12 czerwca 2010

Nowy rodzaj zautomatyzowanych ataków socjotechnicznych

sobota, czerwca 12, 2010 | Autor: \m/ojtek
W odróżnieniu od klasycznych ataków mających na celu wykorzystanie luk obecnych w systemach informatycznych, ataki socjotechniczne mają na celu wykorzystanie podatności użytkowników danego systemu. Ponieważ tego typu ataki wykorzystują zazwyczaj ludzką ciekowość oraz podatność na różne formy manipulacji, ich skuteczność jest bardzo wysoka, a wdrożenie skutecznych technicznych metod ochronnych jest praktycznie niewykonalne. Co gorsza, badacze przedstawili właśnie praktyczną implementację nowej klasy niezwykle sprytnych, zautomatyzowanych ataków socjotechnicznych o bardzo dużej skuteczności.

Przykładami klasycznych ataków socjotechnicznych są niechciane widomości e-mail (zachęcający do odwiedzenia określonych witryn internetowych), czy też ataki phishingowe (np. najnowszy rodzaj tego typu ataków, czyli TabNabbing). Na łamach HARD CORE SECURITY LAB wielokrotnie przedstawiałem przykładowe testowe ataki phishingowe, oraz narzędzia pozwalające na przeprowadzanie socjotechnicznych testów penetracyjnych.

Z atakami socjotechnicznymi spotkali się również za pewne użytkownicy kanałów IRC, rozmaitych czatów oraz wszelkich tego typu usług pozwalających na bezpośrednią komunikację tekstową z innymi użytkownikami. Otóż w tego typu miejscach masowo występują spamboty, czyli programy rozsyłające do poszczególnych użytkowników wiadomości mające ich zachęcić do odwiedzenia jakiegoś adresu internetowego, np. za pomocą takiej wiadomości:
  • Hej! Zobacz moje pikantne fotki na: http://www.xxxlaski666.pl/
Oczywiście podana witryna zawiera najczęściej złośliwy kod, stara się w jakiś sposób wyłudzić od internautów pieniądze lub też jest związana z jakimś atakiem phishingowym.

Klasyczne spamboty nie są jednak zbyt skuteczne i stosunkowo łatwo można je zdemaskować. Zazwyczaj cała konwersacja kończy się na tej jednej wiadomości, a próba dalszej rozmowy zakończy się jedynie przesłaniem tej samej wiadomości lub też brakiem jakiejkolwiek odpowiedzi.

Francuscy badacze przedstawili jednak praktyczną implementację nowej klasy tego typu programów, pozwalającą na niezwykle skuteczne przeprowadzanie zautomatyzowanych ataków socjotechnicznych.

Honeybot, bo tak został ochrzczony nowy francuski bot, jest w stanie podsuwać internautom złośliwe odnośniki w sposób tak skuteczny, że nie są oni w stanie zorientować się, że dokonał tego automat. Co więcej, program ten obsługuje masowe oraz automatyczne nawiązywanie rozmów, dzięki czemu potencjalnie jest w stanie kierować sporą ilość internautów na zaprogramowane przez jego nadzorcę witryny internetowe. Spójrzmy w jak niezwykle interesujący sposób udało się to osiągnąć jego twórcom.

W celu rozpoczęcia rozmowy Honeybot kontaktuje się z losowo wybranym użytkownikiem A i przesyła do niego prostą wiadomość, np.:
  • Cześć!
Następnie odpowiedź otrzymana od użytkownika A zostaje przekazana do również losowo wybranego użytkownika B. Z kolei odpowiedź użytkownika B trafia za pośrednictwem programu do użytkownika A i w ten oto sposób nawiązana zostaje rozmowa pomiędzy dwoma prawdziwymi użytkownikami usługi, w której pośredniczy na zasadzie Man in the Middle nasz Honeybot.

W praktyce wygląda to przykładowo tak:
  • Honeybot→Adam25: Cześć!
  • Adam25→Honeybot: Cze!
  • Honeybot→Ania19: Cze!
  • Ania19→Honeybot: No sie ma!
  • Honeybot→Adam25: No sie ma!
  • (...)
  • Adam25→Honeybot: Masz może foto?
  • Honeybot→Ania19: Masz może foto?
  • Ania19→Honeybot: Jasne! http://www.fotka.pl/profil/ania19xx
  • Honeybot→Adam25: Jasne! http://www.xxxlaski666.pl/ania19xx
Jak widzimy, Honeybot pośredniczy w całej rozmowie, a użytkownicy usługi są w pełni przekonani, że rozmawiają z człowiekiem, bo tak w istocie jest. Program nie tylko zna treść rozmowy, ale oczywiście może również modyfikować poszczególne wiadomości, czyli może np. (tak jak zostało to przedstawione w powyższym przykładzie ) podmieniać odnośniki, masowo wabiąc internautów na dowolną witrynę.
Jak wynika z obszernych testów przeprowadzonych przez badaczy na rozmaitych kanałach IRC, skuteczność powyższej metody jest bardzo duża i sięga nawet 76%! Nie ma się jednak co dziwić, gdyż użytkownicy są przecież w pełni przekonani, że dany odnośnik został przesłany przez innego użytkownika.

Francuski Honeybot został wyposażony w wiele dodatkowych funkcji, takich jak wpływanie na temat rozmowy, czy też automatyczną zmianę płci rozmówców. Badacze w sposób praktyczny udowodnili również, że podobne ataki mogą zostać zastosowane w ramach portali społecznościowych, takich jak Facebook. Wszystkich zainteresowanych szczegółami zachęcam do przestudiowania całej publikacji Honeybot, Your Man in the Middle for Automated Social Engineering.

Wszystko wskazuje na to, że masowe i zautomatyzowane ataki socjotechniczne będą w przyszłości coraz częściej wykorzystywane przez komputerowych przestępców. Ich atutem jest bowiem nie tylko ogromna skuteczność, ale również zazwyczaj prostsza praktyczne implementacja w stosunku do wymagających dużej wiedzy technicznej klasycznych ataków wymierzonych w luki w systemach informatycznych. Niestety obrona przed nową klasą ataków będzie bardzo trudna. Do tej pory wskazywało się przede wszystkim na  potrzebę odpowiedniej edukacji użytkowników. Wygląda jednak na to, że nowe rodzaje ataków socjotechniczne będą bardzo trudne do wychwycenia, nawet w przypadku doświadczonych i ostrożnych internautów...

Etykiety: , , ,
Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.