Чтобы изучить возможные уловки компьютерных злоумышленников, исследователи делают объектом экспериментов ничего не подозревающих пользователей
Если бы не его этические принципы, Маркус Якобсон мог бы стать мошенником мирового класса. Впрочем, время от времени он, по сути, таковым и является.
Профессор университета штата Индиана, изучающий вопросы защищенности электронных устройств, немало времени тратит на организацию атак, направленных против пользователей Web (конечно, при этом им не наносится никакого реального вреда). Его цель заключается в том, чтобы понять, на какие уловки попадаются люди, и какие новые методы могут взять на вооружение инициаторы атак фишинга.
Руководство университета вполне лояльно относится к экспериментам, направленным на укрепление информационной безопасности, хотя соответствующие мероприятия и раздражают порой некоторых неосведомленных участников подобных опытов.
"С точки зрения нашего руководства, все, что не является аморальным или противозаконным, вполне допустимо", -- пошутил Якобссон на недавней конференции Usenix Security Symposium в ходе своего доклада, посвященного роли человеческого фактора в зарегистрированных случаях электронного мошенничества -- фишинга, использования поддельных ссылок и вредоносных программ. Жертвы подобных атак зачастую сами отдают в руки злоумышленников персональную информацию (например, номера банковских счетов), или же хакеры получают возможность организации удаленного управления их компьютерами.
Объекты исследований Якобсона ничего не знают о том, что над ними проводят эксперименты. В противном случае полученные результаты оказались бы совершенно бесполезными. Как правило, соответствующую информацию им сообщают уже после завершения опытов, что, по признанию Якобсона, зачастую вызывает серьезное недовольство с их стороны.
В ходе одного из экспериментов Якобсон вместе со своими студентами разослал 20 пользователям электронные письма со ссылкой на сайт, сертификат подлинности которого был подписан непосредственно его создателем. Многие люди приняли сертификат, хотя любому хоть сколько-нибудь осведомленному в вопросах компьютерной безопасности человеку известно, что делать этого не следует.
"В течение одного дня мы разослали подобные сообщения представителям четырех различных континентов, -- вспоминал Якобсон. -- В результате у нас появилось все необходимое для установки на компьютеры клиентов деструктивных программ".
В процессе другого эксперимента Якобсон обнаружил, что люди стараются не щелкать мышью по подозрительным ссылкам, присутствующим в электронных письмах, однако охотно переходят на сайты, если в инструкции содержится указание скопировать и вставить ссылку в адресную строку браузера. На основании проведенных экспериментов -- в ходе которых пользователи получали электронные письма с просьбой обновить свои учетные записи eBay -- исследователь сделал вывод о том, что "просветительские" усилия, направленные на информирование людей об опасности электронных атак, неэффективны. Пользователям известно о том, что нельзя щелкать мышью по подозрительным ссылкам, а вот о копировании и вставке этих же самых ссылок в адресную строку браузера им никто не говорил. Малейшее изменение рекомендованного алгоритма действия приводит к тому, что выстроенная защита жертв рушится, и они охотно выплачивают злоумышленникам дивиденды, на которые те претендуют.
Якобсон выявил также осложнения, связанные с идентификацией компаниями пользователей кредитных карт по последним четырем цифрам номера их счета, которые представляют собой случайную последовательность. Исследование показало, что люди охотно отвечают на электронные письма мошенников и в том случае, когда злоумышленник правильно называет первые четыре цифры номера их счета, хотя они-то как раз случайной последовательностью и не являются. Первые четыре цифры зарезервированы за компанией, которая занималась выпуском карт.
"Многие полагают, что четыре начальные цифры ровно в той же степени конфиденциальны, как и четыре последние, хотя, безусловно, это не так, -- подчеркнул Якобсон. -- И здесь клиентам нужно быть более осмотрительными".
В следующем эксперименте преподавателей попросили ввести свои университетские пароли для того, чтобы зайти на сайт, который, судя по его внешнему виду, находился явно за пределами университета. Большинство из них охотно клюнуло на эту удочку.
"Мы перенаправили их на страницу, где было написано: 'услуги временно недоступны, пожалуйста, повторите попытку позже', -- сообщил Якобссон. -- У людей проснулся интерес, и многие из них через некоторое время вернулись сюда. Отрадно отметить, что ИТ-специалисты практически никогда не попадались в сети, расставленные незнакомцем. А вот для преподавателей не было никакой разницы в том, исходит ли полученное письмо от их приятеля или от совершенно незнакомого им человека".
Несложно было заранее предвидеть и еще один из полученных результатов. Мужчина гораздо охотнее переходит по ссылке, которую прислала ему женщина, а не другой мужчина. В то же время весьма неожиданные факты были выявлены после поступления электронных писем из социальных сетей, характеризующих политические убеждения их отправителей.
"Мне было приятно узнать, что люди, находящиеся на крайнем левом и крайнем правом флангах политического поля, гораздо более уязвимы по сравнению с теми, кто тяготеет к центру, -- заметил Якобссон. -- Для меня это стало еще одним подтверждением того, что у многих из них имеются определенные психические особенности".
При проведении очередного эксперимента Якобсон обнаружил слабые места в системе eBay, отвечающей за организацию связи между продавцами и покупателями. Получатель электронного письма видел перед собой желтую кнопку с надписью "Ответь прямо сейчас", однако за ней не скрывалось никакой информации об адресате. Якобсон вставлял эту кнопку в письмо, направленное жертве, делая его похожим на сообщение, исходящее от пользователя eBay. В результате жертва, а в данном случае -- объект исследования, переходила на сайт с адресом, похожим на адрес eBay, но находившийся под контролем Якобсона.
После проведения данного опыта исследователи связались с представителями электронного аукциона.
"Всего лишь через два месяца после проведения эксперимента и оглашения результатов на пользователей eBay обрушилась реальная масштабная атака, -- вспоминал Якобсон. -- Ужасно сознавать, что возможно, и мы к этому как-то причастны".
Впрочем, то же самое, но в меньших масштабах, уже имело место, поэтому Якобсону можно снять с себя всякую ответственность. Представители eBay положительно отнеслись к его исследованию, поскольку в результате получили информацию, которая помогла им укрепить систему безопасности. Однако, опасаясь огласки и скандала, в eBay решили не экспериментировать со своими клиентами.
А между тем, проведение опытов подобного рода обусловлено целым рядом весомых причин. Противостояние фишинговым атакам усиливается за счет выявления того, что здесь работает, а что нет. В ходе одного из экспериментов Якобсон разослал 400 писем с одной из двух ссылок на ресурсы AT&T. В первой из них присутствовало название компании, а во второй сочетание "accountonline.com".
Ссылке accountonline.com, которая действительно используется AT&T, люди доверяли в значительно меньшей степени, чем той, в которой присутствовало название компании. Инициаторам атак фишинга это хорошо известно, и они со своей стороны стремятся зарегистрировать доменные имена, на которые, по их мнению, клюнут пользователи.
"Атаки с указанием известного имени очень часто завершаются успехом", -- признал Якобсон.
Проводимые эксперименты должны помочь выявить еще не используемые злоумышленниками уязвимые места, обусловленные человеческим фактором.
Хотя некоторые и утверждают, что обучить пользователей, как уклониться от электронных атак, невозможно, Якобсон убежден, что его исследование поможет повысить эффективность образовательных программ. Сегодня некоторые общие советы звучат настолько расплывчато, что являются фактически бесполезными и оставляют огромное поле для дальнейших улучшений.
"Технические компоненты важны, но ими вопросы обеспечения безопасности далеко не исчерпываются", -- уверен Якобсон.
Самоподписанные сертификаты
Электронный сертификат подлинности является электронным документом, который подтверждает, что сайт действительно принадлежит той компании, о которой в нем написано. Такой сертификат состоит из нескольких полей -- минимум адрес сайта и название компании-владельца. Однако, чтобы ему можно было доверять, такой сертификат должен быть подписан электронной подписью сторонней организации -- удостоверяющего центра (УЦ), которой доверяют как владельцы сайта, так и пользователь. Такая подпись означает, в том числе, и то, что УЦ подтверждает правильность полей сертификата. Если же сертификат подписан электронной подписью самой компании, то, часто, доверять этим сведениям нельзя, поскольку ни какой проверки правильности полей сертификата сторонней компанией не проводилось и в них может быть написано все, что угодно.
Для того, чтобы создать инфраструктуру доверия традиционно используется система с открытыми ключами (Public Key Infrastructure, PKI). Она предназначена для создания цепочки доверия с помощью выдачи сертификатов доверия между различными УЦ, если они доверяют друг другу. Дело в том, что посетитель сайта доверяет только ограниченному кругу УЦ, в список которых может и не входить УЦ сайта. В этом случае достаточно, чтобы сайт имел сертификат подлинности такого УЦ, который имеет сертификаты подлинности УЦ посетителя. Взаимно сертифицированные УЦ и составляют инфраструктуру PKI, которая специально разрабатывается для того, чтобы обе стороны обмена могли доверять электронным подписям друг друга. Если же не удается построить цепочку доверия между сайтом и посетителем, то доверять такому сайту не следует. В случае, когда сайт сам подписывает собственный сертификат, к подлинности цепочки доверия быть не может.