"Слабое звено" компьютерной безопасности
"Слабое звено" компьютерной безопасности
В киберпространстве бушуют войны. Множащееся с каждым днем войско хакеров непрерывно атакует корпоративные и государственные компьютерные системы по всему миру. Им противостоят специалисты по информационной безопасности, которые 99% своего времени тратят на латание очередных обнаруженных дыр и уязвимостей в операционных системах и прикладном ПО. И мало кто обращает внимание на то, что между хакерами и IT-специалистами, как между утюгом и рубашкой, оказались простые пользователи. То самое знаменитое "слабое звено" любой компьютерной системы.
Защита информационных систем совершенствуется с каждым днем. Добросовестные системные администраторы и специалисты по IT-безопасности своевременно устанавливают программные заплатки на обнаруженные уязвимости, внедряют и тщательно конфигурируют файрволы, антивирусы и новомодные средства обнаружения атак. "Простому хакеру" все сложнее влезть в интересующую его сеть — это не в домашнем компьютере нагадить. Но компьютерные взломщики не собираются сдаваться. Как утверждают эксперты, занимающиеся расследованием конкретных случаев взломов корпоративных и государственных компьютерных систем, современные "информационные злоумышленники" все чаще используют не новомодные программы или "свежеобнаруженные" уязвимости в системном обеспечении, а давно и хорошо известные приемы и методы социальной инженерии. Человек, конечный пользователь, по-прежнему остается самым уязвимым звеном любой, даже самой сверхзащищенной системы.
Социальной инженерией в наши дни принято называть одну из частей социальной психологии, направленную на то, чтобы манипулировать людьми, то есть порождать в их разуме определенную, нужную (в данном случае — злоумышленнику) модель поведения. Основные приемы, позволяющие, например, выманить у неосторожных пользователей пароли для входа в корпоративные сети, давно и хорошо известны хакерам. Ими вовсю пользовался еще легендарный Кевин Митник, и с тех пор каких-либо принципиальных новшеств в этой сфере не появилось. С чем же связан стремительный рост именно атак с использованием приемов социальной инженерии? Судя по всему, просто с ростом Сети как таковой, то есть лавинообразным увеличением числа пользователей. Определенный процент "неофитов" хочет ощутить на себе хакерскую романтику, но получать глубокое техническое образование, изучать глубинные основы функционирования операционных систем и компьютерных сетей — это доступно далеко не всем. А вот для использования социальной инженерии в большинстве случаев достаточно некоторой сообразительности и определенного актерского мастерства.
Интересное исследование-эксперимент провели специалисты известной консалтинговой компании NCC Group. Они сымитировали онлайновый конкурс, в котором предлагалось поучаствовать сотрудникам различных компаний и госучреждений, выходившим в Интернет со своих рабочих мест. По условиям "конкурса", для того, чтобы поучаствовать в "розыгрыше приза", пользователю требовалось ввести в специальное поле свои логин и пароль для доступа в корпоративную сеть своего предприятия или учреждения. Так вот: 15% участников, не колеблясь и не задумываясь о последствиях, сделали это. Сотрудники служб безопасности, наблюдая за происходящим (по любезному приглашению NCC Group), только за головы хватались!
После этого исследования Пол Влиссидис, глава NCC Group, заявил: "Основная проблема персонала, и особенно IT-служб, которые должны лучше разбираться в предмете, — это халатное отношение к паролям, что ставит под угрозу защищенность корпоративных сетей. Вопрос заключается в том, что лень и невежество приводят к проблемам с безопасностью сетей. Пароли играют сейчас еще большую роль: с появлением широкополосной связи в домах все больше сотрудников пользуются для работы удаленным соединением, предпочитая выполнять какую-то часть своей офисной работы, не выходя из дома. И по мере того, как IT-подразделения совершенствуют защиту офисных сетей, хакерам приходится все чаще прибегать к методам социального инжиниринга, чтобы выманить пароли у пользователей".
В качестве примеров халатного отношения к паролям Пол Влиссидис назвал случаи, когда весь отдел компании использует пароли совместно или когда в качестве пароля выбирается какое-либо популярное слово — название футбольного клуба и так далее. Причем, что интересно, как раз топ-менеджеры компаний часто больше других нарушают правила выбора и использования паролей, отметил эксперт.
Стоит отметить, что в странах "бывшего СССР" дела обстоят отнюдь не лучше. Так, например, директор по развитию бизнеса российской компании РБК СОФТ Тимур Аитов подтвердил журналистам, что именно персонал является самым слабым звеном в условиях работы отечественных компаний. По этой причине наиболее ценная и значимая информация, разглашение которой может мгновенно нанести вред компании или ее высшим должностным лицам, вообще не должна храниться на сетевых рабочих станциях. Там же, где коллективный доступ необходим в силу специфики технологического цикла (например, в процессинге банковских карт), помимо паролей, сегодня применяются и более специальные методы защиты информации. Так, наиболее ответственные операции контролируются одновременно двумя сотрудниками; для каждой операции информация предоставляется строго в необходимом (минимальном) объеме, используется передача информации в зашифрованном виде и тому подобные меры. По словам г-на Аитова, к сожалению, и эти меры не гарантируют утечек. По некоторым оценкам, 85% всех утечек информации происходит именно из-за небрежности или злого умысла персонала. Парадоксально, но две трети утечек информации по вине персонала обеспечивают именно специалисты внутренних служб безопасности компаний, отметил он.
Основные средства профилактики, напоминают специалисты, просты. Например, в качестве пароля лучше использовать не слова, а сочетания букв и цифр. Чтобы не забыть пароль, можно выбрать любимую песню или стихотворение и взять первую букву из каждой строчки первого куплета, добавив несколько цифр. Пока вы знаете, что это за песня, вы никогда не забудете пароль. Ну и, конечно, следует с повышенным подозрением относиться ко всем, кто пытается выведать какую-либо информацию, хотя бы косвенно связанную с корпоративной компьютерной системой.
В наши дни бороться с хакерами, использующими в своей "работе" методы социальной инженерии, так же сложно, как и десять-пятнадцать лет назад. Да и человеческий разум не "проапгрейдишь" и "заплатку" на "ОС Мозг" не поставишь.
Убытки же от хакерских атак с применением методов социальной инженерии растут во всем мире с каждым месяцем.
И так будет, пока владельцы компьютерных систем не начнут вкладывать в обучение и тренировку персонала и услуги психологов средства, хотя бы относительно сопоставимые с теми, которые сегодня вкладываются в программно-аппаратные комплексы защиты от компьютерных бандитов.
Денис Лавникевич
В киберпространстве бушуют войны. Множащееся с каждым днем войско хакеров непрерывно атакует корпоративные и государственные компьютерные системы по всему миру. Им противостоят специалисты по информационной безопасности, которые 99% своего времени тратят на латание очередных обнаруженных дыр и уязвимостей в операционных системах и прикладном ПО. И мало кто обращает внимание на то, что между хакерами и IT-специалистами, как между утюгом и рубашкой, оказались простые пользователи. То самое знаменитое "слабое звено" любой компьютерной системы.
Защита информационных систем совершенствуется с каждым днем. Добросовестные системные администраторы и специалисты по IT-безопасности своевременно устанавливают программные заплатки на обнаруженные уязвимости, внедряют и тщательно конфигурируют файрволы, антивирусы и новомодные средства обнаружения атак. "Простому хакеру" все сложнее влезть в интересующую его сеть — это не в домашнем компьютере нагадить. Но компьютерные взломщики не собираются сдаваться. Как утверждают эксперты, занимающиеся расследованием конкретных случаев взломов корпоративных и государственных компьютерных систем, современные "информационные злоумышленники" все чаще используют не новомодные программы или "свежеобнаруженные" уязвимости в системном обеспечении, а давно и хорошо известные приемы и методы социальной инженерии. Человек, конечный пользователь, по-прежнему остается самым уязвимым звеном любой, даже самой сверхзащищенной системы.
Социальной инженерией в наши дни принято называть одну из частей социальной психологии, направленную на то, чтобы манипулировать людьми, то есть порождать в их разуме определенную, нужную (в данном случае — злоумышленнику) модель поведения. Основные приемы, позволяющие, например, выманить у неосторожных пользователей пароли для входа в корпоративные сети, давно и хорошо известны хакерам. Ими вовсю пользовался еще легендарный Кевин Митник, и с тех пор каких-либо принципиальных новшеств в этой сфере не появилось. С чем же связан стремительный рост именно атак с использованием приемов социальной инженерии? Судя по всему, просто с ростом Сети как таковой, то есть лавинообразным увеличением числа пользователей. Определенный процент "неофитов" хочет ощутить на себе хакерскую романтику, но получать глубокое техническое образование, изучать глубинные основы функционирования операционных систем и компьютерных сетей — это доступно далеко не всем. А вот для использования социальной инженерии в большинстве случаев достаточно некоторой сообразительности и определенного актерского мастерства.
Интересное исследование-эксперимент провели специалисты известной консалтинговой компании NCC Group. Они сымитировали онлайновый конкурс, в котором предлагалось поучаствовать сотрудникам различных компаний и госучреждений, выходившим в Интернет со своих рабочих мест. По условиям "конкурса", для того, чтобы поучаствовать в "розыгрыше приза", пользователю требовалось ввести в специальное поле свои логин и пароль для доступа в корпоративную сеть своего предприятия или учреждения. Так вот: 15% участников, не колеблясь и не задумываясь о последствиях, сделали это. Сотрудники служб безопасности, наблюдая за происходящим (по любезному приглашению NCC Group), только за головы хватались!
После этого исследования Пол Влиссидис, глава NCC Group, заявил: "Основная проблема персонала, и особенно IT-служб, которые должны лучше разбираться в предмете, — это халатное отношение к паролям, что ставит под угрозу защищенность корпоративных сетей. Вопрос заключается в том, что лень и невежество приводят к проблемам с безопасностью сетей. Пароли играют сейчас еще большую роль: с появлением широкополосной связи в домах все больше сотрудников пользуются для работы удаленным соединением, предпочитая выполнять какую-то часть своей офисной работы, не выходя из дома. И по мере того, как IT-подразделения совершенствуют защиту офисных сетей, хакерам приходится все чаще прибегать к методам социального инжиниринга, чтобы выманить пароли у пользователей".
В качестве примеров халатного отношения к паролям Пол Влиссидис назвал случаи, когда весь отдел компании использует пароли совместно или когда в качестве пароля выбирается какое-либо популярное слово — название футбольного клуба и так далее. Причем, что интересно, как раз топ-менеджеры компаний часто больше других нарушают правила выбора и использования паролей, отметил эксперт.
Стоит отметить, что в странах "бывшего СССР" дела обстоят отнюдь не лучше. Так, например, директор по развитию бизнеса российской компании РБК СОФТ Тимур Аитов подтвердил журналистам, что именно персонал является самым слабым звеном в условиях работы отечественных компаний. По этой причине наиболее ценная и значимая информация, разглашение которой может мгновенно нанести вред компании или ее высшим должностным лицам, вообще не должна храниться на сетевых рабочих станциях. Там же, где коллективный доступ необходим в силу специфики технологического цикла (например, в процессинге банковских карт), помимо паролей, сегодня применяются и более специальные методы защиты информации. Так, наиболее ответственные операции контролируются одновременно двумя сотрудниками; для каждой операции информация предоставляется строго в необходимом (минимальном) объеме, используется передача информации в зашифрованном виде и тому подобные меры. По словам г-на Аитова, к сожалению, и эти меры не гарантируют утечек. По некоторым оценкам, 85% всех утечек информации происходит именно из-за небрежности или злого умысла персонала. Парадоксально, но две трети утечек информации по вине персонала обеспечивают именно специалисты внутренних служб безопасности компаний, отметил он.
Основные средства профилактики, напоминают специалисты, просты. Например, в качестве пароля лучше использовать не слова, а сочетания букв и цифр. Чтобы не забыть пароль, можно выбрать любимую песню или стихотворение и взять первую букву из каждой строчки первого куплета, добавив несколько цифр. Пока вы знаете, что это за песня, вы никогда не забудете пароль. Ну и, конечно, следует с повышенным подозрением относиться ко всем, кто пытается выведать какую-либо информацию, хотя бы косвенно связанную с корпоративной компьютерной системой.
В наши дни бороться с хакерами, использующими в своей "работе" методы социальной инженерии, так же сложно, как и десять-пятнадцать лет назад. Да и человеческий разум не "проапгрейдишь" и "заплатку" на "ОС Мозг" не поставишь.
Убытки же от хакерских атак с применением методов социальной инженерии растут во всем мире с каждым месяцем.
И так будет, пока владельцы компьютерных систем не начнут вкладывать в обучение и тренировку персонала и услуги психологов средства, хотя бы относительно сопоставимые с теми, которые сегодня вкладываются в программно-аппаратные комплексы защиты от компьютерных бандитов.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 44 за 2003 год в рубрике безопасность :: разное