Искусство вторжения
Шрифт:
• «Это же выходные в честь моего дня рождения, и я могу играть в свои игры». (Еще одна попытка добиться симпатии).
А вот, как ее действия продолжались в аэропорту, к чему мы были готовы.
• «Мне будет скучно в аэропорту». (Ошибочно надеясь на то, что детская скука — это такая страшная вещь, которой взрослые будут стремиться избежать любой ценой. Если Брианне станет совсем уж скучно, она может порисовать или почитать книгу).
• «Это будет трехчасовой полет, и мне будет совсем нечего делать!» (Остается надежда, что и в этом случае она может открыть книгу, которая специально была взята с собой).
•
• «Могу я по крайне мере воспользоваться Интернетом?» (Должна же быть в ваших сердцах хоть капля жалости?)
• «Ты самая лучшая мама в мире!» (Вот они, комплименты и лесть для достижения своей цели),
• «Это не честно!!!» (Последняя отчаянная попытка).
Если вы хотите усовершенствовать познания в том, как социальные инженеры манипулируют своими мишенями, и как они переводят людей из состояния размышления в чисто эмоциональное состояние …прислушайтесь к своим детям.
ПОСЛЕСЛОВИЕ
В нашей первой совместной книге Билл Саймон и я выделили уязвимость по отношению к социальной инженерии, как «самое слабое звено информационной безопасности».
Что же мы видим через три года? Мы видим, что компания за компанией развертывают у себя технологии безопасности для защиты своих компьютерных ресурсов от технологического вторжения хакеров или индустриальных шпионов и пользуются услугами серьезных охранных фирм для защиты территорий от несанкционированного вторжения.
Но мы видим при этом, какое малое внимание уделяется тому, чтобы противостоять угрозам со стороны социальных инженеров. Очень важно информировать сотрудников об этих угрозах и обучать их тому, как противостоять им и не давать себя использовать в качестве пособника атакующих. Не так-то просто противостоять угрозе вторжения со стороны человека. Защита компании от вторжения хакеров, использующих методы социальной инженерии, должна входить в обязанности всех, и каждого сотрудника в отдельности, — даже тех, кто не пользуется компьютерами по роду своей работы. Уязвимы топ-менеджеры, охранники, девушки в приемной, телефонисты, уборщики, работники гаража, а особенно— недавно принятые на работу сотрудники — все они могут подвергнуться атаке социальных инженеров, в качестве одной из ступенек на пути к конечной цели.
В течение многих лет человеческий фактор был и остается самым слабым звеном в структуре информационной безопасности. Вот вопрос на миллион долларов: хотите ли именно вы быть тем самым слабым звеном, которое использует социальный инженер для проникновения в вашу компанию?
Глава 11.
Короткие истории
Я не являюсь ни криптографом, ни математиком. Я просто знаю, какие ошибки обычно делают люди в программных приложениях, и они делают их снова и снова.
Некоторые истории, собранные нами в процессе написания этой книги, не укладывались в формат предыдущих глав, но были слишком интересны, чтобы забыть о них. Не все они посвящены
Мы наслаждались ими и надеемся, что и вам они доставят удовольствие
НЕТ ЧЕЛОВЕКА — НЕТ ЗАРПЛАТЫ
Джим был сержантом армии США и работал в компьютерной группе в форте Льюис в штате Вашингтон под руководством старшего сержанта, которого Джим называет «самым ненормальным человеком в мире», принадлежащего к категории людей, которые «используют свой чин для того, чтобы сделать жизнь более низких чинов невыносимой». Чаша терпения Джима и его приятелей в конце концов переполнилась, и они решили найти способ наказать грубияна за то, что он сделал их жизнь просто отвратительной.
Их группа работала с личной информацией и паролями. Для верности каждый текст набирался двумя солдатами, и, после сравнения, информация отправлялась в личное дело человека.
Идея мести, которую придумали ребята, была достаточно проста, говорит Джим. Два сотрудника сделали идентичные записи о том, что сержант скончался.
Этот факт, естественно, приостановил выплату ему заработной платы.
Когда пришел день получки, сержант пожаловался, что не получил свой чек с заработной платой. «Обычная процедура в таком случае — выписка чека вручную». Но и это не сработало. « П о некоторым непонятным причинам», говорит Джим, явно сдерживая усмешку, «его файл с личными данными никто не смог найти. Мне кажется, этот файл был уничтожен». Не трудно понять, почему Джим пришел к подобному заключению.
Компьютер показывал, что человек умер и не было никаких записей, которые доказали бы, что он существовал. Сержанту явно не повезло. Не существует процедуры, чтобы выплатить зарплату человеку, которого не было и нет. В армейскую штаб-квартиру был направлен запрос на получение копий всех бумаг сержанта, а кроме того, и о том, как платить ему до разрешения проблемы. Однако на такой серьезный запрос вряд ли можно было ожидать быстрого ответа.
У этой истории — счастливый конец. Как говорит Джим, «поведение сержанта за то время, что я знал его после случившегося, стало совсем другим».
ПРИХОДИТЕ В ГОЛЛИВУД, ЮНЫЕ ВОЛШЕБНИКИ
В то время, когда фильм «Парк Юрского периода—2» только вышел на экраны, юный хакер, которого мы будем звать Юки, решил, что он хочет получить контроль над сервером MCA/Universal Studios, где располагался сайт lost-world.com — Интернет-сайт кинофильма «Парк Юрского периода» и телешоу студии.
Он говорит, что это было «совершенно тривиальное хакерство», поскольку этот сайт был практически не защищен. Он проник туда при помощи метода, который он описывает в технических терминах, как «проникновение в CGI, где работал bouncer (высокий порт без защиты межсетевым экраном), так что я смог соединиться с высоким портом и соединиться обратно с локальным компьютером для полного доступа».