Искусство обмана
Шрифт:
Как заметил консультант по безопасности Брюс Шнайер: «Безопасность — это не продукт, это процесс». Кроме того, безопасность — это не технологическая проблема, это проблема людей и управления.
Пока разработчики непрерывно изобретают всё лучшие и лучшие технологии защиты, делая всё более трудным возможность использовать технические уязвимости, атакующие всё чаще используют человеческий фактор. Зачастую очень просто взломать человеческий файрволл, все затраты не превышают стоимости одного телефонного звонка и атакующий подвержен минимальному риску.
Классический случай обмана
Какая
Далее рассмотрим пример социальной инженерии. Немногие люди сегодня всё ещё помнят молодого человека по имени Стенли Марк Рифкин и его маленькое приключение с ныне уже несуществующим Тихоокеанским Национальным Банком в Лос-Анджелесе. Подробности его авантюры противоречивы и Рифкин (как и я) никогда не рассказывал свою историю, поэтому следующее основано только на печатных источниках.
Взлом кода
Однажды в 1978 году Рифкин заглянул в помещение банка для телеграфных переводов с табличкой «только для авторизованного персонала», в котором служащие каждый день получали и отправляли трансферты в несколько миллиардов долларов.
Он работал с этой компанией по контракту и занимался разработкой системы для резервного копирования данных из этого помещения на случай, если когда-нибудь произойдёт сбой их главного компьютера. Эта роль давала ему доступ к процедурам передачи трансфертов, включая возможность наблюдать, что делали служащие банка для совершения операций. Он узнал, что служащие банка, уполномоченные на передачу трансфертов, каждое утро получали тщательно охраняемый код, используемый при осуществлении запросов.
В телеграфном помещении работали некоторые служащие, которые не утруждали себя попытками запомнить новый код, изменявшийся каждый день. Они записывали код на кусочек бумаги и клали его куда-нибудь в поле зрения. В этот особенный ноябрьский день Рифкин зашёл в это помещение со специальным визитом. Он хотел взглянуть на этот кусочек бумаги.
Зайдя в комнату, он немного повозился со своей работой, удостоверившись, что система резервного копирования правильно работает с основной системой. Тем временем он незаметно прочитал и запомнил код на прилепленном кусочке бумаги. Несколько минут спустя он вышел. Как он позже рассказывал, он чувствовал себя, словно выиграл лотерею.
Счёт в швейцарском банке…
Покинув комнату около 3-х часов по полудню, он направился прямиком к платному таксофону в мраморном холле здания, в который опустил монету и набрал номер помещения для трансфертов. Затем он сменил шляпу, трансформируясь из Стенли Рифкина, банковского консультанта, в Майкла Хансена, служащего Международного Отдела банка.
Согласно одному из источников, разговор происходил следующим образом:
«Привет, это Майк Хансен из международного», сказал он молодой женщине, которая подняла трубку.
Она запросила офисный номер. Эта была стандартная процедура, и он был к ней готов: «286» ответил он.
Девушка ответила: «ОК, ваш код?»
Рифкин говорил, что в
Затем девушка ответила: «ОК, готово. Сейчас мне нужен внутриофисный номер».
Сердце Рифкина ёкнуло, это был вопрос, которого он не ожидал, кое—что ускользнуло из его внимания во время подготовки. Но он решил оставаться в роли, действуя как будто всё было нормально, и спокойно ответил без всякого замешательства: «Дай проверить, я перезвоню тебе позже». Он опять сменил шляпу и позвонил в другое отделение банка, в этот раз, представляясь работником из помещения для трансфертов. Он получил нужный номер и опять позвонил девушке.
Она приняла номер и сказала «Спасибо» (При тех обстоятельствах её благодарность, должно быть, выглядела ироничной.)
Заслуживая скрытность
Несколькими днями позже Рифкин прилетел в Швейцарию, забрал свои деньги и обменял в российском агентстве более $8 миллионов на горстку алмазов. Затем он улетел обратно, прошёл через таможню США, спрятав алмазы в поясе для денег. Он осуществил крупнейший грабёж банка в истории и сделал это без всякого оружия, даже без компьютера. Странно, но в конечном счете, запись о нём попала в Книгу мировых рекордов Гиннеса под категорией «крупнейшее компьютерное мошенничество».
Стенли Рифкин использовал искусство обмана — навыки и технику, которая сегодня зовётся социальной инженерией. Скрупулёзный план и хорошо подвешенный язык — всё, что для этого нужно.
И это то, о чём эта книга — о технике социальной инженерии (в которой ваш покорный слуга — профессионал) и о том, как защититься от её использования против вашей компании.
Характер угрозы
История Рифкина прекрасно описывает, насколько мы можем заблуждаться в своём ощущении безопасности. Инциденты вроде этого — хорошо, может быть стоимостью не в $10 миллионов, но, тем не менее, болезненные инциденты — случаются каждый день . Возможно, прямо сейчас вы тоже теряете свои деньги или кто-то сейчас ворует планы касательно новой продукции, и вы об этом даже не подозреваете. Если это ещё не случилось с вашей компанией, под вопросом остается только: не случится ли это вообще, а когда именно .
Растущее беспокойство
В своём обзоре по компьютерным преступлениям за 2001 год Институт Компьютерной Безопасности сообщил, что 85% опрашиваемых организаций сталкивались с нарушениями компьютерной безопасности за последние 12 месяцев. Это поразительные данные: только 15 организаций из 100 смогли ответить, что у них не было нарушений безопасности в течение года. Столь же поразительным было число организаций, которые ответили, что имели финансовые потери из-за компьютерных нарушений: 64%. Более половины организаций понесли финансовые потери. И всего за один год .