Правила для службы охраны
Несмотря на то, что социоинженеры стараются избегать посещения атакуемой компании, иногда они вынуждены это сделать. Представленные в этом разделе правила помогут вам в информационной защите занимаемых площадей.
Правила для всех служащих
Есть правила, которых должны придерживаться все служащие, независимо от принадлежности к тому или иному отделу. Эти правила представлены в нескольких категориях: «Общая часть», «Использование компьютера», «Использование электронной почты», «Использование телефона», «Использование голосовой почты», «Использование факса» и «Пароли».
Правила классификации данных
Классификация данных необходима для определения ценности информации и разграничения доступа к документам.
Некоторые хакеры уничтожают чужие файлы
Некоторые хакеры уничтожают чужие файлы и жесткие диски. Это крэкеры или вандалы. Некоторые новички даже не затрудняют себя изучением технологий, скачивают хакерские программки и с их помощью вскрывают слабые системы. Их называют skriptscript okiddies - скриптомалышками. Более опытные хакеры, умеющие программировать, сами пишут эти программы и публикуют их в Интернет. И, наконец, есть те немногие, которые не интересуются технологиями, а используют компьютер лишь в качестве инструмента, помогающего украсть деньги, товары или чужую услугу.
Несмотря на растиражированный миф о Кевине Митнике, я не злобный хакер.
Но я пытаюсь превзойти самого себя.
Предотвращая обман
Роясь в вашем мусоре или обманывая охранника или секретаря в приемной, социальный инженер может получить доступ к внутренним документам вашей компании. Надеюсь, что вам небезынтересно будет узнать о существовании целого ряда мер, направленных против этих действий.
Атаки социальных инженеров могут быть еще более разрушительными, если они используют технологические приспособления. Чтобы предотвратить этот тип атак, надо предпринимать шаги, как на уровне техники, так и на уровне персонала
Когда речь идет о ценной, важной или просто критичной для компании информации, которая, попав в чужие руки, может дать конкурентам или кому-то еще серьезное преимущество, сотрудники компании должны знать, что для ее выдачи недостаточно просто установить личность человека, делающего запрос. Должны бы дополнительные средства подтверждения запроса, такие как утверждение вышестоящим руководителем с авторизацией на получение требуемой информации.
Процедура верификации всех запросов - дело очень тонкое, каждая компания должна определять для себя индивидуально, достигая разумного баланса между производительностью и безопасностью. Насколько приоритетным должно быть усиление мер безопасности? Будут ли сотрудники противодействовать процедурам обеспечения безопасности или даже обходить их, чтобы вовремя выполнить свою работу? Осознают ли сотрудники, насколько важна безопасность для их компании и их самих? На все эти вопросы надо отвечать, разрабатывая политику безопасности на основе корпоративной культуры и бизнес-процессов.
Неизбежно, меры безопасности кое-кому мешают работать, и неосведомленные люди могут пытаться обходить их, считая бесполезной тратой времени. Необходимо мотивировать сотрудников при помощи специальных тренингов так, чтобы соблюдение мер безопасности стало неотъемлемой частью их ежедневной деятельности.
Надежным средством идентификации звонящего является платная услуга автоматического определения номера. В отличие от услуги определения имени звонящего, распространенной в корпоративных сетях, переключатель телефонной компании не использует никакой информации от пользователя, когда шлет ему номер звонящего. Номер, который передает АОН, это номер, на который выставляется счет звонящему.
Заметим, что некоторые производители модемов встраивают функцию определения имени звонящего в свои продукты, защищая корпоративную сеть таким образом от случайных звонков, допуская в нее только предварительно определенный список телефонных номеров. Эта техника вполне приемлема в компаниях с невысоким уровнем требований к безопасности, но, как мы уже выяснили, подменить в таком случае личность звонящего не составляет труда опытному хакеру, поэтому на нее полагаться нельзя.
Предотвращая жульничество
Симпатия, чувство вины и запугивание – вот три самых популярных психологических триггера, которые обычно использует социальный инженер, и представленные истории демонстрируют эту тактику в действии. Что же можете сделать вы и другие сотрудники компании для того, чтобы избежать подобных атак?
Правильное использование кода безопасности в банке или другом месте является хорошим способом повышения уровня защиты информации. Неправильное использование кода безопасности гораздо опаснее, чем отказ от него, поскольку в таком случае создается лишь иллюзия безопасности, которой на самом деле нет. Какова ценность секретных кодов, если сотрудники не держат их в секрете?
Любая компания, использующая коды безопасности, должен четко указать сотрудникам правила их использования. Правильно проинструктированный сотрудник банка никогда не назовет код звонящему человек (как это случилось в первом сюжете этой главы). Он чувствовал, что не должен назвать, но поддался эмоциям, а отсутствие четкой политики безопасности не смогло его остановить.
В политике безопасности должны быть четко определены шаги, которые следует предпринимать в случае неадекватного запроса о секретных кодах. Каждый такой случай должен быть подробно описан. Кроме того, надо попытаться определить личность человека, делающего такой запрос.
Сотрудник должен всегда записывать имя звонящего, телефон и компанию, откуда тот звонить, только после этого заканчивать разговор. Перед ответный звонком надо убедиться, что такая компания существует на самом деле, там работает упомянутый человек и его телефонный номер соответствует, названному им в разговоре. В большинстве случаев такие простые меря позволяет убедиться в том, что звонящий человек именно тот, кем он представляется.
Проверка адреса усложняется, если у компании есть лишь напечатанный список телефонов, а не online-версия. Люди увольняются и нанимаются новые, сотрудники переходят из отдела в отдел, меняют должности и номера телефонов. Печатный телефонный справочник устаревает на следующий день после своего выхода, еще до распространения. Даже на online-версии таких справочников надо полагаться с опаской, имея в виду, что социальные инженеры всегда могут внести в них требуемые им изменения. Надо пытаться проверять все сведения несколькими путями, например, связываясь с руководителем того, от кого пришел запрос.
Предотвращение атаки
Компания в лице администрации несет ответственность за то, чтобы сотрудники понимали всю серьезность ошибок, связанных с неправильным обращением непубличной внутренней информации. Хорошо продуманная политика информационной безопасности предприятия, соединенная совместно с должным обучением и тренингом сотрудников, может значительно повысить общий фон компетентности в вопросах работы с деловой информацией. Политика классификации информации поможет вам внедрить подходящие механизмы контроля и с учетом специфики распространения данных. Без правил такой политики вся внутренняя информация должна восприниматься, как конфиденциальная, если отдельно не оговорено обратногообратное.
Информация, которая кажется Кажущаяся незначительной и не имеющей ценности информация может защищаться по следующей схеме:
n
Отдел информационной безопасности должен проводить тренинги для сотрудников. Тренинги должны затрагивать специфические методы, используемые социоинженерами. Один из описанных выше методов заключается в получении доступа к «безвредной» информации и последующем использовании данных в качестве джокера, которого можно обменять на моментальное доверие жертвы. Все служащие, без исключенийисключения, должны понимать, что если собеседник кажется сведущим в бизнес-процессах и сложившейся терминологии, знает внутренние номера и идентификаторы, то это вовсе и ни в коем случае не означает, что собеседник является тем, за кого он себя выдает или имеет право знать то, о чем спрашивает. Звонящий на самом деле может быть бывшим служащим или нанятым по контракту человеком, знакомым с внутренней классификацией и устоявшимися на фирме правилами. Итак, корпорация обязана определить подходящие методы аутентификации незнакомых лиц.
n Человек или группа, ответственная за составление политики классификации должны выяснить все возможные пути получения доступа к ценной информации посредством «выуживания» данных, кажущихся несущественными с точки зрения безопасности данных.
Что может предпринять организация для подавления атак на принципиальное присущее сотрудникам желание сотрудников доверять людям? Ниже можно прочитатьдано несколько предложений и советов.
Один из самых мощных приемов социального инженера – это поменяться со своей жертвой ролями. Глава, которую вы сейчас читаете, именно об этом приеме. Социоинженер создает проблему, а потом волшебным способом устраняет ее, заставляя свою жертву показать дорогу к самым ценным секретам фирмы. Попадутся ли на такую уловку служащие вашей компании? Позаботились ли вы о создании специальных правил безопасности, способных предотвратить угрозу? Знаком ли с этими правилами персонал?
Предотвращение обмана
Казалось бы, часто повторяемый элемент в этих историях следующий: атакующий входит извне в компьютерную сеть компании, с помощью лиц, которые помогают ему получить основания того, что звонящий является настоящим сотрудником и имеет право на доступ. Почему я возвращаюсь к этой теме так часто? Потому что, это, несомненно, является фактором, который используют множество атакующих. Для социоинженера это простейший способ достигнуть цели. Почему атакующий должен тратить часы, пытаясь проникнуть в сеть, когда он может просто взять и позвонить?
Если вы не хотите, чтобы работники отказывали в помощи коллегам или клиентам, вам нужно вооружить их специфическими процедурами проверки в случае чьих-либо просьб о получении доступа к конфиденциальной информации. Этот путь может быть затруднительным для тех, кто нуждается в помощи, но в то же время защитит информационные ценности организации и компьютерные системы.
Процедуры безопасности компании должны быть в деталях проработаны на предмет того, какой тип механизма проверки необходимо использовать в различных обстоятельствах. Часть 17 снабдит вас полноценной методикой, здесь приведу лишь некоторые правила:
· Хороший способ проверить идентичность персоны – позвонить в компанию, от имени которой этот человек представляется. Если запрос делает злоумышленник, проверка либо позволит вам поговорить с реальным лицом, в то время, как злоумышленник ожидает на линии, либо вы попадете на голосовой ящик работника, таким образом, услышите его настоящий голос и сравните с голосом звонящего.
· Если в вашей компании используются персональные номера сотрудников для идентификации, то эти номера должны быть хорошо защищены и недоступны посторонним. То же самое относится ко всем остальным видам внутренней идентификации, такой как внутренние телефонные номера, номера ведомственных счетов, и даже адреса электронной почты.
· На корпоративных тренингах необходимо обращать внимание на определенный порядок приема незнакомых людей.
Социальный инженер всегда предпочитает реализовывать свои цели при помощи сотрудников, которые не только не опознают его, но и не заподозрят ничего подозрительного в его запросах. Это не только упрощает его работу, но и делает ее менее рискованной, что и подтверждают истории, рассказанные в этой главе.
Промышленный шпионаж долгое время был реальным вызовом бизнесу, а теперь, поскольку холодная война закончилась, стал способом заработка обычных шпионов, которые сконцентрировали свои усилия на получении секретов компаний за немалую цену. Правительства всего мира и крупные корпорации сегодня просто нанимают промышленных шпионов для получения необходимой информации. Небольшие местные компании нанимают информационных брокеров, которые готовы перейти любые границы для получения информации от конкурентов. Чаще всего информационными брокерами становятся бывшие военные шпионы или разведчики, обладающие массой необходимых знаний и опытом для проникновения в компании, особенно в те, которые не предприняли специальных шагов по обучению сотрудников для защиты своей информации.
Предупреждение атаки
Вот какое правило должно упоминаться на тренингах по безопасности: если звонящий в компанию или посетитель офиса знает имена ваших коллег, знаком с корпоративным сленгом и бизнес-процессами – это не означает, что этот человек является тем, за кого себя выдает. И это условие несомненно также означает, что такого человека нельзя воспринимать, как имеющего полномочия на получение доступа к компьютерной технике, конфиденциальной или служебной информации.
На тренинге необходимо отдельно подчеркнуть подчеркиватьэти простые слова: если сомневаешься, то проверяй, проверяй и еще раз проверяй.
Раньше дело обстояло так: информация была в юрисдикции начальства, а рабочие топили горнила, работали с машинами, печатали письма и заполняли бланки очередной отчетности. Начальник говорил им, что, как и когда нужно сделать. Только начальник знал, сколько рабочий должен сделать запонок за смену, какого цвета должны быть запонки сегодня, сколько в этом месяце должна произвести фирма и какие примерно цифры должны быть в квартальном отчете.
Рабочие занимались машинами, инструментами и материалами, а боссы работали с информацией. Конкретному служащему хватало только специфических данных касательно его непосредственных обязанностей.
Теперь все немного по-другому, не правда ли? Если говорить о рабочих, то сегодня они работают используют с компьютерыами или с машинами под управлением компьютера. Важная информация постоянно «спускается» на дисплеи машин, с которыми работает большая часть современной рабочей силыбольшинство сотрудников. В современных условиях получается так, что служащие только и делают, что обрабатывают информацию.
И именно поэтому политика безопасности должна распространяться в компании повсеместно, невзирая на должность иерархию и должностные обязанности служащих. Все должныНеобходимо четко представлять себе обстановку, в которой ценна и важна любая служебная информация, а не только та, с которой работают начальники, бухгалтерия и администрация. Сегодня служащие любого ранга подвержены информационному нападению, и неважно, работают они с компьютером или нет. Только что нанятый принятый на работу продавец-консультант может с легкостью превратиться в слабое звено, благодаря которому социоинженер достигнет своей цели.
Тренинги по безопасности и политика корпоративной безопасности – это те инструменты, которые могут и должны укрепить это звено.
Служебная информация специалистами часто называется
Служебная информация специалистами часто называется ценной или чувствительной к разглашению. Я буду употреблять прилагательное служебная, так как термин «служебная информация» сам по себе раскрывает сущность понятия. Ценная информация, в свою очередь – это не классифицирующее понятие, но подходящее определение для конфиденциальных и частных данных. Проще говоря, ценная информация – это любые данные, которые специальным образом не обозначены в качестве общедоступной информации.
Заметьте, что схемы доступа к информации для социоинженера – это как плащ тореодора для быка. Согласитесь, что если на фирме имеет хождение такая схема, то у шпиона возникнет большое желание ее заполучить. А как только злоумышленник получит к ней доступ, компания окажется под ударом.
· Контакт с руководством для подтверждения полномочий. Сотрудник соединяется с менеджером запрашивающего и получает всю необходимую информацию о полномочиях.
· Подтверждение полномочий хранителем информации или другим ответственным лицом. Хранитель информации – ваш судья в вопросах авторизации. Если в информационной (автоматизированной) системе предприятия поддерживаются профайлы служащих, то вы получите права доступа к информации у непосредственного начальника запрашивающего. В любом другом случае начальник обязан руководствоваться комментариями ответственного за эту информацию. Такая цепочка необходима хотя бы для того, чтобы хранитель информации не обременялся подтверждениями на доступ к часто запрашиваемым данным.
· Подтверждение полномочий специальными программными средствами. В крупной компании хорошей практикой является использование информационной системы, разграничивающей доступ к информации. База данных такой системы сопоставляет сотрудников с привилегиями на доступ к той или иной классифицированной информации. Причем сами сотрудники не должны иметь доступ к общему описанию привилегий других пользователей. Вместо этого система, основываясь на введенном имени запрашивающего и идентификаторе категории информации, отвечает, имеет ли инициатор запроса доступ к определенным данным. Таким образом можно избежать ситуации, когда злоумышленник пересоздает список служащих с привилегированными правами на доступ к особо ценной информации.
Тип «задней двери», описываемый здесь, не изменяет login- программу операционной системы. Специальная функция из динамической библиотеки, которую использует login-программа, заменяется, и таким образом создается секретная точка входа. Во многих атаках хакеры заменяют login-программу, но опытные системные администраторы могут обнаружить замену, сравнивая программу с ее копиями в архиве и на других носителях информации.
Я тщательно следовал инструкциям, которые написала для меня Юлия, прежде всего, установить «patch», затем предпринять шаги, чтобы удалить все следы, которые я оставил, создавая аккаунт.
Вскоре компания собиралась начать поставки своей новой операционной системы клиентам - финансовым институтам по всему миру. И каждая разосланная копия содержала бы в себе ту самую лазейку, которую я внедрил в оригинал ОС еще до ее рассылки, эта лазейка позволила бы мне без помех проникнуть в любую компьютерную систему банка или брокерской конторы, которая бы установила у себя эту новую систему.
Естественно, я не чувствовал себя абсолютно спокойным - предстояло сделать еще немало работы. Мне надо было проникнуть во внутреннюю сеть каждого финансового института, который я хотел «посетить». Затем понять, какой из компьютеров используется для перевода денег и разобраться, каким образом это делается.
Но все это я мог сделать с любого компьютера, на берегу Таити, скажем.
Я позвонил охраннику еще раз, поблагодарил его за помощь и сказал, что он может выбросить распечатку.
Джон Ле Карре, автор всемирно известных детективов «Шпион, который вернулся с холода», «Безупречный шпион» и многих других прекрасных книг был сыном респектабельного и успешного мошенника. Ле Карре еще в молодые годы был потрясен тем, что его отец, столь успешный в обмане других людей, не раз становился жертвой мошенничества, как со стороны мужчин, так и женщин. Что демонстрирует, насколько риску обмана со стороны социального инженера подвержен любой человек, даже социальный инженер.
Не все организации располагают достаточными ресурсами для создания программы компетентности собственными силами. Здесь можно порекомендовать воспользоваться услугами специализированных компаний, выйти на которые можно с помощью сайта Secure World Expo (www.secureworldexpo.com).
Программа повышения компетентности в вопросах безопасности не может гарантировать абсолютную неуязвимость. Там где это возможно, используйте технологические средства «глубинной» защиты. Это означает, что некоторые инструменты безопасности должны находиться не в руках сотрудников, а обеспечиваться технологией. Например, средствами операционной системы можно запретить загрузку программ из интернета и установить обязательные правила использования стойких паролей.
Если тренинги безопасности смогли внушить сотруднику, что каждый запрос должен удовлетворять этим двум критериям, то можно считать, что риск социоинженерной атаки резко сократился.
На практике, программа повышения компетентности и тренинги, нацеленные на поведенческие факторы и социоинженерные аспекты, должны включать в себя следующее:
· Описание того, как именно социальные инженеры используют свои навыки в обмане людей.
· Методы социоинженерии.
· Как распознать возможную атаку.
· Процедура обработки подозрительной просьбы.
· К кому обращаться в случае обнаружения социоинженерной атаки.
· Важность получения любой дополнительной информации о подозрительном лице, невзирая на заявленную этим лицом должность или значимость иного рода.
· Нельзя никому доверять в безусловном режиме без соответствующей проверки, даже если следуешь внутреннему позыву.
· Важность процедуры проверки личности, соответствия и привилегий любого запрашивающего информацию или просящего об исполнении некоторого действия.
· Процедуры, направленные на защиту ценной информации, включая принципы работы с существующей системой классификации данных.
Пример атаки:
Социальный инженер использует фактор власти, когда, например, представляется работником IT-департамента, начальником или исполняющим некоторое распоряжение администрации.
Во время разговора атакующий старается выяснить хобби и интересы своей жертвы, а далее проявляет нескрываемый энтузиазм в обсуждении этих вещей. Он может сказать, что учился в той же школе, или приехал из того же штата или имеет такую же цель в жизни или в карьере. Кроме того, социоинженер, несомненно, попытается скопировать поведение своей жертвы, что создает видимость схожести характеров.
Сотруднику поступает звонок от коллеги из IT-отдела. Звонящий объясняет, что на фирме появился опасный вирус, с которым не справляется антивирусная система. Коллега предлагает проконсультировать вас по телефону – сказать, что надо сделать, чтобы файлы остались целы. И вслед за этим просит проверить одну программку, которая недавно была обновлена «и теперь пользователь может в ней сменить пароль». Сотрудник вряд ли откажется, так как только что получил «неоценимую» помощь от специалиста, спасшего его файлы от опасного вируса.
Атакующий звонит сравнительно недавно устроившемуся сотруднику и заявляет, что на фирме существуют некоторые правила безопасности, которых необходимо придерживаться и с которыми надо согласиться, чтобы впредь иметь доступ к корпоративным системам. И после небольшого диалога о правилах, звонящий просит сотрудника огласить свой пароль «чтобы проверить его на соответствие правилу стойких паролей пользователей». Жертва говорит свой пароль и атакующий рекомендует использовать сложные и непредсказуемые пароли. В данном случае сотрудник раскрыл свой пароль только потому, что это не идет в разрез с его заявлением в начале разговора о согласии придерживаться правил безопасности. Кроме того, сотрудник может подозревать, что собеседник просто проверяет его лояльность.
Звонящий говорит, что проводит опрос и называет имена ваших коллег, которые уже заполнили анкету. Жертва верит, что если другие пошли навстречу опрашивающему, то это позволяет или даже обязывает ответить и ему. Далее атакующий задает серию вопросов, с помощью чего получает ключ к нужной информации.
Атакующий отсылает жертве письмо, где говорится, что первые 500 зарегистрировавшихся на сайте получат бесплатные билеты на новейший блокбастер. Ничего не подозревающий сотрудник заходит на сайт, где ему предлагается ввести свой адрес электронной почты и пароль. Далее, исходя из того факта, что пользователи для удобства обычно пользуются одним и тем же или похожими паролями в разных системах, атакующий пытается проникнуть на домашнюю и рабочую станции жертвы.
Природа опасности
Дело Рифкина показывает, насколько обманчиво бывает наше ощущение защищенности. Подобные случаи мошенничества случаются каждый день. Конечно, не всегда происшествие можно оценить в 10 миллионов долларов, но от этого легче не становится. Возможно, именно сейчас, когда Вы читаете эти строки и ничего не подозреваете, Ваша фирма лишается своих капиталов или самого ценного коммерческого секрета. И если какая-то организация еще не пострадала от мошенников, то это всего лишь вопрос времени, а не вероятности наступления события.
Проблема в подключении
Как отыскать нужного «Майкла Паркера» в университетских архивах? Сам Майкл действовал так. Он пошел в библиотеку университета, сел за компьютер, вошел в интернет на сайт университета и нашел там телефон регистратуры. Позвонив туда, он воспользовался обычными приемами социальной инженерии:
– Я звоню вам из компьютерного центра. Мы меняем конфигурацию сети и хотим убедиться, что не нарушим вашу работу. С каким сервером вы соединены?
– Что вы имеете в виду, – с удивлением спросили у него.
– Какой адрес вы набираете, когда хотите получить сведения о студентах?
Ответ был «admin.rnu.edu» - так Майкл получил адрес компьютера со всеми сведениями о студентах. Это была первая часть задачи, теперь он знал, куда надо попасть.
Майкл набрал указанный адрес на своем компьютере и не получил ответа - как он и ожидал, доступ блокировался при помощи сетевого экрана. Тогда он запустил программу, чтобы попробовать найти открытые сервисы на этом компьютере, и нашел открытый Telnet-порт, который позволял одному компьютеру соединяться с другим компьютером и получать доступ к нему при помощи «немого терминала». Все, что нужно после этого для доступа - знать ID и пароль пользователя.
Процедуры авторизации и удостоверения
Для доступа к конфиденциальной деловой информации промышленный шпионаж прибегает к маскировке, благодаря чему социоинженеры могут выдавать себя за служащих, производителей оборудования или партнеров. В целях поддержания информационной безопасности, сотрудники, получающие запрос на совершение некоторого действия или на получение ценной информации, прежде всего должны удостовериться в личности инициирующего запрос.
Предлагаемые процедуры приведены в помощь сотрудникам, получающим запрос по любым коммуникационным линиям, таким как телефон, факс или электронная почта. Цель процедур заключается в авторизации – удостоверении или опровержении правомочности запрашивающего и самого запроса.
Профессиональный жаргон
Двойной обман (Reverse Sting) - такой вид жульничества, когда атакованный человек сам просит атакующего о помощи
Разгребание мусора (dumpster diving) – копаться в мусоре компании (часто в мусорных корзинах, стоящих на улице) в поисках выброшенной информации, которая или сама по себе является ценной, или является орудием атаки для социоинженера, как, например, внутренние телефоны или название должностей.
_ _
Я не знаю, как обстоят дела сейчас, но тогда, в прошлом, было достаточно легко определить, в каком мешке могло содержаться что-то стоящее. Мусор после подметания полов или отходы из кафе в огромных мешках набросаны небрежно, в то время как офисные корзины для мусора стоят в один ряд с белыми мешками, которые уборщики поднимают один за другим и аккуратно перевязывают.
Однажды, когда мы копались с друзьями в мусоре, то наткнулись на несколько листов бумаги, разорванных вручную. Они были не просто разорваны: кто-то не поленился и разорвал их на крошечные кусочки, после чего они были просто выброшены в огромный мусорный мешок. Мы взяли этот мешок и отнесли его в местный магазинчик, высыпали содержимое этого мешка на стол и стали собирать кусочки.
Мы все были заняты головоломкой, это был вызов гигантского составной картинки-загадки… Но выяснилось, что и награда была недетской! Когда мы ее собрали, получили полную учетную запись и список паролей к одной из самой важной компьютерной системе компании.
Оправдали ли наши усилия и риск все наши подвиги в разгребании мусора? Вы можете быть уверенными – оправдали. Даже в большой степени, чем вы предпологаете. Ведь риск нулевой. Так было в то время, да и сейчас все точно так же: до тех пор, пока вы не нарушаете чьих-либо владений, копание в чьем-либо мусорном ведре является на 100% легальным.
Конечно, телефонные фрикеры и хакеры не единственные, кто копается в мусоре. Полицейские отделы по всей стране регулярно роются в мусоре. Целая череда, начиная от главарей мафий и заканчивая мелкими воришками были признаны виновными на основании улик, найденных в их мусоре. Разведывательные службы, включая нашу разведку, прибегают к этому методу уже многие годы.
Возможно, эта тактика неказиста для Джеймса Бонда – киноман предпочтет увидеть, как герой обманывает злодея и соблазняет красавицу, а не то, как он стоит на коленях и роется в мусоре. Настоящие шпионы менее брезгливы, особенно когда действительно можно найти что-то стоящее среди банановой кожуры, кофейной гущи, мятых газет и консервных банок. И особенно, когда сбор информации не подвергает их опасности.
Direct connect (прямое соединение) - термин телефонных компаний, означающий, что соединение идет на определенный номер.
Deny terminate (отклонение запроса) - услуга телефонной компании, которая отвергает все входящие звонки на определенный номер.
Поскольку любой опытный мошенник достаточно искушен в искусстве обмана, Джонни с самого начала был уверен в том, что есть у этой проблемы есть решение. Изнутри Гондорфф уже звонил по PDO-телефонам и говорил: «Это Том из отдела ремонта телефонной компании. Мы проверяем вашу линию, наберите 9, а затем ноль-ноль». После набора девятки телефон выходил бы на внешнюю линию, а ноль-ноль позволял бы соединиться с оператором междугородних соединений. Его попытка не увенчалась успехом, поскольку человек из PDO, отвечавший на его звонок, уже знал эту хитрость.
Джонни повезло больше. Он обнаружил, что в этом самом исправительном центре есть десять телефонных линий, каждая из которых имеет прямое соединение с PDO. Естественно, Джонни столкнулся с некоторыми препятствиями, но как любой социальный инженер, он был уверен, что найдет обходные пути вокруг этих препятствий. На какую из этих линий выходит Гондорфф? Как связаны телефоны PDO и в исправительном центре? И как получить послание от Гондорффа так, чтобы оно не было перехвачено сотрудниками тюрьмы?
То, что кажется совершенно немыслимым обычным людям, например, получение секретных номеров федеральных учреждений, для опытного мошенника – не более чем несколько звонков. После двух-трех бессонных ночей, проведенных в раздумьях, однажды утром в голове Джонни сложился стройный план, состоящий из пяти пунктов.
Первое: надо выяснить телефонные номера десяти телефонов, непосредственно связанных с PDO.
Второе: он должен изменить параметры этих телефонных линий, чтобы они начали пропускать входящие телефонные звонки.
Третье: надо выяснить, в каком здании центра содержится Гондорфф
Четвертое: определить, какой телефонный номер закреплен за этим зданием.
Пятое: договориться с Гондорффом, когда ждать его звонка и не допустить прослушивания.
Проще пареной репы, подумал Джонни
Безопасность на основе терминалов (terminal-based security) - система обеспечения безопасности, которая основана на идентификации конкретного компьютерного терминала; этот метод обеспечения безопасности особенно популярен на мейнфреймах IBM.
Знакомый парень, который считался гуру в RSTS/E, подошел к стенду раньше нас. Мы с ним уже как-то соревновались во взломе внутреннего компьютера компании DEC, после чего его сообщники турнули меня. Теперь он был вполне уважаемым программистом. Мы обнаружили, что он пытался победить программу безопасности LOCK-11, но не смог этого сделать. Это еще больше убедило разработчиков в том, что их продукт действительно безопасен.
Состязание было предельно простым: проникаешь в устройство и получаешь доллары. Хорошая публичная реклама... До тех пор, пока кто-нибудь не проникнет внутрь и не заберет деньги. Они были настолько уверены в своем устройстве, что вывесили распечатку с некоторыми именами пользователей и соответствующими паролями. Причем, не простые учетные записи пользователей, но и все привилегированные.
На самом деле это было не столь большим откровением: каждый терминал в той системе, которая была реализована на выставке, подключался к одному из портов компьютера. Не надо быть семи пядей во лбу, чтобы понять: пять терминалов в холле конференции были сконфигурированы так, что посетитель мог войти только как обычный пользователь, без привилегий системного администратора. Похоже, что было только два пути: либо обойти все ПО, обеспечивающее безопасность - как раз для предотвращения чего и был рассчитан LOCK-11, или же отыскать путь, который разработчики не могли себе вообразить.
Enumeration - процесс, который можно назвать инвентаризацией, поскольку он выявляет все возможные приложения, работающие в системе, являющиеся мишенью хакера, платформу операционной системы и список пользователей, которые имеют доступ к этой системе.
После определения списка пользователей, программа может запустить «словарную» атаку на этот сервер. С этой атакой знакомы многие компьютерные специалисты и хакеры, но большинство обычных пользователей будут просто шокированы, узнав о ее существовании. Такая атака нацелена на раскрытие паролей всех пользователей системы при помощи перебора обычных слов.
Мы все иногда бываем ленивы, но меня не перестает восхищать та бесконечная тупость и полное отсутствие фантазии, которые овладевают людьми, когда они придумывают пароли для своих компьютеров. Большинство из нас хотят, чтобы пароль обеспечил защиту их компьютера, но в то же время выбирают его легким для запоминания, то есть, чем-то близким для нас. Инициалы, отчество, прозвища, имя жены, любимая песня, кино, пиво, наконец. Название улицы, на которой мы живем, или города, модель машины, любимой деревушки для отдыха на Гавайях или любимый ручей, где лучше всего клюет форель. Понимаете? Есть вполне ограниченный набор имен, мест или общеупотребительных слов, которые и перебирает «словарная» атака для каждого из пользовательских учетных записей.
Иван запускал трехступенчатую «словарную» атаку. Прежде всего, он проверил список из 800 самых распространенных паролей; в этом списке такие слова как secret (секрет), work (работа) и password (пароль). Далее программа пробует самые распространенные словарные слова, прибавляя к ним по одной букве или цифре в начале или в конце. Программа перепробовала это для всех пользователей - безуспешно.
Для следующей попытки, Иван отправился на сайт поисковой машины Google и отыскал там адреса тысяч сайтов с самыми разными словарями на разных языках. Среди них Иван выбрал сайт: www.outpost9.com/files/WirldLists.html, с которого (совершенно бесплатно) он скачал огромный список фамилий, имен, фамилий актеров, слов из библии и многого-многого другого.
Еще один популярный сайт того же типа предлагает университет в Оксфорде: ftp://ftp.ox.ac.uk/pub/worldlists.
Есть сайты, которые предлагают имена героев мультфильмов, слова из Шекспира, Толкина, Одиссеи или сериала «Звездные войны», также научные и религиозные термины и т.п. Одна компания предлагает список из 4,4 миллионов слов и имен всего за 20 долларов! Программа атаки проверяет все слова как в прямом, так и обратном написании - это еще один прием, который по мнению пользователей повышает их безопасность.
Brute force attack (атака грубой силы) - стратегия определения пароля, которая заключается в последовательном переборе всех возможных комбинаций буквенных, цифровых и специальных символов.
Именно по этой причине атакующий часто перекачивает файлы с паролями на свой компьютер и проводит атаку у себя, чтобы не оставаться on-line в сети атакуемой компании с риском быть обнаруженным.
Ивану повезло, и ждать пришлось не слишком долго. Через несколько часов программа предоставила ему пароли всех членов команды разработчиков. Но это были пароли для пользователей сервера АТМ6, а он уже знал, что исходных кодов игры, которые он разыскивает, на сервере нет.
Что же дальше? У него до сих пор нет пароля для входа на сервер АТМ5. Зная из своего опыта, что у пользователей не так много фантазии, он приходит к выводу, что члены команды имеют одни и те же пароли для работы на обоих серверах.
Именно так и оказывается на самом деле: один из членов команды использовал один и тот же пароль gamers на обоих серверах АТМ5 и АТМ6.
Для Ивана открылась дверь к поискам нужного кода, и вскоре он его отыскал. После того, как он нашел директорию с кодами и перекачал ее на свой компьютер, Иван сделал еще один шаг, характерный для опытных хакеров: он изменил пароль в одном «спящем» аккаунте с правами администратора, чтобы иметь возможность в будущем безо всяких проблем проникать на эти сервера и получать обновленные версии кодов.
Patch (заплатка) - так называют часть программы, которая при включении в работающую программу, устраняет определенную проблему.
Spyware (шпионские или подглядывающие дополнения) – специальное ПО, используемое для того, чтобы контролировать все, что происходит на компьютере, за которым следит атакующий. Одна из простейших форм такого «шпионажа» - отслеживать все сайты, на которые заходит человек, чтобы специально для него готовить набор интернет-рекламы. Другая – заключается в копировании всей активности пользователя - пароли, набранный на клавиатуре текст, электронные письма, чаты, послания, посещаемые интернет-сайты и все картинки, появляющиеся на его экране.
Silent install (тихая установка) – метод установки приложений ПО, о которых владелец компьютера ничего не знает.
Во время первого дня отсутствия г-на Витаро они позвонили, чтобы убедиться в этом, и дежурный ответил: «Г-на Витаро нет в офисе, так же как и его секретаря. Их не будет ни сегодня, ни завтра, ни послезавтра».
Первая же попытка обмана молодой сотрудницы увенчалась успехом, она, не моргнув глазом, помогла ему скачать «манускрипт», который на самом деле был версией широко распространенной шпионской программы, которую атакующий модифицировал для тихой установки. С использованием этого метода, установка ПО не может быть обнаружена никаким антивирусными программами. По каким-то непонятным причинам производители антивирусных программ не рекламируют продукты, которые могут выявлять коммерческое шпионское ПО.
Сразу же после того, как молодая сотрудница загрузила ПО на компьютер Витаро, Курт опять отправился на свою страничку на сайте Geosites и заменил файл doc.exe на настоящий текст книги, который он отыскал в интернете. Если бы кто-то решил заглянуть на этот сайт, то обнаружил бы там любительский неопубликованный текст книги.
После того, как программа была установлена, а компьютер перезагружен, она немедленно начала действовать. Когда Рон Витаро вернется в город через несколько дней и начнет работать, шпионское ПО будет передавать все набираемые им строчки, включая электронную почту и содержимое экрана компьютера, на бесплатный адрес одного интернет-провайдера на Украине.
Через несколько дней после возращения Витаро, Курт обнаружил, просматривая эту самую почту, одно конфиденциальное письмо, которое указывало, насколько далеко издательский дом Milard-Fenton
готов идти при заключении соглашения с автором. Имея в своих руках такую информацию, агенту автора было гораздо легче торговаться с издательским домом, не боясь потерять выгодный контракт. Что, естественно, означало получение более высоких комиссионных самим агентом.
Shoulder surfing (слежение из-за плеча) – так называют наблюдение за тем, что набирает пользователь на клавиатуре, чтобы узнать его пароль и позднее – воспользоваться им.
Когда большинство сотрудников ушли на обед, она вырезала подпись Картрайта из одной старой бумаги, приклеила ее на собственную версию письма и замазала границы наклейки белой замазкой. Затем она сделала ксерокопию письма, потом – копию с копии и границы наклейки стали совершенно незаметными.
После чего она послала бумагу с одного из факсов, расположенных неподалеку от офиса г-на Картрайта.
Еще через три дня она задержалась на работе и дождалась, пока все не ушли. Она зашла в офис Юхансона и попыталась войти в сеть с его именем и паролем “marty63”. Все сработало.
Через несколько минут она нашли файлы с описанием продукта Cobra
273 и перегрузила их на диск.
Диск был упрятан в сумочку, и она отправилась на стоянку, обдуваемая свежим ветерком. Она планировала встретиться этим же вечером с журналистом.
GZIP («зипование» файлов) – архивация файлов при помощи программы Linux GNU.
Поэтому он согласился заархивировать и переслать файлы. Шаг за шагом, ощущая локоть Карла, Гарри объяснял своему собеседнику, как провести процедуру сжатия всех программ в один компактный файл. Он также назвал имя файла, которым надо назвать сжатый файл – «newdata» – сказав, что такое название поможет избежать путаницы с предыдущими испорченными версиями.
Карлу пришлось объяснить следующий шаг дважды, пока Гарри не уловил суть, поскольку это был главный элемент в их игре – «чехарда» – о котором мечтал Карл. Гарри должен был позвонить в центр разработки Миннеаполиса и сказать: «Я хочу послать вам некоторый файл, а затем мне надо, чтобы вы мне его переслали». Естественно, все это должно быть «упаковано» в правдоподобные мотивировки. Гарри смущало, что он должен сказать: «Я собираюсь послать вам файл»”, тогда как он не собирался ничего посылать. Он должен был убедить собеседника в центре разработки, что файл придет от него, в то время как на самом деле файл придет к ним из Европы. «Почему я должен говорить, что файл придет от меня, тогда как он на самом деле придет из-за границы», – хотел понять Гарри.
«Парень в центре разработки – полный лопух», – объяснил Карл. – «Он будет думать, что просто помогает коллеге из другого отдела в США, получая файл от нас и перенаправляя его нам».
Гарри наконец понял. Он позвонил в центр разработки и попросил оператора соединить его с Вычислительным центром, где к телефону подошел техник. Голос его звучал так же молодо, как голос самого Гарри. Гарри поприветствовал его и сказал, что звонит из производственного отдела компании в Чикаго и ему никак не удается переслать файл коллеге по работе: «У нас проблемы с маршрутизатором и я не могу попасть в их сеть. Я хотел бы переслать файл вам, а потом я перезвоню, проверю, что вы его получили и вы перешлете его на компьютер моего коллеги».
Техник согласился. Гарри спросил у него адрес гостевого (или анонимного) FTP в компьютерном центре – устройства, которое позволяет любому желающему пересылать файлы в какую-то директорию на компьютере и забирать оттуда файлы без авторизации и пароля. Да, такой доступ был и Гарри получил внутренний IP-адрес для доступа к нему.
Анонимный FTP (Anonymous FTP) - программа, которая обеспечивает доступ к удаленному компьютеру, даже если у вас нет на нем эккаунта, при помощи FTP-протокола (протокол передачи файлов). Хотя доступ в анонимный FTP производится без пароля, обычно права доступа пользователей к определенным директориям все же ограничены.
Имея в своем распоряжении эту информацию, Гарри позвонил в зарубежный центр разработки. Сжатый и упакованный файл уже был готов и Гарри дал указание, как его переслать на анонимный FTP. Менее чем через пять минут файл был в американском Центре разработки.
Программа в действии
Многие убеждены в том, что результаты обучения, пусть даже фундаментальным основам, со временем сходят на «нет», если не заботиться о постоянном обновлении собственной базы знаний. И именно поэтому в области социоинженерной защиты крайне важно поддерживать знания сотрудников на должном уровне. Действующая программа информационной безопасности призвана поддерживать этот уровень компетентности.
Один из способов «заставить» служащего принимать решения, не забывая об аспектах безопасности, это превратить саму информационную безопасность в одну из обязанностей, пусть и несколько специфическую. Так можно добиться неплохого результата в том смысле, что сотрудник найдет свое место в деле информационной защиты предприятия. Можно сказать и так – если не прибегнуть к этому методу, то в штате возникнет синдром «безопасность-это-не-моя-забота».
Если обобщенная ответственность за программу безопасности ложится на профессионала – служащего отдела безопасности или IT-департамента, то программа в своем развитии может рассматриваться как совместный проект, в рамках которого один из отделов занимается проведением тренингов.
Реализованная и развивающаяся программа – дело творческое и требует поиска всех возможных каналов воздействия на персонал, причем сообщения и события не должны оставаться незамеченными: хороший пример должен быть на виду. Методология должна задействовать как традиционные способы предоставления информации, так и нетрадиционные – все, что может предложить воображение разработчика программы. Как и в случае с обычной рекламой, на помощь приходит юмор и талант. А разнообразие форм и словосочетаний поможет избежать скучной повторяемости, которую нормальные люди стараются вообще игнорировать.
Действующая программа повышения компетентности может включать в себя:
·
Предоставление копий данной книги всем слушателям программы.
· Тематические вставки в корпоративной литературе или на интранет-сайте (выделяющиеся короткие блоки в тексте, привлекающая внимание графика и т.п.)
· Позиционирование Человека месяца от Безопасности.
· Настенные плакаты в комнатах отдыха и в рекреациях.
· Заметки на доске объявлений в холле.
· Приложения – небольшие брошюрки в конверте с очередным чеком.
· Напоминания по электронной почте.
· Использование тематических экранных заставок на рабочих местах, ориентированных на информационную безопасность.
· Широковещательные сообщения в системе голосовой почты.
· Распечатка стикеров с надписями вроде «Вы уверены, что говорите с тем, с кем Вы думаете, что говорите?»
· Установка напоминаний, возникающих на экране компьютера при входе в систему или по окончании рабочего дня. Например, «Если Вам необходимо отправить письмо, содержащее сведения ДСП, не забудьте зашифровать вложенный файл!»
· Включение категории «компетентность в области информационной безопасности» в стандартные отчеты о проделанной работе и в ежегодные корпоративные обзоры.
· Установка дисплея, например, в кафетерии, на котором время от времени появляются напоминания.
· Распространение на фирме вкладышей и брошюр.
Информационная угроза – величина постоянная, и напоминать об этой угрозе надо с не меньшим постоянством.
Промышленный шпионаж
Угроза информационной атаки против правительственных агентств, корпораций или университетских городков общеизвестна. Почти каждый день СМИ сообщают о новом компьютерном вирусе, отказе сервисных служб из-за атаки хакеров или краже информации о кредитных карточках с интернет-сайта электронного магазина.
Мы читаем также и о случаях промышленного шпионажа, когда Borland
обвиняет Symantec в краже своих секретов, а Cadence Design Systems выдвигает обвинения в краже кодов против своего конкурента. Многие бизнесмены читают такие истории и думают, что с их компанией уж конечно ничего подобного случиться не может.
Однако, это случается каждый день.
Проникновение
Итак, за несколько часов я успел поговорить с тремя или четырьмя людьми и уже был готов проникнуть в компьютеры компании. Для этогоТеперь оставалось сделать совсем немного.
На первом месте по важности для меня был номер телефона, по которому можно было бы «достучаться» до сервера разработчиков. Я вновь позвонил в GeminiMed и попросил оператора соединить меня с IT-отделом. Там яЯ попросил помощи, и меня переключили на соответствующего человека. Я притворился «чайником», ничего не понимающим в компьютерах. «Я дома и только что купил ноутбук. Мне нужно его настроить, чтобы удаленно работать с сетью рабочей группы».
Все настройки для меня были очевидны, так что мне пришлось набраться терпения и выслушать техника, который мне все подробно объяснилподробные объяснения. Мое терпение вознаградилось, когда «консультант» наконец-то озвучил номер diap-up
соединения. Он сказал номер, как нечто совершенно обыденное. Я попробовал и сказал в ответответил, что все в порядке.
Я дозвонился и обнаружил, что имею дело с терминальным сервером, соединенным с каждым из компьютеров во внутренней сети. Через несколько После нескольких неудачных попыток я нашел одну из станций, на которой был гостевой вход без пароля. Некоторые операционные системы предоставляют гостевую учетную запись. Обычно пользователь должен установить пароль на эту запись или вообще блокировать ее, но иногда об этом не знают или забывают по каким-то причинам забывают. В моем случае, было похоже, что ОС была только что установлена, а про настройки гостевого входа просто-напросто забыли.
Сленг
Хеш пароля. Строчка символов, которая получается в результате однонаправленного шифрования пароля. Такое шифрование необратимо, т.е. считается, что невозможно восстановить пароль из хеша.
Благодаря гостевой учетной записи теперь у меня был реальный доступ к одному из компьютеров, на котором установлена старая версия UNIX. На ОС UNIX
обычно есть файл, в котором записаны пароли всех пользователей, авторизованных на вход.
Эти пароли зашифрованы и хранятся в виде хешей. При этом, например, пароль «justdoit» в этом файле представляется тринадцатью символами.
Когда, допустим, Билли Боб хочет передать файлы на компьютер, он обязан ввести свои имя пользователя и пароль. Система шифрует введенный им пароль и сравнивает его с хешем из парольного файла. Если результат сравнения положителен, пользователь успешно авторизуется.
В теории пароль не может быть восстановлен из хеша и, отчасти поэтому, парольный файл обычно доступен всем пользователям. На практике же, что смешнодостаточно забавно, достаточно бывает инициализировать атаку по словарю (см. об этом в Главе 12). Итак, я вскрыл один пароль – «Janice» - принадлежавший некоему Стивену Крамеру. Попытавшись использовать этот пароль на одном из нужных мне серверов, я разочаровался. Обидно, ведь это могло бы спасти сэкономить кучу времени и сил.
И это означало, что придется перехитрить Крамера и заставить его рассказать мне новый пароль. А для этого я решил подождать выходных.
Остальное вы уже знаете. В субботу я позвонил Крамеру, наврал ему все про червей вирусы и восстановление файлов, все, чтобы рассеять его подозрения и сомнения.
А что насчет истории с заполнением анкеты, спросите вы? Здесь я рассчитывал, что Крамер давно забыл, что именно он записывал в этих анкетах. Новый сотрудник обычно заполняет кучу бумаг, а годы спустя уже никто не помнит, что это были за бумаги. И, в конце концов, если бы Крамер не сломался, у меня был еще длинный список имен...
С его паролем и именем пользователя я получил доступ к серверу, немного побродил по файловой системе и в итоге нашел раздел с проектной документацией STH-100. Так как я понятия не имел, что конкретно нужно заказчику, я переписал все содержимое на дэд-дроп, которым в этот раз был анонимный и бесплатный FTP-сервер в Китае. Оставим за клиентом право копаться в этих данных.
Сленг
Дэд-дроп (dead drop) – место для «складывания» данных. Такое мМесто, которое скорее всеготочно не найдут те, для кого эти данные не предназначаются.В случае классического шпионажа, дэд-дроп – это ниша за вынимающимся кирпичом. В мире компьютерных хакеров – это обычно сайт на территории третьей страны.
Проникновение в полицию
Артуро решил свою задачу таким образом. Он начал с того, что получил номер телефона ближайшего центра копирования, позвонил туда и узнал их номер факса.
Затем он позвонил в офис районного прокурора и попросил отдел протоколов. Когда его соединили с отделом протоколов, он представился следователем из района Lake County и сказал, что ему надо поговорить с секретарем, который протоколирует результаты обысков.
– Это я, - ответила девушка
– Прекрасно, - сказал Артуро. - Мы делали обыск сегодня ночью и я пытаюсь отыскать протокол.
– Я могу его найти, если вы назовете адрес, где происходил обыск, – сказала девушка.
Он дал свой адрес, и она радостно ответила:
– О да, я хорошо знаю об этом – «нарушитель авторских прав»!
– Именно этот. Мне нужен протокол обыска и его результаты.
– Они у меня в руках.
– Прекрасно! Послушайте, я сейчас далеко от офиса на встрече с секретными агентами, которые приехали как раз по поводу этого случая всего на 15 минут. А я - пустая голова - оставил свою копию дома и просто не знаю, как мне быть. Вы не могли бы мне прислать их сюда?
– Нет проблем. Я сделаю копии - приходите и забирайте их.
– Отлично, – сказал он, – просто отлично. Правда, я сейчас на другом конце города. Вы не могли бы мне выслать их по факсу?
Это вызвало некоторое замешательство:
– У нас здесь нет факса в отделе, он есть в секретариате, наверное, они дадут мне возможность им воспользоваться.
– Давайте я позвоню в секретариат и договорюсь, – произнес Артуро.
Женщина в секретариате сказала, что она с удовольствием поможет, но кто будет за это платить? Ей нужна была строка для отчета.
– Я узнаю и перезвоню, – сказал он.
Он опять перезвонил в офис районного прокурора, представился полицейским офицером и просто спросил секретаршу:
– Какой код оплат для офиса прокурора?
Она ответила ему безо всяких вопросов. Он перезвонил в секретариат и назвал этот код, после чего отправился получать все желаемые документы.
Проникновение в помещения
Почему чужак может так легко притвориться сотрудником компании? Почему он так успешно может играть эту роль, что даже люди, занимающиеся вопросами безопасности компании, не подозревают обмана?
Почему так легко ввести в заблуждение людей, оберегающих интересы своей компании? Людей, которые прекрасно знают о мерах безопасности и подозрительно относятся к незнакомым людям?
Почитайте истории, рассказанные в этой главе, и заодно задумайтесь над этими вопросами.
Прощание с сотрудниками
Мы уже говорили о необходимости соблюдения четких процедур для прощания с теми сотрудниками, которые имели доступ к важной для компании информации, паролям, номерам телефонов интернет-доступа и т.п. Должны существовать определенные схемы защиты от уходящих из компании сотрудников, которые имели различные степени доступа к информации. Достаточно сложно организовать эффективную систему защиты информации от внешнего вторжения хакеров, но еще сложнее это сделать от атаки бывших сотрудников.
Еще один важный шаг: после того, как увольняется сотрудник, который занимался архивированием информации и имел доступ к хранилищу данных, инструкция должна предписывать, чтобы его имя немедленно исключалось из списка доступа к этому хранилищу.
В 16 главе представлена подробная информация на эту важнейшую тему, но имеет смысл и здесь перечислить ключевые соображения по поводу безопасности, своеобразную квинтэссенцию высказанных соображений:
· при увольнении сотрудника должен тщательно выполняться заранее проработанный список мероприятий, причем особое внимание должно уделяться уходу людей, имевших доступ к ценной информации;
· при увольнении сотрудника его доступ к компьютерам компании должен быть прекращен немедленно, а еще лучше - до того, как сотрудник покинет помещение;
· должна быть разработана четкая процедура восстановления утерянных “бэджей”, ключей или электронных устройств доступа;
· охранники компании должны строго соблюдать правила проверки документов людей, проходящих на территорию компании без “бэджей”, тщательно сверяя их имена со списком доступа.
Следующие шаги могут кому-то показаться необязательными или слишком дорогими для одних компаний, но вполне уместны для других. Среди этих более строгих мер безопасности можно выделить:
· электронные “бэджи” в сочетании со сканерами для этих “бэджей” на входе; каждый проходящий сотрудник прикладывает или вставляет свой “бэдж” в сканер для мгновенной проверки - является ли он все еще сотрудником компании и разрешен ли ему вход в здание; сотрудники охраны не должны полностью полагаться на электронику, отслеживая попытки проскользнуть в здание посторонних людей;
· все служащие подразделения, из которого уходит сотрудник (особенно, если его увольняют), должны сменить свои пароли. Вам кажется это слишком суровым требованием? Много лет спустя, после краткосрочной работы в компании General Telephone, я узнал, что сотрудники службы безопасности компании Pacific Bell “попадали на землю от хохота”, когда General Telephone опять взял меня на работу. К чести General Telephone надо сказать, что когда они уволили меня и поняли, что на них работал опытный хакер, они сменили пароли у всех сотрудников компании!
Вы не должны превращать свое учреждение в тюрьму, но в то же время обязаны поставить преграду на пути тех, кто вчера был уволен, а сегодня пришел для того, чтобы нанести вред вашей компании.
Просто скажи «Нет»
В первой истории этой главы клерк телефонной компании RCMAC
просто не должен был менять статус десяти телефонных линий, не имея специального распоряжения. Сотрудники обязаны не только знать политики и процедуры обеспечения безопасности; сотрудники должны осознавать, насколько важны эти политики для предотвращения ущерба компании.
Политики в области безопасности должны предотвращать отклонения от четкого соблюдения правил при помощи системы поощрений и наказаний. Естественно, политики должны быть реалистичными и не возлагать на сотрудников слишком тяжелое бремя, которое те, скорее всего, будут игнорировать. Специальная программа, разъясняющая суть политик безопасности, должна убедить сотрудников компании в том, соблюдение правил в сфере обеспечения безопасности может оказаться жизненно важным для компании и ее сотрудников.
Аналогичные предосторожности надо предпринимать, предоставляя информацию по телефону незнакомым людям. Независимо от того, насколько убедительно представляется звонящий, независимо от его и вашего положения в компании, никакую секретную информацию нельзя предоставлять посторонним людям до тех пор, пока их личность не установлена наверняка. Если бы эта политика строго соблюдалась, план социальных инженеров провалился бы и заключенный Гондорфф никогда не смог бы планировать новое мошенничество со своим напарником Джонни.
Главное, что я не устаю повторять снова и снова на протяжении всей книги: проверяйте, проверяйте и проверяйте. Ни один запрос не должен приниматься, пока не установлена личность человека его запрашивающего.
Пыль в глаза
Социоинженерная атака в принципе направлена не только на активы предприятия. Иногда жертвами становятся клиенты компании.
Работа в отделе по обслуживанию клиентов приносит служащему немного и разочарованяий, немного и радости радость и, без сомнения, такая работа неизбежно означает толику невинных ошибок – некоторые из которых отражаются в достаточно неприятных последствиях для рядового рядовых клиента клиентов компании.
Районный суд, офис секретарей
– Я хотел бы назначить дату слушания по нарушению правил, – сказал Поль.
– Хорошо, я могу предложить вас 26 число следующего месяца, – ответил секретарь.
– Я хотел бы назначить предварительное слушание.
– Вы хотите проводить предварительно слушание из-за нарушения правил?
– Да.
– Хорошо. Мы назначаем предварительное слушание завтра днем или утром. Когда вам удобно?
– Днем.
– Предварительно слушание назначается на завтра в 1:30 дня в комнате номер 6.
– Спасибо, я обязательно буду там.
Расплата
Около недели она думала о том, как можно отплатить своим обидчикам. Месяц назад один парень из отраслевого журнала пробовал завязать с ней отношения. Он хотел получить информацию о запуске нового продукта. Через несколько недель он позвонил ей на работу и сказал, что если она пошлет ему предварительную информацию о продукте Cobra 273, то он пришлет цветы, а если информация будет настолько интересной, что ее опубликуют в журнале, то он специально приедет к ней из Чикаго и сводит ее в ресторан.
Вскоре после этого она оказалась в кабинете молодого сотрудника Юхансона, когда он входил в корпоративную сеть компании. Безо всякой задней мысли она обратила внимание на его пальцы, когда он набирал пароль (слежение из-за плеча - так еще иногда называется этот тип поведения). Пароль был “marty63”.
В ее голове начал вызревать план. Она вспомнила, что не так давно печатала бумагу по указанию г-на Картрайта. Она отыскала оригинал и напечатала новую версию, используя практически все выражения оригинала.
КОМУ: С.Пелтон, ИТ-департамент
ОТ КОГО: Л.Картрайт, Служба развития
Мартин Юхансон будет заниматься специальными проектами в моем отделе.
По этой причине я прошу дать ему доступ ко всем серверам, которые использует группа разработки. Профиль безопасности г-на Юхансона должен быть установлен таким, чтобы он имел все те же права, что и разработчик продуктов.
Луи Картрайт
Распространение информации
В этой секции затрагиваются вопросы распространения информации, в основе которых лежат проблемы идентификации личности и определения необходимости запроса.
Рассказ Дуга
С Линдой у меня не все шло хорошо, но встретив Эрин, я понял, что именно она создана для меня. Линда была похожа ... как бы выразиться поточнее, что ли импульсивным человеком.
Максимально мягко я сказал, что ей пора уезжать и даже помог уложить вещи, подарив при этом парочку своих любимых CD-дисков. Когда она уехала, я сразу же пошел на рынок, купил новый замок и тем же вечером поменял его. На следующее утро я позвонил в телефонную компанию и попросил сменить номер моего телефона, причем пожелал сделать это в тайне.
После этого я приступил к «осаде» Эрин.
Рассказ Линды
Я и сама хотела уйти, только не решила когда. Но согласитесь – никому не понравится быть отвергнутой. Поэтому я решила показать ему, какое он ничтожество.
Придумать месть не составило особого труда. Наверняка в деле была замешана другая женщина, иначе он не заставил бы меня убраться так стремительно. Поэтому я решила позвонить ему поздно вечером, когда он меньше всего этого ждал.
Я дождалась ближайшей субботы и позвонила ему около 11 часов. Оказалось, что он сменил номер своего телефона, а новый номер нигде нельзя было узнать. Все это показывает, каким подлецом был этот Дуг!
Естественно, после первой неудачи я не отказалась от своих попыток. Я работала в телефонной компании, и у меня остались знания об устройстве телефонных линий. Кроме того, уходя от Дуга, я унесла с собой несколько бумаг, среди которых оказалась квитанция, которую оставили техники, ремонтировавшие его телефон несколько месяцев назад. На этой квитанции был указан номер кабеля и телефонной пары для телефона в его квартире. Дело в том, что вы можете поменять номер телефона по своему желанию, но номер кабеля и медной пары от вашего аппарата останутся теми же. Если вы знаете (как это знала я), как происходит телефонное соединение, то, зная номера кабеля и медной пары, сможете узнать и номер телефона, в каком бы секрете ни хранил его владелец.
У меня был список всех телефонных узлов, я нашла ближайший к тому месту, где жила вместе с этим подлецом, и позвонила туда. Естественно, никто не ответил. Где находятся телефонисты, когда они действительно нужны?! Подождав минуту, я стала звонить на другие телефонные узлы и, в конце концов, нашла того, кто мог бы мне помочь. К сожалению, он находился далеко и сидел, скорее всего, задрав ноги на стол. Я знала, что он не захочет сделать то, что мне нужно, но у меня был план.
– Это Линда, отдел ремонта, – начала я. – У нас аварийная ситуация. Отказал один из элементов. Местные техники пытаются устранить неполадку, но у них ничего не выходит. Вы должны поехать на телефонный узел района Вебстер и посмотреть, доходит ли туда сигнал из центрального офиса.
После этого я сказала ему:
– Я перезвоню, когда вы туда доберетесь. – Поскольку, естественно, не могла допустить, чтобы он самостоятельно звонил в отдел ремонта и спрашивал меня.
Я понимала, что он с большой неохотой вылезет из своего теплого кресла и отправится по темной дождливой дороге на телефонный узел Вебстер, но прозвучали слова «аварийная ситуация» и он не мог отказаться или сказать, что слишком занят.
Я перезвонила ему через 45 минут на телефонный узел Вебстер и попросила проверить кабель 29 и медную пару 2481. Он сделал все, что нужно, и ответил, что сигнал есть. Это я знала и без него.
– Хорошо, – сказала я, – тогда проведем проверку линии.
Это означало установление номера телефона при помощи специального устройства с определителем номера. Он проделал это, ничего не зная о том, какой номер определяет - закрытый или недавно измененный - он просто выполнял мои указания. Все сработало просто прекрасно.
После того, как я узнала необходимый мне номер, я поблагодарила его, пожелала спокойной ночи и сказала, что мы продолжим искать проблему, которая вероятно находится вне этого района.
Ну хватит, пожалуй, говорить об этом Дуге, который пытался спрятаться от меня, сменив номер телефона. Главное удовольствие - впереди!
Совет Митника
После того, как социальный инженер узнал подробности работы компании, он может наладить контакты с ее сотрудниками. Компании должны специально готовиться к возможным атакам со стороны бывших или настоящих сотрудников, у которых есть повод быть недовольными политикой компании. Имеет смысл внимательно изучать личные дела сотрудников, чтобы понять, кто способен на эти действия. Правда, чаще всего, таких потенциальных «врагов» крайне сложно выявить. Единственная возможность повысить уровень своей безопасности - это тщательно проверять личность всех посетителей и возможность доступа сотрудников к той или иной информации.
Разбор полетов
Вся эта махинация основана на одном из фундаментальных методов социальной инженерии. А метод этот заключается в получении доступа к информации, которую атакуемый служащий должен был бы расценивать, но не расценивает в качестве служебной тайны.
Первый банковский служащий, с которым разговаривал Оскар Грейс, подтвердил значение термина «Идентификатор коммерческого банкаКоммерческий идентификатор». Второй снабдил атакующего номером контактного телефона и ключевой информацией, которой без сомнения является номер идентификатора. Клерк думал, что все эти данные безвредны и незначительны, тем более, что он разговаривал, по его мнению, с представителем той самой компании CreditChex.
Все этиЭти предпосылки сделали возможным третий звонок. У Грэйс на руках были все нужные карты: он позвонил в CreditChex от имени служащего Банка Нэшнл и получил то, за чем охотился.
В нашей истории Грейс не только умеет красть информацию, как карманник кошельки, но и хорошо разбирается в людях. Он знает, что ключевой вопрос можно спрятать среди обыденных и понимает, как использовать личные вопросы для оценки расположенности своей жертвы.
Защититься от ошибки, которую допустил первый клерк практически невозможно. Идентификатор БанкаКоммерческий идентификатор – это настолько привычная и широко известная вещь в банковской сфере, что кажется несущественной. Но второй клерк, Крис, повела себя безрассудно, так как обязана была идентифицировать личность звонящего человека – проверить, является ли он тем, за кого себя выдает. По крайней мере, можно было спросить номер телефона и имя, чтобы затем перезвонить по этому номеру. Таким образомПотому что, если впоследствии возникнут вопросы, то можно будет обратиться к записям об именах и телефонных номерах звонивших.
Комментарий Митника
Коммерческий идентификаторИдентификатор Коммерческого Банка в данной ситуации аналогичен паролю. И если банковские служащие будут относиться к этому ID, как к PIN-коду карточки для банкомата, то и ценность этого идентификатора будет восприниматься адекватно. Задумайтесь, а нет ли на вашей фирме внутреннего кода или номера, к которому служащие относятся недостаточно внимательно?
Еще лучше, воВо всех отношениях, правильней было бы перезвонить в CreditChex по заранее известному номеру, а не по тому, который сказал сам звонящий. Тогда появилась бы возможность проверить, работает ли там сейчас этот человек и если работает, то проводит ли он опрос по телефону. Конечно, благодаря современной атмосфере и сжатым графикам работы, требовать такой доскональной верификации от служащих тяжело. Нужно понимать, что,но сотрудник обязан перезвонить, как только если у него возникли некоторые малейшие подозрения.
В этой социоинженерной атаке Диди начала с «уточнения» телефонных номеров трех отделов компании-мишени. Это не представляло трудностей, так как нужные ей данные не скрывались, - тем более для своих сотрудников. Социальный инженер умеет выглядеть и говорить, как твой коллега, а Диди владела своей профессией в превосходстве. Один из полученных телефонных номеров привел ее к коду калькуляции (субсчету) отдела, без которого вряд ли было возможно получить внутренний справочник.
Во время работы ей понадобилось: приветливо вести разговор, использовать корпоративный язык, и, в последнем эпизоде, немного словесно заиграть со своей жертвой.
И, кроме прочего, присутствовал один непростой элемент – опыт манипулирования, отточенный практикой и неписаными уроками поколений самоуверенных людей.
Вы, наверное, не первый раз замечаете, что знание внутреннего, профессионального языка компании – корпоративного сленга, структуры компании и обязанностей служащих тех или иных подразделений, - все это неотъемлемая часть багажа знаний ухищрений предприимчивого социоинженера.
Комментарий Митника
Мы часто отвечаем на вопросы только благодаря доброте своей душевной доброте. Особенно, если кто-то задает справедливый и кажущийся разумным вопрос. Социоинженеры знают об этом и не брезгуют пользоваться наивностью своих жертв.
Джейн, без сомнения, знала, что данные о клиентах – это конфиденциально. Она бы никогда не рассказала одному клиенту о другом. А тем более постороннему человеку.
Но, как водится, в разговоре с коллегами действуют иные правила. Джейн всегда готова помочь человеку из своей команды, ведь в работе надо помогать друг другу. Тот парень из отдела расчетов с клиентами и сам мог бы найти интересующие его данные, если бы не вирус. А так она с удовольствием ему помогла выйти из затруднительной ситуации.
Арт выудил ключевую информацию, задавая различные вопросы, ответы на которые его совершенно не интересовали. Однако, если быть точным, то номер счета, например, мог пригодиться в последствии, если бы служащий что-то заподозрил в процессе диалога. Клиентский счет позволит выглядеть более осведомленным, если придется искать очередную возможность выудить данные.
Джейн даже не приходило никогда в голову, что ее могут обмануть подобным образом, представившись сотрудником ее же компании. И винить Джейн не в чем, на самом деле. Никто и никогда не предупреждал ее об атаках на информацию, подобных той, которую инициировал Арт. И она никогда не слышала о правилах идентификации телефонного собеседника. Таких правил нет в ее рабочих инструкциях, ни к чему подобному ее не подготавливали, и ее менеджер никогда об этом не думал.
Когда Томми звонил Джинни, он просто входил к ней в доверие. А когда пришло время для настоящей атаки, она уже не сопротивлялась и воспринимала Томми именно в качестве того человека, чьим именем он прикрывался: как менеджера одного из филиалов их сети видео-проката.
И почему она не должна была его принять – она уже была с ним знакома. Конечно, она «встречала» его только по телефону, но у них возникло знакомство на почве деловых отношений, – а это отличная основа для доверия. Как только она приняла его в качестве авторизированного менеджера своей компании, доверие уже появилось, а остальное было пустяком – не сложнеекак прогулки прогулка в парке.
Комментарий Митника
Обманная техника, позволяющая завоевывать доверие к себе – это один из наиболее эффективных приемов социоинженерии. Вы должны думать о том, с кем вы разговариваете на самом деле. Знаете ли вы этого человека на самом деле? В некоторых, пусть и редких, случаях ваш собеседник может оказаться вовсе не тем, за кого себя выдает. Это факт, и в соответствии с этим фактом мы все должны учиться наблюдать, думать и задавать грамотные вопросы.
Подумайте о своей собственной реакции на просьбу незнакомого стороннего человека... Если на пороге вашего дома появится незнакомец в потрепанной одежде, вы вряд ли захотите его впустить. Но если это будет дорого хорошо одетый человек в блестящих ботинках и с безупречной прической, вежливый и улыбающийся, вы будете к нему гораздо менее подозрительны. Вполне возможно, что это Джейсон из Пятницы 13-ое, но вы, тем не менееоднако, доверитесь ему, пока он нормально выглядит и не держит в руке окровавленное мачете.
Менее очевидно для нас то, что мы судим о телефонном собеседнике точно таким же образом. Этот человек говорит со мной так, как будто пытается что-то продать? Он Его голос дружелюбный и располагающий располагает к разговору и дружелюбный или я чувствую некоторую враждебность и давление? Похожа ли его или ее речь на речь образованного человека? Мы неосознанно, бегло и незаметно для себя оцениваем все эти и множество других различных факторов. Причем чаще всего для этого нам достаточно нескольких секунд разговора.
Комментарий Митника
Человеческая натура заставляет нас не думать об обмане, во всяком случае до тех пор, пока что-то не подскажет нам обратное. Мы взвешиваем риск, но практически всегда наши сомнения играют на руку тем, кого стоит опасаться. Это часть обычного поведения цивилизованных людей... во всяком случае тех цивилизованных людей, которых никогда не обманывали на крупную сумму денег.
Родители учат детей не верить посторонним. Возможно, стоит придерживаться этого старинного правила и на современном рабочем месте современности.
На работе люди постоянно обрабатывают запросы. У тебя есть email
адрес электронной почты этого парня? Где последняя версия клиентского реестра? Кто отвечает за эту часть проекта? Пожалуйста пришли мне последнее обновление проектных файлов. Мне нужна более новая версия исходников.
Догадайтесь, о чем я. Иногда люди, спрашивающие вас о чем-то – это люди, которых вы прежде в лицо не видели, люди, работающие в совершенно другой части вашей компании.
Нет ничего странного в том, что люди легче принимают того, кто уверяет, что является коллегой, кто знаком с деловыми процессами фирмы и знает сленг. Социоинженер из последней истории получил преимущество, изучив когда изучил подробности рекламной акции, выдав выдал себя за сотрудника и попросив попросил помощи у коллеги из соседнего филиала. Такая ситуация более чем возможна в сети розничных магазинов или в компании с большим количеством подразделений, где люди физически разъединены и вынуждены работатьсотрудничают с коллегами, которых никогда не видели ни на работе, ни в свободное от работы время.
Состоявшийся Настоящий социоинженер вряд ли остановится перед взломом базы данных NCIC. И зачем ему лишний раз раздумывать, когда достаточно позвонить в местное полицейское управление и деловито пообщаться, играя роль в роли осведомленного человека? А в следующий раз, в крайнем случае, можно перезвонить в другое управление и повторить все сначала.
Вы, наверное, спрашиваете себя, а разве не рискованно звонить в полицейское управление, шерифу или в дорожную инспекцию? Атакующий развеРазве атакующий не рискует?
Ответ отрицательный... обоснованно Обоснованно отрицательный. Люди, работающие в правоохранительных органах, как и военные, взращены на уважении к званию, вышестоящему чину. И пока социоинженер маскируется под капитана или майора – присваивает себе более высокое звание, чем то, которым располагает его собеседник – он в безопасности. Жертва прошла хороший урок на своей службе и не привыкла задавать вопросы начальникам. Другими словами, звание имеет свои привилегии, и в частности, привилегию не затрудняться вопросами со стороны подчиненных.
Но не думайте, что чинное уважение присуще только военным или полицейским. Социоинженер может воспользоваться оружием доверия к должности и в деловых кругах, что неоднократно подтверждается историями из этой книги.
Атакующий сплел сеть-ловушку и заставил попасть в нее свою жертву, которая столкнулась с несуществующей проблемой. В нашем случае, еще до того, как проблема проявилась, атакующий знал, что она обязательно появитсявозникнет, так как сам собирался вызвать эту проблему. Далее он представил себя, как в качестве человека, способного разрешить возникшие трудности.
Эта стратегия отлично подходит для злоумышленника. Все, что необходимо сделать, это заранее позиционировать себя для мишени в качестве человека, способного помочь в затруднительной ситуации. Мишени остается самому позвонить После этого мишень сама позвонит и обратиться за помощью к атакующему, который только этого и ждет.
Подобная афера попадает под категорию реверсивной социоинженерии. Атакующий, которому звонит жертва по доброй воле, получает огромный кредит доверия. Согласитесь, если я сам звоню сотруднику службы поддержки, я не буду проверять его личность и полномочия их сотрудников. Эту работу за меня уже «сделал» злоумышленник.
Чем больше знает жертва, тем подозрительнее она отнесется к производимым на ней манипуляциям, так что в подобной афере атакующий постарается найти мишень, слабо знакомую с компьютерами. Такая жертва быстрее согласится «просто скачать эту небольшую программку», так как слабо представляет последствия и степень потенциального риска. Кроме того, сильно сокращаются шансы, что жертва понимает ценность информации, к которой может получить доступ посторонний посредством захваченного компьютера.
Сленг
Удаленная командная строка (rshell) – неграфический интерфейс, принимающий текстовые команды и исполняющий определенные функции ОС или программы. Атакующий, используя технические недостатки узла-жертвы или установивший троянскую систему, вместе с этим, скорее всего, получает удаленный доступ и к командной строке захваченной операционной системы.
Реверсивная социальная инженерия – социоинженерная атака, при которой нападающий создает все условия для того, чтобы жертва попала в затруднительное положение и при этом попросила помощи у самого нападающего. Другая разновидность реверсивности играет может быть направлена против злоумышленника. Жертва при этом распознает атаку и, используя психологические методы, пытается выяснить как можно больше о нападающем, например для того, чтобы обезопасить свой бизнес от подобного нападения в дальнейшем.
Комментарий Митника
Если незнакомец оказывает вам услугу, а затем просит взамен об оказании другой услуги, то прежде чем согласиться, хорошо подумайте, о чем именно вас просят.
История подтверждает факт, с которым вы не раз встречались и еще встретитесь на страницах этой книги: злоумышленник от сотрудника прежде всего хочет получить узнать пароль и имя пользователя. Получив эти данные от служащего в нужном подразделении компании, атакующему остается внедриться в систему от имени жертвы и найти искомое.
Комментарий Митника
Прежде чем новые сотрудники получат доступ к компьютерной технике, они должны закончить пройти соответствующий курс повышения компетентности в вопросах информационной безопасности. В частности, должны знать правила неразглашения своих пользовательских паролей.
Аутентификационные данные – это как ключ от города. С ключами в руке можно свободно передвигаться по корпоративной сети и искать нужную информацию.
Для человека, которого мы звали Крег Когбурн, как и для любого другого, хорошо знакомого с вороватым-но-не-всегда-преступным ремеслом социоинженерии, это задание было вполне обычным делом. Задача заключалась в нахождении и загрузке файлов, хранимых в хорошо защищенной брандмауэрами и другими технологиями локальной сети предприятия.
Большая часть работы Крега для него не представляла для него никаких сложностей. Начал он с того, что, представившись рабочим почтового отдела, настоятельно попросил получить посылку FedEx. Этот ход вывел его на лидера руководителя рабочей группы по разработке сердечного стента, который, правда, отбывал пребывал в отпуске, но услужливо оставил на автоответчике имя и телефон своего ассистента – более чем подходящая информация для любого социоинженера. Позвонив ассистенту, Крег сразу избавился от возможных подозрений, сказав, что исполняет распоряжение ведущего специалиста. А так как специалиста не было в городе, Мишель не смогла проверить его слова. Она поверила ему и без сомнений предоставила список сотрудников, входящих в группу разработчиков. Именно эта информация во всем мероприятии для Крега была ключевой.
У нее не возникло никаких подозрений даже тогда, когда Крег попросил послать данные по факсу, хотя было очевидно, что электронная почта в этом случае подходила больше, чем что бы то ни было. Почему Мишель оказалась такой доверчивой? Как и многие другие служащие, она бы не хотела, чтобы босс, вернувшись из отпуска, обнаружил ее несговорчивость в вопросе, который он (по легенде) и поставил перед своим подчиненным. Кроме того, звонящий не только упомянул о задании босса, но и о его словах об участии в деле Мишель. Это еще один пример того, как служащие стараются показать свое участие в общем делеприверженность общему делу, при этом становясь легкой мишенью обманамошенника.
Крег вовсе не хотел появляться в офисе компании и поэтому попросил принять факс секретаря. Он не зря надеялся на помощь секретаря, так как обычно людей на эту должность выбирают прежде всего за то, что они очаровательных очаровательные и умеющих могут произвести впечатление.
ЭтгарЭдгар попался на довольно распространенную в Internet интернете уловку. Такого рода жульничество может принимать различные формы. Например, одна интерпретация представляет собой поддельное, но в точности повторяющее оригинальное, окно входа в систему, где пользователь вводит свои свое имя и пароль доступа (об этом более подробно в Главе 9), которые незамедлительно «скармливаются» хакеру.
В нашем же случае имеет место подделка другого рода – пользователь пошел на поводу у злоумышленников лишь потому, что название сайта «paypal-secure.com» очень похоже на название защищенного сайта известной компании PayPal. Но это не так. Думая, что обновляет базу клиентов PayPal, ЭтгарЭдгар пополнял базу данных взломщиков.
Комментарий Митника
Если вы не комекадзекомикадзе, то, вводя конфиденциальные данные на каком-то сайте в Интернетинтернете, убедитесь, что соединение в данный момент зашифровано и заверено электронным сертификатом. И еще один важный момент. Никогда не нажимайте кнопку «Да», не ознакомившись с текстом в диалоговом окне, ведь довольно часто этот текст говорит о том, что сертификат отозван или не может быть подписан центром сертификации.
Разнообразные этюды
Сколько еще есть способов заставить пользователя посетить фиктивный сайт и подарить свою информацию хакеру? Я не думаю, что кто-то имеет точный ответ на этот вопрос, но выражение «тьма-тьмущая» очень даже подойдет.
Разработка программы повышения компетентности
Вы можете опубликовать брошюру политики информационной безопасности, можете заставить всех сотрудников посетить страницу на интранет-сайте, но это не избавит вас от угрозы. Компания должна не только определить правила безопасности и утвердить политику безопасности, но и приложить все усилия, чтобы каждый служащий, имеющий дело со служебной информацией или компьютерными системами, научился следовать правилам этой политики. Больше того, каждый должен понимать, что стоит за этими правилами и для чего их необходимо соблюдать. В любом другом случае политика будет игнорироваться, правила превратятся в обузу, и в конечном итоге только навредят вам.
Основная цель программы повышения компетентности заключается в таком воздействии на персонал, которое заставит изменить поведение и отношение сотрудников к проблеме. Служащие должны захотеть стать частью программы защиты информационных активов своей компании. Мотивацией к этому может послужить осознание того, что программа служит на благо не только бизнесу, но и его участникам, конкретным людям. И так как компания обладает частной информацией своих служащих, то, охраняя корпоративные системы и документы, эти служащие защищают что-то, что принадлежит им лично.
Программа компетентности и тренинга безопасности требует значительной поддержки. Усилия, направленные на обучение, должны коснуться каждого служащего, имеющего доступ к служебным системам и информации, эти усилия должны быть последовательными и должны непрерывно совершенствоваться, доводя до персонала данные о новых угрозах, методах нападения и защиты. Служащие должны видеть, что руководство в полной мере вовлечено и программу и нуждается в ней. И участие менеджмента в этом случае не может быть просто показным, вроде «благословляем вас, дети мои». Разработку программы необходимо реально поддерживать и подкреплять ресурсами. То же относится к стадии тестирования политики и более поздним этапам оценки результативности.
С Новым Годом…
ЭтгарЭдгар, бывший страховой агент, а ныне пенсионер, однажды получил электронное письмо от известной компании PayPal, известной компании, предлагающей быстрый и доступный способ оплаты через Internetинтернет. Такая услуга особенно полезна, если пользователь покупает вещь у незнакомого человека, находящего на другом концежывущего в другой части страны или всего вообще на другом краю света. PayPal списывает деньги со счета кредитной карты покупателя и переводит сумму непосредственно на счет продавца.
Эдгар – коллекционер антикварных стеклянных кувшинов – не раз участвовал в онлайновом аукционе eBay. И он неоднократно, иногда по несколько раз в неделю, пользовался услугами электронного перевода PayPal. Итак, в рождественские каникулы 2001 года ЭтгарЭдгар получает письмо от PayPal, в котором упоминается о небольшом вознаграждении за обновление информации клиента в базе данных компании. Вот текст, который заинтересовал ЭтгараЭдгара:
Уважаемый пользователь системы PayPal! С наступающими Вас праздниками;
Проходит старый и наступает Новый Год и мы рады предложить Вам в качестве новогоднего подарка 5 долларов, которые будут немедленно зачислены на ваш счет.
Для получения подарка, обновите пожайлуста свою регистрационную информацию владельца счета на нашем надежном и защищенном сайте PayPal до 1-го января 2002 года. С новым годом приходят новые изменения, и мы хотели бы и впредь повышать для наших ценных клиентов качество предоставляемых услуг для клиентов. И Вы можете нам в этом помочь, обновив свои регистрационные данные.
Для того, чтобы без замедления перейти к форме обновления информации и получить новогодний перевод, нажмите на ссылку:
http://www.paypal-secure.com/cgi-bin
Спасибо за Вашу преданность PayPal.com и за помощь в развитии нашего бизнеса!
Искренне желаем Вам Счастливого Рождества и поздравляем Вас с Новым Годом!
Команда разработчиков сайта PayPal
Заметка о сайтах электронной коммерции
Вы наверняка знаете таких людей, которые избегают совершать покупки в Internetинтернете, даже на таких известных сайтах, как Amazon, eBay, Old Navy, Target или Nike.
Признаться, они вправе опасаться онлайновых сделок.
Если ваш браузер поддерживает современный стандарт кодирования при помощи 128-битного ключа, то вся информация с вашего компьютера на защищенный сайт проходит по каналам сети в зашифрованном виде. Если приложить достаточно усилий, ваши данные могут быть расшифрованы, но для этого потребуется слишком много времени. Конечно, Национальное Агенствоагентство Безопасности безопасности США (NSA) может справиться с 128-битным шифром за приемлемые сроки, но пока NSA не проявляло видимого интереса к номерам чужих кредитных карт граждан Америки, равно как и не пыталось отследить покупателей порно-записей или экстравагантного нижнего белья.
Если располагать временем и ресурсами, то можно вскрыть любую шифрограмму. Но скажите мне, какой дурак пойдет на встречу таким трудностям ради одного единственного номера кредитной карты, когда в базах данных многих фирм электронной коммерции можно найти сотни и тысячи таких номеров, хранимых в открытом виде? Скажу больше, некоторые коммерческие предприятия в сети, использующие SQL-сервера и хранящие финансовую информацию, вообще не имеют представления об опасностио безопасности. Администраторы даже не меняют стандартный, полученный (по умолчанию от производителя) системный пароль! Когда они достают программу из коробки, на CD прописан пароль «пароль» «null», он и остается таковым . «пароль» остается и на действующей системе в Internet. ИтакПоэтому, содержимое базы данных иногда становится доступно любому пользователю, которому пришло в голову соединиться с этим сервером. Такие сайты постоянно находятся под угрозой и информация с них «течетутекает» без всяких последствий, без ведома администраторов и клиентов.
С другой стороны, те же люди, которые не хотят совершать покупки в Internetсети интернет, которые боятся, что их кредитная информация будет украдена, без всяких проблем пользуются своей кредиткой в баре или в магазине за углом. А в таких местах ваши чеки постоянно «исчезают», чеки с номерами вылавливаются из мусорных контейнеров или считываются кассирами и официантами с помощью карманных кард-ридеров.
Итак, покупка в Internet интернете безусловно связана с некоторым риском, но вряд ли большим, чем при посещении продуктового магазина. Кроме того, виртуальные коммерсанты предоставляют вполне реальные гарантии – в случае кражи вы несете ответственность не более чем на 50 долларов.
По-моему, страх перед онлайновой торговлей абсолютно необоснован.
ЭтгарЭдгар не обратил внимания ни на один из настораживающих моментов в тексте. Не Ни на точку с запятой в приветствии, не ни на «...ценных клиентов качество услуг для клиентов...». Он нажал на ссылку, ввел свое имя, адрес, время действияномер телефона и номер карты и стал ждать обещанного вознаграждения. Его ожидания полностью «оправдались», когда он получил счет и список товаров, которых он не покупал.
С точки зрения Элиота...
Время действия: 3:26 утра, утро вторника, февраль 1998 г.
Место действия: фабрика Marchand Microsystems, Нью Хэмпшир
Элиот Стейли знал, что ему нельзя уходить со своего поста, если он не делает плановый обход. Но было раннее-раннее утро, полная тишина и ни одного человека вокруг. Уже почти пришло время обхода, а голос бедного парня по телефону звучал так жалобно, как будто ему действительно нужна была помощь. Все это заставляет человека чувствовать так, что он просто обязан помочь страждущему...
Сбитый с толку охранник
Дата и время событий: вторник, 17 октября, 2 часа 16 минут (ночь)
Место: завод Skywatcher Aviation, расположенный на окраине г. Тусона в штате Аризона.
«Сделай это сейчас»
Не все, кто использует тактику социальной инженерии, является обязательно социоинженером. Любой человек, хорошо осведомленный в особенностях компании, может наделать немало бед. Для тех компаний, которые хранят в своих базах данных информацию о сотрудниках, риск возрастает, а ведь такова ситуация в большинстве компаний.
Когда сотрудники компании недостаточно опытны и не обучены тому, как распознавать атаки социальных инженеров, определенные люди, наподобие обманщицы, о которой пойдет речь ниже, могут преуспеть в таких делах, которые честные люди сочли бы недопустимыми.
Секретарь, готовый помочь
Взломщик Роберт Джордей регулярно проникал в компьютерные сети крупной компании Rudolfo Shipping, Inc. Сотрудники компании случайно обнаружили, что кто-то заходит на их терминальный сервер, а через него может попасть в любой компьютер компании. Чтобы защитить свою корпоративную сеть, было решено требовать пароль для dial-up
соединения с каждым терминалом.
Роберт позвонил в Центр обслуживания сети, представился адвокатом из юридического отдела и сказал, что не может войти в сеть. Ответивший ему сетевой администратор объяснил, что по соображениям безопасности для dial-up
соединения с сетью теперь надо каждый месяц получать пароль у начальника отдела. Роберт задумался над тем, каким образом эти ежемесячные пароли попадают к начальникам отделов и как бы ему тоже получить их. Оказалось, что пароли на следующий месяц рассылаются начальникам отделов в специальной корпоративной рассылке.
Это упростило дело. Роберт провел небольшое исследование, а потом позвонил в компанию в первых числах месяца секретарю руководства, Джанет. Он сказал: «Джанет, привет, это Рэнди Гольдштейн из отдела разработок. Я помню, что получал письмо с паролем на этот месяц для входа на терминальный сервер, но я не могу его найти. У вас есть такое же письмо?»
Она ответила, что получила такое письмо.
Он попросил ее послать ему страничку этого письма по факсу, и она согласилась. Он дал ей номер факса приемной в другом здании компании, с сотрудниками которой он уже договорился, что полученный для него факс они перешлют на указанный им номер. Роберт указал номер специального online-сервиса, который, получив факс, пересылал его на электронную почту абонента.
А электронную почту для получения письма с паролем Роберт организовал на бесплатном почтовом сервере в Китае. Даже если удастся отследить путь пересылки факса, человеку придется вступать в контакт с китайскими чиновниками, которые, как известно, очень не любят, когда их тревожат по таким ничтожным поводам. Кроме того, Роберт никогда не появлялся лично в месте расположения факса и люди, переславшие факс для него, никогда его не видели лично, поэтому не смогли бы опознать.
Штурм крепости
Денни начал делать домашние заготовки. Он уже соединил вместе достаточно разрозненной информации, чтобы прикинуться настоящим сотрудником. Он знал имя сотрудника, название отдела, в котором тот работает, номер телефона, его персональный номер, а также имя и номер телефона управляющего.
Сейчас было затишье перед бурей. Буквально. Следуя выработанному плану, Дэнни нужно было получить еще одну вещь до того, как приступить к следующему шагу и это было что-то такое, чего он не мог контролировать: ему нужна была снежная буря. Дэнни необходима маленькая помощь от матери-природы в форме такой плохой погоды, которая удержала бы работников от посещения своих офисов.
Зимой в Северной Дакоте, где расположено описываемое нами промышленное предприятие, каждый, кто ожидает плохую погоду, может не слишком долго ждать. В пятницу вечером началась настоящая буря. Снег быстро превращался в леденящий дождь, и дороги покрылись скользким, опасным слоем льда. Для Дэнни это было отличной возможностью.
Он позвонил на предприятие, попросил соединить с компьютерным отделом и связался с одной из «рабочих пчел» IT-отдела, компьютерным оператором Роджером Ковальски.
Дени назвался именем настоящего работника и сказал:
– Это Боб Биллинг. Я работаю в
Secure Communication Group. Сейчас я дома и не могу приехать из-за бури. Проблема в том, что мне нужен доступ к рабочей станции и серверу из дома, а я оставил Secure ID в моем рабочем столе. Вы не могли бы сходить за ним? Или послать кого-нибудь еще? А затем прочитать мне код, который я должен ввести. Мою команду поджимают сроки, и нет другого способа, с помощью которого я смогу поработать дома. У меня нет возможности добраться до офиса – дороги слишком опасные.
– Я не могу покинуть Компьютерный центр, – сказал оператор.
Дэнни быстро ставил:
– А у Вас есть собственный Secure ID?
– У нас есть один в Компьютерном центре. Мы держим его для непредвиденного случая.
– Послушайте, – сказал Дэнни. – Могли бы Вы оказать мне большую любезность? Когда мне нужно будет войти в сеть, могли бы Вы дать мне взаймы Ваш Secure ID? Только до тех пор, пока не появится возможность безопасно доехать до работы.
– Кто Вы? Назовите себя еще раз, – потребовал Ковальски.
– Боб Биллинг.
– На кого Вы работаете?
– На Эда Трентона.
– Да, я знаю его.
Хороший социоинженер всегда собирает как можно более подробную информацию об объекте.
– Я работаю на втором этаже, – продолжил Дэнни, – рядом с Роем Тукером.
Ковальски знал это имя также. Дэнни вернулся к его «обработке».
– Было бы намного проще сгонять к рабочему месту и достать мой Secure ID из стола.
Дэнни был совершенно уверен, что парень не купится на это. Скорее всего, он вряд ли захочет в середине смены тащиться по коридору, а затем вверх по лестнице в достаточно удаленную часть здания.
Также он, вероятно, не захочет шарить в чужом рабочем столе, вторгаясь в чье-то персональное пространство. Да, это было безопасное предложение.
Ковальски не хотел говорить «нет» парню, который просил о помощи, но он также не хотел сказать «да» и получить проблемы. Поэтому он подошел к принятию решения по-другому:
– Я спрошу у своего шефа. Побудьте на связи.
Он положил телефонную трубку и Дэнни услышал, как тот подходит к другому телефону, набирает номер и объясняет просьбу. Затем Ковальски сделал что-то необъяснимое: он фактически поручился за человека, использующего имя Боба Биллинга.
– Я знаю его, – сказал Ковальски своему начальнику. – Он работает на Эда Трентона. Можем ли мы позволить ему использовать Secure ID из Компьютерного центра?
Дэнни, находящийся на линии, был удивлен, подслушав необычную и неожиданную для него поддержку. Он не мог поверить своим ушам и своей удаче.
Через пару мгновений, Ковальски вернулся на линию и сказал:
– Мой начальник хочет поговорить с Вами сам, – и дал Дэнни номер сотового.
Дэнни позвонил управляющему и еще раз рассказал всю историю с начала и до конца, добавив подробности о проекте, над которым он работает и объяснил, что его команду поджимают сроки.
– Было бы проще, если бы кто-нибудь сходил и достал мой жетон, – сказал он. – Мне кажется, что стол не заперт и он должен быть в левом верхнем ящике.
– Ладно, – отозвался менеджер. – Только из-за того, что сейчас выходные, я думаю, мы можем позволить вам использовать один из наших жетонов, находящихся в Компьютерном центре. Я скажу дежурным, что, когда Вы будете звонить, они должны считывать для Вас код случайного доступа. – И он дал Дэнни PIN-код для этого жетона.
Все выходные, в любое время, когда Дэнни хотел войти в корпоративную компьютерную систему, он просто звонил в Компьютерный центр и просил считать шесть цифр с дисплея Secure ID.
Симпатия
Люди имеют тенденцию соглашаться с теми, кто кажется им добродушным и симпатичным, а также с теми, кто имеет схожие интересы, мировоззрение, мнения.
Сюрприз для Джорджа
Сложно себе представить, что такая скучная вещь, как слушание бюджета может представлять хоть какой-то интерес. Но зал заседания в совете округа был забит – там присутствовали и репортеры, и представители разных групп, депутаты и даже две новостные команды с телевидения.
На таких заседаниях Джордж всегда ощущал, что слишком многое поставлено на карту. У совета округа был денежный фонд, и если Джордж не сможет сделать презентацию убедительной, то бюджет на строительство дорог будет урезан. Это значит, что все начнут жаловаться на выбоины на дорогах, неправильно работающие светофоры и опасные перекрестки. Все будут винить именно его, соответственно весь этот год будет просто ужасным. Но когда его представили присутствующим, он почувствовал уверенность. Он работал шесть недель над этой презентацией в PowerPoint visuals. Он показывал эту презентацию жене, ведущим работникам и кое-каким представительным друзьям. И все они подтвердили, что это была его лучшая презентация.
Показ первых трех слайдов в PowerPoint прошел хорошо. Все присутствующие были внимательны, и его доклад звучал достаточно убедительно.
И затем вдруг все пошло наперекосяк. Предполагалось, что на четвертом слайде будет красивая фотография новой развязки магистрали, открытой в прошлом году. Вместо этого на слайде было что-то другое, причем очень неприличное. Там была фотография из журнала Пентхауз или Хастлер. Когда Джордж поспешил нажать кнопку на своем компьютере и сменить слайд, он услышал вздох публики.
Картинка была еще хуже. Здесь уже совсем не оставалось ничего для воображения.
Джордж все еще пытался переключать слайды, когда кто-то из присутствующих выдернул шнур из розетки. В это время председатель совета постучал по столу и прокричал сквозь шум, что собрание откладывается.
Сюрприз, папочка
Как-то раз я сидел в ресторане за столом вместе с Генри и его отцом. Во время нашего разговора Генри пытался убедить папу, что узнать номер его кредитки не сложнее, чем выяснить номер телефона по справочнику.
– Конечно, ты должен сказать номер своей кредитки, если делаешь покупку, – говорил он. – Но отдавать этот номер фирме на хранение – это по-настоящему глупо.
– Единственное место, где знают номер моей кредитной карты – это Студио Видео, – ответил мистер Конклин. – Но я каждый месяц просматриваю свои счета от Visa. Я узнаю, если что-то пойдет не так.
– Конечно, – отвечает Генри. – Но если у них есть твой номер, то ничто не мешает постороннему человеку украсть его.
– Ты говоришь о нечистом на руку сотруднике?
– Нет. Я говорю о любом человеке – не обязательно сотруднике.
– Ты просто чешешь языком, – ответил емупроизнес мистер Конклин.
– Я могу прямо сейчас сделать звонок и заставить их сказать мне номер твоей Visa-карточки, – бросил Генри.
– Нет. Не сможешь.
– Я сделаю это за пять минут, прямо при тебе и не сходя с этого места.
Мистер Конклин посмотрел на сына в упор, . Это был взглядом человека, уверенного в своих соображениях, но не собирающегося показывать этого человекасвоей правоте.
– Я уже сказал – ты не понимаешь о чем говоришь, – прорычал рявкнул он, выкладывая из портмоне на стол пятидесятидолларовую купюру. – Если сделаешь то, о чем говоришь, – это твое.
– Мне не нужны твои деньги, папа, – сказал Генри.
Он достал свой сотовый телефон, спросил у отца номер филиала видео-проката, в котором тот был зарегистрирован, и набрал номер справочной, где поинтересовался телефоном этого филиала, а заодно и телефоном соседнего магазина в Шерман Оакс.
Не медля, он перезвонил в Шерман Оакс. Используя подход, крайне похожий на тот, о чемкотором я говорил рассказал в предыдущей истории, он узнал внутренний номер этого магазина и имя менеджера.
Далее Генри позвонил в филиал видео-проката, в котором был счет его отца. Маскируясь под менеджера из Шерман Оакс и используя его имя – короче говоря, используя старый трюк под названием «воплощаясь-в-менеджера» – он озвучил номер магазина, который только что получил. «Ваши компьютеры в норме? С нашими проблема». Он явно услышал что-то в ответ, подождал и продолжил: «Хорошо, послушайте, у меня ваш клиент хочет взять кассету, но компьютеры не работают. Посмотрите для меня его счет и, кстати, проверьте, ваш ли это клиент».
Генри сказал имя своего отца. Далее, используя лишь немного отличающуюся от предыдущей тактику, он попросил прочесть для него данные учетной записи: адрес, телефон и дату регистрации клиента. И затем вдруг сказал: «Послушайте, у меня тут целая очередь скопилась. Скажите номер и дату действия карты».
Одной рукой Генри держал трубку, а другая уже записывала номер карты. Закончив разговор, он подтолкнул салфетку поближе к отцу, который уставился на нее, медленно открывая при этом рот. Бедный мистер Конклин был шокирован так, как будто вся система его веры только что была спущена в канализациювыпущена в трубу.
Скрытая ценность информации
Многие безобидные, невзрачные и беззащитные документы, однако, высоко ценятся социоинженерами, так как в основном именно благодаря содержащейся в них информации, в них содержащихся, шпионам удается без затруднений входить в доверие к служащим.
В этой и последующих главах я попробую показать, как действуют соционженеры, а вы будете соучаствовать в атаках, смотря смотреть на вещи с точки зрения жертвы и оценивая оценивть происходящее, пытаясь понять свою собственную реакцию (или реакцию своих коллег). Одновременно, вам предоставляется возможность переживать события в перспективе социоинженера.
Итак, в первой истории речь пойдет об одной «дыре» в финансовой отрасли.
Словарь
Немой терминал (Dumb terminal) - так называется терминал, который не содержит собственного микропроцессора. Он может понимать только простые команды и показывать на экране текст и цифры.
Майкл опять позвонил в регистратуру, внимательно прислушиваясь к голосу собеседника, чтобы удостовериться, что он говорит с другим сотрудником. На этот раз трубку взяла женщина, и он опять представился ей сотрудником компьютерного центра. Он сказал, что устанавливается новая система создания административных записей, которая пока она еще только тестируется, но ей доверили опробовать ее. Он дал ей IP-адрес для соединения и постоянно поддерживал разговор в процессе дальнейших действий.
На самом деле этот IP-адрес соединял ее с компьютером Майкла, сидящего в библиотеке университета. Используя процесс, описанный в главе 8[NM8] , он сделал симулятор логина – специальный экран, неотличимый от того, который возникает при обращении к системе информации о студентах.
– Ничего не работает, – сказала сотрудница. – На экране надпись «имя пользователя не верное».
Но в это время симулятор логина уже передал строчку с именем пользователя и паролем на терминал Майкла, его задача была выполнена. Он сказал:
– Вы знаете, вероятно, еще не все пользователи подключены к новой системе. Давайте я проверю и перезвоню вам.
Опытный социальный инженер никогда не оставляет обещания невыполненными: в секретариат надо обязательно перезвонить и сказать, что тестовая система пока не работает и они известят всех, когда она будет работать в нормальном режиме.
Словарь, как средство атаки
Когда кто-то узнает пароль для доступа в ваш компьютер, он получает возможность проникнуть в вашу систему. В большинстве случаев вы даже не узнаете, что это произошло.
Один юный хакер, назовем его Иван Петерс, хотел получить исходные коды новой электронной игры. Он без проблем попал в сеть компании, поскольку его приятель взломал один из ее Web-серверов. Обнаружив незакрытую брешь в ПО Web-сервера, этот приятель едва не упал со стула, осознав, что система дает ему доступ и во внутреннюю сеть.
Однако, после того, как Иван вошел в сеть, он столкнулся с проблемой туриста, вошедшего в Лувр в надежде самостоятельно отыскать Мону Лизу. Без путеводителя этим можно заниматься не одну неделю. Компания, в сеть которой он попал, состояла из сотен офисов и тысяч серверов, и, естественно, никаких путеводителей по этим хитросплетениям не было.
Вместо того чтобы искать нужный сервер какими-нибудь техническими или программными средствами, Иван использовал средства социальной инженерии. Он сделал несколько звонков, пользуясь методами, описанными в этой книге. Прежде всего, он позвонил в службу технической поддержки, представился сотрудником компании, который продвигает один из продуктов и попросил телефонный номер руководителя группы разработки игр.
Позвонив по указанному номеру, он представился уже сотрудником ИТ-департамента. «Сегодня поздно вечером, – сказал он, – мы должны будем отключить маршрутизатор и должны убедиться, что ваша группа не потеряет связи с вашими серверами. Поэтому нам надо знать, какими серверами пользуется ваша группа». Сеть в этой компании модернизировалась практически постоянно. Дать имя сервера – разве это может кому-нибудь или чему-нибудь повредить? Поскольку сеть защищена паролями, знание имени сервера никому не может помочь проникнуть в него. Так атакующий узнал название сервера. А тот, кто сказал его, даже и не подумал перезвонить и проверить правильность рассказанной истории или просто записать имя и телефон звонящего. Он просто назвал имя серверов – АТМ5 и АТМ6.
Сочетание технологии и социальной инженерии
Социальная инженерия - это умение манипулировать людьми, способность заставить их делать то, что поможет достичь желаемого результата, однако успех этих действий часто должен быть подкреплен основательным знанием компьютерных и телефонных систем.
Социальная небезопасность
Невероятно, но факт: руководство социального страхования выложило подробное описание своих планов в интернете. Эта информация очень важна для сотрудников, но она не менее важна и для социальных инженеров. В ней содержатся все термины, аббревиатуры и инструкции по оформлению запроса на нужную информацию.
Вам надо побольше узнать о руководстве социального страхования? Запустите поиск в интернете или зайдите на сайт: http://policy.ssa.gov/poms.nsf/. До тех пор, пока начальство не прочтет эту книгу и уберет описания из интернета, вы сможете пользоваться открытым описанием того, какую информацию клерки агентства социального страхования могут выдавать правоохранительным организациям. Попросту говоря - всем тем, кто представится сотрудником правоохранительной организации.
Атакующий не может преуспеть в получении подобной информации от одного из клерков, отвечающих на звонки по общедоступной линии. Такой тип атаки Кейт использует только тогда, когда работает с людьми, чьи телефоны недоступны простому смертному, поэтому они уверены, что любой звонящий им – не человек «с улицы».
Вот что способствует успеху атаки:
·
знание номера телефона;
· хорошее знание терминологии, используемой в социальном страховании;
· представление в качестве сотрудника офиса Генерального инспектора, о котором каждый работник правительственных организаций знает, что это исследовательское агентство с широкими возможностями; этот факт изначально наделяет атакующего аурой авторитета.
Одна интересная деталь: социальный инженер умеет так сделать запрос, что никому в голову не придет мысль «почему вы звоните именно мне?», хотя по соображениям здравого смысла нужно было бы звонить другим людям совсем в другой департамент. Надо суметь заговорить так, чтобы звонок зазвучал своеобразным ярким пятном в монотонном течении дня и заставил бы жертву не принимать в расчет его необычность.
Наконец, атакующий в данном примере не удовлетворяется одноразовым извлечением информации, а стремится установить долговременный контакт для регулярного использования в будущем. Упрощенная аргументация типа: «я пролил кофе на свою клавиатуру» в данном случае не сработает, поскольку клавиатуру можно заменить в течение дня. Придумывается более сложная и жалобная история о том, что кто-то вынужден сидеть за вашим компьютером: «Я думал, что вчера придет компьютер для него, но в последний момент его отдали другому. Мне придется мучиться еще не один день». И так далее.
В общем: я очень бедный, несчастный и мне нужна помощь. Действует безотказно.
Социальная оценка
Люди имеют склонность к уступкам в ситуации, когда их поступки не противоречат поведению окружающих. Действия окружающих воспринимаются в качестве оценки справедливости и адекватности собственного поведения.
Содержание учебного курса
Если обратиться к основам социальной инженерии, то все атаки имеют одну общую основу - обман. Атакующий, так или иначе, убеждает жертву в том, что он его коллега или кто-то другой, но этот кто-то обязательно имеет полномочия на доступ к служебной информации. Практически все эти атаки можно отразить, если потенциальная жертва обмана будет соблюдать две меры предосторожности:
·
Проверить личность запрашивающего информацию: является ли он тем, за кого себя выдает?
· Проверить, имеет ли запрашивающий соответствующие полномочия: должен ли он знать то, о чем спрашивает, по долгу службы; имеет ли он распоряжение на получение этой информации?
Содержать ценную информацию в сохранности...
Как показано в историях из этой главы,В этой главе хорошо видно, что люди, которым незнакомец предлагает помощь, просто обязаны опираться на некоторую политику безопасности, которая давала бы им ответ, что делать в этом данном конкретном или сильно похожем случае. Другими словами, политика должна учитывать особенности вашего бизнеса, размер вашей компании и, в частности, ваши конкретные обязанности.
Никогда не идите на поводу у незнакомого человека, который просит найти для него информацию, или ввести незнакомые команды в компьютер, или изменить настройки программ, а тем более, если просит вас открыть вложенный в электронное письмо файл или загрузить что-то из Интернетинтернета. Любая программа, даже та, которая на первый взгляд ничего не делает, на самом деле может быть не такой безобидной, как кажется.
Примечание
Лично я не верю, что есть компании, которым пригодилась бы практика обмена паролями между сотрудниками. Гораздо проще установить жесткое правило, которое запрещает любой обмен парольной информацией. Это надежно, по крайней мере, надежно. Но в каждом конкретном случае, в каждой конкретной организации есть свои особенности, которых необходимо придерживаться при внедрении такого жесткого правила.
Есть некоторые вещи, к которым необходимо относится с неубывающим вниманием, и не важно, насколько хорошо вы обучены. Об этих вещах можно забыть в самый неподходящий момент, и, в частности, это относится к разного рода паролям. Вам кажется, что все знают, что пароль нельзя никому говорить, что всех предупреждают и т.д. и т.п. Необходимо подчеркнуть: это только так кажется, это – расхожее мнение. Но на самом деле, каждому сотруднику необходимо постоянно напоминать, что пароль к компьютеру в офисе, к почтовому ящику, к домашнему компьютеру важен не меньше, чем PIN-код вашей собственной пластиковой карты.
Случается и так (очень редко, но случается), что при некоторых обстоятельствах очень надо или даже необходимо поделиться с кем-то конфиденциальной информацией. И поэтому абсолютное правило "никогда" не совсем подходит. Однако, правила безопасности должны четко определять такие исключительные обстоятельства, при которых вы можете дать сказать свой пароль. А что еще более важно, эти правила должны не менее четко определять лиц, с которыми вы можете обмениваться конфиденциальной информацией, например, тем же паролем.
Сообщение для Розмари
Розмари Морган была довольна своей новой работой. Она прежде никогда не работала в издательстве, а теперь обнаружила, что окружающие ее люди относятся к ней даже лучше, чем она могла ожидать. Ей казалось это милым, несмотря на учитывая давление, под которым работала команда, подготавливающая подготавливая каждый месяц журнал, выпуск за выпуском. Однажды к ней поступил звонок, который только уверил ее во всеобщем дружелюбии коллег.
– Это Розмари Морган?
– Да.
– Привет, Розмари. Это Билл Йордэй, из группы Информационной Безопасности.
– Да?Слушаю.
– В вашем отделе с вами еще не говорили о методиках защиты информации?
– Кажется нет.
– Хорошо, давайте это исправим. Для начала: мы никому не разрешаем устанавливать программное обеспечение, принесенное извне. Нам не нужны проблемы с использованием нелицензионного ПО. А кроме того, программы могут быть носителями вирусов.
– Понятно.
– Вы ознакомились с правилами пользования электронной почтой?
– Нет.
– Какой ваш у вас электронный адрес?
– Rosemary@ttrzine.net
– Ваше иИмя пользователя также Rosemary?
– Нет, R-подчеркивание-Morgan.
– Правильно. Мы стараемся, чтобы новые служащие знали об опасности открытия нежданных вложенных файлов. Сейчас по сети ходит множество вирусов и червей, которые обычно приходят в письмах от ваших же знакомых. Так что если вам по почте пришел файл, которого вы не ждали, сначала проверьте, правда ли вам посылал его человек, который указан в поле отправителя. Вы понимаете меня?
– Да, я об этом слышала.
– Хорошо. А что насчет нашего правила менять свой пароль каждые 90 дней? Когда вы в последний раз меняли пароль?
– Я здесь всего три недели. Пока еще не меняла.
– Это не страшно. Можете дождаться истечения трех месяцев. Но мы должны быть уверены, что наши пользователи придумали стойкие пароли, те, которые трудно предугадать. В вашем пароле есть и буквы и цифры?
– Нет.
– Это следует исправить. Какой пароль вы сейчас используете?
– Аннет – имя моей дочери.
– Это совсем не стойкий пароль.
Никогда не используйте при создании пароля личную информацию. Хорошо, посмотрим. Например, вы можете сделать, как я. Будет нормально, если вы дополните свой текущий пароль цифрой, соответствующей текущему месяцу.
– Так, значит если я это сделаю сейчас, то для марта мне надо добавить 03 или просто 3?
– Как пожелаете. Что для вас более удобно?
– Думаю Аннет3.
– Отлично, рассказать, как изменить пароль?
– Нет, не надо. Я знаю.
– Хорошо. И еще одна вещь, о которой необходимо упомянуть. На вашем компьютере установлен антивирус и его надо регулярно обновлять. Это важно. Никогда не выключайте антивирус, даже если при этом система немного тормозит. Хорошо?
– Конечно.
– У вас есть наш внутренний номер? Звоните по нему, если возникнут проблемы с компьютером.
Номера у нее не оказалось. Он дал ей номер, она аккуратно его записала и вернулась к работе, опять же, чувствуя благодарность к заботливым коллегам.
Сотовый телефон за тридцать копеекодин цент
Многие люди пытаются найти способы заключения более выгодных сделок. Социоинженеры не ищут выгодных сделок, они ищут возможности сделать саму сделку выгодной. Как пример, иногда компании выбрасывают на рынок услугу или товар под прикрытием настолько мощной маркетинговой компании, что вам приходиться сильно постараться, чтобы пропустить ее мимо ушей. Социоинженер, в свою очередь, смотрит на рекламу и раздумывает, как бы «подсластить» выгодное предложение.
Не так давно одна национальная сотовая компания начала массовую пропаганду своего предложения, в рамках которого клиент получал фирменный телефон за один цент, но по условиям контракта ему приходится воспользоваться навязываемым навязанным тарифным планом.
Как позже выяснилось, у осторожного покупателя должно было возникнуть множество вопросов относительно этого тарифного плана. Насчет качества услуги, насчет количества ежемесячных бесплатных минут, насчет цены роуминга и т.д. и т.п. Особенно важно оказалось знать о соглашениях по взносам – проще говоря, сколько времени будет действовать внесенная сумма предоплаты?
Вообразите себе социоинженера в Филадельфии, которого привлекла дешевизна рекламируемого телефона, но который был в корне не согласен с тарифным планом. Проблем нет. Вот один из способов разрешения возникшей проблемысправиться с ситуацией.
Совет Митника
Правда заключается в том, что никто не защищен от обмана со стороны социального инженера. В самых разных жизненных ситуациях у нас не всегда есть время на тщательное обдумывание даже очень важных для нас решений. Сложные ситуации, нехватка времени, эмоциональное возбуждение или сильная усталость могут запросто вывести нас из нормального состояния. Поэтому мы торопимся и принимаем решения без должного обдумывании, «на автомате». Это также справедливо для членов правительства и руководства правоохранительных органов. Все мы люди.
Далее, использовав не один, а два копировальных салона, Артуро максимально обезопасил себя на тот момент, когда он получал необходимые ему странички факса. Можно еще более затруднить процесс отслеживания факса если пересылать документ не в другой копировальный салон, а на специальный Интернет-адрес, который получит ваши документы и переправит их вам в виде электронной почты. Таким образом, материалы могут быть доставлены прямо на компьютер атакующего, при этом никто не увидит его лица и не сможет идентифицировать в дальнейшем. Адрес электронной почты и номер электронного факса могут быть покинуты сразу же после того, как будут получены нужные документы.
Пользователи компьютеров часто просто не имеют ни малейшего представления об угрозах и уязвимостях, связанных с социальной инженерией в нашем технологичном мире. Они имеют доступ к информации, но не имеют представления о том, что может угрожать их безопасности. Социальный инженер всегда ориентируется на того сотрудника, кто не понимает значимости информации, с которой имеет дело, поэтому скорее выполнит запросы атакующего.
Срочная «заплатка»
Может показаться, что уж компьютерный специалист никогда никого постороннего не допустит к компьютерной сети своей компании. Однако, если этот посторонний – опытный социальный инженер, маскирующийся под производителя ПО, результат может быть абсолютно неожиданным.
Ссылки
Один фокус повторяется с завидной регулярностью: письмо, в котором говорится о заманчивой возможности и в котором приведена ссылка на страницу, где эта возможность реализуется. Все прекрасно, кроме одной детали: нажимая на ссылку, вы попадаете не на не тот сайт, на который хотели, а на сайт, название которого очень похоже на название оригинала. Если возвратиться к PayPal, то есть один хороший пример такого названия, которое уже использовалось на практике:
www.PayPai.com
Если вы часто работаете с PayPal, то такое название в пути к странице беглым взглядом воспринимается, как оригинал. И даже если жертва замечает точку над последней буквой, то такой дефект нередко приписывают, например, особенностям отображения. И еще труднее бывает заметить, что в адресе
www.paypa1.com
буква l
заменена на цифру 1. Существует Немало немало людей, которые невольно питают популярность такого рода мошенничества. Грабителям достаточно зарегистрировать имя домена, скопировать оформление официального сайта и разослать письма потенциальным жертвам-, простакам, которые всю работу сделают за них.
В середине 2002 года я получил письмо, имеющее обратный адрес Ebay@ebay.com. Вот текст этого письма:
Дорогой пользователь eBay,
Доводим до вашего сведения, что постороннее лицо разрушило вашу учетную запись и, одновременно с этим, было нарушено условие одного из правил нашего Пользовательского Соглашения:
4. Торги и оплата покупок
Вы обязуетесь завершать сделку с продавцом в случае, если являетесь выйгравшим аукцион или покупаете товар по одной из заранее обусловленных ставок. Если Вы выйграли аукцион и ваша ставка принимается продавцом, то Вы обязаны подтвердить денежный перевод. В противном случае права продавца будут защищаться законом и этим Пользовательским Соглашением.
Вы читаете это сообщение, так как мы заметили, что ваша текущая учетная запись конфликтует с другими членами аукциона eBay. Примите к сведению, что eBay требует от Вас немедленной проверки Вашей учетной записи.
В противном случае запись будет анулирована. Для проверки состояния учетной записи, перейдите по этой ссылке http://error_ebay.tripod.com.
********************************************************
Упомянутые торговые марки и названия являются собственностью соответствующих владельцев. “eBay” и фирменное изображение eBay являются торговыми марками eBay Inc.
Люди, которые нажали на представленную ссылку, оказались на сайте, внешне практически неотличимом от официального сайта eBay. Страница была хорошо оформлена, на ней были оригинальные знаки eBay, и если нажать на «Browse»,«Sell» и другие кнопки, то браузер открывал страницы официального сайта eBay. Браузер даже показывал иконку «безопасного соединения», так как разработчик постарался и использовал HTTP-шифрование, чтобы пользователь видел, что – вводимые им данные защищены при передаче.
Это отличный образец компьютеризированной социоинженерной атаки. Однако, не без изъяна.
Сообщение написано далеко не в лучших деловых традициях. Неуместно и глупо выглядит фраза «Вы читаете это сообщение, так как мы заметили...». Кроме того, внимательный пользователь заметил бы сам, что eBay
предлагает проверить информацию клиента PayPal, - а это с само по себе подозрительно. Не существует причины, по которой компания eBay запросила бы частную информацию посетителя другой системы, пусть даже тесно связанной с онлайновыми торгами.
Примечание
Почему так просто зарегистрировать домен с неуместным или явно вводящим в заблуждение именем? Ответ прост: в соответствии с законодательством и Internetинтернет-политикой, вы имеете право зарезервировать для себя любое неиспользуемое название.
Легальный бизнес пытается бороться с таким положением дел, но пока безрезультатно. Посмотрите, с чем приходится сражаться. General Motors
подала в суд на компанию, которая зарегистрировала домен fuckgeneralmotors.com и установила автоматический переход на официальный сайт General Motors. GM
проиграла дело.
И, кроме того, любой, хоть немного разбирающийся в Internet интернете пользователь сразу обратил бы внимание, что гиперссылка соединяет не с доменом eBay, а с tripod – доменом, предоставляющим бесплатный хостинг частным лицам. А это означает, что письмо вряд ли отправлено представителями eBay. Несмотря на все вышесказанное, я готов поспорить, что немало людей, посетивших эту страницу, оставили на ней номер своей кредитки.
Становясь социоинженером
Многие люди каждый день просыпаются и идут на службу, где работу где, как шахтер в забое, выполняют свою обычную рутиннуюу работу. Мне повезло – я всегда был доволен своей работой. Вы даже не можете себе представить, сколько удовольствия и отдачи я получал, работая частным детективомсыщиком. Я использовал свой талант в ремесле, которое называется социальная инженерия, заставляя людей делать вещи, которые они обычно для незнакомца не делают, и получал за это деньги.
Для меня было совсем не сложно стать знатоком
своего деласоциоинженерии. По линии отца, я имел несколько поколений предков, которые трудились на ниве коммерции, так что умение влиять на людей и убеждать их у меня в крови. А если такие врожденные способности человека усиливаются его умением "честно врать" – перед Вами типичный социоинженер.
Можно сказать, что работа мошенника Профессия предателя[n3] имеет две специализации. Тот, кто обманывает людей, выманивая деньги – аферист. Тот, кто маскируется, воздействует на бизнес и умеет убеждать в своей правоте служащих, наделенных полномочиями – социоинженер. Со времени моей уловки с автобусными билетами прошло достаточно времени, и я начал понимать, что обладаю способностью выманивать чужие секреты, те, которые при любых других обстоятельствах, навсегда остались бы для меня тайной. Благодаря этой способности, используя технику обмана и зная терминологию предметной области, я научился манипулировать людьми.
Один из способов, которым я пользовался в развитии навыков своего ремесла, если это можно назвать ремеслом, заключался в следующем: я выбирал для себя информацию, в которой абсолютно не нуждался, и пытался получить ее от человека на другом конце телефонной линии. Я тренировался так, как тренировался раньше, разучивая новый фокус. Благодаря постоянным репетициям вскоре я понял, что могу завладеть практически любой информацией, на которую нацелюсь.
Годы спустя, при даче показаний в Конгрессе, я объяснялся перед сенаторами Либерманом и Томсоном:
Я получил несанкционированный доступ к компьютерам крупнейших корпораций планеты и прошел сквозь надежнейшие системы. При этом, для того, чтобы изучить принципы действия и уязвимости, используя как технические, так и не технические средства, я доставал исходные коды различных операционных систем и коммуникационного оборудования.
Все это я делал только ради удовлетворения собственного любопытства. И это правда. Для того, чтобы понять, на что я способен. Для того, чтобы раздобыть секретную информацию об операционных системах, сотовых сетях, обо всем, что дразнило мое любопытство.
Становясь вирусоустойчивым
Отдельная заметка об антивирусных программах, которые крайне важны не только для бизнеса, но и для каждого отдельно взятого служащего, сидящего за компьютером. Мало иметь установленный на компьютере антивирус. Антивирус должен постоянно работать. Хотя многие так не думают, аргументируя это тем, что замедляется работа машины.
Нужно помнить (или хотя бы вспоминать!) о том, что антивирусное ПО нуждается в регулярном обновлении своего банка штаммов. И если у вас на фирме не установлена система автоматического и централизованного обновления антивирусов на рабочих станциях, то вся ответственность перекладывается на конечных пользователей компьютеров. Я лично советую настроить программу так, чтобы антивирусная база данных обновлялась каждый день.
Термин
Протокол защищенных сокетов Защищенный сокетный слой (Secure Socket Layer, SSL). Протокол, разработанный в компании Netscape и предоставляющий возможность двусторонней аутентификации сервера для клиента и клиента для сервера на защищенном соединении в Internetинтернет.
Говоря прощеПроще говоря, пока вы не научились регулярно обновлять антивирусное ПО – вы под угрозой. И в любом случае, даже если с антивирусом антивирусной программой все в порядке, всегда остается шанс встретиться с доселе неизвестным червем или вирусом, штамм которого еще не выделен или просто не дошел до базы данных вашей программы.
Все дистанционные пользователи корпоративной сети обязаны иметь на лаптопах ноутбуках или домашних компьютерах как минимум брандмауэр и обновляемый антивирус. Профессиональный взломщик изучает предмет атаки и ищет слабое место. Удаленное соединение – излюбленная мишень. Не забывайте говорить дистанционным пользователям об обязательном присутствии на их компьютерах персонального экрана и активного антивируса, а лучше внесите это правило в должностную инструкцию.
Кроме всего перечисленного выше, я лично рекомендую пользоваться и менее расхожими, но не менее нужными, анти-троянскими системами. На момент написания этой главы лучшими в своем роде являлись две: The Cleaner (www.moosoft.com) и Trojan Defence Sweep (www.diamondcs.au).
Осталось еще раз напомнить об опасностях, связанных с открытием вложенных файлов в электронных письмах. Особенно, если корпоративный шлюз не фильтрует подозрительные аттачменты. Администрация должна постоянно, тем или иным способом, напоминать служащим, что крайне опасно получать нежданные письма (кто бы не ни был их отправителем!) и, тем более, открывать вложенные в эти письма файлы.
Структура тренинга
Прежде всего необходим вводный курс по информационной безопасности, обязательный для всех служащих предприятия. Новые сотрудники, в свою очередь, обязаны закончить этот курс в рамках подготовительного периода. Я лично не рекомендую допускать новых сотрудников к компьютерной технике без прохождения курса повышения компетентности.
Этот начальный курс должен фокусировать внимание слушателей на социоинженерной проблеме, но, одновременно с этим, должен быть достаточно кратким, чтобы запомнились его основные установки. По моему мнению, важна именно концентрация и мотивация, а не длительные лекции, которые приводят сотрудников в полное оцепенение от объема свалившейся на них информации.
Акцент вводного курса должен быть поставлен на понимание серьезности ущерба, который может быть нанесен как всей компании, так и каждому служащему в отдельности. Еще раз повторюсь, что мотивация, личная ответственность в защите данных видится здесь делом более важным, чем изучение специфики информационной безопасности.
В тех случаях, когда некоторые сотрудники не могут посещать очные курсы, можно подумать об иных методиках – видео-уроки, компьютерные обучающие программы, печатные материалы.
Вслед за коротким вводным курсом, одинаковым для всех, следует более длительный курс, освещающий отдельные потенциальные уязвимости, способы нападения и предупреждения атак. Причем преподносимая информация должна непосредственно зависеть от должности служащего. Сама сущность угрозы, так же как и методы воздействия на людей постоянно совершенствуются, так что этот курс необходимо актуализировать. Кроме того, осторожность у людей со временем ослабевает и в противовес этому курс необходимо проводить снова и снова. В нем, кроме обновления знаний, стоит делать ударение на мотивацию и важность информационной защиты для предприятия.
Менеджеры должны уделять определенное время обучению своих подчиненных правилам и процедурам безопасности и всестороннее поддерживать программу повышения компетентности. От служащих нельзя требовать «зубрежки» политики безопасности или посещения тренингов и семинаров в нерабочее время. Новым сотрудникам, до фактического принятия должностных обязанностей, следует выделить некоторое время, достаточное для обзорного изучения этой политики.
Служащие, которые поменяли должность или должностные обязанности должны, конечно же, посетить курс безопасности, соответствующий своим новым обязанностям и новым типам служебных данных. Например, если оператор становится администратором, или секретарь переходит на должность помощника администратора, то такое дополнительное обучение крайне актуально.
Сверим часы
Теперь надо было дать сигнал Гондорффу, чтобы он снял трубку в определенное время. Это оказалось проще, чем можно было ожидать.
Джонни позвонил в исправительный центр и, представившись его сотрудником, строгим официальным голосом попросил соединить его с десятым корпусом. Его звонок перенаправили, куда он просил. Когда трубку взял сотрудник корпуса, Джонни начал свой разговор с характерного приема социальных инженеров - использовал жаргонные сокращения названий: вместо названия отдела «Receiving and Discharge» он использовал сокращение R&D.
– Это Тайсон из R&D, – сказал он. – Мне надо поговорить с одним из ваших заключенных, Гондорффом. У нас есть некоторые его вещи, и мы хотим узнать у него адрес, по которому их надо направить. Вы не могли бы пригласить его к телефону?
Джонни услышал, как сотрудник тюрьмы на том конце провода прокричал имя Гондорффа. Через несколько томительных минут он услышал в трубке знакомый голос.
– Не говори ничего, пока я не объясню тебе всю ситуацию, – произнес Джонни. Он сказал, что разговор должен выглядеть так, будто они обсуждают, куда направить вещи Гондорффа. Затем Джонни сказал:
– Если ты сможешь позвонить по телефону для заключенных сегодня, не отвечай. Если не сможешь, то назови время, когда сможешь. – Гондорфф промолчал. Джонни продолжал:
– Хорошо, тогда будь у этого телефона в час дня. Я позвоню тебе туда. Возьми трубку. Если он соединить тебя с PDO, то положи трубку и перезвони через 20 секунд. Повторяй операцию до тех пор, пока не услышишь меня на другом конце провода.
Ровно в час Гондорф взял трубку, Джонни уже ждал его. Они спокойно неспешно поболтали, наметили план дальнейших звонков и, в конце концов, придумали, где достать деньги на адвоката для Гондорффа.
Сверяться с источником...
Во многих организациях должно приниматься Многим организациям необходимо принять за правило: "если информация потенциально может причинить вред компании или вашим коллегам, то такую информацию можно давать в руки только лицам, с которыми вы лично знакомы, или чей голос вы ни с чем каким другим не перепутаете".
В случае особо строгой защиты, должны восприниматься только запросы при личной встрече или посредством строгой аутентификациистрогого контроля, например, с при двухфакторной аутентификациииспользованием ключа, одной частью которого является совместный, разделяемый секрет, а другой – токен, личный секрет, изменяющийся во времени.
Классификация ценной информации должна подразумевать, что никакая
информация не должна предоставляться лицу, не знакомому вам лично или лицу, за которое не поручился ответственный начальник.
Так как же в этом случае обращаться с кажущимися приемлемыми запросами от служащих других компаний? Например, если вас просят список сотрудников группы, которая работает с внешним партнером? Как сделать так, чтобы подобные данные, которые по своей природе менее ценны, чем спецификации или планы стратегического развития, все же не оказались в руках злоумышленника? Большая Значительная часть решения заключается в организационной структуре. В каждой рабочей группе или отделе необходимо назначить ответственного за внешние контакты и снабдить это ответственное лицо необходимыми инструкциями и методами проверки достоверности поступающих извне запросов.
Примечание
Страшно сказать, но найдя имя в телефонном справочнике компании и перезванивая по этому номеру, вы не гарантируете проверку! Социоинженеры знают способы достаточные для того, чтобы как прописать свое подставное имя в справочнике и перенаправить вызов.
Телефонный звонок Линды
Время звонка: вторник, 23 июля, 3.12 дня.
Место: офис департамента финансов, Starbeat Aviation.
Телефон Линды Хилл зазвонил в тот момент, когда она составляла текст по заданию своего босса. Она посмотрел на определитель номера, чтобы понять, кто звонит. Там высветилось, что звонок исходит из корпоративного офиса в Нью-Йорке, но имя Виктор Мартин было ей незнакомо.
Она отправила звонок в голосовую почту, чтобы не прерывать течения своих мыслей при составлении документа. Однако любопытство взяло верх. Она взяла трубку, звонящий представился сотрудником PR-отдела, работающим над текстом для президента компании. “Он сейчас находится на пути в Бостон, где состоится встреча с банкирами. Ему нужны финансовые показатели за последний квартал”, - сказал он. “И еще один момент. Ему нужны финансовые показатели проекта Apache”, – добавил Виктор, используя кодовое название одного из продуктов, которые компания планировала выпустить этой весной.
Она спросила адрес его электронной почты, но он ответил, что у него как раз сейчас проблемы с почтой, техническая служба работает над этим, не могла бы она воспользоваться факсом? Она ответила, что нет проблем, и он дал номер факса.
Она послала факс через несколько минут.
Однако Виктор не работал в PR-отделе компании. Он вообще не работал в этой компании...
