Забезпечити
комп’ютерну безпеку трудно (скоріш за все, неможливо),
але уявіть собі на хвилину, що нам це вдалось. Де необхідно, застосовується
потужна криптографія, протоколи безпеки бездоганно виконують свою роботу. В
нашому розпорядженні є як надійне обладнання, так і надійне програмне
забезпечення. Навіть мережа, в якій ми працюємо, безпечна. Чудово!
На
жаль, цього недостатньо. Зробити щось корисне ця вся система може лише при участі
користувачів. І ця взаємодія людини з комп’ютером таїть в собі найбільшу
загрозу зі всіх існуючих. Люди часто виявляються найслабшою ланкою в системі
заходів безпеки, і саме люди постійно являються причиною неефективності
останніх.
Брюс Шнайєр «Таємниці і обман. Безпека даних в
цифровому світі».
Людський фактор ще ніхто не
відміняв. Всупереч технологіям, які постійно розвиваються і йдуть вперед,
людська психологія, в загальному, залишається незмінною, а якщо і змінюється,
то в гіршу сторону. Саме із-за людського фактору стались трагедії із
«Титаніком» та Чорнобильською АЕС. Не менш плачевно справи стоять і з
інформаційною безпекою.
Минулого разу я обіцяв поговорити з
Вами про безпечний інтернет-серфінг та перебування в соціальних мережах, але
так як блог носить назву «Комп’ютерна безпека та соціальна інженерія», то було б мудро присвятити статтю
саме цьому поняттю.
Соціальна інженерія (СІ)
Соціальна інженерія – це наука, ціллю котрої являється маніпулювання
свідомістю конкретного індивідуума чи групи людей з ціллю виконання ними певних
дій або отримання конфіденційної інформації. В основному термін застосовується
в області отримання комп’ютерного
доступу до певної конфіденційної інформації, і часто жертва і шахрай не
зустрічаються особисто.
Історія
Якщо копнути історію, то вперше в
науковий обіг термін "СІ" був введений головою Гарвардської школи
права Роско Паундом аж у 1922 році. Трішки пізніше цей термін був введений в
Росії. Основна особливість СІ заключалась в направленені не стільки на соціальне
пізнання (відкриття наукових фактів чи емпіричних закономірностей), як на
модифікацію соціальної дійсності (втілення інноваційних і практичних
рекомендацій по питаннях вже існуючих). На той час гостро стояло питання
синтезу і реорганізації важливих аспектів організації трудової та управлінської
діяльності, (не забуваймо про промислову революцію в той період), тому поява СІ,
як самостійної галузі досліджень, мала сприяти покращенню вищезгаданих
діяльностей. Основна задача заключалась в тому, щоб побудувати виробництво
таким чином, щоб у вже самому організаційному моменті постійно чувся заклик до
безперервного вдосконалення, в тому числі тієї сфери, в якій задіяний кожен
керівник. І, потрібно віддати їй належне, цей прийом спрацював.
З плином часу зміст цього поняття
дещо трансформувався
На початку 70-х років, коли існували
найпримітивніші мережі, і ті були доступні лише великим корпораціям, зародилось
поняття СІ у сфері комп'ютерних
технологій, яка, власне, нас і цікавить. Комп'ютерних мереж тоді ще не було, а от телефонні вже
були. А де є мережі, там є і ті, яких ми сьогодні знаємо, як хакери, а тоді їх
називали "фрікери" (від англ. сленгового слова "phreaking").
До-речі, «фрікінг» - це
несанкціоноване підключення до телефонних мереж. Найчастіше ціллю фрікера
являлось отримання безкоштовного телефонного дзвінка куди-небудь за кордон.
Так-от, одним з улюблених занять
фрікерів було спілкування з операторами на тему їхньої компетентності.
Оператори, особливо молоді і недосвідчені, починали оправдовуватись при
відсутності інформації по питаннях, які до них поступали. Пройшло небагато
часу, і хтось здогадався, що можна не просто насміхатись з техперсоналу, а
побудувати діалог по-іншому, натиснути на інші емоції і змусити операторів
самим розповідати фрікерам потрібну їм конфіденційну інформацію. До кінця 70-х
ця система була настільки відлагоджена, що досвідчений фрікер міг дізнатись в
оператора все, що йому необхідно. Так почала зароджуватись і розвиватись СІ в такому
ракурсі, в якому вона відома і по цей час.
Потім з’явились комп’ютерні мережі, і дехто здогадався, що необов’язково взламувати всю систему, а достатньо
зателефонувати оператору ЕОМ, видати себе за співробітника компанії чи когось в
тому роді, і отримати пароль. Як це могло і може відбуватись на практиці, ми
розглянемо в наступних статтях.
Одним із найвідоміших хакерів, який
також завоював репутацію досвідченого соціального інфженера, є Кевін Мітнік. У
2002 році він видав книгу «Мистецтво обману», в якій описав реальні випадки застосування
СІ. Саме він і говорив про необов’язковий взлом системи для отримання паролю доступу.
Про принципи, методи, реальні ситуації і способи захисту від СІ поговоримо в наступних статтях.
