Телефонный звонок Мей Лин
Место: региональный офис социального страхования.
Время: 10:18 утра, четверг.
– Вторая линия. Вас слушает Мей Лин Ванг.
Голос на другом конце телефонной линии звучит вежливо, почти застенчиво.
– Мисс Ванг, это Артур Арондейл из офиса Генерального инспектора. Можно называть вас просто Мей?
– Меня зовут Мей Лин.
– Хорошо, Мей Линн, вот в чем дело. У нас работает новый сотрудник, у него пока нет компьютера, а теперь он ведет проект и по необходимости использует мой компьютер. Мы - правительство самой богатой страны в мире, а денег на компьютер для сотрудника у нас нет. А мой босс только ставит задачи и не хочет слушать никаких оправданий их невыполнения.
– Я понимаю, что вы имеете ввиду.
– Не могли бы вы мне помочь сделать быстрый запрос в базе данных информации о налогоплательщиках?
– Конечно, что вас интересует?
– Мне нужны сведения о Джозефе Джонсоне, дата рождения 07.04.69.
После короткой паузы Мей Лин спрашивает:
– А что конкретно вы хотите знать?
– Какой у него номер социальной страховки?
Она диктует этот номер.
– Теперь давайте проверим все сведения о нем.
Мей Лин диктует место рождения, фамилию отца и девичью фамилию матери. Звонящий слушает, не прерывая, и узнает месяц и год, когда карточка была выдана и даже место ее выдачи.
Затем он задает вопрос о доходах за 2001 год и получает ответ: $190 286 были выплачены компанией Johnson MicroTech.
– Никаких других доходов?
– Нет.
– Спасибо, Вы очень любезны.
После этого звонящий договаривается о возможности следующего запроса, это обычный трюк социальных инженеров - всегда стараться установить долговременные отношение с конкретным служащим, чтобы избежать необходимости каждый раз организовывать новый контакт.
– Позвоните через неделю, – говорит Мей Лин, потому что всю следующую я проведу в Кентукки на свадьбе сестры. – В любое другое время я в вашем распоряжении.
Мей Лин кладет трубку и испытывает удовлетворение, потому что смогла помочь незаметному и недооцененному государственному служащему.
Телефонный звонок Мэри Х
Время: понедельник, 23 ноября, 7:49 утра
Место: бухгалтерское агентство Mauersby&Storch, Нью-Йорк.
Для большинства людей бухгалтерская работа, состоящая в постоянном перелопачивании горы чисел приносит примерно такое же удовольствие, как сверление канала в больном зубе. К счастью, не все согласны с этим мнением. Мэри Харрис, например, считает свое полное увлечение работой старшего бухгалтера одним из основных аргументов, почему ее считают одним из наиболее ценных бухгалтеров в компании.
В тот самый понедельник Мэри пришла на работу пораньше, чтобы поэнергичней начать этот долгий день и была очень удивлена ранним телефонным звонком. Она сняла трубку и представилась.
– Привет, это Петер Шеппард. Я из компании Arbuckle, мы занимаемся техническим обслуживанием компьютеров вашей фирмы. За выходные мы получили несколько жалоб на сбои в компьютерах. Я бы хотел разобраться с этими проблемами пораньше, чтобы люди могли нормально работать уже сегодня. У вас были проблемы с компьютером или при соединении с сетью?
Мэри ответила, что еще не знает. Она включила компьютер, и пока он загружался, звонящий объяснил ей, что хочет сделать.
– Я хочу провести несколько тестов с вашей помощью, - сказал он – Я могу видеть на своем экране текст, который вы печатаете на своем компьютере, я хочу убедиться, что он проходит через сеть без искажений. Поэтому, каждый раз как печатаете букву, говорите мне ее и я буду сверять с тем, что появляется у меня здесь на экране.
Представив себе бездну проблем, которая возникнет, если ее компьютер не заработает, Мэри была просто счастлива, что есть человек, который сможет ей помочь. Через несколько секунд она произнесла:
– На экране появилось окно логина, я набираю мой ID - печатаю - M...A...R...Y...D
– Отлично, – сказал он, – я вижу, что все правильно. Теперь набирайте свой пароль, но ни в коем случае не произносите его вслух. Вы не должны никогда говорить свой пароль никому, даже компьютерным специалистам. Я увижу на своем экране только звездочки - ваш пароль защищен и я не смогу его увидеть.
Все это было неправдой, но для Мэри звучало убедительно. Затем он сказал:
– Дайте мне знать, когда ваш компьютер начнет работать.
Когда она сказала, что компьютер заработал, он попросил ее запустить несколько приложений, и она ответила, что все заработало нормально. Мэри успокоилась, когда увидела, что все идет хорошо. Петер сказал:
– Я очень рад, что ваш компьютер в порядке. А теперь давайте попробуем установить новую программу, которая позволит сотрудникам менять их пароли. Потратьте на меня еще несколько минут вашего драгоценного времени, чтобы убедиться, что все работает нормально, хорошо?
Она была так благодарна, что он ее успокоил ее, поэтому сразу же согласилась. Петер стал диктовать шаги запуска приложения для смены пароля, которое на самом деле является стандартным элементом операционной системы Windows 2000.
– Набирайте свой пароль, – сказал Петер. – Но не называйте его вслух.
Когда она набрала пароль, Петер продолжил:
– Теперь для нашей проверки, когда вас попросят набрать новый пароль, введите «test123» и потом наберите эту строку еще раз в окошечке Verification.
После этого он попросил ее отсоединиться от сервера. Она подождала несколько минут и затем соединилась опять и вошла в свой компьютер с новым паролем. Все работало прекрасно. Петер был удовлетворен и попросил ее поменять этот тестовый пароль на ее первоначальный пароль или на любой другой и еще раз порекомендовал ей никогда не произносить свой пароль вслух.
– Отлично, Мэри, – сказал Петер. – Никаких проблем я не обнаружил и это просто прекрасно. Все же если будут какие-то проблемы, звоните нам в Arbuckle. Я обычно работаю над специальными проектами, но любой, кто вам ответит, сможет помочь.
Она поблагодарила, и они попрощались.
Терминология классифицированных данных
Основываясь на представленной выше классификации, данные распространяются среди нескольких групп людей. Правила политики применяются к информации, которая может попасть в руки неустановленных лиц. В контексте приведенных мною правил, неустановленное лицо – это человек, которого сотрудник не может однозначно идентифицировать себя в качестве служащего компании или лица, имеющего необходимые привилегии для доступа к запрашиваемой информации.
В рамках этой политики – доверенное лицо – это человек, которого вы знаете лично, который является клиентом, сослуживцем или наемным работником и у которого имеются все необходимые привилегии. Доверенным лицом может быть и человек из другой компании, с которой у вашей фирмы установлены надежные связи (например, стратегический партнер, уже подписавший соглашение о неразглашении информации).
Процедура поручительства заключается в том, что доверенное лицо удостоверяет статус некоторого человека и подтверждает, что этот человек имеет привилегии для доступа к информации или все необходимые санкции для совершения некоторого действия. Заметьте, что в рамках некоторых правил, прежде чем заверяться поручительством, необходимо убедиться также и в том, что доверенное лицо все еще является сотрудником компании.
Привилегированная учетная запись – компьютер или другой аккаунт, требующий дополнительные разрешения на доступ помимо основного; такую учетную запись имеет обычно администратор системы. Служащие с привилегированными полномочиями может изменять пользовательские учетные записи или исполнять системные функции.
Общий ящик голосовой почты отдела – это электронный ящик голосовой почты, который отвечает на входящие звонки в отдел. Такая система защищает имена и внутренние телефонные номера служащих отдела.
Терроризм
Без сомнения, искусно обманывать умеют не только социоинженеры. Сейчас, как никогда раньше, мир стал по-настоящему опасным. Цивилизация – это всего лишь тонкая оболочка, которую можно разрушить. И террористы на это способны.
Сентябрьские атаки на Нью-Йорк и Вашингтон посеяли грусть и страх в сердце каждого, не только американца, но и каждого любого здравомыслящего человека. Мы получили предупреждение: хорошо обученные, настойчивые террористы ждут возможности нанести повторный удар.
Усилия, которые предпринимаются государством, не могли не отразиться на сознательности граждан. Мы должны оставаться на стороже, охранять себя от проявлений терроризма. Мы должны понимать, каким образом террорист делает себе фальшивый паспорт и смешивается с толпой, скрываясь под видом добропорядочного гражданина. Плетя заговоры, террористы скрывают свои истинные цели – так, как это делает социоинженер и так, как это описано на страницах этой данной книги.
И пока, поверьте мне, террористы еще не использовали социальную инженерию, ее уловки, против корпораций, водоочистных сооружений, электростанций и прочей жизненно важной инфраструктуры. У них есть потенциал, все не так сложно, но становится трудно осуществимым, если управленцы подкованы в вопросах безопасности и способны регулировать деятельность в строгом соответствии с проработанной политикой безопасности.
Тот, кто звонил Анджеле
Место: Vallery branch, Индустриальный федеральный банк
Время: 11:25 утра.
Анджела Висновски ответила на звонок мужчины, который сообщил ей, что недавно получил хорошее наследство и теперь хочет поподробнее узнать о различных типах накопительных счетов, депозитов и других способов не только сохранить свои деньги в безопасности, но и преумножить их. Она ответила, что таких способов много и было бы лучше, если бы он пришел к ней в офис и обсудил различные возможности. Он ответил, что должен скоро уехать, а у него еще масса дел. Она начала предлагать ему различные варианты, объясняя преимущества тех и других.
Казалось, что дело движется, но собеседник неожиданно сказал, что должен ответить на другой звонок и попросил разрешения перезвонить позднее, осведомившись, когда Анджела уходит на ланч. Она ответила, что в 12:30, он пообещал позвонить завтра до этого времени.
Тот, кто звонил Донне Плейсер
– Добрый день, говорит мистер Ансельмо.
– Чем могу помочь?
– Напомните мне номер, начинающийся с 800, по которому я должен позвонить, чтобы убедиться переведены ли деньги с моего счета?
– Вы клиент нашего банка?
– Да, конечно, я просто давно не пользовался этим номером и не помню, где я его записал
– Это номер 800-555-8600.
– Спасибо.
Тот, кто звонил Луи
Большинство банков имеют внутренние коды безопасности, которые меняются ежедневно. Когда кто-нибудь из одного филиала банка, хочет получить информацию из другого филиала, он должен назвать код текущего дня. Для повышения уровня безопасности в некоторых банках коды меняются по несколько раз в день. В индустриальном банке, о котором идет речь, каждый сотрудник получает список из пяти кодов ежедневно, они помечены буквами от А до Е.
Место: то же самое
Время: 12:48
Луи Хальпберн не подозревал ничего необычного, когда ответил на звонок, совершенно обычный, на десятки подобных которому он отвечает каждую неделю.
– Здравствуйте. Это Нил Вебстер из филиала 3182 в Бостоне. Будьте добры Анджелу Висновски.
– Она обедает. Могу я вам чем-нибудь помочь?
– Да конечно. Она попросила нас послать ей по факсу информацию об одном из наших клиентов.
Голос звонящего звучал так, как будто у него был очень сложный день.
– Человек, который обычно занимается этим, болеет. У меня целая куча подобных дел, у нас уже четыре часа, и мне через полчаса надо идти к врачу...
Задумка социального инженера состоит в том, чтобы вызвать к себе сочувствие. После первой фразы он приступает к делу:
– Черт знает, кто записывал этот номер факса - не могу разобрать - 213 - дальше не читается. Какие там последние цифры?
Луи, естественно, говорит номер факса, тогда звонящий продолжает:
– Хорошо, спасибо. Но перед тем, как я пошлю вам факс, я должен узнать у вас код В.
– Но это вы звоните мне, – отвечает Луи достаточно суровым голосом, чтобы человек из Бостона понял, что имеет дело не с простофилей.
Это хорошо, в свою очередь думает звонящий, что человек не поддался первому нажиму. Если все мои попытки будут удаваться с первого раза, то работа станет слишком простой и я разленюсь.
Он говорит Луи:
– Вы знаете, у нас здесь начальник совсем помешался на безопасности и всегда требует спрашивать код, когда мы посылаем что-нибудь из нашего офиса. Если вам не нужен факс с этой информацией – пожалуйста.
Не надо называть никакого кода.
– Послушайте, – говорит Луи, – Анджела вернется через полчаса или около того, я могу попросить ее перезвонить вам.
– Я сообщу ей, что я не смог послать необходимую информацию, потому что вы не стали называть мне кода. Если я завтра не заболею, тогда я ей перезвоню. И все же на этом послании написано “Очень срочно”. Слушайте, без кода я не могу его вам передать. Пожалуйста, скажите ей, что я пытался это сделать, но вы отказались мне помочь.
Луи находится в раздумье.
– Хорошо, – говорит он, – подождите минуту, я посмотрю в компьютере. Какой код вам нужен?
– Код В, – отвечает звонящий.
Луи кладет трубку и через несколько секунд произносит:
– Код 3184.
– Код неправильный.
– Как неправильный? Правильный. Код В – 3184.
– Я просил Вас не В, а Е.
– Черт побери, подождите еще минуту.
Еще небольшая пауза, пока Луи смотрит значение кода Е:
– Е – 9697.
– 9697 - правильно. Посылаю вам факс.
– Спасибо.
Тот, кто звонил Вальтеру
– Индустриальный федеральный банк, Вальтер слушает.
– Вальтер, привет, это Боб Грабовский из филиала 38 в Студио Сити. Мне надо, чтобы вы прислали образец подписи и карточку одного из счетов по факсу.
В карточке кроме подписи содержится вся информация о владельце счета - номер социальной страховки, дата рождения, девичья фамилия матери, а иногда и номер водительского удостоверения. Очень полезная информация для социального инженера.
– С удовольствием. Назовите код С.
– Послушайте, Вальтер, мой компьютер сейчас занят другим сотрудником, я только что использовал коды В и Е и хорошо помню их. Спросите меня один из них.
– Хорошо, назовите код Е.
– Код Е – 9697.
Через несколько минут Вальтер передает по факсу карточку клиента.
Третий этап: определение необходимости запроса
Допустим, вы установили, что запрашивающий является действующим сотрудником компании или имеет соответствующие своему запросу взаимоотношения с фирмой. Этого не всегда достаточно. Необходимо удостовериться, что человек, с которым вы ведете диалог, располагает необходимыми привилегиями (для получения информации) или санкциями (если требует от вас выполнения каких бы то ни было действий, связанных с компьютерной техникой).
Ваши действия должны соответствовать одной из следующих процедур:
·
Проверка соответствия запроса статусу, должностным обязанностям или принадлежности к рабочей группе. Администрация компании может предоставлять для своих сотрудников своего рода схему сопоставления информации с лицами, имеющими к ней доступ. Эта схема может опираться на должности, отделы, рабочие группы, или на некоторую комбинацию этих условий. Такого рода схемы должны постоянно обновляться и, что немаловажно, вы должны иметь к ним непосредственный доступ в режиме реального времени. Поддерживает и отвечает за такие схемы обычно хранитель информации, о котором упоминалось выше.
Третий звонок: Генри Мак-Кинси
– CreditChex, это Генри Мак-Кинси, чем могу быть полезен?
Звонящий представился служащим банка Нэшнл. Он назвал текущий идентификатор и затем имя и номер страхового свидетельства [sinm6] человека, на которого хотел получить финансовое досье. Генри попросил уточнить дату рождения, и сотрудник банка ответил ему. Через несколько секунд, Генри начал зачитывать информацию со своего дисплея:
– Уэльское отделение Fargo в 1998 заявило о недостаче$$NSF – nonsufficient funds. Недостача, банковский термин, означающий ситуацию, при которой клиент выписывает чек на свое имя, а позже обнаруживается, что сумма банковского счета не способна покрыть этот чек.$$, было это один раз и на сумму 2066 долларов.
– Что-нибудь еще за ним числится?
– Нет, больше ничего.
– Кто еще запрашивал досье на этого человека?
– Сейчас посмотрим. Вот здесь, два запроса и оба за последний месяц. Третий Юнайтед Кредит Юнион в Чикаго.
Генри не смог сразу произнести второе название и прочел его по буквам:
– Шенектеди Мьюшал Инвестментс. В Это в штате Нью-Йорк.
Третий звонок: Помощь врага
Примерно через час, у парня, назвавшегося Эдди Мартин, зазвонил мобильный. Он в этот момент был в магазине электрочастей City Circuit. Посмотрев на номер вызывающего абонента, Эдди сразу понял, что это звонят из компании Shipbuilding, и прежде чем ответить, поспешил в сравнительно тихое место за стеллажами.
– Служба поддержки, Эдди.
– О, Эдди. Плохо слышно – эхо, вы где?
– Я, хм, в аппаратной. Кто говорит?
– Это Том Де Лей. Боже, как хорошо, что я вас нашел. Помните, вы звонили мне пару дней назад? Сеть только что упала, все именно так, как вы и говорили. Я начинаю нервничать.
– Да, сейчас у многих нет соединения. Мы с этим разберемся до завтра. Нормально?
– Нет! Черт, это сильно затормозит работу. Вы можете что-то для меня сделать?
– Сейчас это очень нужно?
– Конкретно сейчас я могу заняться другими делами. Так можно все исправить в ближайшие тридцать минут?
– ПолчасаЗа полчаса?! Ничего лучше придумать не могли?! Хорошо, знаете что, я сейчас отвлекусь на вашу задачу. Посмотрим, может успею.
– О, я очень благодарен за это, Эдди.
Третий звонок: Спасительное «ошиблась номером»
Следующая задача Диди заключается заключалась в том, чтобы превратить код калькуляции – своеобразный джокер в покерном раскладе – в нечто более полезное.
Прежде всего, она перезвонила в отдел по работе с недвижимостью, прикрываясь тем, что ошиблась номером. Она объяснила своему собеседнику, что является рядовым сотрудником компании, который потерял корпоративный справочник и пытается выяснить, где можно раздобыть копию такого справочника. В ответ ей объяснили, что печатная версия безнадежно устарела и лучше посмотреть на интранет-сайте.
Диди более устраивает справочник на бумаге и собеседник советует ей перезвонить в маркетинговый отдел и далее, не дожидаясь вопросов - может быть только потому, чтобы чуть дольше пообщаться с соблазнительным голосом – услужливо нашел и предоставил ей номер этого самого маркетингового отдела.
Трюк с кольцовкой
Каждая телефонная компания обычно раз в год выпускает книжку, которая называется Справочник Тестовых тестовых Номеров номеров (во всяком случае раньше было так, а теперь я не собираюсь это уточнять, находясь на условно-досрочном освобождении и под наблюдением). Фрикеры высоко ценят такие эти справочники, так как в них публикуются номера для служебного пользования внутри телефонной компании, вроде пробных номеров для прозвона магистралей и вечно занятых линий.
Один из таких номеров на телесленге называется кольцовкой
(loop-around) и особенно популярен среди фрикеров, которые используют его для переговоров и поиска своих собратьев в телефонной сети. Кроме того, кольцовку можно использовать в качестве прикрытия, звоня, скажем, в банк. Социоинженер может оставить такой номер сотруднику банка, чтобы тот перезвонил ему «в офис». В результате банкир перезвонит на номер, который перехвачен социоинженером и местоположение которого нельзя отследить.
Короче говоря, справочник тестовых номеров содержит массу крайне заманчивых данных для любого инфоголодного и тестостеронизированного фрикера. Так что появления каждого нового релиза справочника ждут и жаждут массы хакеров, чье хобби – путешествия по телефонным сетям.
Комментарий Митника
Корпоративная политика безопасности обязана предусматривать в своем контексте тренинги по защите информационных ресурсов. И важно здесь то, что эти тренинги должны посещать все служащие компании, а не только те, кто непосредственно работает с IT-ресурсами.
Уборщики
Для любой компании, где охранники не дежурят круглосуточно, большой проблемой становится доступ атакующих в офис в нерабочие часы. Уборщики обычно с уважением относятся к любому представителю компании, который появится в этот момент в офисе. Этот человек может причинить им немало неприятностей, а то и вовсе уволить с работы. По этой причине все уборщики, как работающие в компании, так и приглашенные извне должны быть строго проинструктированы о возможности физического проникновения посторонних лиц на территорию компании.
Работа уборщика не требует никакого специального образования и даже умения говорить по-английски. И если с ними и проводятся инструктаж, то только на тему, какие чистящие средства в каких случаях применять. Чаще всего они не слышат указаний типа: «Если кто-то просит вас впустить его в офис компании в нерабочие часы, то вы должны проверить его документы, позвонить в свой центральный офис, объяснить ситуацию и ждать указаний».
Компании должны разработать план поведения в ситуациях, описанных в этой главе, и соответственно проинструктировать всех людей. Мой личный опыт говорит, что частные компании недостаточно жестко соблюдают именно физический аспект безопасности. Можно попытаться подойти к проблеме с другой стороны и переложить ответственность за ее решение на самих сотрудников компании. Если у вас нет круглосуточной охраны, то ее сотрудники должны знать, что для прохода в офис во внерабочее время они должны пользоваться своими ключами или электронными карточками доступа и никогда не возлагать на уборщиков ответственность принятия решения - кого пускать, а кого - нет. Уборщикам же надо строго настрого запретить пускать кого-либо в нерабочие часы в офис компании. Это достаточно простое правило. Не открывать дверь никому. Такое условие может даже быть вписано в текст контракта с компанией уборщиков.
Также уборщики должны быть ознакомлены с техникой «проскальзывания» за спиной настоящих сотрудников. Нельзя никого пропускать в здание вместе с собой, даже если этот человек выглядит как сотрудник компании.
Кроме того, несколько раз в год осуществляйте проверочное проникновение в здание. Пусть кто-то попытается проникнуть в офис компании, когда там работают уборщики. Для этой нелегкой работы можно привлечь сотрудников определенных компаний, специализирующихся именно на таких работах.
Учитесь доверять с умом
Охранять бизнес от шпионского вторжения должны не только те, кто имеет непосредственное отношение к наиболее ценной документации, как-то разработчики НИОКР или сотрудники бухгалтерии. Каждый человек на фирме должен уметь защищаться и защищать корпорацию от нападений информационных грабителей и вообще от всяких проявлений индустриального шпионажа.
В основе защиты лежат работы по оценке информационных активов предприятия, изучение изучению каждого ценного файла или документа, ознакомление ознакомлению с методами потенциальной компрометации дискредитации этих активов с помощью социальной инженерии. Решение этого всего комплекса проблем позволит разработать адекватный курс – тренинг для сотрудников, работающих с внутренней информацией.
Сделайте так, чтобы ваши сотрудники взяли за правило задавать себе несколько вопросов, когда незнакомец пытается получить информацию или спровоцировать собеседника на манипуляции с компьютером. Если я скажу то, о чем меня просят своему самому страшному врагу, как это может повлиять на мою компанию? Вполне ли я понимаю, что произойдет, если я введу в компьютер команду, о которой меня попросили?
Мы вовсе не желаем жить с постоянным чувством подозрения к каждому новому знакомому. Однако чем более мы доверчивы, тем вероятнее, что очередной появившийся в городе социоинженер сможет заставить нас подарить ему информацию, которой вправе распоряжаться только наша компания и никто больше.
Учиться, учиться и еще раз учиться...
Есть старая шутка про приезжего в Нью-Йорке, который поинтересовался у человека на улице: "Как попасть в Карнеги Холл?". Человек ответил ему: "Старайся, тренируйся, практикуйся." Мы все настолько подвержены угрозе социальной инженерии, что единственный эффективный способ для защиты компании защититься – это обучать и практиковать персонал так, чтобы каждый смог вовремя распознать в собеседнике атакующего.
Служащие должны воспитать в себе некоторое чувство подозрительности и пользоваться этим чувством, контактируя с незнакомыми людьми, особенно если незнакомец старается получить доступ к компьютерам или сети. Человеку свойственно доверять окружающим, но, как говорят японцы, бизнес – это война. И ваш бизнес не может должен позволить позволять себе обезоруживать собственную охрану. Корпоративная политика безопасности должна четко определять соответствующее и несоответствующее поведение людей.
Безопасность не бывает универсальной или всеразмернойподходящей для любого случая. У разных служащих разные должностные роли, разные обязанности, а каждая должность имеет собственные и специфические уязвимости. Помимо общей, начальной программы подготовки, фирма должна позаботиться и о тренингах, ориентированных на отдельные должности, имеющие, помимо специфических уязвимостей, и свои собственные методы защиты. Дополнительные знания должны получать и люди, по долгу своей службы работающие с ценной служебной информацией.
Умные мошенничества
До сего момента вы уже поняли, что когда посторонний человек звонит в компанию с запросом о важной информации или такой, которая может представлять интерес для него, то тот, кто отвечает на звонок, должен следовать специальной инструкции. Сотруднику компании следует спросить телефон звонящего и перезвонить по этому телефону, чтобы убедиться в том, что человек на проводе является сотрудником компании, или партнером по бизнесу, или представителем одного из поставщиков оборудования.
Но даже когда в компании есть четкая процедура для проверки личности звонящего, у опытного хакера в запасе всегда есть несколько приемов для того, чтобы заставить жертву поверить в то, что он действительно тот человек, кем представляется. Даже очень осторожные люди могут быть введены в заблуждение методами, о которых пойдет речь ниже.
Униженный босс
Никому не пришло ничего в голову, когда Харлан Фортис пришел на работу в понедельник утром и сказал, что он забыл дома свой бедж, так как ужасно спешил. Охрана была свидетелем, как Харлан приходил и уходил каждый будний день на протяжении двух лет, что он здесь работает. Женщина-охранник попросила его расписаться за временный бедж, вручила ему этот пропуск, и он пошел своей дорогой.
Только спустя два дня начались неприятности, и ситуация стала выходить из-под контроля. Эта история распространилась по всему отделу со сверхъестественной быстротой. Половина людей, которые слышали ее, говорили, что этого не могло быть. Остальные просто не знали, смеяться ли им или сочувствовать бедняге.
Но, в конце концов, Джордж Адамсонг был добрым и сострадательным человеком, самым лучшим начальником отдела, который когда-либо здесь работал. Он совершенно не заслужил всего того, что с ним случилось. Принимая во внимание, что произошло на самом деле, конечно.
Все началось с того, что Джодж позвонил Харлану в офис в пятницу вечером и очень осторожно сообщил ему, что со следующего понедельника Харлану нужно будет явиться на новую работу. В отдел по санитарии. Это было хуже, чем быть уволенным; это было унижение. Харлан не мог с этим просто так смириться.
Тем же самым вечером он уселся на крыльцо дома и стал наблюдать за движением на дороге, которая проходила рядом с домом. Наконец он увидел соседского мальчишку, Девида, которого все называли «Любитель компьютерных стрелялок». Он возвращался на своем мопеде из школы домой. Харлан остановил Девида, угостил вишневым напитком Маунтен Дью, который он специально приобрел для своей цели, и предложил мальчику сделку: самая последняя модель игровой приставки и шесть игр в обмен на небольшую помощь и обещание молчать.
Затем Харлан объяснил суть проекта, не вдаваясь в детали, которые могли бы его скомпрометировать, и мальчик согласился. Девид описал Харлану, что нужно было сделать. Ему нужно было купить модем, пройти в офис, найти компьютер рядом со свободной телефонной розеткой и подключить туда модем. Затем спрятать модем под столом, чтобы никто его не обнаружил. Потом был опасный момент: Харлану нужно было сесть за компьютер, установить удаленный доступ к компьютерным программам и запустить его. В любой момент мог появиться кто-нибудь, кто работал в этом офисе, или проходящий мимо человек мог заметить его сидящим за чужим компьютером. Харлан был настолько напряжен, что едва смог прочитать инструкцию, которую ему написал мальчишка. Но ему удалось сделать все как надо, и он незаметно улизнул из офиса.
Управленческая политика
Следующие правила приведены для менеджеров компании. Эти правила разделены на категории: «Классификация данных», «Распространение информации», «Администрирование телефонных систем» и «Разное». Для быстрого поиска и идентификации соответствующей процедуры, правила имеют сквозную нумерацию.
Ускоренная загрузка
Через десять лет после окончания юридической школы, Нед Расин наблюдал за своими однокашниками, который жили в симпатичных домах с лужайками перед входом и дважды в неделю играли в гольф, тогда как он разбирался с мизерными проблемами людей, у которых никогда не было денег, чтобы оплатить счета. Зависть – плохой советчик в жизни. И однажды терпению Неда пришел конец.
Ему попался наконец единственный хороший заказчик, с небольшим, но очень успешным консалтинговым бизнесом и специализации на слияниях и приобретениях компаний. Они долго не использовали услуги Неда, достаточно долго для того, чтобы тот понял, что они вовлечены в такие дела, которые, попав на первые страницы газет, могут повлиять на биржевую стоимость нескольких известных компаний. Если бы он только смог проникнуть в их базу данных и понять, над чем они работают в данный момент...
Он знал человека, у которого был знакомый, осведомленный в подобных делах. Он выслушал план Неда, заинтересовался и согласился помочь. За небольшую плату этот человек дал Неду определенные инструкции о том, что предстоит сделать. Кроме того, он дал еще и небольшое устройство, новинку на рынке высоких технологий.
В течение нескольких дней Нед наблюдал за парковкой, расположенной перед неприметным офисом той самой компании. Большинство сотрудников уходило с работы между половиной шестого и шестью часами. К семи офис уже был пуст. В половине восьмого появлялись уборщики. Прекрасно.
Следующим вечером без чего-то восемь Нед припарковал машину на офисной стоянке. Как он и ожидал, офис был пуст, не считая стоявшего перед входом грузовика компании по уборке помещений. Нед приложил ухо к двери и услышал доносящийся оттуда шум работающего пылесоса. На нем был костюм и галстук, а в руке – дорогой портфель. Нед сильно постучал в дверь. Ответа не было, он терпеливо подождал, потом постучал еще раз. Наконец-то дверь открылась, и из-за нее появился уборщик. «Привет», – прокричал Нед через стеклянную дверь, показывая визитную карточку одного из сотрудников, которую он достал чуть раньше. «Я забыл свои ключи в машине и мне надо добраться до рабочего стола».
Мужчина открыл дверь и опять закрыл ее за Недом, после этого он пошел по коридору и включил свет так, чтобы Неду было видно, куда идти. А почему бы и нет - он должен быть вежлив с одним из тех, кто платил ему за работу. Наверняка одна из подобных мыслей шевельнулась в его голове.
Нед сел за компьютер одного из сотрудников и включил его. Затем установил в USB-порт компьютера небольшое устройство - вещицу размером с брелок для ключей, способную содержать, тем не менее, 120 мегабит данных. Он вошел в сеть, используя имя и пароль секретарши, которые были написаны на листке бумаги, прикрепленном к дисплею. Всего за пять минут Нед закончил перекачивать все файлы с таблицами и документами с рабочего компьютера и сетевых папок и отправился домой.
Услужливая Андре
– Кадровый отдел, Андре Коллаген.
– Андре, привет, это Алекс, из Службы Безопасности.
– Да?Слушаю.
– Как дела?
– Хорошо, чем могу помочь?
– Значит так. Мы готовимся к семинару по безопасности для новых служащих и нам нужен материал, на ком испытать программу. Мне нужны имена и телефоны всех новых служащих, нанятых в последние несколько месяцев. Вы можете мне помочь с этим?
– Я займусь этим не раньше полудня. Это подойдет? Ваш добавочный?
– Да, конечно, 52. О, даНо, я практически весь день буду на совещании. Когда в перерыве зайду в офис, я сам вам перезвоню. Примерно через час.
Когда Алекс позвонил, Андре уже собрала всю информацию и зачитала ему имена и телефоны новых сотрудников.
Установка бомбы
Давид заскочил к Харалну тем же вечером после обеда. Они уселись за компьютер Харлана, и мальчишка всего за несколько минут подключился к модему и затем к компьютеру Джорджа Адамсона. Это было совсем несложно, так как у Джорджа никогда не хватало времени на меры предосторожности, такие как смена пароля. Потом он постоянно просил то одного, то другого человека скачать его почту или загрузить файл на его компьютере, и, в конце концов, все в офисе знали его пароль.
После недолгого поиска они наткнулись на файл «Презентация бюджета 2002», который и загрузили на компьютер Харалана. После этого Харалан отправил мальчика домой и сказал вернуться через несколько часов.
Когда Девид вернулся, Харлан попросил его подключиться еще раз к компьютерной системе Дорожного департамента и поместить этот файл, правда слегка измененный, туда же, где они его и нашли. Харалан показал Девиду игровую приставку и пообещал, что если все получится, то Девид получит эти приставку уже на следующий день.
В желании продвинуться по службе
Одним прекрасным осенним утром, Питер Милтон, вошел в зал регионального офиса «Знаменитые автозапчасти» в городе Денвер. Этот офис занимался оптовой торговлей запчастей на авторынке. Питер остановился возле стойки администратора и наблюдал, как молодая леди одновременно записывала посетителя, объясняла по телефону дорогу и разбиралась с курьером из «ЮПС».
– Как вы научились делать столько много дел одновременно? – спросил Питер, когда она освободилась. Она улыбнулась, очевидно довольная, что он это заметил. Питер сказал ей, что работает в отделе маркетинга в городе Даллас, и что у него назначена встреча с Майклом Талботом из отдела продаж компании «Атланта». – Нам нужно будет встретиться с одним клиентом сегодня после обеда. Я тогда подожду его здесь, в зале.
– Маркетинг, – произнесла молодая леди почти с грустью. Питер улыбнулся, ожидая услышать, что она скажет. – Если бы я поступила в колледж, я бы выбрала Маркетинг. Мне бы очень хотелось заниматься маркетингом.
Он снова улыбнулся.
– Кайла, – произнес он, прочитав ее имя на табличке. – У нас в офисе есть женщина, которая работала секретарем. Ей удалось перейти в отдел маркетинга три года назад. А сейчас она уже помощник менеджера по маркетингу, то есть поднялась на 2 ступеньки вверх.
Кайла посмотрела задумчиво. Питер продолжал:
– Вы умеете пользоваться компьютером?
– Конечно, – ответила она.
– Как бы вы отнеслись к тому, если бы я предложил вам работу секретаря в отделе маркетинга?
– Ради этого я бы могла переехать в Даллас, –просияла она.
– Вам понравится Даллас, – произнес Питер. – Я не могу вам пообещать прямо сейчас, но я посмотрю, что смогу сделать.
Она подумала, что этот приятный мужчина в костюме, галстуке, аккуратно подстриженный и хорошо причесанный может сильно изменить ее карьеру.
Питер сел в зале, открыл свой ноутбук и начал работать. Через 10 или 15 минут он подошел к стойке снова.
– Похоже, что Майкл задерживается. Есть ли здесь какая-нибудь комната для переговоров, где я мог бы проверить мою электронную почту пока жду Майкла?
Кайла подозвала человека, который координировал расписание для конференц-залов, и попросила его найти свободную комнату для Питера. Следуя примеру компаний из Силиконовой Долины (возможно, компания «Эппл» первая изобрела это), некоторые переговорные были названы именами героев из мультфильмов, другие именами сетей ресторанов, звезд кино или героев из комиксов. Питеру сказали, что свободна комната Мини Маус. Она попросила его расписаться и сказала, где находится эта комната.
Он нашел комнату и подключил ноутбук к локальной сети компании.
Вы уже поняли?
Правильно – самозванец подключился к сети, минуя межсетевой экран.
Вариации на тему: пластиковые кражи
Борьба за доверие вовсе не обязательно подразумевает долгие телефонные переговоры с жертвой. Я обращаю ваше внимание на другой случай, очевидцем которого я был и который уложился в пять минут.
Вариации на заданную тему
В эру Internet интерента появился новый вид мошенничества, последовательность махинаций, в результате которых пользователь попадает на фальшивый сайт. Приведенный ниже пример отлично иллюстрирует механизм такого жульничества.
Визит в студию
Вы обращали внимание на то, как некоторые люди проходят мимо охранников в какое-нибудь заведение, скажем, в ресторан отеля, где намечается частная вечеринка, пресс-конференция или другое закрытое мероприятие, не показывая никаких документов, и при этом никто их об этом даже и не просит?
Таким же образом и социальный инженер в простом разговоре может выведать у вас множество информации, которую вы сообщите ему, сами о том даже не ведая. Вот хороший пример из киноиндустрии.
– Офис Рона Хиларда, Дороти слушает.
– Дороти, привет. Меня зовут Кил Беллами. Я только что приехал, чтобы работать над мультипликацией в команде Брайана Гласмана. У вас тут все по-другому устроено...
– Я никогда не работала на других студиях, поэтому – не знаю. Чем могу Вам помочь?
– Честно говоря, я чувствую себя не в своей тарелке. Ко мне должен придти вечером сценарист для обсуждения кое-каких дел, но я не знаю, с кем поговорить о том, чтобы организовать нашу встречу. В офисе Брайна есть симпатичные ребята, но мне просто не хочется отрывать их от работы и нагружать своими проблемами. Впечатление такое, будто только поступил в институт и не можешь найти дорогу в туалет, вы понимаете, что я имею в виду?
Дороти смеется.
– Лучше всего обратиться в службу безопасности. Наберите «7», потом «6138». Если трубку возьмет Лоран, скажите, что Дороти просила ее позаботиться о вас.
– Дороти, спасибо огромное! А если я все же не найду мужской туалет, то я еще раз обращусь к Вам за помощью...
Собеседники весело обсуждают эту забавную проблему и кладут трубки, абсолютно удовлетворенные друг другом.
Внедряясь в систему
Принцип использования подобной информации в обмане чиновников или бизнесменов остается прежним: если социоинженер знает, как получить доступ к определенным базам данных или программам, или знает имеет представление об адресациию компьютеров корпорации, он знает, как получить кредит доверия.
Получить в свое расположениеПрисвоить нужную информацию вовсе не сложно, если знаешьпонимаешь, как это сделать. В нашем примере социоинженер должен был бы начать со звонка в телетайп-офис полиции штата. Там можно поинтересоваться чем-то вроде:
– Когда я запрашиваю OFF в базе NCIC, я получаю ошибку ‘Система не работоспособна.’ У вас происходит тоже самое в ответ на команду OFF? Можете для меня проверить?
А может быть, вместо кода преступления (OFF), наш социоинженер попытается выудить данные, опираясь на файл разыскиваемого преступника. Это не столь важно.
Клерк из телетайп-офиса скорее всего подумает, что звонящий отлично разбирается в процедурах общения с базой данных NCIC и прошел специальную подготовку.
После того, как клерк убедится (естественно!) в работоспособности своей системы, разговор может продолжиться примерно следующим образом:
– Мне понадобится помощь.
– Что вы ищите?
– Мне нужна OFF-команда на Рэрдона Мартина. Дата рождения 18.10.66.
– SOSH?
– 700-14-7435.
Изучив список на дисплее компьютера, клерк мог бы ответить так:
– На нем 2602.
Атакующему после этого остается лишь заглянуть в указатель NCIC и сопоставить полученную цифру со следующим следующей фактоминформацией: «За человеком числится уголовное дело о мошенничестве.»
Сленг
SOSH – так в силовых структурах называют номер карты социального страхования в силовых структурах.
Возможноcти: вам звонит президент США
Когда-то я работал в Лос-Анджелесе на радиошоу под названием “Темная сторона Интернета” на KFI Talk Radio, и моим начальником был директор программ по имени Дэвид. Его, как настоящего “трудоголика”, было очень непросто поймать по телефону, потому что он всегда был занят и отвечал на звонок только тогда, когда определитель показывал, что звонит кто-то достойный ответа.
У меня тогда стоял антиопределитель номера на сотовом телефоне, Дэвид не мог понять, кто ему звонит, и никогда не отвечал на мои звонки. Они всегда переправлялись на запись в голосовую почту, и это меня очень раздражало.
Я поговорил об этой проблеме со своим старинным другом, который владел компанией, связанной с недвижимостью, и предоставлял площади под офисы высокотехнологичным конторам. Вместе нам удалось выработать план. У него был доступ к телефонному переключателю Meridian, принадлежащий его компании, что давало возможность программировать номера исходящих телефонных звонков, как было рассказано в предыдущей истории. Когда мне надо было прозвониться к директору, я просил моего друга запрограммировать звонок на какой-либо номер. Иногда я просил, чтобы мой звонок выглядел исходящим от помощника директора, а иногда - от руководства холдинговой компании, которая была собственником радио.
Но наиболее эффективным было перепрограммирование на показ номера домашнего телефона Дэвида, тогда он брал трубку всегда и безо всяких сомнений. Я полагался в таком случае на его чувство юмора: он брал телефон, чтобы поговорить с женой или детьми и слышал мой голос, понимая, что я опять его дурачу. Приятно было, что в таком случае он не сразу бросал трубку и выслушивал все, что я хотел ему сказать.
Я демонстрировал этот фокус на выставке Art Bell Show, когда на телефоне человека, принимающего мой звонок, появлялся номер штаб-квартиры ФБР. Многие люди были напуганы такой акцией и ругали меня за то, что я делаю что-то противозаконное. Но я убедил их, что все абсолютно законно, поскольку я не использую этот обман в своих интересах.
После выставки я получил несколько сотен предложений с просьбой объяснить, как я это сделал. Теперь вы все знаете.
Это уникальная возможность создать кредит доверия для социального инженера. В процессе подготовки аферы атакующий может звонить своим абонентом, представляясь кем угодно и получая от них любую нужную информацию.
Атакующий может позвонить вам домой, представившись сотрудником IТ-департамента вашей компании. Он может попросить ваш пароль для того, чтобы срочно восстановить ваши файлы после отказа сервера. На определителе вашего телефона может появиться телефон вашего банка или брокера и милый женский голос поинтересуется номером вашего счета и девичьей фамилией вашей мамы. Тот же голосок может спросить о пароле вашего доступа для быстрого решения проблем в компьютерной системе. Звонки могут исходить и из таких уважаемых банков как Merril Lynch
или Citibank. Кто-то может позвонить вам из офиса Visa и убедить вас сказать ему номер вашей карточки, не говоря уже о строгих звонках из правоохранительных органов.
Если у вас есть доступ к телефонной системе, плюс некоторый опыт в перепрограммировании, вы можете подшучивать над друзьями как угодно. Если у кого-то из ваших знакомых есть политические амбиции, то ему можно позвонить из “БЕЛОГО ДОМА”!
Он вполне может вообразить, что ему звонит президент США!
Мораль истории очень проста: нельзя доверять определителю номера вашей корпоративной сети, за исключением тех случаев, когда речь идет о звонках внутри компании. Во всех остальных случаях - дома или на работе - надо четко осознавать, что телефонному номеру на определителе верить нельзя.
Все не так надежно, как вам хотелось бы думать
«Администрация компании, которая не задумывается о защите собственной служебной информации – слишком беспечная администрация». Большинство людей думают в этом духе. Жить было бы гораздо проще, если бы все было так очевидно и просто. Правда же заключается в том, что компании, тратящие огромные усилия на защиту информации, все равно остаются под серьезной угрозой.
Здесь изложена история, иллюстрирующая, как компания может обманывать себяобманываться, считая, что их собственные средства безопасности, разработанные опытными профессионалами, не могут быть подавлены преодолены атакующими.
Вступительное слово
Мы, люди, существуем с врожденным желанием познания, желанием изучать природу окружающих нас вещей. Кевин Митник и я – молодые люди, любопытные и жаждущие самоутверждения. Мы получали удовольствие, изучая новое, решая головоломки и выигрывая. И в то же время, окружающий мир учил нас правилам поведения, законам, ограничивающим стремления свободолюбивого исследователя. Для Кулибиных, смельчаков-изобретатетелей, разрушающих стереотипы технологического прогресса, так же как и для Кевина Митника, - это внутреннее стремление к исследованиям позволяет делать то, что кажется невозможным для других.
Кевин Митник – один из лучших людей, с которыми мне приходилось иметь дело. Спросите его и он Вам ответит, что то, чем ему приходилось заниматься – социальная инженерия – это, по сути, не в последнюю очередь[n1], обман людей. Но тТеперь Кевин уже не социоинженер. А когда им был, то не во вред другим и не для собственной наживы. Это не говорит не о том, что социоинженеры, сами по себе, не представляют угрозы для общества и не являются опасными преступниками. Социальная инженерия, без сомнения, вредоносна. И Кевин написал эту книгу только для того, чтобы показать, насколько опасны эти люди.
Искусство маскировки[n2] Книга The Art of Deception – искусство лжи
или искусство обмана – доказывает, насколько мы все уязвимы. Правительство, бизнес, каждый человек в отдельности – все может пасть жертвой социоинженера. В современном мире, где безопасность подчас выходит на первый план, на защиту компьютерных сетей и информации тратятся огромные деньги. Деньги тратятся на технологии безопасности. Эта книга объясняет, как просто бывает перехитрить всех защитников и обойти технологическую оборону.
Если Будь Вы бизнесмен или чиновник государственный служащий, Вам несомненно, Вам будет интересно узнать, как работают социоинженеры и как отразить нападение с их стороны. Кевин и его соавтор, Бил Саймон, рассказывают множество специально придуманных историй, которые сами по себе интересны, и более того, раскрывают секреты андеграунда социальной инженерии. Каждая история комментируется авторами, которые дают практические советы по защите от атак, по обеспечению корпоративной безопасности и снижению информационной угрозы.
Технологическая защита имеет свои бреши, которые надо уметь закрывать. И в этом нам способны помочь такие люди, как Кевин. Прочтите книгу, и Вы, наверняка, осознаете, что нужно руководствоваться не только привычным пониманием безопасности, но и обращаться за советом к человеку, мыслящему как Кевин Митник.
Второй этап: удостоверение статуса сотрудника
Внимание! Вы подвергаетесь наибольшему риску не со стороны социоинженера или опытного хакера, а со стороны гораздо более близкого для компании человека. Представьте себе только что уволенного сотрудника (или партнера, разорвавшего отношения с вашей фирмой), который мечтает продолжить карьеру за ваш счет.
Прежде чем предоставить хоть сколь либо ценную информацию, проверьте, является ли еще ваш собеседник сотрудником компании.
· Проверка по справочнику. Если на фирме присутствует обновляемый справочник контактной информации сотрудников, сверьтесь с ним.
· Контакт с руководителем. Соединитесь с руководителем запрашивающего по известному вам номеру телефона.
· Контакт с отделом или рабочей группой. Свяжитесь с департаментом инициатора запроса и узнайте, работает ли у них этот человек.
Второй звонок: Джинни
– Спасибо, что позвонили в Студио Видео. Это Джинни. Чем могу вам помочь?
– Привет, Джинни, – звонящий говорил с энтузиазмом и казалось, что он общается с Джинни чуть ли не каждый день. – Это Томми Алиссон, менеджер из магазина 863 по Форест Парк. У меня клиент, который хочет получить Рокки 5, а у нас все копии на руках. Не посмотрите, может у вас есть?
Джинни вернулась через несколько секунд:
– О да, у нас три копии.
– Хорошо, я спрошу, сможет ли он подъехать к вам. Слушайте, спасибо. Если вам вдруг потребуется помощь от нашего магазина, позвоните и спросите Томми. Я буду рад помочь, если смогу, конечно.
В течение нескольких последующих недель Томми звонил Джинни три или четыре раза, то с одним вопросом, то с другим. Это были обычные просьбы, он был вежлив, и не было похоже, что он с ней заигрывает. Кроме всего прочего, он был болтлив: «Слышала о пожаре в Оак Парк? Там все улицы перекрыли». И тому подобное. Его звонки немного разбавляли рутинные дни, и Джинни им была рада.
Однажды Томми позвонил в некотором замешательстве. Они спросил:
–У вас там нет проблем с компьютерами?
– Нет, – ответила Джинни. –А почемучто случилось?
– Один парень разбился о телефонный столб, а техник из телефонной компании сказал, что пока не восстановит линию, часть города останется без телефона и интернета.
– О нет! Человек пострадал?
– Его увезли в реанимацию. Как бы там ни было, мне потребуется помощь. У меня здесь ваш клиент. Он хочет Крестного Отца, вторую часть. И у него нет с собой карточки. Вы можете для меня проверить его данные?
– Да. Конечно.
Томми продиктовал его имя и адрес, а Джинни нашла запись в базе данных, после чего сказала ему номер его счета.
– Возвращал все вовремя? Нет долга на балансе? - спросил Томми.
– Ничего такого не вижу.
– Отлично. Я запишу его от руки на счет в нашем отделе и потом перенесу запись в компьютер, позже, когда восстановят сеть. Он хотел оплатить по карте Visa, которую использовал и у вас, но не может найти эту карту. Скажите мне номер карты и срок действия.
Она произнесла номер и дату окончания действия карты. Томми сказал:
– Слушайте, спасибо. Я еще позвоню, – и повесил трубку.
Второй звонок: Кати
Следующий звонок последовал в другой магазин из этой же сети, но теперь на улице Норд Броад.
– Привет, Электрон Сити. Говорит Кати, чем могу помочь?
– Кати, привет. Это Вильям Хадли из магазина на Вест Джирар. Как у вас дела?
– Вяло. Что случилосьТак себе. А вас как?
– У меня покупатель на одноцентовую программу. Ты понимаешь, о чем я?
– Конечно. Я продала несколько на прошлой неделе.
– У вас еще остались телефоны, которые идут с этим тарифным планом?
– Целая груда.
– Отлично. Я только что продал один. Мы подписали контракт. Я проверил чертов наш запас и оказалось, что этих телефонов уже нет. Мне так неловко. Можешь сделать одолжение? Я отошлю его к вам за телефоном. Сможете продать ему этот телефон за цент и выписать чек? Я сказал ему, чтобы он перезвонил потом с этого телефона, а я подскажу ему, как запрограммировать трубку.
– Да, конечно. Отправляй его к нам.
– Хорошо. Его зовут Тед. Тед Янси.
Когда парень, назвавший себя Тед Янси, очутился в магазине на Норд Броад, Кати выписала товарный чек и продала ему телефон за один цент, ровно как просил ее «коллега». Она заглотила крючок с наживкой, а также леску и грузило.
Пришло время расплачиваться, а у Теда не оказалось мелких монет. Так что Поэтому он протянул руку и взял пенни из блюдца, стоящего около кассы, и протянул его девушке, сидящей за аппаратом. Он получил телефон, не заплатив за него даже одного цента.
Теперь ничто не мешало ему отправиться в любую другую сотовую компанию, которая работала с этой моделью телефона, и выбрать подходящий тарифный план. Желательно помесячный и без абонентской платы.
Второй звонок: Кристина Талберт
– Банк Нэшнл. Отдел открытия новых счетов, это говорит Крис.
– Привет Крис. Это Алекс. Я представляю CreditChex по работе с клиентами. Мы проводим опрос – хотим повысить уровень обслуживания. Вы можете уделить мне пару минут?
Она, Крис, была бы радасогласилась и "Алекс" продолжил:
– Хорошо. По какому графику работает ваше отделение?
Она ответила на этот вопрос, впрочем, как и на все остальные, которые последовали далее.
– Сколько служащих вашего банка непосредственно работают с нашей службой?
– С какой интенсивностью вы запрашиваете CreditChex?
– Какими из наших выделенных 800-х линий вы пользуетесь, звоня по телефону в CreditChex?
– Вежливо ли общаются с вами наши представители?
– Как вы оцениваете нашу оперативность?
– Долго ли вы работаете в этом банке?
– Ваш текущий коммерческий идентификатор идентификатор коммерческого банка?
– Не находили ли вы неточностей в данных, которые поступали от нас?
– Если вы имеете собственные пожелания, касающиеся качества нашей услуги, то не могли бы вы их озвучить?
И последнее:
– Если вам будет угодно, мы пришлем нашу анкету, и вы ее заполните.
Она согласилась, они еще немного поболтали, после чего звонящий повесил трубку, а Крис вернулась к ожидавшим еесвоим делам.
Второй звонок: Парень из IT
Два дня спустя поступил звонок в Сетевой Сетевом Операционный Операционном Центре той же компании раздался звонок.
– Привет, это Боб. Я в офисе Тома Де Лея, бухгалтерия. У нас здесь трудности с сетевой проводкой. Мне нужно отключить порт 6-47.
Парень из IT отдела ответил, что все будет сделано через несколько минут, и что нужно обязательно дать ему знать, когда можно будет включить порт обратно.
Второй звонок: Пегги
Пегги: Счетный отдел. Это Говорит Пегги.
Диди: Привет Пегги. Это Диди из Саузенд Оакс.
П: Привет, Диди.
Д: Как дела?
П: Все в порядке.
Далее Диди воспользовалась хорошо известным в бизнесе термином, который отвечает за код, идентифицирующий расходную часть бюджета определенного подразделения или рабочей группы:
Д: Великолепно. У меня есть вопрос. Как мне выйти на бюро калькуляций отдела?
П: Для этого необходимо связаться с финансовым аналитиком нужного департамента.
Д: Вы знаете финансового аналитика здесь, в центральном офисе Саузенд Оакс? Мне нужно заполнить бланк, иа я не знаю соответствующий код для расчетов.
П: Все что я знаю, это то, что вам для этого нужно перезвонить аналитику.
Д: В вашем отделе, там в Техасе, есть калькуляция?
П: Да, конечно, но они не предоставят нам список других бюро.
Д: Сколько цифр у них в номере? Может это мне поможет. К примеру, какой номер вашего бюро калькуляций?
П: Вы по направлению 9WC или SAT?
Диди абсолютно не представляла себе, что означают эти сокращения и к каким отделам относятся, но это было для нееи не важно. И она ответила первое:
Д: 9WC.
П: Тогда это обычно четыре символа. Откуда говорите вы?
Д: Центральный офис. Саузенд Оакс.
П: Хорошо, здесь всего один номер в Саузенд Оакс. Это 1A5N. N – Нэнси.
Общения с тактичным и желающим помочь человеком оказалось достаточно. Теперь Диди знала код калькуляции нужного ей отдела. А это именно та информация, которую в компании никто должным образом не защищает, так как все уверены, что подобные данные для человека с улицы не представляют никакой ценности.
Эта книга изобилует данными об
Эта книга изобилует данными об информационной безопасности и социальной инженерии.
Первая часть показывает, что такое слабое звено безопасности и почему вы и ваша организация подвержены риску социоинженерной атаки.
Во второй части я попытаюсь объяснить, как именно социоинженер играет на доверии, как он пользуется симпатией и участием окружающих. Истории, раскрывающие атаку в действии, отлично иллюстрируют способность социоинженера скрываться под разными масками. Если вы думаете, что вам не приходилось сталкиваться с чем-то подобным, то вы, скорее всего, ошибаетесь. Увидели в одной из этих историй нечто знакомое? Очень может быть. И если Вы прочтете материал этой части (и особенно главы со второй по девятую), то в следующий раз, я Вас уверяю, будете готовы встретиться с социоинженером во всеоружии.
Третья часть посвящена социоинженерным приемам и тактикам. Здесь рассказывается о том, как социоинженер проникает в чужие владения, как обходит системы безопасности и овладевает секретами, способными разрушить организацию. Сценарии, представленные в этой части, помогут Вам разобраться с угрозами, начиная от мести сотрудника и заканчивая кибер-терроризмом. Если Вы цените конфиденциальность собственной информации, то обязательно прочтите с главы с 10 по 1410-ой по 14-ую главу.
Важно отметить, что все истории из этой книги являются полностью вымышленными, если специально не оговорено обратное.
В четвертой части рассказывается о том, как предотвратить социоинженерные атаки, направленные на организацию. В главе 15 приведена копия удачной программы-тренинга по безопасности. А глава 16 представляет собой политику безопасности, которую можно подстроить для нужд конкретной организации.
В завершение приводится раздел «Принципы безопасности», который содержит всевозможные перечни, таблицы и графики, подытоживающие содержание книги. Эти данные помогут Вам разработать собственную программу подготовки – тренинга по безопасности для сотрудников компании.
В книге присутствует огромное количество полезных, на мой взгляд, вставок: «ЖаргонЛинго»
(Lingo) объясняет специфические термины; «Комментарий Митника» (Mitnick Messages) дает хороший совет по усилению стратегии безопасности; другие примечания предоставляют любопытные данные и дополнительную информацию по тому или иному вопросу.
Высокий класс
Представьте себе, что против крупной фармацевтической компании Pharmomedic выдвинуто серьезное обвинение. Суть его в том, что одно из популярных лекарств дает побочный эффект, воздействие которого проявляется лишь через несколько лет. Эти опасные последствия были выявлены в результате испытаний, но компания утаила результаты и никогда официально не сообщала о них.
Прокурор Вильям (Билли) Чейни, оформивший обвинение от имени Нью-йоркской юридической фирмы, опирался на показания двух медиков – бывших сотрудников Pharmamedic. Правда, оба уже вышли на пенсию, и у них не было никаких документальных доказательств по своему обвинению. Билли понимал, что обвинение покоится на зыбком фундаменте. До тех пор, пока он не получит в свое распоряжение копии одного из докладов о побочных эффектах или же какие-то другие письменные свидетельства их существования, дело обречено на поражение.
Поэтому он обратился за помощью в компанию частных детективов “ Андресон и сыновья”, услугами которой пользовался ранее. Билли не интересовался, каким образом Пит и его коллеги выполняли его задания, он и не хотел этого знать. Он знал лишь, что Пит Андресон - хороший детектив.
Андресон называл такие задания “черным ящиком”. Первое правило подобных работ заключалось в том, что нанимавшие его компании и юридические фирмы никогда не интересовались методами, при помощи которых он получал информацию, и заранее подготавливали убедительные оправдания своего незнания. Если кому-то и предстояло понести наказание за неправомерные действия, то это был только Пит. За этот риск он и получал свои немалые гонорары. Кроме того, он испытывал настоящее наслаждение от того, что ему удавалось перехитрить самых хитрых людей.
Если документы, которые ждет от него Чейни, действительно существуют и не были уничтожены, то они должны содержаться где-то в архивах Pharmomedic. Однако отыскать их среди огромного количества корпоративной информации было бы крайне сложной задачей. С другой стороны, можно предположить, что копии есть в адвокатском бюро Дженкинс и Петри, обслуживающей Pharmomedic. Если эти адвокаты знали о существовании бумаг и не сообщили о них, то они нарушили закон. Осознав это, Пит решил, что его атака будет добрым делом.
Вызов принят
Винни и я ходили вокруг установки, и в голове у меня созрел план. Мы наблюдали за происходящим с некоторого расстояния. К обеду, когда толпа начала редеть, разработчики решили устроить себе небольшой перерыв и пошли перекусить, оставив вместо себя какую-то женщину, которая была либо женой, либо подружкой одного из них. Мы подошли и я начал болтать с ней о всякой ерунде: «Как долго вы работаете в этой компании? Какие еще продукты ваша компания предлагает на рынке?» и т.д.
В это время Винни за пределами ее поля зрения приступил к работе, используя культивируемые нами навыки. Кроме удовольствия от взлома компьютеров, нам с детства обоим нравилось открывать закрытые замки. Еще ребенком я изучил все полки одного небольшого подвального книжного магазинчика в долине Сан-Фернандо, где были собраны книги, посвященные взлому замков, методам освобождения от наручников, изготовлению поддельных документов – в общем, всем тем вещам, о которых детям лучше не знать.
Винни, как и я, усиленно практиковался в открытии различных замков, пока мы с ним не стали экспертами в открытии практически любого из общедоступных замков. Было время, когда я любил найти что-нибудь, запертое для верности на два замка, открыть их и поменять местами, так, чтобы хозяин поволновался, пытаясь открыть замки неправильными ключами.
Итак, я продолжал отвлекать женщину разговорами, а Винни пробрался в заднюю часть экспозиции и открыл комнату, где был расположен миникомпьютер PDP-11 и кабельные соединения. Эту комнату даже трудно было назвать запертой, поскольку замок на ней смог бы без ключа открыть любой человек, а не то, что такие опытные взломщики, как мы.
Винни открыл дверь меньше, чем за минуту. Внутрион обнаружил то, что мы и предполагали: стойку портов для подключения пользовательских терминалов и специальный порт под названием «консольный терминал». Так называют терминал, который использует оператор или системный администратор для управления всеми компьютерами. Винни подключил к этому разъему один из кабелей, который вел к терминалу, расположенному на выставке.
Это означало, что теперь данный терминал стал управляющим терминалом. Я сел за него и вошел в машину, используя одно из имен и паролей столь беззаботно предоставленных организаторами акции. LOCK-11 распознал, что я являюсь системным администратором и предоставил доступ со всеми привилегиями системного администратора. Прежде всего, я изменил настройки операционной системы таким образом, чтобы с любого терминала на выставке я мог бы войти в нее как привилегированный пользователь.
После этих изменений Винни опять зашел в комнату и переключил кабель терминала в его первоначальное положение. Затем он закрыл комнату и повесил замок на место.
Я тем временем вошел в компьютер и начал просматривать его директории, чтобы отыскать файлы и программы, связанные с LOCK-11, и очень быстро наткнулся на нечто неожиданное: на директорию, которой не должно было быть в компьютере. Разработчики были настолько уверены в неуязвимости своей программы, что не позаботились о том, чтобы удалить из компьютера ее исходные коды. На ближайшем принтере я стал распечатывать текст исходного кода программы на длинных листах зеленоватой бумаги, используемой в те времена.
Винни едва успел закрыть дверь и присоединиться ко мне, как хозяева стенда вернулись с обеда. Они увидели меня сидящим за компьютером, в то время как принтер что-то печатал.
– Кевин, что здесь происходит? – спросил один из них.
– Я просто распечатываю коды вашей программы, – честно ответил я.
Естественно, они решили, что я шучу. Так продолжалось недолго: они взглянули на распечатку и обнаружили, что там действительно находятся совершенно секретные коды их программы.
Они просто не поверили, что это возможно и мне удалось войти в систему с правами привилегированного пользователя.
– Нажми Ctrl-T, – скомандовал один из них. Я подчинился. На экране появился текст, подтверждающий мои слова. Парень потрясенно чесал свой затылок, а Винни сказал ему:
– Три сотни долларов, будьте добры.
Они заплатили. Остаток дня мы с Винни разгуливали по выставке со стодолларовыми бумажками за нашими бэджами.Каждый, кто смотрел на нас, понимал, что это значит.
Конечно, на самом деле мы с Винни не взломали их программы, и если бы команда разработчиков тщательней заботилась о правилах проведения соревнования, или использовала бы действительно надежный замок, или следила бы за своим оборудованием более внимательно, они никогда не испытали бы то жуткое разочарование из-за пары подростков.
Позднее я узнал, что у команды разработчиков в тот день возникли проблемы с деньгами: эти триста долларов были их единственными наличными средствами.
Взлом федералов
Часто люди даже не задумываются о том, какие материалы опубликованы на Web-сайте их организации. Например, для моей еженедельной передачи на канале KFI Talk Radio в Лос-Анджелесе, продюсер искал кое-какую информацию в сети и в результате нашел инструкцию по использованию базы данных Национального Информационного Центра по Борьбе с Преступностью (NCIC). Позже он нашел и полный указатель NCIC – служебный документ, в котором приведены все инструкции, необходимые для доступа к информации криминальной базы данных ФБР.
По сути, этот указатель предназначается для «органов» - своеобразное наставление, в котором указаны формат и коды запросов к информации о преступниках и уголовных делах. К базе данных имеют доступ агентства по всей стране, и это, безусловно, неоспоримая помощь в расследованиях любой юрисдикции. В указателе собраны коды поиска в базе данных, коды поиска всего что угодно, начиная от типов татуировок и заканчивая корпусами яхт и номерами похищенных купюр и закладных.
Любой, кто может заглянутьзаглянет в этот указатель, может ознакомиться с синтаксисом и командами обращения к национальной базе данных. Далее, следуя инструкциям из пошагового руководства и приложив некоторые усилия, любой каждый может найти интересующие его данные. В указателе есть и телефоны службы поддержки, где могут помочьокажут помощь в случае возникшей проблемы. В вашей компании тоже могут быть подобные руководства и указатели, скажем, товарных кодов или кодов поиска служебной информации.
В ФБР практически наверняка не знают, что их служебный документ и инструкции доступны в сети, и я не думаю, что они были бы рады об этом узнать. Одна копия «уплыла» из правительственного департамента в штате Орегон, другая – из агентства в Техасе. Почему? Скорее всего, кто-то решил, что эти данные не столь ценны для того, чтобы не опубликовывать их. Возможно, кто-то выложил файл в интранет, даже не подозревая о том, что опубликовал их для всех, кто умеет пользоваться хорошей поисковой машиной вроде Google. Для всех, включая просто любопытных, будущих полицейских, хакеров и мафиозных главарей.
Взлом кода
Как-то раз, в 1978 году, Рифкин оказался в служебном помещении банковского телетайпа. В этой комнате служащие Security Pacific занимались тем, что получениемали и отправкойляли переводыов, дневной объем которых составлял миллиарды долларов.
Доступ в помещение имел только ограниченный круг лиц, но Рифкин работал в компании, которая, по договору с банком, должна была разработать систему резервного копирования для обрабатываемых транзакций, на случай, если головной компьютер выйдет из строя. Роль разработчика дала Стенли Рифкину возможность соприкоснуться с банковскими операциями, в числе которых есть и соответствующая процедура отдачи приказа на перевод денег. Стенли узнал, что должностные лица, отдающие такой приказ, ежедневно получают секретный авторизирующий код, который они обязаны сообщать операционистам банковского телетайпа.
В самом помещении телетайпа дела обстояли так: операционисты, избавив себя от трудностей с запоминанием кода, который менялся каждое утро, записывали его на полоску бумаги. Для большего удобства, эта записка обычно вешалась на видное место. В один из ноябрьских дней Рифкин пришел на работу c конкретной целью – он хотел взглянуть на эту записку.
Появившись в зале телетайпа, он занялся своим обычным делом: составил список примечаний комментариев к рабочим процедурам, предположительно, для того, чтобы увериться в согласованности работы действующих систем с системой резервирования данных. "Случайно" бросив взгляд на кусок бумаги с кодом, он запомнил его, а пятью минутами позже покинул операционный зал. Позже Рифкин скажет, что в тот момент он почувствовал себя так, как будто выиграл в лотерее, что вытащил счастливый лотерейный билет.
Загрузка вредоносного ПО
Некоторые виды вредоносного программного обеспечения – токсичного кода (malicious software, malware) – отличаются тем, что программа взломщика попадает на компьютер и работает абсолютно незаметно для пользователя. Внешне такой токсичный код может выглядеть обычно и невинно – документ Word, презентация PowerPoint или любой другой файл формата, предусматривающего исполнение макросов, которые могут установить или запустить вредоносную программу. Троянский конь, о котором мы говорили в предыдущей главечасти[NM7], - яркий представитель токсичного кода. Такого рода программа, например, может перехватывать все нажатия клавиш и отправлять атакующему по сети все данные о введенных паролях и номерах кредитных карт.
Есть еще пара примеров токсичных программ, которые могут показаться для иного пользователя просто шокирующими. Например, есть программы, позволяющие взломщику слышать каждое произнесенное вами слово, даже если вы уверены, что компьютерный микрофон выключен. Еще хуже, если у вас установлена Web-камера – здесь задействуется применяется аналогичная технология.
Сленг
Токсичный код (malware). Термин, означающий вредоносное программное обеспечение, программы вроде вирусов, сетевых червей и троянских коней, выполняющих разрушительные операции на компьютере.
Комментарий Митника
Бойтесь идиотов, дары приносящих! Иначе вашу фирму постигнет участь Древней Трои. Если сомневаетесь или недоумеваете – защищайтесь.
С другой стороны, может случиться и так, что некий юморной хакер-юморист загрузит на ваш компьютер программу, которая будет постоянно «шалить» и проказничать. Например, будет постоянно открываться и закрываться дверца CD-привода или в самый неудачный момент минимизироваться окно программы, с которой вы работаете. А еще может раздаться крик из динамиков посреди ночи. Это конечно не смешно, особенно если вы спите или пытаетесь закончить срочную работу... Но, по крайней мере, это совсем не опасно.
это фокус всех атак социальных
Пароли - это фокус всех атак социальных инженеров, поэтому мы отдельно поговорим на эту тему в главе 16, где будут изложены специальные политики по работе с паролями.
Заметая следы
Правда, перед этим Артуро предстояло совершить еще несколько шагов. Всегда надо быть готовым к тому, что когда ты придешь за факсом, тебя будет ожидать несколько детективов. Артуро перезвонил в секретариат и проверил - отправлен ли факс.
Он позвонил еще в один копировальный салон в том же районе города и использовал такой обманный ход, сказав:
– Я так доволен вашей работой, что хочу написать благодарственное письмо руководителю, кстати, как его зовут?
Получив в свое распоряжение эту информацию, он позвонил в первый копировальный салон и сказал, что хочет поговорить с начальником. Когда тот взял трубку, Артуро сказал:
– Привет, это Эдвард из соседнего копировального салона. Моя сотрудница попросила позвонить вам. У нас тут рассерженный клиент, которому дали неправильный номер факса: он ждет его в нашем офисе, а факс отослали к вам.
Менеджер пообещал как можно быстрее передать факс во второй салон. Артуро с нетерпением ждал этот долгожданный факс во втором салоне. Как только он получил его, он позвонил в секретариат и поблагодарил сотрудниц за пересылку факса, кроме того, он попросил «не относить оригиналы назад наверх, а просто выкинуть их». Затем он позвонил в первый копировальный салон, тоже поблагодарил сотрудников и попросил выкинуть их копии факсов. Таким образом, он гарантировал, что не осталось следов его активности, если вдруг в дальнейшем возникнут вопросы по этому поводу. Социальный инженер знает, что нужно всегда быть предельно предусмотрительным.
Организовав все описанным выше образом, Артуро даже и не подумал заплатить копировальному салону за получение факса и за пересылку его во второй салон. И если бы полиция добралась до первого копировального салона, то факс уже был в руках Артуро, и прошло бы немало времени прежде чем полицейские смогли добраться до второго салона.
Итог все истории: полученные документы показали Артуро, что у полиции есть документальные свидетельства его деятельности по переписыанию фильмов. Это ему было очень важно знать. Еще до полуночи он благополучно пересек границу штата, и направлялся навстречу новой жизни, с новым именем, готовый к началу новой деятельности.
Заправка жертвы
Итак – полпути к цели были пройдены. Теперь Гарри и Карл должны были подождать и убедиться, что файл прибыл на место. В процессе этого ожидания они подошли к столу инструктора и предприняли другие необходимые шаги. Первый – это была организация анонимного FTP-сервера на его компьютере, который должен служить окончательным местом назначения для файла.
Второй шаг должен был обеспечить решение еще одной непростой проблемы. Естественно, они могли сказать технику в Центре разработки, что файл надо пересылать на адрес типа warren@rms.ca.edu. Все знают (даже полусонный техник в Центре разработки), что расширение edu имеют компьютеры, расположенные в школах, а это могло сразу сорвать всю операцию. Чтобы избежать этого, они зашли в систему Windows компьютера инструктора и посмотрели на IP-адрес машины, который они и дали в качестве адреса для пересылки файла.
Пришло время звонить технику в Вычислительный центр центра разработки. Гарри сказал ему: “Я только что переслал файл, о котором предупреждал вас; проверьте, что вы его получили”. Да, файл прибыл на место. Гарри попросил переслать его и дал IP-адрес. Он не клал телефонную трубку до тех пор, пока техник не установил соединения и не начал пересылать файл – они заметили, как на компьютере инструктора замигала лампочка, связанная с работой жесткого диска.
Гарри обменялся с техником несколькими замечаниями по поводу того, что настанет день, когда компьютеры и их периферия будут более надежными, поблагодарил и попрощался.
Двое злоумышленников скопировали файл из компьютера инструктора на пару дисков, чтобы потом полюбоваться им. Как это делают злоумышленники, укравшие картину из музея. За исключением того, что в данном случае они имели дубликаты «картины», а музей по-прежнему обладал оригиналом.
Затем Карл научил Гарри, как удалить все следы FTP-сервера из компьютера инструктора, так, чтобы не было никаких следов пребывания за исключением украденного файла, лежащего на видном месте.
В заключение, они выложили часть кода в Usenet
непосредственно с компьютера инструктора. Совсем небольшую часть, чтобы не нанести большого вреда компании, но оставив четкие следы, ведущие к машине инструктора. Ему будет очень трудно объяснить все эти следы.
Запросы от доверенных лиц
Запрос на получение информации или на совершение действия со стороны доверенного лица может требовать:
·
Удостоверения в том, что запрашивающий является действующим сотрудником компании или имеет отношение к компании, причем эти отношения подразумевают наличие привилегий на получение запрашиваемой информации.
· Удостоверения в том, что запрашивающий имеет отношение к информации и авторизован на получение этой информации.
Запросы от неустановленных лиц
При получении запроса от неустановленного лица, должна быть пройдена процедура удостоверения человека, и прав на получение запрашиваемой информации, особенно если запрос касается компьютеров или любого другого электронного оборудования. Это основополагающая процедура, позволяющая предотвратить социоинженерную атаку. Если следовать изложенным ниже правилам, то эффективность противодействия шпионажу автоматически возрастает.
Важно чтобы процедуры удостоверения были оправданы с точки зрения затрачиваемых средств, т.е. они должны быть рентабельными. Кроме того, процедурные правила также должны быть не слишком обременительными для сотрудников.
Процесс удостоверения состоит из трех этапов, на каждом из которых необходимо давать ответы на следующие простые вопросы:
· Идентификация: является ли запрашивающий тем, за кого он себя выдает?
· Статус: работает ли он сейчас в компании (имеет ли он соответствующие связи с компанией)?
· Необходимость: имеет ли он все необходимые полномочия на получение запрашиваемой информации?
Защищая данные
Истории, рассказанные в этой главе, демонстрируют насколько опасно посылать файл тому, кого вы не знаете, даже если этот человек является (или хочет казаться) сотрудником, и файлы пересылаются по внутренним путям, по электронным адресам или номерам факсов внутри компании.
Политика безопасности компании должна особое внимание уделять защите тех данных, которые пересылаются неизвестным адресатам. Должны быть определены процедуры для пересылки файлов с особо ценной информацией. Если запрос исходит от того, кто лично неизвестен владельцу информации, должны быть предприняты шаги для проверки адресата на разных уровнях аутентификации в зависимости от важности информации.
Вот некоторые способы для этого:
·
надо понять, насколько необходима информация (что может потребовать авторизацию со стороны владельца информации);
· постоянно вести записи любой активности на уровне людей и департаментов;
· создать список людей, которые специально обучены для действий в таких сложных условиях и могут принимать решения о посылке важной информации; надо сделать так, чтобы только эти люди могли пересылать информацию за пределы компании;
· если запрос на посылку данных пришел в письменной форме (факс, электронная почта или обычное письмо), следует предпринять дополнительные меры безопасности, чтобы убедиться в том, что запрос действительно пришел от того лица, которое указано его отправителем.
Защищайте собственных клиентов
В наше электронное время многие компании, работающие с конечными потребителями, хранят у себя информацию о кредитных картах. Для этого есть свои причины, например, экономия времени и нервов покупателя, которому не приходится каждый раз вводить свою кредитную информациюсвои кредитные данные, сопровождая очередную покупку в магазине, баре или на Web-сайте. Однако эта практика не совсем всегда себя оправдывает себя.
Если вам необходимо хранить номера кредитных карт, то процесс обеспечения безопасности идет куда дальше, чем шифрование и разграничение доступа. Сотрудники должны знать, как им «вычислить» социоинженера, действующего по сценариям, описанным в этой главе. Тот «коллега», которого вы никогда не встречали, но который вдруг стал вашим телефонным знакомым, вполне возможно вовсе не тот, за кого себя выдает. И ему «нет надобности» в доступе к служебной информации хотя бы потому, что он на самом деле не работает в вашей фирме.
Комментарий Митника
Каждый должен уяснить для себя modus operandi (образ действия) социоинженера: собери о мишени как можно больше информации и используй полученные данные, чтобы войти в доверие в качестве отлично осведомленного человека. Затем кончай прикончи его!
Защищайте свою сеть
Сотрудники компании должны осознать, что даже название сети или имя сервера - отнюдь не тривиальная информация. Наоборот, владение ей и умелое использование, может помочь атакующему получить доступ к нужной информации.
Особо аккуратными должны быть администраторы баз данных, поскольку они имеют доступ к любой информации и должны руководствоваться особо строгими правилами при общении с людьми, которые просят у них советов или сведений.
Сотрудники отдела технического обслуживания компьютеров должны очень четко знать, какие типы запросов являются подозрительными и могут быть отнесены к атакам социальных инженеров.
И все же - все равно атаки бывают успешными. Взять хотя бы последний случай. С точки зрения администратора базы данных звонок абсолютно не подозрительный: человек звонит с территории университета, причем с компьютера, нахождение в котором требует знания логина и пароля. Этот пример еще больше убеждает в том, что должны быть выработаны стандартные процедуры проверки личности того человека, который запрашивает информацию, особенно, если он просит о помощи в доступе к конфиденциальной информации (как и было в данном случае).
Все перечисленные соображения должны быть удвоены, а то и утроены при получении запросов из колледжей и университетов. Ни для кого не секрет, что занятие хакерством очень популярно в студенческой среде, а информация о студентах - популярная мишень. Угроза со стороны университетов настолько реальна, что многие корпорации рассматривают университеты в качестве потенциальных источников атак и создают для своих сетевых экранов жесткие правила: не допускать в систему никого, кто имеет компьютерный адрес образовательного учреждения, то есть, с расширением .edu.
В общем, итогом всех наших рассуждений должен стать простой вывод: все сведения о студентах должны быть причислены к потенциальным мишеням для атак и потому особенно хорошо защищаться.
Защита в нерабочее время
Все сотрудники, забывшие дома свои корпоративные “бэджи”, должны обратиться к секретарю или в службу безопасности для получения временных карточек на один день. События в первой истории этой главы могли бы развиваться совсем иначе, если бы охранник компании имел строгие инструкции, как действовать при отсутствии пропуска у визитера.
Для некоторых площадей внутри компании, где обеспечивается не очень высокий уровень безопасности, не имеет смысла настаивать, чтобы сотрудники всегда носили свои “бэджи” на виду. Но в компаниях, где есть области с ограниченным доступом, это правило должно неукоснительно выполняться. Все сотрудники должны быть специально предупреждены о том, что человека без такого “бэджа” надо остановить и попросить предъявить документы. А топ-менеджеры компании должны быть специально предупреждены, чтобы не встречать в штыки такие вопросы от своих же подчиненных.
В политику компании следует включить список наказаний для тех сотрудников, кто регулярно забывает свои “бэджи”; эти наказания могут состоять в отсылке сотрудника домой без сохранения оплаты или записи в личном деле о прогуле. В некоторых компаниях предусмотрены даже более суровые наказания, включая доклад руководству, если нарушение повторяется регулярно.
Кроме того, если в компании есть информация, доступ к которой должен быть ограничен, надо разработать четкую схему доступа к ней в нерабочие часы. Рекомендуется регулировать этот процесс при помощи службы безопасности или некоторой другой группы специально подготовленных людей. Эти люди должны будут тщательно проверять личность любого сотрудника, стремящегося проникнуть в офис во внерабочее время при помощи звонка одному из руководителей компании или другими доступными методами.
Жаргон
Конфетная безопасность (candy security) – термин, придуманный Белловином и Чесвиком из Bell Labs
для описания сценария безопасности, в котором внешний периметр, такой как брандмауэр, сильный, но внутренняя структура слабая. Этот термин произошел из-за сравнения с карамелью M&M, имеющей твердую внешнюю оболочку и мягкий центр.
Speakeasy-безопасность – безопасность, которая основывается на знании места, где находится желаемая информация и использовании ключевого слова или имени для получения доступа к данным или компьютерной системе.
Безопасность через незаметность (Security through obscurity) – неэффективный метод обеспечения компьютерной безопасности в котором надеются на сохранение в секрете подробностей того, как функционирует система (протоколы, алгоритмы и внутренние системы). Security through obscurity полагается на неверное предположение, что никто, кроме человека из доверенной группы, не сможет проникнуть в систему.
Двухфакторная идентификация (two-factor authentication) – использование двух различных типов идентификации для проверки личности. Например, лицо может идентифицировать себя, позвонив из заранее определенного места и знать определенный пароль.
Возвращаясь к нашей истории, в компании, производящей радиосистемы безопасности, каждый работник для доступа к компьютеру и сети, имеет свой логин и пароль, а также дополнительное электронное устройство – Secure ID. Это, так называемый, временной жетон или жетон безопасности. Такие жетоны бывают двух типов: одни размером с половину кредитной карты, но немного толще; другие достаточно маленькие, в виде брелока, который человек может просто повесить на цепочку с ключами.
Пришедшее из мира криптографии, это особое приспособление – временной жетон безопасности – имеет маленькое окошко, в котором высвечивается набор из шести цифр. Каждые шестьдесят секунд содержимое дисплея меняется и на экран выводится другое шестизначное число. Когда уполномоченному лицу нужен доступ из внешней сети, он должен сначала идентифицировать себя, набрав личный PIN-код и затем шесть цифр с этого устройства-жетона. После проверки внутренней системой, сотрудник затем идентифицирует себя с помощью имени пользователя и пароля.
И вот, для того, чтобы молодой хакер Дэнни получил желанные исходные коды, он должен не только вскрыть информацию о некоторых именах пользователей и паролях, но также перехитрить временной жетон.
Преодолеть двухфакторную идентификацию временного жетона совместно с секретным PIN-кодом пользователя звучит подобно требованию назвать пароль в фильме Миссия невыполнима (Mission Impossible). Но для социоинженеров, такое требование подобно раскрыванию игральной карты игроком в покер, который обычно умеет расколоть своего противника. Когда он садится за игорный стол, то знает, что с помощью маленькой удачи он, вероятно, уйдет с большой кучей чужих денег.
Жулик по имени Стив
Обычно телефонные компании следят за своими служебными справочниками и подержать такую книжку в руках удается далеко не каждому. Фрикерам приходится изворачиваться. Как? Повернутый на справочнике молодецОдержимый желанием заполучить справочник может действовать примерно следующим образом.
lllllllllllllll
Однажды тихим южно-калифорнийским осенним вечером парень, которого я назову Стиви, позвонил в центральную контору одной небольшой телефонной компании. Это та контора, из здания которой телефонные линии разбегаются по частным домам и офисам зоны обслуживания.
Трубку поднял дежурный оператор, Стиви представился служащим отдела, занимающегося производством и доставкой печатных материалов, и сказал:
– У нас готова новая версия справочника тестовых номеров. Но благодаря правилам службы безопасности мы не можем привезти его, пока не заберем предыдущий. Курьер как обычно не справляется и опаздывает. Если вы оставите старый справочник за дверью на пороге, он заедет по дороге домой, быстро заберет его и оставит новый.
Наивному оператору такое состояние дел показалось справедливым. Он все сделал так, как ему сказали. Вышел и положил под дверь справочник, на обложке которого большими красными буквами было написано «КОНФИДЕНЦИАЛЬНО – ПО ИСТЕЧЕНИИ СРОКА ДЕЙСТВИЯ УНИЧТОЖИТЬ».
Стиви подъехал и внимательно осмотрелся в поисках рыскающей охраны, подозрительных машин в паркинге или прячущихся в кусках копов. Никого. Он быстро подобрал справочник и скрылся.
Еще один пример того, насколько просто бывает получить желаемое, следуя принципу «стоит-только-попросить».
Жульничество
Я не рекомендую никому пытаться повторить описанный способ действий, чтобы обмануть систему регистрации штрафов (во всяком случае, не делайте это из дома). Но это хороший пример того, как социальный инженер использует искусство обмана для достижения своих целей.
Давайте назовем нашего героя Поль Дюруа.
Злоупотребление доверием
В большинстве случаев, преуспевающий социоинженер – это личность, наделенная незаурядными способностями: приятныйая, вежливыйая, харизматичныйая личностьчеловек, без труда устанавливающийая взаимоотношения и легко входящийая в доверие к окружающим. Опытный социоинженер, обладающий такими качествами и умеющий грамотно ими пользоваться такими качествами, может получить доступ практически к любой информации.
В основе технологии информационной защиты лежат тщательным образом проработанные решения, направленные на реальное снижение, минимизацию риска, связанного с использованием компьютера. Но при этом за рамками технических решений остается одна из важнейшихая уязвимостейь – человеческий фактор. Несмотря на интеллект, мы - люди, а не машины, и, вместе с тем представляем друг для друга самую серьезную угрозу безопасности.
Звонок Анне
– Финансовый отдел, Анна слушает.
– Как приятно узнать, что кто-то еще работает так поздно. Говорит Рон Витаро, издатель бизнес-подразделения. Мне кажется, мы не знакомы. Добро пожаловать в наш коллектив.
– Спасибо большое.
– Анна, я сейчас в Лос-Анджелесе и у меня серьезные проблемы. Мне нужна ваша помощь минут на десять.
– Конечно, я все сделаю. Чем могу помочь?
– Пожалуйста, поднимитесь в мой офис - вы знаете, где он находится?
– Нет.
– Это угловая комната на 15 этаже - офис 1502. Я туда вам перезвоню через несколько минут. Когда войдете, отключите автоответчик, чтобы мой звонок дошел туда.
– Хорошо, я уже иду.
Через десять минуть она оказывается в указанном офисе, отключает его автоотчетчик и ждет звонка. Он звонит и просит ее войти в Интернет. Когда она выполняет просьбу, он просит зайти на сайт www.geocites.com/ron_insen/manuscript.doc.exe.
Открывается диалоговое окно, и он просит ее нажать на кнопку «Открыть». Компьютер начинает загружать какой-то текст, но в процессе загрузки экран гаснет. Она сообщает, что что-то не так.
– О господи, нет, опять проблемы! У меня уже были проблемы с загрузкой этого текста с Интернет-сайта довольно часто, но я думал, что эти проблемы уже решены. Ладно, не берите в голову, я получу этот файл другим путем.
Затем он просит ее перезапустить компьютер, чтобы быть уверенным, что тот нормально работает после всего, что случилось. Он объясняет ей, как надо перезапускать его компьютер.
Когда выясняется, что компьютер опять работает нормально, он от души благодарит ее и кладет трубку. Анна возвращается в свой финансовый отдел, чтобы закончить работу, от которой ее оторвал этот звонок.
Звонок Питеру Абелью на проводе
– Привет, – произнес голос на На другом конце провода голос произнес простое «Привет». – Это Том из Паркхест Трэвел. Ваши билеты в Сан Франциско готовы. Вы хотите, чтобы мы их вам доставили, или сами заедите за ними?
– Сан-Франциско?! – воскликнул Питер. – Но я не собирался в Сан-Франциско.
– Я говорю с Питером Абелем?
– Да, но я никуда не собираюсь.
– Однако, – с долей иронии говорит звонящий, – Вы уверены, что не хотите ехать в Сан-Франциско?
– Если так, то поговорите об этом с моим начальником... – подыгрывая, отвечает Питер.
– Загадка какая-то, – отвечает звонящий. – Все заявки в нашей системе привязаны к номеру служащего. Может кто-то сказал нам не тот номер? Ваш номер какой?
Питер озвучил свой номер. А почему бы и нет? Этот номер он записывал практически на каждом бланке, куча сотрудников знает этот номер – кадровый отдел, бухгалтерия и (почему бы и нет) он может быть известен туристическому агентству, с которым работает его офис. Никто не считает собственный номер секретом. Какая разница?
На этот вопрос ответить более чем просто. Вполне возможно, что два или три фрагмента «незначительных» данных приведут к тому, что социальный инженер сможет эффективно прикрываться вашим именем. Узнает ваше имя, внутренний телефон, номер служащего, и, на всякий случай, имя вашего начальника и его телефон. Этого достаточно даже шпиону средней руки, чтобы комфортно себя чувствовать и правдиво выглядеть в глазах следующей жертвы.
Если вчера вам позвонил кто-то, кто представился коллегой из другого отдела вашей компании, назвал причину своего звонка и спросил у вас ваш номер служащего, то что вам мешало ответить ему?
И, - кстати будет спросить, - какой номер вашего паспортавашей социальной карты?
Комментарий Митника
Мораль сей басни такова – если вам незнаком голос запрашивающего информацию или если вы не уверены, что запрашивающий имеет право на получение информации, то ни при каких обстоятельствах не говорите ему идентификаторы, равно как личные или служебные данные.
Звонок Саре
– Отдел кадров, Сара слушает.
– Привет, Сара. Это Джордж из гаража. Вы представляете себе карточку доступа, которой пользуетесь при входе на корпоративную парковку и в лифт? У нас есть некоторые проблемы, и нам надо перепрограммировать карточки тех, кого приняли на работу за последние две недели.
– Вам нужны их имена?
– Да, и номера телефонов.
– Мне надо уточнить список, тогда я вам перезвоню. Какой номер вашего телефона?
– Это 73... Слушайте, мне надо бежать на встречу, лучше я вам перезвоню через полчаса, идет?
– Хорошо.
Когда он перезвонил, она сообщила ему:
– У нас двое новичков: Анна Миртл, секретарь в финансовом отделе и г-н Андервуд, вице-президент.
– А их телефоны?
– Да, конечно, у г-на Андервуда 6973, а у Анны Миртл – 2127.
– Спасибо, Сара, вы очень помогли мне.
Звонок в DMV
Около восьми утра его телефон впервые зазвонил. Ситуация была очень интересной: социальный инженер Эрик внимательно выслушивал звонок кого-то из правоохранительных органов, тех людей, кто имел все права арестовать его и посадить в тюрьму – разговор надо было вести с большим мастерством.
И - началось. Звонил не один полицейский, а целая вереница их. Когда Эрик сидел с приятелями в ресторане, телефон трещал каждые пять минут, и Эрику приходилось даже кое-что записывать на салфетке одолженной у соседа ручкой. Он вошел в роль и даже постоянный обман полиции не пугал его, а только добавлял остроты в происходящее.
Вот типичный звонок.
«DMV, чем могу помочь?»
«Это детектив Эндрю Коул»
«Да, детектив, чем могу быть полезен?»
«Мне нужен «фоторобот» водительских прав 005602789», - так на своем жаргоне полицейские называют фотографию владельца – этот термин используется, когда нет фотографии подозреваемого, а есть лишь словесное описание.
«С удовольствием, - говорит Эрик – Из какого вы агентства?»
«Jefferson County». Далее Эрик задает самые важные вопросы – код запроса, номер водительских прав и дату рождения – и, естественно, получает на них ответа.
Эрик некоторое время молчит, как бы проверяя полученную информацию, потом говорит, что все в порядке и опять замолкает, на этот раз имитируя поиск информации, подтверждая его кликаньем клавиш компьютера. Через некоторое время он виновато говорит: «О, черт, мой компьютер опять завис. Ради бога простите, детектив, но эта чертова машина барахлит весь день. Перезвоните, вам с удовольствием поможет мой коллега.»
Это надо проговорить очень убедительно, чтобы не вызвать подозрений у собеседника. В результате у Эрика есть все необходимое для того, чтобы извлечь из DMV любую нужную ему информацию.
После сбора десятка таких «украденных идентификаций» в течение нескольких часов, Эрик соединяется с телефонной станцией и отключает перевод звонка.
В течение нескольких месяцев после успешно проведенной операции он получает возможность выполнять заказы частных детективных агентств, которые не интересуются тем, как он достает информацию. По мере необходимости он всегда может подключиться к телефонной станции опять и обновить список сведений о полицейских офицерах для дальнейшей работы.
