Будьте бдительны
Созданные торговые марки и брэнды являются собственностью их соответствующих владельцев, eBay и eBay logo являются торговыми марками eBay Inc.
Жертвы, которые щелкали по ссылке, попадали на веб?страницу, очень похожую на страницу eBay. Фактически, страница была хорошо спроектирована, с достоверным логотипом eBay и ссылками «Посмотреть», «Продать», а также другими навигационными ссылками, которые, если щелкнуть по ним, приводили посетителя на настоящий сайт eBay. В нижнем правом углу был также логотип гарантии. Чтобы удержать догадливую жертву, дизайнер даже использовал даже HTML шифрование, чтобы замаскировать, откуда отправлялась предоставленная пользователем информация.
Это был отличный пример предумышленной атаки с использованием компьютера, на основе социальной инженерии. Но все?таки, в ней были некоторые недоработки.
Письмо не было написано очень хорошо; в частности, параграф, начинающийся словами «Вы получили это предупреждение», слишком бестактный и бессмысленный (люди, ответственные за эти мистификации, никогда не нанимают профессионалов, чтобы отредактировать их образец, и это всегда видно). Также, любой, обративший внимание, пришел бы в подозрение, что eBay интересуется информацией клиента компании PayPal; нет ни одной причины, почему eBay будет спрашивать клиента о его личной информации, использующейся другой компанией.
И кто?нибудь, хорошо осведомленный по теме Интернета, вероятно, поймет, что ссылка соединяет не с доменом eBay, а с tripod.com, который предоставляет бесплатный хостинг. Все это говорит о том, что письмо не было законным. Тем не менее, готов поспорить, что нашлось много людей, напечатавших свою личную информацию, включающую номер кредитки, на ту страницу.
Заметка
Почему людям позволяют регистрировать вводящие в заблуждение и неподходящие домены? Потому что, в соответствии с нынешним законом и он?лайн политикой, любой может зарегистрировать любые имена сайтов, которые еще не используются.
Компании пытаются бороться против такого копирования их адресов, но представьте, с чем они сталкиваются.
General Motors подала иск против компании, зарегистрировавшей сайт f**kgeneralmotors.com (только без звездочек) и поместившей ссылку на официальный сайт General Motors. GM проиграла дело.
Будьте бдительны
Будучи отдельными пользователями Интернета, нам нужно быть бдительными, принимая сознательное решение, когда безопасно вводить персональную информацию, пароли, номера аккаунтов, пины и т.д.
Как много ваших знакомых могут рассказать вам, какой из используемых ими сайтов отвечает всем требованиям безопасности? Как много работников в вашей компании знают, чего ожидать?
Каждый , кто использует Интернет, должен знать о маленьком символе, который обычно появляется на какой?нибудь веб – странице и напоминает нарисованный висячий замок. Им следует знать, что когда засов закрыт, это значит, что защищенность сайта гарантирована. Когда засов открыт или изображение замка отсутствует, веб?сайт не отмечен как подлинный и любая информация, открыто передаваемая, не шифруется.
Тем не менее, атакующий, обладающий администраторскими привилегиями в компьютерной системе компании, может изменить или пропатчить код операционной системы, чтобы исказить понимание пользователем ситуации. Например, перепрограммирование инструкций к софту браузера, который позволяет не отображать нерабочее состояние цифрового сертификата страницы, а просто обходить проверку. Или система может быть изменена с помощью руткита, установив один или больше бэкдоров на уровне операционной системы, где их труднее обнаружить.
Безопасное соединение устанавливает подлинность сайта и шифрует передаваемую информацию, так что атакующий не сможет использовать какие?либо перехваченные данные. Вы можете доверять сайту, даже использующему безопасное соединение? Нет, потому что владелец сайта может не быть бдительным в установке всех необходимых патчей или принуждению пользователей или администраторов к использованию хороших паролей. Так что вы не можете допускать мысль, что тот или иной сайт является неуязвимым к атакам.
LINGO
бэкдор – скрытый вход, который обеспечивает секретный доступ к компьютеру пользователя. Также используется программистами в процессе разработки программы, чтобы иметь возможность «зайти» в программу для исправления ошибок
Надежный HTTP(гипертекстовый протокол передачи ) или SSL обеспечивает автоматический механизм, который использует цифровые сертификаты не только для зашифровки посланной на удаленный сайт информации, но и для обеспечения идентификации (чтобы убедиться в подлинности удаленного сайта). Тем не менее, этот механизм защиты не приемлем для пользователей, не обращающих внимания на правильность имени сайта, к которому они пытаются получить доступ.
Другой вопрос безопасности, чаще игнорируемый, появляется в виде предупреждающей таблички, в которой говорится нечто вроде «Этот сайт не является безопасным или срок действия сертификата истек. Вы желаете посетить этот сайт?». Многие пользователи Интернета просто не понимают это сообщение и, когда оно появляется, просто щелкают OK или YES и продолжают свою работу, не подозревая, что они вступили на зыбучие пески. Будьте внимательны: на веб?сайте, не использующем безопасный протокол, никогда не вводите какую?либо конфиденциальную информацию, будь это ваш адрес или номер телефона, номера кредитной карты или банковского счета или что?то еще, что вы желаете сохранить в тайне.
Томас Джефферсон сказал, что поддержание нашей свободы требует постоянной бдительности. Для поддержания безопасности в обществе, где информация играет роль денег, требуется не меньше.
Подобающее понимание вирусов
Особая заметка по поводу вирусов: это необходимо как для корпоративной сети, так и для каждого работника, использующего компьютер. Сверх обычной инсталляции антивирусных программ на компьютеры, пользователям явно нужно подключать программное обеспечение (чего многие люди не очень любят делать, так как это замедляет некоторые функции компьютера).
Будучи владельцем антивирусного программного обеспечения, не стоит забывать о еще одной важной процедуре: своевременном обновлении антивирусных баз.
Если ваша компания не собирается рассылать программы или обновления каждому пользователю, каждый из них должен нести ответственность за своевременную установку обновлений. Моя личная рекомендация – настроить свойства антивирусных программ таким образом, чтобы они автоматически обновлялись каждый день.
LINGO
Просто представьте, вы все еще уязвимы, несмотря на регулярное обновление антивирусных баз, и также, вы все еще не защищены полностью от вирусов и червей, которые не распознаются антивирусными программами или файлы об их обнаружении еще не опубликованы.
Все работники с привилегиями удаленного доступа со своих ноутбуков или домашних компьютеров обязаны иметь обновленное антивирусное программное обеспечение и персональный файрвол. Искушенный хакер проанализирует общую ситуацию и найдет самое слабое место, по которому и ударит. Напоминание людям с удаленным доступом о своевременных обновлениях и установке файрволов – обязанность каждой корпорации, потому что вы не можете ожидать, что рабочие, менеджеры, продавцы и другие, не связанные с IT отделом, будут помнить об опасности незащищенности их компьютеров.
Кроме этих шагов, я рекомендую использовать меньше обычных, но больше важных пакетов, которые защищают от троянских атак. На момент написания книги, лучшими из известных программ являются The Cleaner (www.microsoft.com ) и Trojan Defence Sweep (www.diamondcs.com.au ).
В заключение, самое важное сообщение о безопасности для всех компаний, которые не сканируют на наличие опасных писем: Мы все имеем тенденцию быть забывчивыми или беспечными в вопросах, которые кажутся второстепенными в плане выполнения нашей работы, поэтому работникам нужно снова и снова напоминать не запускать приложения в письмах, несмотря на то, что они могут быть отправлены отдельным лицом или организацией, которым можно доверять. И управляющим также нужно напоминать работникам, что они должны использовать работающие антивирусные программы и антитроянское программное обеспечение, которое обеспечивает защиту против писем, которые могут содержать в себе разрушающий груз.
Быстрое скачивание
Через 10 лет после завершения юридического института, Нэд Рэсин видел своих одноклассников, живущих в маленьких миленьких домах с лужайками перед домом, членов различных клубов, играющих в гольф 2 раза в неделю, по?прежнему работая с копеечными делами людей, которым никогда не хватало денег на оплату счетов. Зависть может стать коварным спутником. Однажды Нэду это надоело.
Его единственный хороший клиент владел маленькой, но очень успешной бухгалтерской фирмой, которая специализировалась на покупках и объединениях. Они работали с Нэдом недолго, но достаточно, чтобы он понял, что они участвовали в сделках, которые могли бы повлиять на биржевую цену одной или двух компаний. Копеечное дело, но в чем?то оно лучше – маленький скачок в цене может стать большой процентной прибылью от инвестиций. Если бы только он мог заглянуть в их файлы, и посмотреть, над чем они работают…
Он знал человека, который знал человека, который разбирался в не совсем типичных вещах. Мужчина услышал план, зажегся и согласился помочь. За меньшую сумму, чем он обычно просил, вместе с процентом от прибыли с валютной биржи, мужчина рассказал Нэду, что надо делать. Он так же дал полезное маленькое устройство – новинку в магазинах.
Несколько дней подряд Нэд наблюдал за стоянкой в маленьком бизнес парке, где у бухгалтерской компании были непрезентабельные офисы, похожие на витрину магазина. Большинство людей уходило в 5:30?6:00. В 7 здание было пустым. Уборщики приезжали примерно в 7:30. Идеально.
На следующий вечер, за несколько минут до восьми, Нэд припарковал свою машину на стоянке фирмы. Как он и ожидал, она была пуста, не считая грузовика уборочной компании. Нэд, одетый в костюм и галстук, держа в руке потертый чемодан, приложил ухо к двери и услышал работающий пылесос. Он постучал очень громко. Ответ не последовал, но он был терпелив. Он постучал снова. Мужчина из уборочной команды наконец?то появился. «Здравствуй», кричал Нэд через стеклянную дверь, показывая пропуск одного из сотрудников, который он нашел чуть раньше.
«Я закрыл свои ключи в машине и мне надо добраться до стола».
Мужчина открыл дверь, опять закрыл ее за Нэдом, и пошел по коридору, включая свет, чтобы Нэд видел, куда идти. А почему бы и нет – ведь он по идее один из тех, кто помогает ему класть еду на стол. По крайней мере, у него были все причины так думать.
Нэд сел за компьютер одного из сотрудников и включил его. Пока он включал его, он установил устройство, которое ему дали, на порт USB, достаточно маленькое, чтобы носить в связке ключей, и, тем не менее способное умещать до 120 мегабайт информации. Он подключился к сети, используя логин и пароль секретарши сотрудника, приклеенный на бумажке к дисплею. Менее чем за 5 минут, Нэд скачал все файлы с таблицами и документами с рабочего компьютера и сетевых папок партнера, и уже направлялся к дому.
Сообщение от Митника
Промышленные шпионы и компьютерные взломщики иногда физически проникают в цель. Они не используют лом, чтобы пройти, социальные инженеры используют искусство обмана, чтобы повлиять на человека с другой стороны двери, который откроет дверь для него.
Частный сыщик в действии
Все три из этих звонков были сделаны одним человеком – частным сыщиком, которого мы будем называть Оскар Грейс. У Грейса появился новый клиент, один из первых. Ещё несколько месяцев назад он был полицейским. Он обнаружил, что кое?что в его новой работе добывалось обычным путём, но некоторая часть бросала вызов его ресурсами и изобретательности.
Популярные писатели любовных романов Сэм Спейдс и Филипп Марлоус проводили длинные ночи, сидя в машинах и следя за нечестными супругами. Частные сыщики в реальной жизни делают то же самое. Они также делают более обыденные, но не менее важные слежки за враждующими супругами. Большей частью они основываются на навыках в социальной инженерии, чем на борьбе с бессонницей с прибором ночного видения.
Новым клиентом Грейса была леди, и по виду своего платья и ожерелья довольно обеспеченная. Однажды она зашла в его офис и села в кожаное кресло, единственное, на котором не было сложенной кипы газет. Она поставила на стол свою сумочку от Гуччи, повернув логотипом в его направлении, и заявила, что хочет сказать своему мужу о том, что хочет развода, но есть «только одна маленькая проблема».
Кажется, её муженёк был на шаг впереди. Он уже снял все наличные с их сберегательного счёта и даже гораздо большую сумму с их брокерского счёта. Она хотела знать, куда подевались их активы, и сказала, что её адвокат по разводу не смог вообще ничем помочь. Грейс предположил, что адвокат был одним из тех юристов, которые сидят на верхних этажах небоскрёбов и не желают пачкать свои руки ни в чём грязном, например, разбираясь, куда исчезли её деньги.
Не мог бы Грейс помочь?
Он уверил её, что это будет непросто, назвал примерную цену, накладные расходы и получил чек в качестве аванса.
Затем он столкнулся с проблемой. Что вы делаете, если вам никогда прежде не поручали подобную работу и даже не знаете с чего начать искать денежный след? Вы как ребёнок делаете первые шаги. Вот история Грейса согласно нашему источнику.
Я знал о CreditChex, и как банки им пользуются – моя бывшая жена работала в банке.
Но я не знал терминов и процедур, и спрашивать её об этом было бы пустой тратой времени.
Шаг первый: Разузнать о терминологии и выяснить, как сделать запрос так, чтобы он звучал, как будто я знаю, о чём говорю. Первая молодая леди Ким в банке, в который я позвонил, была настроена подозрительно, когда я спросил, как они идентифицируют себя, когда звонят в CreditChex. Она колебалась, она не знала, стоит ли мне это говорить. Было ли это моим поражением? Нисколько. Фактически, колебание дало мне важный знак, что я должен сообщить причину, которой бы она поверила. Когда я обманул её, сказав, что провожу исследования для книги, это уменьшило её подозрения. Скажите, что вы писатель или сценарист и вам любой откроется.
У неё была информация, которая могла бы помочь – вроде необходимых данных, которые требует CreditChex относительно человека, о котором вы делаете запрос; о чём вы можете спрашивать; и главное, банковский номер Merchant ID Ким.
LINGO
Сжигать источник – считается, что нападающий сжигает источник, когда он даёт жертве понять, что атака имела место. Как только жертва узнаёт об этом и сообщает другим служащим или руководству о попытке, становится невероятно сложно использовать тот же источник для будущих атак.
Вы вынуждены опираться только на инстинкт, чутко вслушиваясь, что и как жертва говорит. Эта леди звучала достаточно настороженно и могла что?нибудь заподозрить, если бы я задавал много необычных вопросов. Даже притом, что она не знала, кто я и с какого номера я звоню, нельзя вызывать подозрительности, потому что вы вряд ли захотите сжигать источник – возможно, вы захотите позвонить в этот офис в другой раз.
Я всегда слежу за маленькими знаками, которые дают понять, насколько человек поддаётся сотрудничеству. Это может варьироваться от «Вы располагаете к себе, и я верю всему, что вы говорите» до «Вызвать полицию, поднять Национальную Гвардию, этот парень замышляет что?то нехорошее».
Я понял, что Ким находится на грани последнего, поэтому я просто позвонил кому?нибудь из другого отдела.
Мой следующий звонок свёл меня с Крис, с ней уловка сработала. В этот раз тактика заключалась в том, чтобы спрятать важные вопросы среди несущественных, которые служат, чтобы вызвать чувство доверия. Прежде чем я задал вопрос о номере Merchant ID в CreditChex, я провел небольшой тест, задав ей личный вопрос о том, как долго она работает в банке.
Личный вопрос – это как скрытая мина, некоторые люди переступают через него, не замечая; для других она взрывается и взывает в защите. Поэтому если я задаю личный вопрос и она отвечает, и тон её голоса не меняется, это означает, что, возможно, она не относится подозрительно к природе вопроса. После этого я могу спокойно задать нужный вопрос, не вызывая у неё подозрений, и она скорее всего даст мне необходимый ответ.
Есть ещё одна вещь, о которой знают частные сыщики: никогда не заканчивать разговор сразу после получения нужной информации. Ещё два?три вопроса, немного болтовни и только тогда можно прощаться. Позже, если жертва вспомнит о чём вы спрашивали, это скорее всего будет пара последних вопросов. Остальные обычно забываются.
Итак, Крис дала мне её номер Merchant ID и телефонный номер, по которому они делают запросы. Я хотел задать ещё несколько вопросов, чтобы узнать, как много информации можно узнать от CreditChex. Но лучше было не рисковать.
Теперь я мог в любое время позвонить в CreditChex и получить информацию. При таком повороте событий служащий CreditChex был счастлив поделиться со мной точной информацией касающихся двух мест, в которых муж моей клиентки недавно открыл счета. Итак, куда же подевались деньги, которые разыскивала его потенциальная бывшая жена? Ещё куда?нибудь, кроме банковских учреждений, о которых сообщил парень из CreditChex?
Анализ обмана
Весь этот фокус основывался на единственной фундаментальной тактике социальной инженерии: получение доступа к информации, которую работники компании считают безвредной, когда на самом деле она опасна.
Первая банковская служащая подтвердила термин для описания номера идентификации, используемого для звонков в CreditChex: Merchant ID.
Вторая выдала телефонный номер для звонков в CreditChex и самый важный кусок информации: номер Merchant ID банка. Вся эта информация казалась клерку безвредной. В конце концов, ведь банковская служащая думала, что она говорит с кем?то из CreditChex – так что плохого было в раскрытии номера?
Всё это было положено в основу для третьего звонка. У Грейса было всё необходимое, чтобы позвонить в CreditChex. Он представился служащим одного из банков?клиентов, – Национального банка, – и просто спросил всё, что нужно.
Помимо хороших навыков в краже информации, которыми обладает любой хороший карманник, Грейс обладал талантом незаметно угадывать настроение людей. Он знал об обычной тактике прятанья ключевых вопросов среди безвредных. Он знал, что личный вопрос проверит второго клера на желание сотрудничать, прежде чем спрашивать о номере Merchant ID.
Ошибку первого служащего, касающуюся подтверждения терминологии номера ID CreditChex, практически невозможно предотвратить. Эта информация столь широко известна в банковской индустрии, что кажется незначительной – хорошая модель безвредной информации. Но второй служащей, Крис, не следовало отвечать на вопросы без проверки, действительно ли звонивший был тем, кем назвался. По крайней мере, ей следовало спросить у него имя и номер, чтобы перезвонить. В этом случае атакующему было бы намного труднее замаскироваться под представителя CreditChex.
Сообщение от Митника
В этой ситуации Merchant ID – аналог пароля. Если бы персонал банка относился к нему как к ATM PIN, они бы лучше оценивали критичность природы этой информации. А в вашей организации есть внутренний номер, к которому люди относятся без особой осторожности?
Для звонков в CreditChex было бы лучше использовать что?нибудь другое, вместо номера, сообщаемого звонившим, чтобы проверить действительно ли этот человек работает там, и действительно ли компания обрабатывает запросы своего клиента. Однако, учитывая практику настоящего мира и временной прессинг, в котором сегодня работают многие люди, этой проверки по телефону достаточно кроме случаев, когда служащий подозревает, что совершается атака.
Человеческий фактор
Не так давно, давая показания перед Конгрессом, я объяснял, что часто я получал пароли и другие кусочки секретной информации компаний, просто притворяясь кем?нибудь и спрашивая о них.
Это естественно – стремиться к абсолютной безопасности, но это желание заставляет многих людей соглашаться с ложным чувством защищённости. Рассмотрим ответственного и любящего отца семейства, у которого есть Medico – надёжный замок в парадной двери, который ограждает его жену и детей и его дом. Сейчас он спокоен, так как сделал свою семью гораздо более защищённой от вторжений. Но как насчёт грабителя, который разбивает окно или взламывает код у замка на двери гаража? Тогда нужно установить охранную систему? Неплохо, но всё же недостаточно. Независимо от того, насколько дороги замки, домовладелец остаётся уязвим.
Почему? Потому что человеческий фактор по?настоящему самое слабое звено в безопасности.
Безопасность слишком часто просто иллюзия и иногда иллюзия может быть даже хуже легковерия, наивности или невежества. Самый знаменитый в мире учёный 20 века Альберт Эйнштейн говорил: «Можно быть уверенным только в двух вещах: существовании вселенной и человеческой глупости, и я не совсем уверен насчёт первой». В конце концов, атаки социальных инженеров успешны, когда люди глупы или, гораздо чаще, просто неосведомлены о хороших мерах безопасности. Аналогично нашему домовладельцу, многие профессионалы в информационных технологиях (ИТ) придерживаются неправильных представлений, будто они сделали свои компании в значительной степени неуязвимыми к атакам, потому что они используют стандартные продукты по безопасности: файрволлы, системы для обнаружения вторжений (IDS) или серьёзные устройства для аутентификации, такие как биометрические смарт?карты или time?based tokens. Любой, кто думает, что одни только эти продукты по безопасности предоставляют достаточную защиту, соглашается на иллюзию защиты. Это как жить в мире фантазий – неизбежно, рано или поздно он столкнётся с инцидентом, связанным с безопасностью.
Как заметил консультант по безопасности Брюс Шнайер: «Безопасность – это не продукт, это процесс». Кроме того, безопасность – это не технологическая проблема, это проблема людей и управления.
Пока разработчики непрерывно изобретают всё лучшие и лучшие технологии защиты, делая всё более трудным возможность использовать технические уязвимости, атакующие всё чаще используют человеческий фактор. Зачастую очень просто взломать человеческий файрволл, все затраты не превышают стоимости одного телефонного звонка и атакующий подвержен минимальному риску.
Что знает о вас администрация общественной безопасности
Нам нравится думать, что правительственные организации хранят данные о нас надежно охраняемые от посторонних. Реальность заключается в том, что федеральные управления не так устойчивы к проникновениям, как нам хочется думать.
Звонок от Мэй Линн
Место: региональный офис администрации общественной безопасности
Время: 10.18 утра, четверг
«Это Мэй Линн Ванг»
Голос на другом конце провода звучал примирительно, почти робко.
«Мисс Ванг, это Артур Арондэйл, офис главного инспектора. Могу я звать вас Мэй?»
«Это – Мэй Линн» – отвечает она.
«Хорошо, это так, Мэй Линн. У нас тут новый парень, у которого нет компьютера и прямо сейчас у него приоритетный проект, поэтому он использует мой. Мы работаем в правительстве Америки, и они нам говорят, что у них нет достаточно денег в бюджете, чтобы купить этому парню компьютер. А сейчас мой босс думает, что я опаздываю с выполнением своей работы, и не хочет слышать никакие извинения, вы знаете?»
«Я знаю, о чем вы, хорошо»
«Не могли бы вы мне помочь с быстрым запросом на MCS?»?он использует имя системы, где записаны все налогоплательщики.
«Конечно, что вам нужно?»
«Первое, поиск счета на Джозефа Джонсона, дата рождения 07.04.69»
После небольшой паузы она спрашивает:
«Что именно вы хотите знать?»
«Какой номер его счета?»
Она прочитывает его.
«Отлично, теперь мне нужен идентификационный номер на этот счет», говорит звонящий.
Это был запрос на базовую информацию о налогоплательщике, и Мэй Линн говорит место жительства, девичью фамилию матери и имя отца. Звонящий внимательно слушает, пока она говорит ему месяц и год заведения карточки и офис, где она была заведена.
Затем он спрашивает о подробном заработке человека.
Данный запрос вызывает ответ, «За какой год?»
Он отвечает, «за 2001»
Мэй Линн говорит, «он равен $190,286,плательщик Джонсон МикроТек»
«Какие?нибудь другие зарплаты?»
«Нет»
«Спасибо», – говорит он, « вы были очень добры».
Теперь он всегда звонит ей, когда ему нужна какая?либо информация, а у него нет доступа к компьютеру.
Он снова использует любимый трюк социальных инженеров, установив связь с человеком однажды – всегда возвращаться к нему, чтобы избежать ненужных поисков.
«Не на следующей неделе», говорит она ему, потому что собирается поехать в Кентукки на свадьбу своей сестры. В любое другое время, когда она будет свободна.
Когда она кладет трубку, Мэй Линн чувствует радость, что хоть немного помогла недооцененному государственному работнику.
История Кейт Картер
Если судить по фильмам и хорошо продающимся криминальным новеллам, частные сыщики отлично разбираются в том, как выудить факты у людей. Они делают это, используя совершенно нелегальные методы. Но, по правде говоря, большинство ЧС ведут законный бизнес. С тех пор, как большинство из них начинали свою работу в роли полицейских, они отлично знают, что легально, а что нет, и большинство из них не желают переступать эту линию.
Но есть, разумеется, и исключения. Некоторые ЧС создают алиби для парней, замешанных в криминальных историях. Эти парни известны на рынке как информационные брокеры, утонченное оружие для людей, готовых нарушить законы. Они знают, что могут выполнить любое задание быстрее, если используют некоторые ускоренные методы. Эти ускоренные методы могут являться преступными и отправить этих людей за решетку на несколько лет, но это не пугает некоторых, особенно беспринципных личностей.
Между тем, ЧС уровнем выше среднего – те, кто работают не в шикарных костюмах в офисах, расположенных в самой высокооплачиваемой части города, – не делают такие типы работ самостоятельно. Намного проще нанять информационного брокера, чтобы он сделал все за него.
Парень, которого мы назовем Кейт Картер, был не обременен нормами этики.
Это было типичное дело «Где он прячет деньги?» или иногда «Где она прячет деньги?» Иногда это была богатая женщина, желающая знать, куда муж спрятал ее деньги (вопрос, почему женщина с деньгами выходила замуж за мужчину без них, всегда оставался для Кейта Картера неразрешимой загадкой).
В этом деле муж, которого звали Джо Джонсон, был «очень умным парнем, который открыл компанию, занимающуюся высокими технологиями, стартовав с 10 тысяч долларов, которые одолжил у семьи жены, и в итоге фирма превратилась в много – миллионную компанию». Согласно адвокату, занимающемуся разводом, он произвел изумительную работу по сокрытию своих активов, и все уже сбились с ног, разыскивая их.
Кейт наметил отправной точкой Администрацию общественной безопасности, концентрируя их файлы на Джонсона, которые содержали весьма полезную информацию для ситуации, подобной данной. Вооруженный их информацией, Кейт мог притвориться мишенью и заставить банки, брокерские конторы и оффшорные организации рассказать ему все.
Его первый звонок был в офис местной администрации, номер которой был размещен в телефонной книге. Когда служащий взял трубку, Кейт попросил соединить его с кем?нибудь из отдела подачи исков заказчикам. Еще одна пауза – и, наконец, голос. Кейт изменил схему действия и начал: «Привет. Это Грегори Адамс, местный офис 329.Слушай, я пытаюсь добраться до хранилища, которое содержит номер счета, оканчивающегося на 6363.»
«Это Мод2»,ответил мужчина. Он проверил номер и дал его Кейту.
Затем он позвонил на Мод2.Когда Мэй Линн ответила, он придумал, что звонит из офиса главного инспектора и о проблеме, что кому?то другому приходится сидеть за его компьютером. Она дала ему всю информацию, в которой он нуждался, и пообещала сделать все возможное, если ему понадобится помощь в будущем.
Анализ обмана
Что сделало его попытку эффективной, так это умелая игра на симпатии работника к нему после рассказа истории о занятом компьютере и о том, что «мой босс недоволен мной». Люди не проявляют на работе свои эмоции очень часто, но если они это делают, то успех атакующему обеспечен. И эмоциональная уловка «Я в беде, не могли бы вы помочь мне?» – это все, что нужно, чтобы выиграть.
Общественная незащищенность
Администрация общественной безопасности разместила копию их полного справочника действий в сети, в котором много информации, полезной для их работников, но еще более важной для социальных инженеров.
Он содержит аббревиатуры, жаргонизмы и инструкции, как делать запрос относительно интересующей вас информации, как описано в предыдущей истории.
Вы хотите знать больше об Администрации общественной безопасности? Просто поищите в Google или введите следующий адрес в вашем браузере:
http://policy.ssa.gov/poms.nsf/
Несмотря на то, что в агенстве уже прочитали эту историю и удалили руководство к тому времени, как вы читаете эти строки, вы найдете он?лайн инструкции, которые даже дают детальную информацию о том, какие данные служащий АОБ вправе давать определенному кругу людей. Практически же, этот круг включает в себя любого социального инженера, который может убедить служащего, что он из законной организации.
Атакующий не сможет добиться успеха в добыче информации у служащего, который отвечает на звонки всех людей. Тип атаки, использованной Кейтом, работает лишь тогда, когда человек получает конец разговора с кем?то, чей номер телефона не доступен широкой публике и к тому же создается впечатление, что тот, кто звонит, работает в компании. Элементы, которые сделали эту атаку возможной:
знание номера телефона Мод
владение необходимой терминологией
выдумка, что он из офиса главного инспектора, о котором каждый государственный служащий знал как об агентстве, обладающем властью. Это дает атакующему некую ауру авторитета.
Одна интересная деталь: кажется, что социальные инженеры знают, как правильно делать запросы, так что никому и в голову не придет подумать, "Почему вы звоните мне? " – даже тогда, когда с точки зрения здравого смысла будет логичней обратиться к другому человеку из другого департамента. Возможно, это работает потому, что разрушает чрезмерную обыденность рабочего дня, и звонок кажется чем?то необычным.
И в завершение, атакующий не удовлетворяется разовым получением информации, но и желает установить более прочный контакт, которым можно будет воспользоваться в будущем. Он мог использовать другие уловки, вроде «Я пролил кофе на клавиатуру».Но в данной ситуации это было бы плохой идеей, так как клавиатуру можно поменять очень быстро.
Итак, он использовал историю о ком?то другом, использующим его компьютер, которая могла растянуться на недели: «Да, я думал, что вчера ему дадут компьютер, но кто?то более ловкий договорился и забрал компьютер себе. Так что этот шутник все еще находится на моем месте»… И так далее.
Какой же я несчастный, мне нужна помощь. Эти фразы заколдовывают.
Чужак
История в главе 3 показала, как атакующий может служащего сообщить свой (табельный) номер. В этой истории применяется другой подход, чтобы добиться того же результата, и показывает, как атакующий может им воспользоваться.
Наравне с Джонсами
В Силиконовой долине есть некая мировая компания, название которой упоминаться не будет. Отделы сбыта и другие подразделения, расположенные по всему миру, соединены со штаб?квартирой компании посредством глобальной сети (WAN). Взломщик, проворный малый по имени Брайан Аттерби (Brian Atterby), знал, что почти всегда легче проникнуть в сеть в одном из отдаленных мест, где уровень безопасности должен быть ниже, чем в головном офисе.
Взломщик позвонил в офис в Чикаго и попросил соединить с мистером Джонсом. Секретарь в приемной спросила, знает ли он имя мистера Джонса; он ответил: «Оно где?то здесь, я ищу его. Сколько у вас работает Джонсов?». Она сказала: «Три. В каком он подразделении?» Он сказал: «Если вы зачитаете мне имена, может, я вспомню его».
– Барри, Джозеф и Гордон.
– Джо. Я вполне уверен, что это он. И… в каком он подразделении?
– Развития бизнеса
– Отлично. Соедините меня с ним, пожалуйста.
Она соединила его. Когда Джонс взял трубку, атакующий сказал: «Мистер Джонс? Это Тони из отдела (начисления) заработной платы. Мы как раз выполняем ваш запрос о переводе ваших денег на кредитный счет».
– ЧТО?! Вас обманули. Я не делал таких запросов. У меня даже нет счета.
– Проклятие, я уже выполнил запрос.
Джонс был в смятении от мысли, что его деньги могли отправиться на чей?нибудь счет, он начал думать, что парню на том конце провода не следовало торопиться. Прежде чем он успел ответить, атакующий сказал: «Я понимаю, что произошло. Изменения вносятся по номеру служащего. Какой у вас номер?»
Джонс сообщил свой номер. Звонивший сказал: «Действительно, вы не делали запрос».
«Они становятся все более бестолковыми с каждым годом», – подумал Джонс.
«Я внесу исправление прямо сейчас.
Не беспокойтесь, вы получите вашу зарплату без проблем», – заверил парень.
Командировка
Почти сразу после этого позвонили системному администратору в отдел сбыта в Остине, Техас.
«Это Джозеф Джонс, – представился звонивший. – Я из отдела развития бизнеса. Я буду в отеле Дрискил (Driskill Hotel) через неделю. Мне нужна временная учетная запись, чтобы я мог получать электронную почту, не делая междугородных звонков».
«Повторите имя и сообщите мне свой номер», – сказал системный администратор. Лже?Джонс дал ему номер и продолжил: «У вас есть высокоскоростные номера?».
«Подожди, приятель. Я должен проверить тебя по базе данных». Через некоторое время он сказал: «О.К., Джо. Скажи мне номер дома».
Атакующий тщательно подготовился и держал ответ наготове.
Сообщение от Митника
Не надейтесь, что сетевая защита и брандмауэры защитят вашу информацию. Следите за самым уязвимым местом. В большинстве случаев вы обнаружите, что уязвимость заключается в ваших людях.
«О.К., – сказал системный администратор, – ты убедил меня».
Это было просто. Системный администратор проверил имя «Джозеф Джонс», подразделение, номер, и « Джо» сообщил ему правильный ответ на тестовый вопрос. "Имя пользователя будет таким же, как и корпоративное, «jbjones», – сказал системный администратор, – и начальный пароль «changeme» («смени меня»).
Анализ обмана
С помощью пары звонков и 15 минут атакующий получил доступ к глобальной сети компании. В этой компании, как и во многих организациях, было то, что я называю «слабой безопасностью » (candy security), термином впервые использованным двумя исследователями из Bell Labs, Стивом Белловином (Steve Bellovin)и Стивеном Чесвиком (Steven Cheswick). Они описывали такую безопасность как «крепкая оболочка со слабым центром», похожую на конфеты M&M. Белловин и Чесвик доказывали, что внешней оболочки, брандмауэра, недостаточно для защиты, потому что взломщик способен обойти ее, а внутренние компьютерные системы защищены слабо.
В большинстве случаев они защищаются недостаточно надежно.
Данная история подходит под определение. Имея номер для удаленного доступа и учетную запись, атакующему даже не надо было беспокоиться о проникновении через брандмауэр Интернет, и, будучи внутри, он легко мог скомпрометировать большинство систем во внутренней сети.
По моим данным, эта хитрость сработала с одним из крупнейших производителей компьютерных программ. Вы подумаете, что системных администраторов таких компаний, вероятно, учат обнаруживать уловки такого типа. Мой опыт подсказывает, что никто полностью не защищен от способного и убедительного социального инженера.
Lingo
«Слабая безопасность» (candy security) – термин, введенный Белловином и Чесвиком из Bell Labs для описания сценария безопасности, где внешняя граница, такая как брандмауэр, прочна, но инфраструктура, расположенная за ним, слаба.
Speakeasy security – «прозрачная» безопасность, которая основана на знании, где находится нужная информация, и использовании слова или имени для доступа к информации или компьютерной системе.
«Прозрачная» безопасность (Speakeasy security)
В дни существования – ночных клубов (speakeasies), где разливался джин – потенциальный клиент получал доступ, найдя дверь и постучав в нее. Через несколько минут , открывалось маленькое окошко и показывалось устрашающее бандитское лицо. Если посетитель был «своим», он называл имя завсегдатая (часто было достаточно сказать: «меня отправил Джо»), после чего вышибала открывал дверь и разрешал войти.
Хитрость была в том, что нужно было знать, где находится заведение, так как дверь ничем не выделялась, и хозяева не размещали вывеску, указывающую на свое присутствие.
Я видел это в фильмах
Вот пример из известного фильма, который многие люди помнят. В "Трех днях Кондора " главный герой Тернер (роль играет Роберт Рэдфорд) работает с небольшой исследовательской фирмой по контракту с ЦРУ. Однажды он возвращается с обеда и обнаруживает, что всех его сотрудников застрелили.
Ему нужно было выяснить, кто это сделал и почему, зная, что в это время те плохие парни разыскивают его.
Позже он сумел узнать телефонный номер одного из парней. Но кто он такой и как найти его? Ему повезло: сценарист, Дэвид Рэйфил, к счастью, снабдил его опытом, который включает подготовку в войсках связи, дающую ему представление о работе телефонных компаний. Располагая номером парня, Тернер точно знает, что нужно делать дальше. В фильме сцена выглядит таким образом:
Тернер повторно соединяется и набирает другой номер
звонок! звонок! Затем:
Женский голос (фрагмент). Служба имен и адресов (CNA – Customer Name and Address bureau). Миссис Колеман.
Тернер. Миссис Колеман, это Гарольд Томас, абонентская служба. Имя и адрес абонента, пожалуйста, для 202?555?7389.
Женский голос (фрагмент). Одну минуту.
(почти сразу)
Леонард Этвуд, Маккенси Лэйн, 765, Мэриленд. (Leonard Atwood, 765 MacKensie Lane, Chevy Chase, Maryland).
Можете вы осознать случившееся, не обращая внимания на то, что сценарист ошибочно использует междугородный код Вашингтона, округ Колумбия, для адреса в Мэриленде?
Тернер, благодаря опыту линейного монтера, знает, по какому номеру надо звонить в офис компании, которая называется «Служба имен и адресов». Служба имен и адресов абонентов предназначена для удобства монтажников и другого персонала компании. Монтажник может позвонить в службу и назвать номер. Служащий сообщит имя и адрес человека, которому принадлежит телефон.
Обман телефонной компании
В реальной жизни номер службы имен и адресов – тщательно охраняемая тайна. Хотя телефонные компании в наши дни не так легко предоставляют информацию, в то же время они используют разновидность «прозрачной» безопасности, которую специалисты по безопасности называют«security through obscurity» ( безопасность, основанная на незнании). Предполагается, что любой, кто позвонил в службу имен и адресов и владеет соответствующей терминологией (например, «имя и адрес для 555?1234, пожалуйста»), является человеком, имеющим право на получение информации.
Lingo
SECURITY THROUGH OBSCURITY – неэффективный метод компьютерной безопасности, основанный на содержании в тайне деталей работы системы (протоколы, алгоритмы, внутренние системы). Такая безопасность основана на обманчивом предположении, согласно которому никто за пределами группы посвященных людей не способен обойти систему.
Сообщение от Митника
Безопасность, основанная на незнании, не приносит никакой пользы при отражении атак социальной инженерии. В каждой компьютерной системе в мире есть как минимум один человек, который ее использует. Таким образом, если социальный инженер способен манипулировать людьми, использующими системы, незаметность системы не подходит.
Не нужно было подтверждать свою личность, сообщать свой номер, ежедневно изменяемый пароль. Если вы знали номер и говорили достоверно, то должны получить право на информацию.
Это было не очень основательным предположением со стороны телефонной компании. Единственная мера безопасности, которую они предприняли, – периодическая смена телефонного номера, по крайней мере, раз в год. Несмотря на это, действующий номер в определенный момент времени был широко известен среди фрикеров, использующих этот удобный источник информации в своих кругах. Хитрость со службой имен и адресов абонентов была одной из первых вещей, которые я изучил во время увлечения фрикингом в юношеском возрасте.
В мире бизнеса и правительства все еще преобладает «прозрачная» безопасность. Вероятно, здесь необходимо обладать знаниями о подразделениях, людях, и терминологии. компании. Иногда все, что требуется знать, – это внутренний телефон.
CREDITCHEX
В течение долгого времени британцы имели дело с очень консервативной банковской системой. Вы как обычный добропорядочный гражданин не могли просто зайти с улицы и открыть банковский счёт. Нет, банк не рассматривал вас в качестве своего клиента, пока какой?нибудь уже хорошо зарекомендовавший себя клиент не даст вам своё рекомендательное письмо.
Несомненно, это очень сильно отличается от сегодняшнего банковского мира. И наша современная лёгкость в совершении сделок нигде так не развита, как в дружелюбной, демократичной Америке, где почти кто угодно может зайти в банк и легко открыть расчётный счёт, правильно? Да, но не совсем. На самом деле, банки не желают открывать счёт для кого?нибудь, кто может иметь за собой ситуации с неоплаченными счетами – это всё равно, что соглашаться на грабёж. Поэтому для многих банков стала стандартной практика быстрой оценки перспектив нового клиента.
Одной из больших компаний, которые предоставляют банкам такую информацию, является CreditChex (все названия изменены). Они предоставляют своим клиентам ценную услугу, но, как и многие компании, также могут, не подозревая об этом, стать источником информации для социальных инженеров.
Первый звонок: Ким Эндрюс
«Национальный Банк, это Ким. Вы хотели открыть сегодня счёт?»
«Привет, Ким. У меня есть к вам вопрос. Вы пользуетесь CreditChex?»
«Да.»
«Когда вы звоните в CreditChex, номер, который вы им даёте – это „Merchant ID“?»
Пауза. Она взвешивала вопрос, удивляясь, к чему это всё, и следует ли ей отвечать.
Звонивший быстро продолжил, не теряя времени:
«Потому что, Ким, я работаю над книгой. Это касается частных исследований.»
«Да», сказала она, отвечая на вопрос под воздействием новых обстоятельств, польщённая тем, что помогает писателю.
«Итак, это называется Merchant ID, правильно?»
«Эээ, ага.»
«ОК, отлично. Я хотел убедиться, что примечание в книге правильно. Спасибо за помощь. До свидания, Ким.»
Второй звонок: Крис Тэлберт
«Национальный банк, новые счета, это Крис.»
«Привет, Крис.
Это Алекс», ответил звонивший. « Я из отдела обслуживания клиентов CreditChex. Мы делаем обзор по улучшению нашей службы. У вас есть для меня пара минут?»
Она была рада помочь, и звонивший продолжил:
«ОК, в какие часы ваш отдел открыт?» Она ответила и продолжала отвечать на его список вопросов.
«Сколько служащих в вашем отделении пользуются нашей службой?»
«Как часто вы звоните нам с запросами?»
«Какой из наших номеров 800– вы используете для звонков?»
«Наши представители всегда были вежливы?»
«Сколько времени занимает наш ответ?»
«Как давно вы работаете в банке?»
«Какой Merchant ID вы сейчас используете?»
«Вы когда?нибудь обнаруживали неточности в информации, которую мы вам предоставляем?»
«Есть ли у вас советы по улучшению нашей службы?»
И:
«Вы не могли бы заполнить наши периодические анкеты с вопросами, которые мы пришлём в ваш отдел?»
Она согласилась, они ещё немного поболтали, незнакомец повесил трубку, и Крис вернулась к работе.
Третий звонок: Генри МакКинси
«CreditChex, это Генри МакКинси, чем могу вам помочь?»
Звонивший сказал, что он из Национального Банка. Он назвал текущий Merchant ID и имя и номер социального страхования человека, о котором он искал информацию. Генри спросил дату рождения и звонивший сказал её тоже.
Через несколько секунд Генри прочитал список с экрана компьютера.
«Уэллс Фарго – есть сообщения о NSF однажды в 1998?м, в $2 066.» NSF – это недостаточные фонды – типичный банковский термин, касающийся чеков, которые были выписаны, когда на счету не хватало денег, чтобы их покрыть.
«Что?нибудь ещё после этого?»
«Ничего.»
«Были ли ещё какие?нибудь запросы?»
«Сейчас посмотрю. Да, два, оба в прошлом месяце. Третий Объединённый Кредитный Союз Чикаго.» Он наткнулся на следующее имя, Взаимные Инвестиции Шенектеди. «Это в штате Нью?Йорк», добавил он.
Доверие: ключ к обману
Чем естественней социальный инженер общается с жертвой, тем больше он ослабляет подозрение. Когда у людей нет причины для подозрений, социальному инженеру становится легко приобрести доверие жертвы.
Как только он получает ваше доверие, разводной мост опускается, и дверь замка распахивается, и он может зайти и взять ту информацию, что он хочет.
Заметка:
Вы можете заметить, как я ссылался на социальных инженеров, на телефонных фрикеров, и жуликов (con?game operators) в большинстве этих рассказов как «он». Это не – шовинизм; просто такова истина – большинство практикующий в этих областях – мужчины. Но, несмотря на это, среди социальных инженеров есть и женщины, число которых растет. Вы не должны терять бдительность и осторожность просто из?за того, что слышите женский голос. Фактически, женщины социальные инженеры имеют четкое преимущество из?за того, что они могут использовать свою сексуальность, чтобы получить сотрудничество. Вы найдете немножко так называемого слабого пола, представленного на этих страницах.
Первый звонок: Андреа Лопес
Андреа Лопес ответила на телефонный звонок в видео?прокате, где она работала, и сразу улыбнулась: всегда приятно, когда клиент говорит много хорошего про сервис. Тот, кто позвонил, сказал, что у него осталось очень хорошее впечатление о сервисе видео?проката, и он хотел послать менеджеру письмо, и сообщить об этом.
Он спросил имя менеджера и его почтовый адрес. Андреа сообщила ему, что менеджер это Томми Элисон, и дала адрес. Когда звонивший хотел положить трубку, у него появилась другая идея, и он сказал: «Я б мог написать в офис вашей компании, тоже. Какой номер вашего магазина?» Девушка также дала ему и эту информацию. Он поблагодарил, добавил что?то приятное про то, насколько полезной была она, и попрощался.
«Звонок подобный этому» – подумала Андреа, – «всегда помогает сделать карьерное продвижение быстрее. Как мило было бы, если люди делали подобное более часто».
Второй звонок: Джинни
«Спасибо за звонок в Видео Студию.
Это – Джинни, чем могу Вам помочь?»
«Привет, Джинни», звонящий сказал с большим энтузиастом, как будто бы он говорил с Джинни каждую неделю или что?то вроде того.
"Это – Томми Элисон, менеджер магазин 863 в Форест Парке. У нас есть клиент здесь, что хочет арендовать Рокки 5 , но у нас нет ни одного экземпляра. Вы можете проверить, есть ли у вас?"
Она вернулась на линию через несколько секунд и сказала: «Да, у нас есть три копии».
«Хорошо, я спрошу, хочет ли он подъехать к вам. Спасибо. Если Вам когда?либо будет нужна любая помощь нашего магазина, просто позвоните и попросите Томми. Я буду рад сделать для Вас все, что смогу».
Три или четыре раза на протяжении следующих нескольких недель, Джинни получала звонки от Томми для помощи в том или ином деле. Это были на вид законные просьбы, и он был всегда очень дружественным, не пытался сильно надавить. Он был очень болтливым, когда они общались, например – «Ты слышала о большом пожаре на Oak Park? Там, на перекрестке…», и тому подобное. Звонки были небольшим перерывом в рутине дня, и Джинни была всегда рада услышать его.
Однажды Томми позвонил и спросил: «У вас есть проблемы с компьютерами?»
«Нет» – ответила Джинни. «А почему должны быть?»
«Кто?то разбил автомобиль о телефонный столб, и телефонная компания заявляет, что целая часть города останется без связи и Интернета до тех пор, пока как они все исправят».
«О нет! Были человеческие жертвы?»
"Они увезли его в скорой помощи. Как бы то ни было, мне нужна небольшая помощь. Здесь ваш клиент, он хочет арендоватьКрестного Отца II , и у него нет с собой его карты. Ты не могла бы проверить его информацию для меня?"
«Да, конечно».
Томми дал имя клиента и адрес, и Джинни нашла его в компьютере. Она дала Томми учетный номер.
«Никаких поздних возвращений или долга?» – Спросил Томми.
«Ничего не вижу»
«Хорошо, прекрасно. Я подпишу его вручную для счета и внесу в нашу базу данных позже, когда компьютеры снова заработают нормально. Он хочет оплатить счет карточкой Visa, которую он использует в вашем магазине, а у него нет с собой карты.
Какой номер карты и дата истечения срока?»
Она дала ему номер, вместе с датой истечения срока. Томми сказал: "Спасибо за помощь. Поговорим позже”, и положил трубку.
История Долли Лоннеган.
Лоннеган – это не тот молодой человек, которого вы хотели бы увидеть, когда открываете входную дверь. Бывший сборщик долгов в азартных играх, он все еще делает это иногда. В этом случае, ему предлагали значительную суму наличных за несколько телефонных звонков в видеомагазин. Звучит достаточно просто. Никто из этих «клиентов» не знал, как проделать этот трюк; им нужен кто?то с талантом Лонеганна.
Люди не выписывают чеки, чтобы покрыть их долги, когда им не везет или они поступают глупо за игрой в покер. Каждый знает это. Почему эти старые друзья продолжали играть с жуликом, что не имел денег на столе? Не спрашивайте. Может быть, у них чуть?чуть меньше IQ, чем у остальных. Но они – старые друзья – что вы можете поделать?
Этот парень не имел денег, так что они взяли чек. Я спрашиваю вас! Надо было бы подвести его к машине ATM(аппарат обналички чеков?), – вот что надо было сделать. Но нет, чек. На $3,230.
Естественно, он обманул. Чего вы еще ожидали? Потом они позвонили мне; могу ли я помочь? Я не закрываю двери перед людьми, которые пришли ко мне. Кроме того, в настоящее время есть лучшие пути. Я сказал им, что 30 процентов комиссионных мои, и я посмотрю, что смогу сделать. Итак, они дали мне его имя, адрес и я нашел в компьютере ближайший к нему видео магазин.
Я не очень спешил. Четыре телефонных звонка к менеджеру магазина, и затем, бинго – у меня есть номер карты Visa мошенника.
Другой мой друг – хозяин topless бара. За пятьдесят долларов, он сделал проигранную парнем сумму денег в покер долгом бару (через Visa). Пускай мошенник объясняет это все своей жене. Вы думаете, он мог бы попытаться сообщить в Visa, что это не его долг? Подумайте снова. Он знает, что нам известно кто он. И если мы смогли получить его номер карточки Visa, он догадается, что мы можем получить намного больше.Не волнуйтесь на этот счет.
Анализ обмана
Звонки Томми к Джинни были просто для построения доверия. Когда время пришло для атаки, она потеряла бдительность и осторожность и сообщила Томми о том, про кого он спросил, так как он – менеджер в другом магазине одной компании.
И почему она помогла ему – она уже знала его. Она только познакомилась с ним через телефон, но они установили деловую дружбу, которая является основой для доверия. Однажды она приняла его как менеджера в той же компании, доверие было установлено, а остальное было уже как прогулка в парке.
Сообщение от Митника
Техника построения доверия является одной из наиболее эффективных тактик социальной инженерии. Вы должны подумать, хорошо ли вы знаете человека, с которым вы говорите. В некоторых редких случаях, человек может быть не тем, кем он представился. Следовательно, мы должны научиться наблюдать, думать, и спрашивать о полномочиях.
Ещё одна «ничего не стоящая» информация
Помимо номера расчётного центра и внутренних номеров, какая еще, по?видимому, бесполезная информация может быть чрезвычайно ценной для вашего врага?
Телефонный звонок Питера Абеля
«Привет», сказал человек на другом конце линии. «Это Том из Parkhurst Travel. Ваш билет в Сан?Франциско готов. Вы хотите, чтобы Вам его доставили или Вы хотите забрать его сами?»
«Сан?Франциско?» сказал Питер. «Я не собираюсь в Сан?Франциско.»
«Это Питер Абель?»
«Да, но у меня не намечается никаких поездок.»
«Хорошо», сказал звонивший с дружелюбным смехом, «Вы уверены, что вы не собираетесь ехать в Сан?Франциско?»
«Если Вы сомневаетесь, вы можете поговорить с моим боссом…», сказал Питер, подыгрывая дружеской беседе.
«Звучит как путаница», ответил звонивший. «В нашей системе мы заказываем билеты, ссылаясь на номера работников. Возможно, кто?то использовал неправильный номер. Какой у Вас номер служащего?»
Питер любезно сказал свой номер. А почему нет? Он пишет его почти на каждой персональной форме, когда их заполняет, многие люди в компании имеют к нему доступ – человеческие ресурсы, платёжные ведомости и, очевидно, внешние транспортные агентства. Никто не относится к номеру работника как к чему?то секретному. Так какая разница?
Ответ нетрудно предсказать. Два или три куска информации – это иногда всё, что нужно для эффективного превращения, когда социальный инженер скрывается под чьей?то персоной. Узнать имя работника, его телефонный номер, его номер работника и, возможно, на всякий случай, имя и телефон его начальника, – и тогда компетентный социальный инженер будет знать почти всё, что ему нужно, чтобы звучать правдоподобно, когда он позвонит его следующей жертве.
Если бы вчера позвонил кто?нибудь и сказал, что он был из другого отдела вашей компании, и, учитывая вероятную причину, спросил ваш номер работника, вы бы отказались его сообщить?
А, между прочим, какой у Вас номер социального страхования?
Сообщение от Митника
Мораль этой истории такова: не выдавайте никакую личную или внутрикорпоративную информацию или идентификаторы любому, если вы не узнаёте его или её голос.
Финальные выводы
Несмотря на клеветническое и возмутительное описание Джона Маркова, мои преступления были простыми преступлениями в хакинге и фрикинге. С момента ареста все действия по отношению ко мне были незаконны, включая вмешательство в личную жизнь. Предположения, сделанные в статье Маркова без суждений, причин или доказательств, что я лишил кого?то денег, повредил компьютеры или мошенничал, были полностью лживы и не подтверждены свидетельствами. Мои преступления мотивировались любопытством: я хотел знать столько, сколько мог знать о работе телефонных сетей и о входах и выходах в компьютерной безопасности. Из ребёнка, который любил совершать магические уловки, я стал самым печально известным хакером в мире, которого боялись корпорации и правительство. Оглядываясь на последние 30 лет моей жизни, я допускаю, что, опираясь на моё любопытство, желание изучать технологию и хороший интеллектуальный вызов, я сделал несколько чрезвычайно плохих решений. Сейчас я стал другим человеком. Я обратил свои таланты и обширное знание, которое я собрал о безопасности и тактике социальной инженерии, на помощь правительству, компаниям и индивидуумам, чтобы обнаруживать и отвечать на угрозы информационной безопасности. Эта книга – ещё одна возможность использовать мой опыт, чтобы помочь другим избежать злонамеренных информационных воров. Думаю, что истории будут приятными, предупреждающими и поучительными.
После ареста я подтвердил, что мои действия были незаконны, и что я совершал вторжения в личную жизнь.
Мои преступления мотивировались любопытством. Я хотел знать столько, сколько мог о том, как работают телефонные сети и входы?выходы в компьютерной безопасности. Из ребёнка, который любил показывать магические фокусы, я превратился в самого печально известного хакера в мире, которого боялись корпорации и правительство. Бросая взгляд на свою жизнь за последние 30 лет, я признаю, что, идя на поводу у любопытства, желания изучать технологию и интеллектуального вызова, я принял несколько чрезвычайно плохих решений,
Сейчас я изменился. Я обратил свои таланты и обширные знания об информационной безопасности и тактике социальной инженерии на помощь правительству, бизнесу и индивидам, чтобы помочь им предотвращать, обнаруживать и отвечать на угрозы информационной безопасности.
Эта книга – ещё одна возможность использовать мой опыт, чтобы помочь другим людям избежать злонамеренных информационных воров. Я надеюсь, вы найдёте истории приятными и поучительными.
Самое слабое звено в безопасности
(Chapter 1 Security's Weakest Link)
Перевод: Yarlan Zey (yarlan@pisem.net)
Компания может приобрести лучшие технологии по безопасности, какие только можно купить за деньги, натренировать своих людей так, что они станут прятать все свои секреты, прежде чем пойти ночью домой, и нанять охранников в лучшей охранной фирме на рынке.
Но эта компания всё ещё остаётся полностью Уязвимой.
Сами люди могут полностью следовать лучшей практике по безопасности, рекомендованной экспертами, по?рабски устанавливать каждый вновь появившийся рекомендованный программный продукт по безопасности и тщательно следить за конфигурацией своей системы и следить за выпуском патчей.
Но и они всё равно полностью уязвимы.
Когда безвредная информация опасна
(Chapter 2 When Innocuous Information Isn't)
Перевод: Yarlan Zey (yarlan@pisem.net)
Что большинство людей считает настоящей угрозой, исходящей от социальных инженеров? Что вам следует делать, чтобы быть на страже?
Если целью является получение какого?нибудь очень ценного приза – скажем, важного компонента интеллектуальной собственности компании, тогда, возможно, всё что нужно – это просто более недоступное хранилище и более тяжело вооруженные охранники. Правильно?
Но в жизни проникновение плохого парня через защиту компании часто начинается с получения какого?нибудь фрагмента информации или какого?нибудь документа, которые кажутся такими безвредными, такими обычными и незначительными, что большинство людей в организации не нашли бы причин почему им следовало бы её защищать и ограничивать к ней доступ.
Прямая атака: просто попроси
(Chapter 3 The Direct Attack: Just Asking for it)
Перевод: Artem (artemsib@inbox.ru)
Многие атаки социальной инженерии являются сложными, включая в себя тщательно планируемый ряд шагов, сочетая манипуляцию и технологические знания.
Но меня всегда поражает, как искусный социальный инженер может достичь своей цели с помощью простой прямой атаки. Как вы увидите, все, что может понадобиться – просто попросить информацию.
Внушая доверие
(Chapter 4 Building Trust)
Перевод: (Теневой Георг, Whitewoolf@ukr.net, ICQ 118145).
Некоторые рассказы могли заставить Вас думать, будто я верю в то, что все на самом деле полные идиоты, готовые, даже жаждущие, отдать каждый секрет. Социальный инженер знает, что это неправда. Почему атака социальной инженерией так успешна? Это так, не потому что люди глупы или им не хватает здравого смысла… Просто мы, как люди, полностью уязвимы перед обманом, поскольку люди могут изменить доверие, если манипулировать определенным образом.
Социальный инженер ожидает подозрение и недоверие, и он всегда подготавливается, чтобы недоверие превратить в доверие. Хороший социальный инженер планирует атаку подобно шахматной игре, предполагая вопросы, которые цель атаки может задать, так что у него могут быть готовы подходящие ответы.
Одна из его основных техник включает создание чувства доверия со стороны его жертв. Как он заставляет Вас верить ему? Поверьте мне, может.
Разрешите Вам помочь»
(Chapter 5 «Let Me Help You»)
Перевод: Daughter of the Night (admin@mitnick.com.ru)
Мы все благодарны, когда кто?нибудь со знанием, опытом и желанием помочь приходит и предлагает помочь с проблемами. Социальный инженер понимает это, и знает, как извлечь из этого выгоду.
Он также знает как создать вам проблему… а потом сделать вас благодарными, когда он решит проблему… и на вашей поиграв на вашем чувстве благодарности, извлечет из вас информацию или попросит оказать небольшую услугу, которая оставит вашу компанию (или вас лично) в гораздо более плохом состоянии после встречи. И вы можете даже не узнать, что вы потеряли что?то ценное.
Есть несколько типичных способов, которыми социальные инженеры пытаются «помочь».
Не могли бы Вы помочь?»
(Chapter 6 «Can You Help Me?»)
Перевод: Artem (artem sib@inbox.ru)
Вы знаете, как социальные инженеры обманывают людей, предлагая им свою помощь. Другой излюбленный подход основан на обратном: социальный инженер делает вид, что нуждается в помощи другого человека. Мы можем сочувствовать людям в затруднительном положении, и подход оказывается эффективным снова и снова, позволяя социальному инженеру достигнуть своей цели.
Фальшивые сайты и опасные приложения
(Chapter 7 Phony Sites and Dangerous Attachments)
Перевод: ext3 (www.hackzona.ru ) cha0s@ua.fm
Говорят, что вы никогда не получите ничего просто так.
По?прежнему, предложение чего?либо бесплатного является хорошей уловкой для получения больших доходов в законном ("Но подождите, это еще не всё! Позвоните прямо сейчас и вы получите дополнительно набор ножей! ") и не совсем законном («Купите один акр заболоченных земель во Флориде и второй вы получите бесплатно!») бизнесе.
И большинство из нас так горит желанием получить это что?то, что многих может сбить с толку, заставить не анализировать это предложение или данное обещание.
Мы знаем привычное предупреждение, «предостережение покупателя», но пришло время обратить внимание на другое предупреждение: Остерегайтесь приложений во входящей почте и свободного программного обеспечения. Сообразительный взломщик использует любое доступное средство, чтобы вломиться в корпоративную сеть, включая обращение к нашему естественному желанию получить бесплатный подарок. Вот вам несколько примеров.
Используя чувство симпатии, вины и запугивание
(Chapter 8 Using Sympathy, Guilt and Intimidation)
Перевод: ext3 (www.hackzona.ru ) cha0s@ua.fm
Как обсуждалось в Главе 15,социальный инженер использует психологию влияния в достижении своей цели и исполнения просьб. Опытные социальные инженеры очень сведущи в развитии уловок, симулирующих эмоции, такие как страх, возбуждение или вина. Они делают это, используя психологические рычаги – автоматические механизмы, которые ведут людей к исполнению требований без всякой доступной им информации.
Мы все хотим избежать трудных ситуаций для нас и окружающих. Базируясь на этом позитивном импульсе, атакующий может сыграть на симпатии человека, заставить жертву чувствовать свою вину или использовать запугивание в роли оружия.
Вот вам несколько прогрессивных уроков в известной тактике игре на эмоциях.
Ответный удар
(Chapter 9 The Reverse Sting)
//Глава еще редактируется
Перевод: Vedmak (wizard@mail.ru)
The String , упомянутый где?либо в этой книге (и, по моему мнению, самый лучший фильм, когда?либо снятый о мошенничестве), изображает ловкую задумку в массе обворожительных деталей. Операция, описанная в фильме – удачный пример того, как лучшие мошенники проделывают «the wire,» один из трех видов обманов, которых называют «большими мошенничествами». Если вы хотите знать, как команда профессионалов проделывает аферу, загребая большое количество денег за один вечер, что лучшего учебника не найти.
Но обычные мошенники, со всеми их специфическими уловками, в целом действуют по определенной схеме. Иногда уловка работает в обратном направлении, что и называется «обратный обман». Трюк в том, что злоумышленник организует ситуацию так, что жертва просит его о помощи, либо злоумышленник отвечает на просьбу коллеги. Как это работает? Сейчас Вы это узнаете.
LINGO
ОБратный обман
Мошенничество, в котором жертвы сама просит мошенника о помощи.
Сочетая технологию и социальную инженерию
(Chapter 11 Combining Technology and Social Engineering)
Перевод: Daughter of the Night (admin@mitnick.com.ru)
Социальный инженер живет своей возможностью манипулировать людьми, заставлять делать то, что поможет ему достичь своей цели, но успех обычно требует большого количества знаний и навыков в использовании компьютеров и телефонных систем.
Умные мошенники
(Chapter 13 Clever Cons)
//Глава еще будет редактироваться
Перевод: matt weird (mattweird@whoever.com)
Теперь вы выяснили, что когда незнакомец звонит с запросом на чувствительную информацию или на что?то, что может представлять ценность для атакующего, человек, принимающий звонок, должен быть обучен требовать телефонный номер вызывающего и перезванивать чтобы проверить, что человек на самом деле есть тот, за кого себя выдает – сотрудник компании, или сотрудник партнера по бизнесу, или представитель службы технической поддержки от одного из ваших поставщиков, например.
Даже когда компания установила процедуру, которой сотрудники тщательно следуют для проверки звонящих, сообразительные атакующие все еще способны использовать набор трюков для обмана своих жертв, заставляя поверить что они те, за кого себя выдают. Даже сознательные в отношении безопасности сотрудники могут стать обманутыми методами, такими как нижеприведенные.
Знание об информационной безопасности и тренировки
(Chapter 15 Information Security Awareness and Training)
//Глава еще будет редактироваться
Перевод: sly (http://slyworks.net.ru ) ICQ:239940067
Cоциальный инженер задумал заполучить проект (исходники) Вашего нового продукта за 2 месяца до релиза.
Что остановит его?
Ваш файервол? Нет.
Мощная система идентификации? Нет.
Система обнаружения вторжений? Нет.
Шифрование данных? Нет.
Ограничение доступа к номерам дозвона модемов? Нет.
Кодовые имена серверов, которые затрудняют определение местонахождения проекта искомого продукта? Нет.
Смысл здесь в том, что никакая технология в мире не сможет противостоять атаке социального инженера.
Характер угрозы
История Рифкина прекрасно описывает, насколько мы можем заблуждаться в своём ощущении безопасности. Инциденты вроде этого – хорошо, может быть стоимостью не в $10 миллионов, но, тем не менее, болезненные инциденты – случаются каждый день . Возможно, прямо сейчас вы тоже теряете свои деньги или кто?то сейчас ворует планы касательно новой продукции, и вы об этом даже не подозреваете. Если это ещё не случилось с вашей компанией, под вопросом остается только: не случится ли это вообще, а когда именно
.
Растущее беспокойство
В своём обзоре по компьютерным преступлениям за 2001 год Институт Компьютерной Безопасности сообщил, что 85% опрашиваемых организаций сталкивались с нарушениями компьютерной безопасности за последние 12 месяцев. Это поразительные данные: только 15 организаций из 100 смогли ответить, что у них не было нарушений безопасности в течение года. Столь же поразительным было число организаций, которые ответили, что имели финансовые потери из?за компьютерных нарушений: 64%. Более половины организаций понесли финансовые потери. И всего за один год .
Мой собственный опыт подсказывает мне, что числа в отчётах вроде этих несколько раздуты. Я с подозрением отношусь к людям, которые делают обзор. Но это не повод говорить, что ущерб не обширен, он на самом деле огромен. Тот, кто не предвидит инцидента с безопасностью, думает заранее неверно.
Коммерческие продукты по безопасности, применяемые в большинстве компаний, главным образом нацелены на защиту от любительского компьютерного вторжения, вроде тех, совершаемых юнцами, известными как скрипт?кидди. Фактически, эти дети, скачивающие программное обеспечение и мечтающие стать хакерами, в большинстве случаев просто неприятность. Гораздо большие потери и реальные угрозы происходят от корыстных налётчиков, у которых есть чётко сформулированные цели, и которые мотивируются финансовой выгодой. Эти люди фокусируются на одной цели, в отличие от любителей, которые пытаются просканировать как можно больше систем. В то время как компьютерный налётчик?любитель работает над количеством, профессионал целится в информацию в зависимости от её ценности и качества.
Технологии, вроде устройств для аутентификации (для проверки идентичности), контроля доступа (для управления доступом к файлам и системным ресурсам), и системы для обнаружения вторжений (электронный эквивалент сигнализации) необходимы для программы корпоративной безопасности. И всё же, на сегодняшний день для компании типичнее потратить больше денег на кофе, чем на развёртывание контрмер для защиты организации против атак на безопасность.
Точно так же, как мозг преступника не может сопротивляться искушению, мозг хакера стремится найти окружной путь вокруг мощных технологических средств защиты. И во многих случаях они этого достигают, целясь в людей, которые пользуются технологиями.
Методы введения в заблуждение
Есть популярное высказывание, что безопасный компьютер это тот, который выключен. Умно, но неверно: преступник может просто попросить кого?нибудь зайти в офис и включить этот компьютер. Если противник захочет получить вашу информацию, он это сделает, обычно любым из нескольких возможных способов. Это только вопрос времени, терпения, индивидуальных черт и упорства. Вот когда искусство обмана вступает в силу.
Для того, чтобы обойти средства безопасности, налётчик, захватчик или социальный инженер должен найти способ обмануть доверенного пользователя, раскрыть информацию или незаметно заставить неподозревающего человека дать ему доступ. Поскольку возможны ситуации, когда доверенный пользователь обманут, подвержен влиянию, то есть его спровоцировали выдать секретную информацию или выполнить действия, создающие уязвимость в безопасности, в которую нападающий мог бы проскользнуть, то во всём мире не найдется таких технологий, которые могли бы защитить бизнес. Так же как криптоанализ может иногда расшифровать текст закодированного сообщения путём обнаружения слабого места в технологии шифрования, социальные инженеры могут использовать обман против ваших работников, чтобы обойти технологии защиты.
Исскуство дружелюбного убеждения
Когда среднестатистический пользователь воображает компьютерного хакера, на ум обычно приходит нелестный образ одинокого, замкнутого умника, лучший друг которого – компьютер и которому трудно общаться средствами, отличными от IM. Социальный инженер, кстати, часто обладающий определенными навыками взлома, имеет массу коммуникативных качеств и развитые способности для использования и манипулирования людьми. Это позволяет ему получать необходимую информацию способами, о возможности которых Вы даже не подозреваете.
Звонок Анжеле
Место: valley branch, Industrial Federal Bank.
Время: 11:27
Анжела Висновски ответила на телефонный звонок человека, который вот?вот должен был получить приличное наследство и интересовался различными вариантами накопительных вкладов, депозитных сертификатов и других вариантов инвестирования, которые она могла бы ему порекомендовать как надежные, но приносящие определенный доход. Она обяснила, что существует достаточно много вариантов и спросила, не будет ли лучше ему подъехать и на месте обсудить их. Человек ответил, что сразу по получении отправляется в командировку и запланировал еще массу мероприятий. Поэтому она начала рекомендовать некоторые из возможностей, сообщая размеры процентных ставок, что будет, если продать CD (имхо какой?то специальный банковский термин) раньше и т.д., попутно пытаясь определить предполагаемые цели инвестиций.
Ей даже удалось достигнуть определенных успехов в этом вопросе, когда он сказал: «О, простите, мне нужно ответить на другой звонок. Когда я смогу закончить этот разговор и принять решение? Когда у Вас обед?». Она ответила ему 12:30 и он обещал позвонить до обеда или на следующий день.
Звонок Льюису
Крупные банки используют защитные коды для внутреннего пользования, которые меняются каждый день. Когда кому?то из сотрудников требуется информация из другого подразделения, он подтверждает свои права на информацию называя код дня. Для дополнительной защиты некоторые банки используют несколько кодов каждый день.
На Западном Берегу в вышеупомянутом Industrial Federal Bank каждый сотрудник получает список из пяти кодов (обозначаемых A – E) на своем компьютере каждое утро.
Место: то же
Время: 12:48 того же дня
Льюис Халпберн (Louis Halpburn) работал как ни в чем ни бывало, когда днем раздался телефонный звонок. Обычный звонок, один из тех, на которые он регулярно отвечал несколько раз в неделю.
– Здравствуйте, – сказал звонивший. – Это Нэйл Вебстер (Neil Webster). Я звоню из отделения 3182, это в Бостоне. Будьте добры Анжелу Висновски.
– Она обедает. Я могу помочь?
– Да, она оставила сообщение с просьбой прислать факсом информацию по одному из наших клиентов.
Казалось у звонившего был не самый удачный день.
– Обычно этим занимается другой человек, который сейчас заболел, – сказал он, – я уже совсем замотался с этим, уже 4 часа, а у меня назначен прием у врача через полчаса.
Тонкость в том, что рассказывая о причинах, вызывающих сочувствие у собеседника, злоумышленник как бы смягчает свою просьбу. Он продолжил:
– Кто?то принял ее звонок, номер факса записан неразборчиво… 213.. что?то там… Что там дальше?
Льюис назвал номер и звонивший сказал:
– ОК, спасибо. Но перед тем, как послать Вам факс, я должен знать код B.
– Но это ВЫ мне позвонили, – сказал Льюис достаточно холодно, чтобы человек из Бостона понял, что он имеет ввиду.
Это неплохо, подумал звонивший. Это даже хорошо, что люди не падают от одного вежливого пинка. Если бы они перестали хоть немного сопротивляться, работа бы стала совсем легкой, и я бы вконец обленился.
Льюису он сказал:
– Наш начальник отделения просто параноик, когда дело касается подтверждения полномочий при отсылке чего?либо куда либо. Но, послушайте, если Вам не особо нужна эта информация, я могу ничего не посылать. И не надо ничего подтверждать.
– Слушайте, – сказал Льюис, – Анжела вернется примерно через полчаса. Я могу сказать ей Вам перезвонить.
– Ладно, я просто скажу ей, что не мог послать информацию сегодня, потому что Вы не подтвердили законность этого запроса кодом.
Если я не заболею завтра, я ей позвоню…
Хм… Сообщение помечено как «Срочное»… Ну да ладно, в любом случае без подтверждения у меня связаны руки. Вы ведь скажете ей , что я пытался послать, но вы не назвали код, хорошо?
Льюис оказался под давлением. Отчетливый признак раздражения слышался в голосе из телефонной трубки.
– Хорошо, – сказал он. – Минуту, мне нужно подойти к компьютеру. Какой Вам нужен код?
– В (читается ‘би’ – прим. переводчика), – сказал собеседник.
Он отложил трубку и вскоре взял ее снова. «3184»
– Это неправильный код.
– Нет, правильный: код B – 3184.
– Я не говорил B, я сказал «E» (читается ‘и’ – прим. переводчика).
– Черт. Минуту…
– Е – 9697.
– 9697, да, все правильно. Я отправляю факс, ок?
– Да… конечно.. спасибо.
Звонок Уолтеру
– Государственный индустриальный банк, это Уолтер.
– Привет, Уолтер, это Боб Грабовски (Bob Grabowski), Студио Сити (Studio City), 38?е отделение, мне нужно, чтобы Вы нашли образец подписи клиента. Образец подписи – это больше, чем просто подпись клиента, карточка содержит также удостоверяющую информацию вроде номера социального страхования, даты рождения, девичьейфамилии матери, иногда даже номер водительского удостоверения. Вообще очень полезная вещь для социального инженера.
– Да не вопрос. Какой код С?
– За моим компьютером сейчас другой сотрудник, – сказал звонивший, – Но я только что называл коды B и E, и помню их так. Спроси меня один из них?
– Ок, код Е?
– Е – 9697.
Через несколько минут Уолтер отправил по факсу образец подписи по запросу.
Звонок Донне Плейс
– Здравствуйте, это мр. Ансельмо.
– Чем я могу Вам помочь на этот раз?
– Какой номер на 800 мне надо набрать, когда я хочу проверить кредитован ли уже вклад?
– Вы клиент банка?
– Да, я долго не пользовался номером и теперь забыл, где он записан.
– Номер 800?555?8600.
История Винса Капели
Сын уличного полицейского из Спокана ( США, штат Вашингтон – прим.
переводчика) Винс с ранних лет знал, что не собирается надрываться часами и рисковать своей шеей за маленькие деньги. Двумя принципиальными целями его жизни стало: уехать из Спокана и начать работать на себя. Когда он учился в старших классах, усмешки его знакомых только раззадорили его еще больше – они думали, что это невероятно смешно, что он так хочет открыть дело, но не знает какое.
В глубине души Винс знал, что они правы. Единственное, что у него получалось хорошо, – это играть принимающим в школьной бейсбольной команде. Но не настолько хорошо, чтобы получать стипендию и совсем нехорошо для профессионального бейсбола. Какой бизнес он мог бы начать?
И только одного никогда не понимали одногруппники Винса: Если у кого?то из них что?то было, скажем новый складной нож, модные теплые перчатки или новая симпатичная подружка, если это нравилось Винсу, вскоре он это получал. Нет, он не крал ничего за чьей?либо спиной, этого не требовалось. Владелец сам охотно отказывался и потом удивлялся, как такое могло произойти. Не помогали даже расспросы самого Винса: Он сам не знал, как это получается. Люди, казалось, разрешали ему все, что он хотел.
Винс Капели был социальным инженером с ранних лет, даже никогда не слышав этого термина.
Его друзья разом перестали смеяться, когда все они получили по диплому. Пока другие слонялись по городу в поисках работы, на которой не надо было говорить «Не желаете ли картошку?фри?» отец Винса отослал его к старому полицейскому, который уволился со службы, чтобы открыть свое частное детективное агентство в Сан?Франциско. Тот быстро увидел талант Винса и взял его на работу.
Это было 6 лет назад. Он ненавидел работу, заключавшуюся в сборе компромата на неверных супругов, которая превращалась в мучительные часы тупого сидения и наблюдения, но чувствовал постоянный интерес к заданиям раскопать информацию о капиталах для адвокатов, пытающихся выяснить, что жалкий нищий достаточно богат и стоит подачи иска.
Как, например, когда ему требовалось заглянуть в банковские счета парня по имени Джо Марковиц (Joe Markowitz).
Джо, вероятно, провернул темное дельце с своим бывшим другом и это друг теперь хотел знать, был ли Марковиц достаточно богат, чтобы в случае подачи иска вернуть с него некоторую сумму денег.
Для начала Винсу желательно было бы узнать по меньшей мере один, но лучше два, банковских защитных кода на текущий день. Это звучит почти нереально, что может заставить банковского работника открыть лазейку в собственной системе безопасности? Спросите себя, если бы вам потребовалось что?нибудь подобное, как бы вы этого добились?
Для людей вроде Винса это очень просто.
Люди доверяют тебе, если ты знаешь их профессиональный жаргон, некую внутреннюю форму общения их компании, скрытую от посторонних глаз. Это как бы способ показать, что ты один из них, своего рода секретное рукопожатие.
Мне не требовалось знать много для подобной операции. Уж точно не операция на мозге. Для начала потребовался лишь номер отделения банка. Когда я позвонил в отделение на Бикэн Стрит (Beacon Street) в Буффало, человек, который ответил, был похож на болтуна.
– Это Тим Экерман, – сказал я. Подойдет любое имя, он, очевидно, не собирался его никуда записывать. – Какой у Вас номер отделения?
Он хотел знать, назвать ли “телефон или номер отдела”, что довольно?таки глупо, потому что я только что набрал номер, не так ли? (скорее всего, это своеобразная процедура аутентификации на фирме – прим. Редактора)
“Номер отдела”
– 3182, – ответил он. Вот так. Никаких там, «Зачем Вам это надо?» и т.п. Потому что это не секретная информация, это написано почти на каждом кусочке бумаги, с которым они работают.
Шаг второй: позвонить в отделение, где обслуживается моя цель, получить имя одного из их сотрудников и выяснить, кто из них будет отсутствовать во время обеда. Анжела. Уходит в 12:30. Все путём!
Шаг третий: звоним в то же отделение, пока Анжела обедает, говорим, что мы из отделения такого?то из Бостона, Анжеле нужна информация по факсу, давайте нам код дня. Это самая сложная часть.
Если бы я придумывал тест для социального инженера, я бы обязательно включил бы в него что?нибудь подобное, когда твоя жертва становится подозрительной – и не без оснований – и ты продолжаешь давить пока не сломаешь ее и не получишь нужную информацию. Вы не сможете сделать это, повторяя строчки сценария или заучив процедуру, необходимо прочитать свою жертву, понять ее настроение, играть с ней, как с рыбкой, отпуская немного, а затем вновь подтягивая леску. И так пока не поймаешь ее в сеть, и она не шлепнется в лодку. Шлеп!
Итак, я его поймал и заполучил один из кодов дня. Это успех. Большинство банков используют один код, так что я уже мог бежать домой. Промышленный банк использует пять кодов, так что иметь один код из пяти маловато. С двумя из пяти у меня были бы существенно большие шансы пройти следующий эпизод этого маленького спектакля. Мне понравилась фишка про «Я не сказал ‘би’, я сказал ‘и’». Когда это срабатывает, это прекрасно. А срабатывает это в большинстве случаев.
Получить третий код было бы еще лучше. Причем у меня действительно получалось получить их за один звонок – ‘B’, ‘D’ и ‘E’ так похоже звучат, что вы можете настаивать на том, что вас снова не поняли. Но это только в разговоре с действительно слабым противником, а этот человек легкой добычей не был. Я ушел с двумя.
Коды дня станут моим ключом к получению образца подписи. Я звоню, а человек спрашивает код С. Но у меня только B и E. Но это совершенно не конец света. Необходимо оставаться хладнокровным в такие моменты, говорить уверенно, продолжать максимально ровно, я сыграл что?то типа: «Мой компьютер сейчас занят, спросите меня один из этих кодов».
Мы все сотрудники одной компании, мы все делаем одно дело, надо помочь напарнику – так, надо надеяться, думает жертва в этот момент. И он играл прямо по сценарию. Он выбрал вариант из предложенных, я дал ему правильный ответ, он отправил мне факс с образцом подписи.
Почти у цели. Еще один звонок дал мне номер телефона, по которому автоматическая служба зачитывает клиенту требуемую информацию.
Из карточки с образцом подписи, я знал все номера счетов жертвы и его PIN?код, т.к. банк использует первые пять или последние 4 цифры номера карточки социального страхования. Итак, с ручкой в руках, я позвонил в службу и после нескольких минут и пары нажатий на кнопки я получил последние сведения о балансе на всех счетах, и плюс к этому – его последние депозиты и съемы средств по ним.
Все, что заказывал мой клиент и даже больше. Я всегда люблю дать немножко больше, чем требуется за те же деньги. Клиент должен быть счастлив. Кроме того, повторяемость бизнеса – это основа развития.
Анализируя обман
Ключевым моментов всего этого эпизода было получение всех необходимых кодов дня, и для достижения этого, атакующий, т.е. Винс использовал несколько различных приемов.
Он начал с небольшого словесного «выкручивания рук», когда Льюис отказался дать ему код. Льюис был прав в своей подозрительности – коды придуманы для того, что бы использовать их в противоположном направлении. Он знал, что при обычном порядке неизвестный звонящий сообщит ему защитный код. Это был критический момент для Винса, от этого зависел успех всей задуманной им операции.
Столкнувшись с подозрительностью Льюиса, Винс просто сгладил ее, вызывая симпатию («собирался к доктору»), используя давление (“мне уже надоело всем этим заниматься, уже 4 часа») и манипулирование («Скажите ей, что не дали мне код»). На самом деле, Винс не угрожал ему, он только подразумевал это: «Если вы не дадите мне защитный код, я не вышлю информацию о клиенте, которую просил ваш коллега, и я скажу ему, что собирался послать, но вы не согласились сотрудничать».
Не будем, однако, поспешно винить Льюиса. В конце концов, человек, звонивший по телефону знал (или по крайней мере похоже, что знал), что Анжела запрашивала факс. Звонивший знал о защитных кодах, и знал, что они называются буквами алфавита. Он сказал, что начальник его отделения требует их для большей защищенности. На самом деле нет причин не дать ему подтверждение, о котором он просит.
Льюис не одинок. Сотрудники банков сообщают защитные коды социальным инженерам каждый день. Невероятно, но факт.
Существует грань, за которой действия частного детектива перестают быть законными и становятся преступными. Винс не нарушил закон, когда он узнал номер отделения. Он даже не нарушил закон, когда обманом заставил Льюиса выдать ему два защитных кода. Он перешел грань, когда получил по факсу конфиденциальную информацию о клиенте банка.
Но для Винса и его нанимателя это не слишком рискованное преступление. Когда Вы воруете деньги или вещи, кто?то замечает, что они пропали. Если Вы украли информацию, часто никто этого не заметит, так как информация по прежнему остается у владельца.
Сообщение Митника
Устные защитные коды эквивалентны паролям в обеспечении удобных и надежных средств защиты информации. Но сотрудники должны быть осведомлены об уловках, применяемых социальными инженерами, и обучены не выдавать ключи от королевства.
Полицейские – жертвы обмана
Для не слишком чистого на руку частного детектива или социального инженера часто бывает весьма сподручно знать номер чьего?нибудь водительского удостоверения, например, если необходимо притвориться другим человеком с целью получения информации о его банковских счетах.
Исключая кражу бумажника или подсматривание через плечо при удобной возможности, выяснение номера водительского удостоверения представляется практически невозможным. Но для любого человека даже с самыми скромными навыками в социальной инженерии это вряд ли проблема. Конкретному социальному инженеру – назовем его Эрик Мантини (Eric Mantini), необходимо было регулярно узнавать номер удостоверений и регистрационные номера транспортных средств. Эрик понимал, что бессмысленно раз за разом рисковать, звоня в Управление Транспорта (Department of Motor Vehicles, DMV) и используя всяческие ухищрения всякий раз, когда ему нужна подобная информация. Он захотел выяснить, а нет ли способа упростить процесс.
Возможно, никто не думал об это прежде, но он нашел способ получать информацию в мгновение ока, когда она требовалась.
Он сделал это воспользовавшись преимуществами услуги, предоставляемой Управлением Транспорта (УТ) его штата. Многие УТ (или аналогичное управление в вашем штате) делают секретную информацию о гражданах доступной страховым компаниям, частным детективам и некоторым другим лицам, которые законодательный орган штата считает в праве пользоваться ей для пользы экономической и социальной жизни в целом.
УТ, конечно, имеет соответствующие ограничения на типы информации, которую можно предоставлять. Страховщики могут иметь доступ к определенным типам информации из досье, но не ко всем. Различные ограничения установлены для частных детективов и т.д.
Для сотрудников правоохранительных органов в основном применяется другое правило: УТ обеспечит любой информацией из архива любого блюстителя порядка, правильно подтвердившего свою личность. В штате, где жил Эрик для идентификации требовался Код Запрашивающего (Requestor Code), назначаемый УТ, и номер водительского удостоверения. Сотрудник Управления должен был всегда сверять имя офицера с его номером водительского удостоверения и еще какой?то информацией – обычно датой рождения – перед передачей какой?либо информации.
Социальный инженер Эрик захотел никак не меньше, как надеть маску полицейского! Как ему это удалось? С помощью обратного обмана полицейских!
Хитрость Эрика
Сначала он позвонил в справочную и спросил номер телефона центрального офиса Управления Транспорта в столице штата. Ему дали номер 503?555?5000. Естественно, это был номер для обычных звонков населения. Затем он позвонил в ближайший полицейский участок и спросил номер телетайпной – откуда передавалась и где принималась информация от других правоохранительных органов, государственной базы данных о преступлениях, местных ордерах и постановлениях и т.п. Позвонив в телетайпную, он спросил номер телефона, по которому сотрудники должны звонить в управление транспорта.
– Вы кто? – спросил офицер из телетайпной.
– Это А1. Я набирал 503?555?5753, – ответил Эрик.
Номер основывался частично на предположении, частично был взять с потолка: совершенно очевидно, что подразделение в УТ, отвечающее на звонки сотрудников правоохранительных органов будет иметь тот же код области, что и номер для публичных звонков; и практически наверняка следующие 3 цифры номера (префикс) тоже совпадут. И, по?хорошему, все что нужно – это выяснить последние 4 цифры.
В телетайпную не звонят «с улицы», а звонивший уже знал большую часть номера. Конечно, это был кто?то из сотрудников.
– Номер 503?555?6127, – сказал офицер.
Итак, Эрик теперь знал специальный телефонный номер управления транспорта для сотрудников правоохранительных органов. Но одного номера было недостаточно; отдел управления должен был иметь гораздо больше, чем одна телефонная линия и Эрику требовалось знать, сколько там линий и номер каждой из них.
Коммутатор
Чтобы осуществить задуманное, ему нужно было получить доступ к телефонному коммутатору, который управлял телефонной связью между полицией и УТ. Он позвонил на телефонный узел и представился сотрудником компании Нортел (Nortel), производителя DMS?100, одного из наиболее распространенных коммерческих телефонных коммутаторов. Эрик спросил:
– Не могли бы Вы переключить меня на техника, который обслуживает DMS?100?
Технику он сказал, что из Центра Поддержки Технических Специалистов Нортела в Техасе, и объяснил, что они создают базу данных для обновления всех коммутаторов свежими версиями ПО. Предполагается, что обновление будет происходить удаленно, без вмешательства техников. Но ему нужен входной номер дозвона на коммутатор, чтобы произвести обновление прямо из Центра Поддержки.
Все это звучало полностью правдоподобно, и техник дал Эрик номер. Теперь Эрик могу напрямую звонить на один из государственных телефонных коммутаторов.
Для предотвращения проникновения извне, коммерческие коммутаторы этого типа защищены паролем, как и любая корпоративная компьютерная сеть. Любой хороший социальный инженер с некоторой подготовкой в области фрикинга (phreaking) знает, что нортеловские коммутаторы имеют специальную учетную запись для обновления программного обеспечения: NTAS (Nortel Technical Assistance Support).
Но каков пароль? Эрик звонил несколько раз, пробуя один из очевидных или часто используемых вариантов. Пароль NTAS не подошел… Также как и «helper», и «patch»…
Тогда он попробовал «update» … и он подошел. Типично. Использование очевидных, легко угадываемых паролей лишь слегка лучше, чем отсутствие пароля.
Полезно хорошо разбираться в своей сфере деятельности; Эрик, пожалуй, знал о коммутаторе и о том, как его программировать столько же, сколько хороший техник. Имея авторизированный доступ к коммутатору, он получил полный контроль над телефонными линиями, среди которых была его цель. Со своего компьютера, Эрик сделал на коммутаторе запрос по номеру телефона, выданного ему для звонков в УТ, 555?6127. Он обнаружил еще 19 других линий, расположенных в том же отделе. Очевидно, что там обрабатывают большой объем звонков.
Для каждого входящего звонка коммутатор был запрограммирован перебирать 20 телефонных линий до нахождения первой незанятой.
Он выбрал восемнадцатую по счету линию в последовательности и ввел код, который подключал переадресацию вызова для нее. В качестве номера для переадресации он ввел номер своего нового, дешевого, заранее предоплаченного сотового телефона, из тех, что так любят драгдиллеры за дешевизну и, соответственно, возможность легко выкинуть, когда дело будет сделано.
С подключенной переадресацией на восемнадцатой линии, как только отдел будет достаточно занят, обрабатывая 17 звонков, следующий пришедший звонок не прозвонит в отделе управления транспорта, а будет переброшен на сотовый Эрика. И он приготовился ждать.
Звонок в управление
Незадолго до восьми утра зазвонил сотовый телефон. Это самая лучшая часть, просто прелесть. Здесь Эрик, соц. инженер, разговаривает с полицейским, человеком, наделенным властью прийти и арестовать его или получить ордер на обыск.
И даже не один коп, а несколько, один за другим. Однажды Эрик обедал в ресторане с друзьями, экспромтом отвечая на звонки примерно каждые пять минут, записывая информацию на бумажных салфетках.
И он все еще находил это забавным.
Общение с полицейскими ничуть не беспокоит подготовленного соц. инженера. По сути, водить полицию за нос даже добавляло Эрику острых ощущений.
А звонки проходили примерно так:
– Управления транспорта, добрый день.
– Это детектив Андрю Коул (Andrew Cole).
– Здравствуйте, детектив. Чем я могу Вам помочь сегодня?
«I need a Soundex on driver's license 005602789,» he might say, using the term familiar in law enforcement to ask for a photo?useful, for example, when officers are going out to arrest a suspect and want to know what he looks like.
«Sure, let me bring up the record,» Eric would say. «And, Detective Cole, what's your agency?»
«Jefferson County.» And then Eric would ask the hot questions:
"Detective, what's your requestor code?
What's your driver's license number. «What's your date of birth»
The caller would give his personal identifying information. Eric would go through some pretense of verifying the information, and then tell the caller that the identifying information had been confirmed, and ask for the details of what the caller wanted to find out from the DMV. He'd pretend to start looking up the name, with the caller able to hear the clicking of the keys, and then say something like, «Oh, damn, my computer just went down again. Sorry, detective, my computer has been on the blink, all week. Would you mind calling back and getting another clerk to help you?»
– Мне нужно Soundex по водительскому удостоверению 005602789, – мог спросить полицейский, используя знакомый правоохранительным органам термин.
Таким способом он заканчивал разговор, не вызывая никаких подозрений по поводу того, что не смог обработать запрос офицера полиции. А между тем Эрик уже владел украденной личностью, которую мог использовать для получения конфиденциальной информации из управления в любое время.
Поговорив по телефону несколько часов и получив дюжину кодов запрашивающего, Эрик позвонил на коммутатор и отключил переадресацию звонков.
Многие месяцы после этого он получал денежные отчисления от законных частных детективных агентств, которым было все равно, как он добывал информацию. При необходимости Эрик звонил на коммутатор, включал переадресацию и собирал очередную пачку удостоверений личности полицейских.
Анализируя обман
Давайте взглянем еще раз на хитрости, с помощью которых Эрику удалось обмануть стольких людей. На первом шаге он заставил помощника шерифа в телетайпной ему конфиденциальный номер телефона управления транспорта совершеннейшему незнакомцу, принимая собеседника за свое без проверки его личности.
Затем кто?то на телефонном узле сделал то же самое, веря, что Эрик из компании?производителя оборудования, и сообщил ему номер телефона для дозвона прямо на коммутатор, обслуживающий управление транспорта.
Эрик имел широкие возможности для взлома коммутатора из?за слабой политики безопасности фирмы?производителя, которая использует одну и ту же сервисную учетную запись на всех своих коммутаторах. Для соц. инженера эта беспечность превращает процесс угадывания пароля в легкую прогулку, учитывая, что технический персонал, обслуживающий коммутатор, как, в общем?то, и все люди, выбирают пароли, которые им просто запомнить.
Имея доступ к коммутатору, он настроил переадресацию вызова для одной из телефонных линий управления транспорта на свой сотовый телефон.
И, наконец, в последней и самой ужасающей части истории, Эрик обманом заставлял одного офицера полиции за другим выдавать ему не только их код запрашивающего, но и персональную приватную информацию, знание которой позволило Эрику играть роль полицейского. Несмотря на необходимость обладать определенными техническими знаниями для того, чтобы справиться с задачей, вряд ли бы мошеннику удалось осуществить задуманное без помощи многих людей, у которых не возникло даже мысли о том, что они разговаривают с самозванцем.
Эта история – еще одна иллюстрация феномена, почему люди не спрашивают себя «Почему я?» Почему офицер из телетайпной предоставил информацию какому?то представителю шерифа, которого он не знал или, в нашем случае, незнакомцу, выдающему себя за помощника шерифа, вместо того, чтобы посоветовать тому узнать телефон у напарника или собственного сержанта? И опять, единственное объяснение, которое приходит мне на ум, что люди редко задают себе этот вопрос.
И с чего бы им задавать этот вопрос? А, может быть, они не хотят показаться проблемными или бесполезными? Дальше можно только строить догадки на этот счет. Но соц. инженеру не важно «почему», им важно лишь то, что эта маленькая деталь позволяет легко получить информацию, которую существенно сложнее добыть другими путями.
Сообщение Митника
Если в вашей компании используется телефонный коммутатор, что будет делать ответственный сотрудник, если ему позвонить производитель оборудования с просьбой сообщить номер для дозвона на коммутатор? И, кстати, этот сотрудник вообще когда?либо менял на коммутаторе пароль по умолчанию для служебной учетной записи? Этот пароль легко угадывается или подбирается по словарю?
Предотвратить обман
Грамотно используемый защитный код существенно повышает уровень безопасности. Неграмотно используемый защитный код может быть даже хуже, чем вообще отсутствие кода, так как он создает иллюзию защиты, которой на самом деле нет. Что хорошего в кодах, если ваши сотрудники не хранят их в секрете?
Любой компании, использующий устные защитные коды, необходимо ясно и четко объяснить сотрудникам, когда и как эти коды используются. Правильно проинструктированный персонаж из первой части этой главы не должен был бы полагаться на свою интуицию, когда незнакомец спросил его про защитный код. Он почувствовал, что у него не должны спрашивать эту информацию в данной ситуации, но отсутствие четкой политики безопасности и хороший здравый смысл – и он сдался.
Инструкции по безопасности должны включать в себя описание действий служащего, получающего несанкционированный запрос защитного кода. Все сотрудники должны быть обучены немедленно сообщать обо всех запросах защитных кодов (таких как код дня или пароль), сделанных при необычных обстоятельствах. Они также должны сообщать обо всех неудачных попытках установить личность запрашивающего.
Наконец, служащий должен записывать фамилию звонившего, телефон и название офиса или подразделения, прежде чем повесить трубку.А до того, как перезвонить, он должен убедиться, что в указанной организации действительно имеется сотрудник с такой фамилией и что телефон, по которому надо перезвонить действительно телефон этой организации. В большинстве случаев это простая тактика – практически все, что нужно, чтобы убедиться, что звонящий на самом деле тот, за кого себя выдает.
Проверка становится несколько сложнее, когда у компании есть только напечатанный телефонный справочник вместе с электронной онлайновой версии. Люди нанимаются, люди увольняются, они переходят из отдела в отдел, меняют должности и телефоны. Твердая копия телефонного справочника устаревает в день публикации, еще даже до распространения. И даже электронным справочникам нельзя доверять, потому что соц. инженеры знают, как их подделать. Если сотрудник не может проверить номер телефона по независимому источнику, его необходимо проинструктировать о других способах сделать это, например, обратившись к старшему менеджеру.
Юноша в бегах
Человек, которого мы назовем Фрэнк Парсонс, был в бегах долгие годы, находясь в федеральном розыске за участие в подпольной антивоенной группировке в 1960?х гг. В ресторанах он сидел лицом к дверям и периодически оглядывался, что смущало других людей. Он переезжал каждые несколько лет.
В некоторый момент времени Фрэнк остановился в городе, который не знал, и приступил к поиску работы. Для таких как Фрэнк, с его развитыми компьютерными навыками (и навыками социального инженера, хотя он никогда не упоминал об этом при соискании) поиск хорошей работы обычно не составляет проблемы. За исключением случаев, когда организация ограничена в средствах, люди с хорошими компьютерными навыками обычно пользуются высоким спросом и им несложно обосноваться. Фрэнк быстро нашел высокооплачиваемое, постоянное место работы рядом со своим домом.
Просто объявление, подумал он. Но когда он начал заполнять анкеты, то столкнулся с неожиданностью. Работодатель требовал от соискателя предоставить копию криминальной характеристики, которую он должен был принести сам из полиции штата. Пачка документов включала в себя бланк с местом для отпечатков пальцев. Даже если требовался только отпечаток правого указательного пальца, но его сверили бы с отпечатком из базы данных ФБР, то вскоре ему пришлось бы работать в продовольственной службе федеральной тюрьмы (приюта).
С другой стороны, Фрэнку пришло в голову, что он мог бы избежать этого. Возможно, образцы отпечатков пальцев не отправлялись из штата в ФБР. Как он мог выяснить это?
Как? Он был социальным инженером – как, вы думаете, он разузнал это? Он позвонил в патруль штата: «Привет. Мы выполняем исследование для министерства юстиции. Мы изучаем требования к новой системе идентификации отпечатков пальцев. Могу я поговорить с кем?нибудь, кто действительно разбирается в этом, и мог бы нам помочь?»
Когда к телефону подошел местный специалист, Фрэнк задал ряд вопросов о том, какие системы они используют, о возможностях исследования и хранения отпечатков пальцев.
Были у них проблемы с оборудованием? Связаны они с картотекой отпечатков национального информационного центра или работают в пределах штата? Является ли оборудование достаточно простым для всех, кто обучается его использованию?
Ответ был музыкой для его ушей: они не связаны с национальным центром, они только сверяются по криминальной базе данных штата (Criminal Information Index).
Сообщение от Митника
Сообразительные похитители информации не стесняются звонить должностным лицам из органов штата, федеральных и местных органов, чтобы узнать о процедурах правоприменения. Располагая такой информацией, социальный инженер может обойти типовые проверки безопасности вашей компании.
Это было все, что нужно было знать Фрэнку. На него не было записей в этом штате, поэтому он заполнил анкету, был принят на работу, и никто не появился однажды у его стола со словами: «Это джентльмены из ФБР, они хотят немного поговорить с вами».
И, по его словам, он показал себя образцовым служащим.
Классический случай обмана
Какая самая большая угроза безопасности ваших деловых активов? Ответ прост – это социальный инженер – нечестный фокусник, который заставляет вас смотреть на его левую руку, пока правой ворует ваши секреты. Этот персонаж часто так дружелюбен и любезен, что вы благодарны за то, что с ним столкнулись.
Далее рассмотрим пример социальной инженерии. Немногие люди сегодня всё ещё помнят молодого человека по имени Стенли Марк Рифкин и его маленькое приключение с ныне уже несуществующим Тихоокеанским Национальным Банком в Лос?Анджелесе. Подробности его авантюры противоречивы и Рифкин (как и я) никогда не рассказывал свою историю, поэтому следующее основано только на печатных источниках.
Взлом кода
Однажды в 1978 году Рифкин заглянул в помещение банка для телеграфных переводов с табличкой «только для авторизованного персонала», в котором служащие каждый день получали и отправляли трансферты в несколько миллиардов долларов.
Он работал с этой компанией по контракту и занимался разработкой системы для резервного копирования данных из этого помещения на случай, если когда?нибудь произойдёт сбой их главного компьютера. Эта роль давала ему доступ к процедурам передачи трансфертов, включая возможность наблюдать, что делали служащие банка для совершения операций. Он узнал, что служащие банка, уполномоченные на передачу трансфертов, каждое утро получали тщательно охраняемый код, используемый при осуществлении запросов.
В телеграфном помещении работали некоторые служащие, которые не утруждали себя попытками запомнить новый код, изменявшийся каждый день. Они записывали код на кусочек бумаги и клали его куда?нибудь в поле зрения. В этот особенный ноябрьский день Рифкин зашёл в это помещение со специальным визитом. Он хотел взглянуть на этот кусочек бумаги.
Зайдя в комнату, он немного повозился со своей работой, удостоверившись, что система резервного копирования правильно работает с основной системой. Тем временем он незаметно прочитал и запомнил код на прилепленном кусочке бумаги.
Несколько минут спустя он вышел. Как он позже рассказывал, он чувствовал себя, словно выиграл лотерею.
Счёт в швейцарском банке…
Покинув комнату около 3?х часов по полудню, он направился прямиком к платному таксофону в мраморном холле здания, в который опустил монету и набрал номер помещения для трансфертов. Затем он сменил шляпу, трансформируясь из Стенли Рифкина, банковского консультанта, в Майкла Хансена, служащего Международного Отдела банка.
Согласно одному из источников, разговор происходил следующим образом:
«Привет, это Майк Хансен из международного», сказал он молодой женщине, которая подняла трубку.
Она запросила офисный номер. Эта была стандартная процедура, и он был к ней готов: «286» ответил он.
Девушка ответила: «ОК, ваш код?»
Рифкин говорил, что в этот момент его переполненное адреналином сердцебиение «поднялось до максимальной точки». Он медленно ответил: «4789». Затем он дал инструкции для перевода: «ровно 10 миллионов 200 тысяч долларов» для Компании Ирвин?Траст в Нью?Йорке в качестве кредита в Банк Wozchod Handels в Цюрихе, Швейцария, в котором у него уже был открыт счёт.
Затем девушка ответила: «ОК, готово. Сейчас мне нужен внутриофисный номер».
Сердце Рифкина ёкнуло, это был вопрос, которого он не ожидал, кое–что ускользнуло из его внимания во время подготовки. Но он решил оставаться в роли, действуя как будто всё было нормально, и спокойно ответил без всякого замешательства: «Дай проверить, я перезвоню тебе позже». Он опять сменил шляпу и позвонил в другое отделение банка, в этот раз, представляясь работником из помещения для трансфертов. Он получил нужный номер и опять позвонил девушке.
Она приняла номер и сказала «Спасибо» (При тех обстоятельствах её благодарность, должно быть, выглядела ироничной.)
Заслуживая скрытность
Несколькими днями позже Рифкин прилетел в Швейцарию, забрал свои деньги и обменял в российском агентстве более $8 миллионов на горстку алмазов. Затем он улетел обратно, прошёл через таможню США, спрятав алмазы в поясе для денег.Он осуществил крупнейший грабёж банка в истории и сделал это без всякого оружия, даже без компьютера. Странно, но в конечном счете, запись о нём попала в Книгу мировых рекордов Гиннеса под категорией «крупнейшее компьютерное мошенничество».
Стенли Рифкин использовал искусство обмана – навыки и технику, которая сегодня зовётся социальной инженерией. Скрупулёзный план и хорошо подвешенный язык – всё, что для этого нужно.
И это то, о чём эта книга – о технике социальной инженерии (в которой ваш покорный слуга – профессионал) и о том, как защититься от её использования против вашей компании.
Краткое описание безопасности в организации
(Security at a Glance)
Перевод: Daughter of the Night (admin@mitnick.com.ru)
Следующие списки и таблицы предоставят сжатую памятку методов, используемых социальными инженерами, подробно описанных в главах с 2 по 14, и процедур подтверждения личности, описанных в главе 16. Модифицируйте эту информацию для вашей организации, сделайте ее доступной, чтобы для ваши сотрудники пользовались ей в случае возникновения вопросов по безопасности.
Легкие деньги
Когда а впервые познакомился с компьютерами в старших классах школы, нам приходилось подключаться к одному центральному миникомпьютеру DEC PDP 11, расположенному в пригороде Лос?Анджелеса, который использовали все школы Л.А. Операционная система на компьютере называлась RSTS/E, и эта была первая операционная система, с которой я научился работать.
В то время, в 1981 году, DEC устраивали ежегодную конференцию для своих пользователей, и в этом году конференция пройдет в Л.А. В популярном журнале для пользователей этой операционной системы было объявление о новой разработке по безопасности, Lock?11. Этот продукт продвигали с хорошей рекламной кампанией, где говорилось нечто вроде: «Сейчас 3:30 утра, и Джонни с другого конца улицы нашел ваш номер дозвона, 555?0336, с 336й попытки. Он внутри, а вы в пролете. Покупайте Lock?11». Продукт, как говорилось в рекламе, был «хакероустойчивым». И его собирались показать на конференции.
Я жаждал посмотреть на разработку. Друг старшеклассник, Винни, являвшийся моим партнером по хакингу в течение нескольких лет, впоследствии ставший государственным информатором против меня, разделял мой интерес к новому продукту DEC, и воодушевил меня на поход на конференцию с ним.
Деньги на линии
Мы пришли и обнаружили большой переполох в толпе около презентации Lock?11. Похоже, что разработчики ставили деньги на то, что никто не сможет взломать их продукт. Звучит как вызов, перед которым я не смог устоять.
Мы направились прямо к стенду Lock?11, и обнаружили, что руководят там разработчики проекта; я узнал их, и они узнали меня – даже в юности у меня уже была репутация фрикера и хакера из?за большого рассказа в LA Times о моем первом контакте с властями. В статье рассказывалось, как я благодаря одним диалогам вошел посреди ночи в здание Pacific Telephone (телефонная компания – прим. переводчика), и вышел с компьютерными руководствами, прямо перед носом у их охраны. ( Похоже, что Times хотели напечатать сенсационный рассказ, и в своих целях напечатали мое имя; я был еще несовершеннолетним, и статья нарушала не только традиции, а возможно даже закон о сокрытии имен несовершеннолетних, обвиненных в правонарушении.)
Когда Винни и я подошли, это вызвало интерес у обеих сторон. С их стороны был интерес, потому что они узнали во мне хакера, о котором читали, и были немного шокированы, увидав меня. Интерес с нашей стороны вызвало то, что у каждого из трех разработчиков, стоявших там, был чек на $100, торчавший из значка участника конференции. В сумме приз для любого, кто сможет взломать их систему, составлял $300 – и это показалось большой суммой денег для пары тинэйджеров. Мы с трудом могли дождаться того, чтобы начать.
Lock?11 был спроектирован по признанному принципу, полагавшемуся на два уровня безопасности. У пользователя должен был быть верный идентификационный номер и пароль, но и вдобавок этот идентификационный номер и пароль будут работать, только если они введены с уполномоченного терминала, подход называемый terminal?based security (безопасность, основанная на терминалах) . Чтобы победить систему, хакеру бы понадобилось не только знание идентификационного номера и пароля, но и пришлось бы ввести информацию с правильного компьютера. Метод был хорошо признанным, и изобретатели Lock?11 были убеждены, что он будет держать плохих парней подальше. Мы решили преподать им урок, и заработать триста баксов.
Знакомый парень, который считался гуру в RSTS/E, уже подошел к стенду раньше нас. Несколько лет назад, он был одним из тех парней, кто озадачил меня взломом внутреннего компьютера разработчиков DEC, после чего его сообщники выдали меня. Теперь он стал уважаемым программистом. Мы узнали, что он пытался взломать программу безопасности Lock?11, незадолго до того, как мы пришли, но не смог. Этот инцидент дал разработчикам еще большую уверенность, что их продукт действительно безопасен.
Соревнование было непосредственным испытанием: ты взламываешь – ты получаешь деньги. Хороший публичный трюк … если кто?нибудь не опозорит их и заберет деньги. Они были так уверены в своей разработке, и были достаточно наглыми, что даже приклеили распечатку на стенд с номерами учетных записей и соответствующих паролей в системе.
Но не только пользовательские учетные записи, но и все привилегированные.
Это было гораздо менее приятно, чем звучит. С таким видом настроек, я знал, что каждый терминал подключен к порту на самом компьютере. Это – не ракетная физика, чтобы догадаться, что они установили пять терминалов в зале для конференций, и посетитель мог войти только как непривилегированный пользователь – это значит, что подключения были возможны только с учетных записей с правами системного администратора. Похоже, что было только два пути: обойти систему безопасности, для предотвращения чего и был рассчитан Lock?11, или как?нибудь обойти программное обеспечение, как разработчики даже не представляли.
LINGO
Terminal?based security
– Безопасность, частично основанная на идентификации конкретного используемого компьютера; этот метод был особо популярен с главными компьютерами IBM.
Вызов принят
Мы с Винни уходили и говорили о конкурсе, и я придумал план. Мы невинно ходили вокруг, поглядывая на стенд с расстояния. Во время обеда, когда толпа разошлась, и трое разработчиков решили воспользоваться перерывом и пошли вместе купить себе что?нибудь поесть, оставив женщину, которая могла быть женой или девушкой одного из них. Мы прогуливались туда?сюда, и я отвлекал женщину, разговаривал с ней о разных вещах: «давно ли ты работаешь в компании?», «какие еще продукты вашей компании имеются в продаже» и т.д.
Тем временем, Винни, вне поля ее зрения, приступил к работе, используя навыки, которые мы развивали. Помимо очарованности взломом компьютеров и моего интереса к магии, мы были заинтересованы в обучении открытия замков. Когда я был маленьким, я прочесывал полки подпольного книжного магазина в Сан?Франциско, в котором были тома о вскрытии замков, вылезании из наручников, создании поддельных удостоверений – и о других вещах, о которых дети не должны знать.
Винни, как и я, тренировался вскрывать замки до тех пор, пока у нас не стало хорошо получаться с замками магазинов с железом. Было время, когда я устраивал розыгрыши – находил кого?нибудь, кто использовал 2 замка для безопасности, вскрывал их и менял местами, и это очень удивляло и расстраивало, если он пытался открыть их не тем ключом.
В выставочном зале, я продолжал отвлекать девушку, пока Винни подполз сзади будки, вскрыл замок в кабинет, где стоял их PDP?11 и кабели. Назвать кабинет запертым – это почти шутка. Он был защищен тем, что слесари называют wafer lock(вафельный замок), известный как легко открываемый, даже для таких неуклюжих любителей взламывать замки как мы.
Винни понадобилась примерно минута, чтобы открыть замок. Внутри, в кабинете он обнаружил то, что мы не любили: полосы портов, для подключения пользовательских терминалов, и один порт, который называется консольным терминалом. Этот терминал использовался оператором или системным администратором, чтобы управлять всеми компьютерами. Винни подключил кабель, идущий от консольного порта к одному из терминалов, находящихся на выставке.
Это означало, что теперь этот терминал воспринимается как консольный терминал. Я сел за переподключенную машину, и использовал пароль, который так смело предоставили разработчики. Поскольку Lock?11 определил, что я подключаюсь с уполномоченного терминала, он дал мне доступ, и я был подключен с правами системного администратора. Я пропатчил операционную систему, изменил ее так, что можно будет подключиться с любого компьютера на этаже в качестве привилегированного пользователя.
Когда я установил свой секретный патч, Винни вернулся к работе, отключил терминальный кабель и подключил его туда, где он был первоначально. Он еще раз вскрыл замок, на этот раз, чтобы закрыть дверь кабинета.
Я сделал листинг директорий, в поисках папок и программ, связанных с Lock?11, и случайно наткнулся на кое?что шокирующее: директория, которая не должна была быть на этой машине. Разработчики были слишком уверены, что их программное обеспечение непобедимо, что они даже не побеспокоились о том, чтобы убрать исходный код их нового продукта. Я передвинулся к соседнему печатающему терминалу, и начал распечатывать порции исходного кода на длинных листах зелено?полосатой бумаги, используемой компьютерами в те времена.
Винни едва успел закрыть замок и вернуться ко мне, когда парни вернулись с обеда.
Они застали меня, сидящего возле компьютера бьющего по клавишам, а принтер продолжал печатать. «Что делаешь, Кевин?»– спросил один из них.
"А, просто печатаю исходники, “ я сказал. Они предположили, что я шучу. Пока не посмотрели на принтер и не увидели, что это действительно тот ревностно охраняемый исходный код их продукта.
Они не поверили, что я действительно подключился как привилегированный пользователь. «Нажми Control?T,» – приказал один из разработчиков. Я нажал. Надпись на экране подтвердила мое утверждение. Парень ударил рукой по своему лбу, когда Винни говорил «Триста долларов, пожалуйста».
Сообщение от Митника
Вот еще один пример того, как умные люди недооценивают противника. А как насчет вас – вы уверены, что можно поставить $300 на ваши охранные системы, против взломщика? Иногда обход вокруг технологических устройств не такой, какой вы ожидаете.
Они заплатили. Мы с Винни ходили по выставке оставшуюся часть дня со стодолларовыми чеками, прикрепленными к нашим значкам конференции. Каждый, что видел чеки, знал, что они означают.
Конечно, мы с Винни не победили их программу, и если разработчики установили бы хорошие правила в конкурсе или использовали бы действительно безопасный замок, или присматривали за своим оборудованием более внимательно, то им бы не пришлось терпеть унижение того дня – унижение из?за парочки подростков.
Позже, я узнал, что команде разработчиков пришлось зайти в банк, чтобы получить наличные: эти стодолларовые чеки – все деньги, взятые с собой, которые они собирались тратить.
«Мистер Бигг хочет это»
Популярная и высоко эффективная форма запугивания – популярна в больших масштабах, в силу простоты – основывается на влиянии на человеческое поведение, используя авторитет.
Даже просто имя помощника в офисе CEO может быть ценным. Частные сыщики делают это все время. Они позвонят оператору коммутатора и скажут, что хотят подсоединиться к офису CEO.Когда секретарь или главный помощник ответит, они скажут, что у них в наличии имеется документ или пакет для CEO,или если они отправят е?мэйл приложение, распечатает ли она его?
Или иначе, они спросят, какой номер факса? И, кстати, как вас зовут?
Затем они звонят следующему человеку и говорят, «Дженни из офиса мистера Бигса сказала, что вы мне можете помочь кое с чем».
Эту технику можно назвать «бросанием имени», и обычно она используется как метод быстрой установки связи путем влияния на человека, которое заключается в том, что цель начинает верить в связь атакующего с кем?то из крупных специалистов. Лучше всего, если цель оказывает услугу кому?либо, кто знаком с тем, кого знает используемый человек.
Если атакующий нацелился на довольно важную информацию, он может использовать такой вариант, как пробуждение нужных эмоций в жертве, таких как страх доставить неприятности кому?либо из вышестоящих. Рассмотрим следующий пример.
История Скотта
«Скотт Абрамс.»
«Скотт, это Кристофер Далбридж. Я только что разговаривал по телефону с мистером Бигли, и надо сказать, что он больше, чем невесел. Он говорит, что десять дней назад передал вашим людям записку об исследовании степени интеграции рынка, которую они должны были откопировать и отправить нам для анализа. И мы ее не получали».
«Исследование степени интеграции рынка? Никто не говорил мне об этом. В каком вы ведомстве?»
«Он нанял нашу консультационную фирму, и мы уже перед сдачей работы».
«Послушайте, я сейчас направляюсь на встречу. Скажите мне свой номер телефона и»…
Фразы атакующего звучат поистине победно: "Это то, что вы хотите, чтобы я сказал мистеру Бигли? Послушайте, завтра утром он ожидает итога работы наших аналитиков и нам придется работать над этим всю ночь.
А теперь, вы хотите, чтобы я сказал ему, что мы не смогли выполнить работу из?за того, что не получили заметку от вас, или, быть может, вы сами хотите сказать ему об этом?"
Анализ обмана
Уловка с использованием запугивания со ссылкой на авторитет работает особенно хорошо в том случае, если другой человек имеет достаточно низкий статус в компании. Использование важного человеческого имени помогает не только побороть нормальное чувство подозрения, но и делает человека более внимательным; врожденный инстинкт желания быть полезным увеличивается, когда вы думаете, что персона, которой вы помогаете, важна и влиятельна.
Социальный инженер также знает, что лучший путь использования данного трюка – использовать имя кого?то более вышестоящего, чем босс жертвы. И данный трюк довольно ненадежен, если использовать его внутри малой организации: атакующий не хочет, чтобы его жертва могла отпустить комментарий кому?нибудь из отдела маркетинга. «Я отправил тот план, о котором говорил мне один из ваших парней», – это может легко вызвать встречный вопрос вроде: "Какой план? Какой парень? " И это может привести к открытию, что компания стала жертвой.
Сообщение от Митника
Запугивание может вызвать страх перед наказанием, который заставит людей сотрудничать. Также запугивание может пробудить страх запутаться в делах или быть вычеркнутым из плана по повышению.
Люди должны знать, что неприемлемо зависеть от чьего?либо авторитета, когда на кону безопасность. Тренировка сотрудников должна включать в себя обучение персонала избегать влияния авторитета в дружеских или деловых отношениях, но без нанесения вреда общению. Более того, такие действия должны приветствоваться высшим руководством.
На пороге
Несмотря на миф о безбумажном офисе, компании продолжают печатать стопки бумаг каждый день. Печатная информация в в вашей компании может быть уязвимой, даже если вы предпринимаете меры предосторожности и помечаете ее как конфиденциальную.
Вот одна история, показывающая, как социальные инженеры могут получить ваши самые секретные документы.
Обман с номерами обратного вызова
Каждый год телефонная компания издает справочник тестовых номеров (или по крайней мере издавали, но, поскольку я все еще нахожусь под надзором, то не собираюсь спрашивать об этом). Этот документ высоко ценился фрикерами, так как содержал список тщательно скрываемых телефонных номеров, которые использовались мастерами, техниками и другими работниками компании для таких вещей как тестирование магистрали или проверки всегда занятых номеров.
Один из таких тестовых номеров, называемых на профессиональном языке «Loop?Around» (номер обратного вызова), был особенно полезен. Фрикеры использовали его как способ бесплатно поговорить друг с другом. Фрикеры также использовали его как номер обратного вызова, чтобы дать его, например, в банке. Социальный инженер сообщал кому?нибудь в банке телефонный номер в своем офисе. Когда из банка звонили по тестовый номеру, фрикер мог получить звонок, кроме того, по этому номеру его не могли выследить.
В справочнике тестовых номеров содержал информацию, в которой нуждался фрикер. Поэтому, когда издавались новые справочники, они разыскивались множеством подростков, для которых любимым занятием было исследовать телефонную сеть.
Сообщение от Митника
Обучение безопасности в рамках политики компании по защите информации должно проводиться для всех сотрудников, а не только для служащих, у которых есть электронный или физический доступ к ИТ?активам компании.
Афера Стива
Конечно, телефонные компании не допускают свободного распространения этих книг, поэтому фрикерам приходится быть изобретательными. Как они делают это? Энергичный подросток, разыскивающий справочник , может разыграть такой сценарий.
Тихим осенним вечером в южной Калифорнии, парень, которого я назову Стив, звонит в центральный офис небольшой телефонной компании, здание, от которого отходят телефонные линии ко всем домам и фирмам в зоне обслуживания.
Когда дежурный электромонтер отвечает на звонок, Стив заявляет, что он из подразделения компании, которое издает и распространяет печатные материалы. «У нас есть новый справочник тестовых номеров, – говорит он. – Но из соображений безопасности мы не можем отдать ваш экземпляр, пока не получим старый. Посыльный будет позже. Если вы хотите, оставьте ваш экземпляр прямо за дверью, он может заехать, забрать его и положить новый».
Ничего не подозревающему электромонтеру это кажется разумным. Он делает так, как его попросили, кладет на пороге здания свой справочник, на обложке которого ясно написано большими красными буквами: «СЕКРЕТНЫЙ ДОКУМЕНТ КОМПАНИИ . В СЛУЧАЕ НЕНАДОБНОСТИ УНИЧТОЖИТЬ».
Стив приезжает и осторожно оглядывается вокруг в поисках полицейских или сотрудников службы безопасности компании, которые могли спрятаться за деревьями, или ждать его в припаркованных машинах. Никого в поле зрения. Он небрежно берет справочник и уезжает.
Не так безопасно, как думаешь
«Компания, которая не прикладывает усилий для защиты важной информации просто поступает небрежно». Многие люди согласятся с этим утверждением. И мир был бы более приятным местом, если бы жизнь была бы более простой и очевидной. Правда в том, что даже те компании, которые прикладывают усилия для защиты конфиденциальной информации, так же могут быть в опасности.
История Стива Крэмера
Эта не была большая лужайка, из тех, с дорогими саженцами. И она явно не была достаточно большой, чтобы дать повод для нанимания косильщика на постоянную работу, что его вполне устраивало, потому что он все равно ой не пользовался. Стив наслаждался подстриганием травы ручной газонокосилкой, и это предоставляло ему убедительное оправдание, чтобы сфокусироваться на его собственных мыслях вместо того, чтобы слушать рассказы Анны о людях в банке, с которыми она работала, или объясняла ему очередные поручения. Он ненавидел записки вроде «Дорогой, сделай…», которые стали неотъемлемой частью его выходных. В его голове вспыхнуло, что его 12?летний сын Пит очень умный и пойдет в команду по плаванью. Но теперь ему придется ходить на тренировки или встречать его каждое воскресенье, так что он не будет настолько застревать с субботней уборкой.
Некоторые люди могут подумать, что работа Стива по созданию новых устройств для GeminiMed Medical Products была скучной; Стив же знал, что он спасает жизни. Стив считал, что он занимается творческой работой. Художник, композитор, инженер – все они, с точки зрения Стива, стояли перед одним и тем же испытанием, что и он: они создавали нечто, что никто до них не делал. В последнее время, он работает над новой моделью искусственного сердца, и это станет его величайшим достижением.
Было почти 11?30 в эту субботу, и Стив был раздражен потому, что он еще не закончил стричь траву, и у него не было новых идей в изобретении метода уменьшения энергозатрат в сердце, последнее оставшееся препятствие. Идеальная проблема, над которой можно подумать во время скоса газона, и он еще не придумал решение.
Анна появилась из? за двери. Ее голова была покрыта красным ковбойским платком, который она надевала, когда убиралась.
«Тебе звонят», – она крикнула ему. «Кто?то с работы».
«Кто?» – Стив крикнул в ответ.
«Ральф какой?то. Мне кажется».
Ральф? Стив не мог вспомнить кого?нибудь из GeminiMed по имени Ральф, который мог бы позвонить ему в выходной. Но, похоже, Анна перепутала имя.
«Стив, это Рэймон Перез из техподдержки». Интересно, как же Анне удалось перепутать испанское имя на «Ральфа», подумал Стив.
«Это просто звонок вежливости», говорил Рэймон. «Трое из серверов не работают, возможно, у нас появился червь, и нам придется переустановить драйвера и восстанавливать все из архивов. Мы полностью восстановим Ваши файлы в среду или четверг. Если повезет».
«Абсолютно недопустимо», – Стив сказал, пытаясь не дать своему гневу завладеть им. Как люди могут быть такими глупыми? Они правда думают, что он сможет обойтись без доступа к своим файлам все выходные и большинство недели? «Ни за что. Я сяду за свой домашний терминал через 2 часа, и должен буду получить доступ к своим файлам. Я ясно выражаюсь?»
«Да, да, и каждый, кому я звонил, хочет поставить себя в верх списка. Я остался без выходных, пришел на работу, и выслушиваю жалобы каждого, с кем я говорю».
«У меня жесткие сроки выполнения работы, компания рассчитывает на это; я должен закончить работу сегодня в полдень».
«Мне еще многим надо позвонить, прежде чем я даже смогу начать», – выложил Рэймон. «А что если ты получишь свои файлы во вторник?»
"Не во вторник, не в понедельник, а СЕЙЧАС! "– сказал Стив, интересуясь, кому же он еще позвонит, если пункт еще до него не дошел.
«Ладно, ладно», сказал Рэймон, и Стив услышал в его голосе знаки раздражения. «Дай посмотрю, что я смогу для тебя сделать. Ты используешь RM22, верно?»
«RM22 и GM16. Оба».
«Ясно. Я могу кое?как что?нибудь сделать, не потратив много времени – мне понадобится твое имя пользователя и пароль».
Ой , подумал Стив. Что здесь происходит? Зачем ему мой пароль? Зачем нужно сотрудникам IT спрашивать об этом?
«Какая там у вас фамилия? Кто ваш начальник?»
«Рэймон Перез. Смотрите, вот что я вам скажу: когда вас принимали на работу, был листок, которого надо было заполнить для получения учетной записи, и ты записал пароль. Я могу посмотреть, что у тебя записано, идет?»
Стив обдумывал это несколько моментов, а потом согласился. Он ждал с растущим нетерпением, пока Рэймон пошел искать документ из архива. В конце концов, снова у телефона, Стив мог слышать, как он шелестит стопкой бумаги.
«Ах, вот оно», в конце концов, сказал Рэймон. «Вы записали пароль „Janice“.»
Дженис, подумал Стив. Так звали его маму, и он иногда использовал его или в качестве пароля, когда заполнял бумаги при приеме на работу.
«Да, верно», – он признался.
«Окей, мы тратим время зря. Вы знаете, что я серьезно, и если вы хотите, чтобы я воспользовался коротким путем и вернул ваши файлы поскорее, вам придется мне помочь».
"Мой ID – s, d, нижнее подчеркивание, cramer – c?r?a?m?e?r. Пароль – «pelican1».
«Я сейчас этим займусь», сказал Рэймон, наконец?то звуча любезно. «Дай мне пару часов».
Стив закончил с газоном, поел, и когда он добрался до компьютера, он обнаружил, что его файлы были действительно восстановлены. Он был доволен собой, потому что справился с недружелюбным парнем из IT, и надеялся, что Анна слышала, насколько утвердительно он звучал. Было бы неплохо устроить парню или его боссу нагоняй, но он знал, что это – одно из тех вещей, до чего у него никогда не дойдут руки.
История Крэйга Коборна
Крэйг Коборн был продавцом в одной высокотехнологичной компании, и делал свою работу очень хорошо. Через некоторое время он начал осознавать, что у него есть навык ощущения покупателя, понимание, где человек будет сопротивляться, а где у него слабость или уязвимость, которая сильно увеличивала шансы продать товар. Он начал думать о том, как использовать его талант и этот путь привел его к куда более прибыльной области: промышленному шпионажу.
Это было срочное задание. Мне кажется, оно займет немного времени и прибыли хватит, чтобы поехать на Гавайи.
А может быть, Таити.
Парень, который нанял меня, не сказал, конечно, кто клиент, но понятно, что это – некая компания, которая хотела догнать соперников за 1 большой и простой прыжок. Все, что мне надо сделать – получить схемы и спецификации изделия для нового устройства под названием искусственное сердце, что бы это ни значило. Компания называлась GeminiMed. Никогда не слышал о ней, но это – состоятельная компания с офисами в полудюжине разных мест – что делает работу гораздо проще, чем в маленькой компании, где есть серьезный шанс, что парень, с которым ты разговариваешь, знает парня, за которого ты себя выдаешь, и знает, что это не ты. Это, как говорят пилоты о столкновении в воздухе, может испортить весь твой день.
Мой клиент послал мне факс, вырезку из медицинского журнала, в котором говорилось, что GeminiMed работают над сердцем с кардинально новой структурой, и она будет называться STH?100. Громко заявив об этом, какой?то репортер уже сделал большую часть работы за меня. И у меня уже была важная информация даже раньше, чем я начал – название нового продукта.
Проблема первая: получить имена людей из компании, которые работали над STH?100 или нуждаются в просмотре его схем. Так что я позвонил телефонистке и сказал: "я обещал связаться с одним из людей из группы инженеров, но не помню его фамилии, а его имя начиналось на "С". И она сказала, что «у нас есть Скотт Арчер и Сэм Дэвидсон». Я пошел дальше. «Кто из них работает над STH?100?» Она не знала, так что я решил выбрать Скотта Арчера, и она набрала его номер.
Когда он ответил, я сказал «Здравствуй, это Майк, из почтового отдела. У нас посылка для группы разработчиков Искусственное сердце STH?100. Ты случайно не знаешь, кому это отдать?» И он назвал мне имя руководителя проекта, Джерри Мендела. Я даже смог уговорить его посмотреть его номер для меня.
Я позвонил. Мендела не было на месте, но его автоответчик сказал, что он будет в отпуске до 13?го, что означало, что у него целая неделя для катания на лыжах или чего бы то ни было другого, а в его отсутствие можно звонить Мишель по телефону 9137.
Какие любезные люди! Очень любезные!
Я положил трубку и позвонил Мишель, и когда она ответила, я сказал: « Это Бил Томас, Джерри сказал мне, что я должен буду позвонить тебе, когда будет готовы документы, которые он хотел показать своим ребятам из группы. Вы работаете над искусственным сердцем, верно?» Она сказала, что да.
Теперь переходим к сложной части аферы. Если она стала бы подозревать что?то, я был готов выложить карту, что я просто пытался оказать услугу, о которой попросил Джерри. Я сказал: «какой системой вы пользуетесь»?
«Системой»?
«Какими серверами пользуется ваша группа»?
"А", – она сказала, –"RM22. И некоторые из группы также пользуются GM16". Отлично. Мне это было нужно, и я смог спросить у нее, не вызвав подозрения. И это немного смягчило ее перед следующей частью, которую я пытался сделать как можно более обыденно. «Джерри сказал, что вы можете дать мне список адресов электронной почты людей из команды разработчиков», сказал я и задержал дыхание.
«Конечно. Список слишком длинный, чтобы прочитать, можно я тебе его отправлю по e?mail»?
Ой! Любой адрес, который не заканчивается на geminimed.com, будет как огромный красный флаг. «А что если вы мне его отправите по факсу»?
Она была не против.
«Наш факс не в порядке . Я перезвоню как только получу номер другого», я сказал и положил трубку.
Вы можете подумать, что меня могла обременить эта неприятная проблема, но есть еще один обыденный трюк из торговли. Я подождал некоторое время, чтобы мой голос не показался знакомым секретарше, позвонил ей и сказал: «привет, это Бил Томас, наш факс тут не работает, можно отправить к вам факс»? Она сказала «конечно», и дала мне номер.
А потом я просто вхожу и забираю факс, верно? Конечно нет. Первое правило: никогда не посещайте помещения, если это не обязательно. Они будут долго мучаться, пытаясь опознать тебя, если ты просто голос из телефона. И даже если они тебя опознают, то не смогут арестовать. Сложно надеть наручники на голос.
Так что я позвонил секретарше через некоторое время и спросил: пришел ли мой факс? «Да», она сказала.
«Слушай», я сказал ей, «мне надо отправить это нашему консультанту. Ты можешь выслать это за меня»? Она согласилась. А почему бы и нет – как может любой секретарь узнать ценную информацию. Она отправила этот факс «консультанту», и мне пришлось сделать сегодняшнюю пробежку до фирмы неподалеку от меня, со знаком «Прием/Отправка факсов». Мой факс должен был прийти раньше, чем я, и он уже ожидал меня, когда я вошел. Шесть страниц за $1.75. За $10 со сдачей, я получил полный список имен и e?mail'ов.
Проникая вовнутрь
Так, значит мне пришлось поговорить с тремя или четырьмя разными людьми всего за несколько часов, и уже приблизиться к компьютерам на огромный шаг. Но мне понадобятся еще пару фактов, и все будет сделано.
Во?первых. номер дозвона на инженерный сервер извне. Я позвонил в GeminiMed опять, и попросил соединить с отделом IT, с кем?нибудь, кто помогает с компьютером. Меня соединили, и я начал играть роль смущенного и глупого человека в обращении с техникой. «Я дома, только что купил новый ноутбук, и мне нужно его настроить для доступа извне».
Эта процедура была обычной, но я с нетерпением разрешил ему рассказать все, и вскоре он добрался до номера дозвона. Он назвал мне номер как самую рутинную информацию. И потом, заставил его подождать, пока я пробовал. Идеально.
Так что теперь я преодолел препятствие подключения к сети. Я дозвонился и обнаружил, что они настроили терминальный сервер, который позволяет звонящему подключаться к любому компьютеру в их локальной сети. После кучи попыток, я наткнулся на чей?то компьютер, где был гостевой аккаунт без необходимости ввода пароля. Некоторые ОС, когда они только установлены, заставляют пользователя создать логин и пароль, а также предоставляют гостевой аккаунт. Пользователь должен поставить свой пароль на гостевую учетную запись или отключить ее, но многие даже не знают об этом или не хотят чего?либо делать. Эта система, скорее всего, была только что установлена, и владелец даже не побеспокоился об отключении гостевого аккаунта.
Благодаря гостевому аккаунту, у меня теперь был доступ к одному компьютеру, на котором оказалась старая версия операционной системы Unix. В Unix'е, операционная система содержит файл, в котором есть зашифрованные пароли каждого, у кого есть доступ к компьютеру. Файл с паролями содержит одностроронний хэш (т.е. форма шифрования необратима) пароля каждого пользователя. С хэшем, пароль, к примеру «justdoit» будет представлен в зашифрованном виде; в данном случае, хэш будет конвертирован Юниксом в 13 численно?буквенных символов.
LINGO
хэш – строка беспорядочно записанных символов, которая получается из пароля путем одностороннего шифрования. Процесс теоретически необратим; т.е. считается, что невозможно извлечь пароль из хэша.
Когда Билли Боб из зала захочет перевести какие?либо файлы на другой компьютер, он обязан идентифицировать себя, предоставив логин и пароль. Система, которая проверяет его авторизацию, шифрует его пароль, а потом сравнивает его результат с хэшем, содержащимся в файле с паролем; если они совпадают, ему предоставляют доступ.
Из?за того, что пароли в файле зашифрованы, файл сделан доступным для пользователей, так как, по теории, нет способа расшифровки пароля. И это смешно. Я скачал файл, сделал атаку по словарю(см. главу 12 для более подробного объяснения метода), и выяснил, что один из инженеров, парень по имени Стив Крэмер, в данный момент имел учетную запись на компьютере с паролем «Janice». Я решил попробовать войти с этим паролем на один из серверов разработчиков; он не подошел; если бы все сработало, это бы сэкономило много времени и уменьшило риск. Не помогло.
Это значило, что мне придется обманом заставить парня сказать его имя пользователя и пароль. Для этого мне пришлось дождаться выходных. Вы уже знаете остальное. В субботу я позвонил Крэмеру и рассказал уловку о черве и сервере, которого надо восстановить, чтобы избежать его подозрений.
А что насчет истории, которую я ему рассказал о том, что он заполнял свои бумаги при приеме? Я рассчитывал на то, что он не вспомнит, что этого никогда не было.
Новый сотрудник обычно заполняет столько бумаг, что через несколько лет никто не вспомнит. И даже если он меня раскусит, у меня еще был длинный список других имен.
С его именем пользователя и паролем я вошел на сервер, покопался некоторое время, а потом обнаружил файлы со схемами STH?100. Я не был уверен, какие из них являются ключевыми, так что я перевел файлы на dead drop , бесплатный FTP сайт в Китае, где они будут храниться без чьих?либо подозрений. Пусть клиент разбирается в этом мусоре и ищет, что ему нужно.
LINGO
dead drop – место для хранения информации, где вряд ли ее найдут другие. В мире традиционных шпионов, это место могло бы быть за отколотым камнем в стене; в мире компьютерного хакера, это обычно сайт в удаленной стране.
Анализ обмана
Для мужчины, которого мы называем Крэйгом Коборном, или кого?нибудь вроде него, также с опытом в воровском?но?не?всегда?незаконном искусстве социальной инженерии, испытание, представленное здесь, было почти обыденным. Его целью было обнаружить и скачать файлы, находящиеся на безопасном корпоративном сервере, защищенном фаэрволом и всеми обычными техническими средствами.
Большинство его работы было не сложнее, чем поймать дождевые капли в ведро. Он начал с того, что представился кем?то из почтового отдела и добавил ощущение срочности, утверждая, что есть посылка, которую нужно доставить. Этот обман позволил узнать имя руководителя команды инженеров (что полезно для любого социального инженера, который пытается украсть информацию), создающих искусственное сердце, который был в отпуске – он любезно отставил имя и телефон его ассистента. Позвонив ей, Крэйг рассеял любые подозрения, утверждая, что он выполняет просьбу руководителя проекта. Поскольку руководителя проекта не было в городе, Мишель не могла проверить его утверждения. Она приняла все за правду и без проблем предоставила список людей из группы, что явилось для Крэйга очень важным этапом.
Она даже не заподозрила ничего, когда Крэйг попросил отправить список по факсу вместо электронной почты, обычно более удобной на обеих концах.
Почему она была настолько легковерна? Как и многие другие сотрудники, она не хотела, чтобы босс по возвращению узнал, что она отказала звонящему, который просто пытался сделать что?то, о чем попросил ее директор. Кроме того, звонящий сказал, что босс не только разрешил выполнить просьбу, но и попросил помочь. Опять, здесь пример, как кто?то изъявляет сильное желание «играть в команде».
Крэйг избежал риска физического проникновения в здание, просто отправив факс секретарше, зная, что она скорее всего поможет. Секретарей обычно выбираются за очаровательные личные качества и возможность произвести хорошее впечатление. Оказание небольших услуг, отправка и прием факса входит в должность секретарши, и Крэйг хотел извлечь выгоду из этого факта. То, с чем она столкнулась – информация, которая могла бы поднять тревогу, если бы кто?нибудь знал ее цену. Но как может она распознать, какая информация безвредна, а какая – конфиденциальна?
Используя другой стиль манипуляции, Крэйг разыгрывал смущение и наивность, чтобы убедить парня в отделе компьютерных операций предоставить dial?up доступ к терминальному серверу компании, используемого в качестве места для подключения к компьютерным системам локальной сети.
Сообщение от Митника
Главная задача каждого сотрудника – сделать свою работу. Под этим давлением, безопасность переходит на второй план и игнорируется. Социальные инженеры рассчитывают на это, когда занимаются своим искусством.
Крэйг смог с легкостью подключиться, используя стандартный пароль, который никогда не менялся, один из бросающихся в глаза, широко?открытых пробелов, которые существуют во многих локальных сетях, которые основываются на фаэрволах. На самом деле, стандартные пароли многих операционных систем, роутеров и других продуктов, включая PBX, доступны в сети. Любой социальный инженер, хакер, промышленный шпион, а также просто любопытствующий может найти список на http://www.phenoelit.de/dpl/dpl.html (Просто невероятно, как облегчает Интернет жизнь тех, кто знает где искать, и теперь вы знаете).
Коборн смог убедить осторожного, подозрительного мужчину («Какая там у вас фамилия? Кто ваш начальник?») сообщить его имя пользователя и пароль, чтобы он мог мог получить доступ к серверам, используемым командой разработчиков. Это было аналогично оставлению Крэйга с открытой дверью и возможностью работать с самыми охраняемыми секретами компании, качать схемы нового продукта.
А что если Стив Крэмер продолжил чувствовать нечто подозрительное насчет звонка Крэйга? Это маловероятно, что он решит рассказать о своих подозрениях раньше, чем появится на работе утром в понедельник, что было бы поздно для предотвращения атаки.
И еще один ключ к последней уловке: Крэйг сначала относился безответственно и незаинтересованно к требованиям Стива, а потом изменил интонации, будто он пытается помочь Стиву завершить его работу. В большинстве случаев, если жертва верит, что ей пытаются помочь или оказать услугу, то расстанется с конфиденциальной информацией, которую она защищала бы в другом случае.
«Не желаете ли вы бесплатно …?»
Также как и вирусы стали бедствием для человечества и врачей с начала времен, так и подходяще названный компьютерный вирус представляет собой ту же угрозу для пользователей современных технологий.
Компьютерные вирусы, которые привлекают к себе внимание и прекращаются, как только становятся в центре внимания, не случайно наносят большой урон. Они являются продуктом компьютерных вандалов.
Люди, очень интересующиеся компьютерами, становятся злобными компьютерными вандалами, прилагающими все усилия, чтобы показать, насколько они умны. Иногда их действия похожи на обряд инициации, предназначенный для того, чтобы произвести впечатление на старших и более опытных хакеров. Главной мотивацией этих людей в написании червей или вирусов является преднамеренное нанесение ущерба. Если их деятельность уничтожает файлы, разрушает полностью жесткие диски, и самостоятельно рассылается тысячам ничего не подозревающих людей, то вандалы раздуваются от гордости за свое достижение. Если вирус вызывает достаточный хаос, чтобы о нем написали в газетах и предупреждения были даже в сети – это еще лучше.
Много написано о вандалах и их вирусах; книги, программное обеспечение и целые компании были созданы, чтобы обеспечить защиту, но мы не будем пытаться выдвигать аргументы против их атак. В данный момент, разрушительные действия вандалов интересуют нас меньше, чем запланированные действия его дальнего родственника – социального инженера.
Это пришло в письме
Скорей всего, вы каждый день получаете нежданные письма, которые содержат в себе рекламные объявления или предложения чего?либо, в чем вы не только не нуждаетесь, но и не хотите. Думаю, вы знакомы с этим. Они обещают советы по размещению капитала, скидки на компьютеры, телевидение, камеры, витамины или путешествия, предлагают кредитные карты, которые вам не нужны, устройство, которое позволит вам бесплатно смотреть платные каналы, пути улучшения вашего здоровья или сексуальной жизни и так далее, и так далее. Но всегда в вашем электронном ящике найдется сообщение, которое заинтересует вас.
Может быть, это бесплатная игра или предложение посмотреть фотографии вашего кумира, бесплатный список программ или недорогая условно?бесплатная программа, которая защитит ваш компьютер от вирусов. Что бы ни предлагалось, вам придется скачать файл с товарами, которые это сообщение убеждает вас попробовать.
Или, может быть, вы получаете сообщение с темой «Дон, я соскучилась» или «Анна, почему ты мне не пишешь» или «Привет Тим, это та сексуальная фотография, которую я обещал». Это не может быть ненужным рекламным письмом, думаете вы, потому что оно содержит ваше имя и кажется таким личным. И вы запускаете приложение, чтобы увидеть фотографию или прочитать сообщение.
Все эти действия – закачка программы, о которой вы узнали в рекламном письме, щелканье по ссылке, которая отправит вас на сайт, о котором вы раньше не слышали, запуск приложения от кого?то, кто вам незнаком – это своеобразное начало проблем. Конечно, чаще всего, то, что вы получаете – это то, что вы ожидали или в худшем случае, что?либо отменяющее или обидное, но безопасное. Но иногда то, что вы получаете – это дело рук вандала.
Умышленная отправка вредоносного кода на ваш компьютер – это всего лишь малая часть атаки. Атакующий должен, прежде всего, убедить вас скачать приложение, чтобы атака удалась.
Заметка
Одним из типов программ, хорошо известных в компьютерном подполье, является утилита удаленного администрирования или троян, который дает взломщику полный контроль над вашим компьютером, как будто он сам сидит за вашей клавиатурой.
Наиболее опасные формы вредоносного кода?это черви типа LoveLetter,SirCam и Anna Kournikova,все они основаны на технике социального инжиниринга и обмане, нашего желания получить что?то просто так. Червь приходит как приложение к письму, предлагающему что?то соблазнительное, например конфиденциальную информацию, бесплатную порнографию или (очень умная уловка) сообщение, в котором говорится, что файл является распиской за какой?то дорогой товар, который вы, предположительно, заказали.
Эта последняя хитрость ведет к тому, что вы открываете файл из страха, что с вашей кредитки может быть снята сумма за товар, который вы не заказывали.
Это поразительно, как много людей попадается на эти уловки, даже будучи предупрежденными об опасности запуска приложений; осведомленность об опасности со временем исчезает, оставляя нас уязвимыми.
Определение вредоносных программ.
Другой вид malware – вредоносное программное обеспечение, которое добавляет на ваш компьютер программу, работающую без вашего ведома или согласия, или выполняющую задание без предупреждения. Malware могут выглядеть достаточно безобидно, быть, например, документом Word или PowerPoint презентацией или другим документом, имеющим много функций, но они инсталлируют неразрешенную программу. Например, malware может быть одной из версий Трояна, о котором мы говорили в Главе 6.Будучи однажды установленной на ваш компьютер, она может отправлять всю набранную вами информацию, включая пароли и номера кредиток, взломщику.
Существует два других типа вредоносных программ, которые могут шокировать вас. Программа первого типа может отправлять взломщику каждое сказанное вами в микрофон слово, даже если вы думаете, что он выключен. Хуже, если у вас есть веб?камера, тогда взломщик может захватить все, что попадает в обзор напротив вашего терминала, даже если вы думаете, что камера не работает.
LINGO
Malware – на сленге: вредоносные программы, такие как вирус, червь, троян, которые наносят повреждения
Сообщение от Митника
Бойтесь греков, дары приносящих, иначе вашу компанию может постичь участь города Трои. Если у вас есть сомнения, то лучший способ избежать заражения – использовать защиту.
Хакер со злобным чувством юмора может внедрить вам маленькую программку, которая доставит много хлопот вашему компьютеру. Например, она может заставить открываться ваш CD?rom или свернуть файл, с которым вы только что работали. Также это может быть аудио запись крика на полной громкости посреди ночи.Ничто из вышеперечисленного не покажется вам смешным, если вы пытаетесь поспать или выполнить свою работу… но, тем не менее, они не причиняют урона.
Немного помощи для новенькой девушки.
Новые сотрудники – сочные цели для атакующих. Они еще многого не знают – они не знают процедуры, что можно и что нельзя делать в компании. И, ради создания хорошего впечатления, они жаждут показать, как быстро и хорошо они могут работать и откликаться на просьбы.
Доброжелательная Андреа
«Отдел кадров, говорит Андреа Калхун».
«Андреа! Привет, это Алекс, отдел безопасности корпорации».
«Да».
«Как твои дела сегодня»?
«Все ОК, чем могу быть полезна?»
«Слушай, мы тут планируем семинар по безопасности для новых сотрудников, надо подыскать несколько человек. Мне нужен список имен и телефонов сотрудников, которых взяли на работу за последний месяц. Можешь мне с этим помочь?»
«Но я не смогу сделать это до обеда, это не страшно? В каком отделении ты работаешь?»
"А, ладно, отделение 52… но я буду почти весь день на деловых встречах. Я тебе перезвоню, когда буду в офисе, где?то после 4?х.
Когда Алекс позвонил где?то в 4:30, Андреа уже подготовила список и прочла ему имена и номера отделений.
Сообщение для Розмери
Розмери Морган была очень рада получить эту работу. Она никогда раньше не работала в издательстве, и все казались ей гораздо более дружелюбными, чем она ожидала, что удивительно, учитывая бесконечное напряжение под которым находился коллектив, чтобы успеть сделать новый номер за месяц. И звонок в этот четверг подтвердил ее впечатление о дружелюбии.
«Вы Розмери Морган?»
«Да»
«Здравствуй, Розмери, это Билл Джордай, отдел безопасности информации».
«Чем могу быть полезна»?
«Кто?нибудь из нашего отдела обсуждал с тобой технику безопасности?»
«Вроде, нет».
«Так, посмотрим. Для начала, мы не позволяем никому устанавливать программное обеспечение не из компании. Это потому что мы не хотим отвечать за использование лицензионных программ. А также чтобы избежать проблем с программами, содержащими червь или вирус».
«Окей.»
«А ты знаешь, что мы предпринимаем для безопасности электронной почты?»
«Нет».
«Какой у тебя сейчас e?mail»?
"Rosemary@ttrzine.net "
«Вы используете логин Rosemary»?
"Нет, RMorgan"
.
«Итак. Всем новым сотрудникам надо знать, что опасно открывать вложенные файлы, которых вы не ожидаете… Много вирусов и червей распространяются и приходят ос адресов тех людей, кого вы знаете. Так что если ты не ожидала письма с вложением, ты должна проверить, действительно ли отправитель его отправил. Понятно?»
«Да, я об этом слышала».
«Отлично. По нашим требованиям, пароль надо менять каждые 90 дней. Когда ты в последний раз меняла пароль?»
«Я тут всего две недели, и использую тот, который я в начале поставила».
«Окей. Это хорошо. Но мы должны быть уверены, что люди используют пароли, которые не слишком легко отгадать. Используешь ли ты пароль, состоящий из букв и цифр?»
«Нет».
«Ну, мы это поправим… Какой пароль ты используешь сейчас?»
«Имя моей дочери – Annette.»
«Это не очень безопасный пароль. Ты никогда не должна использовать пароль, основанный на семейной информации. Так, посмотрим. Вы можете сделать так же, как я. То, что ты используешь сейчас, сойдет для 1?й части пароля, но каждый раз, когда его меняешь, добавляй число текущего месяца».
«Так что если я сменю пароль сейчас, в Марте, я поставлю „3“».
«Это уже как хочешь. Какой вариант тебе подойдет?»
«Я думаю, Annette3».
«Отлично. Тебе рассказать, как его изменить?»
«Нет, я знаю как».
«Хорошо. И последнее, о чем надо поговорить. У тебя на компьютере есть антивирус, который надо регулярно обновлять. Ты не должна отключать автоматическое обновление, даже если твой компьютер временно тормозит. Ладно?»
«Конечно».
«Отлично. У тебя есть наш номер, чтобы ты могла связаться с нами в случае неполадок?»
Номера у нее не было. Он сказал ей номер, и она его аккуратно записала, и вернулась к работе, опять довольная, что о ней заботятся.
Анализ обмана
Эта история затрагивает основную тему, которая упоминается на протяжении всей книги: чаще всего, информация, которую социальный инженер хочет получить от работника, не знающего о его конечной цели, это аутентификационные данные жертвы.Зная имя пользователя и пароль одного из пользователей, который находится в нужной части компании, атакующий получит то, что ему нужно, чтобы попасть вовнутрь и найти любую нужную ему информацию. Обладать этими данными – то же самое, что найти ключи от города; с ними в руке, он сможет свободно ходить по корпоративному пространству и найдет сокровище, которое он ищет.
Сообщение от Митника
Прежде, чем новым сотрудникам будет разрешено получить доступ к компьютерным системам, они должны быть обучены правилам безопасности, в особенности правилам о нераскрывании паролей.
Неопубликованная глава
Перевод: Yarlan Zey (yarlan@pisem.net)
(Это оригинальная глава, значительно сокращенная в опубликованной версии книги.)
Я неохотно писал этот раздел, потому что я был уверен, что он будет звучать эгоистично. Ну, хорошо, он эгоистичен. Но со мной связывались буквально сотни людей, которые хотели знать «кто такой Кевин Митник?». Если вам безразлично, обратитесь к Главе 2. Для всех остальных, кого это ещё волнует, вот мой рассказ.
Неосторожный руководитель
Хотя многие служащие организаций беззаботны, не интересуются или не подозревают об угрозах безопасности, вы предполагаете, что руководитель компьютерного центра корпорации, входящей в Fortune 500, хорошо знает правила безопасности, верно?
Вероятно, вы не предполагали, что руководитель компьютерного центра – тот, кто является частью отдела информационных технологий компании – окажется жертвой явной игры социальной инженерии. Особенно трудно это предположить, когда социальный инженер не более чем шутник, едва вышедший из подросткового возраста. Но иногда ваши предположения могут быть неверными.
Настройка (на радиоволну)
Очень давно было занятное время для многих людей, которые настраивали радиоприемник на частоты местной полиции или пожарного отделения, слушая разговоры об ограблении банка, пожаре в административном здании или погоне по ходу событий. Сведения о радиочастотах, используемых правоохранительными органами и пожарными отделениями, можно было найти в книжных магазинах; сегодня информация о радиочастотах местных, государственных, и, в некоторых случаях, даже федеральных органов есть в Интернете, в книге, которую можно купить с помощью Radio Shack.
Конечно, это было не просто любопытство со стороны тех, кто слушал эти частоты. Мошенники, грабящие магазин посреди ночи, могли настроить приемник, чтобы слышать, когда полицейская машина направляется к месту происшествия. Торговцы наркотиками могли контролировать деятельность агентов местных органов. Поджигатель мог усилить свое нездоровое удовольствие, устроив пожар и слушая затем весь поток сообщений по радио, в то время как пожарные боролись с огнем.
За последние годы разработки в компьютерных технологиях позволили шифровать голосовые сообщения. По мере того, как инженеры нашли способы разместить на одном кристалле все больше вычислительных мощностей, они начали создавать зашифрованное радиовещание, лишив плохих парней и любопытных возможности прослушивать его.
Дэнни?перехватчик
Энтузиаст сканирования и искусный хакер, которого мы будем звать Дэнни, решил выяснить, не может ли он получить исходный код сверхсекретной программы?шифратора одного из ведущих производителей защищенных радиосистем.
Он надеялся изучить код, который позволил бы ему узнать, как прослушивать разговоры правохранительных органов и, возможно, использовать технологию так, чтобы даже самым влиятельным государственным органам было сложно отследить его разговоры с друзьями.
Дэнни из темного мира хакеров принадлежат к особой категории, которая находится где?то между просто любопытными, но безобидными, и опасными. Они обладают знаниями эксперта, сочетающимися с озорным желанием хакера вторгаться в системы и сети ради интеллектуального вызова и удовлетворения от понимания, как работает технология. Их электронные трюки со взломом и проникновением – всего лишь трюки. Эти люди, эти «белые» хакеры незаконно проникают в системы ради забавы и доказательства того, что они могут сделать это. Они ничего не воруют, не зарабатывают деньги на своих деяниях, не уничтожают файлы, не разрушают сети или компьютерные системы. Сам факт их присутствия, получения копий файлов, подбора паролей за спиной сетевых администраторов, утирает носы людей, ответственных за оборону от злоумышленников. Умение превзойти других составляет значительную часть удовлетворения.
Придерживаясь такой направленности, наш Дэнни хотел изучить детали тщательно охраняемого продукта компании только, чтобы удовлетворить жгучее любопытство и удивиться искусным новинкам, которые могли быть внедрены в компании. Излишне говорить о том, что разработка продукта были тщательно охраняемой производственной тайной, такой же ценной и защищенной, как и все, чем владела компания. Дэнни знал это. И нисколько не беспокоился. Как?никак, это была всего лишь некая большая безымянная компания.
Но как получить исходный код программы? Как оказалось, похищение «драгоценностей» из группы защищенной связи было слишком легким, несмотря на то что компания была одной из тех организаций, где используется аутентификация по двум условиям , при которой требуется не один, а два индентификатора для доказательства своей подлинности.
Вот пример, с которым вы уже, возможно, знакомы.
Когда к вам приходит новая кредитная карта, вас просят позвонить в компанию?эмитент, чтобы там знали, что карта находится у ее владельца, а не кого?то, кто украл конверт на почте. В наши дни указания на карте, как правило, предписывают звонить вамиз дома . Когда вы звоните, программа в компании анализирует номер, автоматически определенный на телефонном коммутаторе, через который проходят бесплатные звонки. Компьютер в компании?эмитенте сравнивает телефонный номер звонившего с номером в базе данных владельцев кредитных карт. К тому времени, как служащий возьмет трубку, на его дисплее будет отображена информация о клиенте из базы данных. служащий уже знает, что звонок сделан из дома клиента, .
Lingo
Аутентификация по двум условиям – использование двух разных типов аутентификации для идентификации. Например, человек может идентифицировать себя звоня из определенного места и зная пароль.
Затем служащий выбирает элемент отображаемых о вас данных – чаще всего номер (социального обеспечения), дату рождения, девичью фамилию матери – и задает вам вопрос. Если вы даете правильный ответ, это вторая форма аутентификации, основанная на сведениях, которые вы должны знать.
В компании, выпускающей защищенные радиосистемы, у каждого служащего, имеющего доступ к компьютеру, имелись имя и пароль, которые дополнялись небольшим электронным устройством – Secure ID (безопасный идентификатор). Это то, что называют синхронизируемым жетоном. Такие устройства делаются двух типов: одно из них размером с половину кредитной карты, но немного толще; другое настолько мало, что люди могут присоединить его к связке ключей.
В этом устройстве из мира криптографии имеется маленький шестиразрядный дисплей. Каждые 60 секунд на дисплее отображается новое шестизначное число. Когда человеку нужен доступ к сети, сначала он должен идентифицировать себя как зарегистрированного пользователя, введя секретный PIN?код и число, отображаемое его устройством. Пройдя проверку внутренней системы, он затем должен ввести имя и пароль.
Для получения исходного кода, которого так жаждал юный Дэнни, нужно было не только скомпрометировать имя пользователя и пароль одного из служащих (что не представляет особой сложности для опытного социального инженера), но и добраться до синхронизируемого жетона.
Прохождение аутентификации по двум условиям с использованием синхронизируемого жетона в сочетании с секретным PIN?кодом кажется невыполнимой миссией. Для социальных инженеров задача подобна той, когда игрок в покер, который обладает не просто умением «читать» своих противников.
Штурм крепости
Дэнни начал с тщательной подготовки. Вскоре он собрал вместе достаточно сведений, чтобы выдать себя за настоящего служащего. У него было имя, подразделение, телефонный номер служащего, а также имя и номер телефона руководителя.
Теперь было затишье перед штурмом. По составленному плану Дэнни нужна была еще одна вещь перед тем, как сделать следующий шаг, и это было то, чем он не управлял: ему нужна была метель. Ему нужна была помощь Матушки– природы в виде непогоды, которая бы не позволила работникам добраться до офиса. Зимой в Южной Дакоте тому, кто надеялся на плохую погоду, не приходилось ждать очень долго. В пятницу ночью началась метель. снег быстро превратился в град, так что к утру дороги были покрыты слоем льда. Это была отличная возможность для Дэнни.
Он позвонил на завод, попросил соединить с машинным залом и связался с оператором, который представился как Роджер Ковальски.
Назвав имя настоящего служащего, Дэнни сказал: «Это Боб Билингс. Я работаю в группе защищенной связи. Я сейчас дома и не могу приехать из?за метели. Проблема в том, что мне нужен доступ к моему компьютеру и серверу из дома, а я оставил безопасный ID в столе. Не могли бы вы принести его? Или кто?нибудь? А потом прочитать мой код, когда надо будет ввести его? Сроки выполнения у моей группы подходят к концу, и у меня нет другого способа закончить работу. И нет способа попасть в офис – дороги слишком опасны.»
Оператор сказал: «Я не могу оставить вычислительный центр» Дэнни завладел ситуацией: «А у вас есть безопасный ID?»
«В центре есть один, – сказал тот, – Мы храним один для операторов на случай крайней необходимости.»
«Послушайте, – сказал Дэнни, –Вы не могли бы оказать мне большую услугу? Можно позаимствовать ваш безопасный ID, когда мне нужно будет войти в сеть? На время, пока опасно ездить по дорогам?»
–Кто вы? – спросил Ковальски. – Для кого вы делаете работу?
–Для Эда Трентона.
–Ах да, я знаю его.
Когда может возникнуть затруднительное положение, хороший социальный инженер проводит нечто большее, чем простое исследование. «Я работаю на втором этаже, – продолжал Дэнни, – рядом с Роем Такером».
Это имя он тоже знал. Дэнни продолжил обрабатывать его. «Будет проще подойти к моему столу и принести мой безопасный ID.»
Дэнни был уверен, что парень не пойдет на это. Прежде всего, он не оставит свое место посреди рабочей смены ради «прогулки» по коридорам и лестницам в другую часть здания. Он также не захочет шариться в столе на чужом месте. Нет, можно было спорить, что он не сделает этого.
Ковальски не хотел ни отказывать парню, нуждавшемуся в помощи, ни соглашаться и быть втянутым в проблему. Поэтому он отложил решение: «Я должен позвонить моему боссу. Подождите». Он отложил трубку, и Дэнни мог слышать, как тот набирает другой номер, и объясняет просьбу. Затем Ковальски сделал что?то необъяснимое: он по?настоящему ручался за человека, назвавшегося Бобом Билингсом. «Я знаю его, – сказал он своему руководителю, – Он работает для Эда Трентона. Можем мы разрешить ему воспользоваться безопасным ID, который есть в вычислительном центре?» Дэнни, державший трубку, был поражен, услышав о неожиданной поддержке в свою пользу. Он не мог поверить своим ушам.
Через несколько минут Ковальски снова взял трубку, сказал: «Мой руководитель хочет поговорить с вами сам», и дал ему имя и номер сотового телефона.
Дэнни позвонил руководителю и повторил историю снова, подробно рассказав о проекте, над которым он работал, и почему его группа должна закончить работу в срок.
«Проще будет кому?нибудь подойти к моему столу и взять мою карту, –сказал он. – Я не думаю, что стол заперт, карта должна быть в левом верхнем ящике».
«Хорошо, – сказал руководитель, – думаю, на выходные мы можем разрешить вам использовать безопасный ID из вычислительного центра. Я скажу дежурным, чтобы они считали случайный код, когда вы позвоните», и дал ему PIN?код для использования.
В выходные, каждый раз, когда Дэнни хотел войти в корпоративную сеть, он должен был только позвонить в вычислительный центр и попросить считать шесть цифр, отображаемых безопасным ID.
Работа изнутри
Он был внутри компьютерной системы компании, что дальше? Как Дэнни найти сервер с нужной ему программой? Для этого он уже подготовился.
Компьютерные пользователи знакомы с телеконференциями, расширенным набором электронных досок объявлений, где одни люди могут поместить вопросы, на которые отвечают другие люди, или найти виртуальных собеседников с общими интересами в области музыки, компьютеров или любой из сотен других тем.
Сообщения, размещаемые в телеконференциях, остаются доступными годами. Например, Google сейчас содержит архив из семисот миллионов сообщений, некоторые из которых были размещены двадцать лет назад! Дэнни начал с адреса http://groups.google.com .
В качестве ключевых слов Дэнни ввел «шифрованная радиосвязь» и название компании, и нашел сообщение годичной давности от служащего. Оно было помещено, когда компания начала разработку продукта, возможно, задолго до того как полицейские ведомства и федеральные органы взяли под контроль радиосигналы.
Сообщение содержало цифровую подпись, дающую не только имя человека, Скотт Пресс, но и номер его телефона и даже название рабочей группы, Группа защищенной связи.
Денни и набрал номер. Это было похоже на – работает ли он в той же организации годы спустя? На работе он в в такую непогоду? Телефон зазвонил один раз, другой, третий, тогда раздался голос. «Скотт, – сказал он».
Утверждая, что он из IT?отдела компании, Дэнни заставил Пресса (одним из способов, знакомых вам по предыдущим главам) назвать имена серверов, используемых для разработки.
На этих серверах мог располагаться исходный код, содержащий патентованный алгоритм шифрования и микропрограммы, используемые в защищенных изделиях компании.
Дэнни приближался все ближе и ближе, и его волнение усиливалось. Он чувстовал напряжение, высшую точку, которое всегда испытывал, успешно сделав то, чего могли достигнуть немногие.
В остаток выходных он мог войти в сеть компании, когда ему бы захотелось, благодаря сотрудничеству с руководителем вычислительного центра. Он знал, к каким серверам обратиться. Но когда он набрал номер, терминальный сервер, на который он вошел, не разрешил ему соединение с системой разработки Группы защищенной связи. Это был внутренний брандмауэр или маршрутизатор, защищавший компьютерные системы группы. Нужно было найти другой способ войти.
Следующий шаг требовал нахальства – Дэнни позвонил Ковальски и пожаловался: «Мой сервер не разрешает мне соединиться», и сказал: «Мне нужна учетная запись на одном из компьютеров вашего отдела, чтобы я мог использовать Телнет для соединения с моей системой».
Руководитель уже одобрил раскрытие кода доступа, отображаемого на синхронизируемом жетоне, поэтому новое требование не показалось чрезмерным. Ковальски создал временную учетную запись и пароль на одном из компьютеров вычислительного центра и попросил Дэнни «позвонить, когда учетная запись будет больше не нужна, чтобы я удалил ее».
Зайдя с временной учетной записью, Дэнни мог соединиться по сети с компьютерными системами Группы защищенной связи. После часового поиска уязвимости , которая давала ему доступ к главному серверу, он сорвал куш. Очевидно, системный администратор не следил за последними известиями об ошибках безопасности, которые давали удаленный доступ. Зато Дэнни был хорошо осведомлен об этом.
За короткий срок он нашел файлы с исходными кодами и отправил их на сайт, который предоставлял бесплатное место для хранения. Здесь, даже если файлы были бы обнаружены, на его след никогда не смогли бы выйти.
Перед выходом оставался один заключительный шаг: методичное уничтожение своих следов.
Он закончил до того как закончилось шоу Джея Лено. Для Дэнни это была очень хорошая работа на выходных. И он ни разу не подвергнул себя риску. Это было опьяняющее возбуждение, даже лучше чем сноубординг или прыжки с парашютом.
Дэнни был пьян той ночью, не от виски, джина, пива, а от могущества и чувства завершенности, приблизившись к чрезвычайно секретной программе.
Анализ обмана
Как и в предыдущей истории, уловка сработала только потому, что один из работников компании слишком охотно принял, что звонящий был действительно служащим, которым он представился. Стремление помочь сотруднику, с одной стороны, является частью того, что смазывает колеса промышленности, и частью того, что делает приятным работу служащих одних компаний с работниками других организаций. Но с другой стороны, эта полезность может быть главной уязвимостью, которую попытается использовать социальный инженер.
Одна деталь в махинации Дэнни была восхитительной. Когда он просил кого?нибудь принести жетон из своего стола, он настаивал на том, чтобы кто?то «принес» его для него. «Принеси» – это команда, которую вы даете своей собаке. Никто не хочет, чтобы ему велели принести что?нибудь. С помощью одного слова Дэнни сделал так, чтобы просьба была отклонена, было принято другое решение, именно то, которое хотелось ему.
Оператор вычислительного центра, Ковальски, был обманут Дэнни с помощью имен людей, которых он знал. Но почему руководитель Ковальски – IT?руководитель, не меньше, – позволил чужаку проникнуть во внутреннюю сеть компании? Просто потому что звонок о помощи может быть мощным убедительным инструментом в арсенале социального инженера.
Сообщение от Митника
Эта история показывает, что синхронизируемые жетоны и простые формы аутентификации не может быть защитой против коварного социального инженера.
Может что?то подобное случиться в вашей компании? Случилось ли уже?
Предотвращение обмана
Может показаться, что один элемент часто упоминается в этих историях – атакующий приспосабливается звонить в компьютерную сеть компании снаружи, минуя служащего, который помогал бы ему, удостоверившись в том, что звонящий действительно является работником, и у него есть право доступа.
Почему я так часто возвращаюсь к этой теме? Потому что это правда один из факторов многих атак социальной инженерии. Для социального инженера это самый легкий путь к достижению цели. Почему атакующий должен тратить часы на вторжение, когда он может сделать это с помощью обычного телефонного звонка?
Один из самых мощных методов провести атаку –это обычная уловка с просьбой о помощи, подход, часто используемый атакующими. Вы не хотите, чтобы ваши служащие перестали быть полезными для коллег и клиентов, поэтому вам нужно вооружить их особыми процедурами подтверждения для всех, кто запрашивает компьютерный доступ или конфиденциальную информацию. Этот способ , служащие могут быть полезными для тех, кто заслуживает помощи, но в то же время защищают информационное имущество и компьютерные системы организации.
Необходимо детально разобрать, какой механизм подтверждения следует использовать в различных случаях. В главе 17 приведен список процедур, есть руководящие принципы для рассмотрения.
Хороший способ удостоверить личность человека, обратившегося с просьбой, позвонить по телефонному номеру, указанному в справочнике компании. Если человек, обратившийся с просьбой, действительно атакующий, проверочный звонок позволит поговорить с настоящим человеком по телефону, пока самозванец не положил трубку, или выйти на голосовую почту служащего, которая позволит сравнить его голос с голосом атакующего.
Если номера служащих используются в вашей компании для проверки подлинности, то они должны тщательно охраняться и не сообщаться чужим людям. То же самое относится ко всем видам внутренних номеров, как телефонные номера, идентификаторы и даже адреса электронной почты.
Корпоративное обучение должно обратить внимание каждого на распространенные случаи принятия неизвестных людей за настоящих служащих на основании того, что они внушительно говорят или хорошо осведомлены. Нет основания полагать, что подлинность не требуется проверять другими способами, только потому что кто?то знает порядки компании или использует внутреннюю терминологию.
Офицеры безопасности и системные администраторы не должны концентрировать свое внимание только на подготовке кого?либо в вопросах безопасности . Они также должны быть уверены, что сами следуют тем же правилам, процедурам и установленным порядкам.
Пароли и т.п., конечно, никогда не должны использоваться совместно, запрет общего использования даже более важен при использовании синхронизирующих жетонов и другими безопасных форм аутентификации. На уровне здравого смысла должно быть ясно, что совместное использование любого из этих элементов нарушает все дело компании, установившей системы . Разделение означает отсутствие ответственности. Если имеет место инцидент с безопасностью или что?то идет не так, вы не сможете определить. кто несет ответственность.
Служащие должны быть знакомы со стратегиями и методами и социальной инженерии, чтобы внимательно анализировать запросы, которые они получают. Рассмотрите использование ролевых игр как часть обучения безопасности, так чтобы служащие могли лучше понять, как работает социальный инженер.
Неполадки в сети
Дата/Время: Понедельник, 12 февраля, 15:25
Место: Офис кораблестроительной фирмы Starboard.
Первый звонок: Том ДиЛэй
«Том ДиЛэй, бухгалтерия».
«Здравствуй, Том, это Эдди Мартин, отдел техпомощи, мы пытаемся найти причины неисправности компьютерной сети. Были ли у кого?либо в вашей группе проблемы с подключением?»
«Нет, я не в курсе».
«А у тебя?»
«Нет, все вроде в порядке».
«Окей, это хорошо. Мы звоним людям, на кого это может повлиять, потому что важно всех проинформировать заранее, если будут внезапные отключения».
«Это звучит нехорошо. Вы думаете, это может случиться?»
«Надеюсь, что нет, но если что случится, позвонишь?»
«Можешь не сомневаться».
«Похоже, отсутствие связи будет для тебя проблемой».
"Бесспорно ".
«Так что пока мы над этим работаем, я дам тебе свой сотовый. Тогда ты сможешь мне все сообщить при первой необходимости».
«Отлично, говори».
«Номер 555 867 5309».
«555 867 5309. Записал. Спасибо. А как тебя зовут?»
"Эдди. И последнее. Мне надо знать, к какому порту подключен твой компьютер. Посмотри, там где?то есть наклейка с надписью «Порт N…»
«Сейчас… Нет, не вижу ничего подобного».
«Ладно, тогда сзади компьютера. Ты узнаешь сетевой провод?»
«Да».
«Тогда посмотри, где он подключен. Там должна быть табличка».
«Подожди секунду. Сейчас. Мне придется туда пролезть, чтобы ее увидеть. Вот. На ней написано Порт 6?47.»
«Отлично, как раз как записано про тебя. Просто проверяю».
Второй звонок: Человек из техобслуживания
Через пару дней поступил звонок в отдел локальной сети.
«Здравствуй, это Боб, я в офисе Тома ДиЛэя из бухгалтерии. Мы пытаемся найти неисправность в кабеле. Надо отключить порт 6?47.»
Человек из техобслуживания сказал, что это будет сделано за несколько минут, и попросил перезвонить, когда потребуется включить порт.
Третий звонок: Помощь от врага.
Примерно через час, человек, представившийся как Эдди Мартин, ходил по магазинам в Circuit City, и вдруг зазвенел телефон. Он посмотрел номер звонящего, узнал, что он из кораблестроительной компании поспешил в спокойное, тихое место, прежде чем ответить.
«Отдел техпомощи, Эдди.»
«О, здравствуй, Эдди. Проблемы со связью. Ты где»?
«Я, э, в кабельной комнате. Кто это»?
«Это Том ДиЛэй. Я рад, что нашел тебя. Может, помнишь, ты мне звонил недавно? Мое соединение не работает, как ты и говорил, и я немножко паникую».
«Да, у нас сейчас отключена куча людей. Но мы все поправим к концу дня. Сойдет»?
«НЕТ! Черт, я серьезно отстану, если я буду отключен столько времени. Никак нельзя побыстрее»?
«Насколько это важно?»
«Пока я могу заняться другими делами. Может, ты все поправишь за полчаса?»
«ПОЛЧАСА? Ну ладно, я брошу то, чем я занимаюсь, и попытаюсь сделать что?нибудь для тебя».
«Я очень благодарен, Эдди!»
Четвертый звонок: Попался!
Через 45 минут…
«Том? Это Эдди. Проверь свое подключение».
Через несколько минут:
«Отлично, оно работает. Великолепно».
«Хорошо, что я смог тебе помочь».
«Да, спасибо большое».
«Слушай, если ты хочешь быть уверен, что твое подключение больше не прервется, надо поставить одну программку».
«Сейчас не лучшее время».
«Я понимаю… Но зато не будет проблем в следующий раз, когда произойдет сбой сети».
«Ну… только если это займет несколько минут».
«Вот что надо сделать…»
Эдди рассказал Тому, как скачать маленькое приложение с одного сайта. После того, как программа скачалась, Эдди сказал запустить ее двойным щелчком мыши. Он попробовал и сказал:
«Не работает. Она ничего не делает».
«Ужас. Наверно, что?то не так с программой. Давай от нее избавимся, и попробуем еще раз в другое время». Он рассказал Тому, как безвозвратно удалить программу.
Затрачено времени: 12 минут.
История атакующего
Бобби Уоллас считал, что это смешно, когда он находил хорошее задание, вроде этого, и его клиент увиливал от неприкрытого, но очевидного вопроса – зачем ему нужна эта информация. В данном случае он мог предположить, что могут быть только две причины. Возможно, они были заинтересованы в покупке кораблестроительной компании Starboard, и хотели узнать, как у них обстоят дела с финансами – особенно все то, что компания может скрывать от потенциального покупателя.Или они были представителями инвесторов, которые думали, что есть что?то подозрительное в том, что делается с деньгами, и хотели узнать, не вмешаны ли их исполнители во что?либо.
А возможно, клиент не хотел говорить Бобби истинную причину потому, что если он узнает, насколько ценна информация, он, скорее всего, попросит больше денег.
Несоответствующий “Caller ID”
Любой кто хоть раз получал звонок на сотовой телефон, наблюдал в действии опцию, называемую “caller ID”(дословно “Идентификатор Вызывающего”) – этот знакомый дисплей, отображающий телефонный номер звонящего. В рабочей обстановке эта функция предлагает возможность рабочему одним взглядом оценить, от знакомого ли сотрудника идет вызов или же откуда?то вне компании.
Много лет назад некие амбициозные телефонные фрикеры обнаружили для себя все прелести caller ID еще даже до того как телефонная компания публично стала предлагать подобный сервис абонентам. Они изрядно повесилились, одурачивая людей ответами по телефону и приветствуя вызывающего по имени, в то время как тот даже не успевал сказать ни слова.
Просто когда вы думаете что подобное безопасно, практика удостоверения личности путем доверия тому что вы видите – то, что появляется на дисплее caller ID – это именно то, на что атакующий может расчитывать.
Звонок Линды
День/время: Вторник, 23 июля, 15:12
Место: “Офисы Финансового Отдела, Авиакомпания Starbeat”
Телефон Линды Хилл зазвонил когда она записывала заметку для босса. Она взглянула на дисплей caller ID, который показывал что звонок исходил из офиса корпорации в Нью Йорке, но от кого?то по имени Виктор Мартин – имя она не узнала.
Она подумала дождаться пока звонок переключится на автоответчик, так что ей не придется отрываться от мысли заметки. Но любопытство взяло верх. Она подняла трубку и звонящий представился и сказал что он из отдела рекламы и работает над некоторым материалом для управляющего компании. “Он на пути к деловой встрече в Бостоне с кем?то из банкиров. Ему требуется первоклассный финансовый отчет на текущий квартал,” сказал он. “И еще одна вещь. Еще ему нужны финансовые прогнозы на проект Апачи,” добавил Виктор, используя кодовое название продукта, который был одним из главных релизов этой весной.
Она попросила его электронный адрес, но он сказал что у него проблема с получением электронной почты и над этим работает служба технической поддержки, поэтому не могла бы она использовать факс взамен? Она сказала что это тоже подойдет, и он дал дополнительный внутренний код для его факс?машины.
Она отослала факс несолькими минутами позже.
Но Виктор не работал в отделе рекламы. К слову сказать, он даже в компании?то не работал.
История Джека
Джек Доукинс начал свою “профессиональную” карьеру в раннем возрасте в качестве карманного вора, промышляя на спортивных играх на стадионе команды Янки в оживленных помещениях под трибунами и среди ночной толпы туристов на Таймс?Скуэйр. Он так проворно и искусно доказывал что мог снять часы с запястья человека, так что тот даже не узнает. Но в его трудные подростковые годы он рос неуклюжим и не был неуловим. В компании Джувенил Холл(дворец молодежи?)) Джек обучился новому ремеслу с куда меньшим риском быть схваченным.
Его текущее назначение взывало его получать информацию о квартальном доходе, издержках и финансовом потоке компании до того как эти данные подавались в Комиссию по Обмену и Ценным Бумагам и обнародовались. Его клиентом был дантист, который не хотел объяснять почему он хотел получить информацию. Предусмотрительность этого человека показалась Джеку смехотворной. Подобное он видел и до этого – у парня наверное была проблема с азартными играми, или может недешево обходящаяся любовница, о которой его жена была еще не в курсе. Или может быть он просто хвастался своей жене насчет того, как он умен на фондовой бирже; теперь же он петерял пару пакетов акций и хотел сделать нехилое вложение в нечто более надежное, зная как именно биржевая стоимость компании будет прогрессировать когда они анонсируют квартальные итоги.
Люди удивляются когда обнаруживают как мало времени требуется социальному инженеру чтобы выяснить как контролировать ситуацию, с которой он прежде никогда не сталкивался. К тому времени как Джек вернулся домой с его встречи с дантистом, у него уже сформировался план. Его друг Чарлз Бэйтс работал в компании Панда Импорт, у которой был свой собственный телефонный коммутатор, или PBX.
В терминах, близких людям, знающим телефонные системы, PBX был подключен к цифровой телефонной службе известной как T1, сконфигурированной как Интерфейс Основного Тарифного плана цифровой сети интегрированных услуг (Primary Rate Interface ISDN(integrated services digital network), PRI ISDN – выделенный канал).
Под этим подразумевается, что каждый раз когда звонок исходил от Панда Импорт, установки и другая информация обработки вызова попадали из канала данных в телефонный коммутатор компании; информация включала в себя номер вызывающей стороны, который(если не заблокирован) передавался в устройство caller ID на конце линии получателя.
Друг Джека знал как запрограммировать коммутатор так, чтобы человек, получающий вызов, видел бы на его caller ID?дисплее не действительный телефонный номер в офисе Панда Импорт, а какой угодно другой номер, который он запрограммировал в коммутатор. Этот трюк работает, поскольку местные телефонные компании не беспокоятся о подтверждении номера вызывающего, полученного от абонента, и сравнении его с действительными телефонными номерами за которые абонент платит.
Все что Джеку Доукинсу было нужно – это доступ к любому такому телефонному сервису. К счастью, его друг и временами партнер по преступлениям, Чарльз Бэйтс, всегда был рад протянуть руку помощи за соответствующее вознагрждение. В данном случае, Джек и Чарльз временно перепрограммировали телефонный коммутатор так, что звонки с конкретной телефонной линии, проходящей в зданиях Панда Импорт, подменяли бы внутренний телефонный номер Виктора Мартина, делая похожим что вызов идет из авиакомпании Starbeat.
Идея того, что ваш caller ID может быть изменен для отображения любого желаемого вами номера, так малоизвестна, что редко ставится под вопрос. В данном случае, Линда была счастлива отправить факсом запрошенную информацию парню, который, как она думала, был из рекламного отдела.
Когда Джек повесил трубку, Чарльз перепрограммировал телефонный коммутатор компании, вернув телефонный номер к исходным установкам.
Анализ обмана
Некоторые компании не хотят чтобы их клиенты или поставщики знали телефонные номера их сотрудников. Например, в компании Ford могут решить, что звонки из их Центра Службы Поддержки Потребителей должны отображать номер 800 для Центра и имя вроде “Поддержка Ford” вместо реального прямого телефонного номера каждого представителя слубы поддержки, осуществляющего звонок.Microsoft может захотеть дать своим сотрудникам возможность говорить людям свой телефонный номер вместо того, чтобы каждый, кому они звонят, кидал взгляд на их caller ID и знал их дополнительный код. Таким способом компания способна поддерживать конфиденциальность внутренних номеров.
Но эта же самая возможность перепрограммирования предоставляет удобную тактику для хулигана, коллекционера счетов, телемаркетолога, и, конечно же, социального инженера.
Невидимый сотрудник
Ширли Кутласс нашла новый и захватывающий путь сделать быстрые деньги. Больше не надо долгими часами вкалывать на соляной шахте. Она присоединилась к сотням других артистов?мошеннков, вовлеченных в преступление десятилетия. Она вор личности.
Сегодня она устремила свои взгляды на получение конфиденциальной информации от службы поддержки потребителей компании, занимающейся кредитными картами. После проделывания обычного рода домашней работы, она звонит компании?цели и говорит оператору коммутационной панели, который отвечает, чтобы ее переключили на отдел Телекоммуникаций. Добравшись до отдела Телекоммуникаций, она просит администратора голосовой почты.
Используя информацию, собранную в процессе ее исследований, она объясняет что ее зовут Норма Тодд, она из офиса в Кливленде. Пользуясь уловкой, которая к данному моменту уже должна быть вам знакома, она говорит что она собирается в штабквартиру корпорации на неделю, и что ей потребуется там ящик голосовой почты, так что ей не надо будет делать междугородние звонки для проверки сообщений ее голосовой почты. Нет нужды в физическом телефонном соединении, говорит она, просто ящик для голосовой почты. Он говорит, что позаботится об этом, перезвонит ей когда все будет готово чтобы передать требуемую информацию.
Соблазнительным голосом она говорит “Я на пути к собранию, могу я перезвонить через час? ”
Когда она перезванивает, он говорит что все готово и передает ей информацию – ее номер расширения и временный пароль. Он спрашивает, занает ли она как сменить паоль к голосовой почте, и она позволяет провести себя по шагам, хотя и знает их, по крайней мере, настолько же хорошо как и он.
“А кстати,” спрашивает она, “какой номер мне надо набрать чтобы проверить свои сообщения из отеля?” Он дает ей номер.
Ширли звонит, меняет пароль, и записывает свое новое исходящее приветствие.
Ширли атакует
До этих пор все это было легким маневром. Теперь же она готова использовать искусство обмана.
Она звонит в службу поддержки потребителей компании.
“ Я из отдела Финансовых Сборов, в Кливлендском офисе,” говорит она, а потом пускается в уже знакомое оправдание. “Мой компьютер в ремонте, и мне нужна ваша помощь в поиске этой информации.” И она продолжает, предоставляя имя и день рождения человека, чью личность она намеревается украсть. Далее она перечисляет нужную ей для получения информацию: адрес, девичье имя матери, номер карты, кредитный лимит, доступный кредит, и историю оплаты. “Перезвоните мне на этот номер”, говорит она, предоставляя внутренний номер расширения, который администратор голосовой почты установил для нее. “И если меня не будет, просто оставьте информацию на мою голосовую почту.”
Она остается занятой поручениями на остаток утра, а потом проверяет голосовую почту в полдень. Оно все там, все что она просила. Перед тем как отсоединиться, Ширли стирает исходящее сообщение; было бы небрежным оставить запись ее голоса на том конце.
Воровство личности, самое быстро растущее преступление в Америке, “входящее” преступление нового века, почти обзавелось еще одной жертвой. Ширли использует кредитную карту и инфомацию о личнсти которую она только что получила, и начинает накручивать расходы на карту жертвы.
Анализ обмана
В этой уловке атакующая сначала одурачила администратора голосовой почты компании, заставляя поверить что она сотрудник компании, так что он установил временный ящик для голосовой почты. Если бы он вообще побеспокоился проверить, он бы обнаружил что имя и номер телефона которые она дала совпадают со списком в базе данных корпорации.
Остальное было просто делом предъявления разумного оправдания о компьютерной проблеме, требованием нужной информации, и запросом оставить ответ на голосовой почте. Да и зачем бы это любому сотруднику сопротивляться, не делясь информацией с коллегой? Так как телефонный номер, который Ширли предоставила, был сугубо внутренним расширением, то не было и причины для любого подозрения.
Сообщение от Митника
Попробуйте изредка названивать на вашу собственную голосовую почту; если вы услышите исходящее сообщение и оно не ваше, может вы только что наткнулись на вашего первого социального инженера.
Об этой книге
Корпоративная безопасность – это вопрос баланса. Слишком низкая безопасность делает вашу компанию уязвимой, но излишний упор на безопасность приводит замедлению роста и процветания компании. Задача состоит в нахождении баланса между защищённостью и эффективностью.
Другие книги по корпоративной безопасности фокусируются на технологиях аппаратного и программного обеспечения и, соответственно, недостаточно широко охватывают главную угрозу безопасности: обман человека. Цель этой книги, по сравнению с ними, заключается в том, чтобы помочь вам понять как вами, вашими сослуживцами и другими людьми из вашей компании могут манипулировать, и избежать риска стать жертвой. В основном книга концентрируется на нетехнических методах, которые враждебные налётчики используют для воровства информации, компрометации целостности информации, которая на первый взгляд безопасна, но на самом деле таковой не является, или уничтожения рабочего продукта компании.
Моя задача гораздо сложнее. Это сразу понятно из следующего: каждый читатель будет подвержен манипулированию со стороны величайших экспертов всех времён в социальной инженерии – их родителям. Они найдут любые способы заставить вас сделать «для вашего же блага» то, что они сами считают лучшим. Родители становятся столь убедительными так же, как социальные инженеры умело выдумывают вероятные истории, причины и суждения для достижений своих целей. Да, каждого из нас наши родители обводили вокруг пальца: доброжелательные (и иногда не столь доброжелательные) социальные инженеры.
Выросшие в этих условиях, мы становимся уязвимыми к манипулированию. Нам жилось бы очень тяжело, если бы мы всё время стояли начеку, были недоверчивыми к другим, уверенными, что кто?нибудь может нас обмануть, чтобы нас провести. В идеальном мире мы бы слепо верили друг другу, верили, что люди, с которыми мы сталкиваемся, собираются быть честными и правдивыми. Но мы живём не в идеальном мире, и поэтому мы должны быть бдительны, чтобы отразить попытки противников ввести нас в заблуждение.
Основные части это книги, – части 2 и 3, – составлены из вымышленных историй, которые покажут вам социальных инженеров в действии. В этих разделах вы прочитаете о следующем:
Что телефонные фрикеры обнаружили несколько лет назад – гибкий метод получения неизвестных телефонных номеров у телефонной компании.
О нескольких различных методах, используемых нападающими, и не вызывающих тревоги даже у подозрительных служащих во время выдачи их компьютерных имён и паролей.
Как менеджер операционного центра сотрудничал с налётчиком, позволив ему украсть самую секретную информацию о продукте компании.
Методах налётчика, который обманул даму, заставив ее скачать и установить программное обеспечение, которое шпионит за набираемыми клавишами и отсылает ему по е?мейлу различные детали.
Как частные сыщики получают информацию о вашей компании и вашу персональную информацию. Это, я могу гарантировать, вызовет у вас мурашки на спине.
Возможно, вы подумаете, читая некоторые из историй во второй и третьей частях, что они нереальны, но ещё никто не смог преуспеть в противодействии лжи, грязным уловкам и схемам, описанным на этих страницах. Действительность состоит в том, что в каждом случае эти истории изображают события, которые могут и на самом деле происходят; многие из них каждый день происходят где?нибудь на планете, возможно даже с вашим собственным бизнесом, пока вы читаете эту книгу.
Материал в этой книге будет действительно разоблачительным, когда он станет защищать ваш бизнес, но также защитит вас лично от попыток социального инженера нарушить целостность информации в вашей частной жизни.
В четвёртой части книги я сменил тему. Здесь моя цель помочь вам разработать необходимые бизнес?правила и тренинги, чтобы минимизировать риски ваших работников быть обманутыми социальным инженером. Понимание стратегии, методов и тактики социального инженера поможет вам подготовиться к применению разумных средств управления для охраны ваших ИТ активов без подрыва эффективности вашей компании.
Короче говоря, я написал эту книгу, чтобы повысить вашу осведомлённость о серьёзности угроз, исходящих от социальной инженерии, и помочь вам стать уверенней, что ваша компания и работники в меньшей степени будут подвержены угрозе с этой стороны.
Или, возможно, я должен сказать, гораздо меньше будут подвержены снова .
Обеспечение безопасности с помощью технологии, тренировки и процедуры
Компании, которые проводят тесты на возможность проникновения, сообщают, что их попытки проникнуть в компьютерную систему компании с помощью методов социнженерии практически в 100% случаев удаются. Технологии безопасности могут усложнить этот тип атак путем исключения людей из процесса принятия решений. Тем не менее истинно эффективный путь ослабить угрозу социальной инженерии можно через использование технологий безопасности, комбинированных с политикой безопасности, которая устанавливает правила поведения служащих, а также включающих обучение и тренировку сотрудников.
Единственный путь сохранить разработки Вашего продукта нетронутыми – иметь тренированную, знающую и добросовестную рабочую команду. Это подразумевает тренировку с использованием политик и процедур, но, вероятно, более важным является переход к программе распределенной осведомленности. Некоторые компании, занимающиеся вопросами безопасности, рекомендуют тратить на тренировку таких программ до 40% бюджета компании.
Первый шаг – приучить каждого на предприятии к мысли, что существуют бессовестные люди, которые могут с помощью обмана и психологии манипулировать ими. Служащие должны знать, какая информация нуждается в защите, и как эту защиту осуществлять. Однажды хорошо прочувствовав и поняв, как можно поддаться чужим манипуляциям, они будут находиться в намного более выгодной позиции, чтобы распознать атаку.
Осведомление о безопасности включает также обучение каждого работающего в компании политикам и процедурам. Как обсуждается в главе 17, политики – это необходимые и обязательные правила, которые описывают поведение сотрудников для защиты корпоративной информационной системы и особо ценной информации.
Эта и следующая главы показывают безопасный шаблон (blueprint – синька, светокопия), который обезопасит Вас от атак, которые дорого могут Вам обойтись. Если Вы не тренируете персонал, следующий процедурам обработки информации (well– thought –out procedures), это до того момента, пока Вы не потеряете информацию благодаря социальному инженеру. Не тратьте время, ожидая атак, которые могут случиться, пока решаете, разрабатывать или не разрабатывать политики безопасности: они могут разорить Ваш бизнес и разрушить благополучие Ваших рабочих.
Один простой звонок
Один из главных барьеров для атакующего – заставить звучать свой запрос обоснованно и типично, чтобы сильно не выделяться в течение рабочего дня жертвы. Как и с другими вещами в нашей жизни, составление правильного запроса может быть соревнованием сегодня, а завтра куском торта.
Телефонный звонок Мэри Х'з
Дата / Время: понедельник, 23 ноября,7.49 утра
Место: Мауэрсбай и Сторч бухгалтерия, Нью?Йорк
Для большинства людей бухгалтерия?это процесс подсчета денег, который так же приятен, как и root аккаунт. К счастью, не все рассматривают работу с этих позиций. Мэри Харрис, например, находит свою работу захватывающей, и это?часть причины, почему она считается одной из лучших служащих в своей фирме.
В этот обычный понедельник, Мэри приехала на работу в ожидании длинного рабочего дня и была очень удивлена телефонным звонком. Она подняла трубку и представилась.
«Привет, это Питер Шеппард. Я из Arbuclde Support,компании, которая занимается технической поддержкой вашей фирмы. Мы получили несколько жалоб за выходные от людей, у которых были проблемы с компьютерами. Я подумал, что мне следует узнать все ли в порядке, перед тем, как все выйдут на работу. У вас не было проблем с компьютером или с подключением к сети?»
Она ответила, что еще не знает. Она включила компьютер, и пока он загружался, он объяснил, что от нее требуется.
«Нужно, чтобы мы сделали парочку тестов. Я могу видеть на своем мониторе то, что вы печатаете, и мне нужно проверить, не нарушается ли это во время работы сети. Так что каждый раз, когда вы печатаете строку, говорите мне, что это, чтобы я мог сравнить. Хорошо?»
С ночными кошмарами о сломанном компьютере и потерянном впустую дне, она была более чем счастлива от предложения помощи. После нескольких моментов она сказала ему: «Передо мной экран идентификации, и я собираюсь ввести свой логин. Я печатаю его сейчас М Э Р И Д»
"Отлично, "ответил он. "Я все вижу. Далее, напечатайте свой пароль, но не говорите мне его. Вы никогда не должны говорить кому?либо свой пароль, даже тех.
службе. Я лишь увижу звездочки у себя – ваш пароль защищен, так что я не могу увидеть его. "Ничего из вышесказанного не было правдой, но это повлияло на Мэри. И затем он сказал: «Скажите мне, когда ваш компьютер включится».
Когда она сказала об этом, он попросил ее запустить два приложения, и она ответила, что они работают нормально.
Для Мэри было большим облегчением, что компьютер работает нормально. Питер сказал: «Я рад, что смог убедиться в работоспособности вашего компьютера. Послушайте», – он продолжил", мы только что установили обновление, которое позволит людям менять их пароли. Не могли бы вы потратить еще парочку минут и проверить, правильно ли оно работает?"
Она была благодарна за помощь и потому с радостью согласилась. Питер помог ей запустить приложения, позволяющие поменять пароль, стандартные элементы ОС Windows 2000."Давайте дальше и введите свой пароль" – сказал он ей. «Но не произносите его вслух».
Когда она сказала, что выполнила задачу, Питер ответил, "Для быстрой проверки, когда у вас запросят пароль, напишите «test123».Затем подтвердите его и нажмите enter "
Он провел ее через процесс отсоединения от сервера. Он попросил ее подождать пару минут, затем присоединиться вновь, пытаясь в это время использовать ее новый пароль. Это работало, как по мановению волшебной палочки, Питер казался очень услужливым, и посоветовал ей сменить пароль на свой прежний или выбрать более безопасный пароль и так же не произносить его вслух.
«Отлично Мэри», – сказал Питер. "Мы не обнаружили никаких сбоев, и это здорово. Послушайте, если какие?то проблемы все же возникнут, просто позвоните на Arbucle. Обычно я принимаю участие в особых проектах, но кто?нибудь обязательно поможет вам. " Она поблагодарила его и они попрощались.
История Питера
Вокруг Питера ходили определенные слухи – когда он еще учился в школе, его товарищи знали, что он был кем?то вроде компьютерного мага, который мог достать любую информацию.
Когда Элис Конрад обратилась к нему за помощью, сначала он отказался. С какой это стати он должен ей помогать? Когда он ухаживал за ней и пригласил на свидание, она ответила ему довольно прохладно.
Но его отказ помочь не удивил ее очень сильно. Она говорила, что отсутствует гарантия, что он выполнит ее просьбу, но это было как приключение. И вот как он все?таки согласился.
Элис заключила контакт с маркетинговой фирмой на должность консультанта, но положения контракта ее не устраивали. Перед тем, как изменить свой договор, ей хотелось узнать, на каких условиях работают другие консультанты.
Вот то, как Питер рассказывает эту историю.
Я не сказал Элис, что был знаком с людьми, которые не ожидали, что я могу провернуть некоторые делишки, а для меня это было сущим пустяком. Конечно, не совсем пустяком, но достаточно просто. Ее дело тоже было не слишком трудным.
Где?то после 7. 30 утра в понедельник, я позвонил в маркетинговую компанию и разговаривал с регистратором, сказав, что я работаю в компании, занимающейся планированием их пособий и мне нужно связаться с кем?нибудь из бухгалтерии. Не знает ли она, кто?нибудь уже пришел? Она ответила, «Мне кажется, я видела Мэри. Я отправлю вас к ней».
Когда Мэри подняла трубку, я рассказал ей мою маленькую историю про компьютер, которая позволила расположить ее ко мне. Пока я объяснял, как сменить пароль, я быстро залогинился под этим временным паролем в системе.
Затем, я установил небольшую программу, дающую доступ к их компьютерной системе в любое время. После того, как я попрощался с Мэри, моим первым действием было замести следы, так что никто не мог узнать о моем пребывании в системе. Это было просто. После повышения моих привилегий, я мог скачать простую программку для очистки логов с сайта www.ntsecurity.nu
Затем пришло время для настоящей работы. Я запустил поиск любых документов по ключевому слову «контракт» и скачал эти файлы. Затем я поискал еще немного и зашел в основную директорию, где хранились все финансовые отчеты.
Так что я сложил вместе файлы контактов и списки платежей.
Элис могла изучить контакты и увидеть, сколько они платят другим консультантам. Разбирать все эти файлы – это ее работа. Свою задачу я выполнил.
Я распечатал некоторые файлы, которые скопировал себе на диск, чтобы она поверила. Я попросил ее встретить меня и купить обед. Вы бы видели ее лицо, когда она увидела кипу бумаг. «Не может быть,» – сказала она, «не может быть».
Я не принес диски с собой. Они были для нее приманкой. Я сказал, что ей придется зайти ко мне, чтобы забрать их. Разумеется, я надеялся, что она выскажет свою признательность за оказанную мной услугу.
Сообщение от Митника
Это удивительно, как многого может добиться социальный инженер, правильно составляя свой запрос. Основная предпосылка?привлечение человека автоматически к ответу, базируясь на психологических принципах, и способность положиться на ментальные особенности человека, принимающего звонящего за своего союзника.
Анализ обмана
Звонок Питера в маркетинговую компанию представляет собой наиболее основную форму социальной инженерии – простой запрос, который требует небольшой подготовки, базирующийся на первом подходе и занимающий пару минут.
Так что у Мэри не было основания предполагать, что ее обманули.
Это дело прошло успешно благодаря трем тактикам. Первое, он сыграл на чувству страха Мэри – заставил ее подумать, что компьютер может сломаться. Затем он дал ей время запустить пару приложений, так что она могла убедиться, что все работает нормально. Затем, он сыграл на ее чувстве благодарности за помощь в проверке компьютера.
Не позволяя ей произнести новый пароль вслух, даже ему, Питер укрепил ее во мнении, что безопасность компьютерной системы фирмы играет для него большую роль. Это укрепило ее уверенность, что он – законный работник, так как защищает ее и компанию.
