Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

Министерство образования  и науки РФ

Федеральное государственное  бюджетное образовательное учреждение

высшего профессионального  образования

«БАШКИРСКИЙ ГОСУДАРСТВЕННЫЙ  УНИВЕРСИТЕТ»

Институт управления и безопасности предпринимательства  

 

Кафедра информационной безопасности  

 

Специальность 090103.65 «Организация и технология защиты информации» 

 

 

  

 

 

  

 

 

 

ДИПЛОМНАЯ РАБОТА  

 

 

  

 

Тема: Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа» 

 

 

  

 

 

  

 

Студент  __________________ /Балдин И. А./ 

 

 

 

Научный руководитель __________________ /Клюев А. В./ 

 

 

 

Допустить к защите

Заведующий кафедрой ___________________ /Шатдинов Р. С.   

 

 

  

 

 

  

 

 

  

 

Уфа

2013 

 

Содержание 

 

Введение……………………………………………………………………………...4

1 Теоретические и методологические  основы социального инжиниринга…….8

1.1 Цели социального инжиниринга………………………………………..12

1.2 Техники и виды атак…………………………………………………….17

1.3 Известные социальные  инженеры……………………………………...27

2 Анализ состояния изучаемой  проблемы в организациях……………………...28

2.1 Краткие характеристики  организаций………………………………….28

2.2 Выявление уязвимостей  и оценка рисков..…………………………….34

2.3 Предпринятые меры……………………………………………………..44

3 Разработка методики  противодействия социальному инжинирингу…………49

3.1 Теоретические аспекты  создания методики противодействия….……50

3.1.1 Создание тренировочной  и образовательной программы…………..50

3.1.2 Цели, структура и содержание  методики обучения персонала…….54

3.2 Методика противодействия  социальному инжинирингу…….……….57

Заключение………………………………………………………………………….91

Библиографический список………………………………………………………..94

Приложения…………………………………………………………………………98

Приложение А………………………………………………………………………98

Приложение Б……………………………………………………………………..101

Приложение В……………………………………………………………………..103  

 

 

  

 

 

  

 

 

  

 

 

  

 

 

  

 

 

  

 

Введение 

 

Использование компьютерных систем во всех сферах современной  жизни, стремительное развитие сетевых  технологий, помимо преимуществ, повлекли за собой появление большого ряда специфических проблем. Одной из таких проблем является необходимость  обеспечения эффективной защиты информации, которая обусловлена  ростом правонарушений, связанных с  кражами и неправомерным доступом к данным, хранящимся в памяти компьютерных систем и передаваемым по линиям связи.

Сегодня компьютерные преступления происходят во всем мире распространены во многих областях человеческой деятельности. Эти преступления характеризуются  высокой скрытностью, сложностью сбора  улик по установленным фактам их совершения и сложностью доказательства в суде подобных дел [26, с. 27].

По данным зарубежных аналитиков, каждую неделю в мире регистрируется более 55 миллионов различных компьютерных взломов. Размер ущерба, причиненного пользователям в результате хакерских  нападений, продолжает увеличиваться  с каждым годом. К сожалению, даже столь угрожающая статистика не мешает огромному числу компаний и пользователей  персональными компьютерами (ПК) игнорировать любые правила компьютерной безопасности. По оценкам экспертов, в мире лишь 1% офисных сотрудников следует  корпоративным правилам пользования  персональным компьютером. Данное обстоятельство приводит к возможности осуществления  некоторых информационных угроз.

Первая угроза – это  физические атаки. Самой простой причиной утечки информации является возможность физического доступа к компьютеру, на котором эта информация расположена [43, с. 14]. Физическая безопасность подразумевает под собой охрану компьютерного оборудования путем ограничения физического доступа к нему. Кража или утеря компьютера или другого устройства стала причиной 57% всех случаев утечки информации во втором полугодии 2011 года и 46% – в первом полугодии [46, с. 109].

Вторая угроза – это  социальные атаки. Одним из наиболее эффективных методов, компьютерными злоумышленниками для проникновения в защищенные паролем системы, является получение конфиденциальных данных от пользователей под видом службы технической поддержки, которая просит сообщить пароль.

Но чаще всего для получения  доступа к сети применяется метод, который называется социальный инжиниринг– и на него же зачастую обращают меньше всего внимания. Социальный инжиниринг (от англ. social engineering) основан на управлении личностью человека для достижения своей цели.

В то время как службы безопасности ставят антивирусы, разрабатывают  сложную систему допусков и паролей,злоумышленники проникают в сеть с помощью  рядовых ничего не подозревающих  пользователей.

На самом деле, примерно 70% взломов и проникновений в  компьютерные системы не возможно без  социального инжиниринга. Поэтому  это направление очень важно, и люди должны уделять на его изучение не меньше времени, чем на изучение компьютерных систем.

Хотелось бы заострить  внимание, что самым слабым звеном в любой  структуре информационной безопасности является человек; можно создать надежную систему защиты и написать очень подробные инструкции по безопасности, однако халатное обращение сотрудников с важными сведениями, их доверчивость и беспечное поведение способны свести на нет все усилия.

Так исторически сложилось, что сегодня для общества термин «социальный инжиниринг» является синонимом набора прикладных психологических  и аналитических приемов, которые, в свою очередь, злоумышленники применяют  для скрытой мотивации пользователей  публичной или же корпоративной  сети к нарушениям устоявшихся правил и политик в области информационной безопасности.

В основе данного подхода  лежит системность, которая подкреплена  методологией и анализом, что позволяет  сочетать технологическую инновационность, инженерную точность расчетов с использованием социально-психологического моделирования. Мастерское владение этими инструментами является залогом успешного выстраивания поведенческой модели людей, «добровольно» и «самостоятельно» действующих в нужном направлении для социальных инженеров [44, c. 73]. 

Социальный инжиниринг –  это метод несанкционированного доступа к информации или системам хранения информации без использования  технических средств [55]. Основной целью  социальных инженеров является получение  доступа к защищенным системам с  целью кражи каких-либо данных. Основное отличие от простого взлома является то, что в роли объекта атаки  выбирается не машина, а ее оператор. Именно поэтому все методы и техники  социальных инженеров основываются на использовании слабостей человеческого  фактора, что может считаться  крайне разрушительным, т.к. злоумышленник  получает информацию, к примеру, с  помощью телефонного разговора  или путем проникновения в  организацию под видом ее сотрудника. Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, необходимо понимать, что на самом деле хотят социальные инженеры и своевременно организовывать подходящую политику безопасности. Вся  информация в этом мире защищается людьми, и ее основными носителями являются тоже люди, которые имеют  свой обычный набор комплексов, слабостей  и предрассудков, с помощью которых  и «играют» социальные инженеры. Тому, как это делают и как от этого  защититься, и посвящена данная работа.

При анализировании причин и методов взлома программного обеспечения (ПО) или каналов утечки информации из различных структур, можно сделать  очень интересный вывод о том, что примерно в 80% случаев, причина  этого – человеческий фактор, или  умелое манипулирование им.

Сейчас интерес к социальному  инжинирингу во всем мире очень высок. Это можно заметить по очень многим признакам. К примеру, пару лет назад  по запросу «социальный инжиниринг»  в поисковых системах было только 2 ссылки. Теперь их сотни. Известный  хакер Кевин Митник, использующий для взломов методы социального  инжиниринга, сейчас выступает с  лекциями для топ-менеджеров крупных IT-компаний и специалистов служб безопасности корпораций. По социальному инжинирингу стали устраивать конференции, а в ряде университетов собираются вводить курсы лекций на эту тему [24, с. 15].

Вышесказанным и обусловлена  актуальность настоящей работы.

Исходя из актуальности темы, была поставлена следующая цель дипломной  работы: разработать методику противодействия  социальному инжинирингу на предприятиях Башкортостанское региональное отделение  общероссийской общественной организации  «Всероссийское Добровольное Пожарное Общество» (БРО ООО «ВДПО») и Общество с ограниченной ответственностью «Служба  Мониторинга – Уфа» (ООО «СМ  – Уфа»).

Задачами дипломной работы являются:

1. Определение угроз, связанных с социальным инжинирингом, и  основных существующих методов, используемых социальными инженерами.

2. Описание основных способов противодействия социальному инжинирингу.

3. Разработка методики противодействия социальному инжинирингу.

Поставленные задачи определили структуру выпускной дипломной  работы, которая включает в себя введение, три главы, заключение, библиографический  список, приложения.

Теоретической и методологической основой исследования являются труды  отечественных и зарубежных авторов  в области информационных технологий, таких как Митник К.Д. (NYC.: «Wiley Books»), Кузнецов М.В., Симдянов И.В. (СПб.: «БХВ-Петербург»), в области управления персоналом: Скопылатов И.А., Ефремов  О.Ю. (М.: «Издательство Смольного университета»), и в области  психологии: Литвак М.Е. (Р.-н-Д.: Феникс), Варламов В.А., Варламов Г.В., Власова Н.М. (М.: «Русичи»), Оглобин С.И., Молчанов А.Ю. (издательство «Нюанс», г. Ярославль) и ряда других.  В числе информационных источников работы использовались публикации в периодической печати.

1 ТЕОРЕТИЧЕСКИЕ  И МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ СОЦИАЛЬНОГО  ИНЖИНИРИНГА 

 

Социальный инжиниринг –  это метод несанкционированного доступа к информации или системам хранения информации без использования  технических средств. Основная цель социальных инженеров – это получение  доступа к защищенным системам с  целью кражи информации, паролей, данных о кредитных картах и т.п. Основным отличием от простого взлома – это то, что в роли объекта  атаки выбирается не машина, а человек [55]. Поэтому все методы и техники  социальных инженеров основаны на использовании  слабостей человеческого фактора, что считается крайне опасным, так  как злоумышленник получает информацию, к примеру, с помощью обычного телефона или путем проникновения  в организацию под видом сотрудника или другого лица.

Несмотря на то, что понятие  «социальный инжиниринг» появилось  относительно недавно, люди в той  или иной мере пользовались этими  техниками испокон веков, так  как в основе лежит психология общения между людьми. Социальный инжиниринг появился в мире с первым образовавшимся обществом, так как  само слово «социальность» – это  общественность, или же гражданственность. Суть социального инжиниринга –  это заставить человека совершить  какое-либо действие, которое не выгодно  ему, но необходимо социальному инженеру.

Социальный инжиниринг –  это вполне состоявшееся направление  в хакинге, и взломы компьютерных систем можно осуществлять не только техническими методами, но и на уровне психологии.

Социальный инжиниринг образовался  как отдельная часть из прикладной психологии. Ему обучают шпионов, тайных агентов. Все техники социального  инжиниринга основаны на особенностях принятия решений людьми, называемых когнитивным базисом [32, с. 53].

Тонкая манипуляция сознанием  применялась во все времена: даже в древности. «Ночные демоны»  в Японии, или ниндзя, весьма активно  практиковали эти способности человеческого  разума наряду с гипнозом. В Древней Греции и Риме в большом почете были люди, которые могли различными способами убедить собеседника в его очевидной неправоте. Выступая от имени верхов, они вели дипломатические переговоры. Умело используя ложь, лесть и выгодные аргументы, они нередко решали такие проблемы, которые, казалось, невозможно было решить без помощи меча. В среде шпионов социальный инжиниринг всегда был главным оружием. Выдавая себя за другое лицо, агенты КГБ и ЦРУ могли выведать секретные государственные тайны.

Заговаривать людям зубы по телефону, чтобы получить необходимую  информацию или просто заставить  их что-то сделать, приравнивалось к  искусству. Профессионалы в этой области по наводящим вопросам, по интонации голоса, могли определить комплексы и страхи человека и, мгновенно  сориентировавшись, использовать их [55].

Социальный инжиниринг основан  на изначальном стремлении людей  оказать помощь другим. Социальный инжиниринг – наименее техническое, но и наиболее эффективное средство в арсенале злоумышленников.

Социальный инжиниринг, как  незаконный метод получения информации, обычно использует обман, влияние и  убеждение, но его можно также  использовать и в законных целях, к примеру, для совершения действий конкретным человеком. Чаще всего социальный инжиниринг используют для получения  закрытой информации, или информации, которая представляет большую ценность.

Основные области применения социального инжиниринга [24, с. 28] показаны на рисунке 1.

Рисунок 1  Основные области применения социального инжиниринга

К счастью, подавляющее большинство  социальных инженеров действует  по одинаковым или близким шаблонам, поэтому изучение приемов их «работы» позволяет распознать обман [21, с. 13] и не выдать закрытую информацию.

Организации приобретают  лучшие технологии по безопасности, тренируют  и обучают сотрудников, нанимают охранников, но они все еще остается полностью уязвимыми.

Чем больше технологических  уровней  организация нагромождает, тем больше разнообразие этих уровней, и, следовательно, тем сильнее должна быть защита сетей в организации. Однако организациям не всегда удается избежать  неудач, потому, что они упускают из вида внутренние проблемы. Даже очень надежно защищенную сеть может обойти очень простой и вместе с тем многогранный элемент – человеческий фактор [20, с. 79].