Конкурентная разведка: «потрошители телефонов» или «социальный инжиниринг»?
Уже на протяжении трех лет в США устраивается одно очень поучительное ежегодное мероприятие — турнир социальных хакеров, на котором, пожалуй, нелишне хотя бы иногда бывать топ-менеджерам и руководителям служб безопасности крупных компаний. Многие сейчас зациклены на вопросах ИТ-безопасности, однако явно недооценивают угрозы утечки конфиденциальных корпоративных сведений при «взломе» с помощью элементарного телефонного звонка.
В профессиональной среде бизнес-разведчиков это принято называть «разведкой по людям» или humint (от английского human intelligence). Именно собственные сотрудники часто оказываются наиболее слабым звеном в системе безопасности, которую выстраивает компания.
Американский турнир социальных хакеров проходит в рамках большой хакерской конференции Defcon в Лас-Вегасе. Общая ее направленность, впрочем, вполне миролюбива: компьютерные хакеры ищут уязвимости в системах ИТ-безопасности, социальные — «взламывают» крупные американские корпорации, «прокачивая» их сотрудников по телефону и выуживая корпоративные секреты.
За всем этим с интересом наблюдают гости, в том числе и весьма статусные — например, высокие чины из ФБР, АНБ, Минобороны и Минюста США. Поучительно, на мой взгляд, то, что социальные хакеры добиваются своей цели гораздо быстрее и эффективнее «айтишных», а часто даже приоткрывают им «дверцу» для эффективной компьютерной атаки на компанию-цель.
Обставлен турнир просто. Организаторы заблаговременно выдают участникам список из десяти произвольно выбранных корпораций, входящих в Fortune 500, а также перечень «флагов» — сведений, которые нужно добыть. Две недели хакеры выбирают цель, изучают ее по открытым источникам, ищут слабое звено и «легендируются». Во время соревнования их усаживают в прозрачную звуконепроницаемую кабинку на сцене, соединяют с нужным телефонным номером, а звонок выводят через динамики в зал, дабы публика могла оценить их мастерство «социального инжиниринга». На все про все хакеру дается 20 минут: за это время он должен взять максимальное количество очков.
Многие эпизоды последнего турнира, прошедшего в июне, можно вносить в хрестоматии по конкурентной разведке. Поначалу уверенно лидировал телефонный хакер по имени Джон Каррутерс, выбравший для атаки магазины сети Target. За отведенное ему время он успел «прокачать» сразу несколько сотрудников ИТ-отделов магазинов в разных уголках страны, представляясь системным администратором центра обработки данных компании в Миннесоте и расспрашивая, почему не установлен важный «патч» в программное обеспечение по работе с поставщиками.
Во время подготовки к «хаку» от внимания Джона Каррутерса не ускользнул тот факт, что при создании своего сайта Target ненароком сделала общедоступной важную информацию ДСП — внутренние номера-идентификаторы магазинов сети. Оказалось, что они видны в командной строке браузера после перехода на страничку конкретного магазина — как часть URL.
Так что стоило кому-либо из собеседников Каррутерса слегка усомниться, что они и в самом деле имеют дело с сисадмином своей компании, тот смело называл номер-идентификатор их магазина — и этого оказывалось достаточно, чтобы корпоративная система опознавания «свой — чужой» срабатывала как нужно и дальнейшее шло уже как по маслу.
Хуже обстояли дела с «прокачкой» у хакеров, которые представлялись аналитиками, проводящими маркетинговое исследование, и журналистами.
Победителем же турнира уже во второй раз стал Шейн Магдугал, который в присутствии почтенной публики красиво разделал под орех магазин Wal-Mart в одном из канадских городков. Шейн позвонил его управляющему, представившись менеджером по логистике из штаб-квартиры Wal-Mart. Сказал, что собирается вскорости приехать в их город, поскольку подбирает «пилотные» магазины для участия в программе по реализации крупного правительственного контракта, который вот-вот может получить Wal-Mart, — однако некоторые детали, связанные с операционной деятельностью его магазина, хочет выяснить по телефону.
После такой преамбулы управляющий легко и без тени сомнения стал сдавать хакеру «флаги» один за другим и даже сболтнул немало того, о чем его не спрашивали: о графике работы смен, операционной системе и антивирусе, установленных на его служебном компьютере, названии компании-подрядчика, оказывающей клининговые услуги, порядке оплаты труда персонала и т. д.
В конце концов Магдугал попросил его зайти на сторонний сайт и заполнить на нем специальный опросный лист («Это поможет мне подготовиться к поездке», — аргументировал Магдугал). Управляющий оказался готов сделать даже это; его остановило только то, что корпоративная ИТ-система заблокировала переход на сайт, указанный хакером.
После успешного «хака» Магдугал сказал журналистам CNNMoney, что его самые любимые «клиенты» — это как раз менеджеры, отвечающие за продажи: «Стоит поманить большими деньгами, как их здравый смысл улетучивается в тот же миг». Из уст хакера-чемпиона прозвучало еще несколько очень важных слов: «Все эти CIO в крупных компаниях готовы тратить огромные деньги на файерволы и прочие вещи, но ни цента — на инструктаж и обучение персонала».
На самом деле социальный хакинг — феномен очень старый, но его «герои» предпочитают обычно оставаться в тени. Участники описанного турнира — скорее исключение. Дело в том, что многие из них профессионально занимаются «аудитом» систем безопасности крупных корпораций, поэтому заинтересованы в том, чтобы демонстрировать на публике свои возможности. Из прославившихся в Америке социальных хакеров прежних времен, не скрывавших своих сомнительных с этической точки зрения методов, можно вспомнить разве что легендарного редактора газеты Chicago’s American Гарри Романоффа.
Почти все сенсации он добывал по телефону, представляясь собеседникам то начальником полиции, то губернатором, то главой пожарного департамента. (В анналы истории вошла «осечка Романоффа», когда он однажды позвонил в дом, где недавно произошло преступление и работала следственная бригада. «Говорит коронер Обайон, сколько там у вас жертв?» — спросил Гарри. И услышал на том конце провода: «Нет, это как раз я коронер Обайон! А ты, черт возьми, кто такой?»)
Бизнес должен понимать, что современным социальным хакерам стало работать гораздо проще: легче наметить подходящего для атаки сотрудника, собрать на него досье, разобраться в служебных и личных связях внутри корпорации, в иерархии ее бизнес-подразделений, корпоративной культуре. К их услугам теперь — социальные сети, где у большинства сотрудников — от мала до велика — обнаруживаются аккаунты. Там же в ходе общения с намечаемым для «прокачки» человеком можно не спеша, загодя поучиться его профессиональному жаргону, чтобы потом говорить с ним на одном языке.
Часто хакеры не действуют «в лоб» и не стараются получить конфиденциальную информацию от самого очевидного источника в компании, располагающего ею. Чтобы выудить сведения о системе ИТ-безопасности, не обязательно «прокачивать» айтишников, а о финансовых показателях — бухгалтера. Классика коммерческого шпионажа — это, например, использование уборщицы, в обязанности которой входит выбрасывать мусор из корзины в кабинете руководителя компании. Такой мусор может оказаться источником важных сведений для конкурентов.
Телефонные звонки — чрезвычайно удобный инструмент для социального хакера. Если полученная информация не используется во вред определенной персоне или самой организации, то никакой уголовной ответственности не предполагается: общение с человеком у нас не запрещено. Свою меру ответственности в данном случае должен осознавать тот, кто находится на другом конце провода. Например, если бухгалтер даже совершенно неосознанно сообщает по телефону сведения, которые потом попадают к конкурентам, это вполне может быть квалифицировано как действие, за которое предполагается в том числе и уголовная ответственность — в соответствии с ФЗ «О коммерческой тайне».
Вполне типичная ситуация: бухгалтеру звонит человек, который представляется сотрудником статистического ведомства и просит ответить на запрос, высланный на электронную почту. Документ не вызывает никаких подозрений, поскольку составлен по всем правилам. Далее события могут развиваться по-разному. Один бухгалтер, вероятно, заполнит запрос и, сам того не подозревая, отправит его конкурентам. Другой — потребует оригинал, перезвонит в ведомство, чтобы узнать, зачем оно рассылает запросы компаниям по электронной почте… Догадайтесь, какой способ — правильный.
Важно понимать: технические меры безопасности — не панацея. Помимо дорогих и сложных ИТ-систем, защищать данные своей компании должны люди, которые в ней работают. И здесь мы уже говорим об административной защите, предполагающей постоянную работу с персоналом.
В любой организации должны быть прописаны регламенты по работе с информацией, которая может иметь конфиденциальный характер, а каждый новый сотрудник при приеме на работу должен подписывать соглашение о неразглашении коммерческой тайны. Хотя бы раз в год необходимо проводить корпоративные тренинги или семинары. Руководителю следует четко указывать, где находится коммерческая тайна и как ее нужно охранять. Такая профилактика утечки данных — преимущественно образовательные мероприятия.
Социальные сети давно превратились в среду, где «черные» хакеры успешно ведут свою «разведку по людям». Уже известны случаи, когда они специально заводят аккаунт от имени генерального директора компании и начинают активно «дружить» с сотрудниками, выуживая интересующие сведения. Разумеется, для подобного «взлома» подбираются в основном компании, руководство которых пребывает на некоторой дистанции от сотрудников — географически или с точки зрения управленческой иерархии.
В таком случае нет риска, что до генерального дойдет информация о его активной «дружбе» с подчиненными в Сети. В компаниях с предусмотрительным руководством аккаунты-клоны игнорируются, потому что до коллектива своевременно доводится реальный аккаунт генерального директора.
Это действительно работает. Но хакер может с большим успехом создать аккаунт жены руководителя, попытаться познакомиться со всеми, кто имеет отношение к компании, и таким образом постепенно разведывать обстановку. Как же уберечься от опасности? Решение проблемы кроется в обеспечении максимальной информативности, чтобы у персонала было общее понимание того, с кем вести переписку и на какие темы разговаривать.
Автор: Роман Ромачев. «Бизнес-журнал Онлайн»
Об авторе: Роман Ромачев — генеральный директор компании «Р-техно»
Tweet