- •Кевин Митник Искусство обмана
- •Рассказ Кевина
- •Финальные выводы
- •Введение
- •Предисловие
- •С чего всё начиналось
- •От телефонного фрикинга к хакингу
- •Становление социальным инженером
- •Финальные выводы
- •Вступление
- •Глава 1: Самое слабое звено в безопасности
- •Человеческий фактор
- •Классический случай обмана
- •Характер угрозы
- •Злоупотребление доверием
- •Террористы и обман
- •Об этой книге
- •Глава 2: Когда безвредная информация опасна
- •Скрытая ценность информации
- •Частный сыщик в действии
- •Западня для инженера
- •Ещё одна «ничего не стоящая» информация
- •Предотвращение обмана
- •Глава 3: Прямая атака: просто попроси
- •Случай с центром назначения линий
- •Юноша в бегах
- •На пороге
- •Заговаривание зубов (Отвлекающая болтовня)
- •Глава 4: Внушая доверие
- •Доверие: ключ к обману
- •Вариации по теме: Сбор кредитных карт
- •Одноцентовый сотовый телефон
- •Взлом федералов
- •Предотвращение обмана
- •Глава 5: «Разрешите Вам помочь»
- •Неполадки в сети
- •Немного помощи для новенькой девушки.
- •Не так безопасно, как думаешь
- •Предотвращение обмана
- •Глава 6: «Не могли бы Вы помочь?»
- •Неосторожный руководитель
- •Глава 7: Фальшивые сайты и опасные приложения
- •«Не желаете ли вы бесплатно …?»
- •Сообщение от друга
- •Вариации по теме
- •Вариации по вариации
- •Глава 8: Используя чувство симпатии, вины и запугивание
- •Визит в студию
- •«Сделайте это сейчас»
- •«Мистер Бигг хочет это»
- •Что знает о вас администрация общественной безопасности
- •Один простой звонок
- •Полицейский набег
- •Переводя стрелки
- •Предупреждение обмана
- •Глава 9: Ответный удар
- •Исскуство дружелюбного убеждения
- •Глава 11: Сочетая технологию и социальную инженерию
- •Взлом решетки
- •Быстрое скачивание
- •Легкие деньги
- •Словарь как орудие атаки
- •Предотвращение обмана
- •Глава 13: Умные мошенники
- •Несоответствующий “Caller id”
- •Вариация: Звонит президент Соединенных Штатов
- •Невидимый сотрудник
- •Полезный секретарь
- •Суд по делам дорожного движения
- •Возмездие Саманты
- •Предотвращение обмана
- •Глава 15: Знание об информационной безопасности и тренировки
- •Обеспечение безопасности с помощью технологии, тренировки и процедуры
- •Понимание того, как атакующий может воспользоваться человеческой природой
- •Создание тренировочных и образовательных программ
- •Тестирование
- •Поддержание бдительности
- •«Зачем мне все это?»
- •Краткое описание безопасности в организации
- •Определение атаки
- •Проверка и классификация информации
Предотвращение обмана
Атаки социальных инженеров могут стать еще более деструктивными, когда атакующий использует элементы технологии. Предотвращение этого вида атаки обычно включает в себя меры безопасности на человеческом и технологическом уровне.
Просто скажи «Нет»
В первой истории в этой главе, служащий компании RCMAC не должен был снимать статус deny terminate с 10 телефонных линий без ордера, подтверждающего изменение. Недостаточно того, чтобы сотрудники знали правила безопасности и процедуры; сотрудники должны понимать, насколько важны эти правила для компании для предотвращения нанесения ущерба.
Правила безопасности должны не должны поощрять отклонение от процедуры, используя систему поощрений и последствий. Естественно, правила безопасности должны быть реалистичными, не призывающие сотрудников выполнять слишком обременительные вещи, которые, скорее всего, будут проигнорированы. Также, программа обучения (ликбеза) по безопасности должна убедить служащих, что надо выполнять поручения по работе быстро, но кратчайший путь, пренебрегающий системой безопасности, может оказаться вредным для компании и сотрудников.
Та же осторожность должна присутствовать при предоставлении информации незнакомому человеку по телефону. Не смотря на то, как убедительно он представил себя, невзирая на статус или должность человека в компании, никакая информация, которая не предназначена для общественного доступа, не должна быть предоставлена, пока личность звонящего не будет установлена. Если бы эти правила строго соблюдались, социально‑инженерный план в этом рассказе потерпел бы неудачу, и федеральный заключенный Гондорфф никогда не смог бы спланировать еще одну аферу с его приятелем Джонни.
Этот единственный пункт настолько важен, что я повторяю его на протяжении всей книги: проверяйте, проверяйте, проверяйте. Каждая просьба, не сделанная лично, никогда не должна быть выполнена без подтверждения личности просящего – и точка.
Уборка
Для любой фирмы, у которой нет охранников круглосуточно, план, где атакующий получает доступ к офису на несколько часов – трудность. Уборщики обычно относятся с с уважением к каждому, кто кажется членом компании и не выглядит подозрительно. Все‑таки, этот человек может вызвать у них неприятности или уволить. По этой причине уборщики, как сотрудники фирмы так и работающие по контракту из внешнего агентства, должны быть обучены технике безопасности.
Уборочная работа не требует образования в колледже и даже умения говорить по‑английски, и даже если требует обучения, то не по безопасности, а только по использованию разных очистительных средств для разных назначений. Обычно эти люди даже не получают указаний вроде: «если кто‑нибудь попросит вас впустить их после рабочего времени, вы должны проверить у них пропуск, позвонить в офис уборочной компании, объяснить ситуацию и подождать разрешения».
Организации нужно заранее спланировать, что делать в конкретной ситуации, как эта, прежде чем она произойдет и соответственно обучить людей. По моему опыту, я узнал что большинство, если не весь частный бизнес неточен в этой части физической безопасности. Вы можете попробовать подойти к проблеме с другой стороны, возложив бремя на сотрудников своей компании. Компании без круглосуточной охраны должны сообщать сотрудникам, что если им понадобится войти после рабочего дня, им придется воспользоваться собственными ключами или электронными картами, и не должны ставить уборщиков в положение выбора, кого можно пропустить. Сообщите уборочной компании, что их люди должны быть обучены не впускать кого‑либо в помещение в любое время. Это простое правило – никому не открывайте дверь. Если нужно, то это может быть включено в контракт с уборочной компанией.
Также уборщики должны знать о технике «piggyback»(посторонние люди следуют за уполномоченным человеком через безопасный вход). Они должны быть обучены не разрешать другим людям входить в здание только потому, что он выглядит как сотрудник.
Примерно три или четыре раза в год устраивайте тест на проникновение или оценку уязвимости. Попросите кого‑нибудь подойти к двери, когда работают уборщики, и попробуйте проникнуть в здание. Но лучше не используйте для этого собственных сотрудников, а наймите сотрудников фирмы, специализирующейся на этом виде тестов на проникновение.
Передай другому: Защити свои пароли
Организации становятся все более и более бдительными, усиливая технику безопасности техническими методами, например, конфигурируя операционную систему усложнять технику безопасности паролей и ограничить число неверных вводов перед блокированием аккаунта. На самом деле, такое свойство встроено в платформы Microsoft Windows, которые предназначены для бизнеса. Но, зная как раздражают покупателей свойства, которые требуют лишних усилий, продукты обычно поставляются с отключенными функциями. Уже пора бы разработчикам прекратить поставлять продукты с отключенными по умолчанию функциями безопасности, когда все должно быть наоборот( я подозреваю, что в скором времени они догадаются).
Конечно, правила безопасности корпорации должны разрешать системным администраторам дополнять эти правила техническими методами, когда возможно, с учетом того, что людям свойственно ошибаться. Понятно, что если вы, к примеру, ограничите число неверных попыток входа через конкретный аккаунт, то вы сможете сделать жизнь атакующего более тяжелой.
Каждая организация сталкивается с нелегким выбором между мощной безопасностью и продуктивностью сотрудников, что заставляет некоторых сотрудников пренебрегать правилами безопасности, не понимая, насколько они необходимы для защиты целостности секретной компьютерной информации.
Если правила безопасности не будут конкретно указывать возможные проблемы при пренебрежении ими, сотрудники могут пойти по пути наименьшего сопротивления, и сделать что‑либо, что облегчит их работу. Некоторые сотрудники могут открыто пренебрегать безопасными привычками. Вы могли встречать сотрудников, кто следует правилам о длине и сложности пароля, но записывает пароль на листок бумаги и клеит его к монитору.
Жизненно‑важная часть защиты организации – использование сложно угадываемых паролей в сочетании с мощными настройками безопасности в технике.
Подробное обсуждене рекомендованной техники безопасности паролей описано в главе 16.