Кевин Митник - Искусство вторжения
В общем, для обеспечения безопасности нужны усилия всей компании, начиная, естественно, с ее руководства.
В специальном документе руководители компании должны высказать два четких положения по этому поводу. Сотрудники никогда не должны получать от руководства указаний обойти протокол безопасности. Ни один сотрудник не должен быть наказан за то, что будет следовать протоколу безопасности, даже если он получил от руководства указание нарушить его.
ПОЗНАКОМЬТЕСЬ С МАНИПУЛЯТОРАМИ В СВОЕЙ СЕМЬЕ — ЭТО ВАШИ ДЕТИ
Почему дети (или большинство из них) так прекрасно манипулируют нами? Ничуть не хуже, чем это делают социальные инженеры. С возрастом это умение теряется. Каждый родитель не раз и не два был мишенью атаки со стороны своих детей. Когда ребенку хочется чего-то, что не разрешено, он может быть настойчив до такой степени, что это не только утомляет, но даже начинает забавлять.
Когда мы с Биллом Саймоном уже заканчивали эту книгу, я был свидетелем полноценной атаки социальной инженерии со стороны ребенка. Моя подружка Дарси и ее девятилетняя дочь Брианна приехали ко мне в Даллас, где я был по делам бизнеса. Вечером в отеле перед тем, как отправиться на вечерний самолет, Брианна испытывала терпение своей мамы, требуя пойти ужинать в выбранный ею ресторан, и проявляя при этом типично детский темперамент. Дарси решила слегка обуздать ее, отобрав у нее Gameboy, и запретив играть в него в течение суток.
Брианна на время утихла, но затем потихоньку начала пробовать другие пути воздействия на свою мать, чтобы получить свою игру обратно, и это продолжалось и тогда, когда я вернулся и присоединился к ним. Постоянное детское нытье было совершенно изнуряющим: потом мы поняли, что она пытается добиться своего типичными методами социального инженера и стали делать заметки.
• «Мне скучно; верните мне мою игру». (Сказано тоном приказа, а не просьбы).
• «Я сведу вас с ума, если не смогу играть в мою игру». (Сопровождается завыванием).
• «Мне нечего будет делать в самолете без моей игры». (Говорится тоном: «Любой идиот это понимает»).
• «Будет ведь очень здорово, если я сыграю хоть разок, правда?» (Обещание, заключенное в вопросе)
• «Я буду очень хорошей, если вы вернете мне мою игру». (С невероятной искренностью).
• «Я хорошо вела себя вчера, почему же я не могу играть в игру сегодня?» (Отчаянная попытка, основанная на запутанной логике).
• «Я никогда не буду больше себя так вести. (Пауза). Можно я поиграю в игру сейчас?» («Никогда не буду это делать» — какими же легковерными она нас считает!)
• «Можно мне получить игру назад, пожалуйста?» (Если обещания не действуют, то можно попробовать выпрашивание…)
• «Завтра мне надо возвращаться в школу, и я хочу поиграть сейчас, потому что потом я долго-долго не буду играть». (Господи, сколько же может быть различных форм социальной инженерии? Может, надо было взять ее соавтором в эту книгу?).
• «Я была не права и очень сожалею об этом. Можно мне поиграть хоть немного?» (Признание очень важно для души, но может не сработать в качестве способа манипуляции).
• «Кевин, позволь мне сделать это». (Я подумал, что только хакер мог так повести себя!)
• «Без игры мне очень грустно». (Если больше ничего не работает, то надо разжалобить или вызвать симпатию).
• «Больше, чем полдня я сижу без моей игры…» (Другими словами: «Не достаточное ли это наказание за мой проступок?»)
• «Это ведь не стоит ни копейки — дать мне поиграть». (Отчаянная попытка отыскать доводы, которые заставляют маму длить наказание так долго. Неправильная догадка).
• «Это же выходные в честь моего дня рождения, и я могу играть в свои игры». (Еще одна попытка добиться симпатии).
А вот, как ее действия продолжались в аэропорту, к чему мы были готовы.
• «Мне будет скучно в аэропорту». (Ошибочно надеясь на то, что детская скука — это такая страшная вещь, которой взрослые будут стремиться избежать любой ценой. Если Брианне станет совсем уж скучно, она может порисовать или почитать книгу).
• «Это будет трехчасовой полет, и мне будет совсем нечего делать!» (Остается надежда, что и в этом случае она может открыть книгу, которая специально была взята с собой).
• «Слишком темно, чтобы читать, и слишком темно, чтобы рисовать. А играть можно, потому что экран светится». (Безнадежная попытка призвать на помощь логику).
• «Могу я по крайне мере воспользоваться Интернетом?» (Должна же быть в ваших сердцах хоть капля жалости?)
• «Ты самая лучшая мама в мире!» (Вот они, комплименты и лесть для достижения своей цели),
• «Это не честно!!!» (Последняя отчаянная попытка).
Если вы хотите усовершенствовать познания в том, как социальные инженеры манипулируют своими мишенями, и как они переводят людей из состояния размышления в чисто эмоциональное состояние …прислушайтесь к своим детям.
ПОСЛЕСЛОВИЕ
В нашей первой совместной книге Билл Саймон и я выделили уязвимость по отношению к социальной инженерии, как «самое слабое звено информационной безопасности».
Что же мы видим через три года? Мы видим, что компания за компанией развертывают у себя технологии безопасности для защиты своих компьютерных ресурсов от технологического вторжения хакеров или индустриальных шпионов и пользуются услугами серьезных охранных фирм для защиты территорий от несанкционированного вторжения.
Но мы видим при этом, какое малое внимание уделяется тому, чтобы противостоять угрозам со стороны социальных инженеров. Очень важно информировать сотрудников об этих угрозах и обучать их тому, как противостоять им и не давать себя использовать в качестве пособника атакующих. Не так-то просто противостоять угрозе вторжения со стороны человека. Защита компании от вторжения хакеров, использующих методы социальной инженерии, должна входить в обязанности всех, и каждого сотрудника в отдельности, — даже тех, кто не пользуется компьютерами по роду своей работы. Уязвимы топ-менеджеры, охранники, девушки в приемной, телефонисты, уборщики, работники гаража, а особенно— недавно принятые на работу сотрудники — все они могут подвергнуться атаке социальных инженеров, в качестве одной из ступенек на пути к конечной цели.
В течение многих лет человеческий фактор был и остается самым слабым звеном в структуре информационной безопасности. Вот вопрос на миллион долларов: хотите ли именно вы быть тем самым слабым звеном, которое использует социальный инженер для проникновения в вашу компанию?
Глава 11.
Короткие истории
Я не являюсь ни криптографом, ни математиком. Я просто знаю, какие ошибки обычно делают люди в программных приложениях, и они делают их снова и снова.
Бывший хакер, ставший консультантом по безопасностиНекоторые истории, собранные нами в процессе написания этой книги, не укладывались в формат предыдущих глав, но были слишком интересны, чтобы забыть о них. Не все они посвящены хакерству. Некоторые из них просто увлекательны, другие посвящены манипуляциям, третьи стоит рассказать, потому что они выявляют некоторые аспекты человеческой природы … а некоторые просто смешны.
Мы наслаждались ими и надеемся, что и вам они доставят удовольствие
НЕТ ЧЕЛОВЕКА — НЕТ ЗАРПЛАТЫ
Джим был сержантом армии США и работал в компьютерной группе в форте Льюис в штате Вашингтон под руководством старшего сержанта, которого Джим называет «самым ненормальным человеком в мире», принадлежащего к категории людей, которые «используют свой чин для того, чтобы сделать жизнь более низких чинов невыносимой». Чаша терпения Джима и его приятелей в конце концов переполнилась, и они решили найти способ наказать грубияна за то, что он сделал их жизнь просто отвратительной.
Их группа работала с личной информацией и паролями. Для верности каждый текст набирался двумя солдатами, и, после сравнения, информация отправлялась в личное дело человека.
Идея мести, которую придумали ребята, была достаточно проста, говорит Джим. Два сотрудника сделали идентичные записи о том, что сержант скончался.
Этот факт, естественно, приостановил выплату ему заработной платы.
Когда пришел день получки, сержант пожаловался, что не получил свой чек с заработной платой. «Обычная процедура в таком случае — выписка чека вручную». Но и это не сработало. « П о некоторым непонятным причинам», говорит Джим, явно сдерживая усмешку, «его файл с личными данными никто не смог найти. Мне кажется, этот файл был уничтожен». Не трудно понять, почему Джим пришел к подобному заключению.