Чтение онлайн

на главную

Жанры

Секреты супер хакера
Шрифт:

Можно также вклеить напечатанную карточку с рекламой прямо в журнал или поместить рекламу на BBS. Подобная же уловка заключается в распространении вашего номера в качестве локального переключателя звонков. Это может весьма пригодиться, если в ваших краях пока отсутствует связь Telenet или Tymnet. При загрузке пользователи увидят обычный открывающийся экран, хотя на самом деле это будет ваша модель программы. Занимаясь хакерством, вы, видимо, узнали адреса различных сетей, и сможете программно смоделировать любой подходящий входной экран. В противном случае отвечайте сообщениями вроде: "Линия занята" либо "Не удается установить связь". В этой ситуации важным бывает правильно установить таймерные задержки, соответствующие обычным задержкам в сети.

После "соединения" с компьютером или сетью моделирующая программа продолжает работать: она запрашивает у пользователя имя и пароль, а затем "вылетает" из-за помех

на линии или какой-либо другой неприятности. Если пользователь пытается тут же вызвать ее снова, можно сделать для него сообщение, что, дескать, пути передачи данных подвергаются перепроверке, или любую подобную чепуху.

Требование информации

А теперь давайте вернемся к чистой социальной инженерии, проводимой по электронной почте... Не ленитесь просматривать все компьютерные газеты и журналы, даже самые никудышные, в поисках информации о недостатках программных продуктов и лазеек в их безопасности. Журналистский кодекс чести вообще-то запрещает публикацию опасных секретов, так что точного описания ошибок в обеспечении безопасности систем вы не найдете. Вам будут попадаться заметки типа: "Вчера были пойманы четыре хакера, нашедшие лазейку в программе Х на машине Y военной базы Z". Или: "Компания Y опубликовала предупреждение о недостатках выпушенного ею элемента Z, который создавался для зашиты системы от проникновения в нее нелегальных пользователей..." Вы можете сделать следующее: отпечатайте некое псевдоофициальное заявление и отправьте его по электронной почте той самой компании, а ответ не заставит себя ждать. Содержание может быть приблизительно таким:

Уважаемый м-р Абель Джонс! До меня дошли сведения о серьезных недостатках вашей продукции, а именно элемента Z. Я веду свои дела, полагаясь на то, что наши данные находятся в полной безопасности благодаря элементу Z.

Увидев, как мы обманывались в течение шести лет, я хотел бы получить от вас следующее: подробное описание изъянов, делающих ненадежным использование элемента Z, либо компенсацию за шестилетнюю эксплуатацию двенадцати непригодных элементов Z, что составит 14 000 $.

Жду вашего скорейшего ответа.

Заявление может также быть выполнено в духе "давайте поработаем вместе, чтобы улучшить этот мир":

Уважаемый м-р Абель Джонс!

Я был весьма огорчен, увидев в номере "Computer Magazine" за пятницу информацию о дефектах, обнаруженных в вашем элементе Z.

На моем предприятии используется двенадцать таких устройств, и мне бы очень не хотелось потерять наши данные из-за их непригодности. Пожалуйста, вышлите в заклеенном конверте объяснение данной проблемы, чтобы мои техники могли устранить неполадки как можно скорее. Спасибо за помошь.

Искренне ваш...

Одно из этих посланий написано угрожающим тоном, другое - нет. С одной стороны, вам не хочется, чтобы ваше письмо посчитали липовым. С другой данная компания наверняка получит множество писем подобного содержания, большинство которых будут отнюдь не подделками. Чтобы у вас не возникло проблем, напечатайте письмо на качественной бумаге, с настоящим или выдуманным бланком наверху.

Для пущего эффекта напечатайте адрес на конверте, а вместо того, чтобы наклеивать марку, пропустите конверт через почтовый счетчик. Можно дополнительно вложить визитку собственного сочинения - их можно недорого заказать. Если компания отказывается помогать вам без подтверждения сделанной у них покупки, - что ж, вы ничего не теряете. Вы всегда можете попытаться подвергнуть социальной инженерии техников данной компании, дабы выведать у них секреты безопасности. Вдобавок существует много ассоциаций и организаций по компьютерной безопасности, которым известны подробности допущенных ошибок. Можно попытаться узнать детали, написав в тот журнал, который напечатал статью об "элементе Z". Постарайтесь встретиться с автором этой статьи. Журналистов и газетчиков обычно на удивление просто поймать по телефону, но заполучить их для разговора - это другое дело!

Послание свыше

Уважаемый пользователь! Я вынужден сообщить вам неприятную новость. Являясь директором PinkyLink, самой крупной информационной службы Америки, работающей в режиме онлайн, я был шокирован, узнав о том, что шестого июля сего года имело место незаконное хищение нескольких файлов с именами пользователей. После нелегального копирования оригиналы были уничтожены. Одна из записей содержала, помимо всего прочего, закрытые личные данные небольшого количества наших клиентов. Хотя, к счастью, вашего имени не оказалось на похищенных файлах, все же определенная опасность для вас существует. На данный момент мы не можем сказать, содержались ли в похищенных файлах данные о каких-либо пользователях с программистским уровнем доступа, или нет. Таким образом, мы предлагаем вам заполнить приложенную анкету и незамедлительно выслать обратно по почте конверте. Мы берем на себя все ваши почтовые издержки. Оплаченный конверт с нашим адресом прилагается.

Заполнив анкету, верните ее, пожалуйста, как можно скорее. При получении мы создадим вам новый секретный ID.

Спасибо за поддержку.

В качестве компенсации за причиненные неудобства мы вычтем 75% из вашего счета за август.

Имя. Адрес. Индекс. Рабочий телефон. Домашний телефон. Старый (непригодный) пароль. Новый (измененный) пароль. PinkyLink, самая большая информационная служба Америки, гарантирует, что вновь присланные личные данные будут введены не позднее 19-го сентября сего года. Конфиденциальность гарантируется до и после означенного срока. Просьба сохранить для себя копию или оригинал данного сообщения.

Представьте себе абстрактного пользователя, получающего по электронной почте такое вот послание. Выглядит послание настоящим, имеет logo и бланк соответствующей службы, пришло в запечатанном конверте. Но поверит ли пользователь, что послание сие ему действительно отправила служба PinkyLink? Складывается совершенно абсурдная ситуация! Любая настоящая компьютерная служба, у которой возникли проблемы с паролями, станет осуществлять обновление всех паролей в режиме онлайн. Ведь это самый простой и дешевый способ обновить сотни или даже тысячи файлов с пользовательской информацией. Тем не менее, глядя на письмо, получивший его пользователь осознает, что он сам не находится в непосредственной опасности, в отличие от тех несчастных, чьи пароли были украдены; ему не придется получать по электронной почте громадные счета за кого-то, кто нелегально подключится к его, пользователя, бюджету. А как насчет упомянутых в конце 75%? Узнав про них, пользователь ответит на письмо в два раза быстрее. Он почувствует себя обязанным не только вновь сделать свой бюджет безопасным, но и обязанным перед базой данных: если уж они так любезно предупреждают его об опасности, да еще и платят, надо же хоть чем-то их отблагодарить. А оплаченный конверт с обратным адресом! Конечно, PinkyLink, скорее всего, меняет пароли пользователей и в режиме онлайн, но упоминать об этом в письме вовсе необязательно. Помните, что в посланиях подобного рода стиль имеет большее значение, нежели содержание. Прежде чем отправлять подобное письмо, потрудитесь взглянуть на экземпляры настоящей корреспонденции PinkyLink, чтобы получить представление о том, какую бумагу, шрифт и т. д. лучше использовать. На эту удочку обычно попадается довольно много народа, особенно если ваши адресаты - абсолютные новички. Позднее мы еще поговорим о том, как можно с пользой понаблюдать за BBS.

Неприятности в раю

Ведя переговоры с крупной корпорацией, или заставляя людей посылать вам по электронной почте свои пароли, вы можете нарваться на крупные неприятности. Почтовое министерство расценивает подобную деятельность как почтовое мошенничество, даже если вы всего-навсего собирались пошутить. Я привел здесь эти идеи лишь для того, чтобы стимулировать ваше воображению, вовсе не собираясь провоцировать вас на незаконные действия.

При занятиях социальной инженерией существует множество причин, по которым ваш собеседник может отказаться снабдить вас секретными данными. Он может: быть предупрежден об утечках информации; знать о тактике социальной инженерии; не поверить, что вы тот, за кого себя выдаете; знать, что вы не тот, за кого себя выдаете; не иметь причин помогать вам, и дать вам неверную или вводяшую в заблуждение информацию; доложить о вас менеджеру по безопасности. По любой из перечисленных причин человек, у которого вы пытаетесь выудить данные, может не суметь или не захотеть сообщить вам пароли и другую нужную вам информацию. А вы сами, прочитав все вышесказанное, стали бы выбалтывать секретные сведения неизвестному по телефону? Вот в чем проблема. Каково же ее решение?

Обратная социология инженерия

Обратная социальная инженерия (или просто ОСИ, или даже ОИ) является довольно рискованным предприятием с переменной эффективностью и пригодностью в различных ситуациях. Впрочем, результаты, которые дает ОСИ, бывают настолько потрясающими, - а порой столь же забавными - что данный способ ярко выделяется среди остальных методов взлома зашиты систем. Дело в том, что, хотя социальная инженерия представляет собой признанный и проверенный метод получения нужной информации, она имеет свои недостатки. Не бывает совершенных систем, и список в конце предыдущей главы наглядно показывает, что социальная инженерия срабатывает не всегда. ОСИ по многим критериям предпочтительнее СИ. Впрочем, применять обратную СИ можно лишь в некоторых ситуациях, после длительной подготовки и предварительных исследований. Вдобавок, настоящая обратная инженерия может с успехом применяться только самыми хитроумными (и легкими на подъем) хакерами. Не думайте, что эта техника станет вашим основным методом сразу, как только вы начнете знакомиться с миром компьютерных правонарушений. Обратная СИ в своих наиболее совершенных проявлениях требует информации, которой вы пока не располагаете, и уловок, с которыми вы пока что не знакомы. Вот сравнительный список, показывающий некоторые "за" и "против" обоих методов.

Поделиться:
Популярные книги

Курсант: назад в СССР 2

Дамиров Рафаэль
2. Курсант
Фантастика:
попаданцы
альтернативная история
6.33
рейтинг книги
Курсант: назад в СССР 2

На границе империй. Том 9. Часть 3

INDIGO
16. Фортуна дама переменчивая
Фантастика:
космическая фантастика
попаданцы
5.00
рейтинг книги
На границе империй. Том 9. Часть 3

Ведьма и Вожак

Суббота Светлана
Фантастика:
фэнтези
7.88
рейтинг книги
Ведьма и Вожак

Дурашка в столичной академии

Свободина Виктория
Фантастика:
фэнтези
7.80
рейтинг книги
Дурашка в столичной академии

Барон устанавливает правила

Ренгач Евгений
6. Закон сильного
Старинная литература:
прочая старинная литература
5.00
рейтинг книги
Барон устанавливает правила

Провинциал. Книга 3

Лопарев Игорь Викторович
3. Провинциал
Фантастика:
космическая фантастика
рпг
аниме
5.00
рейтинг книги
Провинциал. Книга 3

Темный Лекарь

Токсик Саша
1. Темный Лекарь
Фантастика:
фэнтези
аниме
5.00
рейтинг книги
Темный Лекарь

Вираж бытия

Ланцов Михаил Алексеевич
1. Фрунзе
Фантастика:
героическая фантастика
попаданцы
альтернативная история
6.86
рейтинг книги
Вираж бытия

Газлайтер. Том 1

Володин Григорий
1. История Телепата
Фантастика:
попаданцы
альтернативная история
аниме
5.00
рейтинг книги
Газлайтер. Том 1

Я – Орк

Лисицин Евгений
1. Я — Орк
Фантастика:
юмористическая фантастика
попаданцы
аниме
5.00
рейтинг книги
Я – Орк

Совок 9

Агарев Вадим
9. Совок
Фантастика:
попаданцы
альтернативная история
7.50
рейтинг книги
Совок 9

Последняя Арена 11

Греков Сергей
11. Последняя Арена
Фантастика:
фэнтези
боевая фантастика
рпг
5.00
рейтинг книги
Последняя Арена 11

По осколкам твоего сердца

Джейн Анна
2. Хулиган и новенькая
Любовные романы:
современные любовные романы
5.56
рейтинг книги
По осколкам твоего сердца

Тринадцатый III

NikL
3. Видящий смерть
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Тринадцатый III