Информационная безопасность » Социальная инженерия http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 Социальная инженерия http://www.microfinance.uz/socialnaya-inzheneriya/ http://www.microfinance.uz/socialnaya-inzheneriya/#comments Mon, 06 Oct 2008 06:28:20 +0000 admin http://www.microfinance.uz/socialnaya-inzheneriya/ Атака под условным названием социальная инженерия отнесена нами к разряду локальных (хотя она может быть использована и удаленно), поскольку злоумышленнику все же необходим некий минимальный контакт с представителем атакуемой системы, а именно — пользователем.
Термином социальная инженерия обычно называют набор мероприятий по сбору сведений об информационной системе, напрямую не связанный с техническими подробностями реализации системы, а основанный на человеческом факторе. Наиболее простым, даже утрированным примером можно назвать случай, когда злоумышленник, представившись пользователю уполномоченным лицом (администратором сети или большим начальником), вынуждает пользователя сообщить свой пароль. Если это удается, злоумышленник получает возможность доступа к системе без особых знаний о принципах ее устройства и без применения специальных технических средств.
Общий смысл методов социальной инженерии основан на психологических методах с использованием таких качеств человека, как необоснованное доверие (к не идентифицированному надежно человеку), лень (перепроверить полученные данные), невнимательность (к явным признакам злого умысла) и прочих слабостей.
Без сомнения, все пользователи сети должны быть предупреждены о возможности применения к ним методов социальной инженерии, но это не всегда достаточно. В практике авторов известно множество случаев, когда, только что прочитав инструкцию и подписав обязательство о неразглашении пароля с серьезными угрозами за нарушение, пользователь тем не менее в ответ на просьбу администратора зарегистрировать пароль, вместо того чтобы ввести его с клавиатуры, произносит его громко вслух в присутствии нескольких людей, некоторых из которых он видит впервые в жизни. Методы борьбы с этим могут быть разными, например материальное наказание за известный случай разглашения пароля (даже если это не повлекло серьезных последствий) с оповещением о данном эпизоде остальных пользователей.
Существует тем не менее целый ряд ситуаций, потенциально опасных для случаев применения таких методов. Например, следующая ситуация: пользователи сети географически распределены по разным территориальным участкам (разные здания в пределах города), а администрирование, в частности управление учетными записями пользователей, осуществляется централизованно. Пользователи периодически обращаются по телефону к администраторам с вопросами смены пароля (забыл, заблокировал и т. п.). Как поступать администратору, когда он не видит пользователя и не может однозначно идентифицировать его по голосу? Для решения этой проблемы администратору или специалисту по безопасности необходимо продумать варианты возможных угроз и методов противодействия им.
В данном случае угрозы могут быть следующими.
□ Злоумышленник, представившись пользователем, сообщит, что забыл пароль и попросит установить временный пароль для входа в систему, с тем чтобы после этого изменить временный пароль на новый.
□ Если администратор использует для всех случаев один и тот же временный пароль (например, “123456″), злоумышленник может периодически перебирать учетные записи пользователей с этим паролем, в надежде поймать ситуацию, когда пользователю установлен временный пароль.
Хотя вторая ситуация менее вероятна, ее также не следует упускать из вида, если злоумышленник, скажем, присутствовал при разговоре пользователя с администратором по телефону об установке временного пароля, причем после этого пользователь не изменил пароль сразу же.
Допустимыми мерами защиты в данном случае могут быть следующие:
□ сохранять в учетной записи пользователя информации, которую сможет прочитать администратор и которая известна только пользователю (номер домашнего телефона, девичья фамилия матери и т. п.) — перед сменой пароля администратор должен проверить знание пользователем данной информации;
□ сверять с регистрационным журналом дату и время последнего использования учетной записи (входа в систему) — перед сменой пароля запросить у пользователя указанную дату и время;

□ не использовать один и тот же временный пароль, слегка изменяя его для каждого раза (например, не “123456″, a “kl23456hh”);
□ перезванивать пользователю на его рабочий телефон после его просьбы о необходимости смены пароля и продолжать дальнейший диалог, уже удостоверившись в номере телефона, а, следовательно, и месторасположении;
□ не сообщать пользователю о временном пароле по тому же каналу связи, по которому пришел запрос на смену пароля, т. е., если пользователь обращается по телефону, то временный пароль направить ему по внутренней электронной почте;
□ сообщать временный пароль не самому пользователю, а его непосредственному руководителю, с тем чтобы руководитель передал временный пароль уполномоченному пользователю.
Комбинацией этих и других возможных мероприятий можно существенно снизить риск использования уязвимостей данной ситуации. Однако все эти меры носят лишь вероятностный характер защиты — при хорошем знании злоумышленником порядка дел в организации и наличии специальных технических средств все они могут быть преодолены.
Таким образом, угрозы использования социальной инженерии должны быть учтены наравне с остальными угрозами информационной безопасности, необходимо разрабатывать и внедрять соответствующие методы и средства противодействия, обучать персонал и т. д.

]]> http://www.microfinance.uz/socialnaya-inzheneriya/feed/ 0