент я понял, что за все интервью он ни разу не упомянул о взломе компьютерных систем. Он говорил только о злоупотреблении телефоном. Я спросил, что подвигло его заняться взломом компьютеров. Он ответил: «Один парень из моей школы узнал, что я занимаюсь телефонным фрикингом, и подумал, что меня заинтересует новый школьный факультатив с углубленным изучением компьютерных наук. Сначала я сказал, что это не мое, но он возразил: “Знаешь, я слышал, телефонные компании начинают использовать компьютеры”. Мне этого было достаточно. Я должен был разобраться в этой теме.
Пришлось пойти к преподавателю, мистеру Крису, и спросить его, могу ли я записаться на факультатив, потому что у меня не было необходимой подготовки (которая тогда предполагала углубленное изучение математики и физики). Кроме того, моя успеваемость ухудшилась из-за постоянного недосыпа. Мистер Крис не хотел меня принимать; тогда я продемонстрировал ему свои навыки фрикинга, назвав его телефонный номер, который не был указан в справочнике, а также номера его детей. Он сказал: “Это волшебство!” и принял меня в группу.
Нашей первой задачей было написание программы на языке Fortran для вычисления последовательности Фибоначчи, которая показалась мне слишком скучной. Я пошел в местный университет в Нортридже и попытался получить доступ к компьютеру. Там использовались те же компьютеры и операционная система, но мне не разрешали проводить за ними более пяти минут. Я попросил руководителя компьютерной лаборатории дать мне больше времени. Он сказал, что я не студент колледжа и вообще не должен там находиться, однако он видел мою заинтересованность в компьютерах, и, чтобы поощрить ее, дал мне для практики логин и пароль своей личной учетной записи. Представляете? Вот так в те дни обращались с компьютерами.
В итоге я узнал о низкоуровневых вызовах операционной системы. На школьном факультативе мы это не изучали. В школе мы все использовали один модем, подключенный к телефонной трубке и акустическому соединителю. Он работал постоянно, и все по очереди вводили свои логины и пароли для получения доступа к терминалу и модему. Я написал низкоуровневую программу, которая оставалась активной в фоновом режиме и записывала все нажатия клавиш.
Настал день, когда ученики мистера Криса должны были показать ему, сколько чисел Фибоначчи вычислили их программы; у меня не было ничего. Мистер Крис отчитал меня перед классом, напомнив о том, как он, на свой страх и риск, разрешил мне посещать занятия, а теперь я даже ничего не могу ему показать. Все присутствующие смотрели на меня. И тогда я сказал: “Вообще-то, я был слишком занят написанием программы для взлома паролей. Ваш пароль – johnco”. Он спросил: “Как ты это сделал?” Я объяснил ему, и он поздравил меня, объявив всему классу о том, что я компьютерный гений. Он совсем не рассердился. Возможно, это был очень плохой урок для меня с точки зрения этики».
Я спросил Митника, что, по его мнению, стоит делать родителям, если они заметили признаки того, что их ребенок занимается вредоносным хакерством. Вот что он посоветовал: «Покажите им законные способы занятия хакерством. Направьте интерес на такие законные и этичные занятия, как посещение конференций по информационной безопасности и участие в конкурсах типа “захват флага”. Родителю стоит бросить ребенку вызов, сказав что-то вроде: “Итак, ты думаешь, что достаточно хорош, чтобы победить в соревновании по захвату флага?” Таким образом родитель применит к ребенку метод социальной инженерии, а тот получит удовольствие от хакерства, не нарушая при этом закон. Например, сегодня я легально взломал корпоративную сеть, и это показалось мне не менее захватывающим, чем те неэтичные и противозаконные вещи, которыми я когда-то занимался. Хотел бы я, чтобы в мое время существовали те законные способы взлома, которые есть сейчас. Жаль, что я не могу вернуться и все исправить. Знаете, чем отличается незаконный взлом от законного? Написанием отчета!»