Конференция Defcon, недавно прошедшая в Лас-Вегасе (США), показала по крайней мере одну причину крупномасштабных взломов корпоративных сетей, интенсивность которых не ослабевает, несмотря на огромные усилия и деньги, направленные на информационную защиту.
Defcon — это мероприятие, организуемое добропорядочными хакерами, которые стараются обратить внимание поставщиков ИТ на уязвимости в их продукции, чтобы те могли принять соответствующие меры. В рамках конференции проводятся хакерские соревнования, указывающие компаниям на слабые места в их корпоративной защите и стимулирующие их обучать персонал методам противостояния злоумышленникам.
Ведь для этого совершенно не обязательно владеть премудростями ИТ. Достаточно просто здравого смысла и элементарной осторожности. Но, как показали соревнования по социальному инжинирингу (способам проникновения в защищённые системы, основанным на использовании индивидуальной психологии), люди нередко пренебрегают этим. Участники состязались в умении получить определенную информацию — например о том, как компания копирует и защищает свои данные, каким образом использует беспроводные сети, кто в ней обеспечивает корпоративную безопасность, снабжает тонером для принтеров и бумагой для копировальных устройств.
В результате хакерам без труда удалось получить у сотрудников ряда крупных американских организаций секретные данные, которые вполне можно использовать для взломов. Помимо этого они убеждали служащих зайти на предложенные ими сайты с корпоративного компьютера. Если бы эти сайты были хакерскими, то с них можно было бы загружать вредоносный код в корпоративную сеть. В одном случае участник соревнования притворился ИТ-менеджером и получил от сотрудницы данные о конфигурации ее ПК. Подобные сведения также сгодились бы для создания вредоносного кода и проведения атаки.
Наименее защищенной оказалась Oracle. Именно ее сотрудники передали хакерам больше всего информации. Наблюдатели с иронией напомнили, что Oracle начинала тридцать лет назад с поставок защищенной СУБД в ЦРУ.
Среди других компаний, проигравших в соревновании с хакерами, оказались такие киты американской индустрии, как Apple, AT&T, ConAgra Foods, Delta Air Lines, Symantec, Sysco, United Airlines и Verizon Communications.
По словам одного из организаторов соревнования, в этом году результаты оказались хуже, чем год назад. Судя по ним, хакеры могут получить от сотрудников компаний любые нужные им сведения. Например, они способны выведать всё что угодно, притворившись потенциальным клиентом, не уверенным в безопасности совместного бизнеса, или сделав вид, что звонят из другого отдела либо из удаленной службы техподдержки. А ведь на важность социального инжиниринга в деятельности хакеров указывал еще знаменитый Кевин Митник в своей книге “Искусство обмана” (Art of Deception), которую он написал в 2002-м после выхода из тюрьмы.
Специалисты по защите подчеркивают, что злоумышленники часто используют социальный инжиниринг в атаках типа “целенаправленный фишинг”, когда они якобы от друзей посылают сотрудникам электронные письма, в которых просят открыть вложенный файл или зайти на вредоносный сайт. Именно такой способ применялся в ряде громких взломов, которые произошли в последнее время.
Таким образом, компаниям следует уделять гораздо больше внимания информированию своего персонала о методах работы хакеров. Ведь даже самые безобидные на первый взгляд сведения могут послужить лазейкой для злоумышленников.
