2014-02-09
458
Заключение
Автоматизированные и автоматические системы технологического управления прочно интегрированы в наш социум. Их функционирование может затрагивать не только интересы отдельных промышленных компаний – эксплуатантов подобных систем, но иногда – всех и каждого. Вероятность атаки на подобные системы ниже, чем на многие другие, но ответственность, связанная с их защитой, в некоторых случаях несоизмеримо выше. Это в полной мере относится к значимым и опасным областям промышленности и жизнеобеспечения городов.
Для более подробного ознакомления с описанными атаками приведем пример, в котором использовалось около семи локальных атак.
Одним из известных опубликованных в печати случаев применения социальной инженерии является рассказ Иры Винклер, директора по технологиям Национальной ассоциации компьютерной безопасности, о ее участии в тестовом проникновении в компанию с условным названием Zed Technologies. Данный случай интересен не столько сам по себе, сколько тем, что в нем описан целый спектр методов, которые может применить злоумышленник с целью овладения конфиденциальной информацией.
|
|
|
Для реализации своего плана Ира использовала пять видов атак: анализ открытых источников, выдача себя за другого сотрудника, использование авторизованного доступа для злоупотреблений, хакерские действия на информационные системы из локальной сети организации и из внешнего информационного пространства. Мы рассмотрим лишь те, которые относятся к социальной инженерии. Из архивов новостей она выяснила наиболее перспективные направления исследований в компании, финансовые затраты на проекты компании и объем потенциальных продаж. Узнала имя руководителя исследовательской группы, работающей над проектом, и получила краткую информацию о выпускаемых компанией продуктах и сотрудниках. участвовавших в их разработке. Из других открытых источников она установила имена руководителей подразделений компании, финансовое состояние компании и разнообразную общую информацию о компании и ее политике, организации работы сотрудников. Поиск в Интернет - конференциях названия компании выявил имена ряда служащих компании. Письма служащих в группы новостей компьютерной тематики рассказали ей об оборудовании и программных средах, использующихся в компании. Письма в нетехнические группы помогли выявить области интересов служащих, посылавших эти сообщения. Газета, выпускаемая компанией, описывала шесть главных проектов и приводила имена большого числа сотрудников, работающих над этими проектами.
Далее, Ира оформилась на работу в Zed Technologies как временный специалист по контракту. Она не указывает, как это было сделано, но по ее дальнейшему рассказу, она могла поступить туда даже уборщицей. Перед прибытием на рабочее место она менее чем за день, используя реальную бизнес-карту как образец, сделала в местном магазине бизнес – карту, которая выглядела точно так же, как сделанная в Zed Technologies. В ней было указано имя Иры и должность - администратор информационной безопасности.
|
|
|
На работе, встретившись с одним из известных ключевых работников, она заявила, что недавно ее приняли на работу администратором по информационной безопасности, дала ему свою бизнес-карту и сказала, что ей поставлена задача защиты информации компании. Ира попросила его детально описать, какая информация является критической, и какие люди имеют к ней доступ, спросила, есть ли источник, из которого можно взять полную информацию о технологии производства. В ответ он показал копии заметок с рабочих совещаний группы и список рассылки, члены которой получают эти заметки. По просьбе Иры он не только дал ей копии всех заметок из книги, но даже добавил Иру в список рассылки.
В беседе с другим работником они обсудили сделанные его отделом документы, и Ира узнала о типах документов, местах хранения файлов в сети, группе ответственных за архивацию файлов и имя человека, ответственного за их хранение. Этот сотрудник даже упомянул один документ, содержащий спецификацию технологии продукта. В записках рассылки Ира обнаружила сообщение, в котором указывалось местоположение черновиков документов, переданных правительству. В следующем предложении автор сообщения давал пароль для доступа к этому документу, в той же директории находились аналогичные документы о двух других приоритетных проектах компании. Ира использовала несколько типовых комбинаций в качестве пароля и одна из них оказалась правильной, она получила доступ к файлам. Как оказалось, каждый коммерческий менеджер отвечает за ряд проектов, поэтому файлы одного из менеджеров, содержали информацию о большом числе проектов.
Затем Ира узнала о том, что Zed Technologies использует смарт-карты для аутентификации доступа из внешнего информационного пространства. Она получила копию формы, используемой для заявки на получение смарт-карты, подделала подпись администратора информационной безопасности на ней и передала секретарю на утверждение.
Далее Ира попыталась задержаться на работе допоздна. Несколько уборщиков ходили по зданию, когда она начала искать незапертые шкафы, комнаты и ящики на столах и осматривать компьютеры, которые не были защищены с помощью устройств блокировки рабочих станций, требуемых согласно руководящим документам компании. Было невозможно избежать встреч с уборщиками, поэтому она не скрывала своего присутствия.
Она обнаружила два компьютера, оставленных без блокировки консоли. Два монитора были выключены, она просто включила один и обнаружила, что сотрудник все еще работает в программе электронной почты. При этом он сохранял старые письма. Просмотрев их, Ира нашла сообщение, содержащее основной график разработки, один из самых критических документов компании.
В своей работе Ира использовала ряд дополнительных технических средств типа автоматических анализаторов уязвимостей, таким образом она смогла похитить практически всю наиболее важную конфиденциальную информацию компании. По ее оценке причина этого в том, что компания сосредоточилась на защите от внешних атак. Как только атакующий получал статус сотрудника организации, меры защиты становились бесполезными, и информация подвергалась риску.
При этом следует учесть, что предварительно с ней было согласовано, что она не будет наносить вреда компании и сотрудникам. Если предположить, что в арсенале злоумышленника будут такие средства, как активное вмешательство в работу оборудования компании, установка подслушивающих устройств, запугивание, шантаж или физическое воздействие на сотрудников, то результат может быть достигнут даже при более серьезном подходе к безопасности для внутренних работников.
