Соціальна інженерія – історія, визначення, принципи і методи (частина 1)

     Забезпечити комп’ютерну безпеку трудно (скоріш за все, неможливо), але уявіть собі на хвилину, що нам це вдалось. Де необхідно, застосовується потужна криптографія, протоколи безпеки бездоганно виконують свою роботу. В нашому розпорядженні є як надійне обладнання, так і надійне програмне забезпечення. Навіть мережа, в якій ми працюємо, безпечна. Чудово!

    На жаль, цього недостатньо. Зробити щось корисне ця вся система може лише при участі користувачів. І ця взаємодія людини з комп’ютером таїть в собі найбільшу загрозу зі всіх існуючих. Люди часто виявляються найслабшою ланкою в системі заходів безпеки, і саме люди постійно являються причиною неефективності останніх. 

Брюс Шнайєр «Таємниці і обман. Безпека даних в цифровому світі».

            Людський фактор ще ніхто не відміняв. Всупереч технологіям, які постійно розвиваються і йдуть вперед, людська психологія, в загальному, залишається незмінною, а якщо і змінюється, то в гіршу сторону. Саме із-за людського фактору стались трагедії із «Титаніком» та Чорнобильською АЕС. Не менш плачевно справи стоять і з інформаційною безпекою.

            Минулого разу я обіцяв поговорити з Вами про безпечний інтернет-серфінг та перебування в соціальних мережах, але так як блог носить назву «Комп’ютерна безпека та соціальна інженерія», то було б мудро присвятити статтю саме цьому поняттю.

Соціальна інженерія (СІ)

           Соціальна інженерія – це наука, ціллю котрої являється маніпулювання свідомістю конкретного індивідуума чи групи людей з ціллю виконання ними певних дій або отримання конфіденційної інформації. В основному термін застосовується в області отримання комп’ютерного доступу до певної конфіденційної інформації, і часто жертва і шахрай не зустрічаються особисто.

Історія

            Якщо копнути історію, то вперше в науковий обіг термін "СІ" був введений головою Гарвардської школи права Роско Паундом аж у 1922 році. Трішки пізніше цей термін був введений в Росії. Основна особливість СІ заключалась в направленені не стільки на соціальне пізнання (відкриття наукових фактів чи емпіричних закономірностей), як на модифікацію соціальної дійсності (втілення інноваційних і практичних рекомендацій по питаннях вже існуючих). На той час гостро стояло питання синтезу і реорганізації важливих аспектів організації трудової та управлінської діяльності, (не забуваймо про промислову революцію в той період), тому поява СІ, як самостійної галузі досліджень, мала сприяти покращенню вищезгаданих діяльностей. Основна задача заключалась в тому, щоб побудувати виробництво таким чином, щоб у вже самому організаційному моменті постійно чувся заклик до безперервного вдосконалення, в тому числі тієї сфери, в якій задіяний кожен керівник. І, потрібно віддати їй належне, цей прийом спрацював.

            З плином часу зміст цього поняття дещо трансформувався

            На початку 70-х років, коли існували найпримітивніші мережі, і ті були доступні лише великим корпораціям, зародилось поняття СІ у сфері комп'ютерних технологій, яка, власне, нас і цікавить. Комп'ютерних мереж тоді ще не було, а от телефонні вже були. А де є мережі, там є і ті, яких ми сьогодні знаємо, як хакери, а тоді їх називали "фрікери" (від англ. сленгового слова "phreaking").

            До-речі, «фрікінг» - це несанкціоноване підключення до телефонних мереж. Найчастіше ціллю фрікера являлось отримання безкоштовного телефонного дзвінка куди-небудь за кордон.

            Так-от, одним з улюблених занять фрікерів було спілкування з операторами на тему їхньої компетентності. Оператори, особливо молоді і недосвідчені, починали оправдовуватись при відсутності інформації по питаннях, які до них поступали. Пройшло небагато часу, і хтось здогадався, що можна не просто насміхатись з техперсоналу, а побудувати діалог по-іншому, натиснути на інші емоції і змусити операторів самим розповідати фрікерам потрібну їм конфіденційну інформацію. До кінця 70-х ця система була настільки відлагоджена, що досвідчений фрікер міг дізнатись в оператора все, що йому необхідно. Так почала зароджуватись і розвиватись СІ в такому ракурсі, в якому вона відома і по цей час.

            Потім з’явились комп’ютерні мережі, і дехто здогадався, що необов’язково взламувати всю систему, а достатньо зателефонувати оператору ЕОМ, видати себе за співробітника компанії чи когось в тому роді, і отримати пароль. Як це могло і може відбуватись на практиці, ми розглянемо в наступних статтях.

            Одним із найвідоміших хакерів, який також завоював репутацію досвідченого соціального інфженера, є Кевін Мітнік. У 2002 році він видав книгу «Мистецтво обману», в якій описав реальні випадки застосування СІ. Саме він і говорив про необов’язковий взлом системи для отримання паролю доступу.

            Про принципи, методи, реальні ситуації і способи захисту від СІ поговоримо в наступних статтях.