Чтение онлайн

на главную

Жанры

Искусство обмана
Шрифт:

Сообщение от Митника

Эта история показывает, что синхронизируемые жетоны и простые формы аутентификации не может быть защитой против коварного социального инженера.

Может что-то подобное случиться в вашей компании? Случилось ли уже?

Предотвращение обмана

Может показаться, что один элемент часто упоминается в этих историях — атакующий приспосабливается звонить в компьютерную сеть компании снаружи, минуя служащего, который помогал бы ему, удостоверившись в том, что звонящий действительно является работником, и у него есть право доступа. Почему я так часто возвращаюсь к этой теме? Потому что это правда один из факторов

многих атак социальной инженерии. Для социального инженера это самый легкий путь к достижению цели. Почему атакующий должен тратить часы на вторжение, когда он может сделать это с помощью обычного телефонного звонка?

Один из самых мощных методов провести атаку —это обычная уловка с просьбой о помощи, подход, часто используемый атакующими. Вы не хотите, чтобы ваши служащие перестали быть полезными для коллег и клиентов, поэтому вам нужно вооружить их особыми процедурами подтверждения для всех, кто запрашивает компьютерный доступ или конфиденциальную информацию. Этот способ , служащие могут быть полезными для тех, кто заслуживает помощи, но в то же время защищают информационное имущество и компьютерные системы организации.

Необходимо детально разобрать, какой механизм подтверждения следует использовать в различных случаях. В главе 17 приведен список процедур, есть руководящие принципы для рассмотрения.

Хороший способ удостоверить личность человека, обратившегося с просьбой, позвонить по телефонному номеру, указанному в справочнике компании. Если человек, обратившийся с просьбой, действительно атакующий, проверочный звонок позволит поговорить с настоящим человеком по телефону, пока самозванец не положил трубку, или выйти на голосовую почту служащего, которая позволит сравнить его голос с голосом атакующего.

Если номера служащих используются в вашей компании для проверки подлинности, то они должны тщательно охраняться и не сообщаться чужим людям. То же самое относится ко всем видам внутренних номеров, как телефонные номера, идентификаторы и даже адреса электронной почты.

Корпоративное обучение должно обратить внимание каждого на распространенные случаи принятия неизвестных людей за настоящих служащих на основании того, что они внушительно говорят или хорошо осведомлены. Нет основания полагать, что подлинность не требуется проверять другими способами, только потому что кто-то знает порядки компании или использует внутреннюю терминологию.

Офицеры безопасности и системные администраторы не должны концентрировать свое внимание только на подготовке кого-либо в вопросах безопасности . Они также должны быть уверены, что сами следуют тем же правилам, процедурам и установленным порядкам.

Пароли и т.п., конечно, никогда не должны использоваться совместно, запрет общего использования даже более важен при использовании синхронизирующих жетонов и другими безопасных форм аутентификации. На уровне здравого смысла должно быть ясно, что совместное использование любого из этих элементов нарушает все дело компании, установившей системы . Разделение означает отсутствие ответственности. Если имеет место инцидент с безопасностью или что-то идет не так, вы не сможете определить. кто несет ответственность.

Служащие должны быть знакомы со стратегиями и методами и социальной инженерии, чтобы внимательно анализировать запросы, которые они получают. Рассмотрите использование ролевых игр как часть обучения безопасности, так чтобы служащие могли лучше понять, как работает социальный инженер.

Глава 7: Фальшивые сайты и опасные приложения

Перевод: ext3 (www.hackzona.ru ) cha0s@ua.fm

Говорят,

что вы никогда не получите ничего просто так.

По-прежнему, предложение чего-либо бесплатного является хорошей уловкой для получения больших доходов в законном ("Но подождите, это еще не всё! Позвоните прямо сейчас и вы получите дополнительно набор ножей! ") и не совсем законном («Купите один акр заболоченных земель во Флориде и второй вы получите бесплатно!») бизнесе.

И большинство из нас так горит желанием получить это что-то, что многих может сбить с толку, заставить не анализировать это предложение или данное обещание.

Мы знаем привычное предупреждение, «предостережение покупателя», но пришло время обратить внимание на другое предупреждение: Остерегайтесь приложений во входящей почте и свободного программного обеспечения. Сообразительный взломщик использует любое доступное средство, чтобы вломиться в корпоративную сеть, включая обращение к нашему естественному желанию получить бесплатный подарок. Вот вам несколько примеров.

«Не желаете ли вы бесплатно …?»

Также как и вирусы стали бедствием для человечества и врачей с начала времен, так и подходяще названный компьютерный вирус представляет собой ту же угрозу для пользователей современных технологий.

Компьютерные вирусы, которые привлекают к себе внимание и прекращаются, как только становятся в центре внимания, не случайно наносят большой урон. Они являются продуктом компьютерных вандалов.

Люди, очень интересующиеся компьютерами, становятся злобными компьютерными вандалами, прилагающими все усилия, чтобы показать, насколько они умны. Иногда их действия похожи на обряд инициации, предназначенный для того, чтобы произвести впечатление на старших и более опытных хакеров. Главной мотивацией этих людей в написании червей или вирусов является преднамеренное нанесение ущерба. Если их деятельность уничтожает файлы, разрушает полностью жесткие диски, и самостоятельно рассылается тысячам ничего не подозревающих людей, то вандалы раздуваются от гордости за свое достижение. Если вирус вызывает достаточный хаос, чтобы о нем написали в газетах и предупреждения были даже в сети — это еще лучше.

Много написано о вандалах и их вирусах; книги, программное обеспечение и целые компании были созданы, чтобы обеспечить защиту, но мы не будем пытаться выдвигать аргументы против их атак. В данный момент, разрушительные действия вандалов интересуют нас меньше, чем запланированные действия его дальнего родственника — социального инженера.

Это пришло в письме

Скорей всего, вы каждый день получаете нежданные письма, которые содержат в себе рекламные объявления или предложения чего-либо, в чем вы не только не нуждаетесь, но и не хотите. Думаю, вы знакомы с этим. Они обещают советы по размещению капитала, скидки на компьютеры, телевидение, камеры, витамины или путешествия, предлагают кредитные карты, которые вам не нужны, устройство, которое позволит вам бесплатно смотреть платные каналы, пути улучшения вашего здоровья или сексуальной жизни и так далее, и так далее. Но всегда в вашем электронном ящике найдется сообщение, которое заинтересует вас. Может быть, это бесплатная игра или предложение посмотреть фотографии вашего кумира, бесплатный список программ или недорогая условно-бесплатная программа, которая защитит ваш компьютер от вирусов. Что бы ни предлагалось, вам придется скачать файл с товарами, которые это сообщение убеждает вас попробовать.

Поделиться:
Популярные книги

Кодекс Крови. Книга Х

Борзых М.
10. РОС: Кодекс Крови
Фантастика:
фэнтези
юмористическое фэнтези
попаданцы
аниме
5.00
рейтинг книги
Кодекс Крови. Книга Х

Легат

Прокофьев Роман Юрьевич
6. Стеллар
Фантастика:
боевая фантастика
рпг
6.73
рейтинг книги
Легат

Защитник. Второй пояс

Игнатов Михаил Павлович
10. Путь
Фантастика:
фэнтези
5.25
рейтинг книги
Защитник. Второй пояс

Счастье быть нужным

Арниева Юлия
Любовные романы:
любовно-фантастические романы
5.25
рейтинг книги
Счастье быть нужным

Огненный князь 3

Машуков Тимур
3. Багряный восход
Фантастика:
фэнтези
боевая фантастика
попаданцы
5.00
рейтинг книги
Огненный князь 3

Гром над Академией Часть 3

Машуков Тимур
4. Гром над миром
Фантастика:
фэнтези
5.25
рейтинг книги
Гром над Академией Часть 3

Не грози Дубровскому! Том III

Панарин Антон
3. РОС: Не грози Дубровскому!
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Не грози Дубровскому! Том III

Не отпускаю

Шагаева Наталья
Любовные романы:
современные любовные романы
эро литература
8.44
рейтинг книги
Не отпускаю

Флеш Рояль

Тоцка Тала
Детективы:
триллеры
7.11
рейтинг книги
Флеш Рояль

Приручитель женщин-монстров. Том 4

Дорничев Дмитрий
4. Покемоны? Какие покемоны?
Фантастика:
юмористическое фэнтези
аниме
5.00
рейтинг книги
Приручитель женщин-монстров. Том 4

Кодекс Охотника. Книга XVIII

Винокуров Юрий
18. Кодекс Охотника
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Кодекс Охотника. Книга XVIII

Польская партия

Ланцов Михаил Алексеевич
3. Фрунзе
Фантастика:
попаданцы
альтернативная история
5.25
рейтинг книги
Польская партия

Курсант: Назад в СССР 7

Дамиров Рафаэль
7. Курсант
Фантастика:
попаданцы
альтернативная история
5.00
рейтинг книги
Курсант: Назад в СССР 7

Белые погоны

Лисина Александра
3. Гибрид
Фантастика:
фэнтези
попаданцы
технофэнтези
аниме
5.00
рейтинг книги
Белые погоны