مهندسی اجتماعی
تعر?ف و اهداف:
برخ? از معروفتر?ن تعر?فها? ارائه شده برا? مهندس? اجتماع? از ا?ن قرارند:
-Bernz: هنر و علم وا داشتن د?گران به انجام کار? مطابق خواسته ? نفوذگر
-Palumbo: استفاده ? ?ک نفوذگر خارج? از حقه ها? روان شناس? بر رو? کاربران قانون? ?ک س?ستم کامپ?وتر? ، برا? به دست آوردن اطلاعات? که نفوذگر برا? نفوذ به س?ستم احت?اج دارد.
-Berg: به دست آوردن اطلاعات (برا? مثال کلمه ? عبور) از ?ک فرد ، به جا? به کار گ?ر? روشها? فن? برا? ورود غ?ر مجاز به س?ستم.
و تعر?ف آخر که به نوع? حالت کل? تر تعار?ف بالاست ب?ان م? دارد:
مهندس? اجتماع? عبارتست از وادار کردن د?گران به دادن چ?زها?? ، اعم از اطلاعات و کالا، به ?ک فرد د?گر ، در صورت? که قانونا نبا?د بدهند.
-در بحث امن?ت کامپ?وتر? ، مهندس? اجتماع? به مقوله ا? اطلاق م? شود که نوع? نفوذ و حمله ? غ?ر فن? را توص?ف م? کند که عمدتا بر تعاملات انسان? تک?ه دارد و در بر گ?رنده ? روشها? فر?فتن د?گران است تا روندها? معمول امن?ت? را بشکنند.
در واقع مهندس? اجتماع? م? تواند همه و ?ا ه?چکدام از ا?ن تعار?ف باشد. بسته به ا?نکه شما در چه جا?گاه? قرار دار?د و از چه د?دگاه? ما?ل به بررس? آن هست?د. اما آنچه که به نظر م? رسد مورد توافق همه است ، ا?ن است که مهندس? اجتماع? عموما بهره گ?ر? هوشمندانه ? ?ک نفوذگر از تما?ل طب?ع? انسانها برا? اعتماد کردن و کمک کردن را در بر م? گ?رد.هدف نفوذگر از ا?ن عمل به دست آوردن اطلاعات? است که به وس?له ? آنها دسترس? غ?ر مجاز به منابع اطلاعات سر? م?سر م? شود. در واقع نفوذگرا?ن بار با هدف قرار دادن ضع?ف تر?ن حلقه ? زنج?ره ? امن?ت ، ?عن? انسان ، اهداف د?گر? را دنبال م? کند . از قب?ل : ارتکاب جرم، نفوذ به شبکه ، جاسوس? صنعت? (در ا?ن مورد در هم?ن مقاله به تفص?ل صحبت خواهد شد) ، دزد? هو?ت و ?ا خرابکار? در س?ستم و شبکه .
توجه به ا?ن نکته ضرور? است که ا?ن نوع حمله ها غالبا ساده تر از بس?ار? از انواع نفوذگر? ها? فن? هستند. به هم?ن دل?ل سازمانها? بس?ار? هدف ا?ن حملات قرار م? گ?رند.
سازمانها?? که عمدتا هدف ا?ن حملات قرا رگرفته و آس?ب پذ?ر? بالا?? دارند عبارتند از: مراکز پاسخگو?? تلفن? ، شرکتها? بزرگ و معروف ، موسسات مال? ، مراکز دولت? و ارتش? و حت? ب?مارستانها.
حملات مهندس? اجتماع? غالبا در دو سطح ف?ز?ک? و روان شناس? انجام م? گ?رند که توض?ح روشها? آن در بخشها? د?گر? از ا?ن مقاله خواهد آمد.
?ک مفهوم نزد?ک و مرتبط: مهندس? اجتماع? معکوس :
آنچه از آن تحت عنوان "مهندس? اجتماع? معکوس" ?اد م? شود در واقع ?ک? از روشها? مهندس? اجتماع? است . و به ا?ن ترت?ب است که نفوذگر خود را در جا?گاه دهنده ? اطلاعات قرار م? دهد و با جلب اعتماد افراد، نفوذ خود را عمل? م? کند.
اگر چه ا?ن نوع نفوذ آمادگ? و تحق?قات ب?شتر? م? طلبد ، اما اگر به درست? برنامه ر?ز? و اجرا شوند ، شانس موفق?ت ب?شتر? نسبت به سا?ر روشها دارند.
Rick Nelson در مقاله ا? ، مهندس? اجتماع? معکوس را مشتمل بر سه قسمت دانسته :
1. خرابکار? 2 . تبل?غات 3. کمکرسان?
در ?ک سنار?و? معروف ، نفوذگر? عمدا اشکال? در شبکه ا?جاد م? کند ، سپس با تبل?غات، هدف خود را متقاعد م? کند که او فرد مناسب و متخصص برا? حل مشکل است و در پا?ان ، وقت? برا? تعم?رات و ارائه ? خدمت حاضر شد ، با ز?رک? خاص? ذره ذره اطلاعات? را که در واقع برا? به دست آوردنشان آمده است، با پرسش ?ا مشاهده استخراج م? کند.
بررس? روان شناخت? حملات مهندس? اجتماع? :
?ک قول معروف امن?ت? م? گو?د: "ه?چ کامپ?وتر? تا زمان? که از پر?ز کش?ده نشده امن ن?ست." و اکنون گفته م? شود که ه?چ کامپ?وتر? در ه?چ حال? امن ن?ست! چرا که با مهندس? اجتماع? م? توان فرد? را متقاعد کرد که کامپ?وتر را به پر?ز زده و آن را روشن کند!
در واقع بخش انسان? ?ک س?ستم کامپ?وتر? مهمتر?ن و در ع?ن حال آس?ب پذ?ر تر?ن عنصر امن?ت? آن است و ا?ن نوع آس?ب پذ?ر? مستقل از پلت فرم ، نرم افزار ، سخت افزار و شبکه است.هر انسان? که به صورت ف?ز?ک? ?ا مجاز? به ?ک س?ستم کامپ?وتر? دسترس? دارد ، ?ک منبع خطر بالقوه محسوب م? شود .نکته ? د?گر ا?نکه ه?چ س?ستم کامپ?وتر? در جهان وجود ندارد که کاملا ب? ن?از از حضور انسان باشد. در نت?جه بررس? روان شناخت?، به جلوگ?ر? از حملات مهندس? اجتماع? و امن کردن س?ستمها کمک شا?ان? خواهد کرد.
نفوذگر ها از روشها? روان شناس? مختلف? برا? تحت تاث?ر قرار دادن افراد مورد نظرشان و واداشتن آنها به انجام کارها?? که مد نظرشان است ، استفاده م? کنند که بعض? از ا?ن روشها موفق?ت ب?شتر? نسبت به بق?ه دارند.
در ابتدا?? تر?ن و ساده تر?ن روش از فرد مستق?ما خواسته م? شود که کار? را انجام دهد. که شانس موفق?ت کمتر? در مقا?سه با سا?ر روشها دارد.به خصوص اگر فرد حداقل آموزش? در ا?ن زم?نه د?ده باشد و از ?ک کم?نه هوش?ار? و آگاه? بر خوردار باشد.
روشها? د?گر? هستند که با جلق موقع?تها? خ?ال? و قرار دادن فرد در آن موقع?تها ، سع? م? کنند به هدف خود برسند. اگر چه ا?ن روش نسبت به قبل? کار ب?شتر? م? طلبد و ن?ازمند آن است که نفوذگر اطلاعات ب?شتر? از هدف ، قبل از آغاز حمله جمع آور? کند ، اما معمولا موفقتر است.
انسانها معمولا تما?ل دارند که همرنگ جماعت شوند که برخ? از دلا?ل آن عبارتست از : عدم تما?ل به آزردن د?گران و ?ا ناد?ده گرفتن عقا?د آنان و مخالفت با آنها و ?ا وحشت از ا?نکه در مقابل د?گران نادان به نظر برسند. ا?ن تما?ل که از آن تحت عنوان " فشار اجتماع? " ?اد م? شود ، معمولا از سو? نفوذگرها مورد سوء استفاده قرار م? گ?رد.
همان طور که ذکر آن رفت، دو مورد آخر مستلزم خلق موقع?تها? خ?ال? اما قابل باور است. ا?ن موقع?تها برا? ا?نکه فرد را با نفوذگرهمراه کنند ، با?د دارا? حداقل ?ک? از مشخصات ز?ر باشند:
1. برداشتن بار مسئول?ت از رو? دوش فرد. بد?ن معن? که او را با ا?جاد ا?ن حس که و? تنها فرد مسئول ن?ست ، آرام و مطمئن کنند.
2. فراهم آوردن امکان خوش خدمت? برا? فرد. بد?ن معن? که فرد باور کند با انجام کار خواسته شده ، خود را نزد کارفرما? خود بهتر نشان داده است.
3. انسانها دوست ندارند احساس گناه کنند و معمولا به ا?ن صورت است که اگر فرد? وظ?فه ? اخلاق? خود را به انجام نرساند ، احساس گناه م? کند. پس کافس است نفوذگر، شرا?ط را به نحو? فراهم کند که فرد حس کند انجام ا?ن کار وظ?فه ? اخلاق? و? است!
به هر حال هدف نها?? تمام روشها? مهندس? اجتماع? تلاش برا? متقاعد کردن افراد به انجام کار خواسته شده از آنهاست و مسلم است که ا?ن امر با اعمال زور به نت?جه نم? رسد. بلکه با?د تلاش شود حس همکار? داوطلبانه در فرد ا?جاد شود. بد?ن ترت?ب فرد حس م? کند که شرا?ط ، تحت کنترل او قرار دارد و حت? به خود افتخار م? کند که کسر کوچک? از زمان و انرژ? خود را به انتخاب و تصم?م خود و رضا?تمندانه در راه رس?دن به منافع بزرگتر فدا کرده است.
برخ? فاکتورها?? که به افزا?ش شانس همکار? فرد با نفوذگر منجر م? شوند عبارتند از :
1. در ا?ن راه نفوذگر با?د حوصله به خرج دهد و آرام آرام فرد را به سو? هدف خود هدا?ت کند.
2. استفاده از "حقه ? اعتماد " . به ا?ن معن? که از سابقه ? ذهن? مثبت فرد کمک بگ?رد . اگر فرد قبلا تجربه ? موفق? در پاسخ مثبت گفتن به ?ک در خواست مشابه داشته باشد ، در خصوص در خواست جد?د ، بهتر با نفوذگر همکار? خواهد کرد.
3. ا?جاد تماس بهتر با فرد و برقرار? ارتباط با تعداد ب?شتر? از حواس پنجگانه ? او ، شانس موفق?ت را بالا م? برد. به طور مثال ، احتمال موفق?ت در حالت? که فرد ، نفوذگر را بب?ند و صدا?ش را بشنود ، مسلا ب?شتر از زمان? است که فقط صدا? او را از پشت تلفن بشنود و دل?ل? هم که محققان برا? ا?ن مطلب ذکر م? کنند ، ا?ن است که به نظر م? رسد فرد در اثر تماس ب?شتر ، به نوع? در رودر با?ست? قرار م? گ?رد.
موفق?ت همچن?ن تا حد ز?اد? بستگ? به ا?ن دارد که فرد مورد حمله تا چه حد در س?ستم کامپ?وتر? در گ?راست. م? توان گفت که مد?ران س?ستمها ، کارشناسان امن?ت و تکنس?ن ها که از س?ستم به عنوان ابزار اصل? ارتباطات و انجام کارها? خود استفاده م? کنند ، از در گ?رتر?ن افراد هستند.
افراد درگ?ر برا? قانع شدن و همکار? با شما ن?از به دلا?ل محکم دارند. دلا?ل ضع?ف و سطح? معمولا اثر معکوس در آنها ا?جاد م? کنند. به علاوه ا?نکه برا? مواجه با ا?ن گونه افراد با?د دانش فن? بالاتر از آنان داشت.
نمونه ها?? از افراد? که کمتر در س?ستم درگ?ر هستند عبارتند از : نگهبانان ، نظافتچ? ها و ?ا منش? ها? پذ?رش. ا?نها طبق تعر?ف افراد? هستند که علاقمند? کمتر? به اطلاعات? که نفوذگر از س?ستم کامپ?وتر? م? خواهد نشان م? دهند و چون خود را کمتر مسئول م? دانند ، معمولا در مواجه با در خواستها? نفوذگرانه خود را برا? تحل?ل شرا?ط و سنجش م?زان ر?سک به زحمت نم? اندازند . در نت?جه برا? ا?ن افراد دلا?ل سطح? کفا?ت م? کند. اما توجه به ا?ن نکته ضرور? است که ا?ن نوع افراد از تعدد دلا?ل (هر چند تا حدود? نا مربوط) به وجد م? آ?ند. بنابرا?ن برا? ا?جاد همکار? ر ا?ن افراد با?د نفوذگر تعداد مناسب? دلا?ل سطح? آماده کند!
حال تعداد? از راهها? مبارزه با ا?ن حمله ها را از د?د روانشناس? بر م? شمار?م:
1. سع? شود امن?ت را به بخش? از زندگ? کارمندان تبد?ل کن?م. افراد را ب?شتر در مسئله ? حفظ امن?ت س?ستم درگ?ر کن?م . بد?ن ترت?ب افراد احساس مسئول?ت ب?شتر? از خود نشان م? دهند.
2. به کارمندان توض?ح و آموزش داده شود و در ا?ن امر با?د باآنها صادق بود و در هر مورد? تا حد امکان هر دو رو? مسئله برا? آنها تشر?ح شود. چون اگر افراد با دل?ل و منطق قانع شوند ( و نه فقط با اعمال قوان?ن و پ?رو? کورکورانه از آنها) ، قابل?ت اعتماد ب?شتر? در مواجه با حملات نفوذگرانه از خود نشان م? دهند.
3. مهارتها? فرد? و روان? کارمندان را افزا?ش ده?م، مثلا برگزار? کلاسها? تقو?ت اعتماد به نفس و راهها? مقابله با فشار و اضطراب ، برا? کارمندان در سازمان م? تواند ا?ده ? خوب? در جهت بهبود مسائل امن?ت? سازمان در بلند مدت باشد.
موارد نمونه و کاربردها? مهندس? اجتماع? :
در ا?ن بخش موارد? از به کار گ?ر? روشها? مهندس? اجتماع? را بررس? م? کن?م و مثالها?? واقع? را ذکر م? کن?م.
الف ) جاسوس? صنعت? :
بر طبق گزارش اداره ? پل?س فدرال امر?کا ، تخم?ن زده شده که شرکتها? امر?کا?? سالانه 100 م?ل?ون دلار به خاطر جاسوس? صنعت? ضرر م? کنند. اگر چه ا?ن نوع حمله معمولا از جانب موسسات خاص? با پشتوانه ? مال? خوب صورت م? گ?رد اما تحق?قات نشان داده است که جلوگ?ر? از ا?ن حملات بس?ار ساده و با توجه کردن به نقاط آس?ب پذ?ر? به راحت? قابل پ?شگ?ر? است.
" جاسوس? صنعت? " عبارت است از به کار گ?ر? همزمان ?ک ?ا معمولا تعداد? از روشها? مهندس? اجتماع? به صورت برنامه ر?ز? شده و هدفمند برا? دسترس? به اطلاعات مهم و سر? ?ک شرکت .
مطالعات اخ?ر نشان داده است که افراد داخل ?ک شرکت ، مسئول ب?ش از 70 % از دزد?ها? اطلاعات? از شرکتها بوده اند.
روشها? جاسوس? صنعت? بر دو دسته است: روشها? قانون? و غ?ر قانون?.
روشها? قانون? :
1. خر?د شرکتها ?ا محصولاتشان که سبب انتقال تکنولوژ? و دانش به رقبا? سابق شرکت خر?دار? شده م? شود.
2. انتقال تکنولوژ? به کشورها? د?گر از راه انجام تجارت در آنها که ضمن آن شرکت مذکور مجبور م? شود ابتدا ن?رو? انسان? خارج? را آموزش دهد.
3. انجام کار مشترک با سا?ر رقبا . مثلا چند شرکت با هم تصم?م به ساخت محصول? جد?د م? گ?رند که در ا?ن پروسه اطلاعات شرکتها به اشتراک گذاشته م? شود.
4. اطلاعات منبع باز . مانند مقالات روزنامه ها ، گزارشها? سالانه ? شرکتها ، اطلاعات? که شرکت مجبور شده در ?ک دادگاه برا? دفاع از اتهام وارده به خود ارائه کندو ...
5. استخدام کارمندان توسط شرکتها? د?گر و رقبا. که هر چند در بس?ار? موارد ناخواسته و غ?ر مغرضانه ، اما به هر حال سبب انتقال دانش توسط ا?ن کارمندان م? شود.
6. کنفرانسها و برنامه ها? تبل?غات? .
روشها? غ?ر قانون?:
1. سوء استفاده از افراد داخل? برا? دزد?دن اطلاعات، چه به صورت آگاهانه (تطم?ع کارمندان) و چه به صورت ناآگاهانه مانند تلفن کردن به کارمندان واحد پشت?بان?.
2. فرستادن جاسوسها?? به شرکت در قالب افراد واجد تخصص و جو?ا? کار
3. حمله ? ف?ز?ک? به شرکت.معمولا وقت? موفق است که حمله کنندگان دق?قا بدانند دنبال چه هستند و آن را کجا با?د ب?ابند.
4. گشتن اتاقها? هتل نما?ندگان در سفر شرکت!
راهها? جلوگ?ر?:
1. امن?ت فن? : مانند نصب د?وارها? آتش و ... که مورد بحث ما در ا?ن مقاله نم? باشد.
2. امن?ت عمل? : به ا?ن معنا که شرکت زنج?ره ? فعال?تها? خود را مورد بررس? دق?ق قرار دهد تا در ?ابد که در چه قسمتها?? امکان نشت اطلاعات به ب?رون وجود دارد و برا? جلوگ?ر? از آنها قوان?ن و س?استها?? اتخاذ کند و همه ? کارمندان را تعل?م دهد. و دق?قا مشخص شود چه کارمندان? و هرکدام تا چه حد به کدام اطلاعات شرکت دسترس? دارند.
3. امن?ت ف?ز?ک? : دسترس? ف?ز?ک? به دارا?? ها? شرکت با?د توسط قفلها ، نگهبانها و دستگاهها? تشخ?ص هو?ت کنترل شود. جالب است بدان?د که درصد ز?اد? از حملات? که گزارش شده اند ، سطل آشغال شرکتها را هدف قرار داده اند.
4. امن?ت شخص? : کارمندان و سابقه ? آنها با?د به دقت بررس? شود . به خصوص مشاغل سطح پا??ن مانند نظافتچ? ها و نگهبانان با?د تحت نظر باشند چون معمولا ا?ن افراد به علت آگاه? کم و دسترس? بالا هدف حملات هستند.
ب ) و?روس ها و کلک ها?? که از مهندس? اجتماع? استفاده م? کنند:
بس?ار? از و?روسها و کرمها?? که از طر?ق ا?م?ل گسترش م? ?ابند، از روشها? مهندس? اجتماع? برا? فر?فتن افراد و واداشتن آنها به باز کردن ضم?مه ? ا?م?ل ها استفاده م? کنند. برخ? از عبارات? که توسط ا?ن خرابکارها استفاده شده( با حفظ زبان مورد استفاده ? آنها که غالبا انگل?س? بوده) به قرارز?ر است:
Here is a patch for IE 6.0 , enjoy!
Important Microsoft update for Outlook.
Run attached file to see Britney Spears bare all!
Your computer is infected, run this program to remove the virus.
برخ? حقه ها? معمول عبارتند تز :
- چند زبانه بودن: و?روس از رو? نام دام?ن در ا?م?ل ، کشور و زبان را تشخ?ص داده و نسخه ا? از خود را که با آن زبان صحبت م? کند به سراغتان م? فرستد.
- پرگو??: لعض? و?روسها منبع بزرگ? از جملات گول زننده دارند و هر بار ?ک? ?ا تعداد? از آنها را به کار م? برند که از نسخه ا? به نسخه ? د?گر متفاوت است. و ب?شتر اوقات ا?ن جملات به حد کاف? دوستانه هستند تا شما را متقاعد کنند که ا?م?ل ، از طرف ?ک آشنا م? باشد.
- هر بار فا?ل متفاوت? را ضم?مه م? کنند و عنوان متفاوت? برا? ا?م?ل بر م? گز?نند. حت? برخ? از و?روسها چنان که به زود? خواه?م د?د ، ا?ن قدرت را دارند که فا?ل? را از ماش?ن قربان? برا? د?گران بفرستند.
- فا?ل ضم?مه ، ظاهر ب? آزار? دارد. مثلا پسوندها? .txt و .jpg را در نام فا?ل قرار م? دهند و غالبا و?ندوز ، پسوند اصل? و?روس را نشان نم? دهد و ا?ن پسوندها به اشتباه توسط کاربر ، واقع? پنداشته م? شوند.
در ا?نجا تعداد? از عبارات استفاده شده توسط و?روسها? ا?م?ل? را م? آور?م:
Subject: read it immediately
Body: I'm waiting
Attachment: textfile.doc.exe
اثر روانشناس? ا?ن نوشته ها رو? فرد ا?جاد عجله در و? است تا قدرت تفکر درست از او سلب شود.
Subject: warning
Body: check the attached document
Attachment: palpal.zip
ا?ن مورد از هوش?ار? ناخودآگاه آدمها برا? توجه به هشدارها و پ?شگ?ر? از حوادث سوء استفاده م? کند.
Subject: Re: excuse me
Body: love letter?
Attachment: story.pif
در ا?ن ?ک? از دو حقه ? روانشناس? بهره گ?ر? شده است. اولا ا?نکه در قالب پاسخ ارسال شده که در فرد ا?ن باور را ا?جاد م? کند که حتما پاسخ ?ک? از ا?م?لها?? است که قبلا به کس? فرستاده است. دوم علاقه ? انسانها به مورد محبت واقع شدن است.
Subject: Rena
Body: love the outdoors, literature, writing and athletics
Attachment: tammy.zip
ا?ن ?ک? که وانمود م? کند از طرف ?ک دختر با علا?ق ذکر شده فرستاده شده است ، تما?ل به دوست?اب? و به خصوص از جنس مخالف را در انسان مورد هدف قرار م? دهد.
برخ? د?گر از عبارات معمول بدون توض?ح در ز?ر آورده م? شوند:
Subject:
- Email account security warning
- Important notify about your email account
- Email account disabling warning
Body Text:
- Dear user of ( user 's domain) gateway email server,
- Dear user of (user 's domain mailing list),
- Dear user, the management of (users 's domain) mailing list wants to let you know that your email account will be disabled because of improper using in next three days, if you are still wishing to use it, please resign your account information.
-
Attachment explanation:
- For more information see the attached file.
- Pay attention to the attached file.
- Password information
-
Sign off:
- The Management,
- Kind regards,
The (user 's domain) team (user 's domain web address)
اگر چه ا?ن و?روسها عمدتا براساس شکافها? امن?ت? MS Outlook و Internet Explorer ، خرابکار?ها? خود را پا?ه گذار? م? کنند ، اما همچنان برا? گسترش خود از روشها? مهندس? اجتماع? بهره م? گ?رند.
به عنوان ?ک مثال ، و?روس W32.Beagle را نام م? بر?م که درباره ? ?ک مشکل به شما اطلاع م? دهد و وانمود م? کند از طرف مد?ر شبکه فرستاده شده است:
Our main mailing server will be temporarily unavailable for next two days. To continue receiving emails in these two days you have to configure our free auto-forwarding service.
کلکها(HOAX) :
مثال معروفش jbdbgmgr.exe و ?ا teddybear است که توسط دوستان به هم فرستاده م? شود.
ف?ش?نگ :
" ف?ش?نگ " عبارتست از استفاده از رسانه ها? ا?نترنت? مانند ا?م?ل و وب سا?ت ها برا? به دست آوردن اطلاعات مهم.
در چند نمونه حمله ? مشاهده شده از ا?ن نوع ، افراد ، ا?م?ل? در?افت م? کنند که فرمت ا?م?لها? شرکتها? معروف مانند AOL ، eBay، Visa ، PayPal و ... را تقل?د م? کند و با ذکر دلا?ل? ، شما را به سا?ت? راهنما?? م? کند تا اطلاعات حساب خود را در آنجا وارد کن?د.
?ک نمونه ? معروف ، Nigerian 419 scams است که حس ز?اده خواه? انسان را مورد حمله قرار م? دهد و وانمود م? کند از طرف ?ک? از نوادگان ?ک د?کتاتور معروف فرستاده شده است که ن?از به کس? دارد که ثروتش را نگه دارد و از شما م? خواهد به سا?ت? رفته و اطلاعات حساب بانک? خود را وارد کن?د!
عبارات? مشابه ا?ن ن?ز مشاهده شده است:
Your account is about to expire. Please go to this website to reenter your account and credit card information.
به عنوان اختتام?ه ? ا?ن بخش ، ?ک و?روس معروف را که در زمره ? اول?ن و?روسها? به کار گ?رنده ? روشها? مهندس? اجتماع? است به طور خلاصه معرف? م? کنم:
نام: Melissa
تار?خ آغاز انتشار: March 26 , 1999
توض?حات فن?: به زبان ماکروها? MS Word نوشته شده و در قالب ضم? مه ? ا?م?ل منتشر م? شود. در صورت باز شدن و آلوده کردن س?ستم? ، کپ? ها?? از خود به 50 آدرس اول موجود در دفترچه آدرس MS Outlook م? فرستد و بعضا تحت شرا?ط? ، فا?ل? از ماش?ن آلوده را ضم?مه م? کند.
سه روز پس از انتشار اول?ه ، حدود 100,000 کامپ?وتر آلوده شده بودند.
در ز?ر نمونه ا? ا ز ا?م?ل فرستاده شده توسط Melissa را مشاهده م? کن?د:
Subject: Important message from (name of a friend)
Body :
(Content-Type : text/plain)
Here is that document you asked for … don 't show anyone else ;-)
(Content Type : application/msword)
List.doc
ج ) هک شدن AOL :
دو مورد از حملات گزارش شده بر رو ? AOL به قرار ز?رند:
اول? در 3 ژوئن 1998 به قرار ز?ر:
در AOL به ا?ن ترت?ب است که تعداد? از کاربران ، داوطلبانه اتاقها? چت را به صورت ناشناس مان?تور م? کنند و در مقابل ا?ن کار از پرداخت هز?نه ? عضو?ت معاف هستند. به ا?ن کاربران " رهبران اجتماعات " گفته م? شود.
?ک نفوذ گر با نام کاربر? PathEndo ، با به دست آوردن کلمه ? عبور ?ک کاربر AOL که مسئول نگهدار? ل?ست حسابها? ا?ن رهبران و نامها? واقع? آنها بوده است ، به ا?ن ل?ست دست ?افته اند. هر چند ا?ن ل?ست اطلاعات? از کلمه ? عبور ا?ن رهبران و ?ا حساب بانک? آنها نم? دهد اما جزو اطلاعات سر? AOL محسوب م? شود.
حمله ? د?گر مر بوط م? شود به هک شدن سا?ت ACLU که بر رو? سرور AOL قرار داشت. که ا?ن بار ن?ز هکران با به دست آوردن کلمه عبور کاربر مسئول نگهدار? سا?ت اقدام به تغ??ر ظاهر سا?ت کردند.
تا بد?ن جا اثر? از مهندس? اجتماع? نبود. اما سئوال ا?ن است که نفوذگران چگونه به کلمات عبور کاربران مربوطه دست ?افتند؟
در مقاله ا? در سا?ت wired.com که توسط ?ک نفوذگر نوشته شده ، و? به توض?ح روش شخص? خود برا? ا?ن کار م? پردازد:
در AOL ا?ن امکان وجود دارد که ?ک کاربر ، چنانچه رمز عبور خود را فراموش کرده باشد ، م? تواند با ?ک تماس تلفن? و ذکر مشخصات خود ، کلمه ? عبور جد?د در?افت کند.
آنگاه هکر چن?ن ادامه م?دهد که و? ط? چند?ن تماس ، هر بار وانمود م? کند جراح? لثه داشته و نم? تواند به خوب? صحبت کند . در هر تماس ، و? اطلاعات? را که از او خواسته م? شود ز?ر لب ناواضح م? گو?د و سپس از کارمند م? خواهد که آنچه فهم?ده را تکرار کند. بار د?گرکه تماس م? گ?رد ، اطلاعات در?افت شده را واضح تر م? گو?د و باز به روش قبل ، اطلاعات ب?شتر? م? گ?رد. تا آنجا که در نها?ت کلمه عبور را در?افت م? کند!
اگر چه در جا? د?گر ب?ان شده که حت? بس?ار ساده تر ، چک 4 رقم آخر کارت اعتبار? را که ب?ن کارمندان AOL مرسوم است را پشت سر گذاشته و اطلاعات لازم را از آنان به دست آورد.
د ) کو?ن م?تن?ک :
نم? توان مقاله ا? را در باب مهندس? اجتماع? به پا?ان برد و سخن? از ا?ن شخص به م?ان ن?اورد. و? که نفوذگر? معروف است ، از روشها? مهندس? اجتماع? برا? نفوذ به چند?ن س?ستم بزرگ استفاده کرد. مدت? را در زندان گذراند و پس از آزاد? کتاب? درا?ن زم?نه نوشت و در آن روشها? خود را برا? عموم شرح داد.
سخن? معروف از و? وجود دارد به ا?ن مضمون که : " شما م?توان?د هر چقدر که م? خواه?د برا? خر?د تجه?زات تکنولوژ?ک? خرج کن?د اما ز?ر ساختها? شبکه ? شما هنوز در برابر دستکار?ها? سنت? آس?ب پذ?ر باق? م? ماند. " و منظور و? از ا?ن "دستکار?ها? سنت?" همان حملات مهندس? اجتماع? است.
آغاز سخن :
- " سلام مر?! من پ?تر اسم?ت هستم از دپارتمان کامپ?وتر. شما اخ?را متوجه نشده ا?د که کامپ?وترتان کند شده است؟ "
- " ببخش?د ممکنه راجع به خودتون ب?شتر توض?ح بد?ن؟ "
- " من دست?ار مارک هستم. ما اخ?را تغ??رات? در فا?ل س?ستم به وجود آورده ا?م که ا حتمالا باعث کند? س?ستم م? شود . او از من خواست که ا?ن موضوع را با همه چک کنم. "
- " متوجه شدم. بله البته اخ?را قدر? کند شده است. "
- " خ?ل? خوب . چند لحظه صبر کن?د... خب من الان م? خواهم به ترم?نال شما وارد شوم تا بب?نم مشکل از کجاست. نام کاربر? تان 'mblake' است ، درسته؟ ?عن? م?شه اسم فام?ل بعد از اسم ... "
- " نه! هستش : mblakey "
- " آهان بله بله ممنون. با?د ببخش?د . من هنوز کم? ا?نجا تازه وارد هستم. پسوردتون رو هم بگ?ن؟ "
- " sam 89 "
- " مرس? مر?! من به شما خبر خواهم داد! "
آنچه در بالا د?د?د ?ک سنار?و? خ?ال? و ?ا قسمت? از ?ک داستان جنا?? ن?ست! بلکه اتفاق? است که بارها در شرکتها? بزرگ افتاده و ط? آن بخش? از اطلاعات سر? شرکت لو رفته است. ا?ن گونه تلاشها? غ?ر تکن?ک? برا? دست?اب? به س?ستمها مهندس? اجتماع? نام?ده م? شود . اگر چه احتمال داده م? شود که در صد ز?اد? از حملات نفوذگرانه بر رو? شرکتها با سنار?وها?? شب?ه آنچه در بالا د?د?د آغاز شده است ،اما به نظر م? رسد ?افتن مثالها? خوب? در ا?ن زم?نه چندان هم کار ساده ا? نباشد چرا که از ?ک سو شرکتها ما?ل به لکه دار کردن شهرت و وجه ? خوب خود ن?ستند و از سو? د?گر ، ا?ن حملات مورد ب? توجه? مسئول?ن امن?ت? قرار گرفته و عموما به خوب? مستند نم? شوند. لذا با نظر به ا?ن جنبه ها و ن?ز اهم?ت انکار ناپذ?ر ا?ن نوع حملات در امن?ت س?ستمها بر آن شد?م تا در ا?ن مقاله به بررس? برخ? از جنبه ها? اصل? مهندس? اجتماع? بپرداز?م.
پا?ان سخن:
امن?ت اطلاعات امن?ت کامپ?وتر ن?ست. ا?ن مطلب در چند?ن مقاله ? مرجع تکرار شده و ب?انگر آن است که در حال حاضر متخصصان امن?ت? به تبع رشته و سابقه ? فن? خود عمدتا بر جنبه ها? فن? امن?ت ?ک س?ستم توجه دارند و از حملات مهندس? اجتماع? که رو? انسانها پ?اده م? شود و غالبا انجام آن برا? نفوذگران ساده تر هم هست و شرا?ط را برا? حملات تکن?ک? هموار م? کنند ، غافلند. شا?د وقت آن باشد که مسئول?ن امن?ت? به خود آمده و ا?ن حملات را ن?ز هم سنگ سا?ر انواع حملات جد? بگ?رند.
برخ? از معروفتر?ن تعر?فها? ارائه شده برا? مهندس? اجتماع? از ا?ن قرارند:
-Bernz: هنر و علم وا داشتن د?گران به انجام کار? مطابق خواسته ? نفوذگر
-Palumbo: استفاده ? ?ک نفوذگر خارج? از حقه ها? روان شناس? بر رو? کاربران قانون? ?ک س?ستم کامپ?وتر? ، برا? به دست آوردن اطلاعات? که نفوذگر برا? نفوذ به س?ستم احت?اج دارد.
-Berg: به دست آوردن اطلاعات (برا? مثال کلمه ? عبور) از ?ک فرد ، به جا? به کار گ?ر? روشها? فن? برا? ورود غ?ر مجاز به س?ستم.
و تعر?ف آخر که به نوع? حالت کل? تر تعار?ف بالاست ب?ان م? دارد:
مهندس? اجتماع? عبارتست از وادار کردن د?گران به دادن چ?زها?? ، اعم از اطلاعات و کالا، به ?ک فرد د?گر ، در صورت? که قانونا نبا?د بدهند.
-در بحث امن?ت کامپ?وتر? ، مهندس? اجتماع? به مقوله ا? اطلاق م? شود که نوع? نفوذ و حمله ? غ?ر فن? را توص?ف م? کند که عمدتا بر تعاملات انسان? تک?ه دارد و در بر گ?رنده ? روشها? فر?فتن د?گران است تا روندها? معمول امن?ت? را بشکنند.
در واقع مهندس? اجتماع? م? تواند همه و ?ا ه?چکدام از ا?ن تعار?ف باشد. بسته به ا?نکه شما در چه جا?گاه? قرار دار?د و از چه د?دگاه? ما?ل به بررس? آن هست?د. اما آنچه که به نظر م? رسد مورد توافق همه است ، ا?ن است که مهندس? اجتماع? عموما بهره گ?ر? هوشمندانه ? ?ک نفوذگر از تما?ل طب?ع? انسانها برا? اعتماد کردن و کمک کردن را در بر م? گ?رد.هدف نفوذگر از ا?ن عمل به دست آوردن اطلاعات? است که به وس?له ? آنها دسترس? غ?ر مجاز به منابع اطلاعات سر? م?سر م? شود. در واقع نفوذگرا?ن بار با هدف قرار دادن ضع?ف تر?ن حلقه ? زنج?ره ? امن?ت ، ?عن? انسان ، اهداف د?گر? را دنبال م? کند . از قب?ل : ارتکاب جرم، نفوذ به شبکه ، جاسوس? صنعت? (در ا?ن مورد در هم?ن مقاله به تفص?ل صحبت خواهد شد) ، دزد? هو?ت و ?ا خرابکار? در س?ستم و شبکه .
توجه به ا?ن نکته ضرور? است که ا?ن نوع حمله ها غالبا ساده تر از بس?ار? از انواع نفوذگر? ها? فن? هستند. به هم?ن دل?ل سازمانها? بس?ار? هدف ا?ن حملات قرار م? گ?رند.
سازمانها?? که عمدتا هدف ا?ن حملات قرا رگرفته و آس?ب پذ?ر? بالا?? دارند عبارتند از: مراکز پاسخگو?? تلفن? ، شرکتها? بزرگ و معروف ، موسسات مال? ، مراکز دولت? و ارتش? و حت? ب?مارستانها.
حملات مهندس? اجتماع? غالبا در دو سطح ف?ز?ک? و روان شناس? انجام م? گ?رند که توض?ح روشها? آن در بخشها? د?گر? از ا?ن مقاله خواهد آمد.
?ک مفهوم نزد?ک و مرتبط: مهندس? اجتماع? معکوس :
آنچه از آن تحت عنوان "مهندس? اجتماع? معکوس" ?اد م? شود در واقع ?ک? از روشها? مهندس? اجتماع? است . و به ا?ن ترت?ب است که نفوذگر خود را در جا?گاه دهنده ? اطلاعات قرار م? دهد و با جلب اعتماد افراد، نفوذ خود را عمل? م? کند.
اگر چه ا?ن نوع نفوذ آمادگ? و تحق?قات ب?شتر? م? طلبد ، اما اگر به درست? برنامه ر?ز? و اجرا شوند ، شانس موفق?ت ب?شتر? نسبت به سا?ر روشها دارند.
Rick Nelson در مقاله ا? ، مهندس? اجتماع? معکوس را مشتمل بر سه قسمت دانسته :
1. خرابکار? 2 . تبل?غات 3. کمکرسان?
در ?ک سنار?و? معروف ، نفوذگر? عمدا اشکال? در شبکه ا?جاد م? کند ، سپس با تبل?غات، هدف خود را متقاعد م? کند که او فرد مناسب و متخصص برا? حل مشکل است و در پا?ان ، وقت? برا? تعم?رات و ارائه ? خدمت حاضر شد ، با ز?رک? خاص? ذره ذره اطلاعات? را که در واقع برا? به دست آوردنشان آمده است، با پرسش ?ا مشاهده استخراج م? کند.
بررس? روان شناخت? حملات مهندس? اجتماع? :
?ک قول معروف امن?ت? م? گو?د: "ه?چ کامپ?وتر? تا زمان? که از پر?ز کش?ده نشده امن ن?ست." و اکنون گفته م? شود که ه?چ کامپ?وتر? در ه?چ حال? امن ن?ست! چرا که با مهندس? اجتماع? م? توان فرد? را متقاعد کرد که کامپ?وتر را به پر?ز زده و آن را روشن کند!
در واقع بخش انسان? ?ک س?ستم کامپ?وتر? مهمتر?ن و در ع?ن حال آس?ب پذ?ر تر?ن عنصر امن?ت? آن است و ا?ن نوع آس?ب پذ?ر? مستقل از پلت فرم ، نرم افزار ، سخت افزار و شبکه است.هر انسان? که به صورت ف?ز?ک? ?ا مجاز? به ?ک س?ستم کامپ?وتر? دسترس? دارد ، ?ک منبع خطر بالقوه محسوب م? شود .نکته ? د?گر ا?نکه ه?چ س?ستم کامپ?وتر? در جهان وجود ندارد که کاملا ب? ن?از از حضور انسان باشد. در نت?جه بررس? روان شناخت?، به جلوگ?ر? از حملات مهندس? اجتماع? و امن کردن س?ستمها کمک شا?ان? خواهد کرد.
نفوذگر ها از روشها? روان شناس? مختلف? برا? تحت تاث?ر قرار دادن افراد مورد نظرشان و واداشتن آنها به انجام کارها?? که مد نظرشان است ، استفاده م? کنند که بعض? از ا?ن روشها موفق?ت ب?شتر? نسبت به بق?ه دارند.
در ابتدا?? تر?ن و ساده تر?ن روش از فرد مستق?ما خواسته م? شود که کار? را انجام دهد. که شانس موفق?ت کمتر? در مقا?سه با سا?ر روشها دارد.به خصوص اگر فرد حداقل آموزش? در ا?ن زم?نه د?ده باشد و از ?ک کم?نه هوش?ار? و آگاه? بر خوردار باشد.
روشها? د?گر? هستند که با جلق موقع?تها? خ?ال? و قرار دادن فرد در آن موقع?تها ، سع? م? کنند به هدف خود برسند. اگر چه ا?ن روش نسبت به قبل? کار ب?شتر? م? طلبد و ن?ازمند آن است که نفوذگر اطلاعات ب?شتر? از هدف ، قبل از آغاز حمله جمع آور? کند ، اما معمولا موفقتر است.
انسانها معمولا تما?ل دارند که همرنگ جماعت شوند که برخ? از دلا?ل آن عبارتست از : عدم تما?ل به آزردن د?گران و ?ا ناد?ده گرفتن عقا?د آنان و مخالفت با آنها و ?ا وحشت از ا?نکه در مقابل د?گران نادان به نظر برسند. ا?ن تما?ل که از آن تحت عنوان " فشار اجتماع? " ?اد م? شود ، معمولا از سو? نفوذگرها مورد سوء استفاده قرار م? گ?رد.
همان طور که ذکر آن رفت، دو مورد آخر مستلزم خلق موقع?تها? خ?ال? اما قابل باور است. ا?ن موقع?تها برا? ا?نکه فرد را با نفوذگرهمراه کنند ، با?د دارا? حداقل ?ک? از مشخصات ز?ر باشند:
1. برداشتن بار مسئول?ت از رو? دوش فرد. بد?ن معن? که او را با ا?جاد ا?ن حس که و? تنها فرد مسئول ن?ست ، آرام و مطمئن کنند.
2. فراهم آوردن امکان خوش خدمت? برا? فرد. بد?ن معن? که فرد باور کند با انجام کار خواسته شده ، خود را نزد کارفرما? خود بهتر نشان داده است.
3. انسانها دوست ندارند احساس گناه کنند و معمولا به ا?ن صورت است که اگر فرد? وظ?فه ? اخلاق? خود را به انجام نرساند ، احساس گناه م? کند. پس کافس است نفوذگر، شرا?ط را به نحو? فراهم کند که فرد حس کند انجام ا?ن کار وظ?فه ? اخلاق? و? است!
به هر حال هدف نها?? تمام روشها? مهندس? اجتماع? تلاش برا? متقاعد کردن افراد به انجام کار خواسته شده از آنهاست و مسلم است که ا?ن امر با اعمال زور به نت?جه نم? رسد. بلکه با?د تلاش شود حس همکار? داوطلبانه در فرد ا?جاد شود. بد?ن ترت?ب فرد حس م? کند که شرا?ط ، تحت کنترل او قرار دارد و حت? به خود افتخار م? کند که کسر کوچک? از زمان و انرژ? خود را به انتخاب و تصم?م خود و رضا?تمندانه در راه رس?دن به منافع بزرگتر فدا کرده است.
برخ? فاکتورها?? که به افزا?ش شانس همکار? فرد با نفوذگر منجر م? شوند عبارتند از :
1. در ا?ن راه نفوذگر با?د حوصله به خرج دهد و آرام آرام فرد را به سو? هدف خود هدا?ت کند.
2. استفاده از "حقه ? اعتماد " . به ا?ن معن? که از سابقه ? ذهن? مثبت فرد کمک بگ?رد . اگر فرد قبلا تجربه ? موفق? در پاسخ مثبت گفتن به ?ک در خواست مشابه داشته باشد ، در خصوص در خواست جد?د ، بهتر با نفوذگر همکار? خواهد کرد.
3. ا?جاد تماس بهتر با فرد و برقرار? ارتباط با تعداد ب?شتر? از حواس پنجگانه ? او ، شانس موفق?ت را بالا م? برد. به طور مثال ، احتمال موفق?ت در حالت? که فرد ، نفوذگر را بب?ند و صدا?ش را بشنود ، مسلا ب?شتر از زمان? است که فقط صدا? او را از پشت تلفن بشنود و دل?ل? هم که محققان برا? ا?ن مطلب ذکر م? کنند ، ا?ن است که به نظر م? رسد فرد در اثر تماس ب?شتر ، به نوع? در رودر با?ست? قرار م? گ?رد.
موفق?ت همچن?ن تا حد ز?اد? بستگ? به ا?ن دارد که فرد مورد حمله تا چه حد در س?ستم کامپ?وتر? در گ?راست. م? توان گفت که مد?ران س?ستمها ، کارشناسان امن?ت و تکنس?ن ها که از س?ستم به عنوان ابزار اصل? ارتباطات و انجام کارها? خود استفاده م? کنند ، از در گ?رتر?ن افراد هستند.
افراد درگ?ر برا? قانع شدن و همکار? با شما ن?از به دلا?ل محکم دارند. دلا?ل ضع?ف و سطح? معمولا اثر معکوس در آنها ا?جاد م? کنند. به علاوه ا?نکه برا? مواجه با ا?ن گونه افراد با?د دانش فن? بالاتر از آنان داشت.
نمونه ها?? از افراد? که کمتر در س?ستم درگ?ر هستند عبارتند از : نگهبانان ، نظافتچ? ها و ?ا منش? ها? پذ?رش. ا?نها طبق تعر?ف افراد? هستند که علاقمند? کمتر? به اطلاعات? که نفوذگر از س?ستم کامپ?وتر? م? خواهد نشان م? دهند و چون خود را کمتر مسئول م? دانند ، معمولا در مواجه با در خواستها? نفوذگرانه خود را برا? تحل?ل شرا?ط و سنجش م?زان ر?سک به زحمت نم? اندازند . در نت?جه برا? ا?ن افراد دلا?ل سطح? کفا?ت م? کند. اما توجه به ا?ن نکته ضرور? است که ا?ن نوع افراد از تعدد دلا?ل (هر چند تا حدود? نا مربوط) به وجد م? آ?ند. بنابرا?ن برا? ا?جاد همکار? ر ا?ن افراد با?د نفوذگر تعداد مناسب? دلا?ل سطح? آماده کند!
حال تعداد? از راهها? مبارزه با ا?ن حمله ها را از د?د روانشناس? بر م? شمار?م:
1. سع? شود امن?ت را به بخش? از زندگ? کارمندان تبد?ل کن?م. افراد را ب?شتر در مسئله ? حفظ امن?ت س?ستم درگ?ر کن?م . بد?ن ترت?ب افراد احساس مسئول?ت ب?شتر? از خود نشان م? دهند.
2. به کارمندان توض?ح و آموزش داده شود و در ا?ن امر با?د باآنها صادق بود و در هر مورد? تا حد امکان هر دو رو? مسئله برا? آنها تشر?ح شود. چون اگر افراد با دل?ل و منطق قانع شوند ( و نه فقط با اعمال قوان?ن و پ?رو? کورکورانه از آنها) ، قابل?ت اعتماد ب?شتر? در مواجه با حملات نفوذگرانه از خود نشان م? دهند.
3. مهارتها? فرد? و روان? کارمندان را افزا?ش ده?م، مثلا برگزار? کلاسها? تقو?ت اعتماد به نفس و راهها? مقابله با فشار و اضطراب ، برا? کارمندان در سازمان م? تواند ا?ده ? خوب? در جهت بهبود مسائل امن?ت? سازمان در بلند مدت باشد.
موارد نمونه و کاربردها? مهندس? اجتماع? :
در ا?ن بخش موارد? از به کار گ?ر? روشها? مهندس? اجتماع? را بررس? م? کن?م و مثالها?? واقع? را ذکر م? کن?م.
الف ) جاسوس? صنعت? :
بر طبق گزارش اداره ? پل?س فدرال امر?کا ، تخم?ن زده شده که شرکتها? امر?کا?? سالانه 100 م?ل?ون دلار به خاطر جاسوس? صنعت? ضرر م? کنند. اگر چه ا?ن نوع حمله معمولا از جانب موسسات خاص? با پشتوانه ? مال? خوب صورت م? گ?رد اما تحق?قات نشان داده است که جلوگ?ر? از ا?ن حملات بس?ار ساده و با توجه کردن به نقاط آس?ب پذ?ر? به راحت? قابل پ?شگ?ر? است.
" جاسوس? صنعت? " عبارت است از به کار گ?ر? همزمان ?ک ?ا معمولا تعداد? از روشها? مهندس? اجتماع? به صورت برنامه ر?ز? شده و هدفمند برا? دسترس? به اطلاعات مهم و سر? ?ک شرکت .
مطالعات اخ?ر نشان داده است که افراد داخل ?ک شرکت ، مسئول ب?ش از 70 % از دزد?ها? اطلاعات? از شرکتها بوده اند.
روشها? جاسوس? صنعت? بر دو دسته است: روشها? قانون? و غ?ر قانون?.
روشها? قانون? :
1. خر?د شرکتها ?ا محصولاتشان که سبب انتقال تکنولوژ? و دانش به رقبا? سابق شرکت خر?دار? شده م? شود.
2. انتقال تکنولوژ? به کشورها? د?گر از راه انجام تجارت در آنها که ضمن آن شرکت مذکور مجبور م? شود ابتدا ن?رو? انسان? خارج? را آموزش دهد.
3. انجام کار مشترک با سا?ر رقبا . مثلا چند شرکت با هم تصم?م به ساخت محصول? جد?د م? گ?رند که در ا?ن پروسه اطلاعات شرکتها به اشتراک گذاشته م? شود.
4. اطلاعات منبع باز . مانند مقالات روزنامه ها ، گزارشها? سالانه ? شرکتها ، اطلاعات? که شرکت مجبور شده در ?ک دادگاه برا? دفاع از اتهام وارده به خود ارائه کندو ...
5. استخدام کارمندان توسط شرکتها? د?گر و رقبا. که هر چند در بس?ار? موارد ناخواسته و غ?ر مغرضانه ، اما به هر حال سبب انتقال دانش توسط ا?ن کارمندان م? شود.
6. کنفرانسها و برنامه ها? تبل?غات? .
روشها? غ?ر قانون?:
1. سوء استفاده از افراد داخل? برا? دزد?دن اطلاعات، چه به صورت آگاهانه (تطم?ع کارمندان) و چه به صورت ناآگاهانه مانند تلفن کردن به کارمندان واحد پشت?بان?.
2. فرستادن جاسوسها?? به شرکت در قالب افراد واجد تخصص و جو?ا? کار
3. حمله ? ف?ز?ک? به شرکت.معمولا وقت? موفق است که حمله کنندگان دق?قا بدانند دنبال چه هستند و آن را کجا با?د ب?ابند.
4. گشتن اتاقها? هتل نما?ندگان در سفر شرکت!
راهها? جلوگ?ر?:
1. امن?ت فن? : مانند نصب د?وارها? آتش و ... که مورد بحث ما در ا?ن مقاله نم? باشد.
2. امن?ت عمل? : به ا?ن معنا که شرکت زنج?ره ? فعال?تها? خود را مورد بررس? دق?ق قرار دهد تا در ?ابد که در چه قسمتها?? امکان نشت اطلاعات به ب?رون وجود دارد و برا? جلوگ?ر? از آنها قوان?ن و س?استها?? اتخاذ کند و همه ? کارمندان را تعل?م دهد. و دق?قا مشخص شود چه کارمندان? و هرکدام تا چه حد به کدام اطلاعات شرکت دسترس? دارند.
3. امن?ت ف?ز?ک? : دسترس? ف?ز?ک? به دارا?? ها? شرکت با?د توسط قفلها ، نگهبانها و دستگاهها? تشخ?ص هو?ت کنترل شود. جالب است بدان?د که درصد ز?اد? از حملات? که گزارش شده اند ، سطل آشغال شرکتها را هدف قرار داده اند.
4. امن?ت شخص? : کارمندان و سابقه ? آنها با?د به دقت بررس? شود . به خصوص مشاغل سطح پا??ن مانند نظافتچ? ها و نگهبانان با?د تحت نظر باشند چون معمولا ا?ن افراد به علت آگاه? کم و دسترس? بالا هدف حملات هستند.
ب ) و?روس ها و کلک ها?? که از مهندس? اجتماع? استفاده م? کنند:
بس?ار? از و?روسها و کرمها?? که از طر?ق ا?م?ل گسترش م? ?ابند، از روشها? مهندس? اجتماع? برا? فر?فتن افراد و واداشتن آنها به باز کردن ضم?مه ? ا?م?ل ها استفاده م? کنند. برخ? از عبارات? که توسط ا?ن خرابکارها استفاده شده( با حفظ زبان مورد استفاده ? آنها که غالبا انگل?س? بوده) به قرارز?ر است:
Here is a patch for IE 6.0 , enjoy!
Important Microsoft update for Outlook.
Run attached file to see Britney Spears bare all!
Your computer is infected, run this program to remove the virus.
برخ? حقه ها? معمول عبارتند تز :
- چند زبانه بودن: و?روس از رو? نام دام?ن در ا?م?ل ، کشور و زبان را تشخ?ص داده و نسخه ا? از خود را که با آن زبان صحبت م? کند به سراغتان م? فرستد.
- پرگو??: لعض? و?روسها منبع بزرگ? از جملات گول زننده دارند و هر بار ?ک? ?ا تعداد? از آنها را به کار م? برند که از نسخه ا? به نسخه ? د?گر متفاوت است. و ب?شتر اوقات ا?ن جملات به حد کاف? دوستانه هستند تا شما را متقاعد کنند که ا?م?ل ، از طرف ?ک آشنا م? باشد.
- هر بار فا?ل متفاوت? را ضم?مه م? کنند و عنوان متفاوت? برا? ا?م?ل بر م? گز?نند. حت? برخ? از و?روسها چنان که به زود? خواه?م د?د ، ا?ن قدرت را دارند که فا?ل? را از ماش?ن قربان? برا? د?گران بفرستند.
- فا?ل ضم?مه ، ظاهر ب? آزار? دارد. مثلا پسوندها? .txt و .jpg را در نام فا?ل قرار م? دهند و غالبا و?ندوز ، پسوند اصل? و?روس را نشان نم? دهد و ا?ن پسوندها به اشتباه توسط کاربر ، واقع? پنداشته م? شوند.
در ا?نجا تعداد? از عبارات استفاده شده توسط و?روسها? ا?م?ل? را م? آور?م:
Subject: read it immediately
Body: I'm waiting
Attachment: textfile.doc.exe
اثر روانشناس? ا?ن نوشته ها رو? فرد ا?جاد عجله در و? است تا قدرت تفکر درست از او سلب شود.
Subject: warning
Body: check the attached document
Attachment: palpal.zip
ا?ن مورد از هوش?ار? ناخودآگاه آدمها برا? توجه به هشدارها و پ?شگ?ر? از حوادث سوء استفاده م? کند.
Subject: Re: excuse me
Body: love letter?
Attachment: story.pif
در ا?ن ?ک? از دو حقه ? روانشناس? بهره گ?ر? شده است. اولا ا?نکه در قالب پاسخ ارسال شده که در فرد ا?ن باور را ا?جاد م? کند که حتما پاسخ ?ک? از ا?م?لها?? است که قبلا به کس? فرستاده است. دوم علاقه ? انسانها به مورد محبت واقع شدن است.
Subject: Rena
Body: love the outdoors, literature, writing and athletics
Attachment: tammy.zip
ا?ن ?ک? که وانمود م? کند از طرف ?ک دختر با علا?ق ذکر شده فرستاده شده است ، تما?ل به دوست?اب? و به خصوص از جنس مخالف را در انسان مورد هدف قرار م? دهد.
برخ? د?گر از عبارات معمول بدون توض?ح در ز?ر آورده م? شوند:
Subject:
- Email account security warning
- Important notify about your email account
- Email account disabling warning
Body Text:
- Dear user of ( user 's domain) gateway email server,
- Dear user of (user 's domain mailing list),
- Dear user, the management of (users 's domain) mailing list wants to let you know that your email account will be disabled because of improper using in next three days, if you are still wishing to use it, please resign your account information.
-
Attachment explanation:
- For more information see the attached file.
- Pay attention to the attached file.
- Password information
-
Sign off:
- The Management,
- Kind regards,
The (user 's domain) team (user 's domain web address)
اگر چه ا?ن و?روسها عمدتا براساس شکافها? امن?ت? MS Outlook و Internet Explorer ، خرابکار?ها? خود را پا?ه گذار? م? کنند ، اما همچنان برا? گسترش خود از روشها? مهندس? اجتماع? بهره م? گ?رند.
به عنوان ?ک مثال ، و?روس W32.Beagle را نام م? بر?م که درباره ? ?ک مشکل به شما اطلاع م? دهد و وانمود م? کند از طرف مد?ر شبکه فرستاده شده است:
Our main mailing server will be temporarily unavailable for next two days. To continue receiving emails in these two days you have to configure our free auto-forwarding service.
کلکها(HOAX) :
مثال معروفش jbdbgmgr.exe و ?ا teddybear است که توسط دوستان به هم فرستاده م? شود.
ف?ش?نگ :
" ف?ش?نگ " عبارتست از استفاده از رسانه ها? ا?نترنت? مانند ا?م?ل و وب سا?ت ها برا? به دست آوردن اطلاعات مهم.
در چند نمونه حمله ? مشاهده شده از ا?ن نوع ، افراد ، ا?م?ل? در?افت م? کنند که فرمت ا?م?لها? شرکتها? معروف مانند AOL ، eBay، Visa ، PayPal و ... را تقل?د م? کند و با ذکر دلا?ل? ، شما را به سا?ت? راهنما?? م? کند تا اطلاعات حساب خود را در آنجا وارد کن?د.
?ک نمونه ? معروف ، Nigerian 419 scams است که حس ز?اده خواه? انسان را مورد حمله قرار م? دهد و وانمود م? کند از طرف ?ک? از نوادگان ?ک د?کتاتور معروف فرستاده شده است که ن?از به کس? دارد که ثروتش را نگه دارد و از شما م? خواهد به سا?ت? رفته و اطلاعات حساب بانک? خود را وارد کن?د!
عبارات? مشابه ا?ن ن?ز مشاهده شده است:
Your account is about to expire. Please go to this website to reenter your account and credit card information.
به عنوان اختتام?ه ? ا?ن بخش ، ?ک و?روس معروف را که در زمره ? اول?ن و?روسها? به کار گ?رنده ? روشها? مهندس? اجتماع? است به طور خلاصه معرف? م? کنم:
نام: Melissa
تار?خ آغاز انتشار: March 26 , 1999
توض?حات فن?: به زبان ماکروها? MS Word نوشته شده و در قالب ضم? مه ? ا?م?ل منتشر م? شود. در صورت باز شدن و آلوده کردن س?ستم? ، کپ? ها?? از خود به 50 آدرس اول موجود در دفترچه آدرس MS Outlook م? فرستد و بعضا تحت شرا?ط? ، فا?ل? از ماش?ن آلوده را ضم?مه م? کند.
سه روز پس از انتشار اول?ه ، حدود 100,000 کامپ?وتر آلوده شده بودند.
در ز?ر نمونه ا? ا ز ا?م?ل فرستاده شده توسط Melissa را مشاهده م? کن?د:
Subject: Important message from (name of a friend)
Body :
(Content-Type : text/plain)
Here is that document you asked for … don 't show anyone else ;-)
(Content Type : application/msword)
List.doc
ج ) هک شدن AOL :
دو مورد از حملات گزارش شده بر رو ? AOL به قرار ز?رند:
اول? در 3 ژوئن 1998 به قرار ز?ر:
در AOL به ا?ن ترت?ب است که تعداد? از کاربران ، داوطلبانه اتاقها? چت را به صورت ناشناس مان?تور م? کنند و در مقابل ا?ن کار از پرداخت هز?نه ? عضو?ت معاف هستند. به ا?ن کاربران " رهبران اجتماعات " گفته م? شود.
?ک نفوذ گر با نام کاربر? PathEndo ، با به دست آوردن کلمه ? عبور ?ک کاربر AOL که مسئول نگهدار? ل?ست حسابها? ا?ن رهبران و نامها? واقع? آنها بوده است ، به ا?ن ل?ست دست ?افته اند. هر چند ا?ن ل?ست اطلاعات? از کلمه ? عبور ا?ن رهبران و ?ا حساب بانک? آنها نم? دهد اما جزو اطلاعات سر? AOL محسوب م? شود.
حمله ? د?گر مر بوط م? شود به هک شدن سا?ت ACLU که بر رو? سرور AOL قرار داشت. که ا?ن بار ن?ز هکران با به دست آوردن کلمه عبور کاربر مسئول نگهدار? سا?ت اقدام به تغ??ر ظاهر سا?ت کردند.
تا بد?ن جا اثر? از مهندس? اجتماع? نبود. اما سئوال ا?ن است که نفوذگران چگونه به کلمات عبور کاربران مربوطه دست ?افتند؟
در مقاله ا? در سا?ت wired.com که توسط ?ک نفوذگر نوشته شده ، و? به توض?ح روش شخص? خود برا? ا?ن کار م? پردازد:
در AOL ا?ن امکان وجود دارد که ?ک کاربر ، چنانچه رمز عبور خود را فراموش کرده باشد ، م? تواند با ?ک تماس تلفن? و ذکر مشخصات خود ، کلمه ? عبور جد?د در?افت کند.
آنگاه هکر چن?ن ادامه م?دهد که و? ط? چند?ن تماس ، هر بار وانمود م? کند جراح? لثه داشته و نم? تواند به خوب? صحبت کند . در هر تماس ، و? اطلاعات? را که از او خواسته م? شود ز?ر لب ناواضح م? گو?د و سپس از کارمند م? خواهد که آنچه فهم?ده را تکرار کند. بار د?گرکه تماس م? گ?رد ، اطلاعات در?افت شده را واضح تر م? گو?د و باز به روش قبل ، اطلاعات ب?شتر? م? گ?رد. تا آنجا که در نها?ت کلمه عبور را در?افت م? کند!
اگر چه در جا? د?گر ب?ان شده که حت? بس?ار ساده تر ، چک 4 رقم آخر کارت اعتبار? را که ب?ن کارمندان AOL مرسوم است را پشت سر گذاشته و اطلاعات لازم را از آنان به دست آورد.
د ) کو?ن م?تن?ک :
نم? توان مقاله ا? را در باب مهندس? اجتماع? به پا?ان برد و سخن? از ا?ن شخص به م?ان ن?اورد. و? که نفوذگر? معروف است ، از روشها? مهندس? اجتماع? برا? نفوذ به چند?ن س?ستم بزرگ استفاده کرد. مدت? را در زندان گذراند و پس از آزاد? کتاب? درا?ن زم?نه نوشت و در آن روشها? خود را برا? عموم شرح داد.
سخن? معروف از و? وجود دارد به ا?ن مضمون که : " شما م?توان?د هر چقدر که م? خواه?د برا? خر?د تجه?زات تکنولوژ?ک? خرج کن?د اما ز?ر ساختها? شبکه ? شما هنوز در برابر دستکار?ها? سنت? آس?ب پذ?ر باق? م? ماند. " و منظور و? از ا?ن "دستکار?ها? سنت?" همان حملات مهندس? اجتماع? است.
آغاز سخن :
- " سلام مر?! من پ?تر اسم?ت هستم از دپارتمان کامپ?وتر. شما اخ?را متوجه نشده ا?د که کامپ?وترتان کند شده است؟ "
- " ببخش?د ممکنه راجع به خودتون ب?شتر توض?ح بد?ن؟ "
- " من دست?ار مارک هستم. ما اخ?را تغ??رات? در فا?ل س?ستم به وجود آورده ا?م که ا حتمالا باعث کند? س?ستم م? شود . او از من خواست که ا?ن موضوع را با همه چک کنم. "
- " متوجه شدم. بله البته اخ?را قدر? کند شده است. "
- " خ?ل? خوب . چند لحظه صبر کن?د... خب من الان م? خواهم به ترم?نال شما وارد شوم تا بب?نم مشکل از کجاست. نام کاربر? تان 'mblake' است ، درسته؟ ?عن? م?شه اسم فام?ل بعد از اسم ... "
- " نه! هستش : mblakey "
- " آهان بله بله ممنون. با?د ببخش?د . من هنوز کم? ا?نجا تازه وارد هستم. پسوردتون رو هم بگ?ن؟ "
- " sam 89 "
- " مرس? مر?! من به شما خبر خواهم داد! "
آنچه در بالا د?د?د ?ک سنار?و? خ?ال? و ?ا قسمت? از ?ک داستان جنا?? ن?ست! بلکه اتفاق? است که بارها در شرکتها? بزرگ افتاده و ط? آن بخش? از اطلاعات سر? شرکت لو رفته است. ا?ن گونه تلاشها? غ?ر تکن?ک? برا? دست?اب? به س?ستمها مهندس? اجتماع? نام?ده م? شود . اگر چه احتمال داده م? شود که در صد ز?اد? از حملات نفوذگرانه بر رو? شرکتها با سنار?وها?? شب?ه آنچه در بالا د?د?د آغاز شده است ،اما به نظر م? رسد ?افتن مثالها? خوب? در ا?ن زم?نه چندان هم کار ساده ا? نباشد چرا که از ?ک سو شرکتها ما?ل به لکه دار کردن شهرت و وجه ? خوب خود ن?ستند و از سو? د?گر ، ا?ن حملات مورد ب? توجه? مسئول?ن امن?ت? قرار گرفته و عموما به خوب? مستند نم? شوند. لذا با نظر به ا?ن جنبه ها و ن?ز اهم?ت انکار ناپذ?ر ا?ن نوع حملات در امن?ت س?ستمها بر آن شد?م تا در ا?ن مقاله به بررس? برخ? از جنبه ها? اصل? مهندس? اجتماع? بپرداز?م.
پا?ان سخن:
امن?ت اطلاعات امن?ت کامپ?وتر ن?ست. ا?ن مطلب در چند?ن مقاله ? مرجع تکرار شده و ب?انگر آن است که در حال حاضر متخصصان امن?ت? به تبع رشته و سابقه ? فن? خود عمدتا بر جنبه ها? فن? امن?ت ?ک س?ستم توجه دارند و از حملات مهندس? اجتماع? که رو? انسانها پ?اده م? شود و غالبا انجام آن برا? نفوذگران ساده تر هم هست و شرا?ط را برا? حملات تکن?ک? هموار م? کنند ، غافلند. شا?د وقت آن باشد که مسئول?ن امن?ت? به خود آمده و ا?ن حملات را ن?ز هم سنگ سا?ر انواع حملات جد? بگ?رند.
+ نوشته شده در ساعت توسط احسان خوشخرام
|