Сегодня речь пойдет о безопасности данных, составляющих коммерческую тайну, и о самом не поддающемся контролю аспекте обеспечения ее сохранности — человеческом факторе. Здесь не будут подниматься «религиозные» споры, такие, как Windows vs Mac или Windows vs Linux, тем более, что в контексте данного выпуска это не принципиально. Эта статья о том, как пользователи сами ставят под угрозу безопасность информации, ведя себя неосмотрительно в социальных сетях.
Сейчас трудно найти пользователя Сети, который не был бы зарегистрирован ни в одной из социальных сетей. Чаще всего человек пользуется услугами сразу нескольких, например, ВКонтакте, Facebook и Twitter. Причем, если раньше для общения использовались мессенджеры (ICQ, Jabber, Skype, Google talk и другие), то сейчас площадками для такого общения выступают социальные сети.
Так в чем же отличие социальных сетей? Они в полной мере соответствуют пословице: «Слово не воробей, вылетит — не поймаешь». Иначе говоря, они помнят все, и не всегда у пользователя, разместившего информацию, есть возможность ее удалить. Ведь даже в случае удаления данных, они могут оказаться в кэше поисковиков, (например, сохраненные Яндексом страницы), а если информация просуществовала достаточно долго — то и попасть в webarchive.org.
Сейчас многие воспринимают социальные сети как электронные дневники, в которых записывают свои мысли, делятся идеями и описывают свои отношения, забывая о том, что в отличие от бумажных дневников XVIII-XIX веков социальные сети общедоступны, и воспользоваться ими может любой желающий, какие бы цели он не преследовал.
Так какую же информацию сможет извлечь злоумышленник из социальной сети? Учитывая тот факт, что некоторые пользователи подробно освещают свою личную жизнь в социальных сетях, в них могут искать своих жертв банальные шантажисты, которым нужны деньги или корпоративные секреты работодателей.
Для хакеров, промышляющих социальной инженерией, социальные сети — вообще золотое дно. Рассмотрим типовой сценарий действий социального хакера, цель которого — проникновение в корпоративную сеть. Свою деятельность хакер начинает с посещения официального сайта компании, где он получает информацию о контактных лицах, которыми выступают менеджеры по продажам или секретари на ресепшен. Далее, используя поисковые системы, он собирает о них информацию: интересы, хобби и то, в каких социальных сетях они зарегистрированы.
Злоумышленник продумывает легенду, которой он будет пользоваться. Следующим шагом будет регистрация подставной учетной записи в той же социальной сети, которой пользуется жертва (контактное лицо компании) и наполнение ее информацией о вымышленном персонаже, который имеет те же интересы. Затем, для большего правдоподобия, он добавляет в друзья пользователей, интересующихся тем же, что и жертва, чтобы к моменту виртуального знакомства у той не возникло подозрений. Подобный подготовительный этап занимает от двух-трех дней до нескольких недель.
Теперь все готово, и социальный хакер отправляет жертве запрос на добавление в друзья, апеллируя к общим интересам, и начинает общаться на соответствующие темы, чтобы получить определенный кредит доверия. Когда жертва начинает доверять виртуальному персонажу, за которым, как кукловод, стоит хакер, наступает время действовать.
В переписке хакер жалуется, что на работе его совсем достали ограничениями — часть развлекательных ресурсов заблокирована, закрыта ICQ и многое подобное. Его задача на данном этапе — выявить факт таких ограничений в компании, доступ к сети которой он планирует получить, и воспользоваться недовольством со стороны жертвы.
Получив жалобы своего «агента», у которого, как правило, хватает претензий к тому, что он считает произволом местных IT-специалистов, хакер берет небольшой таймаут. После этого он сообщает новому другу, что решение найдено — это простая программка, запустив которую, пользователь может обойти любые ограничения на доступ к ресурсам, установленные системными администраторами компании.
Жертва сама попросит эту утилиту!
Что ж, данная утилита действительно снимет ограничения, однако она также обеспечит злоумышленнику доступ в сеть компании. Это позволит применить технические методы проникновения для эскалации привилегий и получения контроля над сетью.
Современные хакеры могут позволить себе быть ленивыми и не пытаться от и до биться с технологиями. Вместо этого можно использовать доверчивость людей, и это значительно проще, чем обходить защиту корпоративных сетей. Необязательно даже идти на более рискованные шаги, шантажируя тех, кто по неосторожности «засветился» в сети.
Как пели кот Базилио и лиса Алиса в фильме про Буратино:
«На дурака не нужен нож —
Ему слегка наподпоешь
И делай с ним что хошь.
Покуда живы дураки вокруг,
Удачу мы не выпустим из рук».
Человеческий фактор – самый опасный. Его нельзя предугадать или предусмотреть, и это касается не только социальных сетей. Например, многие длп-системы хорошо умеют перехватывать пересылаемые «в открытую» конфиденциальные документы, однако если дело доходит до намеренного инсайда – они не справляются.
Пока что решения проблемы человеческого фактора я не вижу.
Риски, связанные с человеческим фактором чисто техническими мерами не решить. Тут может помочь связка организационных и технических мер, причем технические меры лишь осуществляют поддержку оргмероприятий. Что касается самих оргмероприятий — то это большая работа, частично она раскрыта в курсе «Обеспечение безопасности UNIX (Linux/FreeBSD)» который я читаю в Специалисте.