Отслеживание кочующей информации

Правило: Телефонные операторы и секретари не имеют права принимать сообщения от лиц, которых нельзя идентифицировать в качестве действительных служащих компании.

Аргументация и примечания:

Социальные инженеры имеют большой опыт по части обмана служащих, которые по неосторожности ручаются за их личность. Одна из уловок социоинженера состоит в том, чтобы, получив номер телефона служащего в приемной, под каким-либо предлогом попросить этого служащего принимать сообщения, поступающие на его имя. Затем, во время звонка своей жертве, атакующий массируется под сотрудника компании, запрашивает ценную информацию или требует выполнить задание и дает номер коммутатора в качестве номера, по которому следует перезвонить. Нападающий позже перезванивает регистратору и забирает сообщение, оставленное для него ничего не подозревающей жертвой.

Правило передачи предметов

Правило: Оставленные служащими вещи или документы должны передаваться получателю только при предъявлении удостоверения с фотографией, причем идентификационную информацию следует заносить в журнал регистрации.

Аргументация и примечания: Социоинженер может обмануть сотрудника компании и заставить его передать через секретаря информацию другому легитимному сотруднику. Впоследствии злоумышленник просто заберет посылку, представившись обозначенным получателем.

Образование группы чрезвычайного реагирования

Правило: В компании должна присутствовать служба чрезвычайного реагирования. Всех служащих необходимо оповестить о том, что вся информация об инцидентах, так или иначе связанных с проблемами информационной безопасности, должны поступать к обозначенным представителям этой группы.

Аргументация и примечания: Служащие компании должны уметь распознавать факты возникновения уязвимостей. Для администрации не менее важно определить обязанности и процедуры для сотрудников группы, принимающих непосредственное участие в проверке и разрешении возникшей проблемы.

Течение атаки

Правило: После получения сообщения о возникшей угрозе, группа чрезвычайного реагирования обязана немедленно предупредить отделы и рабочие группы, которые потенциально могут стать целью злоумышленника.

Аргументация и примечания: Кроме того, ответственный менеджер должен принять решение о том, стоит ли оповещать всю компанию об атаке. Такое решение напрямую зависит от уверенности в том, что атака без всякого сомнения имеет место быть и что оповещение всего персонала не навредит работам по предотвращению нападения.

Часть 1. За кулисами.

А что можно сказать о личном интересе?

В дополнение к программе повышения компетентности и тренингам информационной безопасности я крайне рекомендую также разработать и пользоваться на фирме некоторой системой поощрений. Каждого, кто предупредил или обнаружил социоинженерную атаку, способствовал программе повышения компетентности, без сомнения не следует оставлять в тени и без награды. О существовании системы поощрений на фирме должны знать все, но и нарушения правил безопасности не должны оставаться без внимания и широко тиражироваться внутри организации.

Итак, если посмотреть на систему поощрений с другой стороны, то следует добавить, что сотрудники должны понимать, к каким последствиям может привести несоблюдение корпоративной политики, в независимости от того, случайное было нарушение или умышленное. Все мы делаем ошибки, но систематических отклонений от правил быть не должно.

[1]

В терминах защиты информации под "Социальной инженерией" подразумевается набор приемов, с помощью которых злоумышленник может собрать необходимые для взлома системы данные, злоупотребляя доверчивостью и/или халатностью сотрудников. В этом контексте «социоинженер» - злоумышленник, выдающий себя за лицо, обладающее полномочиями.

 [n1]Что-то мне не очень нравится. Но альтернативы пока нет

 [n2]Здесь мне кажется лучше так: «The Art of Deception – искусство маскировки или искусство лжи доказывает…»

 [n3]лучше «очковтирателя». Предатель – слишком социальный термин

 [N4]Или перевести более точно, или совсем убрать

 [sinm5]Не уверен – в оригинале Merchant ID.

 [sinm6]это злосчастный social security number. Как его только не интерпретируют. Не знаю – в основном я заменяю его паспортом, но здесь оставил так. Нормально?

 [NM7] Вероятно, ошибка у автора. В главе 6 нет упоминания о троянах.

 [NM8]Какая-то ошибка с номерами? Ранее об этом ничего не говорилось…

А вот и счет в швейцарском банке…

Покинув телетайп в три часа дня, он прямиком направился в мраморный холл, к телефонному аппарату. Рифкин зарядил монету и набрал номер операционной. В этот момент он вылез из шкуры банковского консультанта Стенли Рифкина и превратился в Майка Хансена, служащего Отдела Международных Отношений.

Согласно одному из источников, телефонный разговор звучал примерно так:

– Привет! Это Майк из международного, – сказал Стенли ответившей на звонок девушке. Она спросила у него номер кабинета, на что заранее подготовившийся "Майк" ответил: – 286.

– Код, пожалуйста, – девушка задала обычный вопрос, который, однако, выбросил в кровь Рифкина значительную порцию адреналина, заставив его сердце бешено колотиться. Тем не менее, ответил он спокойно и отчетливо:

– 4789.

Далее он продиктовал:

– Десять миллионов двести тысяч долларов, компании Irving Trust, Нью Йорк, банк Wozchod Handels в Цюрихе, Швейцария. – Рифкин заблаговременно открыл счет в этом банке.

– Хорошо, я все записала. Номер межбанковского расчетного счета, пожалуйста.

Рифкин покрылся холодным потом. Он не ожидал такого вопроса; что-то пошло не так, что-то он упустил. Но, несмотря на это, Рифкин продолжал оставаться в роли Майка Хансена, который сказал вместо него:

– Мне надо проверить. Я перезвоню через минуту.

В следующую минуту Стенли Рифкин, теперь уже под маской рядового банковского работника, перезвонил в другой отдел, где благополучно узнал номер счета.

На этот раз операционистка ответила коротким "спасибо" (если учесть все неизвестные для нее обстоятельства, то такая благодарность более похожа на ирониюпохожа на крайне ироничное замечание).

Администрирование телефонных систем

Правила администрирования телефонных систем позволяют сотрудникам идентифицировать поступающие звонки и защитить свою собственную контактную информацию.

Афера Эрика

Сначала он  позвонил в справочную и узнал номер телефона отделения DMV в его штате. Естественно, это был общедоступный телефон 503-555-5000 для посетителей. Затем он позвонил в ближайшее полицейское отделение и узнал адрес офиса Teletype, откуда посылается вся информация, касающаяся полиции в другие отделения. Затем он позвонил туда и сказал, что ищет телефон отдела безопасности в отделении DMV.

«А кто вы такой,» – поинтересовался полицейский в Teletype, ответивший на его звонок.

«Это Эл, сотрудник шерифа, я набираю 503-555-5753, но попадаю не туда,» - сказал Эрик. Этот номер он взял с потолка, но он отличался от номера для посетителей на три последние цифры, а кроме того, в DMV

наверняка должен быть телефон отдела безопасности.

Сотрудник Teletype не привык отвечать на подобные звонки, кроме того, звонящий правильно назвал ему большинство цифр, естественно было предположить, что это действительно сотрудник полиции.

«Номер 503-555-6127,» - ответил полицейский.

Итак, теперь у Эрика был специальный телефон, по которому звонят в DMV только полицейские. Но один номер не мог его полностью удовлетворить; в офисе должно быть много телефонов и Эрик должен был знать их все.

Анализ обмана

С помощью пары телефонных звонков, на которые было затрачено не более 15 минут, злоумышленник получил доступ к сети компании. Эта компания, подобно многим другим, имела, что называется, карамельную безопасность (candy security), впервые описанную Стивом Белловином и Стивеном Чесвиком – двумя исследователями из Bell Labs.

Они характеризовали такую безопасность как: «твердая хрустящая оболочка с мягким жевательным центром (chewy)», наподобие конфет M&M. Внешняя оболочка, брандмауэр, как доказали Белловин и Чесвик, является недостаточной защитой, потому что как только злоумышленник обойдет ее, внутренние компьютерные системы имеют мягкую, chewy-безопасность. В большинстве случаев, они недостаточно защищены.

Эта история соответствует данному определению. С помощью номера модема и аккаунта, взломщику не надо даже беспокоиться о преодолении интернет-брандмауэра, ведь как только он окажется внутри, то легко сможет подвергнуть риску большинство из систем внутренней сети.

Насколько я понял из моих источников, в точности такой трюк был проделан с одним из крупнейших мировых производителей компьютерного программного обеспечения. Вы могли бы подумать, что системные администраторы в этих компаниях должны быть обучены для обнаружения подобного рода проникновения. Но как показывает мой опыт, никто не может быть в полной безопасности, если социоинженер достаточно умен и убедителен.

Как и в предыдущей истории, эта уловка сработала только потому, что один из работников компании добровольно принял за чистую монету то, что звонивший был тем, кем он представился. Старание помочь коллеге, у которого возникла проблема, является, с одной стороны, частью того, что «смазывает колеса промышленности», и частью того, что позволяет работникам одних компаний более приятно взаимодействовать с работниками из других. Но именно эта услужливость может быть главной брешью, через которую пытаются проникнуть социоинженеры.

Одна из манипуляций Дэнни была восхитительна: Когда он просил кого-нибудь сходить и принести Secure ID из его стола, он использовал слово fetch (принести). Fetch – это команда, которую вы подаете своей собаке. Никто не хочет, чтобы его попросили «принести» что-либо. С помощью одного слова Дэнни устроил все таким образом, что в его просьбе «принести» было бы отказано и вместо этого принято другое решение, которое в точности соответствовало тому, к которому он стремился.

Оператор компьютерного центра Ковальски был обманут Дэнни с помощью упоминания имени человека, которого Ковальски, случайно знал. Но почему руководитель Ковальски, IT-менеджер, позволил какому-то незнакомцу получить доступ к внутренней сети компании? Просто потому, что звонок о помощи был веским и убедительным средством в арсенале социоинженера.

Ключ ко всем рассказанным историям – это получение ежедневных банковских кодов. Чтобы добыть их, атакующий Винс использует различные приемы.

Все начинается с легкого противоборства с Луи, который не хочет называть коды. У него есть все основания быть подозрительным: коды должен называть тот, кто звонит, а не кому звонят. В нормальной ситуации звонящий должен был назвать код сам. Это самый критичный момент для Винса, от которого зависит успех всей операции.

Чтобы развеять подозрительность Луи, Винс начинает давить на обычные человеческие чувства: «я собираюсь к доктору, уже 16 часов, а у меня еще куча работы», в сочетании с мягким запугиванием: «скажите ей, что я сделал все, что мог, но вы не назвали мне кода». Винс не пугает, он подразумевает, что Луи окажется в неудобном положении: если вы не назовете мне код, я не смогу переслать необходимую информацию вашему коллеге и она узнает, что вы не захотели ей помочь.

И все же не надо уж слишком обвинять Луи. Звонящий знает (или убедительно представляется знающим), что Анджела ждет факс, он знает о банковских порядках и даже об обозначении кодов при помощи букв. Он жалуется, что его начальник «озверел» в плане безопасности, что, скорее всего, характерно и для начальника Луи. Нет никаких оснований, отказывать ему в этой простой просьбе.

Луи совсем не одинок. Ежедневно сотни сотрудников банков называют коды безопасности хакерам. Это невероятно, но факт.

В деятельности Винса есть момент, когда из абсолютно законопослушного гражданина он становится преступником. Когда он узнает номер филиала банка и даже когда получает от Луи значения двух банковских кодов, еще нет повода для наказания. Он переступает границу, когда получает факс с конфиденциальными данными о клиенте банка.

Однако, для Винса и его нанимателя – это предприятие с очень небольшим риском. Когда вы крадете деньги или товары, кто-то наверняка заметит пропажу. Кражу информации очень сложно заметить, поскольку она никуда не исчезает, а остается на прежнем месте.

Давайте вернемся ко всей веренице уловок, с помощью которых Эрику удалось обмануть людей. Первый шаг – это получение конфиденциального номера DMV посредством звонка в комнату секретной связи Teletype в полицейском отделении. Ему поверили на слово, никак не проверив его личность.

Далее последовал звонок в департамент телекоммуникаций, где Эрику без колебаний поверили, что он является представителем Nortel, и снабдили телефонными номерами телефонных станций.

Эрику удалось безо всякого труда проникнуть на телефонную станцию, поскольку большинство производителей телефонного оборудования недостаточное внимание уделяют проблемам обеспечения безопасности и используют одно и то же имя пользователя для всех своих переключателей. Эта беззаботность позволяет хакеру быстро вычислить пароль, зная, что техники выбирают для паролей самые простые слова.

Получив доступ к переключателю телефонной станции, Эрик установил перенаправление звонка с одной из линий службы безопасности DMV на свой телефон.

После этого происходила самая трудная и в то же время наиболее эффектная часть работы, когда один полицейский за другим добровольно рассказывал Эрику все конфиденциальные сведения о себе, давая тому возможность в дальнейшем выдавать себя за них.

Операция удалась в результате сочетания мастерства и Эрика и беспечности целого ряда его собеседников. Она служит наглядным примером того, что люди никогда не задаются вопросом «Почему спрашивают именно меня?». Почему служащий в комнате секретной связи Teletype предоставляет сведения сотруднику шерифа – в нашем случае человеку, который всего лишь представился сотрудником шерифа – даже не предложив ему получить те же сведения у любого сержанта? Единственный ответ, который можно дать на этот вопрос заключается в том, что людям крайне редко задают такие вопросы, и они не знают – должны они на них отвечать или нет. Они не хотят выглядеть грубыми или невежливыми. Можно подумать о причинах такого поведения и еще, но меньше всего это занимает социального инженера; ему важно, что прием срабатывает, и он с легкостью получает информацию, которую по-другому очень непросто получить.

Стоит отметить, что в этой истории, основанной на реальных событиях, самозванцы были подростками, для которых вторжение являлось простой забавой. Они просто хотели посмотреть, получится ли у них выйти сухими из воды. Если парочке подростков удалось так легко провести всех вокруг пальца, можно представить, как легко это было бы сделать совершеннолетним похитителям, промышленным шпионам или террористам.

Каким образом три опытных охранника позволили паре самозванцев спокойно улизнуть? И не просто каким-то самозванцам, а подросткам, при виде которых любой разумный человек  должен был бы насторожиться.

Лерой был насторожен с самого сначала. Он сделал правильно, когда отвел их в отдел безопасности и стал задавать вопросы парню, выдающему себя за Тома Стилтона. И когда он проверял имена и телефоны, которые ему назвал этот парень. И, конечно, он правильно сделал, что позвонил менеджеру.

Но, в конце концов, он попался на крючок благодаря уверенности молодого человека и его негодованию. Лерой не мог предположить, что вор или самозванец будет так себя вести – только настоящий сотрудник повел бы себя так… По крайней мере он так думал. Надо было бы научить Лероя полагаться на веские факты, а не на восприятие.

Почему он не насторожился еще больше, когда молодой человек повесил трубку, не передав ее Лерою, чтобы тот сам смог услышать подтверждение непосредственно от Джуди Андервуд. И она бы сказала, что у этого паренька действительно была причина находиться на заводе так поздно.

Хитрость, на которую попался Лерой, была такой откровенной, что это даже очевидно.

Но посмотрите на это дело с его стороны: вчерашний выпускник школы, обеспокоенный за свою работу, которого раздирают сомнения. Вдруг у него будут неприятности из-за того, что он побеспокоил менеджера компании посреди ночи дважды? Если бы вы были на его месте, вы бы позвонили второй раз?

Но конечно, второй телефонный звонок не был единственно возможным ответным действием. Что еще мог сделать охранник?

Например, перед тем как позвонить, он мог бы попросить обоих предъявить какое-нибудь удостоверение личности, причем с фотографией.

Принимая во внимание мой личный опыт и опыт корпорации Оракл, вам вероятно будет небезынтересно узнать, почему кому-то хочется рисковать, воруя чей-либо мусор.

Ответ, я думаю, в том, что риск нулевой, а выгода может быть вполне существенной. Попытка подкупить уборщиков конечно повышает риск последствий, но для тех, кто готов лишь слегка запачкаться, давать взятку совершенно не обязательно.

Копание в мусоре выгодно и социоинженеру. Он может получить достаточно информации для нападения на определенную компанию. Это могут быть докладные записки, программы встреч, письма и все такое, что раскрывает имена, отделы, телефонные номера, задачи проектов. Мусор может выдать организационные схемы компании, информацию о ее структуре, графики поездок и так далее. Все эти детали покажутся сотрудникам компании слишком незначительными, однако могут стать драгоценной информацией для нападающего.

В своей книге «Безопасность в Интернете на основе Windows NT» Марк Джозеф Едвардс рассказывает об огромном числе рассекреченных документов благодаря паролям, которые были написаны на клочках бумаги, сообщениям «Меня нет на месте» с номерами контактных телефонов, папкам с документами, дискетам и пленкам, которые не были уничтожены или стерты – все то, что может помочь нападающему.

Автор восклицает: «Кто те люди, которые являются уборщиками? Вы регламентировали, что уборщикам нельзя входить в компьютерный зал. Но не забывайте про мусорные корзины. Если федеральные агенты считают необходимым проверять прошлое людей, у которых есть доступ к мусорным корзинам и уничтожителям бумаг, так может быть и Вам стоит следовать их примеру».

***

При помощи подростка-хакера, обиженный работник умудрился получить доступ к компьютеру начальника отдела, открыть файл с важной презентацией и поменять картинки на некоторых слайдах. Затем он просто вернул этот файл на место.

При помощи модема, подключенного к телефонной розетке и к офисному компьютеру, юный хакер смог подключиться к этому компьютеру находясь вне офисеа. Этот мальчишка установил удаленный доступ к компьютерным программам заранее для того, чтобы однажды подключившись к компьютеру, у него был доступ ко всем файлам, хранимых в единой системе. Так как этот компьютер был подключен к сети, а он знал логин и пароль босса, то без труда мог открыть любой файл босса.

Вся эта работа заняла несколько часов, включая и сканирование картинок из журналов. А последствия удара по репутации хорошего человека даже сложно вообразить!

Захватчик, который представился Питером Мильтоном, прибегнул к двум психологическим методам – одна методика была спланирована, другая –импровизация. Он оделся как менеджер, который зарабатывает хорошие деньги. Костюм, галстук, очень аккуратно причесанные волосы. Кажется, что это мелкие детали, но они производят впечатление. Я это сам открыл совершенно случайно. За короткое время, что я был программистом в компании GTE California – крупная телефонная компания, которая уже больше не существует – я выяснил однажды, что, входя в здание без пропуска, аккуратно одетым, но в повседневной одежде, например, спортивной футболке, хлопчатобумажных брюках, меня останавливали и начинали задавать вопросы. Где ваш пропуск, кто вы, где вы работаете? На следующий день я прибыл без пропуска, но в костюме и галстуке и выглядел очень официально. Я прибегнул к старой технике – присоединился к толпе людей, входящей в здание или проходящей через охрану. Я держался рядом с людьми, когда они приближались к главному входу, и прошел внутрь, болтая с кем-то из толпы, как будто я был одним из них. Я прошел мимо охранников. И даже если они заметили, что на мне нет пропуска, то не остановили меня. Потому что я выглядел как менеджер и я был с людьми, на которых были пропуска.

Из этого опыта я понял, насколько поведение охраны предсказуемо. Они, так же как и мы, судят по внешности – это и есть уязвимое место, которое социоинженеры научились использовать в своих интересах.

Второй психологический прием атакующий применил, когда заметил необычные достижения секретаря. Делая несколько дел сразу, она была спокойна, и вела делала так, что каждый чувствовал – она уделяет ему все свое внимание. Он увидел в этом желание продвигаться по службе. Потом, когда он заявил, что работает в отделе маркетинга, он наблюдал за ее реакцией, ожидая знака, с помощью которого между ними бы установилось взаимопонимание. У него это получилось. Для нападающего это означало, что у него теперь есть еще один человек, которым он может манипулировать, достаточно было пообещать девушке работу получше. (Само собой разумеется, если бы она сказала, что хочет работать в отделе бухучета, он бы заверил, что у него есть там знакомые, и он поможет найти работу.)

Это история проливает свет на интересную проблему. Платежные ведомости были доступны людям, занимающимся поддержкой компьютерных систем компании. Встает вопрос о том, можно ли им было доверять. Довольно часто ИТ-сотрудники не могут устоять от соблазна “вынюхать” информацию, лежащую на поверхности. И они имеют все возможности для этого, поскольку обладают привилегиями доступа к файлам.

Всегда разумно обеспечивать проверку любого доступа к таким важным файлам компании, как платежные ведомости. Конечно, человек с правами администратора может отключить проверку или уничтожить следы своего просмотра тех или иных файлов, но каждое такое дополнительное усилие также приходится маскировать, а это все труднее сделать.

Рассказанный эпизод наглядно демонстрирует, как социальный инженер может решить задачу, которая кажется совершенно непосильной, при этом обмануть несколько человек, заставив их делать то, что с их точки зрения совершенно безобидно. На самом деле каждое их действие представляло собой маленький кусочек, которые, складываясь воедино, сделали возможным это мошенничество.

Первым «кусочком» была сотрудница телефонной компании, которая думала, что дает информацию кому-то из правительственной организации.

Следующей стала сотрудница телефонной компании, которая знала, что не должна менять параметры телефонной линии без специального заказа на обслуживание, но согласилась помочь симпатичному человеку. Это дало возможность свободно звонить извне по всем десяти телефонам исправительного центра.

Для мужчины из исправительного центра в Майами, звонок коллеги из другого исправительного учреждения с просьбой помочь и сообщением о компьютерной проблеме был совершенно естественным. И хотя по здравому размышлению совершенно непонятно, зачем звонить из Нью-Йорка в Майами, чтобы узнать номер корпуса, где содержится заключенный, почему бы не ответить на вопрос коллеги?

А охранник из десятого северного корпуса, который поверил, что звонящий действительно его коллега звонит по официальному делу? Для него абсолютно естественным было позвать к телефону заключенного Гондорффа. Пустячное дело.

Целая серия хорошо спланированных шагов сложилась в единую цепь.

В этой атаке, которая базируется на использовании, как технических так и человеческих уязвимостей, атакующий начал свою работу с телефонных звонков для получения наименований и мест расположения серверов команды разработчиков, на которых хранится нужная ему информация.

Затем он использовал специальную программу, чтобы выяснить имена пользователей, имеющих учетные записи на сервере разработчиков. После этого он провел две последовательные атаки для выяснения паролей. Словарную атаку, которая отыскивала наиболее распространенные пароли, путем перебора всех слов из словаря, а также имен, географических названий и других известных слов.

Поскольку коммерческие и общедоступные хакерские средства могут быть запросто получены любым человеком, независимо от того, какие мысли бродят в его голове, надо гораздо более серьезно относиться к защите корпоративных компьютерных систем и сетевой инфраструктуры.

Степень этой угрозы нельзя переоценить. Как отмечает журнал Computer World, исследование фонда Оппенгеймера привело к потрясающим результатами. Вице-президент этого фонда по сетевой безопасности запустил ПО для атаки на сотрудников своей компании, используя один из широкодоступных пакетов программ: через три минуты ему удалось раскрыть пароли 800 сотрудников!

Любой охранник имеет набор инструкций, которым он должен следовать в процессе работы, но никакая инструкция не может предусмотреть все возможные ситуации. Никто не говорил этому охраннику, что пара строк напечатанных на компьютере по просьбе того, кого он посчитал сотрудником компании, может принести колоссальный вред.

Благодаря помощи охранника, оказалось достаточно просто получить доступ к ключевой системе, которая содержала оригинал кодов, несмотря на то, что была спрятана за закрытой дверью лаборатории. Естественно, у охранника есть ключи ко всем дверям.

Даже вполне лояльный сотрудник (в нашем случае Юлия) может быть обманут таким образом, что выдаст важную информацию социальному инженеру, например о расположении компьютера с этой информацией. А это в дальнейшем послужит ключом к успеху атаки, во время подготовки к выпуску очередной версии ПО для распространения. Это очень важно, поскольку если изменения такого рода сделаны слишком рано, то они имеют шанс быть обнаружены или устранены при переформировании операционной системы из независимого источника.

Вы зафиксировали тот факт, что охранник взял распечатку из лаборатории на свое рабочее место и затем уничтожил ее? Это очень важная деталь. Когда оператор, работающий на компьютере, придет утром на работу, он не должен найти следов присутствия атакующего ни в ПК, ни в мусорной корзине. Этого удалось избежать при помощи все того же охранника.

Конечно, такой звонок вполне мог на самом деле исходить от производителя баз данных. Но тогда он бы не попал в эту книгу.

В этом случае социальный инженер повлиял на свою жертву тем, что создал ощущение страха из-за возможности потерять важную информацию и предложил немедленное решение, как избежать этой потери.

Когда социальный инженер общается с тем, кто осознает ценность информации, он должен привести убедительные аргументы для получения параметров удаленного доступа. Иногда ему приходится создать ощущение срочности происходящего, чтобы не дать оппоненту возможности серьезно задуматься о том, что происходит на самом деле.

В этом примере атакующий достиг своей цели, заставив новичка действовать в своих интересах, опираясь на то, что новичок будет более расположен помочь старожилу и менее осведомлен о сотрудниках компании и правилах безопасности, которые могли бы ему помешать.

Поскольку Курт в разговоре с Анной, сотрудницей финансового отдела, представился вице-президентом, он знал, что почти наверняка она не станет проверять правильность его слов. Наоборот, она скорее всего получала удовольствие от того, что помогает вице-президенту.

И процесс установки шпионского ПО не вызвал у Анны никаких эмоций. Она и представить себе не могла, что ее совершенно безобидные действия помогут атакующему получить информацию, которая может быть использована против интересов ее компании.

Почему для сбора всей информации, исходящей от вице-президента, был выбран почтовый адрес на Украине? Прежде всего потому, что удаленное расположение адреса затрудняет действия против его владельца, а кроме того в таких странах подобные виды мошенничества еще не считаются серьезным преступлением. Именно поэтому, перекачивание украденной информации в те страны, которые не сотрудничают с правоохранительными органами США, является очень привлекательным выбором для хакеров.

Анализируя жульничество

Каждый из нас когда-то был новичком. Мы все храним воспоминания о первом рабочем дне, когда мы были молоды и неопытны. Именно поэтому, если новый сотрудник просит о помощи, он вправе рассчитывать на нее, и особенно на помощь молодых сотрудников, кто хорошо помнит свои ощущения в подобной ситуации. Любой социальный инженер знает об этом и понимает, что может сыграть на таких чувствах своих жертв.

Мы сами упрощаем посторонним людям путь в наши компании, фабрики и офисы. Даже с охранниками на входе и строгой пропускной системой для тех, кто не является сотрудником, существует немало способов получить карточку посетителя и проникнуть внутрь. А есть ли в вашей компании правило, чтобы посетителей обязательно сопровождали сотрудники? Это хорошее правило, но оно эффективно лишь в том случае, когда сотрудники компании внимательно следят за наличием карточки посетителя на груди каждого проходящего мимо них человека и останавливают любого, у которого нет такой карточки. Если объяснения пришельца будут недостаточно убедительны, сотрудники компании должны незамедлительно обратиться в службу безопасности.

Простота проникновения пришельцев на территорию компании угрожает безопасности Вашей информации. А в современных условиях, когда повсюду существует угроза терроризма, риску подвергается не только информация.

Линда смогла получить сведения, необходимые для осуществления своей мести, поскольку у нее была важная дополнительная информация - номера телефонной компании и знания о механизмах ее работы. Поэтому она сумела отправить техника ночью через весь город на другую телефонную станцию и с его помощью определить телефонный номер, который не был предназначен для раскрытия.

Уловка устрашения при помощи ссылки на руководство работает особенно хорошо, если ваш собеседник занимает в компании невысокий пост. Использование имени руководящего сотрудника не только заставляет забыть о подозрительности, и делает человека готовым к сотрудничеству; естественное желание быть полезным усиливается многократно, если человек, которому оказывают услугу, занимает высокий пост.

Опытный социальный инженер знает, что лучше всего использовать не имя непосредственного начальника, а кого-то из руководства более высокого уровня. Подобный обман бывает сложно реализовать в небольшой компании: атакующий наверняка не захочет, чтобы его жертва могла быстро вычислить обман, связавшись с вышестоящей персоной, допустим, из отдела маркетинга. Заявление такого рода: «Я послал маркетинговый план по продукту, о котором меня спрашивал тот парень», может легко породить встречный вопрос: «Какой план и кто конкретно его запрашивал?». Отсюда недалеко до открытия, что компания подверглась нападению.

Совет Митника

Запугивание может вызвать у людей страх, склоняя их к сотрудничеству. Запугивание может вызвать боязнь наказания или боязнь показаться некомпетентным.

Сотрудники компании должны быть специально обучены тому, что безопасность важнее слепого поклонения перед руководством. Во время специальных тренингов надо учить людей вежливо, не обостряя взаимоотношения, отказывать руководству, получая указания, противоречащие политике безопасности. Мало того, подобное поведение должно утверждаться руководством любого уровня. Если не поддерживать принципиальность поведения сотрудников, то они, в конце концов, откажутся от нее.

Эффективность такого подхода основана на симпатии тем, кому приходится работать за чужим компьютером и тому, что «начальник очень недоволен мной». Люди не слишком часто проявляют эмоции во время работы, поэтому призыв: «я в беде, помогите мне» обычно обречен на успех.

Звонок Петера в маркетинговую компанию – пример наиболее распространенной формы социальной инженерии - простой попытки, которая не требует большой подготовки, удается с первого раза и занимает всего несколько минут.

Мэри, оказавшись в роли жертвы, просто не подозревала, что с ней может быть сыграна такая шутка, поэтому и не стала писать отчета о произошедшем инциденте.

В этом случае все сработало, поскольку Петер использовал три приема социальной инженерии. Во-первых, он сразу же заручился ее желанием сотрудничать, запугав ее, заставив поверить, что ее компьютер может выйти из строя. Затем он потратил некоторое время, дав Мэри запустить два приложения и убедиться в том, что они работают нормально. Это укрепило связь между ними, возникло ощущение сотрудничества. Далее в благодарность за то, что он убедил ее в работоспособности компьютера, Мэри пошла на дальнейшее сотрудничество с ним, что и было основным этапом его работы.

Повторив несколько раз, чтобы она ни в коем случае не произносила вслух свой пароль, Петер выполнил важную и трудную часть работы: убедил Мэри в том, что не хочет нарушать безопасность файлов компании. Это убедило ее в том, что он стоит на страже ее интересов и интересов компании.

Сотрудники офиса районного прокурора в любом районе постоянно общаются с сотрудниками правоохранительных органов – отвечают на вопросы, организуют встречи, передают послания. Если человек звонит и представляется офицером полиции, заместителем шерифа или кем-то еще из работников этой области, ему обычно верят на слово. Если только его речь не звучит совсем неадекватно, он правильно употребляет термины и не говорит откровенных глупостей, ему не зададут ни одного дополнительного вопроса. Именно это и произошло в нашем случае с двумя сотрудниками.

Для получения нужной информации Артуро очень помогла игра на сочувствии, когда он рассказал о встрече с сотрудниками секретной службы и о забытых дома материалах. Услышавшая эту «трогательную» историю, секретарь, конечно же, решила помочь попавшему в трудную ситуацию коллеге.

В процессе этой атаки использовался еще один прием, о котором я не говорил раньше: атакующий попросил администратора базы данных университета провести его по всем этапам процесса, который он не знал, как реализовать. Это похоже на то, что владелец магазина помог бы вам вынести из магазина коробку с продуктами, которые вы только что украли с полок.

Антивирус бессилен?

Антивирусное ПО не может выявить коммерческое шпионское ПО, считая его не опасным, несмотря на то, что оно шпионит за другими людьми. Поэтому компьютерный аналог прослушивания телефонов работает совершенно незаметно и создает угрозу для каждого из нас оказаться под скрытым наблюдением в любое время. Конечно, производители антивирусного ПО могут оправдывать существующее положение дел тем, что шпионское ПО может использоваться для вполне законной активности и не угрожать таким образом обществу. При этом все знают, что это ПО с успехом используется хакерами. Таким образом, существуют двойные стандарты, и я не понимаю, почему это происходит.

Еще один продукт, предлагаемый в том же электронном письме, обещал копировать все картинки с экрана компьютера пользователя, аналогично тому, как если бы из-за спины за ним наблюдала видеокамера. Некоторые из предлагаемых программных продуктов даже не требуют физического доступа к компьютеру жертвы. Можно установить и сконфигурировать приложение при помощи удаленного доступа и вы мгновенно получаете своеобразно компьютерное прослушивание! Сотрудникам ФБР такая технология должна очень понравиться.

Поскольку шпионское ПО так распространено, то любая компания, заботящаяся о своей информационной безопасности, должна обеспечить два уровня защиты. Вам следует установить ПО для выявления шпионского ПО такое, как SpyCop (которое можно скачать с www.spycop.com) на все рабочие станции, и вы должны убедиться в том, что все сотрудники периодически запускают его. Кроме того, все сотрудники должны быть проинструктированы о существующей опасности загрузки шпионского ПО на их компьютер, в том числе в случае простого открытия электронного письма.

Чтобы предотвратить возможность установки шпионского ПО в момент отсутствия (на обед, кофе или встречу) владельца ПК, надо требовать, чтобы все сотрудники закрывали свой ПК при помощи пароля на «скринсейвере» (заставке) или аналогичными средствами, которые существенно снижают риск неавторизованного доступа в ваш компьютер. Ни один человек, заглянувший в вашу комнату или офис не должен получить доступ к вашим файлам и электронной почте, а также иметь возможность установить на вашем компьютере шпионское или иное злонамеренное ПО. Защитить паролем заставку предельно просто, а выгоды от защиты вашего компьютера – очень существенные. Нет никакого смысла проводить серьезный анализ эффективности такой акции, ее надо просто сделать.

Атака на «низшие чины» в компании

Как показывают представленные в этой книге истории, опытный социальный инженер часто направляет свой удар на самые низшие чины в иерархии атакуемой компании. Такими людьми несложно манипулировать и получить на первый взгляд безобидные сведения, которые еще на один шаг приблизит атакующего к гораздо более серьезной информации.

Атакующий выбирает таких людей своей мишенью, поскольку они обычно мало что знают о ценности той или иной информации или о возможных последствиях каких-то действий. Они легко поддаются воздействию самых распространенных приемов социальных инженеров - звонку человека, представившегося начальником; дружелюбному и ласковому собеседнику; человеку, который представляется знатоком всех людей в компании; сильно спешащему человеку или любому другому, кому жертва считает нужным оказать свое предпочтение.

Вот несколько реальных примеров атак на низшие чины.

Атака на пароль

Теперь Иван переключился на технические методы атаки, чтобы получить информацию об аутентификации. Первый шаг технической атаки на системы с возможностью удаленного доступа заключается в отыскании входа со слабым паролем, который и предоставит доступ в эту систему.

Когда атакующий пытается использовать специальные хакерские средства для определения пароля с помощью удаленного доступа, это может потребовать соединения с сетью компании в течение нескольких часов. Конечно это риск: чем больше вы остаетесь соединенным с системой, тем больше рискуете быть обнаруженным и пойманным.

Перед началом атаки Иван решил провести инвентаризацию, для выяснения всех подробностей, касающихся его мишени. В интернете можно найти необходимые программы для этой цели (http://ntsleuth.0catch.com - перед «catch» расположен ноль). Иван отыскал в интернете несколько общедоступных хакерских средств для автоматизирующих процесс подбора, что избавляло его от необходимости проводить процесс собственноручно и существенно убыстряло его, тем самым снижая риск. Зная, что организации обычно используют сервера на базе Windows, он перегрузил к себе программу NBTEnum, анализирующую NetBIOS

(систему ввода/вывода). Он ввел IP-адрес сервера ATM5 и запустил программу. Она должна была определить пользователей, имеющих учетные записи на этом сервере.

Атака Пита

Пит отправил несколько своих сотрудников на поиск сведений, и уже через несколько дней знал, где Дженкинс и Петри хранят архивы своих дел. Он узнал также, что компания, занимающаяся обслуживанием архива, имеет список имен тех лиц, которым разрешено брать ленты из архива. Он узнал и то, что у каждого из этих людей есть свой собственный пароль. Двух своих сотрудников Пит послал на вскрытие этого “черного ящика”.

Его сотрудники открыли замок, используя специальную отмычку, заказанную через интернет на сайте www.southord.com. Буквально через несколько минут они проникли в офис фирмы (это было в районе трех часов утра) и запустили компьютер. И с улыбкой переглянулись, когда увидели на экране логотип Windows 98 – это означало, что работа не будет слишком сложной. Windows 98 не требуют никакой формы аутентификации. Они быстро обнаружили базу данных Microsoft Access с именами людей, авторизованных для получения лент в архиве. Они добавили в этот лист фальшивое имя, которое соответствовало фальшивым водительским правам, имевшимся у одного из них. Могли ли они проникнуть в запертый архив и отыскать ленты, необходимые их клиенту? Конечно могли, но тогда все сотрудники архива узнали бы о взломе. И атакующие потеряли бы свое преимущество: профессионалы всегда стремятся оставлять себе лазейку для будущих проникновений в то же место, если возникнет необходимость.

Следуя обычной практике промышленных шпионов – всегда иметь что-то «в заначке» для будущего использования – они сохранили копию файла, содержащего авторизационный список, на гибкий диск. Никто из них даже не представлял, каким образом это может оказаться полезным, но руководствовались соображением, которое сплошь и рядом оказывается продуктивным: «раз уж мы здесь, почему бы не прихватить и это».

На следующий день один из взломщиков позвонил в хранилище лент, назвал имя, добавленное к списку авторизации, и пароль. Он попросил все ленты Дженкинса и Петри, датированные последним месяцем и сказал, что служба доставки приедет за упаковкой. К середине дня были ленты в офисе Андресона. Его сотрудники перегрузили все содержимое в компьютеры и начали спокойно искать то, что им было нужно. Андресон был особенно доволен тем, что юридическая компания, так же как и большинство других компаний, не заботятся о шифровании архивов.

Ленты были возвращены в хранилище на следующий день, и никто ничего не заподозрил.

Атаки Ширли

До сих пор - все это была всего лишь подготовка. Теперь она была готова использовать искусство обмана.

Она позвонила в департамент обслуживания клиентов.

– Я со своей коллекцией нахожусь в Кливлендском офисе, - сказала она. А затем использовала уже знакомый нам прием - Мой компьютер ремонтируется технической службой и мне надо, чтобы вы проверили эту информацию.

И она назвала имя и дату рождения человека, чью личность она намеревалась “украсть”. Затем она перечислила сведения, которые ей были нужны: адрес, девичью фамилию матери, номер кредитной карточки, предельный кредит и историю платежей.

– Перезвоните мне по этому номеру, – назвала она выданный ей номер внутреннего расширения, который только что назвал ей администратор голосовой почты. – А если меня не будет, сообщите, пожалуйста, на голосовую почту.

Все утро она занималась своими делами, а днем проверила голосовую почту. Там было все, что она просила. Перед тем, как положить трубку, Ширли уничтожила свое голосовое приветствие, чтобы не оставлять никаких следов.

В результате было совершено одно из преступлений, популярность которого быстро растет. Используя номер кредитной карты и все касающиеся ее сведения, Ширли начала тратить деньги, находящиеся на ней.

Бегущий человек

Один человек, предположим, некий Фрэнк Парсонс, находился в бегах долгие годы, его безустанно искали федералы за участие в подпольной антивоенной организации 60-ых. В ресторанах Фрэнк всегда сидел лицом к двери, он научился профессионально оглядываться и регулярно, каждые несколько лет, менял место жительства.

В результате очередного переезда Фрэнк оказался в неизвестном городке, где занялся поисками новой работы. Для человека, такого как Фрэнк, с продвинутыми знаниями компьютера (и с навыками социоинженерии, о чем он, конечно, не упоминал в анкетах по найму) найти хорошую работу – это не проблема. Если не брать в расчет периоды экономического спада, человеку с хорошими знаниями в компьютерной области достаточно просто обменять свой талантсвои способности на деньги. Итак, Фрэнк устаивается набыстро нашел хорошо оплачиваемую работу в крупной, перспективной и развивающейся конторе, причем перспективную и развивающуюся контору. Офис находится недалеко от дома, что тоже приятно.

То что надо, подумал Фрэнк. Но когда дело дошло до заполнения всяческих анкет, оказалось, что работодатель требует предъявить справку из полицейского управления штата. В папке с документами прилагалась и форма запроса на получение такой справки, а на этой форме был небольшой квадрат – место для отпечатка пальца. В квадратике должен появиться всего один отпечаток указательного пальца правой руки, но этого достаточно, чтобы устроиться не на перспективную должность, а посудомойщиком в федеральной колонии.

Посмотрев на эту бумагу Фрэнк вдруг подумал, что может быть это не смертельно. Возможно полиция вообще не отсылает отпечатки в ФБР. Но как это проверить?

Как? Наш Фрэнк социоинженер - и как вы думаете, он выкрутился? Он немедленно позвонил в службу надзора штата и сказал: «Здравствуйте. Мы изучаем обстановку для Департамента Юстиции. Исследуем инфраструктуру для внедрения новой системы идентификации отпечатков. Могу я поговорить со специалистом?»

Трубку передали местному эксперту, которому Фрэнк задал несколько вопросов о действующих системах, возможностях поиска и хранения отпечатков.
Нет ли каких проблем с оборудованием? Работают ли они с Федеральным Информационным Центром по борьбе с Преступностью (NCIC) или обмениваются данными только в пределах штата? Удобно ли работать с существующим оборудованием, не испытывают ли служащие проблем в изучении системы?

Ключевой вопрос был вкрадчиво задан одним из последних.

И ответ прозвучал приятной музыкой: «Нет, они не связали нас с системой NCIC, так что мы проверяем только по информационному криминальному реестру штата (CII)».

Комментарий Митника

Осторожные по натуре информационные грабители не стесняются лишний раз позвонить в федеральные, областные или местные управления, чтобы уяснить для себя механику юридических процедур и уголовного преследования. Согласитесь, что с такой информацией, полученной из первых рук, социоинженеру ничего не стоит обойти стандартные проверки той или иной компании.

Это все, что хотел узнать Фрэнк. В этом штате за ним ничего не числилось, так что он спокойно заполнил анкеты, был благополучно принят на работу и никто в последствии не пришел к нему со словами: «Эти джентльмены из ФБР хотят задать вам пару несколько вопросов».

И Фрэнк стал примерным служащим, в своем амплуа.

Берегитесь шпионского ПО

Было время, когда коммерческое шпионское ПО использовалось, в основном, родителями для досмотра за тем, что делают их дети в интернете, и сотрудниками компаний, отслеживающими недопустимую активность коллег в том же интернете. Более серьезная задача – определить попытки кражи информации из сети компании или другие действия промышленного шпионажа. Разработчики шпионского ПО рекламируют свои продукты, как средство для защиты детей, а на самом деле их рынок – личности, желающие за кем-то шпионить. Еще одной движущей силой роста продаж подобного ПО сегодня стали люди, стремящиеся понять, не обманывает ли их супруг или еще кто-нибудь.

Незадолго до того, как я приступил к написанию этой книги, человек, получающий мою электронную почту (поскольку мне запрещено пользоваться интернетом) обнаружил рекламный спам, предлагающий целый ряд продуктов шпионского ПО. Вот как описывался один из них.

Фаворит! Он должен быть у вас. Эта мощная программа дли контроля и шпионской деятельности секретным образом копирует все строчки, время и название всех открытых на компьютере «окон» в текстовый файл, работая в фоновом режиме. Все записи могут быть зашифрованы и автоматически отосланы на определенный адрес электронной почты или же записываться на жесткий диск. Доступ к программе защищен при помощи пароля и она может быть спрятана от меню CTRL+ALT+DEL.

Используйте эту программу для того, чтобы контролировать определенные адреса в интернете, сессии «чатов», электронную переписку и многое другое (даже пароли ;-)).

Устанавливается на ЛЮБОМ ПК незаметно и пересылает вам все записи!!!!!

Беспечный компьютерный менеджер

Хотя многие из работников организаций небрежны, беспечны или незнакомы с угрозами безопасности, вы вправе надеяться, что кто-то, носящий звание менеджера компьютерного центра Fortune

500 corporation в совершенстве знаком с лучшими практиками обеспечения безопасности, не правда ли?

Вы, вероятно, не ожидали, что менеджер компьютерного центра – тот, кто является частью IT-отдела компании – падет жертвой явного и откровенного мошенничества социоинженера. Особенно, если социоинженер ненамного старше, чем молодой сотрудник, едва вышедший из подросткового возраста. Но иногда ваши ожидания могут не оправдаться.

Безопасное внешнее хранилище

Что может помочь компании, у которой возникают проблемы с внешним хранилищем данных? Угрозы можно избежать, если компания будет шифровать всю внутреннюю информацию. Естественно, шифрование требует дополнительной траты времени и вложения денег, но это стоит сделать. Зашифрованные файлы надо регулярно проверять, чтобы быть уверенным в том, что шифрование/расшифровка работают без сбоев.

Всегда есть опасность того, что ключи шифрования будут потеряны или, что единственный человек, который их знает, попадет под колеса автомобиля. Но даже осознавая риск всего этого, хранить информацию на складе посторонней фирмы в незашифрованном виде – это глупость, граничащая с идиотизмом. Это все равно, что ходить в неблагополучных кварталах с сотенными бумажками, торчащими из карманов, провоцируя окружающих на то, чтобы вас ограбили.

Оставлять архивные ленты там, куда кто-то посторонний может попасть – обычный недосмотр в системе безопасности. Несколько лет назад я работал в компании, которая могла бы получше защищать свою информацию. Сотрудники оставляли ленты с копиями всех программ вне запертых дверей вычислительного центра. Каждый мог взять архивную ленту, содержащую все документы в незашифрованном виде. Если информация на архивных лентах шифруется, потеря ленты – ерунда; если она не зашифрована, тогда вы можете представить себе воздействие этого факта на компанию лучше, чем я.

Несложно представить себе, как нужно любой крупной компании надежное внешнее хранилище информации. Процедуры безопасности в вашей компании должны включать в себя и проверки компании, хранящей вашу информацию, чтобы быть уверенным в обеспечении безопасности в ней. Если они не столь серьезны, как в вашей компании, то все ваши меры безопасности могут быть бесполезны.

У небольших компаний есть хорошая альтернатива для создания архива: посылайте ежедневно новый и измененный файл в компанию, занимающуюся хранением данных. Очень важно, чтобы вся информация была зашифрована. Иначе информация становится доступной не только нечестным сотрудника компании, хранящей информацию, но и любому компьютерному хакеру, который сможет взломать систему защиты компьютерной сети.

В том случае, если вы организуете систему шифрования, чтобы обеспечить безопасность ваших архивных файлов, вы должны организовать и безопасную процедуру для хранения ключей шифрования и паролей, дающих к ним доступ. Секретные ключи, используемые для шифрования данных, должны храниться в безопасных сейфах. Необходимо предусмотреть такие ситуации, когда сотрудник, владеющий ключами, неожиданно исчезает, умирает или переходит на другую работу. Должно быть как минимум двое сотрудников, знающих места хранения ключей и процедуру шифрования/расшифровки в подробностях, также как и политику того, как и когда меняются эти ключи. Политики должны включать в себя категорическое требование немедленной смены ключей после ухода имевшего доступ к ним сотрудника.

Безопасность через технологии, обучение и процедуры

Компании, которые проводят тесты на безопасность, заявляют, что все попытки проникновения в клиентские компьютерные системы с использованием социоинженерных практик оказались почти на 100 процентов успешными. Технологии, сами по себе, могут лишь затруднить эти атаки, если совсем исключить человеческий фактор из сферы принятия того или иного решения. Однако единственно верный и по-настоящему эффективный подход заключается в комбинировании технологий безопасности с политикой информационной безопасности, подкрепленной соответствующим обучением и тренировкой кадров.

Ваши производственные планы могут находиться в безопасности только при одном условии: работники предприятия компетентны в вопросах обеспечения защиты. А для этого необходимо не только проводить тренинги по использованию процедур и правил политики информационной безопасности, но и, что еще важнее, необходимо создать программу повышения компетентности в вопросах защиты предприятия. Некоторые специалисты рекомендуют тратить на эту программу до 40 и более процентов корпоративного бюджета, выделенного на безопасность.

Прежде всего, придется убедить каждого сотрудника организации в том, что на свете существуют беспринципные люди, которые при помощи обмана могут психологически воздействовать и манипулировать им. Затем служащие должны понять, какую именно информацию необходимо защищать и как именно ее защищать. Однажды поняв, как ими могут манипулировать, люди в дальнейшем более подготовлены для того, чтобы идентифицировать и предупредить атаку.

Повышение компетентности подразумевает также обучение сотрудников правилам и процедурам, которые описаны в корпоративной политике безопасности. В следующей главе говорится именно о том, что политика – это свод неоспоримых правил, в рамках которых должен действовать служащий и которые позволяют обеспечить защиту информационных систем и служебной информации предприятия.

Эта и следующая главы представляют собой описание проекта системы безопасности, которая оградит вас от дорогостоящих атак на информацию. И если у вас бдительных и обученных работников, которые руководствуются хорошо продуманными правилами, то уже не важно как, а остается под вопросом только когда вы отдадите свою самую ценную информацию в руки социоинженеру. Реализуйте правила безопасности как можно скорее, не ждите, пока вам нанесут удар – он может оказаться просто сокрушительным для бизнеса и благополучия ваших сотрудников.

Безопасность притона

Во времена «сухого закона» существовали ночные заведения, где самогон тек рекой. Потенциальный покупатель должен был подойти к определенной двери и постучать. Через какое-то время в двери открывалась маленькое оконце и оттуда показывалась бандитская, наводящая страх рожа. Посетитель должен был назвать имя завсегдатая этого места (например, «Я от Джо», часто было достаточным), после чего громила отпирал дверь изнутри и позволял войти.

Характерной чертой было то, что надо было знать расположение нужного клуба, потому что дверь не была подписана, а владелец не вывешивал неоновую рекламу для обозначения своего заведения.

В большинстве же случаев, кроме местонахождения притона, ничего больше знать было не нужно. Такая же степень сохранности, к несчастью, широко применяется в корпоративном мире, обеспечивая тот уровень незащищенности, который я называю speakeasy-безопасность.

Безопасные ИТ!

Не надо забывать, что в любой компании мало-мальски опытный сотрудник ИТ-департамента может безо всякого труда узнать заработок любого руководителя или сведения о том, кто из них летает кататься на лыжах, используя корпоративный самолет.

Более того, ИТ-сотрудники могут слегка увеличить свой заработок, организовать выплаты за несуществующие работы и удалить ненужные записи из своего личного дела. Иногда лишь боязнь быть пойманными за руку удерживает их от таких действий, но обязательно настает день, когда кто-то лишенный этой боязни получает любую информацию, которая ему необходима.

Конечно, с подобной “вседоступностью” можно и нужно бороться. Наиболее важные данные должны быть защищены таким образом, чтобы их могли открыть только авторизованные пользователи. В некоторых операционных системах есть специальный аудиторский контроль, который создает и сохраняет записи обо всей активности в сети, такой например, как попытка открытия защищенного файла, независимо от того - удалась она или нет.

Если все эти проблемы осознаны руководством вашей компании и все соответствующие уровни контроля доступа к важной информации и проверки внедрены – вы сделали очень существенные шаги в правильном направлении.

Блиц-MLAC на скорую руку

Хотите узнать номер телефона, которого нет ни в одном справочнике? Настоящий шпион может подсказать вам полсотни способов, но самый простой метод заключается в одном единственном звонке по телефону.

«Босс велел сделать это»

Популярная и очень эффективная форма запугивания – популярная потому, что крайне простая – она основана на широко распространенной боязни руководства.

Даже имя помощника исполнительного директора может оказаться очень полезным. Так поступают все частные сыщики и «охотники за головами». Они звонят в приемную и просят соединить с офисом исполнительного директора. Когда отвечает помощник или ассистент последнего, они говорят, что у них конверт для начальника или просят номер факса, чтобы передать срочное сообщение, а заодно узнают и имя того, с кем разговаривают.

Затем они звонят следующему и говорят:

– Меня просила позвонить ассистент босса, Дженни, и передать, чтобы вы помогли мне в таком-то деле.

Эта техника называется «бросание имен» и обычно используется для установления контакта с конкретным лицом, используя вымышленную связь с руководством. Имеет в виду, что мишень атаки будет готова выполнить опосредованное пожелание начальника или кого-то знакомого.

Если атакующий заинтересован в получении достаточно важной информации, он может использовать этот подход для вызова у жертвы опасения и страха получить наказание от руководства. Вот пример такого поведения.

Будьте бдительны

Как пользователи Internet интернета, мы всегда должны быть предельно осторожны, тем более, если используем вносим в различные формыв сети пароли, номера банковских счетов, PIN-номера коды и т.п.

Скольких вы знаете людей, которые заботятся о собственной безопасности в Internetинтернете, проверяют защищенность соединения и достоверность данных при посещении той или иной страницы. ? Много ли сотрудников вашей компании вообще имеют представление, что именно надо проверять и куда смотреть?

Все пользователи Internet сети интернет должны знать о небольшом значке, который обычно выглядит, как замок и отображается в окне браузера. Если дужка замка закрыта, то сайт сертифицирован, т.е. подлинный и безопасный в работе. Если замок открыт или вообще отсутствует – то подлинность сайта не подтверждена и обмен данными с этим сайтом происходит по незашифрованному соединениюканалу.

Однако, взломщик, охотящийся за административными привилегиями на вашем компьютере, может воздействовать и на саму операционную систему. Например, вполне реально обойти инструкции, заставляющие браузер показывать сообщения о неподтвержденных или отозванных сертификатах. А в общем случае, хакер может установить на вашем компьютере руткит (root kit) – набор системных средств, по сути являющихся злокачественными модулями ОС или бэкдорами

(back door), позволяющими злоумышленнику незаметно для пользователя работать с системой и контролировать ее.

Термин

Бэкдор (back door). Скрытая от пользователя точка доступа в систему, которой пользуется взломщик. Бэкдоры используются и программистами на стадии разработки и внедрения – с помощью такой скрытой «пружины» иногда можно эффектно справляться с возникающими проблемами.

Цифровой сертификат одновременно подтверждает подлинность сайта и служит одним из ключей шифрования соединения между пользователем и сервером. Это отлично защищает данные от перехвата на соединении. Так можно ли доверять отдельно взятому Web-сайту, работая с ним по защищенному каналу? Нет.
Владельцы сайта могут не затруднять себя мыслями об установках последних обновлений и, возможно, они не думали о парольной политике для администраторов и пользователей. Так, опять же, нельзя сказать, что сайт, который выглядит защищенным, неуязвим для атаки.

Secure HTTP

(защищенный протокол передачи гипертекста) или SSL (защищенный сокетный слойпротокол защищенных сокетов) – это механизм, строящийся на использовании цифровых сертификатов, которые, в данном случае, не только участвуют в шифрации данных, но и предоставляют аутентификацию. Звучит мощно, но такой защитный механизм ничем не поможет пользователю, который не привык сличать адрес страницы, на которую он зашел, с адресом сайта, на который он хотел зайти.

Еще одна проблема, на которую обращают мало внимания, появляется в виде диалогового окна с сообщением примерно следующего содержания: «Этот сайт возможно не безопасен или истек срок действия сертификата. Вы действительно хотите посетить сайт?». Многие пользователи Internet интернета не понимают смысл этого сообщения и просто закрывают так некстати возникшее окно. Не говорите, что вас не предупреждали: на сайте, который по какой-то причине не задействует использует протокол шифрациишифрования, нельзя вводить личные или конфиденциальные данные (адреса, номера телефонов, информацию о кредитной карте, номера счетов и т.п.).

Томас Джефферсон сказал однажды, что свобода находится в руках всеобъемлющей бдительности. Для сохранения личной тайны и в целях безопасности, в мире, где информация на вес золота, бдительность не менее важна.

Будьте осторожны: защищайте ваши пароли

Все больше и больше компаний начинают обращать внимание на повышение своей безопасности при помощи технических средств, например, специальной конфигурации операционной системы для усиления паролей и уменьшения возможного числа неправильных попыток входа в систему. Платформы Microsoft Windows

обычно содержат такую возможность, но чаще всего по умолчанию они отключены. Пора бы разработчикам прекратить поставлять на рынок продукты с отключенными по умолчанию функциями безопасности, так как должно быть ровно наоборот (я подозреваю, что в скором времени они догадаются)

Естественно, корпоративная политика безопасности должна давать системному администратору права повышать безопасность при помощи технических средств в любой момент, не полагаясь на склонные к ошибкам действия людей. Нет никаких сомнений в том, что, ограничивая число ошибочных попыток входа в систему, вы существенно усложняете жизнь атакующих.

Каждая компания сталкивается с проблемой баланса между высоким уровнем безопасности и производительной работой сотрудников, которая заставляет некоторых из них игнорировать меры безопасности, не задумываясь о том, насколько эти меры важны для защиты целостности ценной корпоративной информации.

Если некоторые политики безопасности компании оставляют те или иные проблемы без внимания, сотрудники могут использовать путь наименьшего сопротивления и действовать так, как им удобнее и проще. Некоторые сотрудники могут открыто пренебрегать и даже противодействовать введению новых правил безопасности. Вы можете столкнуться с тем, что сотрудник изменить свой пароль на более сложный и длинный, но, в то же время, запишет его на клочке бумаги и прикрепит у себя над компьютером.

Важнейший элемент безопасности вашей компании - это использование сложных паролей в сочетание с повышенным уровнем безопасности, встроенным в ваши устройства.

Более подробно рекомендуемые техники безопасности паролей будут обсуждаться в главе 16.

Быстрее, чем вы думаете

После того, как Иван выбрал список слов и начал атаку, программа работала на автопилоте. Он смог переключить свое внимание на другие дела, а их, надо сказать, было немало. Некоторые полагают, что за хакера все делают умные программы: он может даже вздремнуть и получить результат, когда хорошо выспится. На самом деле, в зависимости от атакуемой платформы и ее системы безопасности, программа может перепробовать весь словарь английского языка менее чем за полчаса!

Пока атака продолжалась, Иван запустил на другом компьютере аналогичную атаку на другой сервер, используемый в группе разработки игр – АТМ6. Через двадцать минут был достигнут результат, который непрофессионалам покажется невозможным: был открыт один из паролей – «Фродо», имя хоббита из книги Толкина Властелин колец.

Имея в распоряжении этот пароль, Иван получил возможность доступа к серверу АТМ6, используя пользовательский аккаунт.

Для атакующего была одна хорошая и одна плохая новость. Хорошая новость заключались в том, что взломанный им пароль принадлежал человеку с привилегиями администратора, что было очень важно для следующего шага. Плохой новостью было то, что искомый код игры никак не находился. Скорее всего, он был расположен на другом сервере – АТМ5 – который пока устоял перед «словарной» атакой. Однако Иван вовсе не отчаялся, у него в запасе было еще несколько «штучек», которые он собирался использовать.

В некоторых операционных системах UNIX и Window

зашифрованные пароли доступны любому, кто получил доступ к компьютеру, где они хранятся. Причина в том, что зашифрованные пароли не могут быть взломаны и поэтому считается, что их не имеет смысла защищать. Но это представление неправильно. Используя еще одно хакерское средство под названием pwdump3, также доступное в интернете, можно извлечь все пароли с АТМ6 и перегрузить их к себе.

Типичный файл паролей выглядит таким образом:

Administrator:500:95E4321A38AD8D6AB75EOC8D76954A50:2E48927A0B04F3BFB341E26F6D6E9A97:::

akasper:1110:5А8D7E9E3C3954F642C5C736306CBFEF:393CE7F90A8357F157873D72D0490821:::

digger:1111:5D15C0D58DD216C525AD3B83FA6627C7:17AD564144308B42B8403D01AE256558:::

ellgan:1112:2017D4A5D8D1383EFF17365FAF1FFE89:07AEC950C22CBB9C2C734EB89320DB13:::

tabeck:1115:9F5890B3FECCAB7EAAD3B435B51404EE:1F0115A728447212FC05E1D2D820B35B:::

vkantar:1116:81A6A5D035596E7DAAD3B435B51404EE:B933D36DD112258946FCC7BD153F1CD6F:::

vwallwick:1119:25904EC665BA30F449AF4449AF42E1054F192:15B2B7953FB632907455D2706A432469:::

mmcdonald:1121:A4AED098D29A3217AAD3B435B51404EE:E40670F936B79C2ED522F5ECA9398A27:::

kworkman:1141:C5C598AF45768635AAD3B435B51404EE:DEC8E827A121273EF084CDBF5FD1925C:::

После того, как этот файл Иван скачал к себе на компьютер, он использовал другую программу, которая представляет собой атаку иного типа под названием «грубой силы». Этот тип атаки состоит в переборе всех комбинаций букв, цифр и специальных символов.

Для этой цели Иван использует утилиту под названием Lophtcrack3 (произносится «лофт-крэк»; ее можно найти на сайте www.atstake.com; еще один источник для хороших средств взлома паролей - www.elcomfort.com). Системные администраторы используют Lophtcrack3 для выявления слабых паролей; атакующие используют его для взлома паролей. В LC3 метод грубой силы состоит в переборе паролей, состоящих из комбинации букв, цифр и символов -!»№$%^&. (Заметьте, если используется какой-то необычный символ, не изображаемый на печати, то LC3 не сможет отыскать такой пароль).

Эта программа работает с совершенно невероятной скоростью - до 2,8 миллионов попыток в секунду на компьютере с процессором 1 ГГц. Но даже при работе с такой скоростью, если системный администратор сконфигурировал Windows соответствующим образом (отключил LANMAN перемешивание), взлом пароля занимает длительное время.

Цели программы

Во время разработки программ безопасности необходимо придерживаться основного курса, который можно охарактеризовать как «компания постоянно находится под угрозой». Эта фраза должна дойти до всех служащих, и при этом каждый должен понимать, что он играет определенную роль в команде защиты.

Многие аспекты информационной безопасности связаны с технологиями, и поэтому сотрудникам легче думать, что за них всю работу сделают файрволы и прочие компьютерные технологии. Первичная цель тренинга сводится к тому, чтобы люди осознали, что именно они, а не техника находятся на передовой войны с промышленным шпионажем и хакерами. Именно люди являются передним краем всей защиты организации.

Тренинг безопасности предназначен далеко не только для того, чтобы преподнести слушателям правила политики и информационной безопасности. Разработчик программы обучения прежде всего должен уделить внимание служащим, которые могут проигнорировать или недооценить ответственность в части обеспечения безопасности, что нередко случается под давлением текущей работы. Само по себе знание тактики социальных инженеров и способов отражения атак важно, но это имеет значение только при условии, что сотрудники компании мотивированы

на использование этого знания.

Программа, о которой идет речь, может считаться оправданной для компании, если только все закончившие курс убеждены, что информационная безопасность – это составная часть их работы.

Итак, служащие должны прийти к тому факту, что угроза социальной инженерии реальна и что уязвимость служебной информации отражается на них и на их работе так же, как и на всей компании в целом. Для сравнения, небрежность в отношении информационной безопасности сравнима с неосторожностью при вводе и хранении PIN-кода личной кредитки. Такая простая аналогия более чем подходит для поднятия энтузиазма.

Центр управления

Политика безопасности должна предусматривать создание группы людей (или одного человека), куда будет собираться информация о любой подозрительной активности, направленной на проникновение внутрь вашей организации, т.е. создание своеобразного центра противодействия вторжениям. Все сотрудники должны четко знать, к кому обращаться при любой подозрительной попытке электронного или физического вторжения. Телефонный номер этого центра всегда должен быть под рукой, чтобы реагировать на любую подозрительную активность незамедлительно.

Частный сыщик за работой

Все три предыдущих звонка были сделаны одним человеком. Частным сыщиком, которого мы теперь знаем под именем Оскар Грэйс. У Грэйс недавно появился новый клиент - один из первых его клиентов. Еще несколько месяцев назад Оскар работал полицейским, а теперь обнаружил, что новая его работа похожа на старую, многое дается легко, хотя иногда и приходиться потрудиться и напрячь применить собственную изобретательность. Последний его заказ, над которым он сейчас работал, требовал от него именно изобретательности.

Сэм Спэйдс и Филип Мэрлоус - крутые ребята из детективных романов – проводили проводят время, сидя по ночам в машине и выслеживая аферистов и неверных жен. Настоящие сыщики занимаются тем же. А, кроме того, их работа включает и другие моменты, о которых не так много пишут, но которые не менее важны в слежке за неверными женами, методы, опирающиеся скорее на социоинженерные навыки, чем на силу, которая необходима в борьбе со скукой ночного дежурстваи сном на дежурстве в припаркованной машине.

Новым клиентом Грэйс была некоторая леди, которая засомневалась в наличии семейных средств, так необходимых для гардероба и новых украшений. Однажды она вошла в его офис, села в кожаное кресло для посетителей, именно в то единственное кресло, на котором не были свалены бумагикоторое было свободно от бумаг. Она водрузила на стол сумочку от Гучи так, чтобы Оскар мог хорошо разглядеть фирменную эмблему. Далее леди заявила, что хочет потребовать от мужа развода, и призналась, что у нее есть одна «самая маленькая проблемка».

Было похоже, что ее муженек опережал ее на корпусодин шаг. Он уже превратил в наличность семейные сбережения и еще большую сумму снял с маклерского счета. Она же хотела одного - узнать, куда убежали деньги, а ее адвокат не смог ей в этом помочь. Грэйс предположил здесь, что ее адвокатом был один из тех персональных консуловсоветников из верхней части города, чье самомнение не позволяет марать руки о что-то похожее на «куда-же-пропали-деньги».

Сможет ли Грэйс помочь своей клиентке?

Он уверил ее, что никаких проблем нет, сказал свою цену, включающую расходы, и получил первый взнос в виде чека.

И теперь перед ним стояла проблема. Что бы вы будете стали делать, если никогда раньше не занимались подобной работой и слабо себе представляете, как можно выйти на след прячущихся от васисчезнувших денег? Вы начнете с малого. Ниже, согласно нашему источнику, история глазами Грэйс.

lllllllllllllll

Я знал о существовании CreditChex и знал, что банки пользуются услугами этой конторы – моя бывшая жена работала в банке. Но я не знал специфики банковских операций, не знал терминов, а спрашивать у моей бывшей было бы равноценно потере времени.

Итак, первый шаг: упрочить свои познания специальных банковских терминов и понять, как сделать грамотный и не вызывающий подозрений запрос в CreditChex. Когда я позвонил в банк, Ким, первая молодая девушка, с кем я разговаривал, заметно насторожилась после вопроса об идентификации в CreditChex. Она растерялась и не знала, стоит ли отвечать. Меня это остановило? Нет, не в коем случае. На самом деле ее растерянность подсказала мне, что мне достаточно выдумать достойную причину своего любопытства и я получу ответ. Все подозрения исчезли, как только я придумал и сказал, что работаю над книгой. Ты Как только говоришь, что ты автор или сценарист, и– люди идут тебе на встречу.

Конечно, Ким располагала и другой важной для меня информацией, ведь мне хотелось бы знать, что именно принято указывать в CreditChex при описании потенциального клиента, какие данные клерк имеет право получить в ответ на свой запрос и, самое важное, каким номером идентификатора банка пользуется Ким. Я был готов задать и эти вопросы, но настороженность Ким остановила меня. Она купилась на историю о книге, но ведь в ее голове уже родились некоторые подозрения...

СлэнгЖаргон

Мишень (mark) – жертва обмана.

Провал легенды (burn the source) – атакующий говорит о провале легенды, если замечает, что мишень догадывается об атаке.


Согласитесь, трудно в дальнейшем использовать проваленную легенду, если мишень подозревает тебя, не дремлет и, более того, предупреждает об атаке своих коллег и руководство.

Здесь надо довериться своим инстинктам, внимательно слушать, что говорит мишень и как она это говорит. В данном случае было похоже, что моя собеседница не достаточно глупа для того, чтобы продолжать задавать ей необычные, пусть даже для писателя,  вопросы. И хотя она не знала, кто я такой и с какого номера ей звоню, в этом деле лучше не попадать в ситуацию, когда мишень начинает говорить своим коллегам, что кто-то пытался навести справки о внутренних бизнес-процедурах.  Ведь если это так, то свою легенду можно считать проваленной, а последующие звонки в этот офис можно считать– бесполезными.

Во время разговора я всегда слежу за теми едва уловимыми знаками, которые говорят мне о степени готовности жертвы идти на контакт, от «Кажется, что выВы хороший человек, и я верю всему, что Вы говорите» до «Вызовите полицию, предупредите Национальную Гвардию, от этого парня ничего хорошего ждать не приходится!».

Если говорить о Ким, то ее степень готовности мне не очень понравилась, и я перезвонил в другое отделение. Трюк с опросом Кристине пришелся по душе Кристине и подействовал, как заклинание. Моя же тактика сводилась к тому, чтобы спрятать важные для меня вопросы среди остальных, маскирующих. Таким образом я придавал значимость и правдоподобность своим словам, не вызывая у Крис подозрений. Перед тем, как спросить номер идентификатора, я провел последнюю проверку на доверие и задал личный вопрос о продолжительности ее службы.

Личный вопрос похож на подкопмину, над которым которую одни люди спокойно проходят и ничего не замечают, а под другими как будто земля разверзается и они убегают в более безопасное место. Так что если я задал ей личный вопрос, а она ответила, и при этом тон ее голоса не изменился, значит, скорее всего, она поверила мне.

Хорошие детективы знают еще одну вещь. Нельзя заканчивать разговор непосредственно после того, как добыта ключевая информация.


Лучше задать еще несколько ни к чему не обязывающих вопросов, непринужденно поболтать и только потом сказать «до свидания». Позже, если мишени понадобится вспомнить этот разговор, она скорее всего вспомнит именно последние несколько вопросов. Остальное обычно забывается.

Итак, Крис озвучила для меня номер идентификатора банка и номер телефона, по которому в их отделении соединяются с CreditChex. Я был бы счастлив, если бы мне удалось выяснить, что именно спрашивают, звоня в CreditChex, но я решил не испытывать судьбу.

Это было похоже на получение чека с открытой суммой, и этот чек я получил от CreditChex. Теперь я мог звонить и задавать вопросы о любом интересующем меня человеке. И причем абсолютно бесплатно. Все обернулось так, что клерк в CreditChex был рад предоставить мне именно ту информацию, которая мне требовалась. Муж моей клиентки подавал заявку на открытие счета в двух банках. Так где искать средства будущей бывшей жене? Нигде, кроме как в этих двух учреждениях, названия которых перечислил сообщил мне парень из CreditChex.

Чехарда

Следующая история никак не связана с промышленным шпионажем. В процессе чтения постарайтесь понять, почему я решил поместить ее в эту главу.

Гарри Тарди опять жил дома и ему опять было очень плохо.

Служба в корпусе морских пехотинцев являлась для него своеобразным побегом от унылой действительности. Теперь он вернулся в родной город, который, честно говоря, ненавидел, посещал компьютерные курсы в местном колледже и искал способ потрясти мир.

В конце концов, он разработал план. Однажды, болтая за пивом с товарищем по курсам, он пожаловался на своего всезнайку-инструктора, и вместе они придумали несложный способ, как посадить того в лужу: они решили украсть коды одной популярной программы для карманного компьютера (КПК) и переслать их на компьютер инструктора, так, чтобы все подумали, что инструктор – «нехороший человек».

Его новый друг Карл Александр сказал, что знает «несколько приемов» и расскажет Гарри, как достичь цели и суметь уйти незамеченным.

Человеческий фактор

Не так давно я давал показания в Конгрессе, где объяснил, что часто пароли, как и любая другая секретная информация, разглашались не мне, а тому человеку, за которого я себя выдавал, и который лишь просил об этом.

Человек жаждет чувства полной защищенности, и это естественно. Но обратная сторона такого абсолютного безусловного желания – ложное, обманчивое ощущение собственной безопасности. Представьте себе заботливого и любящего отца, который поставил на входную дверь своего дома замок Medico, известный особой устойчивостью к взлому. Хозяин дома чувствует себя спокойно: замок защищает дом и детей от непрошенных гостей. Но как быть с бандитом, который залезет в форточкуфорточником или бандитом, который подберет код дистанционного управления гаражной дверью? "Периметр дома можно защитить надежной охранной системой", – скажете Вы. "Хорошо", – отвечу я: "Но никакой гарантии Вы не получите". Дорогие будут замки или дешевые, а наш хозяин дома все равно останется уязвимым.

Почему? Ответ прост. По-настоящему слабое звено любой системы безопасности – человеческий фактор.

Часто безопасность – всего лишь иллюзия, а иллюзия – вещь весьма опасная, особенно, если ей сопутствуют легковерие, наивность и пренебрежение. Альберт Эйнштейн, самый известный ученый двадцатого столетия, сказал так: "Только две вещи бесконечны - вселенная и человеческая глупость, и я не совсем уверен относительно первой"."Только две вещи на свете бесконечны по своей природе – вселенная и человеческая глупость", – и добавил: "…насчет вселенной я не уверен". В конце концов, успешные атаки социальной инженерии достигают цели только тогда, когда атакуемый глуп или, что бывает чаще, пренебрегает простыми приемами защиты. Подобно нашему сознательному домовладельцу, многие IT-профессионалы заблуждаются, когда думают, что фирма находится в безопасности, если системы и информация защищены межсетевыми экранами, средствами обнаружения вторжения и механизмами идентификации пользователей, вроде токенов или биометрических смарт-карточек.
Каждый, кто думает, что электронные средства безопасности, сами по себе, способны обеспечить достойную защиту – глубоко заблуждается. Хуже того, чувства такого человека притупляются иллюзией безопасности. Это похоже на полет в заоблачные высотыИкара, который, рано или поздно, но неизбежно закончится падением.

Брюс Шнайер, консультант по вопросам безопасности, однажды заметил, что "безопасность – это не конечный продукт, не товар, а процесс". Скажу больше: безопасность не технологическая задача; безопасность – проблема, связанная с человеческими и управленческими аспектами деятельности.

Разработчики постоянно совершенствуют разнообразные технологии защиты. Взломщикам становится все труднее справиться с техническими задачами, сложнее найти техническую уязвимость. И неудивительно, что хакеры все чаще пытаются использовать «человеческую» составляющую безопасности. Обычно, обойти внутренний «файервол» человека проще - риск минимальный и обходится не дороже, чем стоимость монетки, брошенной в телефонный автомат.

Четвертый звонок: Барт из отдела маркетинга

В отделе маркетинга ей пришлось разговаривать с человеком по имени Барт. Диди объяснила, что она из Саузенд Оакс и что у них завелся консультант, которому срочно необходимо получить копию телефонного справочника компании.  Она подчеркнула, что печатная копия – это именно то, что нужно консультанту и неважно, если данные в справочнике немного устарели. В ответ Барт посоветовал ей заполнить и выслать ему соответствующую форму запроса.

Диди сказала, что у нее нет бланков и «не будет ли Барт лапочкой и не заполнит ли он эту форму за нее». Он с энтузиазмом согласился с энтузиазмом и Диди продиктовала ему все необходимое. В качестве адреса фиктивного-внешнего-консультанта-по-контракту Диди дала адрес мэйлдропа, которым в данном случае являлся некий Mail Boxes Etc. – одна из тех почтовых контор, которой пользовалось ее агентство в подобных случаях.

Именно теперь подготовительные работы оправдались. Для заполнения формы заказа дополнительного телефонного справочника ей необходимо предоставить код калькуляции бюджета своего отдела, и она его знает.

– 1A5N, N – как в имени Нэнси.

Корпоративный справочник пришел через несколько дней, и Диди обнаружила, что получила даже больше, чем ожидала: помимо имен и телефонов, в этом справочнике была отображена организационная структура – было ясно видно, кто на кого работает.

Наша леди – мисс томный голос – была готова начать охоту за головами, звоня по номерам из полученного справочника. И это стало возможным благодаря ее дару, которому позавидовал бы любой профессиональный шпион.

Сленг

Мэйлдроп (mail drop) – термин в социальной инженерии, обозначающий почтовый абонентский ящик, снятый под вымышленным именем и используемый для получения документов или бандеролей от спровоцированной жертвы.

Комментарий Митника

Отдельные фрагменты информации могут сами по себе ничего не значить и в этом они похожи на фрагменты мозаики. Но если правильно сложить мозаику, то получается целое - некоторое осмысленное изображение. Так и в этом случае, социоинженер в итоге увидел всю внутреннюю структуру организации.

Четвертый звонок: Бинго!

Сорок пять минут спустя...

– Том? Это Эдди. Проверьте соединение.

И еще через секунду:

– О, хорошо, все работает. Это просто здорово!

– Да, я рад, что вам удалось вам помочь.

– Спасибо большое, Эдди.

– Слушайте, если хотите гарантировать себе стабильную работу в дальнейшем, вам нужно установить одну программку. Это займет всего несколько минут.

– Сейчас не самое подходящее для этого время.

– Я понимаю... Но это спасет нас обоих от возможной головной боли в дальнейшем, понимаете?

– Ну что же, если всего пару минут...

– Вот что вам надо сделать...

Эдди помог Тому закачать из сети программу. А после этого попросил Тома запустить ее. Он попытался и ответил:

– Она не работает. Ничего не происходит.

– Да, это проблема. Что-то с ней не так, наверное, не та версия. Ладно, давайте отложим, - попробуем в следующий раз.

Эдди инструктировал Тома по телефону, чтобы тот удалил программу без права восстановления.

Затрачено времени: 12 минут.

Что такое политика безопасности?

Политика безопасности – это свод правил и четких инструкций, следование которым помогает в защите ценной служебной информации. Одновременно с этим правила могут восприниматься как детали механизма политики безопасности для эффективного противодействия потенциальным угрозам. А в деле обнаружения и предупреждения социоинженерных атак политика безопасности важна вдвойне.

Хорошо документированная политика активно способствует внедрению мер безопасности на предприятии. Однако здесь важно заметить, что правила, даже если их беспрекословно соблюдают все подчиненные, не гарантируют абсолютной защиты. Изначально следует стремиться не к идеалу, а к заведомо оправданной цели, а именно - к снижению риска до приемлемого уровня.

Предложенная в этом разделе политика безопасности состоит из определенных правил, которые на первый взгляд мало касаются проблем социоинженерии, но, тем не менее, описывают методы, используемые социальными инженерами. Например, правила открытия вложенных файлов электронного письма, которые могут содержать троянские программы, относятся к широко известному хакерскому методу получения доступа к удаленному компьютеру.

Что знает о вас служба социального страхования

Мы склонны думать, что правительственные агентства хранят всю информацию о гражданах страны в местах, надежно укрытых от постороннего взгляда. На самом деле реальность заключается в том, что даже сами правительственные учреждения не защищены от проникновения.

Чувство благодарности

Мы часто автоматически готовы идти на контакт, если нам пообещали что-то стоящее. Это может быть материальный подарок, совет или своевременная помощь. Когда для нас что-то делают, мы склонны благодарить за это. Заложенное в нас чувство благодарности настолько сильно, что проявляется даже в тех случаях, когда мы получаем от человека непрошеный

подарок. Помощь или подарок несет в себе скрытое чувство признательности и сыграть на этом чувстве – один из самых эффективных методов. Жертве внушается, что она просто обязана пойти на встречу (например, ответить на вопрос). А если вы попытаетесь вернуть предложенное, то дающий обязательно не согласится, отметив при этом, что «этот подарок предназначается именно вам». Этот поведенческий принцип широко использовался кришнаитами для увеличения пожертвований.

CREDITCHEX

На протяжении многих лет Англия славилась своей строгой и подтянутой во всех отношенияхконсервативной банковской системой. Как оОбычный, и честный горожанин, вы не могли зайти в банк и открыть счет на свое имя. Почему? Банк не воспрималет вас как своегоего в качестве клиента, пока другой клиент, уже известный в структуре благодаряс незапятнанной финансовой историией, не представит вам рекомендательное письмо.

Сегодня, дела обстоят немного по-другому. Это не удивительно, если обратить внимание на развитие принципов равноправия, которые не могли не коснуться банковской сферы. Современная легкость ведения деловых отношений более всего очевидна в демократичной Америке, где любой гражданин может открыть дверь банка, подойти к клерку и открыть счет,. Я правверно? Не совсем. На самом деле банки с неотвратимым завидным упорством не желают открывать счета лицам, которые хотя бы потенциально могут выписать фальшивый чек. Банкиры относятся к такой возможности с не меньшей ответственностью, чем, скажем, к репутации грабителя банков или растратчика. [N4]Так что обычная практика, не зависящая от принципов равноправия, заключается в оперативной экспертной оценке плюсов и минусов открытия нового счета для потенциального клиента.

Одна из основных компаний, помогающих банкам в такой оценке - это организация, которую мы назовем CreditChex. Парни из этой организации не только отлично работают на поприще информационного обслуживания банковских структур, но и помогают социоинженерам, пусть и не нарочно.

Дефицит

Люди имеют тенденцию соглашаться, если речь идет о редком объекте, который желают получить и другие, или который доступен лишь в ограниченном промежутке времени.

Делая домашнее задание

Предварительное исследование убедило Гарри в том, что нужный КПК создается в Центре разработки, расположенном центральном офисе компании за рубежом. Но в США были и другие центры разработки. Это хорошо, подчеркнул Карл, поскольку и другие компании заинтересованы в кодах программ.

Гарри собирался позвонить в зарубежный центр разработки и со всей мыслимой мольбой в голосе сказать: «Дорогая, я попал в беду, мне нужна помощь - помогите мне». Причем мольба должна быть всамделишней. Карл даже написал специальный текст, но Гарри никак не удавалось прочесть его мало-мальски убедительно. Они долго тренировались с Карлом, отрабатывая текст и стиль произношения.

Вот что получилось в конце концов: «Я звоню из центра исследований в Миннеаполисе. У нас на сервере червь, который заразил весь департамент. Нам надо переустановить операционную систему, но когда мы обратились к архиву, все ленты оказались бракованными. И это не удивительно – ведь никто не проверяет сохранность архивных лент. Мы тут все в растерянности, есть опасение, что будут потеряна важная информация. Поймите, мне нужна последняя версия директории программ. Быстро, как это только возможно, «зазипуйте» и перешлите их мне».

В этот момент Карл пододвинул ему записку и Гарри сказал человеку на том конце провода, что он просит переслать файлы в центр исследований в Миннеаполисе. Это очень важный момент: когда собеседник узнал, что файлы надо переслать всего лишь в другое подразделение компании, он успокоился – какая опасность могла его подстерегать в таком случае?

Деловая поездка

Незадолго после этого, у системного администратора в офисе продаж компании города Остин в Техасе раздался телефонный звонок.

– Это Джозеф Джонс, – раздалось в трубке. – Я работаю в отделе развития компании. Я буду в вашем городе на следующей неделе, остановлюсь в отеле Дрискилл. Я бы хотел, чтобы Вы создали для меня временный доступ к сети, чтобы я мог проверять электронную почту вместо того, чтобы звонить по межгороду.

– Скажите снова Ваше имя и назовите персональный номер.

«Фальшивый» Джонс дал номер и продолжил:

– У вас есть высокоскоростные телефонные номера для dial-up?

– Повиси на трубке, приятель, я проверю тебя в нашей базе.

Через секунду сисадмин произнес:

– Окей, Джо. Скажи, в каком корпусе ты работаешь?

Злоумышленник неплохо подготовился и имел заранее заготовленный ответ.

– О кей, – сказал сисадмин, – все верно.

Это было проще простого. Служащий проверил имя Джозефа Джонса, отдел, в котором тот работает, персональный номер и «Джо» правильно ответил на контрольный вопрос.

– Твое имя пользователя будет такое же, как и в компании, jbjones, – сказал сисадмин, – и я даю тебе первоначальный пароль changeme.

Деньги на линии

Когда мы добрались до места, то увидели там большую толпу вокруг выставки LOCK-11. Организаторы выставки заключали денежное пари, что никто не сможет взломать их продукт. Это было вызовом, от которого я не мог отказаться.

Мы направились прямо к стенду Lock-11, и обнаружили, что его обслуживали три человека, которые участвовали в разработке этого продукта. Я узнал их, а они узнали меня - уже в подростковом возрасте у меня была репутация хакера и все из-за статьи, напечатанной в газете LA Times о моих первых стычках с законом. В статье рассказывалось, как я проник в здание компании Pacific Telephone посреди ночи и вышел оттуда с компьютерными книгами прямо под носом у охранников. Газетчики хотели сенсации, отчасти для этого они использовали мое имя: я был тинейджером, поэтому статья нарушала закон о том, что имена несовершеннолетних должны держаться в секрете.

Когда Винни и я подошли, возник интерес с обеих сторон. Они заинтересовались, потому что увидели хакера, о котором читали в газетах и были несколько шокированы этим. Интерес с нашей стороны возник потому, что за бэджем участника конференции каждого из трех разработчиков была вставлен чек на 100 долларов. 300 долларов - это был приз любому, кто сможет взломать их систему. Для пары школьников – достаточно большие деньги. Мы не могли дождаться начала испытания.

Действие LOCK-11 было основано на хорошо известной двухуровневой системе безопасности. Пользователь не только должен знать логин и пароль для входа в систему, эти данные должны вводиться с авторизованного терминала - такой подход еще называется безопасность на основе терминала (terminal-based security). Чтобы проникнуть в систему, хакер должен знать не только имя пользователя и пароль, но и вводить эту информацию с определенного терминала. Метод был многократно опробован, и разработчики LOCK-11 были убеждены, что он сможет удержать «плохих парней». Мы решили преподать им урок и заработать вдобавок три сотни баксов.

Дэнни-соглядатай

Энтузиаст сканирующих устройств и образованный хакер, которого мы будем называть Дэнни, решил проверить, а не сможет ли он найти способ заполучить в свои руки исходные коды сверхсекретного программного обеспечения для шифрования, разработанного одним из ведущих производителей радиосистем безопасности. Он рассчитывал, что наличие исходного кода позволит ему научиться подслушивать переговоры сотрудников органов правопорядка. И попытаться использовать эту технологию таким образом, что бы даже наиболее влиятельным государственным агентствам было бы затруднительно прослушивать его разговоры с друзьями.

Такие вот «Дэнни» из теневого мира хакеров принадлежат к особой категории, которая располагается где-то между «только любопытный, но в целом добрый» и опасный. Дэнни обладает знаниями специалиста, в комбинации с вредным хакерским желанием проникать в системы и сети для того, чтобы бросить интеллектуальный вызов и получить удовольствие от возможности проследить за работой технологии. Но их электронные трюки «взламывание-и-проникновение» остаются лишь трюками. Этот народ, эти безобидные хакеры, незаконно входят на сайты только для развлечения и получают радость от того, что смогли это сделать. Они ничего не воруют, они не извлекают никаких денег из своих действий, они не разрушают файлы, не прерывают сетевые соединения, не взламывают компьютерные системы.

Единственно, что их интересует – это копии файлов и писем с паролями, предназначенными для входа администраторами сети и служб безопасности. Они заняты щипанием за нос людей, который отвечают за предотвращение атак злоумышленников, подобных им. Умение превзойти других – в этом состоит большая часть их удовольствия.

В соответствии со своим образом, наш Дэнни хотел проверить элементы защиты наиболее охраняемых продуктов компании, на которую он нацелился только ради того, чтобы удовлетворить собственное жгучее любопытство – какие же еще хитрые нововведения должен будет внедрить производитель.

Излишне говорить, что разработки продуктов были тщательно охраняемыми торговыми секретами, настолько ценными и защищенными, как ничто иное в компании.
Дэнни знал это. И его это нисколько не волновало. Для него это была всего-навсего большая безымянная компания.

Но как заполучить исходный код программного обеспечения? Но похищение «королевских драгоценностей» из компании Secure Communication Group оказалось делом не хитрым, даже, несмотря на то, что компания использовала двухфакторную идентификацию, в соответствие с которой сотрудникам требовалась два различных идентификатора, для подтверждения своей личности.

Приведу здесь пример, с которым вы, возможно, уже знакомы. Когда приходит срок обновления кредитной карты, вам необходимо позвонить в компанию, которая занимается выпуском кредитных карт для того, чтобы доказать, что карта на самом деле принадлежит данному клиенту (т.е. вам), а не кому-нибудь, кто украл конверт из почтового ящика. В последнее время в инструкции к карте обычно указывается, чтобы вы позвонили из дома. Когда вы звоните, программное обеспечение компании, выпускающей кредитные карты, анализирует информацию с АОН (автоматического определителя номера), услуга, которая предоставляется компании телефонным узлом, и за которую компания платит.

Компьютер компании использует полученный с помощью АОН телефонный номер и сравнивает его с номером, который хранится в базе данных компании по владельцам кредитных карт. В то время, пока служащий остается на линии, на дисплее появляется информация о клиенте, полученная из базы данных. Служащий компании уже знает, что звонок был из дома клиента и это является одной из форм идентификации.

Затем служащий выбирает один из пунктов информации, показанной о вас – обычно это номер карты социального страхования, дата рождения или девичья фамилия матери – и спрашивает вас об этом. Если вы даете правильный ответ, то это вторая форма идентификации – основанная на информации, которую вы должны знать.

Доверие – ключевой момент лжи

Чем больше отношения социоинженера со своей жертвой будут похожи на обычные, ничем особенным не отличающиеся деловые контакты, тем меньше это вызовет подозрений. Когда у человека нет причины для подозрений, он вряд ли будет их искать, а социоинженер без труда сможет войти к этому человекунему в доверие.

И как только он завоевал ваше доверие, мост над рвом опускается опущен и ворота замка открыты – он входит и берет все, что ему надо – любую информацию.

Примечание

Вы наверное уже заметили, что когда я говорю о социоинженерах, телефонных фрикерах и аферистах, я в основном употребляю местоимение «он». Это не шовинизм, просто в рассматриваемой области это местоимение отражает суть вещей: в основном данная практика принадлежит мужскому полу. Но, не смотря на то, что на данный момент сложно найти женщину-социоинженера, их число растет. Женщин в этой отрасли уже достаточно для того, чтобы охранники не расслаблялись, слыша женский голос. На самом деле женщины имеют явное превосходство хотя бы потому, что могут достигать сотрудничества благодаря своей сексуальности.

Двойной обман

Фильм Афера (The Sting), многократно упоминаемый в этой книге (на мой взгляд - лучший из всех, снятых на тему жульничества), рассказывает нам о процессе жульничества в деталях. Если вы хотите знать, как группа настоящих профессионалов за один вечер может завладеть большой суммой денег, то нет более наглядного пособия.

Любое жульничество, независимо от его конкретной реализации, всегда действует по той или иной схеме. Иногда оно начинает действовать в обратном направлении, этот процесс можно назвать двойным обманом. Интригующее развитие событий заключается в том, что социоинженер организует ситуацию, в которой жертва сама обращается к нему за помощью, или же коллега по работе делает запрос, на который атакующий отвечает.

Как это работает? Сейчас узнаете.

Еще несколько слов

Теперь, после моего ареста, я признаю, что действовал незаконно и . Я нарушал неприкосновенность частной собственности.

Мои ошибки были спровоцированы моим же любопытством. Я хотел узнать как можно больше о работе телефонных сетей и все входы/выходы систем компьютерной безопасности. Из мальчишки, любящего фокусы, я превратился во всемирно известного хакера, немало напугавшего корпорации и правительство. Когда я оглядываюсь на последние 30 лет своей жизни, я то вижу, что зачастую принимал очень плохие решения, обоснованные лишь жаждой познания.

С тех пор прошло время,

и я изменился. Я попытался направить свой талант и опыт в другое русло. Используя свои знания в сфере информационной безопасности и социальной инженерии, я научился приносить пользу бизнесу, правительству и конкретным людям, . Я обнаруживяаю и , предотвращаяю

и реагирую на угрозы информационной безопасности.

С помощью этой книги я делюсь своим опытом и пытаюсь защитить людей от информационных грабителей. Я буду рад, если представленные в этой книге рассказы покажутся Вам интересными, разоблачающими и поучительными и разоблачающими.

Есть, о чем беспокоиться

Данные отчета, опубликованного Институтом Компьютерной Безопасности в 2001 году, говорят о том, что 85 процентов опрошенных организаций в течение последних двенадцати месяцев  тем или иным образом подверглись взлому системы безопасности. Эта цифра поражает. Только пятнадцать из каждой сотни могут с уверенностью сказать, что за прошедший год их защита не была сломана! Число компаний, которые понесли финансовые убытки вследствие компьютерных атак, впечатляет не меньше: 64 процента (от количества подвергшихся взлому). Получается, что пострадали бюджеты более половины опрошенных организаций. За один единственный год.

Мой личный опыт подсказывает, что эти цифры несколько завышены. Я не очень-то доверяю людям, проводившим опрос, но верю, что убытки на самом деле велики. Короче говоря, тот, кто не планирует ожидает столкнуться с  проблемой безопасности, планирует провал.

Большинство коммерческих средств обеспечения безопасности предназначено для отражения дилетантских атак, например, со стороны так называемых скриптомалышек (script okiddies).На деле, подростки со скаченными программками из Интернет, представляют собой лишь досадную помеху. Настоящая угроза и реальные потери исходят от опытных профессионалов своего дела, имеющих четко заданные цели, одна из которых – получение материальной выгоды. Эти люди фокусируют все свое внимание на выбранной жертве, а не мечутся из стороны в сторону, подобно новичку, пытающемуся который пытается найти как можно больше уязвимых систем. Если для "незрелого" хакера главное – это количество, то для профессионала – качество и ценность информации.

Корпоративная безопасность не может обойтись без защитных технологий: идентификации (подтверждающих подтверждение подлинностиь), разграничения доступа (управляющих управление доступом к файлам и системам), обнаружения вторжения (электронных электронные аналогови сигнализации) и т.п. Однако, тенденция такова, что многие фирмы продолжают тратить на кофе денег больше на кофе, чем на все меры защиты против информационных атак.

Преступная мысль не может устоять перед соблазном, а хакер не может пройти мимо мощной технологии.  И как часто это случается, хакер, для того чтобы найти лазейку в обороне, нацеливается именно на людей, использующих эти технологии.

Финал

Спустя несколько дней Рифкин вылетел в Швейцарию, забрал наличность и купил через одно русское агентство груду бриллиантов. Рифкин вернулся в Штаты, пройдя через таможню с камнями на сумму более 8 миллионов долларов, в "банане" наспециальном поясе - money belt. Он совершил величайшее ограбление банка в истории. Не только без вооруженного нападения, но и без компьютера. Странно, что это достижение зафиксировано в книге рекордов Гинесса именно как "крупнейшее компьютерное мошенничество".

Стенли Рифкин воспользовался своим умением маскироваться под других людей, секретами искусства обмана – тем, что теперь называется прикладной социологией или социальной инженерией. Доскональная подготовка, тщательное планирование и немного везения – вот что это такое.

В книге пойдет речь именно об этом: о методах прикладной социологии (в которой Ваш покорный слуга большой знаток) и о том, как противостоять социальным атакам.

Где заканчивается ваш интранет?

Некоторые области вашего интранета могут быть доступны извне, иные - наоборот – недоступны для сотрудников. Насколько усердна ваша компания в вопросах защиты? Насколько уверена администрация в том, что ценная информация, которую она должна защищать от постороннего взгляда, на самом деле не расположена в общедоступном сегменте сети? Когда последний раз вы проверяли публичные разделы своего Web-сайта на предмет размещения в них, пусть и по недосмотру, секретной или внутренней служебной информации?

А если ваша сеть интранет и сайт защищены от электронных угроз прокси-серверами, то давно ли вы оценивали адекватность настроек этих серверов?

Признайтесь, кто-либо когда-нибудь оценивал безопасность вашей корпоративной сети?

Слабое звено безопасности

Руководство компании может приобрести совершенное охранное оборудование, лучшие технологии из тех, которые можно купить за деньги. Руководство может натаскать персонал так, что каждый сотрудник, перед тем, как пойти домой, будет прятать все свои документы в сейф. Более того, руководство может нанять самых надежных охранников самого уважаемого агентства.

Такая компания по-прежнему уязвима.

Люди могут следовать всем инструкциям признанных экспертов по безопасности, устанавливать каждую из предложенных ими систем, неусыпно следя при этом за надлежащей конфигурациейями и программными обновлениями.

Такие люди по-прежнему уязвимы.

О том, как безобидные данные перестают таковыми являться

Так в чем заключается опасность столкновения с социальным инженером? Как правильно защищаться и что делать?

Если его цель – завладеть высоко ценимой желанной добычей – скажем, все крутится вокруг ценностей, жизненно необходимымх компонентом интелектуальной собственности ресурсов компании, таких как, например, интеллектуальная собственность, то, выражаясь образно, нужны высокие стены и хорошо вооруженные охранники. ТакВерно?

Но на практике проникновение и взлом корпоративной защиты начинается с кражи документа, содержащего на первый взгляд абсолютно невинную информацию. Такого обыденного и неважного документа, что практически каждый сотрудник организации уверен в бесполезности его охраны и защиты.

Направленная атака: не надо напрашиваться

В основном социоинженерные атаки – это замысловатые манипуляции, серьезное планирование и использование технологических ноу-хау.

Но меня больше поражает, когда профессиональный социоинженер достигает поставленной цели с помощью одного сильного и прямого удара. Ведь иногда, для того, чтобы получить информацию, бывает достаточно спросить у того, кто этой информацией располагает по праву.

---

---