среда, 14 декабря 2016 г.

Выявление инсайдеров и склонность к преступлению

Недавно на хабре опубликовали статью, где автор рассматривал возможность выявлять потенциальных инсайдеров с помощью определения психологического типа личности сотрудников.
Тема действительно интересная, и даже побудила меня разбудить блог из спячки, чтобы поделиться ей.

Автор предлагает использовать методику Маерс-Бриггс (MBTI) примерно в таком сценарии:
  1. HR-служба «прогоняет» сотрудника по определённому набору тестов.
  2. Информация передаётся в службу обеспечения ИБ.
  3. Зная, к какому типу принадлежит сотрудник, специалист в сфере обеспечения ИБ определяет его потенциальную склонность к инсайду (должны учитываться не только ключевые характеристики психотипа, но и другие переменные: выраженность предпочтений, склонность к риску, уровень социального интеллекта)
  4. Сотрудник попадает в группу риска, где за ним более детально следят
Мысль хорошая, вот только она опирается на один момент, оставленный как бы за скобками - все эти методики предполагают честное вовлечение объекта исследования в процесс. Т.е. определить какой-то "рисковый тип" мы сможем, только если сотрудник будет честно отвечать на все пункты опросника. А теперь представьте, что вы внедрились в компанию для кражи её секретов. Будете ли вы отвечать в психологическом тесте HRов честно? Сомневаюсь.
Более того, вам захочется состроить из себя какого-нибудь забитого чувственного интроверта ISFP. А это будет не очень сложно, особенно для опытного психолога или соц.инженера. 

В результате, внимание службы ИБ будет отвлечено на красную тряпку, в то время как незаметный новенький программист "как его там зовут даже не помню" будет спокойно собирать информацию и тырить всё, что ему нужно.

Тем не менее, сама идея достаточно не плохая. Нужно только подумать над методиками определения психотипов. Эти методики должны быть:
а) Объективны
б) Незаметны для испытуемых
в) Желательно адаптированы под конкретные условия их применения (специфику деятельности компании, или специфику коллектива, например, программистов).

среда, 6 апреля 2016 г.

Интересные трюки с нашим вниманием

Вы считаете себя внимательным человеком? Ролики ниже докажут, что это не так:)

Умея управлять вниманием, соц. инженер превращается из обычного фокусника в мага-волшебника!

 1. Кто совершил убийство?



2. Сколько пассов сделала команда в белом?


3. Как карта поменяла рубашку?

понедельник, 4 апреля 2016 г.

Social proof или "стадный инстинкт"

Если вы осознаёте всю опасность социальной инженерии, то наверняка хотели бы использовать и методы защиты от неё. Однако, для защиты от социальной инженерии не существует какой-то антивирусной программы или навороченной системы от McAfee\IBM\Symantec. Единственный действенный способ - это повышение образованности сотрудников и их знаний о безопасности и защите информации. Давайте посмотрим один из вариантов, как сама социальная инженерия может стать хорошим инструментов для защиты от неё самой.

Социальное подтверждение или "стадный инстинкт"

Ключом к выбору правильного подхода, может быть так называемое "социальное подтверждение" (social proof). Это явление, при котором мы ищем у окружающих людей модель правильного поведения в той или иной ситуации. Социальное подтверждение (или "социальное соответствие") хорошо изучено и описано в поведенческой психологии. Часто можно услышать и такое грубое его определение как "стадный инстинкт".
Вот отличный иллюстрирующий пример, как ведёт себя человек в непонятной ситуации (особенно последний эпизод): https://www.youtube.com/watch?v=cPYiS5ebGgk

Прежде всего отмечу, что стремление к социальному соответствию - это нормально. Это заложено в нас самой природой. Такой механизм необходим для выживания - использовать в необычной ситуации коллективный разум, вместо индивидуального, гораздо более выгодно и безопасно. Не обязательно более умно, но в критической ситуации это может спасти жизнь.
Инстинкт "следования за большинством" настолько силён в нас, что многие чувствуют дискомфорт в обыденной жизни, когда говорят или делают что-то отличное от мнения большинства.

Интересно, что это явление, видимо, присуще исключительно человеку. Обширные исследования Daniel Haun показали, что двухгодовалые дети ищут правильное решение поставленных перед ними задачек, наблюдая за другими детьми, а вот детёныши шимпанзе и орангутанов - нет.

Важные параметры 

Из-за того, что социальное соответствие - потенциально очень сильный и сложный инструмент влияния (и один из наиболее не осознаваемых самим человеком), для использования необходимо хорошо его понимать. Надо знать несколько важных факторов, непосредственно влияющих на этот социальный механизм.

  1. Правильный размер группы. Для получения эффекта группового влияния необходима, собственно, сама группа. Но она не должна быть большой. Согласно исследованиям, оптимальный размер группы - 3-5 человек. Но важно отметить, что такой размер группы подходит лишь для персонального влияния, т.е. эксперимента над одним человеком.
  2. Единодушие. Очевидно, что для оказания влияния на человека, все члены группы должны быть единодушны в своих действиях и решения. Эксперименты показали, что внушаемость испытуемых падала с 97% до 36%, если хотя-бы один из группы выступал в оппозицию к мнению большинства.
  3. Социальная принадлежность. Очень важно, чтобы испытуемый испытывал чувство принадлежности к группе влияния, идентифицировал себя с ними. Согласитесь, если вы окажитесь в одной комнате с толпой китайцев, единогласно что-то утверждающих вам, вряд ли вы поддадитесь на их влияние. Если, конечно, вы сам не китаец:)
  4. Неопределённость  - это то, что позволяет включиться инстинктам социального соответствия. Только когда окружение и ситуация вокруг нас не позволяет мгновенно принять решения самостоятельно, или когда возможных решений много - мы начинаем искать правильные варианты в поведении людей вокруг нас. Соответственно, для максимального эффекта внушаемости, необходимо чтобы ситуация для испытуемого была неоднозначна, необычна и имела бы много вариантов решения.

Как это использовать?

Явление социального подтверждения - это мощный инструмент, который легко можно использовать при тестировании своей организации. Будут ли ваши сотрудники нарушать политику безопасности, потому что они думаю, что кто-то тоже так делает? Например, если "новенький айтишник", изо всех сил пытается справиться с проблемой и заслужить похвалу начальства, а для этого ему всего-лишь нужно запустить одну программку на компьютере, "ведь все остальные уже запустили". Конечно, ваши сотрудники знают, что этого делать нельзя. Но как они поведут себя, если будут думать, что другие люди вокруг поступили по другому?

Механизмы социального подтверждения можно использовать и для увеличения эффективности обучения сотрудников. Если вы работаете в коллективе, в котором соблюдение культуры информационной безопасности - это норма (пусть это и не совсем так на самом деле), вы будете гораздо более осторожны в своих решениях. Хорошей практикой для выработки такой культуры, будут регулярные анонсы об использовании тех или иных методов защиты информации сотрудниками, которые позволят создать ощущение, что все вокруг уже заботятся о безопасности.
Подробнее можно почитать в интересном исследовании (англ.): Increasing Security Sensitivity With Social Proof

Так что в следующий раз, оказавшись в неожиданной ситуации и начав озираться по сторонам, высматривая как ведут себя люди вокруг, вспомните и осознайте, что "социальное соответствие" - это мощный механизм нашей психики. И освоив его, вы можете взять себе на службу один из самых действенных инструментов в социальной инженерии.

четверг, 14 января 2016 г.

Что будет, если отвечать на спам

Давно не писал. Но постараюсь исправить это, т.к. накопилось некоторое количество интересного материала.

Для поддержания пятничного настроения, небольшое видео. К сожалению, только на английском, но там всё понятно.



среда, 11 ноября 2015 г.

ТОП-5 атак с использованием социальной инженерии (часть 2)

Итак, продолжим ТОП ещё двумя атаками, которые реализовывались с использованием техник социальной инженерии.

2. Hidden Lynx Watering Hole

Вполне заслуживает второго места в топе китайская кибер-шпионская группировка "Hidden Lynx". Заслуживает тем, что ей удалось реализовать несколько успешных атак, применяя технику watering hole (водопой).
Вкратце, WH (не путать с worm hole) - это продвинутый фишинг и относится к группе APT-атак. Выясняется, на какой сайт часто заходит группа людей, являющейся целью хакеров, и специальный вредоносный код внедряется именно на этот сайт. Watering hole хоть и сложнее классического фишинга, но позволяет добиться успеха при сложных взломах, когда цель является более-менее компетентной в вопросах безопасности и не "клюнет" на ссылки из непонятных писем.
Группа "Hidden Lynx" использовала подобную тактику в известных атаках на Bit9, VOHO и в ходе достаточно успешной Operation Aurora, целями которой были Google, Adobe Systems, Juniper Networks, Rackspace, Yahoo, Symantec, Morgan Stanley и др.

1. Принц Нигерии!

Так называемые "Нигерийские письма" - это, наверное, один из самых распространённых и широко известных видов мошенничества. Существовал он задолго до Интернета, но особое распространение получил, естественно, с появлением массовых рассылок по электронной почте.
Как правило, письмо приходит от имени бывшего короля или принца\принцессы, с просьбой о помощи в банковских операциях по переводу денег из Нигерии за границу. Обоснований приводится масса - высокие налоги, политическое преследование и т.д. В замен обещается процент от переведённой суммы. А так как суммы как правило весьма внушительны (от нескольких тысяч $ до миллионов), то и вознаграждение обещается заманчивое.

Если жертва отвечает на письмо - вот тут и начинается Социальная инженерия с большой Буквы!:) Мошенники используют все средства, техники и способы убеждения, чтобы выкачать деньги. Высылают документы, которые необходимо заполнить, просят деньги на оплату сборов и гос.пошлин, требуют положить несколько тысяч $ на счёт в нигерийском банке, чтобы якобы авторизовать транзакцию. Оказывают все виды психологического давления, описанные в том числе и в моём блоге. В некоторых случаях даже организовывались полулегальный приезд жертвы в Нигерию, якобы для тайной встречи с "наследным принцем", где человека просто похищали и вымогали деньги за его освобождение уже у родственников. Существуют и прецеденты убийств. Никаких денег, естественно, никто и никогда от Короля Нигерии не получал.
Не смотря на широкое распространение этого мошенничества и обсуждения в СМИ, массовость спама приводит к тому, что это мошенничество до сих пор процветает. В одном только 2013 году, по данным исследования, рынок этого мошенничества составил $12.7 миллиардов!

Несколько интересных фактов:

  • в 2005 году нигерийским спамерам присудили шнобелевскую премию по литературе
  • в 2006 году журнал Forbes поставил принца Абакалики Нигерийского на 9-е место в списке "15 богатейших вымышленных персонажей"
  • известно, что два россиянина сумели заработать на мошенниках, развернув схему в свою пользу - один из них получил от мошенников $10, а другой $600, ничего не отдав в замен.



вторник, 10 ноября 2015 г.

ТОП-5 атак с использованием социальной инженерии (часть 1)

Забавы ради, расскажу про пятёрку самых успешных и громких, на мой взгляд, атак с использованием социальной инженерии.
Итак, приступим!

5. Взлом RSA SecurID


До конца в причинах этого взлома ещё толком и не разобрались. В 2011 году, компания EMC, владелица RSA, потратила $66 миллионов на восстановление после взлома своих токенов двухфакторной аутентификации SecurID. Загадкой остаётся какая информация утекла на самом деле. В заявлениях RSA просто указано, что из-за утечки снижена эффективность SecurID, но был ли украден исходный код или криптографические ключи - неизвестно.
Одна что известно, так это то, что атака началась именно с социальной инженерии. Вот что написала RSA по этому поводу:
Атакующий послал два фишинговых письма в течение двух дней.  Эти два письма были направлены двум небольшим группам сотрудников. Нельзя сказать, что эти сотрудники имели высокие уровни доступа или представляли высокий интерес для злоумышленника. Заголовком письма было: "2011 План набора персонала" (2011 Recruitment Plan)... 
На письмо "клюнул" один из сотрудников и открыл вложенный файл Excel .xls... 
Файл содержал в себе эксплоит (zero-day), который установил backdoor, используя уязвимость Adobe Flash (CVE-2011-0609).
Easy mod какой-то :)

4. Похищение алмазов из ABN Amro

В 2007 году произошёл интересный случай, достойный фильмов про друзей Оушена. Но в данном случае, всех "друзей" сыграл один единственный человек. Ему удалось вынести из депозитных ячеек бельгийского банка ABN Amro bank алмазов на сумму около $28 миллионов. Он просто зашёл в банк в рабочее время, обошёл все механизмы защиты и вышел через дверь с кучей алмазов.
В ходе расследования этого инцидента выяснилось, что мошенник просто очаровал всех сотрудников банка. Он покупал им шоколадки, был с ними любезен, собрал необходимую информацию, добыл копии необходимых ключей. Разработанный им план сработал просто идеально, злоумышленника так и не нашли.
Вот как важен подготовительный этап в СИ-атаках!

3. Взрыв в Белом доме

В 2013 году, в твиттере известного издания "Associated Press" появилось сообщение: "Два взрыва в Белом доме, Барак Обама ранен."
Естественно, это была ложная информация и являлась частью известной тогда атаки хакерской группировки Syrian Electromic Army на медиа-агенства США. Но последствия этого "прикола" были весьма серьёзные. За несколько минут, пока новость не была опровергнута, индекс DowJones упал на 150 пунктов!
В наш топ-5 этот случай попал из-за того, что взлом также был осуществлён с помощью фишинга.  Вот такое письмо получили несколько сотрудников Associated Press:
Sent: Tue 4/23/2013 12:12 PM
From: [An AP staffer]
Subject: News
Hello,
SPONSOR VIDEO, MOUSEOVER FOR SOUND
Please read the following article, it’s very important :
http://www.washingtonpost.com/blogs/worldviews/wp/2013/04/23/

[A different AP staffer]
Associated Press
San Diego
mobile [removed]

О последних двух в следующем посте!