Профессор физики моего колледжа однажды поставил классу такую задачу: придумать возможно больше способов измерить высоту здания с помощью барометра. Помимо очевидного измерения разницы давлений воздуха вверху и внизу наша мозговая атака, подкрепленная некими химическими стимуляторами, произвела на свет и другие способы: скинуть барометр с крыши и замерить время его падения, измерить изменение его веса при удалении от центра массы Земли и т. д. Но самый простой и точный способ из всех нами придуманных был следующим: пойти к владельцу здания и предложить ему назвать его высоту в обмен на исправный новый барометр.
Часто этот способ взлома системы оказывается простейшим — просто мило поговорить с пользователем. В то же время это самая большая опасность, с которой сталкиваются производители программного обеспечения, потому что все их ухищрения оказываются напрасными. Искусство взлома системы защиты путем деликатных разговоров называется психологической атакой, или социальной инженерией (social engineering). Просто удивительно, как часто этот способ приводит к успеху.
Суперхакер Кевин Митник (Kevin Mitnick), приговоренный к тюремному заключению за взлом компьютерных систем, свидетельствовал перед Конгрессом США в 2000 году: «Психологические методы были настолько успешны, что мне редко приходилось прибегать к техническим… Можно впустую потратить миллионы долларов на технические средства защиты, потому что можно просто позвонить кому-нибудь по телефону и уговорить сделать на компьютере что-то такое, благодаря чему ослабится его защита или вскроется информация, которую мы разыскиваем». В своей книге «The Art of Deception: Controlling the Human Element of Security» (Искусство обмана), Wiley, 2002 он описывает ряд своих излюбленных приемов.
Допустим, к примеру, что у взломщика в руках оказались телефонный справочник и организационная структура вашей компании — скажем, в результате просеивания ваших мусорных баков (это занятие называется «dumpster diving»). После этого вам звонит некая женщина (женщинам всегда верят больше, чем мужчинам) и говорит: «Привет, Боб, это Сара (замените на имя вашего администратора, взятое из организационной схемы). Я работаю у мистера Франклина (начальник начальника вашего начальника, опять взято из схемы). Кажется, нас знакомили на последней новогодней вечеринке. (Не было этого, но разве вспомнишь, да и кто станет возражать, особенно если у звонящего такой приятный голос?) Мы в офисе того нового клиента (в результате предшествующего звонка выяснилось, что этой шишки нет на месте), и нам нужна твоя помощь. Мне отсюда никак не войти в систему компании, а нам очень нужен файл по (крупный и важный проект). Ты не мог бы послать его электронной почтой на — (голос в сторону) Мистер Франклин, не повторите этот адрес? (снова в трубку) — thisguy@seemsplausible.com. Спасибо, ты нам очень помог. Обязательно сообщу мистеру Франклину. Пока».
Ну кто сможет устоять? Очевидно, звонившая знает компанию и чем она занимается. Она, очевидно, допущена к делам. Можно помечтать о грядущем повышении и результатах, последовавших бы за отказом сотрудничать. Это и есть психологическая атака. Скажете, что это не имеет никакого отношения к компьютерной безопасности? Но весь eai тяжкий труд по защите своей информации оказался бессмысленным из-за этого милого короткого разговора. Вот оно — самое слабое звено в цепи, и пока вы его не укрепите, вся ваша замечательная технология бесполезна.
Вы потрясены? Напрасно. Не стоит недооценивать пределы человеческой глупости. Какими-то аналогичными методами можно украсть ID пользователя и его пароль. «Послушайте, Платт! — вскричите вы. — Я никогда этого не сделаю. Что я — идиот?» Но нет ничего сверхъестественного в том, чтобы передать кому-то свой ID пользователя и пароль. Вы же делаете это при каждой регистрации. Все, что требуется от злоумышленника, это создать такую ситуацию, чтобы вы думали, будто это законный запрос ваших данных авторизации, хотя на самом деле это не так.
Еще одно сообщение, которое несколько лет назад часто можно было получить по электронной почте. Оно якобы исходит от PayPal.com, службы переводов электронных денег, но в действительности отправлено жуликом. Как видите, в поле From: указан адрес PayPal.com. Большинство пользователей не сознает, что этот адрес не указывает на реального отправителя письма. В поле From: можно поместить все, что угодно, так же как написать любой адрес отправителя на конверте с обычным письмом. Обычно вы пишете там верный адрес, чтобы заблудившиеся письма возвращались обратно, но здесь иной случай. Действительный путь к отправителю, так сказать почтовый штемпель, таится в почтовых заголовках, которые эта программа не показывает. Формат письма соответствует обычному внешнему виду PayPal, поскольку злоумышленник просто скопировал его с сайта PayPal.com. Все ссылки, за исключением «click here», указывают на настоящие страницы PayPal.com. Если же вы щелкнете по этой ссылке, то попадете на сайт с именем, похожим на PayPal (eBay-PayPal.com, если мне не изменяет память), но принадлежащим злоумышленнику. Подобные психологические атаки объединены названием фишинг (phishing) — кража идентификационных данных. Изготовитель программного обеспечения почти беззащитен перед такими приемами. Пользователи должны знать, что нельзя доверять ссылкам в случайных письмах. Но и тогда они могут выполнить инструкцию, предлагающую ввести строку «eBay-PayPal.com» в броузере и попасть на сайт злоумышленника. Даже могущественный Citibank (подлинный адрес citibank.com) уязвим для веб-адресов, которые на первый взгляд кажутся похожими, таких как citibank.biz.
Чтобы украсть пароль, злоумышленнику может и не потребоваться маскарад. Можно потратить сотню долларов на покупку какого-нибудь контента — музыки, видео, порно и т. п. — или просто украсть его. Затем организуется веб-сайт, который кидает что-нибудь пользователям на закуску, а потом извещает их, что для доступа к остальному контенту необходимо открыть бесплатный счет. При этом пользователю дается (лживое) обещание, что его личные данные нигде не будут использованы, а для придания пущей убедительности может даже добавляться контрольный вопрос на случай потери пароля. Выбранные пользователем ID и пароль проверяются злоумышленником на других сайтах, скажем Amazon или eBay. Или на сайтах инвестиционных фондов. Если пользователь указал те же ID и пароль, которые установлены им на других сайтах, а это происходит очень часто, то вся его защищенность утрачена.
Поскольку так легко украсть пароль, вы поймете, почему я столь неодобрительно отношусь к биометрической аутентификации (о ней рассказывается в главе 4), хотя устройства чтения отпечатков пальцев начинают встраивать в клавиатуры обычных пользователей. Если ваш отпечаток пальца будет украден, вы не сможете заменить его новым. Злоумышленнику даже не нужно добывать стакан, из которого вы пили, или проявлять отпечатки на вашей дверной ручке. Ему достаточно попросить вас идентифицировать себя с помощью устройства чтения отпечатков и послать ему файл с результатом сканирования. С психологическими атаками крайне трудно бороться с помощью технологии. Купите книгу Митника, и после ее прочтения несколько бессонных ночей вам гарантированы. Последней книгой, оказавшей на меня такое воздействие, была «The Coming Plague: Newly Emerging Diseases in a World Out of Balance» (Грядущая чума: новые болезни в нестабильном мире), Laurie Garrett (Лори Гаррет), Penguin, 1995. Похоже, что взлом защиты компьютеров и геморрагическая лихорадка имеют между собой больше общего, чем мне представлялось ранее.