Психология на службе хакеров Алексей Лукацкий
21 января, 2003 Мне уже приходилось писать об атаках “social engineering” (см. статью “Инженеры человеческих душ”, PC Week/RE, № 5/2002, с. 18) и о том, как хакеры используют человеческие слабости для достижения своих целей. И вновь я хочу вернуться к этой теме и рассказать о новых методах хакеров, использующих знание человеческой натуры. Статистика поможет нам понять, почему эти методы так эффективны. По данным Content Security, 86% компаний сталкиваются с проблемой доступа сотрудников к порнографическим материалам в Интернете. Это подтверждается исследованиями сайта SexTracker, согласно которым 70% всего порнотрафика фиксируется с 9 утра до 5 вечера, т. е. в рабочее время. Исследовательская компания eMarketer сообщает, что мужчины пользуются материалами этой категории в 20 раз чаще женщин. eMarketer также утверждает, что сотрудники с высоким уровнем зарплаты делают это в два раза чаще, чем низкооплачиваемые. Отсюда следует, что главными потребителями материалов сексуальной направленности являются мужчины-руководящие. А в какой организации основной контингент составляют мужчины, да еще и занимающие все высшие посты? Первое, что приходит на ум — Министерство Обороны. Хотя и в других не менее серьезных ведомствах и компаниях все руководящие посты заняты представителям сильной половины человечества. И этим умело пользуются хакеры для проникновения в корпоративные сети. Делается это довольно просто. В сети регистрируется Web-сервер, который наполняется соответствующими картинками и материалами. Это не требует больших затрат, так как существует масса способов зарегистрировать домен второго уровня не совсем законными методами (взлом, оплата регистрации с помощью украденной кредитной картой и т. п.). После этого проводится обычная рекламная компания сайта в Интернете, привлекающая посетителей отсутствием платы за доступ к “клубничке”. Однако страничка открывается только после регистрации, в результате которой злоумышленник получает узнает имя (идентификатор) и пароль пользователя. Сделаем небольшое отступление. Ответьте на простой вопрос: “Сколько паролей вы используете для доступа к компьютеру, зашифрованным файлам, Интернету и т. п.?” Вряд ли ошибусь, если скажу, что всего один. И это естественно, так как запомнить разные пароли, да еще и выбираемые по всем правилам, задача не из легких. Вот и оказывается, что посетитель порносайта в момент регистрации вводит хорошо известный и не требующий дополнительного запоминания пароль, используемый для доступа ко всем ресурсам корпоративной сети. А теперь вернемся к нашей теме. Определив пароль, хакер может попытаться обратиться к нужным ему ресурсам, используя полученные через порносайт данные. Узнать место работы любителя “клубнички” довольно просто, учитывая, что Web -сервер в своих журналах регистрации фиксирует адрес узла, с которого осуществлялся доступ. А узнать, что за организация скрывается за таким, непонятным на первый взгляд адресом, как 123.34.56.78, не составляет большого труда, обратившись к одному из множества сетевых информационных центров (NIC). Но даже если пользователь выходит на порносайт со своего домашнего компьютера, то и это не является серьезным препятствием. Более того, для проникновения в корпоративную сеть через домашний компьютер хакеру понадобится куда меньше усилий, чем при попытке влезть в сеть непосредственно через межсетевой экран и иные средства защиты периметра. Это происходит потому, что обычно пользователь, работая из дома, подключается к сети своей организации через VPN -соединение, а требования безопасности к такому подключению существенно слабее, чем для обычного Интернет-соединения. Вся опасность заключается не только в том, что злоумышленник может проникнуть в корпоративную сеть, а в том, что он маскируется под пользователя, чей пароль украден. Это позволяет хакеру остаться незамеченным для системы защиты, которая воспримет его, как “своего родного” при чем в случае нанесения корпоративной сети какого-либо ущерба все шишки свалятся именно на того сотрудника, под которого маскировался хакер. Надо заметить, что такая маскировка может осуществляться и целенаправленно с целью подставы какого-либо из пользователей атакуемой сети. Все это не голословные утверждения — уже известны случаи проникновения хакеров на сайты Министерства обороны США, используя специально созданные для такого случая порносайты. Схожая проблема присуща не только военному ведомству, но и главному финансовому органу США. 4 февраля 2003 года счетная палата Конгресса США опубликовала отчет, гласящий, что компьютеры Министерства финансов, оперирующие триллионами долларов налогов и социальных выплат, остаются легко уязвимыми для хакерских атак. В представленном широкой общественности докладе говорится, что миллиарды долларов платежей и сборов подвержены существенному риску пропаж и махинаций, а финансовые транзакции могут быть прерваны и даже изменены. Мало того, за пять лет до этого, в 1997 году, счетная палата уже проводила аналогичное обследование Минфина, но ситуация так и не сдвинулась с мертвой точки. Самыми уязвимыми местами системы защиты этого ведомства оказались именно пароли. Как выбрать пароль? К сожалению, указанная проблема присуща не только серьезным организациям, таким, как министерство обороны или финансов. Любая компания, использующая компьютеры в своей деятельности, сталкивается с проблемой правильного выбора паролей. Несмотря на все достижения защитных технологий, они по-прежнему играют центральную роль в системе безопасности любой организации. Как же их правильно выбирать? Во-первых, необходимо задавать разные пароли для доступа к различным ресурсам корпоративной сети (базам данных, Интернету и т. д.). Во -вторых, пароли должны быть достаточно длинными, чтобы против них были бессильны системы автоматического подбора пароля, такие, как L0phtCrack, John The Ripper, SQLdict и т. п. Необходимо помнить, что есть приложения и ОС игнорирующие выбор пользователя и уменьшающие длину пароля. Например, механизм свертки (хеширования) паролей в Windows LanManager, который еще достаточно часто используется, ужимает вводимый пользователем пароль до 14 символов, в свою очередь разбиваемых на два семисимвольных фрагмента. Очевидно, что взломать две последовательности длиной семь символов намного проще и быстрее, чем строку из 14 символов. В-третьих, пароль должен состоять из символов в разных регистрах и содержать не только буквы, но и цифры и спецсимволы. Однако не забывайте, что пароли используются обычными пользователями, которые не всегда знакомы с положениями принятой политики безопасности. Мало того, даже если они и знают ее, то соблюдать все правила на практике очень трудно, а зачастую и невозможно. Ну, представьте только, что вас заставили использовать пароль “JYt_765_dtUT+oIuWeBgA@”. Вы вряд ли его запомните и, скорее всего, запишите на бумажку и приклеите к монитору. Поэтому, несмотря на все вышеперечисленные требования, на первое место выходят не длина и не сложность. Хороший пароль тот, который трудно угадать, но очень легко напомнить. Так, вместо указанного выше пароля намного проще запоминается “THe_765_beST+pAsSwOrD@” или “ILoveYou777@password.ru”. И второе главное требование – несмотря на комбинацию букв, цифр и спецсимволов, он должен легко набираться. Выбор пароля, удовлетворяющего этим требованиям, не даст хакерам ни единого шанса проникнуть в вашу сеть, используя уязвимости парольной системы, но остаются другие дыры… Но это тема других статей. С Алексеем Викторовичем Лукацким, автором книги “Обнаружение атак”, можно связаться по адресу: mailto: luka@infosec.ru.