- •Поиск возможного пароля
- •И выбросите из головы любые глупые идеи насчет взлома паролей!
- •Изучение паролей
- •Ограничения для паролей
- •Пароли, создаваемые компьютером: подделка и анализ паролей, генегигуемых машиной
- •Неслучайные пароли, генерируемые машиной
- •Методы перебора
- •Отражение атаки
- •Благородный метод
- •2. Хакер в роли неофита
- •Хождение во власть
- •2. Хакер в роли помощника
- •Часы пик
- •Другие советы
- •3. Примеры ситуаций, возникающих при социальной инженерии
- •4. Разнообразные советы по социальной инженерии
- •5. Другие роли
- •Послание свыше
- •Неприятности в раю
- •Обратная социалогия инженерия
- •Заключение
Неприятности в раю
Ведя переговоры с крупной корпорацией, или заставляя людей посылать вам по электронной почте свои пароли, вы можете нарваться на крупные неприятности. Почтовое министерство расценивает подобную деятельность как почтовое мошенничество, даже если вы всего-навсего собирались пошутить. Здесь приведены эти идеи лишь для того, чтобы стимулировать ваше воображению, вовсе не собираясь провоцировать вас на незаконные действия.
При занятиях социальной инженерией существует множество причин, по которым ваш собеседник может отказаться снабдить вас секретными данными. Он может:
• быть предупрежден об утечках информации;
• знать о тактике социальной инженерии;
• не поверить, что вы тот, за кого себя выдаете;
• знать, что вы не тот, за кого себя выдаете;
• не иметь причин помогать вам, и дать вам неверную или вводящую в заблуждение информацию;
• доложить о вас менеджеру по безопасности. По любой из перечисленных причин человек, у которого вы пытаетесь выудить данные, может не суметь или не захотеть сообщить вам пароли и другую нужную вам информацию. А вы сами, прочитав все вышесказанное, стали бы выбалтывать секретные сведения неизвестному по телефону? Вот в чем проблема. Каково же ее решение?
Обратная социалогия инженерия
Обратная социальная инженерия (или просто ОСИ, или даже ОИ) является довольно рискованным предприятием с переменной эффективностью и пригодностью в различных ситуациях. Впрочем, результаты, которые дает ОСИ, бывают настолько потрясающими, – а порой столь же забавными – что данный способ ярко выделяется среди остальных методов взлома зашиты систем.
Дело в том, что, хотя социальная инженерия представляет собой признанный и проверенный метод получения нужной информации, она имеет свои недостатки. Не бывает совершенных систем, и список, указанный выше, наглядно показывает, что социальная инженерия срабатывает не всегда. ОСИ по многим критериям предпочтительнее СИ. Впрочем, применять обратную СИ можно лишь в некоторых ситуациях, после длительной подготовки и предварительных исследований. Вдобавок, настоящая обратная инженерия может с успехом применяться только самыми хитроумными (и легкими на подъем) хакерами. Не думайте, что эта техника станет вашим основным методом сразу, как только вы начнете знакомиться с миром компьютерных правонарушений. Обратная СИ в своих наиболее совершенных проявлениях требует информации, которой вы пока не располагаете, и уловок, с которыми вы пока что не знакомы. Вот сравнительный список, показывающий некоторые “за” и “против” обоих методов.
Социальная инженерия: вы совершаете звонок, зависите от собеседника.
Обратная социальная инженерия: собеседник совершает звонок и находится в зависимости от вас.
Социальная инженерия: вы чувствуете себя в долгу перед ним, либо он может поверить в это и повести себя соответственно.
Обратная социальная инженерия: принимая вашу помощь и советы, он отблагодарит вас, если в будущем вам понадобится помощь.
Социальная инженерия: вы нуждаетесь в его помощи.
Другой способ заключается в постепенном замедлении времени ответа на каждую новую попытку входа. Начинающий хакер может обнаружить, что ответ от удаленного компьютера приходит к нему через тридцать секунд... затем через минуту... затем через две... Периоды ожидания начинают увеличиваться только после трех или четырех неудачных попыток входа. Компьютер говорит сам себе: “Черт возьми, ни один нормальный пользователь не смог бы ошибиться столько раз. Наверно, это хакер!”
Еще одна хитрость – ложное приглашение ко входу в систему. После определенного количества неудачных попыток входа система продолжает запрашивать входную информацию, но каждый раз возвращает сообщение об ошибке, независимо от того, верна данная информация, или нет.
ОТСЮДА СЛЕДУЕТ МОРАЛЬ: при написании программы для взлома паролей не забудьте о выводе результатов на экран по мере продвижения. Не следует запускать программу на всю ночь и ложиться спать, не убедившись сперва, что в данном случае не имеют места подобные меры безопасности. Ведь проснувшись утром, вы можете обнаружить, что время ответа компьютера на ваши попытки входа составляет сорок минут. Или же программа безуспешно переберет все возможные комбинации, отвечая на ложные приглашения.