Социальная инженерия

Каждый, наверное, из нас слышал или видел данный термин. Часто он встречается как раз на порталах посвященных сетевой безопасности. Итак, что же
это все-таки означает? А обозначает он способность "заговорить человеку зубы" и путем, каких либо махинаций войти к нему в доверие, что бы потом воспользоваться этим в своих корыстных целях. Я сделаю небольшой лирический отступ в недалекое прошлое. Многим, наверное, приходили письма на e-mail от якобы админов каких то проектов, на которых вы имеете аккаунт и рассказывали вам душещипательную историю про то, как злобные хакеры взломали базу данных их проекта и поэтому вы должны немедленно отослать на данное мыло ваш логин и драгоценный пароль. Вы можете не верить, но многие люди отсылали - причем с мыслями "вот какие тут добрые админы! они заботятся о моей безопасности!". А на самом деле все логины и пароли уходили злым кульхацкерам ,которые и выдавали себя за админов. Мне тоже один раз пришло такое письмо, якобы от админа моего провайдера который требовал логин и пароль от моего аккаунта для выхода в интернет. Но я уже был наслышан о таких письмах и в ответном письмо послал этих кульхацкеров туда куда птицы улетают зимой (то есть на ЙУХ).Больше с того адреса мне не писали.В данной статье я хочу помочь вам научиться использовать эту самую Социальную Инженерию (далее СИ) и самому не попадаться на эти уловки.Итак вот краткий список что нам потребуется для этого:

1)Светлая голова (куда уж без нее)
2)Грамотная русская речь (я думаю мало народа купиться на СИ письмо автор которого пишет слово "еще" как "исчо")
3)Небольшое знание человеческой психологии ( об этом я вам сейчас и расскажу)

Одним из самых важных аспектов человеческой психологии является:

Любопытство

Итак, наверное, многим из вас хоть раз в жизни приходило в голову впарить кому нибудь трояна? Ну вот вот допустим надо узнать о чем пишет ваша девушка
или молодой человек в ICQ своим друзьям. Вопрос жизни и смерти прям))) троян мы подготовили, закриптовали (склеили с картинкой или с чем угодно) остался
пустяк - впарить его.
1)Впариваем молодому человеку
если вы не хотите сами палиться (что бы молодой человек знал что именно благодаря вам его хистори плавно перекочевало с его компбьтера на ваш) регим
новый номер ICQ(c женским ником - какой нибудь "Принцессой" или "Машкой")) далее смотрим по обстоятельствам - есть несколько вариантов
а) вводим в Гугле (кто не знает www.google.ru) ник (ICQ,e-mail) жертвы и смотрим, на каких сайтах и форумах он встречается и где он зарегестрирован.
Допустим он зарегестрирован на каком нибудь форуме типа www.blablabla.ru/forum/. Регимся на нем тоже. Ок теперь время действий. Стучимся со
свежезарегенного номерка к нему в аську. Далее следует примерно вот такой диалог.(Хацкер (Х) - это вы. Жертва (Ж) этот молодой человек)

Код:

Х: Привет!)

Ж: Привет. Ты кто??

Х: ой, а я с www.blablabla.ru/forum/ только вот пять минут назад зарегилась)) ты не можешь мне помочь? Меня Маша зовут )

Ж: хм.. а чем я могу помочь? меня Леша зовут))

Х: да я хотела свою фотку на аватар поставить а у меня что то не получается((( я вообще не понимаю что там делать надо.. я вообще мало в компьтерах 

разбираюсь

Ж: ну там же все просто( далее идет долгое и подробное описание как это надо сделать)

Х: блин... ну все равно ничего не получается (((

Ж: блин...

Х:слушай а давай я тебе дам свой логин и пароль и фотку скину а ты поставишь? пожалуйста!)

Ж: блин... (пытается опять объяснить как надо  правильно ставить аватар)

Х: ну все равно нифига не получается ((((((((( помоги пожалуйста. ты же я вижу хорошо в компах разбираешься ( а вот это одна из главных фраз - давит на самолюбие жертвы))))

Ж: ну давай фотку.. и логин с паролем.. ща поставить попытаюсь.

Х ок  спасибо)

Дальше все понятно ) скидываем логин с паролеми,наш троян склееный с фоткой) 99% что жертва посмотрит фотку перед тем как пытаться ее куда то ставить))а мы будем сидеть
и ждать отчеты)

б)или же можно все это делать не парясь с новыми номерками и регистрациями. Можно просто в обычном диалоге с "жертвой" после стандартных "Привет как дела" ответить что дела ужасно, мол вскочил " огромный прыщик" на лице, что мол жизнь кончена и так далее. Продолжаем плакаться пока жертва как "настоящий Лыцарь"не начнет нас утешить и скажет что нибудь подбадривающее)а вы со словами "Правда? ну на сам посмотри! правда незаметно???" отправляете жертве трояна склееного с картинкой и опять же сидим и ждем отчеты)

2) Впариваем девушке
тут немного попроще. Берем все тот же закриптованный троян (склеиваем, с чем нибудь) и заливаем на какой нибудь файлообменник или на свой сайт на народе или любом другом
халявном хостинге( что бы получилось ссылка вида http://superpupersite.narod.ru/super.(расширение зависит от типа файла с чем вы склеивали трояна)
и скидываете ссылку в аську нашей жертве)) а потом сразу же пишите ей что то типа "Ой не качай! это не тебе!" 80% девушек скачает)))) а мы сидим и ждем отчеты)



Рассмотрим следующий аспект человеческой психологии


Доверчивость

Люди склонны доверять даже тем людям которых они видят и слышат в первый раз в жизни.В этом случае от нас (СИ инженера) требуется просто уверенность в себе и уверенным голосом убедить человека, почему он должен скачать это файл, отдать свои логины и пароли или пропустить вас в охраняемый подъезд (каждый, наверное сталкивался с бабками консьержками которые упорно не пускали вас в гости к вашей девушке? или охранником в школе который вас на перемене курить не пускал на улицу.)) Я повторюсь, что тут надо изъясняться уверенно, не волноваться и не показывать жертве(собеседнику) что вы волнуетесь сами. Что вам действительно надо позвать Гиви из 47 квартиры по указанию учителя. Что бы этот самый Гиви смог сдать тетрадку или дневник вовремя. Что вам действительно в данный момент надо сбегать домой за учебником иначе ты получишь двойку.Я так в 7 классе после первого урока часто курить бегал) подходил к охраннику и говорил что мол забыл запереть дверь входную дома или забыл конспект. Благо живу в 100 метрах от школы. Он и выпускал )))


Страх

Страх чего то потерять или чего то не получить, или просто какой-нибудь комплексный страх. То есть когда человеку приходит письмо от якобы его провайдера в котором
черным по белому написано, что он должен не медленно выслать свой логин и пароль иначе его аккаунт будет заблокирован или того хуже удален! и человек напуганный таким оборотом событий отсылает и пароль и логин. Хорошим примером этого будет случай, описанный в статье Алексея Лукацкого, в котором хакер в течение всего пары минут получает пароль к аккаунту работника банка:

В разгар рабочего дня в операционном зале банка раздается звонок. Молодая операционистка поднимает трубку телефона и слышит мужской голос:

Код:

-С вами говорит администратор сети, Иван. Как вас зовут? 

-Оля! 

-Олечка, мы сейчас проводим плановую модификацию программного обеспечения "Операционный день банка". Ты не могла бы назвать мне свой пароль? 

-А мне говорили, что чужим нельзя называть свой пароль. 

-Так я ведь не чужой! Я свой, я сотрудник отдела информатизации. Мой начальник - Петр Петрович Петров. Я хочу всю работу сделать поскорее. А то и тебе и мне придется 

оставаться после работы. А у тебя, наверняка, есть дела вечером. К тому же, твоему начальнику тоже придется задержаться после работы. А он будет этим недоволен, что может 

отразиться и на тебе. Ты согласна? 

-Да, согласна. 

-Тогда назови свой пароль и все будет ОК. 

-Мой пароль olja. 

-ОК. Спасибо за помощь.

Видите все как просто? а все из-за того, что эта Оля побоялась задержаться на работе и то, что начальник может рассердиться.
тут главное умение заключается что бы надавить на этот страх и грамотно выразить свою мысль почему жертва должна сообщить вам какую-то информацию ( в данном случае пароль)



Жадность

Это один из главных человеческих пороков и его используют многие Социнженеры. В том числе и кидалы. Многие люди хотят взять всего побольше и подешевле.
Гонятся за дешевизной и халявой. Но запомните, что бесплатный сыр бывает только в мышеловке.И поэтому когда вы видите на форуме объявление о подозрительно дешевой продаже или вам счтучат в асьу и предлагают купить пятизнак 12345 за 10WMZ не надо тут же бежать и менять все свои деньги. А просто подумать, почему так дешево продается такая элита 100% кидок. И вы рискуете после перевода денег на указанный кидалой кошелек услышать мат в свою сторону и то что он вас кинул.А можете вообще ничего не услышать. да что за примером далеко ходить - возьмем того же самого Мавроди с его МММ.Вот это СИ глобального масштаба построенная на жадности и доверчивости людей! они сами несли деньги ему. И тысячи вкладчиков до сих пор его боговторят и думают, что он им все выплатит обратно. Но это маловероятно.Вообщем не жадничайте и не попадайтесь на удочку кидал.



Внимание данная статья носит ознакомительный характер и использование методов описанных выше может нарушать УК Украины!!!. Автор не несет ответственности за данную статью.

P.S. это моя первая статья на даную тему! так что прошу ногами не пинать.Оставляйте свои комментарии и замечания.Спасибо за внимание.

Это вольный перевод известной мантры Настоящих Сисадминов (оригинал на www.adminspotting.org). Если ты, сидя на работе, без проблем получаешь и отсылаешь почту, веб-странички всегда грузятся шустро, с одинаковой скоростью даже в самые рабочие часы и совсем без баннеров, вся информация на сетевых дисках регулярно бэкапится, а критически важная база данных уже третий год работает без сбоев, если шестнадцать ваших удаленных офисов по всему городу связаны одной локальной сетью, в которой ты не видел ни одного вируса или червя, хотя многие сидят на непропатченных виндах, а фразу "по техническим причинам" ты последний раз слышал полтора года назад, поздравляю - у тебя в конторе работает Настоящий Сисадмин. Как и у любого труженика IT-сферы, жизнь у админа нелегкая, а работа - подчас неблагодарная. Системные администраторы - уникальный круг людей, которым чужд карьерный рост в привычном понимании этого слова. Они не стремятся быть большими начальниками и управлять людьми, быть на виду. Это тот редкий случай, когда человек считает свою работу отлично выполненной, если эту работу не замечают. Все просто работает. Как часы. Без сбоев. Однако по поводу работы сисадминов есть некоторые заблуждения, которые следует развеять. И показать, что "choose no life..." - не только громкие слова.

МИФ ПЕРВЫЙ: "АДМИН ЭТО ТОТ, КТО СИДИТ ЗА КОНСОЛЬЮ И ЛЕНИВО ТЫЧЕТ В КНОПКИ"

Прежде чем лениво перемещать конечности по устройству ввода, следует проделать очень много работы. Протянуть сеть по этажам здания и кабинетам, прикрутить на каждом этаже патчпанель с коммутаторами, завести это все на один внутренний роутер, собрать от одной до десятка серверных стоек, между делом обжать пару-тройку десятков сетевых шнуров, заодно продумать будущее расширение сети с добавлением новых офисов безболезненно для текущих. Все это требует долгих часов и дней работы с отверткой и плоскогубцами, ползаний по фальшпотолкам с проводами в зубах, ковыряний в серверной стойке. Именно поэтому рабочая одежда админа - свитер, потертые джинсы и мягкие кроссовки. Не потому что он не следит за собой, а потому что он следит за сетью. Только после этого ты можешь просто и беззаботно воткнуть свою рабочую машину в настенную панель, а админ - сидеть за клавиатурой и настраивать почту, базу данных или что-нибудь еще.

МИФ ВТОРОЙ: "ЗНАЧИТ, АДМИН ДОЛЖЕН УМЕТЬ ДЕЛАТЬ ВСЕ"

Это вроде бы вытекает из первого. На самом деле, админ, который и сеть протягивает, и сетевые сервисы настраивает, и программы пишет, и веб-сайты мастерит - большая редкость, самородок. Во всех крупных организациях сисадмин - лишь один из сотрудников технического отдела, в котором, как правило, пара специалистов отвечают за физическую организацию сети, пара сисадминов занимаются непосредственно почтой/веб-сервером/базой данных и прочими сервисами, и еще пара сотрудников бегают к пользователям, решая их извечные проблемы с жутко своенравной OS Windows :). Однако в средних и малых организациях со всем обычно приходится управляться одному-двум специалистам. И тут уж Настоящий Админ должен действительно уметь все. Под "уметь все" подразумевается не знание всего, что только есть в сетевом мире, а умение в этом разобраться. Так, админ не обязан знать наизусть все тонкости работы протокола radius, но, используя свой багаж знаний и имеющуюся в Сети документацию (которую он найдет с помощью верного гугля), обязан быстро разобраться и настроить сервис freeradius, реализующий этот протокол.

МИФ ТРЕТИЙ: "ХОРОШИЙ АДМИН ОБЫЧНО НИЧЕМ НЕ ЗАНЯТ"

Часто можно услышать, что частота появления админа на работе обратно пропорциональна его крутости. Мол, у настоящего профи все работает без сбоев, а потому на работе он появляется только в дни выдачи зарплаты или корпоративных праздников. Такие ситуации действительно бывают, однако в серьезных организациях начальству наплевать, что "Вася ушел домой, потому что все работает", так как один час простоя веб-сервера/базы данных/удаленного офиса может стоить нескольких тысяч долларов, десятков потерянных клиентов и, наконец, просто имиджа компании. Настоящий админ должен не только уметь предупредить сбой (от сгоревшего процессора или посыпавшегося винчестера никто не застрахован), но - и это гораздо важнее - уметь ликвидировать его последствия в кратчайшие сроки без ущерба для компании. В идеале пользователи не должны заметить, что почтовый сервер со всей базой накрылся. Бэкапы, дублирование серверов, откаты - эти слова должны быть знакомы каждому админу. А фраза: "Винчестер сгорел, поэтому я переустанавливаю ОС с нуля", - нонсенс.

МИФ ЧЕТВЕРТЫЙ: "НАОБОРОТ, АДМИН ВСЕГДА ЗАНЯТ"

Это другая крайность, вызванная тем, что, как правило, админы уходят с работы позже остальных сотрудников, а иногда и ночуют на работе. Поэтому у некоторых админ ассоциируется с небритым уставшим перцем с красными глазами. Действительно, если в компании происходят серьезные перемены в сетевой инфраструктуре, то рабочий день админа продлевается ровно настолько, сколько нужно для окончания работ. Но если все идет своим чередом, то админ пьет кофе, читает IT-новости и (обязательно!) security-рассылки. Словом, держит себя в курсе и наготове. Перманентно и незаметно проходят патчи и апдейты системы и сервисов, мелкие улучшения, продумываются планы по дальнейшей жизни сети. Админу не обязательно постоянно ковыряться в серверах, но также недопустимо, чтобы для него стала новостью информация о серьезной уязвимости двухдневной давности. Админ, узнавший о новой уязвимости от коллег - не админ.

МИФ ПЯТЫЙ: АДМИНЫ - ВСЕ СПЛОШЬ ФАНАТИЧНЫЕ ЮНИКСОИДЫ"

Безусловно, любой уважающий себя админ должен знать UNIX и уметь работать в консоли, не полагаясь на многочисленные графические утилиты конфигурирования. И многие админы - прежде всего unix-rypy. Хотя бы потому, что 70% серверов в Сети работают под управлением различных вариаций UNIX, Apache доминирует на рынке веб-серверов, как и ISC BIND - среди DNS. Но надо понимать, что сеть - это не только веб/почта/DNS. Есть еще маршрутизаторы, а значит - Cisco. И хотя сейчас opensource-решения на базе UNIX по возможностям превосходят некоторые циски, все-таки PC - это PC, а маршрутизатор - специализированное устройство. Многие ставят под сомнение целесообразность использования Windows NT в качестве серверной платформы, однако есть ли разница для начальства, чем управляется сеть, если все работает без сбоев, потребности компании в сетевых службах удовлетворяются, и о взломе вашей сети не может быть и речи? Надо раз и навсегда понять, что нет лучшей операционной системы, лучшего дистрибутива Linux, лучшего ftp-демона, и так далее. Настоящий админ должен сделать все быстро и качественно, а какие он при этом будет использовать средства - дело исключительно его вкуса. В конце концов, если админу нравится каждый день качать патчи к серверам под управлением Windows 2000 - это его дело ;).

МИФ ШЕСТОЙ: "АДМИН - НЕФОРМАЛЬНАЯ, ЛЕНИВАЯ И БЕЗОТВЕТСТВЕННАЙ ЛИЧНОСТЬ"

Сисадмин приходит на работу все время в одном и том же свитере, иногда полусонный, с высоким начальством не общается. У него автоматизировано в системе все, что только можно. Для всего готовы скрипты, и он даже не помнит, когда последний раз устанавливал ОС с компакт-диска, так как все обновления происходят пересборкой системы из свежего дерева исходников. А в случае установки с нуля есть скрипт автоматической установки ОС и всех необходимых сервисов. Но админ может уйти в отпуск, и все его обязанности временно лягут на помощника. Который как минимум должен разобраться в том, что админ наворотил, и не сделать хуже. Так что обязательно - дотошное комментирование всех конфигурационных файлов, резервирование систем на случай отката или восстановления, согласование изменений с коллегами по серверной комнате, умение четко и толково разъяснить, что, где и как функционирует. Админу действительно иногда лень купить второй свитер или поменять джинсы. Ему лень объяснять пользователям, почему у них глючит винда. Но что касается Его сети - это не неформал и не лентяй. Это - Настоящий Сисадмин.

МИФ СЕДЬМОЙ: "ХОРОШИЙ АДМИН - НЕМНОГО ХАКЕР"

Это, собственно, и не миф. Безопасность сети должна стоять на втором месте после стабильности ее работы. Поэтому хороший админ предпочтет зарекомендовавшие себя безопасные решения, даже если они сложнее в обслуживании и настройке. Админ должен быть в курсе приемов, которые используют взломщики для проникновения в сети, и испробовать их на своей сети раньше, чем это сделают хакеры. Известно, что подавляющее число взломов происходит по причине использования старых, дырявых версий сетевых сервисов, для которых существуют публичные эксплойты. Но даже если админ вовремя обновляет Apache и MySQL, a программисты написали дырявый скрипт, злоумышленник может получить доступ к системе с правами веб-сервера или базы данных. Поэтому нельзя ограничиваться только своевременным обновлением сервисов, нужно еще запускать их в максимально безопасной конфигурации. Работа сисадмина редко может быть оценена по достоинству простыми пользователями, но ему это не нужно. Он не ищет популярности. Он просто делает так, чтобы сеть работала.

Статья из журнала XAKEP

1. Если он не твердый, от него все равно получишь удовольствие.

2. Шоколад можно есть в машине, не боясь быть застуканным ментами.

3. Шоколад можно есть в присутствии мамы.

4. Шоколад, если его укусить, не кричит и не жалуется.

5. Два человека одного пола могут вместе есть шоколад, не боясь осуждений в свой адрес.

6. Шоколад не будет жаловаться, что его очень быстро съели.

7. После шоколада не остается волос во рту.