НЕКО­ТО­РЫЕ ФАК­ТЫ О СО­ЦИ­АЛЬ­НОЙ ИНЖЕНЕРИИ

В на­сто­я­щее вре­мя на по­ли­гоне ки­бер­про­стран­ства раз­ви­ва­ют­ся раз­ные ви­ды ки­бе­ру­гроз, спо­соб­ству­ю­щие раз­ви­тию так на­зы­ва­е­мой ки­бер­вой­ны меж­ду раз­ви­ты­ми стра­на­ми, что под­вер­га­ет опас­но­сти ме­нее раз­ви­тые стра­ны, в том чис­ле Уз­бе­ки­стан. При этом ки­бер­без­опас­но

ICTNEWS - - СОДЕРЖАНИЕ ИЮЛЬ - КАСИМОВ РАХМОНАЛИ, на­чаль­ник от­де­ла раз­ви­тия ин­фор­ма­ци­он­ных тех­но­ло­гий Ми­ни­стер­ства здра­во­охра­не­ния Рес­пуб­ли­ки Уз­бе­ки­стан

Со­вре­мен­ные ви­ды угроз под­тал­ки­ва­ют оте­че­ствен­ных спе­ци­а­ли­стов к изу­че­нию нестан­дарт­ных под­хо­дов и на­прав­ле­ний за­щи­ты ин­фор­ма­ции. От­дель­ные ми­ни­стер­ства и ве­дом­ства Уз­бе­ки­ста­на, в свою оче­редь, про­во­дят ряд ме­ро­при­я­тий по борь­бе с ки­бер­пре­ступ­но­стью.

По мне­нию экс­пер­тов, ин­фор­ма­ци­он­ная без­опас­ность (да­лее – ИБ) долж­на пред­став­лять со­бой со­во­куп­ность прин­ци- пов, средств и стра­те­гий для обес­пе­че­ния неуяз­ви­мо­сти и за­щи­ты ин­фор­ма­ци­он­ной сре­ды как на тех­ни­че­ском, так и пси­хо­ло­ги­че­ском уров­нях, обес­пе­чи­вая до­ступ­ность, це­лост­ность и кон­фи­ден­ци­аль­ность дан­ных.

Важ­но от­ме­тить, что большинство ос­но­во­по­ла­га­ю­щих до­ку­мен­тов по ИБ фо­ку­си­ру­ет­ся толь­ко на тех­но­ло­ги­ях, од­на­ко без че­ло­ве­че­ско­го вме­ша­тель­ства все са­мо

не ре­шит­ся. Че­ло­век яв­ля­ет­ся субъ­ек­том тех­но­ло­ги­че­ско­го про­цес­са и его дей­ствия иг­ра­ют глав­ную роль в обес­пе­че­нии ИБ. В этой свя­зи в це­лях до­сти­же­ния при­ем­ле­мо­го уров­ня без­опас­но­сти важ­но так­же про­ра­ба­ты­вать и ме­ры пси­хо­ло­ги­че­ско­го ха­рак­те­ра.

Дан­ные ме­ры долж­ны ре­а­ли­зо­вы­вать­ся ис­хо­дя из ана­ли­за ме­то­дов дей­ствий зло­умыш­лен­ни­ков, ко­то­рые ос­но­ва­ны на осо­бен­но­стях пси­хо­ло­гии лю­дей в слу­ча­ях, ко­гда сам че­ло­век яв­ля­ет­ся ос­нов­ной це­лью ата­ки. Та­кие ме­то­ды, на­прав­лен­ные на по­лу­че­ние несанк­ци­о­ни­ро­ван­но­го до­сту­па к важ­ной кон­фи­ден­ци­аль­ной ин­фор­ма­ции, по­лу­чи­ли на­зва­ние «со­ци­аль­ная ин­же­не­рия». Дан­ный тер­мин по­явил­ся в США в се­ре­дине ХХ ве­ка, ши­ро­ко при­ме­нял­ся в уни­вер­си­те­тах и окон­ча­тель­но офор­мил­ся в 70-х как учебная дис­ци­пли­на на сты­ке при­клад­ной со­цио­ло­гии, со­ци­аль­ной пси­хо­ло­гии и тео­рии управ­ле­ния.

Яр­ким при­ме­ром ис­кус­но­го спе­ци­а­ли­ста по со­ци­аль­ной инженерии яв­ля­ет­ся Ке­вин Мит­ник – из­вест­ный ком­пью­тер­ный пре­ступ­ник, ко­то­ро­му про­ти­во­сто­я­ли луч­шие спе­ци­а­ли­сты Фе­де­раль­но­го бю­ро рас­сле­до­ва­ний (ФБР). По мне­нию мно­гих экс­пер­тов, Мит­ник не об­ла­дал ни зна­чи­тель­ной тех­ни­че­ской ба­зой, ни боль­ши­ми по­зна­ни­я­ми в про­грам­ми­ро­ва­нии. При этом он вла­дел ис­кус­ством об­ще­ния по те­ле­фо­ну для по­лу­че­ния нуж­ной ему ин­фор­ма­ции. По утвер­жде­нию Ке­ви­на Мит­ни­ка, со­ци­аль­ная ин­же­не­рия – это на­у­ка, ко­то­рая опре­де­ля­ет­ся как на­бор ме­то­дов ма­ни­пу­ли­ро­ва­ния по­ве­де­ни­ем че­ло­ве­ка, ос­но­ван­ных на ис­поль­зо­ва­нии че­ло­ве­че­ских сла­бо­стей. Как бы ни со­вер­шен­ство­ва­лись тех­ни­че­ские сред­ства за­щи­ты, че­ло­век оста­ет­ся са­мым сла­бым зве­ном в обес­пе­че­нии ИБ.

Со­ци­аль­ная ин­же­не­рия как на­у­ка со­сто­ит из раз­ных вза­и­мо­свя­зан­ных сфер: «пре­тек­стин­га», «фи­шин­га», си­сте­мы «услу­га за услу­гу» (мо­ти­ва­ция), «до­рож­но­го яб­ло­ка» и об­рат­ной со­ци­аль­ной инженерии.

ПРЕТЕКСТИНГ – это на­бор дей­ствий, от­ра­бо­тан­ных по опре­де­лен­но­му, за­ра­нее со­став­лен­но­му сце­на­рию, в ре­зуль­та­те ко­то­рых че­ло­век мо­жет вы­дать ка­кую-ли­бо ин­фор­ма­цию или со­вер­шить опре­де­лен- ное дей­ствие. Ча­ще все­го дан­ный вид ата­ки пред­по­ла­га­ет ис­поль­зо­ва­ние го­ло­со­вых про­грамм, на­при­мер, Skype и т. п.

ФИШИНГ – тех­ни­ка ин­тер­нет-мо­шен­ни­че­ства, на­прав­лен­ная на по­лу­че­ние кон­фи­ден­ци­аль­ной ин­фор­ма­ции поль­зо­ва­те­лей из раз­лич­ных си­стем. Ос­нов­ным ви­дом фи­шин­го­вых атак яв­ля­ет­ся под­дель­ное пись­мо, от­прав­лен­ное жерт­ве по элек­трон­ной по­чте, ко­то­рое вы­гля­дит как офи­ци­аль­ное пись­мо от бан­ка. В пись­ме со­дер­жит­ся фор­ма для вво­да пер­со­наль­ных дан­ных (пин-ко­дов, ло­ги­на и па­ро­ля и т. п.) или ссыл­ка на web-стра­ни­цу, на ко­то­рой рас­по­ла­га­ет­ся та­кая фор­ма. При­ме­ром яв­ля­ет­ся так на­зы­ва­е­мая груп­па «Си­ний кит», со­здан­ная в се­ре­дине 2016 го­да и мо­ти­ви­ру­ю­щая под­рост­ков на са­мо­убий­ство. «Си­ний кит» яв­ля­ет­ся со­ци­аль­ной иг­рой, рас­про­стра­нен­ной в стра­нах Азии и Ев­ро­пы, в том чис­ле и в Уз­бе­ки­стане, ос­нов­ной це­лью ко­то­рой яв­ля­ет­ся до­ве­де­ние до са­мо­убий­ства. В дан­ной иг­ре фишинг ис­поль­зо­вал­ся для по­лу­че­ния кон­фи­ден­ци­аль­ной ин­фор­ма­ции о жерт­ве.

УСЛУ­ГА ЗА УСЛУ­ГУ (МО­ТИ­ВА­ЦИЯ) – дан­ная тех­ни­ка пред­по­ла­га­ет об­ра­ще­ние зло­умыш­лен­ни­ка к поль­зо­ва­те­лю по элек­трон­ной по­чте или кор­по­ра­тив­ной свя­зи. Зло­умыш­лен­ник мо­жет пред­ста­вить­ся, на­при­мер, со­труд­ни­ком тех­ни­че­ской под­держ­ки и про­ин­фор­ми­ро­вать о воз­ник­но­ве­нии тех­ни­че­ских про­блем. В про­цес­се ре­ше­ния та­ких про­блем зло­умыш­лен­ник под­тал­ки­ва­ет че­ло­ве­ка к со­вер­ше­нию дей­ствий, поз­во­ля­ю­щих ата­ку­ю­ще­му вы­пол­нить опре­де­лен­ные ко­ман­ды или уста­но­вить необ­хо­ди­мое про­грамм­ное обес­пе­че­ние на ком­пью­тер жерт­вы.

ДОРОЖНОЕ ЯБЛОКО – этот ме­тод пред­став­ля­ет со­бой адап­та­цию «тро­ян­ско­го ко­ня» и пред­по­ла­га­ет ис­поль­зо­ва­ние фи­зи­че­ских но­си­те­лей (CD, фл­эш-на­ко­пи­те­лей). Зло­умыш­лен­ник обыч­но под­бра­сы­ва­ет та­кие но­си­те­ли в об­ще­до­ступ­ные ме­ста на тер­ри­то­рии ком­па­нии (пар­ков­ки, сто­ло­вые, ра­бо­чие ме­ста со­труд­ни­ков, туа­ле­ты). Для то­го что­бы у со­труд­ни­ка воз­ник ин­те­рес к дан­но­му но­си­те­лю, зло­умыш­лен­ник мо­жет на­не­сти на но­си­тель ло­го­тип ком­па­нии или дру­гую при­вле­ка­ю­щую над­пись, на­при­мер, «дан­ные о про­да­жах», «зар­пла­та со­труд­ни­ков», «от­чет в на­ло­го­вую» и т. п.

ОБ­РАТ­НАЯ СО­ЦИ­АЛЬ­НАЯ ИН­ЖЕ­НЕ­РИЯ – дан­ный ме­тод на­прав­лен на со­зда­ние та­кой си­ту­а­ции, при ко­то­рой че­ло­век вы­нуж­ден об­ра­тить­ся к са­мо­му зло­умыш­лен­ни­ку за по­мо­щью. По­след­ний, на­при­мер, мо­жет вы­слать пись­мо с те­ле­фо­на­ми и кон­так­та­ми «служ­бы под­держ­ки» и че­рез неко­то­рое вре­мя со­здать непо­лад­ки в ком­пью­те­ре жерт­вы. Поль­зо­ва­тель в та­ком слу­чае по­зво­нит или свя­жет­ся с ним по элек­трон­ной по­чте, и в про­цес­се «ис­прав­ле­ния» про­блем зло­умыш­лен­ник мо­жет по­лу­чить все необ­хо­ди­мые ему дан­ные.

Зло­умыш­лен­ник, ис­поль­зу­ю­щий ука­зан­ные ме­то­ды со­ци­аль­ной инженерии, дол­жен прой­ти се­рьез­ную пси­хо­ло­ги­че­скую под­го­тов­ку, а так­же об­ла­дать сле­ду­ю­щи­ми ме­то­да­ми воз­дей­ствия:

1. Фор­му­ли­ро­ва­ние це­ли воз­дей­ствия на объ­ект.

2. Ис­сле­до­ва­ние пси­хо­фи­зи­че­ских ха­рак­те­ри­стик объ­ек­та в це­лях вы­бо­ра наи­бо­лее под­хо­дя­ще­го спо­со­ба воз­дей­ствия.

3. Раз­ра­бот­ка ме­то­дов воз­дей­ствия на объ­ект и осу­ществ­ле­ние это­го воз­дей­ствия.

Фор­му­ли­ро­ва­ние це­ли воз­дей­ствия необ­хо­ди­мо для об­на­ру­же­ния наи­бо­лее «удоб­ных» жертв. По­сле это­го на­сту­па­ет этап, ко­то­рый на­зы­ва­ет­ся ат­трак­ци­ей. Ат­трак­ция – это со­зда­ние нуж­ных усло­вий для воз­дей­ствия на объ­ект. При­нуж­де­ние к нуж­но­му дей­ствию до­сти­га­ет­ся за счет вы­пол­не­ния преды­ду­щих эта­пов. В ре­зуль­та­те при­ме­не­ния дан­ной так­ти­ки объ­ект на­чи­на­ет вы­пол­нять опре­де­лен­ные дей­ствия, ко­то­рые при­во­дят зло­умыш­лен­ни­ка к нуж­ной це­ли. Зло­умыш­лен­ни­ки, при­ме­ня­ю­щие со­ци­аль­ную ин­же­не­рию, за­ча­стую ма­ни­пу­ли­ру­ют до­вер­чи­во­стью, ле­нью, лю­без­но­стью и да­же эн­ту­зи­аз­мом со­труд­ни­ков ор­га­ни­за­ций.

Вме­сте с тем для то­го, что­бы за­щи­тить­ся от та­ких угроз, необ­хо­ди­мо изу­чать и ана­ли­зи­ро­вать их раз­но­вид­но­сти, на­учить­ся по­ни­мать, что нуж­но зло­умыш­лен­ни­ку и ка­кой вред мо­жет быть при­чи­нен ком­па­нии. В этой свя­зи необ­хо­ди­мо вы­ра­бо­тать ком­плекс мер по про­ти­во­сто­я­нию ука­зан­ным угро­зам. По­ми­мо это­го по­тре­бу­ет­ся со­зда­ние со­вре­мен­ных ме­то­ди­че­ских си­стем, ко­то­рые бу­дут вклю­чать в се­бя не толь­ко тео­ре­ти­че­ские, но и прак­ти­че­ские на­вы­ки в об­ла­сти пси­хо­ло­гии.

На­ря­ду с этим сле­ду­ет учи­ты­вать сле­ду­ю­щие ре­ко­мен­да­ции по обес­пе­че­нию по­ли­ти­ки без­опас­но­сти:

1. По­сто­ян­ный мо­ни­то­ринг и ана­лиз угроз пси­хо­ло­ги­че­ско­го ха­рак­те­ра.

2. Вы­ра­бот­ка пред­ло­же­ний по про­ти­во­дей­ствию угро­зам пси­хо­ло­ги­че­ско­го ха­рак­те­ра.

3. До­ве­де­ние ин­фор­ма­ции об угро­зах до со­труд­ни­ков пред­при­я­тий.

4. Про­ве­де­ние тре­нин­гов и бе­сед по во­про­сам ин­фор­ма­ци­он­ной без­опас­но­сти с со­труд­ни­ка­ми ком­па­нии.

5. Осу­ществ­ле­ние ауди­та си­сте­мы без­опас­но­сти раз в пол­го­да и до­ра­бот­ка по­ли­ти­ки ин­фор­ма­ци­он­ной без­опас­но­сти ком­па­нии.

6. Уста­нов­ка си­стем об­на­ру­же­ния атак.

В за­клю­че­ние нуж­но от­ме­тить, что пер­вые ша­ги сле­ду­ет де­лать в на­прав­ле­нии раз­ви­тия ме­то­до­ло­гии, ме­то­дов и средств те­сти­ро­ва­ния че­ло­ве­че­ской уяз­ви­мо­сти. При раз­ра­бот­ке мер по про­ти­во­дей­ствию угро­зам пси­хо­ло­ги­че­ско­го ха­рак­те­ра необ­хо­ди­мо учесть тот факт, что объ­ек­том ата­ки мо­жет стать лю­бой, при этом важ­но сле­дить за сво­им окру­же­ни­ем, по­сколь­ку лю­бое на­па­де­ние на­чи­на­ет­ся с под­го­тов­ки.

Newspapers in Russian

Newspapers from Uzbekistan

© PressReader. All rights reserved.