О знаменитом хакере Кевине Митнике, за которым в 70, 80 и 90-е годы гонялось ФБР, слышал, наверное, каждый, кто связан с компьютерными технологиями. (Если же подробности совершенных Митником взломов вам неизвестны, почитайте его книгу «Призрак в проводах: мои приключения в качестве самого разыскиваемого в мире хакера».)
Большинству экспертов известно также, что после освобождения из тюрьмы Митник зарабатывал на жизнь, устроившись консультантом по безопасности. Но знаете ли вы, что он никогда не оставлял и свои хакерские занятия?
Митник всегда подчеркивал ту важную роль, которую играет для хакера социальная инженерия. А между тем в большинстве рекомендаций по укреплению безопасности об этом ничего не говорится. Сам же он сегодня не оставляет попыток достучаться до тех, кто пытается оценить существующие риски.
Безопасность и конфиденциальность – это не то, о чем можно забыть навсегда, приняв один раз необходимые меры предосторожности. Важно учиться не только у экспертов по безопасности, но и у хакеров, знающих, как проникнуть в ваш телефон или компьютер с помощью методов социальной инженерии.
О знаменитом хакере Кевине Митнике, за которым в 70, 80 и 90-е годы гонялось ФБР, слышал, наверное, каждый, кто связан с компьютерными технологиями. (Если же подробности совершенных Митником взломов вам неизвестны, почитайте его книгу «Призрак в проводах: мои приключения в качестве самого разыскиваемого в мире хакера».)
Большинству экспертов известно также, что после освобождения из тюрьмы Митник зарабатывал на жизнь, устроившись консультантом по безопасности. Но знаете ли вы, что он никогда не оставлял и свои хакерские занятия?
Митник всегда подчеркивал ту важную роль, которую играет для хакера социальная инженерия. А между тем в большинстве рекомендаций по укреплению безопасности об этом ничего не говорится. Сам же он сегодня не оставляет попыток достучаться до тех, кто пытается оценить существующие риски.
Кевин Митник заставляет людей задуматься о таких вещах, которые раньше даже не приходили им в голову
Достучаться до людей Митник пробует в том числе и путем взлома (естественно, получив предварительно разрешение на это). Корпоративное обучение зачастую кажется пользователям слишком скучным. Поэтому Митник просто взламывает системы своих клиентов, демонстрируя, как легко они могут стать жертвами злонамеренных хакеров.
В настоящее время Митник является директором компании KnowBe4 по вопросам взлома и пишет книгу «Искусство невидимости», в которой рассказывает, как обеспечить безопасность и конфиденциальность в нынешнем мире хакеров и эксплойтов. Работая в KnowBe4, Митник помогает компаниям предотвращать и ликвидировать последствия наиболее деструктивных и сложных взломов, организуемых через атаки фишинга.
Фишинг – одна из разновидностей социальной инженерии и приемов, заставляющих получателя электронного письма или сообщения поверить в то, что оно пришло из заслуживающего доверия источника (например, из PayPal или от одного из руководителей компании, в которой работает жертва атаки). Доверившись отправителю, пользователь открывает приложение, загружает файл, в ответ пароль, сообщает и другую важную информацию или посещает веб-сайт, с которого на его компьютер устанавливается вредоносная программа.
Как говорит Митник, «взломать человека гораздо проще, чем компьютер», поскольку компьютеры четко следуют инструкциям и изменить здесь что-либо практически невозможно, а люди эмоциональны, у них многое зависит от настроения и ввести их в заблуждение не так уж сложно, особенно если они ни разу не обжигались.
Смартфоны
Митник заставляет людей задуматься о таких вещах, которые раньше даже не приходили им в голову. «Человеческая лень открывает перед хакерами самые широкие возможности», – подчеркивает он. Многие люди, разблокируя свой телефон, вместо длинного пароля вводят просто четырехзначный цифровой код. На первом этапе хакер таким образом выбирает себе цель, ведь подобрать четырехзначный цифровой код гораздо проще.
Рекомендации по укреплению безопасности мобильных устройств от Митника просты: лучшая защита против фишинга – не антивирус и не межсетевой экран, а обучение, образование и осведомленность.
Митник использует обычный смартфон, а не телефон с повышенным уровнем защищенности и новейшей системой безопасности – что-то вроде Blackphone 2 или Turing. «Безопасность обеспечивается вашим выбором и поведением, – поясняет он. – А это гораздо важнее даже самого защищенного оборудования».
Митник использует длинный пароль, включающий в себя буквы и цифры, а не четырехзначный цифровой код, как большинство из нас. При опасности принудительного разблокирования телефона, например при возвращении в США из зарубежной поездки, он перезагружает телефон, после чего сенсорный датчик, считывающий отпечаток пальца, становится неактивным (сразу после перезагрузки телефон разблокируется только в случае ввода пароля). В США суд может заставить вас разблокировать телефон, приложив к нему палец, но у него нет права заставить вас сообщить свой пароль.
Но, по признанию Митника, стопроцентно безопасных устройств просто не существует.
Портативные и настольные компьютеры
Митник рассказал, как защитил компьютер своей матери, воспользовавшись преимуществами цифровой подписи Apple.
Раньше мать звонила ему каждую неделю и просила почистить свой компьютер, который то и дело заражался вирусами. Она была настоящим «лакомым кусочком» для атак социальной инженерии, и Митнику приходилось еженедельно переустанавливать операционную систему.
И тогда он купил ей iMac, установил на него антивирусную утилиту и заблокировал компьютер.
Он также изменил настройки безопасности магазина приложений Mac App Store, с тем чтобы она имела возможность загружать только приложения, одобренные Apple. Настройки по умолчанию, говорит Митник, не обеспечивают должной безопасности, ведь «разработчиком можно стать всего за сто баксов».
Таким образом Митник решил проблему загрузки вредоносных программ. Но при этом отметил, что, хотя такое простое решение и обеспечивает защиту от обычных атак фишинга, оно неспособно защитить пользователей от АНБ и других более опытных и целеустремленных хакеров.
Флешки и другие векторы атаки
На конференциях по безопасности Митник охотно демонстрирует хакерское искусство. Например он показал, как, подключив флешку, хакер получает полный контроль над машиной, в том числе над ее камерой и микрофоном, а также возможность запустить любую программу. В процессе демонстрации компьютер распознавал подключаемую флешку как клавиатуру, а не как устройство хранения. Это позволяло хакеру вводить любые последовательности нажатия клавиш, как если бы в руках у него оказалась настоящая клавиатура.
Такой прием был показан потому, что «люди считают USB-устройства безопасными, ведь функция автозапуска у них отключена». На самом же деле компьютер не защищен от флешки.
Многие полагают, что PDF-файлы тоже безопасны. Чтобы развеять эту иллюзию, Митник продемонстрировал визуальные инструменты, с помощью которых хакер, использующий файл PDF, может получить контроль над атакуемой машиной.
Еще один показанный прием моделировал действия хакера в кофейне с бесплатным выходом в Интернет через маршрутизатор Wi-Fi. Хакер подает маршрутизатору команду отключить всех от сети, после чего предлагает пользователям подключиться уже к собственной сети Wi-Fi с тем же именем. После подключения пользователей на их устройства рассылается вредоносный код.
Вы не должны позволять подключать к своему компьютеру чужие флешки и загружать на него PDF-файлы, даже если доверяете источнику (существуют методы социальной инженерии, которые заставят вас ему довериться). И следует избегать публичных точек доступа Wi-Fi.
В то время как специалисты по безопасности заняты изучением хакерского программного кода, Митник делает упор на социальную инженерию. Потому что именно таким образом хакеры получают доступ к вашей системе.
Другими словами, безопасность и конфиденциальность – это не то, о чем вы можете забыть навсегда, приняв один раз необходимые меры предосторожности. Важно учиться не только у экспертов по безопасности, которые владеют соответствующими инструментами, но и у хакеров, знающих, как проникнуть в ваш телефон или компьютер с помощью методов социальной инженерии.
Теперь, обладая такими знаниями, вы просто обязаны изменить свое поведение! Будьте благоразумны. Проявляйте осторожность, граничащую с паранойей.
– Mike Elgan. Surprising tips from a super-hacker. Computerworld. March 7, 2016