Версия для печати темы Нажмите сюда для просмотра этой темы в оригинальном формате

Форум программистов > Методы борьбы со спамом > Новые способы применения социальной инженерии

Автор: sergejzr 18.2.2008, 19:18

Автоир: Luis Corrons (вольный перевод sergejzr) (http://pandalabs.pandasecurity.com/archive/A-new-way-of-social-engineering.aspx) Когда мы говорим о социальной инженерии, мы подразумеваем людей с "другой стороны" соединения, пытающихся обманным путём завладеть нашими паролями, чтобы обчистить наши счета в банке. Когда эти товарищи овладевают различными приватными данными, начинается паника. Взлом, шпионаж, кража аккаунтов - вот главные цели таких атак. Но не будем забывать настоящую причину существования социальной инженерии. Мне нравится следующее определение: Способ заставлять человека подчиниться чужим желаниям. Размышляя на эту тему здесь, в PandaLabs, мы открыли новый, очень простой способ применения идеи социальной инженерии. На экране юзера появляется маленькая программка, показывающая девушку, предлагающую поиграть в маленькую стриптиз-игру. Как же нам помочь девушке избавится от назойливой одежды? Просто забейте комбинацию, отображаемую на картинке! Хммм... не кажется ли вам знакомой эта нечёткая картинка с символами? Конечно же! Это CAPTCHA  (Completely Automated Public Turing Test to Tell Computers and Humans Apart) - картинка проверки юзера на то, что он не бот. Теперь посмотрите на себя, вы часть автоматизированного процесса - декодер. Если вы забьёте правильный код, вы пошлёте информацию, необходимую например для обхода защитного механизма какой нибудь страницы. Она может быть применена для отправки сообщения на защищённый форум, создания почтового ящика... то есть для обхода систем, использующих защиту от бота. В нашем стриптиз-примере была использована капча с сайта YAHOO. А описанное, приложение опознано как http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FCAPTCHAR%2EA что означает "взломщик капчи" Спасибо Unai Fernández & Francisco Berenguer за информацию Конец цитаты. ------------------------------------------------------------------------------------- PS: Штука  с тётками конечно проста, но почему бы не представить себе целую сеть сайтов, копирующих капчи и предлагающих "решить" их юзерам дабы зарегится/послать мессагу/скачать софт. Не нужен даже тройянец! Может ли это означать конец успешного применения тестов тьюринга в принципе?...

Автор: ivashkanet 18.2.2008, 19:22

sergejzr, вот из этой же серии: http://www.kolotibablo.com/ правда они денежку платят   И еще они используют принципы пирамиды: пригласи друзей и получай с них бабки

Автор: sergejzr 18.2.2008, 19:50

Хехе неплохо

Автор: Sardar 18.2.2008, 20:45

Браво! P.S. а ведь был когда то аплодирующий смайл...  сейчас туфта какая-то, редко используемая... P.P.S. и мой любимый ": dg" исчез..  =/

Автор: v2v 25.2.2008, 17:34

прикольно. очень интересная информация, только социальная инженерия тут не причём

Автор: Ryoga 28.2.2008, 17:10

Забавно...

Автор: Able 29.2.2008, 03:05

Какая же это Социальная инженерия ??? вы что??  это просто удаленная манипуляция!!! Социаллная инженерия это проектирования жизни масс! а не примитвное манипулирование...

Автор: sergejzr 29.2.2008, 11:59

Определение: Цитата Социальная инженерия - это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора... http://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F_%D0%B8%D0%BD%D0%B6%D0%B5%D0%BD%D0%B5%D1%80%D0%B8%D1%8F

Автор: Alexandr87 29.2.2008, 13:20

тоже не согласен, что это есть социальная инженерия. ИМХО, при социальной инженерии, используются "слабости человеческого фактора" атакуемой стороны.

Автор: sergejzr 29.2.2008, 13:46

В данном случае человек отгадывающий капчу и является атакуемой стороной. Его атакуют, вытягивая информацию с картинки, известную только ему. ПС: Хотя в опредлении ничего про атакуемую сторону не сказано. Если мошенник выманил пароль от банка у жены банкира, не значит, что он обошёлся без социальной инженерии только из-за того, что сама жена не работает в банке.

Автор: Alexandr87 29.2.2008, 14:12

sergejzr, вобщем то, я думал, я выразился понятно. Цитата человек отгадывающий капчу и является атакуемой стороной.  Нет в данном случае, атакуемой стороной является сервис, с которого эта капча подгружается. Люди вводящие эту картинку - это лишь инструмент. Цитата Хотя в опредлении ничего про атакуемую сторону не сказано. ИМХО Цитата  Если мошенник выманил пароль от банка у жены банкира, не значит, что он обошёлся без социальной инженерии только из-за того, что сама жена не работает в банке. немного попробую перефразировать мнение высказанное мной. Соц. инженерия - это влияние на людей, которые связаны с атакуемой стороной знанием некоторое информации (известной только данной группе лиц), или возможностью выполнить какое-либо привелигированное действие (привелегией выполнить которое, обладает только данная группа лиц). Таким образом информация была получена у группы лиц, связанной с банком (жена банкира).  Т.е. ограниченный круг лиц обладает нужно инфорацией. В данном случае (ввод капчи), может быть произведен кем-угодно. Все высказанное - мое лично мнение, но думается, что правильное.

Автор: ivashkanet 29.2.2008, 14:21

Спор на пустом месте   Какая разница социальная это или не социальная, да и инженерия ли вовсе? P.S. ИМХО, социальная инженерия тут на лицо: используются особенности человеческого поведения (подростков западающих на раздевающиеся картинки или людей желающих "халявно" разбогатеть) в целях мошенников.

Автор: v2v 29.2.2008, 17:16

в определении социальной инженерии заложено явное знание человека, о том что он делает несанкционированное действия например по отношению к своей организации , но человек находится под влиянием злоумышленника и ничего с этим поделать не может). Это не социальная инженерия и точка

Автор: sergejzr 29.2.2008, 17:43

Цитата(ivashkanet @  29.2.2008,  13:21 ) Спор на пустом месте Почему бы не поспорить?  Цитата(Alexandr87 @  29.2.2008,  13:12 ) Таким образом информация была получена у группы лиц, связанной с банком (жена банкира).  И чем же она связана с банком? Таким образом мы все связаны, так как как все люди - братья  Цитата(Alexandr87 @  29.2.2008,  13:12 ) влияние на людей, которые связаны с атакуемой стороной знанием некоторое информации (известной только данной группе лиц) В данном случае информация известна только одной группе лиц - людям. Цитата(v2v @  29.2.2008,  16:16 ) в определении социальной инженерии заложено явное знание человека о том что он делает несанкционированное действия Ничего там не заложено. В определении всё ясно сказано. Троянский конь, или Фишинг, которые приводятся как примеры, абсолютно не подразумевают подобного. Социум - общество, группа людей. Всё что связано с обманом человека или использованием человека в корыстных целях - социальная инженерия.

Автор: LSD 29.2.2008, 18:13

Капчу можно сделать в виде апплета, флеша, актив икс, сирверлайта, причем чтобы не просто передавать туда картинку, а генерировать прямо кодом. Тогда тут возможен будет только грабинг экрана, и передача его юзеру. А если еще ее получше спрятать на экране.

Автор: sergejzr 29.2.2008, 18:26

Цитата(LSD @  29.2.2008,  17:13 ) Капчу можно сделать в виде апплета, флеша, актив икс, сирверлайта, причем чтобы не просто передавать туда картинку, а генерировать прямо кодом. Такие вещи ещё элементарнее взломать. Тут и капчу скорее всего решать не придётся, достаточно просто сломать локальное приложение.. Ломалки появятся в течении недели.

Автор: LSD 29.2.2008, 18:50

Цитата(sergejzr @  29.2.2008,  18:26 ) Такие вещи ещё элементарнее взломать. Тут и капчу скорее всего решать не придётся, достаточно просто сломать локальное приложение.. Ломалки появятся в течении недели. Не-е-е, для каждого клиента генерируется свой код, который по линиями и готовым фрагментам рисует картинку

Автор: v2v 29.2.2008, 18:52

Цитата(sergejzr @  29.2.2008,  17:43 ) Социум - общество, группа людей. Всё что связано с обманом человека или использованием человека в корыстных целях - социальная инженерия. при таком определении абсолютно любую атаку можно определить как атака с использованием социальной инженерии. это не есть верно . хммм...  вобщем прочитал статью на википедии: по ихнему определению такая атака действительно будет относится к социальной инженерии. с чем я в какой то мере не согласен. но да ладно. Добавлено через 6 минут и 42 секунды Цитата(sergejzr @  29.2.2008,  18:26 ) Такие вещи ещё элементарнее взломать. Тут и капчу скорее всего решать не придётся, достаточно просто сломать локальное приложение.. Ломалки появятся в течении недели.  вот тут то вы и прокололись  в определении социальной инженерии чётко сказано без использования технических средств. а в данном случае вы без них не обойдётесь : дополнительная программа, дополнительный промежуточный сервер - это  не соц. инженерия! и вообще примеры из википедии противоречат определению на википедии

Автор: v2v 29.2.2008, 19:08

кстате, тут это назвали просто трояном _http://www.securitylab.ru/news/306481.php?phrase_id=554039

Автор: sergejzr 29.2.2008, 19:10

Цитата(v2v @  29.2.2008,  17:52 ) вот тут то вы и прокололись smile в определении социальной инженерии чётко сказано без использования технических средств. а в данном случае вы без них не обойдётесь : дополнительная программа, дополнительный промежуточный сервер - это  не соц. инженерия! А никто не говорил, что в случае с апплетами вообще нужна социальная инженерия. В том то и смысл. Перечитайте мой http://forum.vingrad.ru/index.php?showtopic=196807&view=findpost&p=1429022ещё раз (особенно про капчу). Вообще топик создан для дискуссии на тему обхождения теста Тьюринга в его общем виде с помощью социальной инженерии.  Цитата(v2v @  29.2.2008,  17:52 ) при таком определении абсолютно любую атаку можно определить как атака с использованием социальной инженерии. это не есть верно Любая т.н "афёра" - социальная инженерия. Воровство - нет. Цитата(v2v @  29.2.2008,  17:52 ) по ихнему определению  Не по "ихнему", а по общепринятому определению. Если умножение чисел называется мультипликацией, можно с этим не соглашаться, от этого ничего не изменится.

Автор: LSD 29.2.2008, 19:17

Цитата(sergejzr @  29.2.2008,  19:10 ) Вообще топик создан для дискуссии на тему обхождения теста Тьюринга в его общем виде с помощью социальной инженерии. А что тут обсуждать - кончно можно  Кстати не так давно гугл делал нечто похожее. На автомате ставить теги для изображений очень малоэффективно, так они придумали такую игру: двум людям показывается одно и то же изображение, далее они начинают его описывать ключевыми словами. Если у них обнаруживаются совпадающие (ондно или какой-то процент), то они выиграли.

Автор: sergejzr 29.2.2008, 19:23

Ага, не знаю насчёт гугля, но flickr йрто делал. К нам мужик приезжал, который такие фишки выдумывает в Yahoo!. Исследование возможностей Web2.0 так сказать.  "Web, made for people by people" А вот аспекты "приватной сферы" не учтены до сих пор. Чую, здесь ещё мне будет над чем поработать ))

Автор: Able 14.3.2008, 04:07

Ребят давайте продолжим а? Уж очень серьзный термин а вы его так... ))) Социальное - феномен массовости человеческих сообществ где в центре группа лиц... Инженерия - констрирование чего либо создание из деталей.... Т.е. конструирование групп людей под определенные цели.... А здесь на лицо чистой воды манипуляция... причем при помощи ИТ технологий.... Тогда уж вернее будет назвать Инженерия пси IT манипулций ... тут и объект ясный и предмет виден...  хотя напраленна конечно на группы людей но важное замечание основной  целью является не изменения поведения группы (на доменантном уровне) а лишь извлечение информации путем обмана )))

Автор: LSD 23.4.2008, 18:08

Рапида походу решила эту проблему. Теперь ее каптчу не всякий человек отгадает  И без сопроводительного текста и картинок она не решаема.

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)