Искусство обмана

Категоризирование данных

Правило: Любая ценная, служебная или особо важная для компании информация должна попадать под определенную категорию в классификаторе данных. Это обязанность специально назначенного хранителя информации или другого ответственного лица.
Аргументация и примечания: Ответственный за информацию (хранитель) обязан классифицировать любые данные, участвующие в бизнес-процессах организации. Хранитель управляет доступом к таким данным и устанавливает правила обращения с той или иной категорией информации. Хранитель имеет право изменять ранее определенную классификацию и предопределять время жизни классификатора.
Любые данные должны восприниматься как ценные, если не оговорено обратное.

Обнародование принципов работы с данными

Правило: Компания должна устанавливать процедуры, регламентирующие хождение классифицированной информации.
Аргументация и примечания: Вместе с классификатором данных должны быть определены правила работы с информацией, о чем было подробно написано в разделе «Процедуры авторизации и удостоверения».

Инвентаризация информационных носителей

Правило: Сделайте хорошо различимые отметки на печатных материалах и прочих носителях, содержащих конфиденциальную, частную или внутреннюю информацию.
Аргументация и примечания: Документы должны иметь обложку, на которой хорошо видна классифицирующая отметка. Кроме того, такая отметка (идентификатор) должна быть и на каждой странице документа.
Все электронные файлы или таблицы баз данных, которые нельзя пометить идентификатором, должны контролироваться системой разграничения доступа, что позволяет защитить информацию от непреднамеренного разглашения, изменения или порчи.
Все компьютерные носители (гибкие диски, пленки, CD) должны иметь отметку, соответствующую наиболее ценной информации, на них содержащейся.

Ввод команд

Правило: Ни один сотрудник не имеет права вводить команды в компьютер или другую электронную технику по запросу лица, чья принадлежность к департаменту информационных технологий не установлена.
Аргументация и примечания: Хитрость заключается в том, что злоумышленник может вынудить вас ввести команду, которая позволит ему несанкционированно получить доступ к корпоративным системам или некоторым данным, необходимым для инициирования атаки.

Использование информации о компании в сети интернет

Правило: Служащие не должны упоминать в новостных группах, форумах, на досках объявлений и в гостевых книгах параметры и другую информацию об установленных на фирме программных системах и устройствах. Это правило относится и к распространению контактной информации.
Аргументация и примечания: Любое сообщение в интернете может быть найдено злоумышленником и использовано на стадии сбора информации о компании или сотруднике. Социоинженер обязательно попытается найти как можно больше информации о компании, ее продуктах и персонале, используя анонимность сети интернет.
Некоторые сообщения – как золотая жила для шпиона. Например, сетевой администратор может обратиться в публично доступную конференцию с вопросом об установках фильтров межсетевого экрана конкретной модели конкретного производителя. Взломщик найдет это сообщение и получит более чем ценную информацию о защите атакуемой сети.
Такая проблема может быть преодолена благодаря правилу, в соответствии с которым все служащие обязаны пользоваться новостными конференциями, форумами и т.п. только анонимно, без предоставления корпоративной контактной информации и не упоминая названий, ассоциирующихся с компанией.

Гибкие диски и другие электронные носители

Правило: Никогда не вставляйте в приводы компьютера неизвестно кем принесенные дискеты или CD-диски, обнаруженные на рабочем месте.
Аргументация и примечания: Один из методов, используемый в атаке, заключается в том, что злоумышленник устанавливает зловредную программу на переносной диск, а на самом диске делает надпись вроде «Данные о заработной плате – конфиденциально». После этого такие диски оставляются на рабочих столах нескольких служащих, в надежде на то, что один из них «купится» и вставит его в дисковод. При этом сработает программа, компрометирующая систему, заражающая сеть или открывающая для компьютерного лазутчика брешь в информационной обороне.

Уничтожение съемных дисков

Правило: При уничтожении съемных дисков, на которых когда либо содержалась служебная информация (даже если такая информация уже удалена!), необходимо разрушить сам физический носитель так, чтобы тот не поддавался ремонту и восстановлению.
Аргументация и примечания: Не смотря на то, что уничтожение документов на бумаге уже стало привычным делом, электронные носители часто не разрушаются и просто выбрасываются в корзину. Компьютерные взломщики легко могут восстановить данные на выброшенных носителях, даже если файлы были удалены. Некоторые думают, что информацию нельзя восстановить, если файлы удалены и очищена «Корзина» файловой системы. Такое заблуждение приводит к тому, что конфиденциальная служебная информация попадает в руки злоумышленников. В соответствии с приведенным правилом, все носители, содержащие в настоящее время или когда-либо ранее содержащие ценную информацию, должны полностью разрушаться (ломаться, разбиваться, размагничиваться или разрезаться).

Экранные заставки, защищенные паролем

Правило: Все пользователи обязаны устанавливать защищенные паролем экранные заставки. Кроме того, компьютер должен блокироваться по истечении некоторого времени бездействия пользователя.
Аргументация и примечания: Это правило относится ко всем служащим. Время бездействия до блокирования не должно превышать 10 минут. Правило предназначено для предотвращения ситуации, когда вашим компьютером может воспользоваться посторонний человек или другой служащий, обычно не имеющий доступ к вашему компьютеру.

Разглашение пароля и обмен паролями

Правило: Перед созданием новой учетной записи будущий пользователь учетной записи должен подписать соглашение, в котором он обязуется не разглашать свой пароль третьим лицам и не предоставлять его другим пользователям.
Аргументация и примечания: Такое соглашение должно предусматривать дисциплинарные взыскания вплоть до увольнения сотрудника.

Внутренняя адресация и имена компьютеров

Правило: Служащие не имеют права упоминать в разговорах с неустановленными лицами внутренние адреса и имена баз данных.
Аргументация и примечания: Социоинженер, знающий внутреннее название какой-либо системы, имеет прекрасную возможность подтвердить свою принадлежность к компании.

Запросы на запуск программ

Правило: Ни один сотрудник не имеет права запускать программы по запросу лица, чья принадлежность к департаменту информационных технологий не установлена.
Аргументация и примечания: Все запросы на запуск программ или приложений, и вообще на выполнение любых действий с компьютером должны отвергаться, если запрашивающий не подтвердил, что является сотрудником информационного отдела. Если запрос касается получения конфиденциальных данных, то обращаться с таким запросом надо в соответствии с процедурами работы с конфиденциальной информацией. См. «Правила распространения информации».
Компьютерные взломщики могут вынудить пользователя на запуск программы, которая впоследствии позволяет атакующему получить контроль над системой. Некоторые зловредные программы захватывают операционную систему компьютера, на котором работает пользователь-жертва, другие – записывают все действия пользователя и передают эту информацию взломщику. В то время как социоинженерная часть атаки способна заставить пользователя выполнить программу, техническая часть заставляет операционную систему исполнять команды злоумышленника.

Загрузка и установка программ

Правило: Ни один сотрудник не имеет права загружать из сети и устанавливать программное обеспечение по запросу лица, чья принадлежность к департаменту информационных технологий не установлена.
Аргументация и примечания: Прежде всего, персонал компании должен с особым вниманием относиться ко всем просьбам и запросам, касающимся работы с компьютерным оборудованием.
Обычно компьютерные взломщики пытаются заставить ничего не подозревающего пользователя установить программу, способную помочь злоумышленнику во взломе средств сетевой защиты. В некоторых случаях, такая программа может «шпионить» за пользователем или выступать в роли приемника команд с удаленного компьютера социоинженера.

Электронная почта и пароли в открытом виде

Правило: Пароли не должны передаваться по электронной почте в открытом (незашифрованном) виде.
Аргументация и примечания: Сайты электронной коммерции могут пренебрегать этим правилом при некоторых обстоятельствах:
·
Посылка пароля только что зарегистрированному пользователю.
· Посылка пароля пользователю, который потерял или забыл свой пароль.

Программы, обеспечивающие защиту

Правило: Сотрудники не имеют права отключать или удалять программы обнаружения вирусов, детекторы троянских систем и локальные межсетевые экраны (брандмауэры) без специального разрешения администрации информационного отдела.
Аргументация и примечания: Пользователи иногда отключают локальные защитные средства без всякого участия взломщиков, предполагая что это увеличит скорость работы компьютера.
Социоинженер может попытаться вынудить сотрудника отключить программные средства безопасности.

Установка модема

Правило: Модемы не должны подключаться к компьютерам в локальной сети без специального разрешения из информационного отдела.
Аргументация и примечания: Необходимо учитывать, что модемы, подключенные к станциям на рабочем месте служащего представляют собой серьезную угрозу безопасности. Особенно это относится к станциям, входящим в локальную сеть предприятия.
Хакеры используют тактику «боевого дозвона» телефонных номеров компании для обнаружения активных модемных линий. Таким же образом можно определить городские номера, с которыми соединены модемы внутри компании. Нападающий может с легкостью взломать вашу сеть, если обнаружит компьютер, подключенный к ненадежной системе контроля удаленного доступа (например, с угадываемым паролем или вообще без пароля на вход).

Модемы и установки режима автоответа на входящие вызовы

Правило: Все рабочие станции с подключенными (с санкции отдела информационных технологий) модемами должны иметь установки, запрещающие режим автоматического ответа на входящие соединения.
Аргументация и примечания: Если это возможно, то информационный отдел должен позаботиться об установлении модемного пула, которым сотрудники могли бы пользоваться для модемных соединений с внешними системами.

Инструментальные средства взлома (хакерские утилиты)

Правило: Сотрудники компании не имеют права загружать из сети и использовать утилиты, предназначенные для обхода механизмов защиты программного обеспечения.
Аргументация и примечания: В интернете можно найти бесчисленное количество сайтов, содержащих утилиты (cracks) для взлома условно бесплатного и коммерческого программного обеспечения. Использование этих утилит не только нарушает права производителя ПО, но и само по себе опасно. Хакерские средства могут содержать спрятанные от пользователя инструкции, например, устанавливающие троянского коня.

Вложенные файлы писем электронной почты

Правило: Вложенные файлы (attachments) можно открыть, только если заранее ожидалось их получение в рамках делового процесса или если эти файлы были посланы доверенным лицом.
Аргументация и примечания: Необходимо обращать внимание на все приходящие вложенные файлы любых электронных писем. Кроме того, будет лучше, если отправитель – доверенное лицо – заранее предупредит о посылке вложенного файла. Это уменьшит риск в случае использования нападающим социоинженерных методов, способных заставить пользователя открыть вложенный файл.
Один из наиболее распространенных методов взлома компьютерной системы заключается в обмане пользователя, который может запустить предложенную социоинженером программу. Такая программа создает уязвимость в обороне и позволяет злоумышленнику получить доступ к защищаемым системам.
Социоинженер может отправить своей жертве письмо и после этого перезвонить пользователю, обманным путем заставляя его открыть письмо и вложенный файл.

Автоматическая переадресация на внешние адреса

Правило: Запрещается перенаправлять входящую почту на внешние электронные адреса.
Аргументация и примечания: Это правило ограждает от ситуации, когда злоумышленник может получить доступ к корреспонденции, отправленной на внутренний адрес служащего компании.
Иногда сотрудники устанавливают переадресацию служебной почты на внешний почтовый ящик (например, когда уезжают в командировку или находятся в отпуске). С другой стороны, нападающий может спровоцировать пользователя на создание внутреннего адреса с установками переадресации на внешний. Далее злоумышленник непременно воспользуется тем, что имеет доступ к ящику с корпоративным адресом, на который потенциально могут быть отправлены документы, содержащие служебную информацию.

Пересылка электронных сообщений

Правило: Любой запрос на пересылку письма, полученный от неустановленного лица, требует установления личности и проверки полномочий последнего.

Проверка достоверности электронного письма

Правило: Любое письмо, в котором запрашивается информация не для публичного пользования или которое касается действий с любой компьютерной техникой, требует дополнительной проверки. См. «Процедуры удостоверения и авторизации».
Аргументация и примечания: Атакующий может легко подделать сообщение и его заголовок, содержащий адрес отправителя. Кроме того, взломщик может послать сообщение с заранее скомпрометированного компьютера в локальной сети предприятия. И даже если вы внимательно изучите заголовки электронного письма, вы не сможете понять, что это письмо было отослано с взломанного компьютера.

Внесение данных в телефонный справочник

Правило: Сотрудники компании не имеют права принимать участия во всякого рода опросах, проводимых внешними организациями или частными лицами. Все запросы должны переадресовываться в отдел по связям с общественностью.
Аргументация и примечания: Социоинженеры часто звонят в компанию и, под предлогом проведения социологического опроса, получают нужную информацию. Удивительно, как много людей, готовых помочь социологу и ответить на его вопросы! Злоумышленник, для маскировки задавая ряд невинных вопросов, обязательно получит ответы и на интересующие его вопросы.

Разглашение номеров внутренних телефонов

Правило: Если неустановленное лицо спрашивает ваш номер телефона, то необходимо удостовериться в том, что такая информация нужна в целях делового процесса.
Аргументация и примечания: Это правило требует от сотрудника взвешенного решения о необходимости предоставления своего внутреннего номера. И если по мнению сотрудника запрашивающий не обязан знать его номер, то можно попросить последнего позвонить на общий номер компании, где его пересоединят.

Упоминание паролей в сообщениях голосовой почты

Правило: Запрещается упоминать какую-либо парольную информацию в сообщениях, оставляемых в ящике голосовой почты.
Аргументация и примечания: Часто ящики голосовой почты защищаются простым кодом доступа и социоинженер может легко прослушать оставленные сообщения. Кроме того, профессиональный взломщик даже может несанкционированно установить свой собственный ящик и попросить одного из служащих оставить ему сообщение, содержащее какой-либо пароль.

Релейная передача факсимиле

Правило: Ни одно факсимиле не должно никому перенаправляться сразу после получения без предварительной проверки запрашивающего переадресацию.
Аргументация и примечания: Информационные грабители пользуются такой хитростью. Для того чтобы получить ценную информацию, атакующий просит у служащего, располагающего нужной информацией, послать факс на внутренний номер. Заранее делается звонок другому служащему, которому говорят, что сейчас на его номер придет факсимиле и что полученный документ якобы чуть позже заберет его получатель. А чуть позже уже знакомый голос говорит этому служащему по телефону, что пришедший факс нужно срочно перенаправить на другой номер, например, под предлогом экстренного совещания. И так как ничего не подозревающий сотрудник не имеет представления о ценности пересылаемой информации, факс отправляется на номер злоумышленника.

Проверка полномочий отправителя факсимиле

Правило: Прежде чем выполнить какие-либо инструкции, пришедшие по факсу, отправитель должен быть идентифицирован в роли доверенного лица или действующего сотрудника компании. Обычно для этого достаточно перезвонить на внутренний номер отправителя.
Аргументация и примечания: Служащие должны с особой внимательностью относиться к факсимиле, содержащим необычные инструкции или вопросы, особенно если дело касается предоставления информации или выполнение действий на компьютере. Корпоративный заголовок факсимиле может быть фальсифицирован настройками факс-машины и не явлться фактором подтверждения достоверности.

Передача ценной информации по факсу

Правило: Перед отсылкой факса, содержащего ценную служебную информацию, на аппарат, к которому имеют доступ многие сотрудники организации, отправитель должен передать титульную страницу. Получатель, в свою очередь, обязан отправить в ответ другую страницу, подтверждающую его присутствие у аппарата. Только после этого может быть отправлен весь документ.
Аргументация и примечания: Такая процедура позволяет убедиться в том, что ценная информация попадет лично в руки получателю. Более того, вы будете уверены в том, что факсимиле не переадресовано на другой номер.

Запрет на передачу паролей по факсу

Правило: Ни при каких условиях пароли не должны передаваться по факсу.
Аргументация и примечания: Передавать аутентификационную информацию по факсу просто опасно. Многие факс-машины доступны не одному, а нескольким сотрудникам. Кроме того, телефонная сеть может быть скомпрометирована и установлена переадресация на адрес злоумышленника.

Парольная защита голосовой почты

Правило: Никому и ни в каких целях нельзя разглашать пароли ящиков голосовой почты. Пароли (коды доступа) должны меняться не реже чем раз в три месяца.
Аргументация и примечания: Сообщения могут содержать конфиденциальную информацию. Для защиты этой информации пользователи голосовой почты должны регулярно менять коды доступа. Более того, пользователи не должны использовать пароли, схожие или повторяющие пароли, которые они устанавливали ранее.

Использование одного пароля для доступа к разным системам

Правило: Пользователи голосовой почты не должны использовать одинаковые пароли доступа к разным телефонным или компьютерным системам, независимо от того, являются эти системы внутренними или внешними.
Аргументация и примечания: Используя схожие или повторяющиеся пароли, вы тем самым упрощаете задачу взломщика. Узнав только один пароль, злоумышленник может получить доступ ко всем системам, которыми вы пользуетесь.

Установка пароля голосовой почты

Правило: Администраторы и пользователи голосовой почты должны использовать только стойкие к взлому (перебору) пароли. Такие пароли не должны ассоциироваться с личностью пользователя или с компанией и не должны содержать предсказуемых последовательностей.
Аргументация и примечания: Пароли $$В случае с голосовой почтой, паролями чаще всего являются тоновые коды доступа, т.е. числа.$$ не должны содержать числовых последовательностей (1111, 1234, 1010, 1357), не должны соответствовать или основываться на внутренних телефонных номерах и не должны иметь отношения к адресам, почтовым индексам, автомобильным номерам, коэффициенту умственного развития, весу пользователя и т.п.

Прослушанные сообщения

Правило: Если пользователь обнаружил, что сообщение, которое он раньше не слышал, уже отмечено системой, как прослушанное, он должен поставить в известность администратора голосовой почты. В этом случае пароль необходимо немедленно изменить.
Аргументация и примечания: Социоинженер может добраться до сообщений вашего ящика. И если вы поняли, что новое оставленное для вас сообщение уже прослушивалось, значит кто-то несанкционированно воспользовался ящиком.

Приветствие на автоответчике

Правило: Приветствия на автоответчике или на ящике голосовой почты, имеющем внешний (городской) номер, должны содержать минимум информации. В частности, стоит избегать упоминания о графике работы или о намечающихся поездках.
Аргументация и примечания: Приветствие (которое обращено к звонящим извне компании) не должно содержать фамилии, внутреннего номера телефона или причины отсутствия на рабочем месте. Нападающий может использовать все эти данные для обмана других служащих.

Шаблонные пароли голосовой почты

Правило: Пользователи голосовой почты не должны выбирать пароли, в которых первая часть остается неизменной, а вторая состоит из предсказуемой последовательности цифр.
Аргументация и примечания: Не используйте пароли типа 743501, 743502, 743503 и т.д., где последние цифры, например, означают текущий месяц.

Огласка конфиденциальной и частной информации

Правило: В сообщениях голосовой почты не должна упоминаться конфиденциальная или частная информация.
Аргументация и примечания: В общем случае, корпоративная телефонная сеть менее надежна, чем компьютерная сеть. Пароли доступа к телефонным системам – это набор цифр, что существенно сужает задачу по подбору. Кроме того, паролями часто делятся с секретарями, которые отвечают на телефонные звонки своего начальника. В свете вышесказанного, конфиденциальная информация никак не предназначена для сообщений голосовой почты.

Телефонный разговор

Правило: В разговоре по телефону нельзя упоминать пароли.
Аргументация и примечания: Злоумышленник может прослушивать телефонную линию как лично, так и посредством некоторого устройства.

Огласка паролей доступа к компьютерной технике

Правило: Не существует причины, по которой пользователь должен делиться своим паролем с кем бы то ни было без специально заверенного разрешения менеджера из отдела информационных технологий.
Аргументация и примечания: Задача социоинженера нередко сводится к получению имени и пароля зарегистрированного пользователя. Это достаточное основание для того, чтобы пользователи беспрекословно следовали приведенному правилу.

Пароли в сети интернет

Правило: Служащие не должны использовать в интернете пароли, повторяющие те, которыми они пользуются для доступа к корпоративным системам.
Аргументация и примечания: На некоторых сайтах может предлагаться что-то полезное при условии заполнения формы регистрации, где необходимо ввести имя пользователя, пароль и адрес электронной почты. Так как большинство людей пользуются одними параметрами для обращения к разным системам, недобросовестный оператор может попытаться проникнуть на рабочий или домашний компьютер пользователя, используя предоставленные данные. Рабочий компьютер пользователя нередко можно «вычислить», исходя из адреса IP
или почтового адреса.

Использование одного пароля для доступа к разным системам

Правило: Служащие не должны использовать повторяющиеся пароли для доступа к разным системам. Это относится к разным типам устройств (компьютеры или системы голосовой почты), разному местоположению (дома или на рабочем месте), разным программам (базы данных или приложения).
Аргументация и примечания: Взломщики полагаются на слабости, присущие любому компьютерному пользователю. В частности они знают, что затруднительно пользоваться несколькими разными паролями. И если злоумышленник узнал один пароль, то он обязательно попробует ввести его для доступа ко всем системам компании.

Повторное использование пароля

Правило: Пользователь не должен устанавливать пароль, повторяющий или похожий на пароль, которым пользовался в последние 18 месяцев.
Аргументация и примечания: Частая смена пароля сокращает потери в случае, если злоумышленник знает пароль пользователя. Разнообразие используемых паролей уменьшает риск многократно.

Шаблонные пароли

Правило: Служащие не должны выбирать пароли, в которых первая часть остается неизменной, а вторая состоит из некоторой предсказуемой последовательности.
Аргументация и примечания: Не используйте пароли типа Kevin10, Kevin11, Kevin12, в которых последние две цифры указывают на текущий месяц.

Выбор устойчивого к взлому пароля

Правило: Компьютерные пользователи должны выбирать пароли, удовлетворяющие следующим критериям:
n Пароль должен состоять минимум из 8 символов для обычных учетных записей и из 18 символов для привилегированных.
n Пароль должен содержать как минимум одну цифру, один символ (типа $, _, !, &), одну прописную и одну строчную букву (если это позволяет конкретная система).
n Пароль не должен соответствовать ни одному слову ни на одном языке, не должен повторять часть или целое имени, названия хобби, марки машины, названия организации, номера автомобиля, адреса, телефона, клички питомца, примечательной даты и т.п.
n Пароль не должен представлять собой вариацию ранее используемого пароля.
Аргументация и примечания: Перечисленные параметры позволят установить пароль, который достаточно трудно предсказать или получить методом перебора. Как альтернатива, можно воспользоваться методом подстановки гласных и согласных букв, в результате чего можно получить легко запоминающийся и произносимый пароль. Чтобы собрать такой пароль, достаточно подставить в маске «СГСГСГСГ» гласные вместо «Г» и согласные буквы вместо «С». Примеры: «КОВАНУША», «РЕЛОЧАСА».

Запись пароля

Правило: Служащие могут записывать пароли на бумаге, только если эта записка хранится в надежном месте и вдали от компьютера.
Аргументация и примечания: Служащим запрещено записывать пароли, но, бывают случаи когда это необходимо. Например, если пользователь имеет несколько учетных записей в разных системах, которыми редко пользуется.
Ни при каких обстоятельствах не оставляйте записки с паролем лежащими под клавиатурой или приклеенными к монитору.

Запись пароля в текстовый файл

Правило: Пароли в открытом виде не должны содержаться в компьютерных файлах или отображаться при нажатии на некоторую кнопку. Для предотвращения несанкционированного доступа, пароли должны сохраняться в зашифрованном виде с помощью программы, одобренной отделом информационных технологий.
Аргументация и примечания: В случае взлома системы злоумышленник может получить доступ к незашифрованным паролям в файлах, командных файлах, файлах, содержащих настройки доступа, в любых файлах, содержащих пароли к FTP-серверам а также в макросах или скриптах.

Тонкие клиенты

Правило: Для удаленного подключения к корпоративной сети, сотрудники должны использовать технологию «тонкого клиента».
Аргументация и примечания: В планировании атаки социоинженер обязательно попытается найти пользователей с привилегиями удаленного доступа. Таким образом, дистанционные пользователи лучше всего подходят на роль жертвы. Удаленные компьютеры скорее всего защищены не так надежно, как локальная сеть и, вместе с тем, могут использоваться для взлома этой сети.
Стоит помнить о том, что любой компьютер может быть заражен и иметь «на борту» средства записи нажатия клавиш. Кроме того, само соединение может быть перехвачено злоумышленником. Тонкий клиент может предотвратить такие или схожие проблемы. Тонкий клиент – это аналог рабочей станции без жесткого диска, который похож на самый обычный терминал. Тонкий клиент – это средство, не взаимодействующее с другими программами на вашем компьютере, все приложения запускаются на сервере в корпоративной сети и данные, с которыми вы работаете, остаются там же. Доступ к корпоративной сети с помощью тонкого клиента – это хороший способ минимизировать риски, связанные с устаревшими операционными системами и удаленными системами, контролируемыми взломщиками. Кроме того, управление безопасностью и администрирование упрощается на порядок благодаря централизации данных и запускаемых программ, которые расположены в одном месте. Обязанности по контролю защиты лучше возложить на профессиональных системных и сетевых администраторов, чем на необученных дистанционных пользователей.

ПО, обеспечивающее защищенную работу дистанционных пользователей

Правило: Все внешние системы, с которыми работают дистанционные пользователи, должны оснащаться антивирусными системами и брэндмауэрами (программными или аппаратными). Банки данных антивирусных систем должны обновляться не реже одного раза в неделю.
Аргументация и примечания: Как показывает практика, дистанционные пользователи недостаточно компетентны в вопросах безопасности, что нередко приводит к бреши в обороне корпоративной сети. Без должной подготовки, таким образом,  удаленные пользователи представляют собой ощутимый риск информационной безопасности.
Риск пренебрежения этим правилом не может быть переоценен, и это доказывает атака на корпорацию Microsoft. Система дистанционного пользования, имеющая удаленный доступ к сети группы разработчиков Microsoft, была заражена троянским вирусом. В результате взломщики, используя доверенное соединение, смогли выкрасть исходные тексты программ, которые по сути относятся к категории конфиденциальной информации.

Увольняющиеся сотрудники

Правило: В случае если сотрудник увольняется, отдел кадров должен предпринять следующие действия:
·
Убрать ссылку на сотрудника из всех корпоративных справочников.
· Предупредить охранников на пропускных пунктах и в фойе.
· Добавить уходящего в список уволенных сотрудников, который рассылается служащим не реже, чем раз в неделю.
Аргументация и примечания: Охранников необходимо оповестить для того, чтобы уволенный не мог попасть на территорию компании. Других следует предупредить хотя бы для того, чтобы бывший сотрудник не смог нанести урон компании.
В некоторых случаях необходимо, чтобы сослуживцы из отдела уволенного сотрудника сменили свои пароли. (Когда меня уволили из GTE
только благодаря репутации хакера, администрация потребовала от всех сотрудников смены всех паролей.)

Оповещение отдела информационных технологий

Правило: В случае увольнения одного из сотрудников, отдел кадров должен немедленно выслать в отдел информационных технологий инструкцию, гласящую о блокировании всех учетных записей бывшего служащего, включая учетные записи доступа к базам данных и соединениям с интернетом и dial-up.
Аргументация и примечания: Непосредственно после увольнения необходимо блокировать все возможности для доступа бывшего сотрудника ко всем компьютерам, базам данных и к прочим компьютерным системам и устройствам. В противном случае вы оставляете для недовольного человека хорошую возможность навредить компании.

Найм сотрудников и конфиденциальная информация

Правило: По возможности, старайтесь не упоминать названия производителей и марки аппаратного и программного обеспечения в объявлениях найма на работу.
Аргументация и примечания: Лучше, если вы будете упоминать данные, которые необходимы для предоставления подходящего резюме.
Не сомневайтесь, компьютерные взломщики, в поисках объявлений о найме, посещают интернет-сайты, читают газеты и пресс-релизы. И часто администрация фирм, в попытке привлечь профессионала, предоставляет в этих объявлениях лишнюю информацию об используемых программах и оборудовании. Такая информация только помогает злоумышленнику в сборе данных, касающихся его цели. Для примера, взломщик, знающий что в компании установлена ОС VMS и предварительно уточнивший версию установленной системы, может подделать и отправить якобы официальное обновление, которое на самом деле поможет ему проникнуть в локальную сеть.

Личные данные

Правило: Отдел кадров не имеет права на разглашение личной информации как работающего, так и бывшего служащего, консультанта, контрактника, временного сотрудника или сотрудника, проходящего испытательный срок, без специального разрешения владельца информации или начальника кадрового отдела.
Аргументация и примечания: Для агентов кадровых служб и частных сыщиков наиболее привлекательной мишенью являются личные данные служащих (номера страховок, даты рождения, история заработной платы, финансовая история и данные депозита, льготы и история болезни). Располагая такой информацией, социоинженер может прикрываться именем и личными данными служащего. Кроме того, имена только что нанятых на работу служащих крайне привлекательны для информационных грабителей. Ведь такие сотрудники меньше других ориентируются в новой обстановке и больше других расположены к запросам старших по рангу или охранников, - тех, чьим именем нередко пользуется социоинженер.

Фоновые проверки

Правило: Прежде чем установить деловые отношения с нанятым на работу сотрудником, необходимо провести фоновую проверку его личных данных и рекомендаций.
Аргументация и примечания: Такие проверки не всегда оправданы. Это зависит от должности, которую будет занимать нанимаемый. Однако, стоит учесть, что любой новый сотрудник, который будет иметь физический доступ к помещениям компании, представляет собой явную угрозу безопасности. Для примера, уборщики имеют доступ во все офисы,  а значит у них есть потенциальная возможность доступа к компьютерам, расположенным на площадях этих офисов. Злоумышленник может установить аппаратное устройство считывания паролей меньше чем за минуту.
Компьютерные взломщики нередко устраиваются на работу только для того, чтобы получить доступ к сетям и системам предприятия.

Обнаружение посторонних лиц

Правило: Курьеры, служащие внешних компаний и частные лица, регулярно посещающие вашу фирму, должны носить специальные беджи или иметь при себе другой идентифицирующий документ, следуя принятой на предприятии политике безопасности.
Аргументация и примечания: Лица, не являющиеся сотрудниками компании, но по роду своей деятельности обязанные регулярно посещать фирму (поставщики продуктов в кафе, ремонтники оборудования или установщики телефонов), должны носить специальные бэджи. Всех остальных необходимо расценивать как посетителей, которым необходимо иметь сопровождение.

Идентификация посетителей

Правило: Все посетители на входе должны предоставлять паспорт, водительские права или любое другое удостоверение государственного образца, содержащее фотографию.
Аргументация и примечания: Перед тем, как передать посетителю соответствующий бэдж, охранник или секретарь обязан сделать фотокопию удостоверения. Копия должна прилагаться к журналу регистрации посещений. Как альтернатива, идентификационная информация может переписываться в журнал посещений. Посетителям запрещается собственноручно заносить данные в журнал.
Социоинженеры, ищущие возможность попасть на территорию компании, обязательно предоставят фальшивые сведения. Но, в любом случае, процедура записи в журнал посещений устанавливает дополнительный уровень защиты.

Сопровождение посетителей

Правило: Посетителя всегда должен сопровождать один из сотрудников компании.
Аргументация и примечания: Социоинженеры нередко входят в здание компании под предлогом встречи с некоторым сотрудником (например, в качестве стратегического партнера по разработке продукта). После того, как охранник сопроводит такого посетителя к месту назначенной встречи, злоумышленник говорит, что сам найдет дорогу к выходу. Таким образом злоумышленник получает свободу действий на территории компании.

Временный пропуск (бэдж)

Правило: Сотрудники из других зданий компании (например, филиалов), не имеющие при себе корпоративного бэджа, должны предоставить удостоверение с фотографией. Такие сотрудники должны расцениваться охраной в качестве посетителей и им должны присваиваться соответствующие бэджи.
Аргументация и примечания: Нападающие нередко выступают в роли сотрудников других офисов или филиалов компании.

Экстренная эвакуация

Правило: В случае экстренной ситуации или учебной тревоги, охранники должны убедиться в том, что все служащие покинули здание.
Аргументация и примечания: Охранники должны проверить комнаты отдыха или офисы, в которых могли остаться посторонние.
Социоинженеры или компьютерные взломщики могут провести диверсию ради того, чтобы проникнуть на территорию компании. Например, злоумышленники могут применить безвредный газ бутил меркаптан. Этот газ производит эффект настоящей газовой атаки. Пока сотрудники эвакуируются, социоинженер пользуется плодами произведенного эффекта для получения ценной информации или для проникновения в компьютерную сеть. Другой способ заключается в том, что во время эвакуации злоумышленник прячется в туалетной комнате или комнате отдыха.

Посетители почтового отделения компании

Правило: Посетители не имеют права посещения помещений почтового отделения компании без соответствующего сопровождения.
Аргументация и примечания: Это правило предотвращает несанкционированную отправку или просто кражу внутренней почты.

Автомобильные регистрационные номера

Правило: Если компания имеет в собственном распоряжении охраняемую стоянку, то охранники обязаны переписывать регистрационные номера въезжающих и выезжающих автомобилей.

Мусорные контейнеры

Правило: Мусорные контейнеры должны постоянно находиться на территории компании и не должны быть доступны для прохожих.
Аргументация и примечания: Нередко компьютерные взломщики и социоинженеры получают нужную информацию в буквальном смысле из отходов. Суд признает, что мусор не является собственностью компании, так что копание в выброшенном мусоре, абсолютно легально, как бы смешно это не звучало. Учитывая это обстоятельство, важно размещать мусорные контейнеры на территории, которая является собственностью компании.

Внутренний справочник

Правило: Доступ к данным внутренних корпоративных справочников должен быть ограничен только сотрудники компании.
Аргументация и примечания: Должности, имена, внутренние номера и адреса должны расцениваться в качестве внутренней информации, которая распространяется в соответствии с правилами обращения данной категорией информации.

Телефонные номера определенных отделов или рабочих групп

Правило: Сотрудники не имеют права предоставлять телефоны внутренних отделов неустановленным лицам.
Аргументация и примечания: Не смотря на то, что во многих организациях это правило может показаться слишком ограничивающим, инструкция предотвращает те случаи, когда злоумышленник пользуется знаниями внутренних телефонов при общении с персоналом компании.

Отслеживание кочующей информации

Правило: Телефонные операторы и секретари не имеют права принимать сообщения от лиц, которых нельзя идентифицировать в качестве действительных служащих компании.
Аргументация и примечания:
Социальные инженеры имеют большой опыт по части обмана служащих, которые по неосторожности ручаются за их личность. Одна из уловок социоинженера состоит в том, чтобы, получив номер телефона служащего в приемной, под каким-либо предлогом попросить этого служащего принимать сообщения, поступающие на его имя. Затем, во время звонка своей жертве, атакующий массируется под сотрудника компании, запрашивает ценную информацию или требует выполнить задание и дает номер коммутатора в качестве номера, по которому следует перезвонить. Нападающий позже перезванивает регистратору и забирает сообщение, оставленное для него ничего не подозревающей жертвой.

Правило передачи предметов

Правило: Оставленные служащими вещи или документы должны передаваться получателю только при предъявлении удостоверения с фотографией, причем идентификационную информацию следует заносить в журнал регистрации.
Аргументация и примечания: Социоинженер может обмануть сотрудника компании и заставить его передать через секретаря информацию другому легитимному сотруднику. Впоследствии злоумышленник просто заберет посылку, представившись обозначенным получателем.

Процедура установления личности сотрудника

Правило: Компания должна установить доступные для своих сотрудников процедуры идентификации, авторизации и определения статуса производящего запрос на получение информации или совершение любого действия, связанного с программным или аппаратным обеспечением.
Аргументация и примечания: Если это оправдано размерами компании или бизнесом вообще, полномочия и личность должны подтверждаться с помощью специально спроектированной системы безопасности. Лучший способ – в сочетании токена (смарт-карты) идентифицирующей сотрудника, и публичного (общего) ключа, имеющего хождение внутри компании. Это сравнительно дорогостоящий, но значительно укрепляющий защиту метод. В некоторых случаях достаточно общего ключа доступа, которым может являться код или пароль, изменяемый ежедневно.

Передача файлов данных

Правило: Файлы или любые другие данные в электронном формате не должны копироваться на сменный носитель, если запрашивающий эти данные не является доверенным лицом или если он не имеет соответствующих полномочий.
Аргументация и примечания: Социоинженер легко может обмануть сотрудника так, что последний скопирует файлы на пленку, Zip-диск или любой другой носитель, а в последствии перешлет этот носитель злоумышленнику или оставит для него пакет в вестибюле.

Разглашение информации третьим лицам

Правило: Компания должна предоставить своим сотрудникам набор процедур, регламентирующих распространение информации. Все сотрудники должны четко знать, как пользоваться этими процедурами.
Аргументация и примечания: Процедуры распространения информации должны устанавливаться для следующих данных:
·
Информация, имеющая хождение внутри организации.
· Информация, предназначенная для лиц или внешних организаций, имеющих тесные связи с компанией. Речь идет о консультантах, временных служащих, поставщиках, стратегических партнерах и т.д.
· Исходящая информация, предназначенная для распространения вне организации.
· Информация любой категории, если таковая доставляется лично, по телефону, по факсу, голосовой или обычной почтой, электронной почтой, службой физической доставки или любыми средствами электронной доставки.

Распространение конфиденциальной информации

Правило: Конфиденциальная информация, т.е. информация, которая может нанести значительный урон, если попадет в руки неавторизированного лица, должна предоставляться только доверенным сотрудникам, которые имеют все необходимые для этого полномочия.
Аргументация и примечания: Конфиденциальная информация на физических носителях (печатные копии, сменные компьютерные диски) может предоставляться:
· Лично.
· Внутренней почтой, с отметкой, специально классифицирующей информацию, как конфиденциальную.
· Вне компании посредством услуг имеющей репутацию фирмы (FedEx, UPS и и.д.), под личную подпись получателя.
Конфиденциальная информация в электронном виде (компьютерные файлы, таблицы базы данных, электронные сообщения) может предоставляться:
· В теле зашифрованного электронного письма.
· В зашифрованном файле - приложении к электронному письму.
· Посредством передачи на корпоративный сервер по локальной сети.
· С помощью компьютерной факс-программы, учитывая, что со стороны получателя факс-машиной или компьютером в данный момент пользуется именно тот, кому адресовано факсимильное послание. Как альтернатива, факсимиле может быть отослано без непосредственного участия получателя конфиденциальной информации, но только если посылка производится по зашифрованной линии на защищенный паролем факс-сервер.
Конфиденциальная информация может обсуждаться при личной встрече, по внутреннему телефону, по внешнему телефону с шифрованной передачей, по спутниковым шифрованным каналам, в шифрованной видеоконференции или посредством шифрованного протокола передачи голоса через интернет (Voice Over Internet Protocol, VoIP).
В случае передачи факсимиле, рекомендуется отправить сначала титульную страницу, в ответ на которую получатель обязан соответствующим образом ответить, подтверждая свое присутствие у факс-машины или компьютера. Только после этого происходит передача документа, содержащего конфиденциальные данные.
Незашифрованная электронная почта, голосовая или обычная почта, беспроводные средства коммуникаций (сотовая связь, SMS, радио-телефоны, протокол IEEE 902.11b
без VPN) не предназначены для передачи конфиденциальной информации.

Распространение частной информации

Правило: Частная информация – та информация, разглашение которой может нанести значительный урон отдельному служащему или компании в целом – должна предоставляться только доверенным лицам, которые имеют все необходимые для этого полномочия.
Аргументация и примечания: Частная информация на физических носителях (печатные копии, сменные компьютерные диски) может предоставляться:
·
Лично.
· Внутренней почтой, с отметкой, специально классифицирующей информацию, как частную.
· Обычной почтой.
Частная информация в электронном виде (компьютерные файлы, таблицы базы данных, электронные сообщения) может предоставляться:
· Электронной почтой внутри компании
· Посредством передачи на корпоративный сервер по локальной сети.
· Факсимиле, учитывая, что со стороны получателя факс-машиной или компьютером в данный момент пользуется именно тот, кому адресовано послание. Как альтернатива, факсимиле может быть отослано без непосредственного участия получателя частной информации, но если только посылка производится по зашифрованной линии на защищенный паролем факс-сервер.
Частная информация может обсуждаться при личной встрече, по спутниковым каналам, в видеоконференции или посредством шифрованного протокола передачи голоса через интернет (Voice Over Internet Protocol, VoIP).
Незашифрованные электронные сообщения, голосовая почта, или беспроводные средства коммуникаций (сотовая связь, SMS, радио-телефоны, протокол IEEE 902.11b
без VPN) не предназначены для передачи или обсуждения частной информации.

Распространение информации для внутреннего использования

Правило: Внутренняя информация не имеет хождения вне компании и предоставляется только доверенным лицам, подписавшим соглашение о неразглашении такого рода информации. Компания должна определить правила работы с внутренней информацией.
Аргументация и примечания: Внутренняя информация может распространяться в любой форме, включая внутреннюю электронную почту, но исключая незашифрованные почтовые сообщения, которые покидают пределы корпоративной сети.

Использование служебной информации в телефонном разговоре

Правило: Сотрудник, прежде чем предоставлять по телефону информацию для служебного пользования, обязан идентифицировать голос собеседника. Альтернатива – телефонная система компании должна предоставить информацию о поступившем звонке, а сотрудник, в свою очередь, должен сопоставить собеседника с номером на дисплее аппарата.
Аргументация и примечания: Если голос запрашивающего информацию собеседника незнаком, то сотруднику предлагается или перезвонить по внутреннему номеру и сличить голос с записанным сообщением, или перезвонить непосредственному начальнику запрашивающего для подтверждения полномочий.

Процедуры для служащих вестибюля и приемной

Правило: Служащие, перед тем как передавать что-либо человеку, которого  нельзя однозначно идентифицировать, как действующего сотрудника компании, обязаны посмотреть его паспорт или другой общепринятый документ с фотографией. При этом должен вестись журнал, отражающий все факты передач, посещений, имен посетителей, их даты рождений и номера соответствующих документов.
Аргументация и примечания: Это правило должно применяться и в отношении исходящих пакетов, которые передаются курьерам службы доставки (FedEx, UPS и т.д.). Курьеры при этом должны иметь специальные идентификационные карточки, с помощью которых можно удостовериться в правомочности действий.

Передача программного обеспечения третьим лицам

Правило: До передачи программного обеспечения или каких либо конфигураций, сотрудник обязан идентифицировать получателя. Кроме того, исходя из классификации данных сотрудник должен установить, предназначена ли та или иная программа для передачи запрашиваемому. Обычно, программные пакеты собственной разработки или исходные тексты таких программ расцениваются как собственность компании и подходят под определение конфиденциальной информации, не предназначенной для передачи третьим лицам.
Аргументация и примечания: Авторизация чаще всего основана на ответе на вопрос: «Нужна ли программа для выполнения непосредственных обязанностей запрашивающего?»

Определение мотивов клиента (для служащих маркетингового отдела и отдела продаж)

Правило: Служащие маркетингового отдела и отдела продаж, прежде чем предоставлять внутренние телефонные номера, описание продукта, контактную информацию проектной группы или любой другой служебной информации, должны для себя четко определить истинные мотивы потенциального покупателя или корпоративного клиента.
Аргументация и примечания: В практике промышленного шпионажа распространен метод, когда злоумышленник связывается с маркетинговым отделом и представляется клиентом, готовым на крупную покупку или выгодную сделку. При этом торговые представители, боясь упустить будущую выгоду, часто безоговорочно отвечают на все вопросы.

Образование группы чрезвычайного реагирования

Правило: В компании должна присутствовать служба чрезвычайного реагирования. Всех служащих необходимо оповестить о том, что вся информация об инцидентах, так или иначе связанных с проблемами информационной безопасности, должны поступать к обозначенным представителям этой группы.
Аргументация и примечания: Служащие компании должны уметь распознавать факты возникновения уязвимостей. Для администрации не менее важно определить обязанности и процедуры для сотрудников группы, принимающих непосредственное участие в проверке и разрешении возникшей проблемы.

Течение атаки

Правило: После получения сообщения о возникшей угрозе, группа чрезвычайного реагирования обязана немедленно предупредить отделы и рабочие группы, которые потенциально могут стать целью злоумышленника.
Аргументация и примечания: Кроме того, ответственный менеджер должен принять решение о том, стоит ли оповещать всю компанию об атаке. Такое решение напрямую зависит от уверенности в том, что атака без всякого сомнения имеет место быть и что оповещение всего персонала не навредит работам по предотвращению нападения.
Часть 1. За кулисами.

Переадресация на номерах факс и dial-up соединений

Правило: На факсах и dial-up соединениях услуга переадресации звонков на городские номера должна быть запрещена.
Аргументация и примечания: Злоумышленник может обмануть служащих телефонной компании или отдела связи вашей фирмы так, что они переадресуют некоторые внутренние номера на внешнюю линию, контролируемую злоумышленником. Такая атака позволяет взломщику перехватывать факсимиле, запрашивать конфиденциальную информацию (при этом сотрудник-жертва будет думать, что отправляет сообщение сослуживцу внутри компании), или, установив на контролируемой линии компьютер, симулирующий сервер, считывать имена пользователей и пароли доступа dial-up.
В зависимости от того, кто предоставляет внутренние телефонные услуги для вашей фирмы, функция переадресации может быть под контролем вашего отдела связи или внешней телефонной организации. В последнем случае необходимо составить запрос на принудительное отключение переадресации для номеров, на которых установлены модемы или факс-аппараты.

Блокирование ящика голосовой почты

Правило: Телефонная система должна быть запрограммирована так, чтобы ящик голосовой почты блокировался после нескольких неудачных попыток несанкционированного доступа (например, способом подбора пароля).
Аргументация и примечания: Технический администратор, отвечающий за телекоммуникации, должен установить ограничение – голосовой ящик блокируется после пяти неудачных попыток доступа.

Ограничение доступа к внутренним номерам

Правило: В отделах или рабочих группах, бизнес-процессы которых не предусматривают получения вызовов с городских номеров, должен быть установлен запрет на входящие городские вызовы. Как альтернатива, такие вызовы можно защитить тоновым паролем, так чтобы сами сотрудники или партнеры компании могли звонить в отдел с городского телефона.
Аргументация и примечания: Эта процедура оградит вас от начинающих шпионов, но не от профессионалов. Злоумышленник может попросить служащего соединить его с внутренним телефоном, который извне недоступен. На корпоративных тренингах по безопасности этот метод надо приводить в пример.

Автоматическое определение номера

Правило: Корпоративная телефонная система должна предоставлять своим пользователям функцию АОН. Эта функция должна активизироваться на каждом аппарате, и, более того, аппараты должны иметь разные сигналы для внутренних и внешних звонков.
Аргументация и примечания: Если сотрудник может определить городские звонки, это дает дополнительное преимущество. Кроме того, сотрудник может вовремя предупредить службу безопасности о подозрительном звонке с городского телефона.

Общедоступные телефонные аппараты

Правило: Злоумышленник может позвонить с общедоступного телефона в холле и представиться сотрудником компании. Чтобы избежать подобных ситуаций, в случае вызова с публичного телефона, АОН должен отображать местоположение звонящего, например: «Вестибюль».
Аргументация и примечания: Если дисплей телефона отображает только номер, то на номера публично доступных телефонов следует обращать особое внимание. Помните, что общедоступный внутренний телефон, оставаясь внутренним, еще не является служебным телефоном.

Стандартные пароли доступа к телефонным системам

Правило: Технический администратор должен заблаговременно сменить все стандартные пароли ящиков голосовой почты.
Аргументация и примечания: Социоинженер может найти списки стандартных паролей (паролей «по умолчанию») основных производителей мини-АТС или других телефонных систем. Впоследствии злоумышленник может получить административный доступ к телефонной сети предприятия простым подбором пароля.

Голосовая почта отдела

Правило: Во всех отделах «работающих с населением» необходимо установить ящик голосовой почты
Аргументация и примечания: Первый этап в атаке социоинженера - сбор информации о фирме и ее штатных сотрудниках. Голосовая почта или ручная переадресация вызова может сильно затруднить работу злоумышленника, ищущего подходящую жертву или выясняющего имя сотрудника, которым можно «прикрыться».

Проверка сотрудника телефонной компании

Правило: Ни один сотрудник сторонней организации (например, техник из телефонной компании) не имеет права удаленного подключения к вашим внутренним системам без идентификации и специального разрешения.
Аргументация и примечания: Взломщики, получившие доступ к корпоративной телефонной системе, получают возможность создавать ящики голосовой почты, перехватывать сообщения других сотрудников, или звонить с ваших телефонов за ваш же счет.

Настройки телефонных систем

Правило: Технический администратор, управляющий голосовой почтой, должен сделать все для того, чтобы система была настроена на максимальную защиту.
Аргументация и примечания: Защита голосовой почты может быть разной степени надежности, и это прежде всего зависит от настроек. Администратор, задействуя персонал службы безопасности, должен настроить систему на защиту ценной информации.

Функция отслеживания звонков

Правило: Необходимо активизировать функцию отслеживания (захвата) входящих вызовов, если это позволяет сделать телефонная сеть. Функция должна быть доступна на любом внутреннем телефоне. Причем каждый сотрудник должен иметь возможность перехватить подозрительный вызов.
Аргументация и примечания: Штат компании должен ознакомиться с правилами и условиями отслеживания звонков. Пользоваться функцией отслеживания сотрудник может только в том случае, если выявлена попытка получения несанкционированного доступа к компьютерной сети или ценной информации. Непосредственно до или после отслеживания сотрудник должен поставить в известность группу чрезвычайного реагирования.

Автоответчик

Правило:  Если телефонная система снабжена автоответчиком, то запись не должна содержать номера внутренних телефонов или названия отделов.
Аргументация и примечания: У злоумышленника может возникнуть прекрасная возможность сопоставить имена служащих с их внутренними телефонами. В последствии эти данные (которые по сути являются служебной информацией) социоинженер использует против вас.

Формат корпоративного бэджа

Правило: На бэдже должна быть большая хорошо различимая фотография.
Аргументация и примечания: На стандартных бэджах фотография обычно такая, что ее можно и не заметить. Кроме того, расстояние между охранником и входящим в здание не всегда позволяет рассмотреть фото. Для того чтобы в такой ситуации фотография имела значение, потребуется разработать подходящий бедж.

Корпоративная доска объявлений

Правило: Для личной безопасности сотрудников, корпоративные доски объявлений не должны располагаться в общедоступных местах.
Аргументация и примечания: На многих фирмах имеются доски объявлений, содержащие частную информацию. Это могут быть частные объявления с домашними телефонами сотрудников, списки служащих, меморандумы, и т.д.
Доски объявлений часто располагаются вблизи комнат отдыха, мест курения или кафетерия. Но такая информация не должна быть в зоне доступа посетителей компании.

Вход в информационный центр компании

Правило: Вход в информационный (вычислительный) центр должен быть постоянно закрыт и любой входящий должен удостоверить свою личность.
Аргументация и примечания: Корпоративная безопасность должна предусматривать введение электронных бэджей или карт доступа. Вход в помещения, защищенные устройствами считывания таких карт, должен протоколироваться и периодически анализироваться.

Учетные записи потребителей услуг внешних компаний

Правило: Служащие, размещающие заказы у поставщиков особо важных услуг для деятельности компании, должны пользоваться защищенными учетными записями, предотвращающими несанкционированное размещение заказов от лица компании.
Аргументация и примечания: Поставщики бытовых и других услуг обычно устанавливают пароль по запросу от потребителя. Администрация обязана воспользоваться паролями доступа к услугам, особо важным для жизнедеятельности компании. В частности, это относится к получению доступа в интернет и прочим телекоммуникациям. Однако при этом не должны использоваться идентификаторы типа номера социального страхования, фамилии, номера паспорта и т.п.
Для примера, социоинженер может позвонить в телефонную компанию и попросить (от вашего имени) добавить услугу переадресации вызова на dial-up
линию или сделать запрос вашему интернет-провайдеру на смену IP-адреса узла, к которому часто обращаются сотрудники фирмы.

Контактное лицо отдела

Правило: В компании должна быть внедрена программа, в рамках которой каждый отдел или рабочая группа устанавливает контактное лицо – сотрудника, ответственного за удостоверение личности любого лица, представляющегося от имени этого отдела. Для примера, справочная служба компании должна перезванивать таким сотрудникам для идентификации инициатора запроса информации.
Аргументация и примечания: Такая программа проверки личности значительно уменьшает количество сотрудников, подтверждающих полномочия на проведение операций, связанных с установками учетных записей.
В некоторых случаях атака социоинженера оказывается удачной именно потому, что технический персонал сильно ограничен во времени и не успевает вовремя проверить полномочия того или иного сотрудника. В больших организациях персонал службы поддержки не знаком лично со всеми сотрудниками. Контактные лица в отделах решают эту проблему.

Пароли клиентов

Правило: Представители отдела работы с клиентами не имеют права разглашать пароли учетных записей клиентов.
Аргументация и примечания: Социоинженеры нередко обращаются в фирму под видом клиента и, таким образом могут получить чужие идентификационные данные (номер паспорта или пароль). Далее, с помощью полученных данных, злоумышленник может разместить ложный заказ или получить доступ к служебной информации.
Для предотвращения подобных атак в отделах работы с клиентами достаточно установить программное обеспечение, которое позволяет вводить идентификационные данные для проверки, но не разрешает получать такие данные по запросу клиента.

Проверка на уязвимость

Правило: Для проверки существующих уязвимостей и в рамках программы повышения компетентности сотрудников, в компании должны проводиться учебные социоинженерные атаки. Персонал необходимо предупреждать о возможности проведения учебных атак.
Аргументация и примечания: Без предупреждения служащие могут растеряться или даже разозлиться. Согласитесь, становится неприятно, когда узнаешь, что нанятые специалисты или сослуживцы используют против вас обманные и маскировочные приемы. Конфликта можно избежать, если заблаговременно поставить в известность сотрудников при приеме на работу.

Отображение конфиденциальной корпоративной информации

Правило: Внутренняя информация, не предназначенная для публичного просмотра, не должна отображаться в общедоступных местах.
Аргументация и примечания: Помимо конфиденциальной информации, касающейся производства или деловых процессов, это правило относится также к спискам внутренних телефонов и спискам руководящих сотрудников в каждом из отделов компании, которые также не стоит вывешивать на виду.

Повышение компетентности в вопросах безопасности

Правило: Все новые сотрудники компании во время периода обучения должны пройти тренинг по безопасности. Кроме того, не реже одного раза в год служащие должны проходить курс повышения компетентности в вопросах безопасности. График этих мероприятий составляет отдел, ответственный за тренинги по безопасности.
Аргументация и примечания: Во многих организациях такие тренинги не проводятся. Согласно Глобальному обзору информационной безопасности за 2001 год, лишь 30 процентов опрашиваемых организаций выделяли средства на обучение своих пользователей. Тренинги по безопасности – это первое необходимое требование по предотвращению атак промышленного шпионажа.

Доступ к компьютерной технике и обучение персонала

Правило: Персонал компании должен проходить обязательный курс по информационной безопасности. Сотрудник может быть допущен к компьютерным системам компании только после прохождения этого курса.
Аргументация и примечания: Социоинженеры обычно нацеливаются на новых сотрудников, зная что они, в общем случае, хуже других разбираются в корпоративной политике безопасности, в классификации данных и методах обращения со служебной информацией.
Курс информационной безопасности должен предусматривать возможность для студентов задавать вопросы, касающиеся правил политики. После прохождения курса, владелец учетной записи обязан подписать документ, подтверждающий знание политики безопасности и обязывающий следовать правилам этой политики.

Цветовое кодирование корпоративного бэджа

Правило: Корпоративные беджи должны иметь окраску, говорящую о статусе служащего: постоянный сотрудник, временный сотрудник, контрактник, поставщик, консультант, посетитель или сотрудник, проходящий испытательный срок.
Аргументация и примечания: Цвет беджа позволяет на расстоянии распознать статус человека. Как альтернатива, может использоваться надпись, сделанная хорошо различимыми буквами, но цветовое кодирование надежнее и проще.

Пересмотр прав доступа при смене должности или обязанностей

Правило: Начальник сотрудника, сменившего должность или обязанности, должен сообщить об изменениях в информационный отдел, где сотруднику будет присвоен новый профайл$$Профайл безопасности – набор ролей и полномочий доступа, которыми наделена группа пользователей, имеющих схожие обязанности.$$. 
Аргументация и примечания: Управление правами доступа сотрудников – необходимый процесс, ограничивающий распространение защищаемой информации. Применяется принцип наименьших привилегий: сотрудник имеет доступ только к той информации, которая ему необходима для исполнения служебных обязанностей. Любые запросы на расширение прав доступа должны интерпретироваться в соответствии с правилом, регулирующим изменения профайла пользователя.
Для координации в вопросах изменения прав доступа учетной записи пользователя, отдел кадров или начальник обязуется оповещать информационный отдел об изменениях набора обязанностей служащего.

Идентификация лиц, не являющихся сотрудниками

Правило: Компания должна выпустить специальные бэджи с фотографией для доверенных курьеров и посетителей здания фирмы.
Аргументация и примечания: Сотрудники внешних организаций, которые часто посещают вашу компанию (доставка продуктов в кафетерий, ремонт или установка аппаратуры) могут представлять собой опасность. Кроме идентифицирующих бэджей, здесь нельзя забывать и о подготовке персонала, чтобы каждый знал, что именно надо делать при обнаружении на территории компании постороннего человека.

Удаление учетных записей временных служащих

Правило: Начальник временно нанятого на работу сотрудника, после выполнения работ по контракту или по истечению срока действия договора, обязан незамедлительно оповестить об этом отдел информационных технологий. Администратор информационного отдела должен удалить учетную запись бывшего сотрудника, блокировать для него доступ к базам данных, dial-up
серверу и интернету.
Аргументация и примечания: Всегда существует опасность, что уволенный сотрудник может воспользоваться полученными знаниями о внутренних системах компании и получить доступ к служебной информации. Все учетные записи, которыми пользовался или о которых знал сотрудник, должны быть немедленно блокированы. Такими учетными записями могут быть, помимо прочих, пароли dial-up, имя пользователя базы данных и другая авторизирующая информация для доступа к компьютерной технике.

Организация команды чрезвычайного реагирования

Правило: В компании должна действовать команда чрезвычайного реагирования, а в небольших фирмах за чрезвычайное оповещение может отвечать один человек, имеющий функционального заместителя. Команда чрезвычайного реагирования выполняет диспетчерские функции в случае возникновения инцидента, связанного с безопасностью.
Аргументация и примечания: В случае атаки (и для ее обнаружения) крайне важно иметь единый центр сбора и распределения информации об инциденте. В противном случае атака может пройти незамеченной, или данные об атаке поступят с запозданием. Кроме того, если компания подвергается атакам по многим направлениям, команда реагирования, собирающая тревожную информацию, будет способна вовремя установить истинную цель нападающего и принять дополнительные меры защиты.
Сотрудники, выполняющие обязанности по чрезвычайному реагированию и принимающие тревожную информацию, должны знать методы социальной инженерии и уметь распознавать этапы атаки.

Горячая линия оповещения

Правило: Должна быть установлена горячая линия команды чрезвычайного реагирования. Для этого бывает достаточно выделить телефонную линию с легко запоминающимся добавочным номером.
Аргументация и примечания: Сотрудник, если подозревает, что имеет дело с атакой социоинженера, должен иметь возможность без замедления сообщить об этом в службу команды чрезвычайного реагирования. Для этого номер команды должен быть хорошо известен и сотрудникам необходимо пройти соответствующую подготовку, позволяющую определить саму атаку.
В соответствии с установленными процедурами, команда чрезвычайного реагирования должна предупредить отделы, на которые потенциально может быть совершена или совершается атака.

Охрана служебных помещений

Правило: Защищаемые помещения должны находиться под наблюдением охранника и иметь две формы аутентификации.
Аргументация и примечания: Одна из приемлемых форм аутентификации (удостоверения личности) заключается в считывании электронного беджа и вводе кода доступа. Лучший способ обезопасить защищаемые помещения – установить физическое наблюдение за всеми входами, оснащенными аппаратурой контроля доступа. Если это возможно и оправдано, то рекомендуется использовать биометрические карты.

Сетевые и телефонные аппаратные комнаты

Правило: Кабинеты, аппаратные и подсобные помещения, в которых располагаются сетевые устройства, телефонные щиты и прочее телекоммуникационное оборудование, должны находиться под постоянным контролем.
Аргументация и примечания: Доступ в такие помещения должны иметь только лица со специальными привилегиями. Сотрудники внешних компаний – поставщиков аппаратуры или провайдеров, – прежде чем получить доступ к аппаратным комнатам, должны быть идентифицированы в соответствии с правилами, установленными отделом, ответственным за информационную безопасность. Несанкционированный доступ к телефонным линиям, коммутаторам, мостам, концентраторам и другой сетевой аппаратуре может привести к взлому компьютерной защиты компании.

Корпоративные почтовые ящики

Правило: Внутренние корпоративные почтовые ящики не должны располагаться в общедоступных местах.
Аргументация и примечания: Промышленные шпионы или взломщики, получившие доступ к внутренним точкам доставки почты, без труда могут отослать поддельные авторизирующие письма или принятые в организации формы, которые идентифицируют отправителя, как пользователя конфиденциальной информации. Кроме того, атакующий может отправить пакет с гибким диском или другим электронным носителем и инструкциями по установке, например, программного обновления, которое содержит в себе зловредный код. Обычно, любое сообщение или посылка, полученная по корпоративной почте, воспринимается сотрудником, как достоверная.

Контактная информация служащих отдела информационных технологий

Правило: Телефонные номера и адреса электронной почты служащих отдела информационных технологий не должны разглашаться без крайней необходимости.
Аргументация и примечания: Это правило необходимо соблюдать прежде всего для того, чтобы контактная информация не попала в руки социоинженера. Посторонние должны быть «отделены» от служащих отдела информационных технологий общим телефонным номером и общим электронным адресом (например, info@companyname.com). Адрес администратора, в свою очередь, должен состоять из абстрактного имени (например, admin@companyname.com).
Если контактная информация служащего становится известной взломщику, то это резко повышает риск нападения. Кроме того, социоинженер может воспользоваться такой информацией для прикрытия.

Запросы на получение технической поддержки

Правило: Все запросы на получение технической поддержки должны перенаправляться в группу, которая непосредственно занимается поддержкой.
Аргументация и примечания: Дело в том, что социальный инженер может попытаться спровоцировать служащего отдела информационных технологий, который не имеет четкого представления о технической поддержке и не знаком с соответствующими требованиями к безопасности. В связи с этим, служащие не должны отвечать на подобные запросы и перенаправлять инициатора запроса в группу технической поддержки.

Регламентация удаленного доступа

Правило: Персонал справочной службы не должен освещать подробности настроек и процедур удаленного доступа, номера dial-up и адреса внешних точек доступа до тех пор, пока запрашивающий не был проверен:
·
как имеющий права на получение служебной информации
· и как имеющий права на внешнее соединение с локальной сетью организации.
Аргументация и примечания: Работа сотрудников справочной службы связана с компьютерными проблемами, и такие сотрудники обычно имеют расширенные привилегии доступа к системам. Именно поэтому они являются наиболее желанной целью социоинженера. Справочная служба должна действовать в качестве «человеческого» брандмауэра, предотвращая несанкционированный доступ к ценной информации. Простое правило заключается в том, что данные об удаленном доступе не должны разглашаться неустановленным лицам.

Инициация запуска программ или выполнения команд

Правило: Сотрудник отдела информационных технологий – владелец привилегированной учетной записи – не имеет права выполнять команды или запускать программы по запросу лица, с которым не знаком лично.
Аргументация и примечания: Обычно, при внедрении в локальную сеть троянского коня или другой вредоносной программы, лазутчики пользуются таким методом: записывают свою программу под именем уже существующей и затем перезванивают в службу технической поддержки. Злоумышленник жалуется на то, что запуск программы приводит к ошибке и просит техника это проверить. Техник в результате запускает программу, которая автоматически получает привилегии запустившего ее пользователя. Это может привести к захвату корпоративных систем.
Приведенное правило –противодействие такой атаке. Техник должен знать лично человека, который просит запустить для него какую-либо программу.

Сброс пароля

Правило: Пароль учетной записи пользователя может быть изменен или сброшен только по запросу держателя учетной записи.
Аргументация и примечания: Задача социоинженера нередко сводится к изменению или сбросу пароля пользователя. При этом злоумышленник представляет себя в качестве легитимного пользователя и просит администратора изменить пароль, который он вдруг «забыл». Именно поэтому служащие, получающие запрос на изменение пароля пользователя, должны обязательно перезвонить пользователю по местному телефону. Причем звонок должен производиться не по номеру, предоставленному инициатору запроса, а по номеру из телефонного справочника компании. Более подробная информация касательно этой процедуры изложена в разделе «Процедуры авторизации и удостоверения».

Изменение прав доступа

Правило: Все запросы на расширение привилегий или прав доступа пользователя должны письменно заверяться начальником владельца учетной записи. После изменения профайла, начальник должен уведомляться. Более того, запросы такого рода должны проверяться на соответствие полномочиям, как описано в разделе «Процедуры авторизации и удостоверения».
Аргументация и примечания: После того, как взломщику удалось скомпрометировать учетную запись обычного пользователя, он пытается расширить захваченные привилегии, что, в свою очередь, может вести к получению абсолютного контроля над всей системой. Взломщик, который отлично представляет себе установленные на фирме методы авторизации, может подделать запрос на расширение привилегий, если такой запрос производится по телефону, факсу или электронной почте. К примеру, злоумышленник может позвонить в службу технической поддержки или справочную и попросить инженера расширить полномочия скомпрометированной (взломанной) учетной записи.

Авторизация на создание учетной записи

Правило: Запрос на создание новой учетной записи служащего, временного работника или любого другого уполномоченного лица может быть сделан только в письменной и заверенной начальником форме. Как альтернатива, может использоваться сообщение с электронной подписью начальника. Такие запросы, как и запросы на изменение прав доступа, должны быть проверены с помощью отправки подтверждения на адрес начальника.
Аргументация и примечания: Специальные меры предосторожности нужны везде, где дело касается паролей и вообще любых данных, которые могут помочь взломщику проникнуть в корпоративную сеть. Это правило работает против поддельных запросов на создание новой учетной записи и маскировочных методик промышленного шпионажа. Таким образом, все запросы должны проверяться на достоверность согласно разделу «Процедуры авторизации и удостоверения».

Предоставление нового пароля

Правило: Новые (или измененные) пароли должны расцениваться как конфиденциальная информация. Новые пароли должны предоставляться своим владельцам самым безопасным методом. Лучше, если при личной встрече или с помощью зарекомендовавшей себя службы доставки «лично в руки». Для получения расширенной информации по этому вопросу, обращайтесь к правилам, касающимся распространения конфиденциальных данных.
Аргументация и примечания: Для доставки пароля может использоваться и корпоративная почта, но при этом важно учесть, что послание должно быть надежно запечатано в плотный конверт. В каждом отделе предлагается назначить ответственного за предоставление данных об учетной записи конечным пользователям. Ответственный будет подтверждать личность пользователя в случае утери пароля. Кроме того, ограниченное и заранее определенное число таких ответственных сотрудников должно контактировать с администраторами. Это позволит службе поддержке знать лично всех служащих, с которыми они общаются по вопросам, связанным с учетными записями и их характеристиками.

Блокировка учетной записи

Правило: Прежде чем блокировать учетную запись, убедитесь в том, что запрос на блокирование подан авторизированным лицом.
Аргументация и примечания: Назначение этого правила сводится к противодействию атаке, когда злоумышленник подделывает запрос на блокирование учетной записи пользователя, после чего выступает в роли сотрудника службы поддержки «помогающего» этому пользователю. Доказано, что когда атакующий звонит пользователю под маской техника и предлагает помощь в активизации внезапно потерянных прав доступа, пользователь практически всегда готов раскрыть свой пароль.

Блокировка сетевых портов, служб и устройств

Правило: Ни один из сотрудников не имеет право отключать или блокировать сетевой сервис по запросу неустановленного лица из службы технической поддержки.
Аргументация и примечания: Это правило необходимо для того, чтобы атакующий не имел возможности спровоцировать отключение сетевой службы, после чего попытаться «разрешить» возникшую проблему доступа к сетевым ресурсам от лица сотрудника службы поддержки.

Разглашение информации о беспроводном доступе

Правило: Ни один из сотрудников не должен разглашать информацию о методе и настройках беспроводного доступа лицам без права пользования беспроводной сетью организации.
Аргументация и примечания: Всегда проверяйте инициатора запроса, как лица, имеющего право внешнего соединения с корпоративной сетью. См. раздел «Процедуры авторизации и удостоверения».

Технические проблемы пользователей

Правило: Имена пользователей, которые заявили о технических проблемах, не должны распространяться за пределами отдела информационных технологий.
Аргументация и примечания: Во время обычной атаки социоинженер обязательно позвонит в техническую службу поддержки и попытается выяснить имена пользователей, обращавшихся за компьютерной помощью. Сразу после этого у злоумышленника появляется возможность предложить свою «помощь» от лица работника службы поддержки.

Изменение глобальных прав доступа

Правило: Запрос на изменение глобальных прав доступа рабочего профайла пользователя должен быть одобрен группой, ответственной за управление правами доступа в рамках корпоративной сети.
Аргументация и примечания: Авторизированный персонал должен проанализировать запрос и определить, какие бреши в системе безопасности откроются в случае внесения изменений в профайл доступа. Если такие бреши возможны, то запрос должен расцениваться соответствующим образом и необходимо принимать отдельное решение о возможности внесения изменений в профайл.

Установка обновлений программ и операционной системы

Правило: Все обновления и «заплатки» должны устанавливаться как можно быстрее после их официального появления. Если такое правило не согласуется с работой критически важных производственных систем, то необходимо производить обновления по мере появления практической возможности.
Аргументация и примечания: Если обнаружилась уязвимость, производитель программного обеспечения должен быть немедленно поставлен в известность. Необходимо определить, имеется ли обновление или временная «заплатка», устраняющая такую уязвимость. «Незалатанная» система – это большой риск для компании. Когда администраторы откладывают работы по обновлению, для взломщиков открывается брешь, сквозь которую они вряд ли побрезгуют пробраться.
Каждую неделю обнаруживается множество уязвимостей, данные о которых публикуются в интернете. Несмотря на межсетевые экраны, безучастность к процессу обновлений программного обеспечения всегда несет риск подвергнуться сетевой атаке. Очень важно быть в курсе опубликованных уязвимостей той или иной системы.

Контактная информация на интернет-сайте

Правило: Корпоративный сайт ни при каких условиях не должен содержать описания или структуры предприятия, равно как и имен сотрудников.
Аргументация и примечания: Схема организационной структуры, схема подчинения, списки сотрудников или отделов, листы и схемы утверждений отчетности, имена, должности, внутренние номера, кадровые номера сотрудников и любая другая структурная информация, участвующая во внутренних процессах предприятия, не должна публиковаться на интернет-сайте сайте для всеобщего обозрения.
Компьютерные взломщики способны найти немало полезной информации на сайте атакуемой компании. Далее злоумышленник использует полученные данные для вхождения в роль компетентного сотрудника. Социоинженер знает, что, правильно используя информацию, можно расположить к себе кого-либо зиз сотрудников. Более того, анализ полученных данных помогает выбрать тех людей, которые имеют доступ к наиболее ценной служебной информации.

Создание привилегированных учетных записей

Правило: Никакие привилегированные учетные записи не могут быть созданы и никакие системные привилегии не могут быть ассоциированы с учетной записью без санкции системного администратора или управляющего.
Аргументация и примечания: Взломщики, для того чтобы технический персонал компании открыл для них административный доступ к системам, часто представляются сотрудниками компании-производителя программного или аппаратного обеспечения. Это правило необходимо для большего контроля над привилегированными пользователями. Системный администратор обязан подтверждать любой запрос на создание учетной записи с расширенными полномочиями.

Гостевой доступ

Правило: Гостевые учетные записи любой компьютерной техники или сетевой периферии должны быть удалены или заблокированы. Исключение возможно только для FTP-сервера.
Аргументация и примечания: Гостевые учетные записи предназначены, прежде всего, для предоставления временного доступа для пользователей, не имеющих своей собственной учетной записи, зарегистрированной в системе. Некоторые операционные системы имеют встроенные гостевые учетные записи и, как следствие, разрешенный по умолчанию гостевой доступ. Гостевой доступ необходимо блокировать в любом случае, так как он противоречит принципам администрирования пользователей. IT-персонал должен иметь возможность анализировать активность систем и ассоциировать события с тем или иным пользователем.
Социоинженер может получить преимущество от использования гостевой учетной записи. Кроме того, злоумышленник может ввести в заблуждение пользователя и спровоцировать его на использование гостевого доступа.

Шифрование резервных копий

Правило: Любая служебная информация, хранимая в резервных копиях, должна быть зашифрована.
Аргументация и примечания: Технический персонал должен быть уверен в том, что информация может быть восстановлена в любой момент. Для этого время от времени необходимо расшифровывать случайным образом выбранную часть резервной копии. Это позволяет увериться в сохранности фактора целостности данных. Кроме того, ключи, используемые для расшифровки данных необходимо депонировать доверенному менеджеру, чтобы избежать ситуации, когда ключи могут быть недоступны или потеряны.

Доступ посетителей к сетевым соединениям

Правило: Для предотвращения несанкционированного доступа к локальной сети предприятия, все точки доступа к Ethernet-сети должны находиться в выделенном сегменте.
Аргументация и примечания: Это правило ограничивает возможность входа в локальную сеть для посетителей компании. Трафик на соединениях с Ethernet-розетками в конференц-зале, кафе, лекционных залах и т.п. должен фильтроваться межсетевыми экранами.
Сетевой администратор или специалист по безопасности, для повышения контроля над такими соединениями, может установить виртуальную частную сеть (Virtual Private Network, VPN).

Dial-in модемы

Правило: Модемы, установленные на прием входящих соединений, должны отвечать не раньше четвертого звонка.
Аргументация и примечания: Для обнаружения телефонных линий с установленными модемами хакеры пользуются техникой боевого дозвона (war-dialing). Техника заключается в сканировании всех номеров, зарегистрированных в области нахождения атакуемой компании. Сканирующая программа для ускорения процесса ждет ответа лишь на протяжении одного или двух звонков, а далее переходит к следующему номеру из списка. Если модем будет отвечать на входящее соединение только после четвертого звонка, то dial-in сервер останется незамеченным для сканера.

Антивирусное программное обеспечение

Правило: Все компьютерные системы должны иметь последнюю версию установленной и работающей антивирусной программы.
Аргументация и примечания: Если на предприятии не установлена единая система обновления антивирусных баз данных на рабочих станциях, то пользователь сам отвечает за установку и поддержку антивирусного программного обеспечения. Это относится и к компьютерам, с которых осуществляется удаленный доступ к локальной сети компании.
По возможности антивирусная программа должна обновлять свой банк вирусов и троянских коней каждый день. Если нет единой системы обновления, то пользователи должны обновлять антивирусную программу как минимум раз в неделю.
Это правило распространяется на все переносные и стационарные компьютеры, с которых производится соединение с корпоративной сетью, независимо от того, в чьей собственности – фирмы или сотрудника – находится компьютер.

Вложенные файлы входящей электронной почты (высокое требование к безопасности)

Правило: На предприятиях с повышенными требованиями к безопасности межсетевые экраны должны быть настроены на фильтрацию вложенных файлов (attachments) электронной почты.
Аргументация и примечания: Это правило должно применяться только на фирмах с повышенными требованиями к информационной безопасности или там, где получение вложенных файлов не обусловлено деловыми нуждами.

Аутентификация программного обеспечения

Правило: Все новое программное обеспечение на физических носителях или полученное через интернет, перед установкой должно пройти проверку на подлинность. Больше всего это относится к программам, которые при установке требуют расширенных системных привилегий.
Аргументация и примечания: В рамках этого правила под программным обеспечением понимаются компоненты операционной системы, прикладное обеспечение, «заплатки», программные обновления и т.п. Многие производители ПО позволяют проверить подлинность программы и ее целостность с помощью цифровой подписи. В любом случае там, где целостность не может быть проверена, в подлинности программы необходимо удостовериться. Для этого бывает достаточно связаться с производителем.
Компьютерные взломщики давно научились маскироваться под производителей ПО, заставляя вас думать, что вы устанавливаете подлинную программу, которая произведена и доставлена вам компанией, которой можно доверять. Крайне необходимо проверять на подлинность все программы, которые устанавливаются в локальной сети.
Опытный взломщик может узнать, что ваша организация заказала некое программное обеспечение. Такой информации бывает достаточно, чтобы аннулировать ваш заказ и доставить вам подделку, напичканную зловредным кодом, помогающим взломщику проникнуть в локальную сеть. А подделка вряд ли внешне будет отличаться от оригинала.

Запрос на получение удаленного доступа

Правило: Удаленный компьютерный доступ должен предоставляться только тем сотрудникам, которые в данный момент имеют реальную потребность в таком соединении. Запрос на получение удаленного доступа должен подаваться начальником сотрудника в соответствии с процедурами авторизации.
Аргументация и примечания: Определение степени необходимости внешнего соединения с локальной сетью предприятия, равно как и политика ограничения удаленного доступа сильно уменьшают риск и упрощают само администрирование пользователями удаленного доступа. Чем меньше людей, имеющих удаленный доступ, тем меньше потенциальных целей для злоумышленника. Никогда не забывайте о возможности перехвата или подмены внешнего соединения.

Пароли по умолчанию

Правило: Все установленные по умолчанию пароли должны заменяться в соответствии с корпоративной парольной политикой.
Аргументация и примечания: Многие операционные системы и компьютерное оборудование поставляется с установленными по умолчанию паролями. Это означает, что любая система или устройство после покупки имеет один и тот же пароль. Такие пароли известны взломщикам и несоблюдение этого правила влечет за собой большой риск компрометации.
Помните о том, что при подборе пароля взломщик прежде всего задействует стандартные фразы и пароли от производителя.

Блокировка серии неудачных попыток доступа (требование среднего уровня)

Правило: После нескольких неудачных попыток доступа (ввода неправильного имени или пароля пользователя) потенциально атакуемая учетная запись должна временно блокироваться. Это особенно относится к компаниям со средними требованиями к информационной безопасности.
Аргументация и примечания: Все рабочие станции и сервера должны быть настроены в соответствии с этим правилом. Таким образом предотвращаются попытки прямого подбора и атаки по словарю.
Системный администратор должен настроить все системы с парольным доступом так, чтобы учетные записи блокировались на некоторое время при достижении определенного уровня неудачных попыток входа. Рекомендуется блокировать запись не менее чем на 30 минут после семи неудачных попыток.

Отключение учетной записи

Правило: После нескольких неудачных попыток доступа (ввода неправильного имени или пароля пользователя) потенциально атакуемая учетная запись должна отключаться. Это правило относится к компаниям с высокими требованиями к информационной безопасности. Восстановление учетной записи возлагается на группу, ответственную за администрирование пользователей.
Аргументация и примечания: Все рабочие станции и сервера должны быть настроены в соответствии с этим правилом. Таким образом предотвращаются попытки прямого подбора и атаки по словарю. Системный администратор должен настроить все системы с парольным доступом так, чтобы атакуемые учетные записи отключались после пяти неудачных попыток входа. Владелец атакуемой учетной записи должен обратиться в группу, ответственную за администрирование пользователей. Перед восстановлением учетной записи представитель рабочей группы пользователя должен подтвердить личность владельца учетной записи в соответствии с процедурами авторизации и удостоверения.

Периодическая смена паролей привилегированных учетных записей

Правило: Все владельцы учетных записей с административными привилегиями должны менять пароль как минимум один раз в 30 дней.
Аргументация и примечания: Системные администраторы должны настроить параметры операционных систем в соответствии с этим правилом. Возможность такой настройки зависит от ограничений той или иной операционной системы.

Периодическая смена пользовательских паролей

Правило: Все владельцы учетных записей должны менять пароль как минимум раз в 60 дней.
Аргументация и примечания: Системные администраторы должны настроить параметры операционных систем в соответствии с этим правилом. Возможность такой настройки зависит от ограничений той или иной операционной системы.

Установка пароля новой учетной записи

Правило: Новые учетные записи пользователей должны устанавливаться с паролем, который изменяется при первом же входе в систему. Таким образом пользователь сам выбирает себе пароль при первом входе в систему.
Аргументация и примечания: Это правило утверждает, что пароль известен только владельцу учетной записи.

Пароль на загрузку компьютера

Правило: Все компьютерные системы должны требовать от пользователя пароль при загрузке или включении.
Аргументация и примечания: Компьютеры должны быть настроены таким образом, чтобы при включении запрашивался пароль. Это предотвращает несанкционированное использование техники. Правило распространяется на все компьютеры, размещенные на территории компании.

Требования к паролям привилегированных учетных записей

Правило: Все привилегированные учетные записи должны иметь сильные пароли. Такие пароли должны удовлетворять следующим условиям:
·
Пароль не должен повторять слово из словаря на любом языке
· Пароль должен содержать прописные и печатные символы, как минимум один символ и одну цифру
· Пароль должен иметь не менее 12 знаков
· Пароль не должен ассоциироваться с пользователем или фирмой
Аргументация и примечания: В большинстве случаев компьютерные взломщики прежде всего атакуют административные учетные записи, имеющие системные привилегии. Вряд ли для взломщика найдется более короткий путь к получению контроля над сетью компании, чем подобранный пароль системного администратора.
Трудно поддающиеся подбору пароли сильно затрудняют попытки прямого подбора и атаки по словарю.

Точки доступа к беспроводной сети

Правило: Все пользователи беспроводной сети, в целях повышения безопасности, должны задействовать технологию VPN (Virtual Private Network).
Аргументация и примечания: Беспроводные офисные сети атакуются с использованием техники поиска беспроводных локальных сетей, получившей название war driving. За этим названием кроются поездки на машине или прогулки вокруг офисных зданий с переносным компьютером. Такой компьютер оснащен стандартной 802.11b NIC-картой и программой обнаружения беспроводных сетей.
Многие предприятия устанавливают на своих площадях точки доступа к беспроводной сети, даже не заботясь о включении протокола WEP
(протокол эквивалентности беспроводной связи). WEP позволяет несколько упрочить защиту благодаря шифрованию. Но даже при работающем WEP, стандарт 802.11b остается крайне неустойчивым к взлому. Методы и программы взлома широко известны и «подручные средства» можно без труда найти в интернете.
Итак, крайне необходимо воспользоваться VPN-туннелированием и, таким образом, обойти проблему защиты протокола 802.11b.

Обновление баз данных антивирусных программ

Правило: Все компьютерные системы должны оснащаться программами автоматического обновления банков данных, содержащих последние данные вирусах и троянских конях.
Аргументация и примечания: Как минимум, обновления должны происходить не реже одного раза в неделю. На фирмах, где не принято выключать компьютер, рекомендуется обновлять антивирусное ПО каждую ночь.
Антивирусная система считается неэффективной, если ее банк данных вирусов не обновляется и она не способна распознать новые формы ранее известных злокачественных программ. Без обновленной информации риск заражения возрастает многократно.

Сброс пароля привилегированной учетной записи

Правило: Запрос на изменение или сброс пароля привилегированной учетной записи должен быть утвержден системным администратором компьютера, на котором расположена эта учетная запись. Новый пароль должен быть доставлен лично в руки или послан по корпоративной почте.
Аргументация и примечания: Пользователи привилегированных учетных записей имеют полный контроль над системой и файлами. Не удивительно, что эти записи нуждаются в особой защите.

Удаленный доступ для сотрудников внешних организаций

Правило: Сотрудники внешних организаций (производители программного обеспечения или обсуживающий персонал поставщиков оборудования) не имеют права удаленного доступа к ресурсам компании без проверки личности и удостоверения соответствующих привилегий. Если поставщик нуждается в административном доступе к локальной сети для обеспечения поддержки, то непосредственно после выполнения работ пароль должен быть изменен.
Аргументация и примечания: В целях получения доступа к корпоративной сети атакующий может выступать от лица поставщика. Именно поэтому сотрудник внешней организации всегда должен проходить процедуру верификации и подтверждения полномочий на работу с системами или сервисами компании. Более того, после выполнения работ, «дверь» должна быть закрыта с помощью изменения пароля, которым пользовался поставщик.
Ни один поставщик или сотрудник внешней службы поддержки не имеет права устанавливать свой пароль, пусть даже временный, на доступ к системам компании. Некоторые поставщики пользуются одинаковыми паролями при доступе к системам разных клиентов. Например, одна известная информационная компания устанавливает одинаковый пароль административного доступа ко всем своим клиентским системам и даже не блокирует Telnet-доступ!

Строгая аутентификация для удаленного доступа к внутренней сети

Правило: Все точки доступа внешних соединений к корпоративной сети должны защищаться с привлечением строгих методов аутентификации, таких как динамические пароли или биометрические устройства.
Аргументация и примечания: Во многих компаниях аутентификация удаленных пользователей не идет дальше использования обычных статических паролей. Такое отношение к проблеме не безопасно: взломщик обязательно попробует атаковать каждую точку доступа, а каждая такая точка может быть слабым звеном в безопасности корпоративной сети. Запомните: о том, что ваш пароль попал в руки злоумышленника, вы узнаете последним.
Итак, любая точка удаленного доступа должна защищаться с применением строгих методов аутентификации: временные жетоны, смарт-карты, биометрика – всем, что сделает невозможным использование перехваченного по сети пароля.
Если же аутентификация с динамическим паролем неприемлема по каким-либо причинам, пользователям компьютеров остается следовать правилу выбора по-настоящему стойкого к подбору пароля.

Конфигурация операционной системы

Правило: Системные администраторы должны постоянно следить за тем, чтобы конфигурации операционных систем соответствовали политике и процедурам обеспечения безопасности.
Аргументация и примечания: Не смотря на то, что создание и публикация политики – большой шаг к уменьшению риска, следовать политике неизбежно приходится конечным пользователям – сотрудникам организации. На пользователя ложится большая ответственность, а он не застрахован от ошибок. Тем не менее, многие правила можно сделать аксиомами с помощью средств операционной системы, разнообразных настроек, например, установки минимальной длины пароля. Автоматизация правил безопасности посредством установок операционной системы – это эффективный способ исключения человеческого фактора и увеличения общей надежности защиты.

Время жизни для установок учетной записи

Правило: Любая компьютерная учетная запись должна автоматически блокироваться по истечении года.
Аргументация и примечания: Взломщики предпочитают нападать на «забытые» учетные записи и назначение этого правила – предотвратить появление учетных записей, которые долгое время не используются. Таким образом, забытые администратором учетные записи уволенных и временных сотрудников должны блокироваться автоматически.
Предусмотрительно требовать проведения тренингов по безопасности для персонала, а там где это необходимо, сотрудники, пересматривая правила безопасности, должны подписывать документ о согласии следовать этим правилам.

Общий адрес электронной почты

Правило: Отдел информационных технологий должен установить общий электронный адрес для каждого подразделения или отдела компании, имеющих внешние контакты.
Аргументация и примечания: Общий адрес электронной почты может быть размещен на страницах сайта компании и его может упоминать секретарь в приемной. Вместе с этим, свой личный адрес электронной почты сотрудник имеет право давать только людям, нуждающимся в этом в рамках деловых отношений.
На первом этапе социоинженерной атаки, злоумышленник собирает телефонные номера, имена и должности сотрудников компании. В большинстве случаев такого рода информация не прячется и может быть получена со страниц Web-сайта или по телефону. Создание общего ящика голосовой или электронной почты затрудняет задачу сопоставления имен служащих с отделами, в которых они работают и с обязанностями, которые они выполняют.

Контактная информация при регистрации домена

Правило: Контактная информация при регистрации в интернет-домене адресного пространства не должна содержать имен, идентифицирующих административный, технический или любой другой персонал компании. Вместо этого рекомендуется оставлять общие электронные адреса и общеизвестный корпоративный номер телефона.
Аргументация и примечания: Это правило предупреждает попадание контактной информации в руки взломщика. А взломщик всегда может воспользоваться такой информацией для связи с сотрудниками и получения более ценных данных, которые помогут в достижении целей атакующего. Кроме того, это дает возможность представиться от лица легитимного сотрудника при установлении контакта с компанией.
Контактная информация должна содержать ни к чему не обязывающий адрес типа administrator@company.com. Отдел телекоммуникаций, для большей защиты от утечек информации, может позаботиться об установке общих голосовых ящиков для технических и административных отделов.

Ввод команд или запуск программ

Правило: Персонал, чья работа связана с компьютерной техникой, не имеет права запускать программы или выполнять команды по запросу неустановленных лиц. В ситуации, когда кажется, что неустановленное лицо имеет все основания к своему запросу, тем не менее, прежде чем исполнить команду, необходимо получить заверение начальника.
Аргументация и примечания: «Компьютерщики», операционисты, обычно имеющие расширенные права доступа к технике и сети, были и остаются излюбленной мишенью социоинженера. Кроме того, нападающий обычно исходит из предположения, что операционисты меньше, чем другие IT-специалисты, знакомы с бизнес процедурами.

Пользователи привилегированных учетных записей

Правило: Служащие, имеющие административные привилегии своей учетной записи, не имеют права предоставлять информацию неустановленным лицам. В частности, это правило запрещает предоставление компьютерной помощи (например, помощи в использовании программ), помощь в осуществлении доступа к базам данных, загрузке программ по сети. Служащие с административными привилегиями не имеют права разглашать имена сотрудников, имеющих полномочия на удаленный доступ к локальной сети.
Аргументация и примечания: Социоинженеры обычно «работают» с пользователями привилегированных учетных записей. Сотрудники IT-подразделений должны отрабатывать поступающие запросы  в соответствии с этим правилом. Таким образом можно избежать атаки.

Информация о внутренних системах

Правило: Операционисты, работающие с компьютером, не имеют права раскрывать служебную информацию, касающуюся корпоративных сетей, оборудования и систем без предварительной процедуры удостоверения личности запрашивающего информацию.
Аргументация и примечания: Системные процедуры установки соединения, местоположение или адреса точек доступа к беспроводной сети, телефонные номера dial-in
модемов – все это представляет реальную ценность для взломщика, который наверняка попытается выяснить параметры корпоративных систем через операционистов, пользующихся этими системами.
В компаниях, в которых имеется собственная техническая служба поддержки (справочная службу), все запросы, поступающие к операционистам, должны расцениваться, по меньшей мере, как исключительные. Все запросы на получение информации должны тщательным образом рассматриваться с точки зрения классификатора данных. Необходимо установить, имеет ли инициатор запроса право на получение информации того или иного типа. Если запрашиваемая информация не попадает ни под один из определенных в классификаторе типов, то с такой информацией необходимо обращаться как с внутренней или служебной.
В некоторых случаях в информации нуждается технический персонал внешних компаний-производителей или поставщиков (дилеров). Поставщики должны заблаговременно связаться с отделом информационных технологий; конкретный сотрудник компании-поставщика должен представиться своему «куратору» в отделе информационных технологий, который впоследствии сможет подтвердить личность инициатора запроса.

Разглашение пароля

Правило: Операционисты компьютерной техники не имеют права разглашать свой или доверенный пароль третьим лицам без распоряжения менеджера из отдела информационных технологий.
Аргументация и примечания: В общем случае, разглашать какой-либо пароль кому бы то ни было строго запрещается. Это правило подразумевает, что возможна ситуация, когда операционисту просто необходимо «поделиться» паролем. Такая исключительная ситуация требует санкции менеджера из отдела информационных технологий, который возьмет ответственность на себя. Во избежание недоразумений, круг лиц, способных распространять аутентификационную информацию и имеющих опыт в процедурах удостоверения, должен быть заранее ограничен.

Электронные носители

Правило: Все электронные носители, содержащие служебную информацию, должны быть заперты в помещении с физической охраной.
Аргументация и примечания: Правило предотвращает кражу ценной информации на электронных носителях.

Носители резервных копий

Правило: Операционисты обязаны хранить резервные копии в сейфе.
Аргументация и примечания: Резервные копии – еще одна излюбленная цель компьютерного взломщика. Злоумышленнику вовсе не обязательно тратить время на атаку сетей и компьютеров, когда слабое звено в цепи безопасности – это незащищенные от кражи резервные копии. Украденный носитель (если он не зашифрован) ведет к потере конфиденциальности хранимой на нем информации. Таким образом, физическая защита носителей резервных копий – логическое продолжение необходимого процесса обеспечения конфиденциальности корпоративной информации.

Сообщения о подозрительных звонках

Правило: Служащие должны немедленно сообщать обо всех подозрительных событиях группе чрезвычайного реагирования.
Аргументация и примечания: Если злоумышленник не добьется своей цели через одного сотрудника, он будет продолжать попытки, атакуя других. Но если после первого же подозрительного звонка или действия будет оповещена группа реагирования, то атака социоинженера попадет под контроль и последующие попытки можно будет вовремя предупредить. Бдительность служащих – это первая линия обороны компании.

Частная информация и анкетные данные сотрудников

Правило: Все запросы на получение частной информации сотрудников должны переадресовываться в отдел кадров.
Аргументация и примечания: Исключением может являться запрос на получение (домашнего) телефонного номера служащего, которого необходимо найти по рабочему вопросу или который сейчас ждет звонка. Тем не менее, предпочтительно спросить телефон инициатора запроса и перезвонить ему по этому номеру.

Описание подозрительных звонков

Правило: Хорошей практикой является документирование подозрительных звонков, смахивающих на звонки атакующего. Описание действий нападающего позволит выявить цели и задачи социоинженера.
Аргументация и примечания: Такое описание поможет группе чрезвычайного реагирования остановить атакующего.

Разглашение номеров dial-up

Правило: Персонал компании не имеет права давать по телефону какую-либо информацию о корпоративных модемных номерах. Вместо этого, любые запросы на получение такой информации должны переадресовываться службе технической поддержки.
Аргументация и примечания: Номера модемов – это сугубо внутренняя информация, к которой имеют доступ только сотрудники с привилегиями удаленного доступа в рамках исполнения своих служебных обязанностей.
Социоинженеры часто нацеливаются на отделы или конкретных служащих, наименее защищенных с точки зрения запрашиваемой информации. Например, если злоумышленнику необходимо получить список модемных линий, то он обратится в отдел, занимающийся оплатой счетов. Представляясь служащим телефонной компании, нападающий предложит решить возникшую проблему с оплатой счетов. Социоинженер обычно нападает на сотрудников, которые не имеют представления о реальной ценности информации.

Корпоративные бэджи

Правило: Сотрудники компании, включая всех менеджеров и администрацию, должны постоянно носить бэджи, находясь на территории предприятия. Исключением может являться непосредственное рабочее место сотрудника.
Аргументация и примечания: Персонал компании должен отчетливо понимать значение идентификационных бэджей, которые необходимо носить везде на территории компании, кроме общедоступных помещений и собственного рабочего места.

Требование о ношении бэджа

Правило: Сотрудники должны реагировать на случаи обнаружения незнакомых лиц без корпоративных бэджей.
Аргументация и примечания: Это правило очень важно, если компания обеспокоена проблемами безопасности. Более того, сотрудники, которые не остаются «равнодушными» к посторонним, разгуливающим по территории фирмы, должны поощряться оплаченными часами отгула или занесением благодарности в личное дело.

Теневое проникновение

Правило: При входе в здание компании или отдельно охраняемые помещения предприятия, служащие не должны позволять посторонним проходить рядом с ними.
Аргументация и примечания: Сотрудники должны понимать, что требование документов от незнакомых лиц, пытающихся войти в здание компании, не бестактность, а необходимость.
Социоинженеры часто используют способ проникновения, при котором можно въехать на спине или плечах кого-нибудь (piggybacking). Метод заключается в следующем. Сначала злоумышленник говорит охраннику, что ждет вас, и что он должен с вами войти в здание. А когда вы проходите, он проходит вместе с вами. Многие люди стесняются спросить незнакомого человека и узнать, имеет ли тот право на вход в помещение. Другая разновидность незаметного проникновения: у злоумышленника в руках множество коробок и сумок, и вы сами, из желания помочь, открываете ему дверь.

Уничтожение служебных документов

Правило: Уничтожаемая служебная документация должна разрезаться крест-накрест. Электронные носители, включая жесткие диски, должны уничтожаться в соответствии с процедурами, установленными отделом информационной безопасности.
Аргументация и примечания: Стандартные бумагорезательные аппараты неправильно уничтожают документы. Здесь необходимы устройства, разрезающие материал в нескольких направлениях и превращающие документы в бумажное крошево. С точки зрения безопасности вы должны учитывать, что ничто не мешает конкурентам копаться в мусоре, который может содержать полезную для них информацию.
Промышленные шпионы и компьютерные взломщики не брезгуют изучением офисного мусора. Это часть их работы. В некоторых случаях конкуренты даже подкупают людей, вывозящих мусор с территории вашего предприятия.

Персональная идентификационная информация

Правило: Личная идентификационная информация, такая как номер паспорта или  водительского удостоверения, дата и место рождения, не должна использоваться в качестве пароля или средства удостоверения. Такая информация, в общем случае, не является секретной и может быть получена множеством способов.
Аргументация и примечания: За деньги можно получить любую идентификационную информацию на другого человека. Фактически и вопреки расхожему мнению, любой, имеющий кредитную карточку и доступ в Интернет, может купить такого рода информацию. И несмотря на явную угрозу, банки, предприятия коммунального обслуживания, поставщики средств электронной оплаты и т.п. продолжают активно использовать личную идентификационную информацию своих клиентов. Это один из факторов, благодаря которым кражи идентификационных данных – один из самых прогрессирующих видов мошенничества.

Схемы организационной структуры

Правило: Данные, отраженные на схемах организационной структуры, должны быть доступны только служащим компании.
Аргументация и примечания: Информация о корпоративной структуре – это всевозможные схемы подчинения, списки сотрудников по отделам, имена и контактная информация служащих, должности и т.д.
На первой стадии атаки, социоинженер собирает информацию о компании и ее структуре. Эти данные необходимы для дальнейшего планирования атаки. Кроме того, злоумышленник, изучивший корпоративную структуру, может без труда найти сотрудника, имеющего доступ к нужной ему информации. Во время атаки подготовленный социоинженер может замаскироваться под компетентного (имеющего необходимое представление о компании и ее структуре) сотрудника, что значительно упростит задачу и позволит расположить к себе персонал фирмы.

А что можно сказать о личном интересе?

В дополнение к программе повышения компетентности и тренингам информационной безопасности я крайне рекомендую также разработать и пользоваться на фирме некоторой системой поощрений. Каждого, кто предупредил или обнаружил социоинженерную атаку, способствовал программе повышения компетентности, без сомнения не следует оставлять в тени и без награды. О существовании системы поощрений на фирме должны знать все, но и нарушения правил безопасности не должны оставаться без внимания и широко тиражироваться внутри организации.
Итак, если посмотреть на систему поощрений с другой стороны, то следует добавить, что сотрудники должны понимать, к каким последствиям может привести несоблюдение корпоративной политики, в независимости от того, случайное было нарушение или умышленное. Все мы делаем ошибки, но систематических отклонений от правил быть не должно.
[1]
В терминах защиты информации под "Социальной инженерией" подразумевается набор приемов, с помощью которых злоумышленник может собрать необходимые для взлома системы данные, злоупотребляя доверчивостью и/или халатностью сотрудников. В этом контексте «социоинженер» - злоумышленник, выдающий себя за лицо, обладающее полномочиями.
[n1]Что-то мне не очень нравится. Но альтернативы пока нет
[n2]Здесь мне кажется лучше так: «The Art of Deception – искусство маскировки или искусство лжи доказывает…»
[n3]лучше «очковтирателя». Предатель – слишком социальный термин
[N4]Или перевести более точно, или совсем убрать
[sinm5]Не уверен – в оригинале Merchant ID.
[sinm6]это злосчастный social security number. Как его только не интерпретируют. Не знаю – в основном я заменяю его паспортом, но здесь оставил так. Нормально?
[NM7] Вероятно, ошибка у автора. В главе 6 нет упоминания о троянах.
[NM8]Какая-то ошибка с номерами? Ранее об этом ничего не говорилось…

А вот и счет в швейцарском банке…

Покинув телетайп в три часа дня, он прямиком направился в мраморный холл, к телефонному аппарату. Рифкин зарядил монету и набрал номер операционной. В этот момент он вылез из шкуры банковского консультанта Стенли Рифкина и превратился в Майка Хансена, служащего Отдела Международных Отношений.
Согласно одному из источников, телефонный разговор звучал примерно так:
– Привет! Это Майк из международного, – сказал Стенли ответившей на звонок девушке. Она спросила у него номер кабинета, на что заранее подготовившийся "Майк" ответил: – 286.
– Код, пожалуйста, – девушка задала обычный вопрос, который, однако, выбросил в кровь Рифкина значительную порцию адреналина, заставив его сердце бешено колотиться. Тем не менее, ответил он спокойно и отчетливо:
– 4789.
Далее он продиктовал:
– Десять миллионов двести тысяч долларов, компании Irving Trust, Нью Йорк, банк Wozchod Handels в Цюрихе, Швейцария. – Рифкин заблаговременно открыл счет в этом банке.
– Хорошо, я все записала. Номер межбанковского расчетного счета, пожалуйста.
Рифкин покрылся холодным потом. Он не ожидал такого вопроса; что-то пошло не так, что-то он упустил. Но, несмотря на это, Рифкин продолжал оставаться в роли Майка Хансена, который сказал вместо него:
– Мне надо проверить. Я перезвоню через минуту.
В следующую минуту Стенли Рифкин, теперь уже под маской рядового банковского работника, перезвонил в другой отдел, где благополучно узнал номер счета.
На этот раз операционистка ответила коротким "спасибо" (если учесть все неизвестные для нее обстоятельства, то такая благодарность более похожа на ирониюпохожа на крайне ироничное замечание).

Администрирование телефонных систем

Правила администрирования телефонных систем позволяют сотрудникам идентифицировать поступающие звонки и защитить свою собственную контактную информацию.

Афера Эрика

Сначала он  позвонил в справочную и узнал номер телефона отделения DMV в его штате. Естественно, это был общедоступный телефон 503-555-5000 для посетителей. Затем он позвонил в ближайшее полицейское отделение и узнал адрес офиса Teletype, откуда посылается вся информация, касающаяся полиции в другие отделения. Затем он позвонил туда и сказал, что ищет телефон отдела безопасности в отделении DMV.
«А кто вы такой,» – поинтересовался полицейский в Teletype, ответивший на его звонок.
«Это Эл, сотрудник шерифа, я набираю 503-555-5753, но попадаю не туда,» - сказал Эрик. Этот номер он взял с потолка, но он отличался от номера для посетителей на три последние цифры, а кроме того, в DMV
наверняка должен быть телефон отдела безопасности.
Сотрудник Teletype не привык отвечать на подобные звонки, кроме того, звонящий правильно назвал ему большинство цифр, естественно было предположить, что это действительно сотрудник полиции.
«Номер 503-555-6127,» - ответил полицейский.
Итак, теперь у Эрика был специальный телефон, по которому звонят в DMV только полицейские. Но один номер не мог его полностью удовлетворить; в офисе должно быть много телефонов и Эрик должен был знать их все.

Анализ обмана

С помощью пары телефонных звонков, на которые было затрачено не более 15 минут, злоумышленник получил доступ к сети компании. Эта компания, подобно многим другим, имела, что называется, карамельную безопасность (candy security), впервые описанную Стивом Белловином и Стивеном Чесвиком – двумя исследователями из Bell Labs.
Они характеризовали такую безопасность как: «твердая хрустящая оболочка с мягким жевательным центром (chewy)», наподобие конфет M&M. Внешняя оболочка, брандмауэр, как доказали Белловин и Чесвик, является недостаточной защитой, потому что как только злоумышленник обойдет ее, внутренние компьютерные системы имеют мягкую, chewy-безопасность. В большинстве случаев, они недостаточно защищены.
Эта история соответствует данному определению. С помощью номера модема и аккаунта, взломщику не надо даже беспокоиться о преодолении интернет-брандмауэра, ведь как только он окажется внутри, то легко сможет подвергнуть риску большинство из систем внутренней сети.
Насколько я понял из моих источников, в точности такой трюк был проделан с одним из крупнейших мировых производителей компьютерного программного обеспечения. Вы могли бы подумать, что системные администраторы в этих компаниях должны быть обучены для обнаружения подобного рода проникновения. Но как показывает мой опыт, никто не может быть в полной безопасности, если социоинженер достаточно умен и убедителен.

Как и в предыдущей истории, эта уловка сработала только потому, что один из работников компании добровольно принял за чистую монету то, что звонивший был тем, кем он представился. Старание помочь коллеге, у которого возникла проблема, является, с одной стороны, частью того, что «смазывает колеса промышленности», и частью того, что позволяет работникам одних компаний более приятно взаимодействовать с работниками из других. Но именно эта услужливость может быть главной брешью, через которую пытаются проникнуть социоинженеры.
Одна из манипуляций Дэнни была восхитительна: Когда он просил кого-нибудь сходить и принести Secure ID из его стола, он использовал слово fetch (принести). Fetch – это команда, которую вы подаете своей собаке. Никто не хочет, чтобы его попросили «принести» что-либо. С помощью одного слова Дэнни устроил все таким образом, что в его просьбе «принести» было бы отказано и вместо этого принято другое решение, которое в точности соответствовало тому, к которому он стремился.
Оператор компьютерного центра Ковальски был обманут Дэнни с помощью упоминания имени человека, которого Ковальски, случайно знал. Но почему руководитель Ковальски, IT-менеджер, позволил какому-то незнакомцу получить доступ к внутренней сети компании? Просто потому, что звонок о помощи был веским и убедительным средством в арсенале социоинженера.


Ключ ко всем рассказанным историям – это получение ежедневных банковских кодов. Чтобы добыть их, атакующий Винс использует различные приемы.
Все начинается с легкого противоборства с Луи, который не хочет называть коды. У него есть все основания быть подозрительным: коды должен называть тот, кто звонит, а не кому звонят. В нормальной ситуации звонящий должен был назвать код сам. Это самый критичный момент для Винса, от которого зависит успех всей операции.
Чтобы развеять подозрительность Луи, Винс начинает давить на обычные человеческие чувства: «я собираюсь к доктору, уже 16 часов, а у меня еще куча работы», в сочетании с мягким запугиванием: «скажите ей, что я сделал все, что мог, но вы не назвали мне кода». Винс не пугает, он подразумевает, что Луи окажется в неудобном положении: если вы не назовете мне код, я не смогу переслать необходимую информацию вашему коллеге и она узнает, что вы не захотели ей помочь.
И все же не надо уж слишком обвинять Луи. Звонящий знает (или убедительно представляется знающим), что Анджела ждет факс, он знает о банковских порядках и даже об обозначении кодов при помощи букв. Он жалуется, что его начальник «озверел» в плане безопасности, что, скорее всего, характерно и для начальника Луи. Нет никаких оснований, отказывать ему в этой простой просьбе.
Луи совсем не одинок. Ежедневно сотни сотрудников банков называют коды безопасности хакерам. Это невероятно, но факт.
В деятельности Винса есть момент, когда из абсолютно законопослушного гражданина он становится преступником. Когда он узнает номер филиала банка и даже когда получает от Луи значения двух банковских кодов, еще нет повода для наказания. Он переступает границу, когда получает факс с конфиденциальными данными о клиенте банка.
Однако, для Винса и его нанимателя – это предприятие с очень небольшим риском. Когда вы крадете деньги или товары, кто-то наверняка заметит пропажу. Кражу информации очень сложно заметить, поскольку она никуда не исчезает, а остается на прежнем месте.


Давайте вернемся ко всей веренице уловок, с помощью которых Эрику удалось обмануть людей. Первый шаг – это получение конфиденциального номера DMV посредством звонка в комнату секретной связи Teletype в полицейском отделении. Ему поверили на слово, никак не проверив его личность.
Далее последовал звонок в департамент телекоммуникаций, где Эрику без колебаний поверили, что он является представителем Nortel, и снабдили телефонными номерами телефонных станций.
Эрику удалось безо всякого труда проникнуть на телефонную станцию, поскольку большинство производителей телефонного оборудования недостаточное внимание уделяют проблемам обеспечения безопасности и используют одно и то же имя пользователя для всех своих переключателей. Эта беззаботность позволяет хакеру быстро вычислить пароль, зная, что техники выбирают для паролей самые простые слова.
Получив доступ к переключателю телефонной станции, Эрик установил перенаправление звонка с одной из линий службы безопасности DMV на свой телефон.
После этого происходила самая трудная и в то же время наиболее эффектная часть работы, когда один полицейский за другим добровольно рассказывал Эрику все конфиденциальные сведения о себе, давая тому возможность в дальнейшем выдавать себя за них.
Операция удалась в результате сочетания мастерства и Эрика и беспечности целого ряда его собеседников. Она служит наглядным примером того, что люди никогда не задаются вопросом «Почему спрашивают именно меня?». Почему служащий в комнате секретной связи Teletype предоставляет сведения сотруднику шерифа – в нашем случае человеку, который всего лишь представился сотрудником шерифа – даже не предложив ему получить те же сведения у любого сержанта? Единственный ответ, который можно дать на этот вопрос заключается в том, что людям крайне редко задают такие вопросы, и они не знают – должны они на них отвечать или нет. Они не хотят выглядеть грубыми или невежливыми. Можно подумать о причинах такого поведения и еще, но меньше всего это занимает социального инженера; ему важно, что прием срабатывает, и он с легкостью получает информацию, которую по-другому очень непросто получить.


Стоит отметить, что в этой истории, основанной на реальных событиях, самозванцы были подростками, для которых вторжение являлось простой забавой. Они просто хотели посмотреть, получится ли у них выйти сухими из воды. Если парочке подростков удалось так легко провести всех вокруг пальца, можно представить, как легко это было бы сделать совершеннолетним похитителям, промышленным шпионам или террористам.
Каким образом три опытных охранника позволили паре самозванцев спокойно улизнуть? И не просто каким-то самозванцам, а подросткам, при виде которых любой разумный человек  должен был бы насторожиться.
Лерой был насторожен с самого сначала. Он сделал правильно, когда отвел их в отдел безопасности и стал задавать вопросы парню, выдающему себя за Тома Стилтона. И когда он проверял имена и телефоны, которые ему назвал этот парень. И, конечно, он правильно сделал, что позвонил менеджеру.
Но, в конце концов, он попался на крючок благодаря уверенности молодого человека и его негодованию. Лерой не мог предположить, что вор или самозванец будет так себя вести – только настоящий сотрудник повел бы себя так… По крайней мере он так думал. Надо было бы научить Лероя полагаться на веские факты, а не на восприятие.
Почему он не насторожился еще больше, когда молодой человек повесил трубку, не передав ее Лерою, чтобы тот сам смог услышать подтверждение непосредственно от Джуди Андервуд. И она бы сказала, что у этого паренька действительно была причина находиться на заводе так поздно.
Хитрость, на которую попался Лерой, была такой откровенной, что это даже очевидно.
Но посмотрите на это дело с его стороны: вчерашний выпускник школы, обеспокоенный за свою работу, которого раздирают сомнения. Вдруг у него будут неприятности из-за того, что он побеспокоил менеджера компании посреди ночи дважды? Если бы вы были на его месте, вы бы позвонили второй раз?
Но конечно, второй телефонный звонок не был единственно возможным ответным действием. Что еще мог сделать охранник?
Например, перед тем как позвонить, он мог бы попросить обоих предъявить какое-нибудь удостоверение личности, причем с фотографией.


Принимая во внимание мой личный опыт и опыт корпорации Оракл, вам вероятно будет небезынтересно узнать, почему кому-то хочется рисковать, воруя чей-либо мусор.
Ответ, я думаю, в том, что риск нулевой, а выгода может быть вполне существенной. Попытка подкупить уборщиков конечно повышает риск последствий, но для тех, кто готов лишь слегка запачкаться, давать взятку совершенно не обязательно.
Копание в мусоре выгодно и социоинженеру. Он может получить достаточно информации для нападения на определенную компанию. Это могут быть докладные записки, программы встреч, письма и все такое, что раскрывает имена, отделы, телефонные номера, задачи проектов. Мусор может выдать организационные схемы компании, информацию о ее структуре, графики поездок и так далее. Все эти детали покажутся сотрудникам компании слишком незначительными, однако могут стать драгоценной информацией для нападающего.
В своей книге «Безопасность в Интернете на основе Windows NT» Марк Джозеф Едвардс рассказывает об огромном числе рассекреченных документов благодаря паролям, которые были написаны на клочках бумаги, сообщениям «Меня нет на месте» с номерами контактных телефонов, папкам с документами, дискетам и пленкам, которые не были уничтожены или стерты – все то, что может помочь нападающему.
Автор восклицает: «Кто те люди, которые являются уборщиками? Вы регламентировали, что уборщикам нельзя входить в компьютерный зал. Но не забывайте про мусорные корзины. Если федеральные агенты считают необходимым проверять прошлое людей, у которых есть доступ к мусорным корзинам и уничтожителям бумаг, так может быть и Вам стоит следовать их примеру».
***


При помощи подростка-хакера, обиженный работник умудрился получить доступ к компьютеру начальника отдела, открыть файл с важной презентацией и поменять картинки на некоторых слайдах. Затем он просто вернул этот файл на место.
При помощи модема, подключенного к телефонной розетке и к офисному компьютеру, юный хакер смог подключиться к этому компьютеру находясь вне офисеа. Этот мальчишка установил удаленный доступ к компьютерным программам заранее для того, чтобы однажды подключившись к компьютеру, у него был доступ ко всем файлам, хранимых в единой системе. Так как этот компьютер был подключен к сети, а он знал логин и пароль босса, то без труда мог открыть любой файл босса.
Вся эта работа заняла несколько часов, включая и сканирование картинок из журналов. А последствия удара по репутации хорошего человека даже сложно вообразить!


Захватчик, который представился Питером Мильтоном, прибегнул к двум психологическим методам – одна методика была спланирована, другая –импровизация. Он оделся как менеджер, который зарабатывает хорошие деньги. Костюм, галстук, очень аккуратно причесанные волосы. Кажется, что это мелкие детали, но они производят впечатление. Я это сам открыл совершенно случайно. За короткое время, что я был программистом в компании GTE California – крупная телефонная компания, которая уже больше не существует – я выяснил однажды, что, входя в здание без пропуска, аккуратно одетым, но в повседневной одежде, например, спортивной футболке, хлопчатобумажных брюках, меня останавливали и начинали задавать вопросы. Где ваш пропуск, кто вы, где вы работаете? На следующий день я прибыл без пропуска, но в костюме и галстуке и выглядел очень официально. Я прибегнул к старой технике – присоединился к толпе людей, входящей в здание или проходящей через охрану. Я держался рядом с людьми, когда они приближались к главному входу, и прошел внутрь, болтая с кем-то из толпы, как будто я был одним из них. Я прошел мимо охранников. И даже если они заметили, что на мне нет пропуска, то не остановили меня. Потому что я выглядел как менеджер и я был с людьми, на которых были пропуска.
Из этого опыта я понял, насколько поведение охраны предсказуемо. Они, так же как и мы, судят по внешности – это и есть уязвимое место, которое социоинженеры научились использовать в своих интересах.
Второй психологический прием атакующий применил, когда заметил необычные достижения секретаря. Делая несколько дел сразу, она была спокойна, и вела делала так, что каждый чувствовал – она уделяет ему все свое внимание. Он увидел в этом желание продвигаться по службе. Потом, когда он заявил, что работает в отделе маркетинга, он наблюдал за ее реакцией, ожидая знака, с помощью которого между ними бы установилось взаимопонимание. У него это получилось. Для нападающего это означало, что у него теперь есть еще один человек, которым он может манипулировать, достаточно было пообещать девушке работу получше. (Само собой разумеется, если бы она сказала, что хочет работать в отделе бухучета, он бы заверил, что у него есть там знакомые, и он поможет найти работу.)


Это история проливает свет на интересную проблему. Платежные ведомости были доступны людям, занимающимся поддержкой компьютерных систем компании. Встает вопрос о том, можно ли им было доверять. Довольно часто ИТ-сотрудники не могут устоять от соблазна “вынюхать” информацию, лежащую на поверхности. И они имеют все возможности для этого, поскольку обладают привилегиями доступа к файлам.
Всегда разумно обеспечивать проверку любого доступа к таким важным файлам компании, как платежные ведомости. Конечно, человек с правами администратора может отключить проверку или уничтожить следы своего просмотра тех или иных файлов, но каждое такое дополнительное усилие также приходится маскировать, а это все труднее сделать.


Рассказанный эпизод наглядно демонстрирует, как социальный инженер может решить задачу, которая кажется совершенно непосильной, при этом обмануть несколько человек, заставив их делать то, что с их точки зрения совершенно безобидно. На самом деле каждое их действие представляло собой маленький кусочек, которые, складываясь воедино, сделали возможным это мошенничество.
Первым «кусочком» была сотрудница телефонной компании, которая думала, что дает информацию кому-то из правительственной организации.
Следующей стала сотрудница телефонной компании, которая знала, что не должна менять параметры телефонной линии без специального заказа на обслуживание, но согласилась помочь симпатичному человеку. Это дало возможность свободно звонить извне по всем десяти телефонам исправительного центра.
Для мужчины из исправительного центра в Майами, звонок коллеги из другого исправительного учреждения с просьбой помочь и сообщением о компьютерной проблеме был совершенно естественным. И хотя по здравому размышлению совершенно непонятно, зачем звонить из Нью-Йорка в Майами, чтобы узнать номер корпуса, где содержится заключенный, почему бы не ответить на вопрос коллеги?
А охранник из десятого северного корпуса, который поверил, что звонящий действительно его коллега звонит по официальному делу? Для него абсолютно естественным было позвать к телефону заключенного Гондорффа. Пустячное дело.
Целая серия хорошо спланированных шагов сложилась в единую цепь.


В этой атаке, которая базируется на использовании, как технических так и человеческих уязвимостей, атакующий начал свою работу с телефонных звонков для получения наименований и мест расположения серверов команды разработчиков, на которых хранится нужная ему информация.
Затем он использовал специальную программу, чтобы выяснить имена пользователей, имеющих учетные записи на сервере разработчиков. После этого он провел две последовательные атаки для выяснения паролей. Словарную атаку, которая отыскивала наиболее распространенные пароли, путем перебора всех слов из словаря, а также имен, географических названий и других известных слов.
Поскольку коммерческие и общедоступные хакерские средства могут быть запросто получены любым человеком, независимо от того, какие мысли бродят в его голове, надо гораздо более серьезно относиться к защите корпоративных компьютерных систем и сетевой инфраструктуры.
Степень этой угрозы нельзя переоценить. Как отмечает журнал Computer World, исследование фонда Оппенгеймера привело к потрясающим результатами. Вице-президент этого фонда по сетевой безопасности запустил ПО для атаки на сотрудников своей компании, используя один из широкодоступных пакетов программ: через три минуты ему удалось раскрыть пароли 800 сотрудников!


Любой охранник имеет набор инструкций, которым он должен следовать в процессе работы, но никакая инструкция не может предусмотреть все возможные ситуации. Никто не говорил этому охраннику, что пара строк напечатанных на компьютере по просьбе того, кого он посчитал сотрудником компании, может принести колоссальный вред.
Благодаря помощи охранника, оказалось достаточно просто получить доступ к ключевой системе, которая содержала оригинал кодов, несмотря на то, что была спрятана за закрытой дверью лаборатории. Естественно, у охранника есть ключи ко всем дверям.
Даже вполне лояльный сотрудник (в нашем случае Юлия) может быть обманут таким образом, что выдаст важную информацию социальному инженеру, например о расположении компьютера с этой информацией. А это в дальнейшем послужит ключом к успеху атаки, во время подготовки к выпуску очередной версии ПО для распространения. Это очень важно, поскольку если изменения такого рода сделаны слишком рано, то они имеют шанс быть обнаружены или устранены при переформировании операционной системы из независимого источника.
Вы зафиксировали тот факт, что охранник взял распечатку из лаборатории на свое рабочее место и затем уничтожил ее? Это очень важная деталь. Когда оператор, работающий на компьютере, придет утром на работу, он не должен найти следов присутствия атакующего ни в ПК, ни в мусорной корзине. Этого удалось избежать при помощи все того же охранника.


Конечно, такой звонок вполне мог на самом деле исходить от производителя баз данных. Но тогда он бы не попал в эту книгу.
В этом случае социальный инженер повлиял на свою жертву тем, что создал ощущение страха из-за возможности потерять важную информацию и предложил немедленное решение, как избежать этой потери.
Когда социальный инженер общается с тем, кто осознает ценность информации, он должен привести убедительные аргументы для получения параметров удаленного доступа. Иногда ему приходится создать ощущение срочности происходящего, чтобы не дать оппоненту возможности серьезно задуматься о том, что происходит на самом деле.


В этом примере атакующий достиг своей цели, заставив новичка действовать в своих интересах, опираясь на то, что новичок будет более расположен помочь старожилу и менее осведомлен о сотрудниках компании и правилах безопасности, которые могли бы ему помешать.
Поскольку Курт в разговоре с Анной, сотрудницей финансового отдела, представился вице-президентом, он знал, что почти наверняка она не станет проверять правильность его слов. Наоборот, она скорее всего получала удовольствие от того, что помогает вице-президенту.
И процесс установки шпионского ПО не вызвал у Анны никаких эмоций. Она и представить себе не могла, что ее совершенно безобидные действия помогут атакующему получить информацию, которая может быть использована против интересов ее компании.
Почему для сбора всей информации, исходящей от вице-президента, был выбран почтовый адрес на Украине? Прежде всего потому, что удаленное расположение адреса затрудняет действия против его владельца, а кроме того в таких странах подобные виды мошенничества еще не считаются серьезным преступлением. Именно поэтому, перекачивание украденной информации в те страны, которые не сотрудничают с правоохранительными органами США, является очень привлекательным выбором для хакеров.

Анализируя жульничество

Каждый из нас когда-то был новичком. Мы все храним воспоминания о первом рабочем дне, когда мы были молоды и неопытны. Именно поэтому, если новый сотрудник просит о помощи, он вправе рассчитывать на нее, и особенно на помощь молодых сотрудников, кто хорошо помнит свои ощущения в подобной ситуации. Любой социальный инженер знает об этом и понимает, что может сыграть на таких чувствах своих жертв.
Мы сами упрощаем посторонним людям путь в наши компании, фабрики и офисы. Даже с охранниками на входе и строгой пропускной системой для тех, кто не является сотрудником, существует немало способов получить карточку посетителя и проникнуть внутрь. А есть ли в вашей компании правило, чтобы посетителей обязательно сопровождали сотрудники? Это хорошее правило, но оно эффективно лишь в том случае, когда сотрудники компании внимательно следят за наличием карточки посетителя на груди каждого проходящего мимо них человека и останавливают любого, у которого нет такой карточки. Если объяснения пришельца будут недостаточно убедительны, сотрудники компании должны незамедлительно обратиться в службу безопасности.
Простота проникновения пришельцев на территорию компании угрожает безопасности Вашей информации. А в современных условиях, когда повсюду существует угроза терроризма, риску подвергается не только информация.

Линда смогла получить сведения, необходимые для осуществления своей мести, поскольку у нее была важная дополнительная информация - номера телефонной компании и знания о механизмах ее работы. Поэтому она сумела отправить техника ночью через весь город на другую телефонную станцию и с его помощью определить телефонный номер, который не был предназначен для раскрытия.


Уловка устрашения при помощи ссылки на руководство работает особенно хорошо, если ваш собеседник занимает в компании невысокий пост. Использование имени руководящего сотрудника не только заставляет забыть о подозрительности, и делает человека готовым к сотрудничеству; естественное желание быть полезным усиливается многократно, если человек, которому оказывают услугу, занимает высокий пост.
Опытный социальный инженер знает, что лучше всего использовать не имя непосредственного начальника, а кого-то из руководства более высокого уровня. Подобный обман бывает сложно реализовать в небольшой компании: атакующий наверняка не захочет, чтобы его жертва могла быстро вычислить обман, связавшись с вышестоящей персоной, допустим, из отдела маркетинга. Заявление такого рода: «Я послал маркетинговый план по продукту, о котором меня спрашивал тот парень», может легко породить встречный вопрос: «Какой план и кто конкретно его запрашивал?». Отсюда недалеко до открытия, что компания подверглась нападению.
Совет Митника
Запугивание может вызвать у людей страх, склоняя их к сотрудничеству. Запугивание может вызвать боязнь наказания или боязнь показаться некомпетентным.
Сотрудники компании должны быть специально обучены тому, что безопасность важнее слепого поклонения перед руководством. Во время специальных тренингов надо учить людей вежливо, не обостряя взаимоотношения, отказывать руководству, получая указания, противоречащие политике безопасности. Мало того, подобное поведение должно утверждаться руководством любого уровня. Если не поддерживать принципиальность поведения сотрудников, то они, в конце концов, откажутся от нее.


Эффективность такого подхода основана на симпатии тем, кому приходится работать за чужим компьютером и тому, что «начальник очень недоволен мной». Люди не слишком часто проявляют эмоции во время работы, поэтому призыв: «я в беде, помогите мне» обычно обречен на успех.


Звонок Петера в маркетинговую компанию – пример наиболее распространенной формы социальной инженерии - простой попытки, которая не требует большой подготовки, удается с первого раза и занимает всего несколько минут.
Мэри, оказавшись в роли жертвы, просто не подозревала, что с ней может быть сыграна такая шутка, поэтому и не стала писать отчета о произошедшем инциденте.
В этом случае все сработало, поскольку Петер использовал три приема социальной инженерии. Во-первых, он сразу же заручился ее желанием сотрудничать, запугав ее, заставив поверить, что ее компьютер может выйти из строя. Затем он потратил некоторое время, дав Мэри запустить два приложения и убедиться в том, что они работают нормально. Это укрепило связь между ними, возникло ощущение сотрудничества. Далее в благодарность за то, что он убедил ее в работоспособности компьютера, Мэри пошла на дальнейшее сотрудничество с ним, что и было основным этапом его работы.
Повторив несколько раз, чтобы она ни в коем случае не произносила вслух свой пароль, Петер выполнил важную и трудную часть работы: убедил Мэри в том, что не хочет нарушать безопасность файлов компании. Это убедило ее в том, что он стоит на страже ее интересов и интересов компании.


Сотрудники офиса районного прокурора в любом районе постоянно общаются с сотрудниками правоохранительных органов – отвечают на вопросы, организуют встречи, передают послания. Если человек звонит и представляется офицером полиции, заместителем шерифа или кем-то еще из работников этой области, ему обычно верят на слово. Если только его речь не звучит совсем неадекватно, он правильно употребляет термины и не говорит откровенных глупостей, ему не зададут ни одного дополнительного вопроса. Именно это и произошло в нашем случае с двумя сотрудниками.
Для получения нужной информации Артуро очень помогла игра на сочувствии, когда он рассказал о встрече с сотрудниками секретной службы и о забытых дома материалах. Услышавшая эту «трогательную» историю, секретарь, конечно же, решила помочь попавшему в трудную ситуацию коллеге.


В процессе этой атаки использовался еще один прием, о котором я не говорил раньше: атакующий попросил администратора базы данных университета провести его по всем этапам процесса, который он не знал, как реализовать. Это похоже на то, что владелец магазина помог бы вам вынести из магазина коробку с продуктами, которые вы только что украли с полок.

Антивирус бессилен?

Антивирусное ПО не может выявить коммерческое шпионское ПО, считая его не опасным, несмотря на то, что оно шпионит за другими людьми. Поэтому компьютерный аналог прослушивания телефонов работает совершенно незаметно и создает угрозу для каждого из нас оказаться под скрытым наблюдением в любое время. Конечно, производители антивирусного ПО могут оправдывать существующее положение дел тем, что шпионское ПО может использоваться для вполне законной активности и не угрожать таким образом обществу. При этом все знают, что это ПО с успехом используется хакерами. Таким образом, существуют двойные стандарты, и я не понимаю, почему это происходит.
Еще один продукт, предлагаемый в том же электронном письме, обещал копировать все картинки с экрана компьютера пользователя, аналогично тому, как если бы из-за спины за ним наблюдала видеокамера. Некоторые из предлагаемых программных продуктов даже не требуют физического доступа к компьютеру жертвы. Можно установить и сконфигурировать приложение при помощи удаленного доступа и вы мгновенно получаете своеобразно компьютерное прослушивание! Сотрудникам ФБР такая технология должна очень понравиться.
Поскольку шпионское ПО так распространено, то любая компания, заботящаяся о своей информационной безопасности, должна обеспечить два уровня защиты. Вам следует установить ПО для выявления шпионского ПО такое, как SpyCop (которое можно скачать с www.spycop.com) на все рабочие станции, и вы должны убедиться в том, что все сотрудники периодически запускают его. Кроме того, все сотрудники должны быть проинструктированы о существующей опасности загрузки шпионского ПО на их компьютер, в том числе в случае простого открытия электронного письма.
Чтобы предотвратить возможность установки шпионского ПО в момент отсутствия (на обед, кофе или встречу) владельца ПК, надо требовать, чтобы все сотрудники закрывали свой ПК при помощи пароля на «скринсейвере» (заставке) или аналогичными средствами, которые существенно снижают риск неавторизованного доступа в ваш компьютер. Ни один человек, заглянувший в вашу комнату или офис не должен получить доступ к вашим файлам и электронной почте, а также иметь возможность установить на вашем компьютере шпионское или иное злонамеренное ПО. Защитить паролем заставку предельно просто, а выгоды от защиты вашего компьютера – очень существенные. Нет никакого смысла проводить серьезный анализ эффективности такой акции, ее надо просто сделать.

Атака на «низшие чины» в компании

Как показывают представленные в этой книге истории, опытный социальный инженер часто направляет свой удар на самые низшие чины в иерархии атакуемой компании. Такими людьми несложно манипулировать и получить на первый взгляд безобидные сведения, которые еще на один шаг приблизит атакующего к гораздо более серьезной информации.
Атакующий выбирает таких людей своей мишенью, поскольку они обычно мало что знают о ценности той или иной информации или о возможных последствиях каких-то действий. Они легко поддаются воздействию самых распространенных приемов социальных инженеров - звонку человека, представившегося начальником; дружелюбному и ласковому собеседнику; человеку, который представляется знатоком всех людей в компании; сильно спешащему человеку или любому другому, кому жертва считает нужным оказать свое предпочтение.
Вот несколько реальных примеров атак на низшие чины.

Атака на пароль

Теперь Иван переключился на технические методы атаки, чтобы получить информацию об аутентификации. Первый шаг технической атаки на системы с возможностью удаленного доступа заключается в отыскании входа со слабым паролем, который и предоставит доступ в эту систему.
Когда атакующий пытается использовать специальные хакерские средства для определения пароля с помощью удаленного доступа, это может потребовать соединения с сетью компании в течение нескольких часов. Конечно это риск: чем больше вы остаетесь соединенным с системой, тем больше рискуете быть обнаруженным и пойманным.
Перед началом атаки Иван решил провести инвентаризацию, для выяснения всех подробностей, касающихся его мишени. В интернете можно найти необходимые программы для этой цели (http://ntsleuth.0catch.com - перед «catch» расположен ноль). Иван отыскал в интернете несколько общедоступных хакерских средств для автоматизирующих процесс подбора, что избавляло его от необходимости проводить процесс собственноручно и существенно убыстряло его, тем самым снижая риск. Зная, что организации обычно используют сервера на базе Windows, он перегрузил к себе программу NBTEnum, анализирующую NetBIOS
(систему ввода/вывода). Он ввел IP-адрес сервера ATM5 и запустил программу. Она должна была определить пользователей, имеющих учетные записи на этом сервере.

Атака Пита

Пит отправил несколько своих сотрудников на поиск сведений, и уже через несколько дней знал, где Дженкинс и Петри хранят архивы своих дел. Он узнал также, что компания, занимающаяся обслуживанием архива, имеет список имен тех лиц, которым разрешено брать ленты из архива. Он узнал и то, что у каждого из этих людей есть свой собственный пароль. Двух своих сотрудников Пит послал на вскрытие этого “черного ящика”.
Его сотрудники открыли замок, используя специальную отмычку, заказанную через интернет на сайте www.southord.com. Буквально через несколько минут они проникли в офис фирмы (это было в районе трех часов утра) и запустили компьютер. И с улыбкой переглянулись, когда увидели на экране логотип Windows 98 – это означало, что работа не будет слишком сложной. Windows 98 не требуют никакой формы аутентификации. Они быстро обнаружили базу данных Microsoft Access с именами людей, авторизованных для получения лент в архиве. Они добавили в этот лист фальшивое имя, которое соответствовало фальшивым водительским правам, имевшимся у одного из них. Могли ли они проникнуть в запертый архив и отыскать ленты, необходимые их клиенту? Конечно могли, но тогда все сотрудники архива узнали бы о взломе. И атакующие потеряли бы свое преимущество: профессионалы всегда стремятся оставлять себе лазейку для будущих проникновений в то же место, если возникнет необходимость.
Следуя обычной практике промышленных шпионов – всегда иметь что-то «в заначке» для будущего использования – они сохранили копию файла, содержащего авторизационный список, на гибкий диск. Никто из них даже не представлял, каким образом это может оказаться полезным, но руководствовались соображением, которое сплошь и рядом оказывается продуктивным: «раз уж мы здесь, почему бы не прихватить и это».
На следующий день один из взломщиков позвонил в хранилище лент, назвал имя, добавленное к списку авторизации, и пароль. Он попросил все ленты Дженкинса и Петри, датированные последним месяцем и сказал, что служба доставки приедет за упаковкой. К середине дня были ленты в офисе Андресона. Его сотрудники перегрузили все содержимое в компьютеры и начали спокойно искать то, что им было нужно. Андресон был особенно доволен тем, что юридическая компания, так же как и большинство других компаний, не заботятся о шифровании архивов.
Ленты были возвращены в хранилище на следующий день, и никто ничего не заподозрил.

Атаки Ширли

До сих пор - все это была всего лишь подготовка. Теперь она была готова использовать искусство обмана.
Она позвонила в департамент обслуживания клиентов.
– Я со своей коллекцией нахожусь в Кливлендском офисе, - сказала она. А затем использовала уже знакомый нам прием - Мой компьютер ремонтируется технической службой и мне надо, чтобы вы проверили эту информацию.
И она назвала имя и дату рождения человека, чью личность она намеревалась “украсть”. Затем она перечислила сведения, которые ей были нужны: адрес, девичью фамилию матери, номер кредитной карточки, предельный кредит и историю платежей.
– Перезвоните мне по этому номеру, – назвала она выданный ей номер внутреннего расширения, который только что назвал ей администратор голосовой почты. – А если меня не будет, сообщите, пожалуйста, на голосовую почту.
Все утро она занималась своими делами, а днем проверила голосовую почту. Там было все, что она просила. Перед тем, как положить трубку, Ширли уничтожила свое голосовое приветствие, чтобы не оставлять никаких следов.
В результате было совершено одно из преступлений, популярность которого быстро растет. Используя номер кредитной карты и все касающиеся ее сведения, Ширли начала тратить деньги, находящиеся на ней.

Бегущий человек

Один человек, предположим, некий Фрэнк Парсонс, находился в бегах долгие годы, его безустанно искали федералы за участие в подпольной антивоенной организации 60-ых. В ресторанах Фрэнк всегда сидел лицом к двери, он научился профессионально оглядываться и регулярно, каждые несколько лет, менял место жительства.
В результате очередного переезда Фрэнк оказался в неизвестном городке, где занялся поисками новой работы. Для человека, такого как Фрэнк, с продвинутыми знаниями компьютера (и с навыками социоинженерии, о чем он, конечно, не упоминал в анкетах по найму) найти хорошую работу – это не проблема. Если не брать в расчет периоды экономического спада, человеку с хорошими знаниями в компьютерной области достаточно просто обменять свой талантсвои способности на деньги. Итак, Фрэнк устаивается набыстро нашел хорошо оплачиваемую работу в крупной, перспективной и развивающейся конторе, причем перспективную и развивающуюся контору. Офис находится недалеко от дома, что тоже приятно.
То что надо, подумал Фрэнк. Но когда дело дошло до заполнения всяческих анкет, оказалось, что работодатель требует предъявить справку из полицейского управления штата. В папке с документами прилагалась и форма запроса на получение такой справки, а на этой форме был небольшой квадрат – место для отпечатка пальца. В квадратике должен появиться всего один отпечаток указательного пальца правой руки, но этого достаточно, чтобы устроиться не на перспективную должность, а посудомойщиком в федеральной колонии.
Посмотрев на эту бумагу Фрэнк вдруг подумал, что может быть это не смертельно. Возможно полиция вообще не отсылает отпечатки в ФБР. Но как это проверить?
Как? Наш Фрэнк социоинженер - и как вы думаете, он выкрутился? Он немедленно позвонил в службу надзора штата и сказал: «Здравствуйте. Мы изучаем обстановку для Департамента Юстиции. Исследуем инфраструктуру для внедрения новой системы идентификации отпечатков. Могу я поговорить со специалистом?»
Трубку передали местному эксперту, которому Фрэнк задал несколько вопросов о действующих системах, возможностях поиска и хранения отпечатков.
Нет ли каких проблем с оборудованием? Работают ли они с Федеральным Информационным Центром по борьбе с Преступностью (NCIC) или обмениваются данными только в пределах штата? Удобно ли работать с существующим оборудованием, не испытывают ли служащие проблем в изучении системы?

Ключевой вопрос был вкрадчиво задан одним из последних.

И ответ прозвучал приятной музыкой: «Нет, они не связали нас с системой NCIC, так что мы проверяем только по информационному криминальному реестру штата (CII)».

Комментарий Митника

Осторожные по натуре информационные грабители не стесняются лишний раз позвонить в федеральные, областные или местные управления, чтобы уяснить для себя механику юридических процедур и уголовного преследования. Согласитесь, что с такой информацией, полученной из первых рук, социоинженеру ничего не стоит обойти стандартные проверки той или иной компании.

Это все, что хотел узнать Фрэнк. В этом штате за ним ничего не числилось, так что он спокойно заполнил анкеты, был благополучно принят на работу и никто в последствии не пришел к нему со словами: «Эти джентльмены из ФБР хотят задать вам пару несколько вопросов».

И Фрэнк стал примерным служащим, в своем амплуа.

Берегитесь шпионского ПО

Было время, когда коммерческое шпионское ПО использовалось, в основном, родителями для досмотра за тем, что делают их дети в интернете, и сотрудниками компаний, отслеживающими недопустимую активность коллег в том же интернете. Более серьезная задача – определить попытки кражи информации из сети компании или другие действия промышленного шпионажа. Разработчики шпионского ПО рекламируют свои продукты, как средство для защиты детей, а на самом деле их рынок – личности, желающие за кем-то шпионить. Еще одной движущей силой роста продаж подобного ПО сегодня стали люди, стремящиеся понять, не обманывает ли их супруг или еще кто-нибудь.
Незадолго до того, как я приступил к написанию этой книги, человек, получающий мою электронную почту (поскольку мне запрещено пользоваться интернетом) обнаружил рекламный спам, предлагающий целый ряд продуктов шпионского ПО. Вот как описывался один из них.
Фаворит! Он должен быть у вас. Эта мощная программа дли контроля и шпионской деятельности секретным образом копирует все строчки, время и название всех открытых на компьютере «окон» в текстовый файл, работая в фоновом режиме. Все записи могут быть зашифрованы и автоматически отосланы на определенный адрес электронной почты или же записываться на жесткий диск. Доступ к программе защищен при помощи пароля и она может быть спрятана от меню CTRL+ALT+DEL.
Используйте эту программу для того, чтобы контролировать определенные адреса в интернете, сессии «чатов», электронную переписку и многое другое (даже пароли ;-)).
Устанавливается на ЛЮБОМ ПК незаметно и пересылает вам все записи!!!!!

Беспечный компьютерный менеджер

Хотя многие из работников организаций небрежны, беспечны или незнакомы с угрозами безопасности, вы вправе надеяться, что кто-то, носящий звание менеджера компьютерного центра Fortune
500 corporation в совершенстве знаком с лучшими практиками обеспечения безопасности, не правда ли?
Вы, вероятно, не ожидали, что менеджер компьютерного центра – тот, кто является частью IT-отдела компании – падет жертвой явного и откровенного мошенничества социоинженера. Особенно, если социоинженер ненамного старше, чем молодой сотрудник, едва вышедший из подросткового возраста. Но иногда ваши ожидания могут не оправдаться.

Безопасное внешнее хранилище

Что может помочь компании, у которой возникают проблемы с внешним хранилищем данных? Угрозы можно избежать, если компания будет шифровать всю внутреннюю информацию. Естественно, шифрование требует дополнительной траты времени и вложения денег, но это стоит сделать. Зашифрованные файлы надо регулярно проверять, чтобы быть уверенным в том, что шифрование/расшифровка работают без сбоев.
Всегда есть опасность того, что ключи шифрования будут потеряны или, что единственный человек, который их знает, попадет под колеса автомобиля. Но даже осознавая риск всего этого, хранить информацию на складе посторонней фирмы в незашифрованном виде – это глупость, граничащая с идиотизмом. Это все равно, что ходить в неблагополучных кварталах с сотенными бумажками, торчащими из карманов, провоцируя окружающих на то, чтобы вас ограбили.
Оставлять архивные ленты там, куда кто-то посторонний может попасть – обычный недосмотр в системе безопасности. Несколько лет назад я работал в компании, которая могла бы получше защищать свою информацию. Сотрудники оставляли ленты с копиями всех программ вне запертых дверей вычислительного центра. Каждый мог взять архивную ленту, содержащую все документы в незашифрованном виде. Если информация на архивных лентах шифруется, потеря ленты – ерунда; если она не зашифрована, тогда вы можете представить себе воздействие этого факта на компанию лучше, чем я.
Несложно представить себе, как нужно любой крупной компании надежное внешнее хранилище информации. Процедуры безопасности в вашей компании должны включать в себя и проверки компании, хранящей вашу информацию, чтобы быть уверенным в обеспечении безопасности в ней. Если они не столь серьезны, как в вашей компании, то все ваши меры безопасности могут быть бесполезны.
У небольших компаний есть хорошая альтернатива для создания архива: посылайте ежедневно новый и измененный файл в компанию, занимающуюся хранением данных. Очень важно, чтобы вся информация была зашифрована. Иначе информация становится доступной не только нечестным сотрудника компании, хранящей информацию, но и любому компьютерному хакеру, который сможет взломать систему защиты компьютерной сети.
В том случае, если вы организуете систему шифрования, чтобы обеспечить безопасность ваших архивных файлов, вы должны организовать и безопасную процедуру для хранения ключей шифрования и паролей, дающих к ним доступ. Секретные ключи, используемые для шифрования данных, должны храниться в безопасных сейфах. Необходимо предусмотреть такие ситуации, когда сотрудник, владеющий ключами, неожиданно исчезает, умирает или переходит на другую работу. Должно быть как минимум двое сотрудников, знающих места хранения ключей и процедуру шифрования/расшифровки в подробностях, также как и политику того, как и когда меняются эти ключи. Политики должны включать в себя категорическое требование немедленной смены ключей после ухода имевшего доступ к ним сотрудника.

Безопасность через технологии, обучение и процедуры

Компании, которые проводят тесты на безопасность, заявляют, что все попытки проникновения в клиентские компьютерные системы с использованием социоинженерных практик оказались почти на 100 процентов успешными. Технологии, сами по себе, могут лишь затруднить эти атаки, если совсем исключить человеческий фактор из сферы принятия того или иного решения. Однако единственно верный и по-настоящему эффективный подход заключается в комбинировании технологий безопасности с политикой информационной безопасности, подкрепленной соответствующим обучением и тренировкой кадров.
Ваши производственные планы могут находиться в безопасности только при одном условии: работники предприятия компетентны в вопросах обеспечения защиты. А для этого необходимо не только проводить тренинги по использованию процедур и правил политики информационной безопасности, но и, что еще важнее, необходимо создать программу повышения компетентности в вопросах защиты предприятия. Некоторые специалисты рекомендуют тратить на эту программу до 40 и более процентов корпоративного бюджета, выделенного на безопасность.
Прежде всего, придется убедить каждого сотрудника организации в том, что на свете существуют беспринципные люди, которые при помощи обмана могут психологически воздействовать и манипулировать им. Затем служащие должны понять, какую именно информацию необходимо защищать и как именно ее защищать. Однажды поняв, как ими могут манипулировать, люди в дальнейшем более подготовлены для того, чтобы идентифицировать и предупредить атаку.
Повышение компетентности подразумевает также обучение сотрудников правилам и процедурам, которые описаны в корпоративной политике безопасности. В следующей главе говорится именно о том, что политика – это свод неоспоримых правил, в рамках которых должен действовать служащий и которые позволяют обеспечить защиту информационных систем и служебной информации предприятия.
Эта и следующая главы представляют собой описание проекта системы безопасности, которая оградит вас от дорогостоящих атак на информацию. И если у вас бдительных и обученных работников, которые руководствуются хорошо продуманными правилами, то уже не важно как, а остается под вопросом только когда вы отдадите свою самую ценную информацию в руки социоинженеру. Реализуйте правила безопасности как можно скорее, не ждите, пока вам нанесут удар – он может оказаться просто сокрушительным для бизнеса и благополучия ваших сотрудников.

Безопасность притона

Во времена «сухого закона» существовали ночные заведения, где самогон тек рекой. Потенциальный покупатель должен был подойти к определенной двери и постучать. Через какое-то время в двери открывалась маленькое оконце и оттуда показывалась бандитская, наводящая страх рожа. Посетитель должен был назвать имя завсегдатая этого места (например, «Я от Джо», часто было достаточным), после чего громила отпирал дверь изнутри и позволял войти.
Характерной чертой было то, что надо было знать расположение нужного клуба, потому что дверь не была подписана, а владелец не вывешивал неоновую рекламу для обозначения своего заведения.
В большинстве же случаев, кроме местонахождения притона, ничего больше знать было не нужно. Такая же степень сохранности, к несчастью, широко применяется в корпоративном мире, обеспечивая тот уровень незащищенности, который я называю speakeasy-безопасность.

Безопасные ИТ!

Не надо забывать, что в любой компании мало-мальски опытный сотрудник ИТ-департамента может безо всякого труда узнать заработок любого руководителя или сведения о том, кто из них летает кататься на лыжах, используя корпоративный самолет.
Более того, ИТ-сотрудники могут слегка увеличить свой заработок, организовать выплаты за несуществующие работы и удалить ненужные записи из своего личного дела. Иногда лишь боязнь быть пойманными за руку удерживает их от таких действий, но обязательно настает день, когда кто-то лишенный этой боязни получает любую информацию, которая ему необходима.
Конечно, с подобной “вседоступностью” можно и нужно бороться. Наиболее важные данные должны быть защищены таким образом, чтобы их могли открыть только авторизованные пользователи. В некоторых операционных системах есть специальный аудиторский контроль, который создает и сохраняет записи обо всей активности в сети, такой например, как попытка открытия защищенного файла, независимо от того - удалась она или нет.
Если все эти проблемы осознаны руководством вашей компании и все соответствующие уровни контроля доступа к важной информации и проверки внедрены – вы сделали очень существенные шаги в правильном направлении.

Блиц-MLAC на скорую руку

Хотите узнать номер телефона, которого нет ни в одном справочнике? Настоящий шпион может подсказать вам полсотни способов, но самый простой метод заключается в одном единственном звонке по телефону.

«Босс велел сделать это»

Популярная и очень эффективная форма запугивания – популярная потому, что крайне простая – она основана на широко распространенной боязни руководства.
Даже имя помощника исполнительного директора может оказаться очень полезным. Так поступают все частные сыщики и «охотники за головами». Они звонят в приемную и просят соединить с офисом исполнительного директора. Когда отвечает помощник или ассистент последнего, они говорят, что у них конверт для начальника или просят номер факса, чтобы передать срочное сообщение, а заодно узнают и имя того, с кем разговаривают.
Затем они звонят следующему и говорят:
– Меня просила позвонить ассистент босса, Дженни, и передать, чтобы вы помогли мне в таком-то деле.
Эта техника называется «бросание имен» и обычно используется для установления контакта с конкретным лицом, используя вымышленную связь с руководством. Имеет в виду, что мишень атаки будет готова выполнить опосредованное пожелание начальника или кого-то знакомого.
Если атакующий заинтересован в получении достаточно важной информации, он может использовать этот подход для вызова у жертвы опасения и страха получить наказание от руководства. Вот пример такого поведения.

Будьте бдительны

Как пользователи Internet интернета, мы всегда должны быть предельно осторожны, тем более, если используем вносим в различные формыв сети пароли, номера банковских счетов, PIN-номера коды и т.п.
Скольких вы знаете людей, которые заботятся о собственной безопасности в Internetинтернете, проверяют защищенность соединения и достоверность данных при посещении той или иной страницы. ? Много ли сотрудников вашей компании вообще имеют представление, что именно надо проверять и куда смотреть?
Все пользователи Internet сети интернет должны знать о небольшом значке, который обычно выглядит, как замок и отображается в окне браузера. Если дужка замка закрыта, то сайт сертифицирован, т.е. подлинный и безопасный в работе. Если замок открыт или вообще отсутствует – то подлинность сайта не подтверждена и обмен данными с этим сайтом происходит по незашифрованному соединениюканалу.
Однако, взломщик, охотящийся за административными привилегиями на вашем компьютере, может воздействовать и на саму операционную систему. Например, вполне реально обойти инструкции, заставляющие браузер показывать сообщения о неподтвержденных или отозванных сертификатах. А в общем случае, хакер может установить на вашем компьютере руткит (root kit) – набор системных средств, по сути являющихся злокачественными модулями ОС или бэкдорами
(back door), позволяющими злоумышленнику незаметно для пользователя работать с системой и контролировать ее.
Термин
Бэкдор (back door). Скрытая от пользователя точка доступа в систему, которой пользуется взломщик. Бэкдоры используются и программистами на стадии разработки и внедрения – с помощью такой скрытой «пружины» иногда можно эффектно справляться с возникающими проблемами.
Цифровой сертификат одновременно подтверждает подлинность сайта и служит одним из ключей шифрования соединения между пользователем и сервером. Это отлично защищает данные от перехвата на соединении. Так можно ли доверять отдельно взятому Web-сайту, работая с ним по защищенному каналу? Нет.
Владельцы сайта могут не затруднять себя мыслями об установках последних обновлений и, возможно, они не думали о парольной политике для администраторов и пользователей. Так, опять же, нельзя сказать, что сайт, который выглядит защищенным, неуязвим для атаки.

Secure HTTP

(защищенный протокол передачи гипертекста) или SSL (защищенный сокетный слойпротокол защищенных сокетов) – это механизм, строящийся на использовании цифровых сертификатов, которые, в данном случае, не только участвуют в шифрации данных, но и предоставляют аутентификацию. Звучит мощно, но такой защитный механизм ничем не поможет пользователю, который не привык сличать адрес страницы, на которую он зашел, с адресом сайта, на который он хотел зайти.

Еще одна проблема, на которую обращают мало внимания, появляется в виде диалогового окна с сообщением примерно следующего содержания: «Этот сайт возможно не безопасен или истек срок действия сертификата. Вы действительно хотите посетить сайт?». Многие пользователи Internet интернета не понимают смысл этого сообщения и просто закрывают так некстати возникшее окно. Не говорите, что вас не предупреждали: на сайте, который по какой-то причине не задействует использует протокол шифрациишифрования, нельзя вводить личные или конфиденциальные данные (адреса, номера телефонов, информацию о кредитной карте, номера счетов и т.п.).

Томас Джефферсон сказал однажды, что свобода находится в руках всеобъемлющей бдительности. Для сохранения личной тайны и в целях безопасности, в мире, где информация на вес золота, бдительность не менее важна.

Будьте осторожны: защищайте ваши пароли

Все больше и больше компаний начинают обращать внимание на повышение своей безопасности при помощи технических средств, например, специальной конфигурации операционной системы для усиления паролей и уменьшения возможного числа неправильных попыток входа в систему. Платформы Microsoft Windows
обычно содержат такую возможность, но чаще всего по умолчанию они отключены. Пора бы разработчикам прекратить поставлять на рынок продукты с отключенными по умолчанию функциями безопасности, так как должно быть ровно наоборот (я подозреваю, что в скором времени они догадаются)
Естественно, корпоративная политика безопасности должна давать системному администратору права повышать безопасность при помощи технических средств в любой момент, не полагаясь на склонные к ошибкам действия людей. Нет никаких сомнений в том, что, ограничивая число ошибочных попыток входа в систему, вы существенно усложняете жизнь атакующих.
Каждая компания сталкивается с проблемой баланса между высоким уровнем безопасности и производительной работой сотрудников, которая заставляет некоторых из них игнорировать меры безопасности, не задумываясь о том, насколько эти меры важны для защиты целостности ценной корпоративной информации.
Если некоторые политики безопасности компании оставляют те или иные проблемы без внимания, сотрудники могут использовать путь наименьшего сопротивления и действовать так, как им удобнее и проще. Некоторые сотрудники могут открыто пренебрегать и даже противодействовать введению новых правил безопасности. Вы можете столкнуться с тем, что сотрудник изменить свой пароль на более сложный и длинный, но, в то же время, запишет его на клочке бумаги и прикрепит у себя над компьютером.
Важнейший элемент безопасности вашей компании - это использование сложных паролей в сочетание с повышенным уровнем безопасности, встроенным в ваши устройства.
Более подробно рекомендуемые техники безопасности паролей будут обсуждаться в главе 16.

Быстрее, чем вы думаете

После того, как Иван выбрал список слов и начал атаку, программа работала на автопилоте. Он смог переключить свое внимание на другие дела, а их, надо сказать, было немало. Некоторые полагают, что за хакера все делают умные программы: он может даже вздремнуть и получить результат, когда хорошо выспится. На самом деле, в зависимости от атакуемой платформы и ее системы безопасности, программа может перепробовать весь словарь английского языка менее чем за полчаса!
Пока атака продолжалась, Иван запустил на другом компьютере аналогичную атаку на другой сервер, используемый в группе разработки игр – АТМ6. Через двадцать минут был достигнут результат, который непрофессионалам покажется невозможным: был открыт один из паролей – «Фродо», имя хоббита из книги Толкина Властелин колец.
Имея в распоряжении этот пароль, Иван получил возможность доступа к серверу АТМ6, используя пользовательский аккаунт.
Для атакующего была одна хорошая и одна плохая новость. Хорошая новость заключались в том, что взломанный им пароль принадлежал человеку с привилегиями администратора, что было очень важно для следующего шага. Плохой новостью было то, что искомый код игры никак не находился. Скорее всего, он был расположен на другом сервере – АТМ5 – который пока устоял перед «словарной» атакой. Однако Иван вовсе не отчаялся, у него в запасе было еще несколько «штучек», которые он собирался использовать.
В некоторых операционных системах UNIX и Window
зашифрованные пароли доступны любому, кто получил доступ к компьютеру, где они хранятся. Причина в том, что зашифрованные пароли не могут быть взломаны и поэтому считается, что их не имеет смысла защищать. Но это представление неправильно. Используя еще одно хакерское средство под названием pwdump3, также доступное в интернете, можно извлечь все пароли с АТМ6 и перегрузить их к себе.
Типичный файл паролей выглядит таким образом:
Administrator:500:95E4321A38AD8D6AB75EOC8D76954A50:2E48927A0B04F3BFB341E26F6D6E9A97:::
akasper:1110:5А8D7E9E3C3954F642C5C736306CBFEF:393CE7F90A8357F157873D72D0490821:::

digger:1111:5D15C0D58DD216C525AD3B83FA6627C7:17AD564144308B42B8403D01AE256558:::

ellgan:1112:2017D4A5D8D1383EFF17365FAF1FFE89:07AEC950C22CBB9C2C734EB89320DB13:::

tabeck:1115:9F5890B3FECCAB7EAAD3B435B51404EE:1F0115A728447212FC05E1D2D820B35B:::

vkantar:1116:81A6A5D035596E7DAAD3B435B51404EE:B933D36DD112258946FCC7BD153F1CD6F:::

vwallwick:1119:25904EC665BA30F449AF4449AF42E1054F192:15B2B7953FB632907455D2706A432469:::

mmcdonald:1121:A4AED098D29A3217AAD3B435B51404EE:E40670F936B79C2ED522F5ECA9398A27:::

kworkman:1141:C5C598AF45768635AAD3B435B51404EE:DEC8E827A121273EF084CDBF5FD1925C:::

После того, как этот файл Иван скачал к себе на компьютер, он использовал другую программу, которая представляет собой атаку иного типа под названием «грубой силы». Этот тип атаки состоит в переборе всех комбинаций букв, цифр и специальных символов.

Для этой цели Иван использует утилиту под названием Lophtcrack3 (произносится «лофт-крэк»; ее можно найти на сайте www.atstake.com; еще один источник для хороших средств взлома паролей - www.elcomfort.com). Системные администраторы используют Lophtcrack3 для выявления слабых паролей; атакующие используют его для взлома паролей. В LC3 метод грубой силы состоит в переборе паролей, состоящих из комбинации букв, цифр и символов -!»№$%^&. (Заметьте, если используется какой-то необычный символ, не изображаемый на печати, то LC3 не сможет отыскать такой пароль).

Эта программа работает с совершенно невероятной скоростью - до 2,8 миллионов попыток в секунду на компьютере с процессором 1 ГГц. Но даже при работе с такой скоростью, если системный администратор сконфигурировал Windows соответствующим образом (отключил LANMAN перемешивание), взлом пароля занимает длительное время.

Цели программы

Во время разработки программ безопасности необходимо придерживаться основного курса, который можно охарактеризовать как «компания постоянно находится под угрозой». Эта фраза должна дойти до всех служащих, и при этом каждый должен понимать, что он играет определенную роль в команде защиты.
Многие аспекты информационной безопасности связаны с технологиями, и поэтому сотрудникам легче думать, что за них всю работу сделают файрволы и прочие компьютерные технологии. Первичная цель тренинга сводится к тому, чтобы люди осознали, что именно они, а не техника находятся на передовой войны с промышленным шпионажем и хакерами. Именно люди являются передним краем всей защиты организации.
Тренинг безопасности предназначен далеко не только для того, чтобы преподнести слушателям правила политики и информационной безопасности. Разработчик программы обучения прежде всего должен уделить внимание служащим, которые могут проигнорировать или недооценить ответственность в части обеспечения безопасности, что нередко случается под давлением текущей работы. Само по себе знание тактики социальных инженеров и способов отражения атак важно, но это имеет значение только при условии, что сотрудники компании мотивированы
на использование этого знания.
Программа, о которой идет речь, может считаться оправданной для компании, если только все закончившие курс убеждены, что информационная безопасность – это составная часть их работы.
Итак, служащие должны прийти к тому факту, что угроза социальной инженерии реальна и что уязвимость служебной информации отражается на них и на их работе так же, как и на всей компании в целом. Для сравнения, небрежность в отношении информационной безопасности сравнима с неосторожностью при вводе и хранении PIN-кода личной кредитки. Такая простая аналогия более чем подходит для поднятия энтузиазма.

Центр управления

Политика безопасности должна предусматривать создание группы людей (или одного человека), куда будет собираться информация о любой подозрительной активности, направленной на проникновение внутрь вашей организации, т.е. создание своеобразного центра противодействия вторжениям. Все сотрудники должны четко знать, к кому обращаться при любой подозрительной попытке электронного или физического вторжения. Телефонный номер этого центра всегда должен быть под рукой, чтобы реагировать на любую подозрительную активность незамедлительно.

Частный сыщик за работой

Все три предыдущих звонка были сделаны одним человеком. Частным сыщиком, которого мы теперь знаем под именем Оскар Грэйс. У Грэйс недавно появился новый клиент - один из первых его клиентов. Еще несколько месяцев назад Оскар работал полицейским, а теперь обнаружил, что новая его работа похожа на старую, многое дается легко, хотя иногда и приходиться потрудиться и напрячь применить собственную изобретательность. Последний его заказ, над которым он сейчас работал, требовал от него именно изобретательности.
Сэм Спэйдс и Филип Мэрлоус - крутые ребята из детективных романов – проводили проводят время, сидя по ночам в машине и выслеживая аферистов и неверных жен. Настоящие сыщики занимаются тем же. А, кроме того, их работа включает и другие моменты, о которых не так много пишут, но которые не менее важны в слежке за неверными женами, методы, опирающиеся скорее на социоинженерные навыки, чем на силу, которая необходима в борьбе со скукой ночного дежурстваи сном на дежурстве в припаркованной машине.
Новым клиентом Грэйс была некоторая леди, которая засомневалась в наличии семейных средств, так необходимых для гардероба и новых украшений. Однажды она вошла в его офис, села в кожаное кресло для посетителей, именно в то единственное кресло, на котором не были свалены бумагикоторое было свободно от бумаг. Она водрузила на стол сумочку от Гучи так, чтобы Оскар мог хорошо разглядеть фирменную эмблему. Далее леди заявила, что хочет потребовать от мужа развода, и призналась, что у нее есть одна «самая маленькая проблемка».
Было похоже, что ее муженек опережал ее на корпусодин шаг. Он уже превратил в наличность семейные сбережения и еще большую сумму снял с маклерского счета. Она же хотела одного - узнать, куда убежали деньги, а ее адвокат не смог ей в этом помочь. Грэйс предположил здесь, что ее адвокатом был один из тех персональных консуловсоветников из верхней части города, чье самомнение не позволяет марать руки о что-то похожее на «куда-же-пропали-деньги».
Сможет ли Грэйс помочь своей клиентке?

Он уверил ее, что никаких проблем нет, сказал свою цену, включающую расходы, и получил первый взнос в виде чека.

И теперь перед ним стояла проблема. Что бы вы будете стали делать, если никогда раньше не занимались подобной работой и слабо себе представляете, как можно выйти на след прячущихся от васисчезнувших денег? Вы начнете с малого. Ниже, согласно нашему источнику, история глазами Грэйс.

lllllllllllllll

Я знал о существовании CreditChex и знал, что банки пользуются услугами этой конторы – моя бывшая жена работала в банке. Но я не знал специфики банковских операций, не знал терминов, а спрашивать у моей бывшей было бы равноценно потере времени.

Итак, первый шаг: упрочить свои познания специальных банковских терминов и понять, как сделать грамотный и не вызывающий подозрений запрос в CreditChex. Когда я позвонил в банк, Ким, первая молодая девушка, с кем я разговаривал, заметно насторожилась после вопроса об идентификации в CreditChex. Она растерялась и не знала, стоит ли отвечать. Меня это остановило? Нет, не в коем случае. На самом деле ее растерянность подсказала мне, что мне достаточно выдумать достойную причину своего любопытства и я получу ответ. Все подозрения исчезли, как только я придумал и сказал, что работаю над книгой. Ты Как только говоришь, что ты автор или сценарист, и– люди идут тебе на встречу.

Конечно, Ким располагала и другой важной для меня информацией, ведь мне хотелось бы знать, что именно принято указывать в CreditChex при описании потенциального клиента, какие данные клерк имеет право получить в ответ на свой запрос и, самое важное, каким номером идентификатора банка пользуется Ким. Я был готов задать и эти вопросы, но настороженность Ким остановила меня. Она купилась на историю о книге, но ведь в ее голове уже родились некоторые подозрения...

СлэнгЖаргон

Мишень (mark) – жертва обмана.

Провал легенды (burn the source) – атакующий говорит о провале легенды, если замечает, что мишень догадывается об атаке.


Согласитесь, трудно в дальнейшем использовать проваленную легенду, если мишень подозревает тебя, не дремлет и, более того, предупреждает об атаке своих коллег и руководство.

Здесь надо довериться своим инстинктам, внимательно слушать, что говорит мишень и как она это говорит. В данном случае было похоже, что моя собеседница не достаточно глупа для того, чтобы продолжать задавать ей необычные, пусть даже для писателя,  вопросы. И хотя она не знала, кто я такой и с какого номера ей звоню, в этом деле лучше не попадать в ситуацию, когда мишень начинает говорить своим коллегам, что кто-то пытался навести справки о внутренних бизнес-процедурах.  Ведь если это так, то свою легенду можно считать проваленной, а последующие звонки в этот офис можно считать– бесполезными.

Во время разговора я всегда слежу за теми едва уловимыми знаками, которые говорят мне о степени готовности жертвы идти на контакт, от «Кажется, что выВы хороший человек, и я верю всему, что Вы говорите» до «Вызовите полицию, предупредите Национальную Гвардию, от этого парня ничего хорошего ждать не приходится!».

Если говорить о Ким, то ее степень готовности мне не очень понравилась, и я перезвонил в другое отделение. Трюк с опросом Кристине пришелся по душе Кристине и подействовал, как заклинание. Моя же тактика сводилась к тому, чтобы спрятать важные для меня вопросы среди остальных, маскирующих. Таким образом я придавал значимость и правдоподобность своим словам, не вызывая у Крис подозрений. Перед тем, как спросить номер идентификатора, я провел последнюю проверку на доверие и задал личный вопрос о продолжительности ее службы.

Личный вопрос похож на подкопмину, над которым которую одни люди спокойно проходят и ничего не замечают, а под другими как будто земля разверзается и они убегают в более безопасное место. Так что если я задал ей личный вопрос, а она ответила, и при этом тон ее голоса не изменился, значит, скорее всего, она поверила мне.

Хорошие детективы знают еще одну вещь. Нельзя заканчивать разговор непосредственно после того, как добыта ключевая информация.


Лучше задать еще несколько ни к чему не обязывающих вопросов, непринужденно поболтать и только потом сказать «до свидания». Позже, если мишени понадобится вспомнить этот разговор, она скорее всего вспомнит именно последние несколько вопросов. Остальное обычно забывается.

Итак, Крис озвучила для меня номер идентификатора банка и номер телефона, по которому в их отделении соединяются с CreditChex. Я был бы счастлив, если бы мне удалось выяснить, что именно спрашивают, звоня в CreditChex, но я решил не испытывать судьбу.

Это было похоже на получение чека с открытой суммой, и этот чек я получил от CreditChex. Теперь я мог звонить и задавать вопросы о любом интересующем меня человеке. И причем абсолютно бесплатно. Все обернулось так, что клерк в CreditChex был рад предоставить мне именно ту информацию, которая мне требовалась. Муж моей клиентки подавал заявку на открытие счета в двух банках. Так где искать средства будущей бывшей жене? Нигде, кроме как в этих двух учреждениях, названия которых перечислил сообщил мне парень из CreditChex.

Чехарда

Следующая история никак не связана с промышленным шпионажем. В процессе чтения постарайтесь понять, почему я решил поместить ее в эту главу.
Гарри Тарди опять жил дома и ему опять было очень плохо.
Служба в корпусе морских пехотинцев являлась для него своеобразным побегом от унылой действительности. Теперь он вернулся в родной город, который, честно говоря, ненавидел, посещал компьютерные курсы в местном колледже и искал способ потрясти мир.
В конце концов, он разработал план. Однажды, болтая за пивом с товарищем по курсам, он пожаловался на своего всезнайку-инструктора, и вместе они придумали несложный способ, как посадить того в лужу: они решили украсть коды одной популярной программы для карманного компьютера (КПК) и переслать их на компьютер инструктора, так, чтобы все подумали, что инструктор – «нехороший человек».
Его новый друг Карл Александр сказал, что знает «несколько приемов» и расскажет Гарри, как достичь цели и суметь уйти незамеченным.

Человеческий фактор

Не так давно я давал показания в Конгрессе, где объяснил, что часто пароли, как и любая другая секретная информация, разглашались не мне, а тому человеку, за которого я себя выдавал, и который лишь просил об этом.
Человек жаждет чувства полной защищенности, и это естественно. Но обратная сторона такого абсолютного безусловного желания – ложное, обманчивое ощущение собственной безопасности. Представьте себе заботливого и любящего отца, который поставил на входную дверь своего дома замок Medico, известный особой устойчивостью к взлому. Хозяин дома чувствует себя спокойно: замок защищает дом и детей от непрошенных гостей. Но как быть с бандитом, который залезет в форточкуфорточником или бандитом, который подберет код дистанционного управления гаражной дверью? "Периметр дома можно защитить надежной охранной системой", – скажете Вы. "Хорошо", – отвечу я: "Но никакой гарантии Вы не получите". Дорогие будут замки или дешевые, а наш хозяин дома все равно останется уязвимым.
Почему? Ответ прост. По-настоящему слабое звено любой системы безопасности – человеческий фактор.
Часто безопасность – всего лишь иллюзия, а иллюзия – вещь весьма опасная, особенно, если ей сопутствуют легковерие, наивность и пренебрежение. Альберт Эйнштейн, самый известный ученый двадцатого столетия, сказал так: "Только две вещи бесконечны - вселенная и человеческая глупость, и я не совсем уверен относительно первой"."Только две вещи на свете бесконечны по своей природе – вселенная и человеческая глупость", – и добавил: "…насчет вселенной я не уверен". В конце концов, успешные атаки социальной инженерии достигают цели только тогда, когда атакуемый глуп или, что бывает чаще, пренебрегает простыми приемами защиты. Подобно нашему сознательному домовладельцу, многие IT-профессионалы заблуждаются, когда думают, что фирма находится в безопасности, если системы и информация защищены межсетевыми экранами, средствами обнаружения вторжения и механизмами идентификации пользователей, вроде токенов или биометрических смарт-карточек.
Каждый, кто думает, что электронные средства безопасности, сами по себе, способны обеспечить достойную защиту – глубоко заблуждается. Хуже того, чувства такого человека притупляются иллюзией безопасности. Это похоже на полет в заоблачные высотыИкара, который, рано или поздно, но неизбежно закончится падением.

Брюс Шнайер, консультант по вопросам безопасности, однажды заметил, что "безопасность – это не конечный продукт, не товар, а процесс". Скажу больше: безопасность не технологическая задача; безопасность – проблема, связанная с человеческими и управленческими аспектами деятельности.

Разработчики постоянно совершенствуют разнообразные технологии защиты. Взломщикам становится все труднее справиться с техническими задачами, сложнее найти техническую уязвимость. И неудивительно, что хакеры все чаще пытаются использовать «человеческую» составляющую безопасности. Обычно, обойти внутренний «файервол» человека проще - риск минимальный и обходится не дороже, чем стоимость монетки, брошенной в телефонный автомат.

Четвертый звонок: Барт из отдела маркетинга

В отделе маркетинга ей пришлось разговаривать с человеком по имени Барт. Диди объяснила, что она из Саузенд Оакс и что у них завелся консультант, которому срочно необходимо получить копию телефонного справочника компании.  Она подчеркнула, что печатная копия – это именно то, что нужно консультанту и неважно, если данные в справочнике немного устарели. В ответ Барт посоветовал ей заполнить и выслать ему соответствующую форму запроса.
Диди сказала, что у нее нет бланков и «не будет ли Барт лапочкой и не заполнит ли он эту форму за нее». Он с энтузиазмом согласился с энтузиазмом и Диди продиктовала ему все необходимое. В качестве адреса фиктивного-внешнего-консультанта-по-контракту Диди дала адрес мэйлдропа, которым в данном случае являлся некий Mail Boxes Etc. – одна из тех почтовых контор, которой пользовалось ее агентство в подобных случаях.
Именно теперь подготовительные работы оправдались. Для заполнения формы заказа дополнительного телефонного справочника ей необходимо предоставить код калькуляции бюджета своего отдела, и она его знает.
– 1A5N, N – как в имени Нэнси.
Корпоративный справочник пришел через несколько дней, и Диди обнаружила, что получила даже больше, чем ожидала: помимо имен и телефонов, в этом справочнике была отображена организационная структура – было ясно видно, кто на кого работает.
Наша леди – мисс томный голос – была готова начать охоту за головами, звоня по номерам из полученного справочника. И это стало возможным благодаря ее дару, которому позавидовал бы любой профессиональный шпион.
Сленг
Мэйлдроп (mail drop) – термин в социальной инженерии, обозначающий почтовый абонентский ящик, снятый под вымышленным именем и используемый для получения документов или бандеролей от спровоцированной жертвы.
Комментарий Митника
Отдельные фрагменты информации могут сами по себе ничего не значить и в этом они похожи на фрагменты мозаики. Но если правильно сложить мозаику, то получается целое - некоторое осмысленное изображение. Так и в этом случае, социоинженер в итоге увидел всю внутреннюю структуру организации.

Четвертый звонок: Бинго!

Сорок пять минут спустя...
– Том? Это Эдди. Проверьте соединение.
И еще через секунду:
– О, хорошо, все работает. Это просто здорово!
– Да, я рад, что вам удалось вам помочь.
– Спасибо большое, Эдди.
– Слушайте, если хотите гарантировать себе стабильную работу в дальнейшем, вам нужно установить одну программку. Это займет всего несколько минут.
– Сейчас не самое подходящее для этого время.
– Я понимаю... Но это спасет нас обоих от возможной головной боли в дальнейшем, понимаете?
– Ну что же, если всего пару минут...
– Вот что вам надо сделать...
Эдди помог Тому закачать из сети программу. А после этого попросил Тома запустить ее. Он попытался и ответил:
– Она не работает. Ничего не происходит.
– Да, это проблема. Что-то с ней не так, наверное, не та версия. Ладно, давайте отложим, - попробуем в следующий раз.
Эдди инструктировал Тома по телефону, чтобы тот удалил программу без права восстановления.
Затрачено времени: 12 минут.

Что такое политика безопасности?

Политика безопасности – это свод правил и четких инструкций, следование которым помогает в защите ценной служебной информации. Одновременно с этим правила могут восприниматься как детали механизма политики безопасности для эффективного противодействия потенциальным угрозам. А в деле обнаружения и предупреждения социоинженерных атак политика безопасности важна вдвойне.
Хорошо документированная политика активно способствует внедрению мер безопасности на предприятии. Однако здесь важно заметить, что правила, даже если их беспрекословно соблюдают все подчиненные, не гарантируют абсолютной защиты. Изначально следует стремиться не к идеалу, а к заведомо оправданной цели, а именно - к снижению риска до приемлемого уровня.
Предложенная в этом разделе политика безопасности состоит из определенных правил, которые на первый взгляд мало касаются проблем социоинженерии, но, тем не менее, описывают методы, используемые социальными инженерами. Например, правила открытия вложенных файлов электронного письма, которые могут содержать троянские программы, относятся к широко известному хакерскому методу получения доступа к удаленному компьютеру.

Что знает о вас служба социального страхования

Мы склонны думать, что правительственные агентства хранят всю информацию о гражданах страны в местах, надежно укрытых от постороннего взгляда. На самом деле реальность заключается в том, что даже сами правительственные учреждения не защищены от проникновения.

Чувство благодарности

Мы часто автоматически готовы идти на контакт, если нам пообещали что-то стоящее. Это может быть материальный подарок, совет или своевременная помощь. Когда для нас что-то делают, мы склонны благодарить за это. Заложенное в нас чувство благодарности настолько сильно, что проявляется даже в тех случаях, когда мы получаем от человека непрошеный
подарок. Помощь или подарок несет в себе скрытое чувство признательности и сыграть на этом чувстве – один из самых эффективных методов. Жертве внушается, что она просто обязана пойти на встречу (например, ответить на вопрос). А если вы попытаетесь вернуть предложенное, то дающий обязательно не согласится, отметив при этом, что «этот подарок предназначается именно вам». Этот поведенческий принцип широко использовался кришнаитами для увеличения пожертвований.

CREDITCHEX

На протяжении многих лет Англия славилась своей строгой и подтянутой во всех отношенияхконсервативной банковской системой. Как оОбычный, и честный горожанин, вы не могли зайти в банк и открыть счет на свое имя. Почему? Банк не воспрималет вас как своегоего в качестве клиента, пока другой клиент, уже известный в структуре благодаряс незапятнанной финансовой историией, не представит вам рекомендательное письмо.
Сегодня, дела обстоят немного по-другому. Это не удивительно, если обратить внимание на развитие принципов равноправия, которые не могли не коснуться банковской сферы. Современная легкость ведения деловых отношений более всего очевидна в демократичной Америке, где любой гражданин может открыть дверь банка, подойти к клерку и открыть счет,. Я правверно? Не совсем. На самом деле банки с неотвратимым завидным упорством не желают открывать счета лицам, которые хотя бы потенциально могут выписать фальшивый чек. Банкиры относятся к такой возможности с не меньшей ответственностью, чем, скажем, к репутации грабителя банков или растратчика. [N4]Так что обычная практика, не зависящая от принципов равноправия, заключается в оперативной экспертной оценке плюсов и минусов открытия нового счета для потенциального клиента.
Одна из основных компаний, помогающих банкам в такой оценке - это организация, которую мы назовем CreditChex. Парни из этой организации не только отлично работают на поприще информационного обслуживания банковских структур, но и помогают социоинженерам, пусть и не нарочно.

Дефицит

Люди имеют тенденцию соглашаться, если речь идет о редком объекте, который желают получить и другие, или который доступен лишь в ограниченном промежутке времени.

Делая домашнее задание

Предварительное исследование убедило Гарри в том, что нужный КПК создается в Центре разработки, расположенном центральном офисе компании за рубежом. Но в США были и другие центры разработки. Это хорошо, подчеркнул Карл, поскольку и другие компании заинтересованы в кодах программ.
Гарри собирался позвонить в зарубежный центр разработки и со всей мыслимой мольбой в голосе сказать: «Дорогая, я попал в беду, мне нужна помощь - помогите мне». Причем мольба должна быть всамделишней. Карл даже написал специальный текст, но Гарри никак не удавалось прочесть его мало-мальски убедительно. Они долго тренировались с Карлом, отрабатывая текст и стиль произношения.
Вот что получилось в конце концов: «Я звоню из центра исследований в Миннеаполисе. У нас на сервере червь, который заразил весь департамент. Нам надо переустановить операционную систему, но когда мы обратились к архиву, все ленты оказались бракованными. И это не удивительно – ведь никто не проверяет сохранность архивных лент. Мы тут все в растерянности, есть опасение, что будут потеряна важная информация. Поймите, мне нужна последняя версия директории программ. Быстро, как это только возможно, «зазипуйте» и перешлите их мне».
В этот момент Карл пододвинул ему записку и Гарри сказал человеку на том конце провода, что он просит переслать файлы в центр исследований в Миннеаполисе. Это очень важный момент: когда собеседник узнал, что файлы надо переслать всего лишь в другое подразделение компании, он успокоился – какая опасность могла его подстерегать в таком случае?

Деловая поездка

Незадолго после этого, у системного администратора в офисе продаж компании города Остин в Техасе раздался телефонный звонок.
– Это Джозеф Джонс, – раздалось в трубке. – Я работаю в отделе развития компании. Я буду в вашем городе на следующей неделе, остановлюсь в отеле Дрискилл. Я бы хотел, чтобы Вы создали для меня временный доступ к сети, чтобы я мог проверять электронную почту вместо того, чтобы звонить по межгороду.
– Скажите снова Ваше имя и назовите персональный номер.
«Фальшивый» Джонс дал номер и продолжил:
– У вас есть высокоскоростные телефонные номера для dial-up?
– Повиси на трубке, приятель, я проверю тебя в нашей базе.
Через секунду сисадмин произнес:
– Окей, Джо. Скажи, в каком корпусе ты работаешь?
Злоумышленник неплохо подготовился и имел заранее заготовленный ответ.
– О кей, – сказал сисадмин, – все верно.
Это было проще простого. Служащий проверил имя Джозефа Джонса, отдел, в котором тот работает, персональный номер и «Джо» правильно ответил на контрольный вопрос.
– Твое имя пользователя будет такое же, как и в компании, jbjones, – сказал сисадмин, – и я даю тебе первоначальный пароль changeme.

Деньги на линии

Когда мы добрались до места, то увидели там большую толпу вокруг выставки LOCK-11. Организаторы выставки заключали денежное пари, что никто не сможет взломать их продукт. Это было вызовом, от которого я не мог отказаться.
Мы направились прямо к стенду Lock-11, и обнаружили, что его обслуживали три человека, которые участвовали в разработке этого продукта. Я узнал их, а они узнали меня - уже в подростковом возрасте у меня была репутация хакера и все из-за статьи, напечатанной в газете LA Times о моих первых стычках с законом. В статье рассказывалось, как я проник в здание компании Pacific Telephone посреди ночи и вышел оттуда с компьютерными книгами прямо под носом у охранников. Газетчики хотели сенсации, отчасти для этого они использовали мое имя: я был тинейджером, поэтому статья нарушала закон о том, что имена несовершеннолетних должны держаться в секрете.
Когда Винни и я подошли, возник интерес с обеих сторон. Они заинтересовались, потому что увидели хакера, о котором читали в газетах и были несколько шокированы этим. Интерес с нашей стороны возник потому, что за бэджем участника конференции каждого из трех разработчиков была вставлен чек на 100 долларов. 300 долларов - это был приз любому, кто сможет взломать их систему. Для пары школьников – достаточно большие деньги. Мы не могли дождаться начала испытания.
Действие LOCK-11 было основано на хорошо известной двухуровневой системе безопасности. Пользователь не только должен знать логин и пароль для входа в систему, эти данные должны вводиться с авторизованного терминала - такой подход еще называется безопасность на основе терминала (terminal-based security). Чтобы проникнуть в систему, хакер должен знать не только имя пользователя и пароль, но и вводить эту информацию с определенного терминала. Метод был многократно опробован, и разработчики LOCK-11 были убеждены, что он сможет удержать «плохих парней». Мы решили преподать им урок и заработать вдобавок три сотни баксов.

Дэнни-соглядатай

Энтузиаст сканирующих устройств и образованный хакер, которого мы будем называть Дэнни, решил проверить, а не сможет ли он найти способ заполучить в свои руки исходные коды сверхсекретного программного обеспечения для шифрования, разработанного одним из ведущих производителей радиосистем безопасности. Он рассчитывал, что наличие исходного кода позволит ему научиться подслушивать переговоры сотрудников органов правопорядка. И попытаться использовать эту технологию таким образом, что бы даже наиболее влиятельным государственным агентствам было бы затруднительно прослушивать его разговоры с друзьями.
Такие вот «Дэнни» из теневого мира хакеров принадлежат к особой категории, которая располагается где-то между «только любопытный, но в целом добрый» и опасный. Дэнни обладает знаниями специалиста, в комбинации с вредным хакерским желанием проникать в системы и сети для того, чтобы бросить интеллектуальный вызов и получить удовольствие от возможности проследить за работой технологии. Но их электронные трюки «взламывание-и-проникновение» остаются лишь трюками. Этот народ, эти безобидные хакеры, незаконно входят на сайты только для развлечения и получают радость от того, что смогли это сделать. Они ничего не воруют, они не извлекают никаких денег из своих действий, они не разрушают файлы, не прерывают сетевые соединения, не взламывают компьютерные системы.
Единственно, что их интересует – это копии файлов и писем с паролями, предназначенными для входа администраторами сети и служб безопасности. Они заняты щипанием за нос людей, который отвечают за предотвращение атак злоумышленников, подобных им. Умение превзойти других – в этом состоит большая часть их удовольствия.
В соответствии со своим образом, наш Дэнни хотел проверить элементы защиты наиболее охраняемых продуктов компании, на которую он нацелился только ради того, чтобы удовлетворить собственное жгучее любопытство – какие же еще хитрые нововведения должен будет внедрить производитель.
Излишне говорить, что разработки продуктов были тщательно охраняемыми торговыми секретами, настолько ценными и защищенными, как ничто иное в компании.
Дэнни знал это. И его это нисколько не волновало. Для него это была всего-навсего большая безымянная компания.

Но как заполучить исходный код программного обеспечения? Но похищение «королевских драгоценностей» из компании Secure Communication Group оказалось делом не хитрым, даже, несмотря на то, что компания использовала двухфакторную идентификацию, в соответствие с которой сотрудникам требовалась два различных идентификатора, для подтверждения своей личности.

Приведу здесь пример, с которым вы, возможно, уже знакомы. Когда приходит срок обновления кредитной карты, вам необходимо позвонить в компанию, которая занимается выпуском кредитных карт для того, чтобы доказать, что карта на самом деле принадлежит данному клиенту (т.е. вам), а не кому-нибудь, кто украл конверт из почтового ящика. В последнее время в инструкции к карте обычно указывается, чтобы вы позвонили из дома. Когда вы звоните, программное обеспечение компании, выпускающей кредитные карты, анализирует информацию с АОН (автоматического определителя номера), услуга, которая предоставляется компании телефонным узлом, и за которую компания платит.

Компьютер компании использует полученный с помощью АОН телефонный номер и сравнивает его с номером, который хранится в базе данных компании по владельцам кредитных карт. В то время, пока служащий остается на линии, на дисплее появляется информация о клиенте, полученная из базы данных. Служащий компании уже знает, что звонок был из дома клиента и это является одной из форм идентификации.

Затем служащий выбирает один из пунктов информации, показанной о вас – обычно это номер карты социального страхования, дата рождения или девичья фамилия матери – и спрашивает вас об этом. Если вы даете правильный ответ, то это вторая форма идентификации – основанная на информации, которую вы должны знать.

Доверие – ключевой момент лжи

Чем больше отношения социоинженера со своей жертвой будут похожи на обычные, ничем особенным не отличающиеся деловые контакты, тем меньше это вызовет подозрений. Когда у человека нет причины для подозрений, он вряд ли будет их искать, а социоинженер без труда сможет войти к этому человекунему в доверие.
И как только он завоевал ваше доверие, мост над рвом опускается опущен и ворота замка открыты – он входит и берет все, что ему надо – любую информацию.
Примечание
Вы наверное уже заметили, что когда я говорю о социоинженерах, телефонных фрикерах и аферистах, я в основном употребляю местоимение «он». Это не шовинизм, просто в рассматриваемой области это местоимение отражает суть вещей: в основном данная практика принадлежит мужскому полу. Но, не смотря на то, что на данный момент сложно найти женщину-социоинженера, их число растет. Женщин в этой отрасли уже достаточно для того, чтобы охранники не расслаблялись, слыша женский голос. На самом деле женщины имеют явное превосходство хотя бы потому, что могут достигать сотрудничества благодаря своей сексуальности.

Двойной обман

Фильм Афера (The Sting), многократно упоминаемый в этой книге (на мой взгляд - лучший из всех, снятых на тему жульничества), рассказывает нам о процессе жульничества в деталях. Если вы хотите знать, как группа настоящих профессионалов за один вечер может завладеть большой суммой денег, то нет более наглядного пособия.
Любое жульничество, независимо от его конкретной реализации, всегда действует по той или иной схеме. Иногда оно начинает действовать в обратном направлении, этот процесс можно назвать двойным обманом. Интригующее развитие событий заключается в том, что социоинженер организует ситуацию, в которой жертва сама обращается к нему за помощью, или же коллега по работе делает запрос, на который атакующий отвечает.
Как это работает? Сейчас узнаете.

Еще несколько слов

Теперь, после моего ареста, я признаю, что действовал незаконно и . Я нарушал неприкосновенность частной собственности.
Мои ошибки были спровоцированы моим же любопытством. Я хотел узнать как можно больше о работе телефонных сетей и все входы/выходы систем компьютерной безопасности. Из мальчишки, любящего фокусы, я превратился во всемирно известного хакера, немало напугавшего корпорации и правительство. Когда я оглядываюсь на последние 30 лет своей жизни, я то вижу, что зачастую принимал очень плохие решения, обоснованные лишь жаждой познания.
С тех пор прошло время,
и я изменился. Я попытался направить свой талант и опыт в другое русло. Используя свои знания в сфере информационной безопасности и социальной инженерии, я научился приносить пользу бизнесу, правительству и конкретным людям, . Я обнаруживяаю и , предотвращаяю
и реагирую на угрозы информационной безопасности.
С помощью этой книги я делюсь своим опытом и пытаюсь защитить людей от информационных грабителей. Я буду рад, если представленные в этой книге рассказы покажутся Вам интересными, разоблачающими и поучительными и разоблачающими.

Есть, о чем беспокоиться

Данные отчета, опубликованного Институтом Компьютерной Безопасности в 2001 году, говорят о том, что 85 процентов опрошенных организаций в течение последних двенадцати месяцев  тем или иным образом подверглись взлому системы безопасности. Эта цифра поражает. Только пятнадцать из каждой сотни могут с уверенностью сказать, что за прошедший год их защита не была сломана! Число компаний, которые понесли финансовые убытки вследствие компьютерных атак, впечатляет не меньше: 64 процента (от количества подвергшихся взлому). Получается, что пострадали бюджеты более половины опрошенных организаций. За один единственный год.
Мой личный опыт подсказывает, что эти цифры несколько завышены. Я не очень-то доверяю людям, проводившим опрос, но верю, что убытки на самом деле велики. Короче говоря, тот, кто не планирует ожидает столкнуться с  проблемой безопасности, планирует провал.
Большинство коммерческих средств обеспечения безопасности предназначено для отражения дилетантских атак, например, со стороны так называемых скриптомалышек (script okiddies).На деле, подростки со скаченными программками из Интернет, представляют собой лишь досадную помеху. Настоящая угроза и реальные потери исходят от опытных профессионалов своего дела, имеющих четко заданные цели, одна из которых – получение материальной выгоды. Эти люди фокусируют все свое внимание на выбранной жертве, а не мечутся из стороны в сторону, подобно новичку, пытающемуся который пытается найти как можно больше уязвимых систем. Если для "незрелого" хакера главное – это количество, то для профессионала – качество и ценность информации.
Корпоративная безопасность не может обойтись без защитных технологий: идентификации (подтверждающих подтверждение подлинностиь), разграничения доступа (управляющих управление доступом к файлам и системам), обнаружения вторжения (электронных электронные аналогови сигнализации) и т.п. Однако, тенденция такова, что многие фирмы продолжают тратить на кофе денег больше на кофе, чем на все меры защиты против информационных атак.
Преступная мысль не может устоять перед соблазном, а хакер не может пройти мимо мощной технологии.  И как часто это случается, хакер, для того чтобы найти лазейку в обороне, нацеливается именно на людей, использующих эти технологии.

Финал

Спустя несколько дней Рифкин вылетел в Швейцарию, забрал наличность и купил через одно русское агентство груду бриллиантов. Рифкин вернулся в Штаты, пройдя через таможню с камнями на сумму более 8 миллионов долларов, в "банане" наспециальном поясе - money belt. Он совершил величайшее ограбление банка в истории. Не только без вооруженного нападения, но и без компьютера. Странно, что это достижение зафиксировано в книге рекордов Гинесса именно как "крупнейшее компьютерное мошенничество".
Стенли Рифкин воспользовался своим умением маскироваться под других людей, секретами искусства обмана – тем, что теперь называется прикладной социологией или социальной инженерией. Доскональная подготовка, тщательное планирование и немного везения – вот что это такое.
В книге пойдет речь именно об этом: о методах прикладной социологии (в которой Ваш покорный слуга большой знаток) и о том, как противостоять социальным атакам.

Где заканчивается ваш интранет?

Некоторые области вашего интранета могут быть доступны извне, иные - наоборот – недоступны для сотрудников. Насколько усердна ваша компания в вопросах защиты? Насколько уверена администрация в том, что ценная информация, которую она должна защищать от постороннего взгляда, на самом деле не расположена в общедоступном сегменте сети? Когда последний раз вы проверяли публичные разделы своего Web-сайта на предмет размещения в них, пусть и по недосмотру, секретной или внутренней служебной информации?
А если ваша сеть интранет и сайт защищены от электронных угроз прокси-серверами, то давно ли вы оценивали адекватность настроек этих серверов?
Признайтесь, кто-либо когда-нибудь оценивал безопасность вашей корпоративной сети?

Хакерство за решеткой

Какие, на ваш взгляд, места являются наиболее защищенными от физического, телекоммуникационного или компьютерного взлома? Форт Нокс – американское хранилище золотого запаса? Конечно. Белый Дом? Несомненно. NORAD (North American Air Defence) – командный центр американскими воздушными силами, упрятанный в толще скалы? Точно.
А что вы думаете о государственных тюрьмах и других исправительных учреждениях? Они должны быть не менее безопасны, чем любые другие места. Люди достаточно редко убегают из таких мест и чаще всего их ловят после побега. Может показаться, что уж тюрьма-то полностью защищена от атак социальных инженеров. Сейчас вы убедитесь, что это не так: защиты от глупости нет нигде.
Несколько лет назад два профессиональных жулика столкнулись с проблемой. Они украли значительную сумм денег у местного судьи. Эта пара уже давно была не в ладу с законом, но на этот раз ими серьезно заинтересовались сотрудники правоохранительных органов. Они захватили одного из мошенников, Чарльза Гондорффа, и поместили его в исправительный центр неподалеку от Сан-Диего. Судья дал указание содержать Чарльза под стражей, поскольку тот представляет угрозу для общества и является потенциальным беглецом.
Его приятель Джонни Хукер понимал, что Чарли понадобится хороший адвокат. Но где достать денег на оплату его услуг? У большинства профессиональных жуликов деньги в карманах не задерживаются и уходят на хорошие костюмы, модные автомобили и красивых женщин также быстро, как и «зарабатываются». Джонни едва сводил концы с концами.
Деньги на адвоката можно было добыть только в результате еще одного преступления. Но Джонни был не готов совершить такую акцию самостоятельно. В их паре именно Чарли всегда был «мозгом». Джонни и не думал посетить Чарли в тюрьме, поскольку правоохранительные органы знали об их многолетнем «сотрудничестве» незамедлительно пресекли бы такую попытку. К Чарли допускались только члены его семьи, поэтому для визита к нему пришлось бы подделывать документы, а посещение федеральной тюрьмы с поддельными документами - не слишком умная затея.

Нет, Джонни планировал вступить в контакт с Гондорффом иным способом.

Это было совсем не просто. Ни одному обитателю тюрем или других исправительных заведений в США не позволено принимать телефонные звонки. На всех телефонах в исправительных заведениях США прикреплена надпись «Вы должны знать, что разговоры по этому телефону прослушиваются, поэтому использование этого телефона означает согласие с прослушиванием». Прослушивание разговоров может привести к продлению федерально-финансируемого «отпуска».

Джонни знал, что хотя телефонные разговоры и прослушиваются, переговоры с адвокатом прослушиваться не могут - это право защищено Конституцией. В том месте, где сидел Гондорфф, телефоны соединялись непосредственно со службой общественной защиты (Public Defenders’s Office, PDO). Телефонная компания именует этот сервис прямое соединение (direct connect). Представители правоохранительных органов считают такую организацию связи полностью безопасной и неуязвимой, поскольку все исходящие звонки могли идти только в PDO, а все входящие звонки блокировались. Даже если кто-то узнает номер телефона, расположенного в тюрьме, то в соединении с ним будет отказано, т.к. он запрограммирован на отклонение запроса (deny terminate).

И вовсе никчемная информация

Если не брать в расчет коды калькуляций и добавочные телефонные номера, то какая еще безобидная информация может пригодиться вашему врагу?

Искусство дружеского убеждения

Компьютерный хакер представляется обычным людям эдаким букой, лучшим другом которого является компьютер, а разговору он предпочитает электронную почту. На самом деле социальные инженеры, обладающие хакерскими знаниями, выглядят совсем по-другому – они прекрасно общаются и могут так манипулировать людьми, что те предоставляют им информацию, причем таким путем, о котором и вообразить не могли.

Использование чувств симпатии, вины и страха в своих интересах

Как будет показано в главе 15, социальный инженер использует разнообразные средства психологического воздействия, чтобы добиться поставленной цели. Опытные социальные инженеры всегда стараются вызвать яркую эмоцию у собеседника, такую как страх, волнение или вину. Они делают это при помощи психологических триггеров – автоматических механизмов, которые побуждают людей реагировать на запрос без серьезного анализа ситуации.
Мы все стремимся избегать сложных ситуаций, как для самих себя, так и для других. Исходя из этого, атакующий всегда старается вызвать симпатию у собеседника или же чувство вины, в крайнем случае, использует в качестве оружия запугивание.
Вот несколько «школьных» примеров тактик, основанных на эмоциях.

Испытания

После окончания курсов повышения компетентности, у руководства компании наверняка появится желание проверить качество знаний, полученных сотрудниками на этих курсах. И уж точно это желание появится прежде, чем эти (новые) сотрудники получат доступ к компьютерным системам. Если вы предполагаете проводить в корпоративной сети проверки в режиме реального времени, то для вас найдутся специальные программы, предоставляющие отчетную документацию по результатам проверки и автоматически выделяющие слабые места в поведении пользователей, а, следовательно, в обучении.
Кроме того, организация может позаботиться о выдаче сертификатов для закончивших курс информационной безопасности – это послужит для сотрудника своего рода «мотивирующим вознаграждением».
Есть еще одна формальность – служащий обязан подписать бумагу о неразглашении служебной информации и о том, что он согласен следовать правилам, процедурам и принципам, изложенным в корпоративной политике. Исследования подсказывают, что служащие, подписавшие такой документ, гораздо более усердны и последовательны в исполнении процедур политики безопасности.

Исследовательский проектРасследование имени Арта Сили

Арт Сили усердно работал свободным художником в качестве редактора небольшого издательства. Но в один прекрасный момент он понял, что может получать больше, проводя исследования для писателей и бизнесменов. Вскоре стало очевидно, что доход напрямую зависит от близости  к нечеткой границе между легальными и нелегальными делами. Даже не осознавая этого и никак не обозначая предмет своей деятельности, используя приемы, известные любому информационному дельцу, Арт становился социоинженером. Он нашел в себе деловые качества и особенности, которые иные шпионы приобретают, долго учась у мастеров цеха. Прошло еще немного времени и без всяких комплексов и сомнений Арт пересек возникшую граньэту границу.
lllllllllllllll
На меня вышел писатель, занимающийся книгой об администрации Никсона. Он был очень заинтересован в любой информации, касающейся человека по имени Вильям Саймон – так звали ответственного секретаря казначейства. Мистер Саймон умер, но писатель узнал, что под его руководством работала одна женщина, которая сейчас по-видимому до сих пор живет в округе Колумбия, но и чей адрес найти оказалось не так то просто. В справочнике телефона на ее имя не оказалось, и вообще ни один номер по крайней мере не был записан на ее имяне значился в списке. Итак, писатель позвонил мне, а я сказал, что никаких проблем не вижу.
Если знаешь, что к чему, то решить подобную задачку можно с помощью одного или двух телефонных звонков. Коммунальные службы не любят распространяться о своих клиентах – это просто запрещено. Так что здесь не обойдется обойтись без небольшого обмана. Но кому повредит немного безобидной лжи, правда ведьне правда ли?
Мне нравится каждый раз действовать по новому – это прибавляет интереса работе. «Я такой-то и такой-то из администрации» - универсальная фраза. Так что в этот раз пришлось применить ее разновидность в форме «... у меня на трубке человек из офиса вице-президента такого-то».
Шпионский инстинкт необходимо развивать, совершенствовать чувство собеседника, улавливать его желание или нежелание идти на контакт. В этот раз мне повезло, и я столкнулся с дружелюбной и услужливой леди. Телефон и адрес я узнал с помощью единственного звонка. Миссия выполнена.
Комментарий Митника
Не думайте, что все атаки социоинженера настолько сложны и запутаны в исполнении, что и их не так уж и сложно обнаружить еще до завершения – по расходящимся кругам на воде. Некоторые атаки заключаются в одной комбинации или одном единственном действии. Иногда достаточно просто попросить жертву, и она сама отдаст всю нужную информацию.

История атакующего

Бобби Уоллас, получая хороший заказ наподобие этого, последнего, всегда смеялся над тем, как старательно клиент пытается скрыть ответ на незаданный, но естественный вопрос о цели мероприятия. На этот раз из всего множества решений в голову приходили две причины. Может быть, заказчик хотел купить Starboard Shipbuilding и выяснял реальное, а не заявленное финансовое состояние - все то, что принято скрывать от потенциального покупателя. А может быть, он столкнулся с инвесторами, которые хотели бы выяснить, на что идут их деньги, и не запустил ли один из управляющих лапу в бочонок с медом.
Конечно, клиент не говорит о своих причинах еще и потому, что не хотел бы, чтобы Боб узнал реальную ценность информации, за которой охотится – это в любом случае заставляет исполнителя быть более сговорчивым в вопросах оплаты.
lllllllllllllll
Существует великое множество способов приблизиться к самым секретным документам организации. Бобби, прежде чем остановиться на конечной версиипринять окончательную версию плана, несколько дней потратил на изучение всех возможностей. Остановился же Боб на наиболее любимой своей стратегии, когда жертва сама просит у него об услуге.
Для начала Бобби купил сотовый телефон за $39.95. С этого телефона он позвонил человеку, выбранному в качестве мишени, и представился сотрудником корпоративной службы поддержки. Согласно разработанному плану, мишень должна теперь перезвонить Бобу на сотовый, если случится проблема с сетевым соединением на рабочем месте.
Подождав пару дней, чтобы не выглядеть слишком навязчиво, Боб перезвонил в сетевой операционный центр (NOC) компании. Сказав, что устраняет неполадки с сетью для Тома, своей мишени, Боб попросил выключить отключить на время для него доступ к сети. Бобби знал, что в этот момент подвергает свою разработку наибольшему риску – ведь во многих организациях служба поддержки очень тесно взаимодействует с отделом NOC, а бывает и так, что оба этих подразделения в рамках организационной структуры входят в один IT-департамент.
Но индеферентный безразличный ко всему парень из NOC, с которым он говорил по телефону, воспринял все очень обычно, не спросил имени звонящего из службы поддержки (который вдруг занялся проводкой!) и запросто согласился отключить порт. Сразу после этого Том оказался полностью изолированным от сети интранет, от файлов данных на серверах и от возможности обмениваться файлами со своими коллегами. Он, он больше не может мог получать почту и даже не способен был вывести страницу на печать. В современном мире это похоже на насильственное переселение в каменную пещерукаменный век!

Как и предполагалось, долго ждать звонка не пришлось. Конечно, Бобби с удовольствием помог своему «страждущему» коллеге в безвыходной ситуации. Потом Боб перезвонил в NOC и попросил включить порт. И, наконец, еще один звонок Тому. Боб заставил его думать, что никто другой бы ему не помог и, играя на чувстве вины, попросил об одолжении. Том пошел на поводу и загрузил из Интернет интернета нужную Бобби программу.

Конечно же, эта программа была совсем не тем, на что, возможно, была похожа. Это была троянская программа и предназначалась она для проникновения врага в осажденный лагерь, подобно пресловутому Троянскому Коню. Том сказал, что ничего не произошло, когда после того, как он нажал на иконку запуска, а на самом деле он ничего и не должен был увидеть, хотя шпионская система в этот момент удачно установилась инсталлироваласьу него на компьютере.

Благодаря установленной программе Бобби получил полный контроль над компьютером своей мишени, то, что называется удаленной командной строкой. Бобби соединился с захваченным компьютером, нашел все бухгалтерские файлы, и скопировал их. Позже, на досуге, Боб проверил полученные данные и отобрал наиболее ценную информацию для своего клиента.

Но это еще не все. Теперь Бобби может в любой момент читать электронную почту своей жертвы, распоряжения администрации, иа также «обыскивать» файловую систему и корпоративную сеть по заданным  ключевым словам.

Позже тТем же вечером, когда троян был установлен, Бобби выбросил купленный телефон.Конечно, он заранее очистил память телефона и вытащил батарею питания – последнее, чего бы он желал, это чтобы в один прекрасный момент этот телефон зазвонил вновь.

Сленг

Троянская программа. Программа, содержащая вредоносный код, предназначенный для разрушения файлов компьютера жертвы, или для получения информации с зараженного компьютера жертвы или из сетей, к которым этот компьютер имеет доступ. Некоторые трояны прячутся в недрах операционной системы и отслеживают каждое действие пользователянажатие, каждое действие пользователя нажатие клавиш. Кроме того, троянские программы обычно могут получать инструкции от злоумышленника по сети, и, далее,затем исполнять нужные злоумышленнику функции, причем без всякого ведома пользователя.

История Билла

У Билла Гудрока была простая цель в жизни, которая не менялась с 12-летнего возраста: уйти в возрасте 24 лет, не взяв ни копейки у родителей. Чтобы показать отцу, всемогущему и ничего не прощающему банкиру, что он сам способен достичь успеха.
До намеченного срока оставалось всего два года, и было совершенно ясно, что никаким блестящим бизнесом или фантастически успешным вложением денег цели он не добьется. Однажды он даже подумал о том, чтобы ограбить банк с оружием в руках, но это были только фантазии - слишком незначительным было отношение выгоды к риску. Вместо этого он решил ограбить банк электронным образом.
Когда Билл последний раз был в Европе с родителями, он открыл счет в банке Монако на 100 франков. До сих пор там лежали все те же 100 франков, но у него был план, как превратить их в семизначную цифру в один момент. А может даже восьмизначную, если повезет.
Подруга Билла, Анна-Мария, работала в большом банке Бостона M&A. Однажды в ее офисе, дожидаясь, когда она вернется с затянувшейся встречи, он из чистого интереса подключил свой ноутбук к Интернет-порту в комнате для встреч, где он и находился. Ого-го! Он оказался во внутренней сети банка за пределами защитного сетевого экрана. Это навело его на размышления.
Он решил привлечь своего школьного друга, который был знаком с девушкой по имени Джулия, блестящим компьютерным специалистом, работающим после защиты диссертации в компании Marchand Microsystems. Она выглядела потенциальным источником ценной внутренней информации. Они сказали, что пишут сценарий фильма, и она им поверила. Она решила, что будет очень интересно поучаствовать в этом и помочь со всеми необходимыми подробностями и деталями. Их идею она считала блестящей, и все время просила выделить и ей какую-нибудь маленькую роль. Они, в свою очередь, предупредили ее, что часто все хорошие идеи бывают украдены и попросили держать все в строгом секрете.
Тщательно подготовленный Юлией, Билл выполнил всю рискованную часть работы самостоятельно и никогда не сомневался в том, что все кончится хорошо.

*******

Я позвонил вечером и узнал, что руководит ночной сменой охраны человек по имени Исайя Адамс. Вечером в 21-30 я позвонил в здание и поговорил с охранником, сидящим в приемной. Основой моей истории была срочность, и я постарался говорить паническим голосом: «У меня проблемы с машиной, а я не могу попасть в здание компании. Я звонил начальнику охраны - Исайе Адамсу - но его нет дома. Не могли бы вы мне пойти навстречу, я буду вам бесконечно благодарен?»

Все комнаты в здании компании были обозначены специальным кодом, я дал ему код компьютерной лаборатории и спросил, знает ли он, где она расположена. Он сказал, что знает, и согласился сходить туда для меня. По его словам это должно было занять несколько минут, поэтому я пообещал перезвонить ему туда.

Он уже был там и ждал звонка, когда я перезвонил и сказал ему, где найти терминал, который был мне нужен – помеченный листком бумаги с надписью «elmer». Юлия рассказала мне, что именно этот компьютер используется для разработки операционной системы, которую продвигает компания. Когда он ответил, что нашел такой терминал, я убедился, что Юлия снабжает нас точной информацией, и сердце мое забилось. Я попросил его несколько раз нажать клавишу «Enter» на клавиатуре, и он ответил, что появился знак «&». Это означало, что компьютер загружен в режиме супер-пользователя со всеми возможными системными привилегиями. Охранник был не слишком хорошо знаком с компьютером, и я чувствовал, что он буквально взмок от напряжения, набирая по моей просьбе следующую, достаточно непростую команду:

echo `fix:x:0:0::/:/bin/sh` >> /etc/passwd

В конце концов, ему удалось добраться до конца и мы таки образом создали новый аккаунт. Затем я попросил его напечатать

echo `fix::10300:0:0` >> /etc/shadow

Так я зафиксировал зашифрованный пароль, который должен быть расположен между двумя двоеточиями. Отсутствие символов между этими двоеточиями означало, что пароль будет нулевым. Итак, в результате действия двух этих команд возник новый аккаунт с нулевым паролем и привилегиями суперпользователя.


После этого я попросил его распечатать длинный список имен файлов и попросил захватить его в приемную, поскольку «мне потом может кое-что понадобиться из этого списка».

Прелесть ситуации заключалась в том, что он даже и не подозревал, что создал для меня новый аккаунт. А список имен файлов я попросил его напечатать для того, чтобы убедиться, что набранные им прежде команды исчезнут из компьютерной комнаты вместе с ним. На следующее утро системный администратор и оператор не заметят ничего такого, что могло бы указать на попытку взлома системы безопасности.

Теперь у меня был аккаунт, пароль и все возможные привилегии. Незадолго до полуночи я вошел через dial-up в систему компании и, следуя инструкциям Юлии, напечатал «для сценария» определенные команды. После этого я получил доступ к одной из систем разработчиков, содержащей оригинал кодов новой версии операционной системы, разрабатываемой в компании.

Я загрузил «patch», который написала Юлия, по ее словам, он модифицировал программу в одной из библиотек операционной системы. Этот «patch», на самом деле, создавал «заднюю дверь», которая позволяла осуществить удаленный доступ в систему при помощи секретного пароля.

История Дэвида Харольда

Я очень люблю кино, и когда переехал в Лос-Анджелес, то надеялся встретить множество симпатичных киношников, которые будут приглашать меня на всяческие вечеринки и обеды в студиях. Однако, я провел там год, мне стукнуло 26, но максимум, что добился, был экскурсионный тур по Universal Studios в компании фермеров из Кливленда. В конце концов я решил – если меня никто не приглашает, придется пригласить себя самостоятельно. Что я и сделал.
Несколько дней подряд я покупал местную газету Los Angeles Times и внимательно читал все, что относилось к кинопромышленности, выписывая самые популярные имена продюсеров. Начать я решил с одной из самых крупных студий.
Я позвонил в приемную и попросил соединить с одним из продюсеров, о которых прочел в газете. Голос ответившей мне секретарши был похож на голос ласковой бабушки, и я понял как мне повезло – если бы на другом конце провода оказалась молодая девица, пришедшая на эту работу с надеждой быть замеченной, то она, скорее всего не стала бы тратить на меня время.
Но голос Дороти звучал так, как будто бабушка только что закончила печь блинчики для своего баловника-внука. Я был уверен, что найду к ней подход. Не каждый день, стараясь одурачить кого-нибудь, получаешь гораздо больше ожидаемого. Она не только сообщила мне имя сотрудницы службы безопасности, но и разрешила обратиться к ней от своего имени.
Естественно, я в любом случае использовал бы ее имя, но вышло даже лучше. Лоран абсолютно спокойно побеседовала со мной, и ей даже в голову не пришло проверить, находится ли мое имя в списке сотрудников.
Когда во второй половине того же дня я подъехал к студии, для меня не только был заказан пропуск, но и зарезервировано место на стоянке. Я отлично пообедал в местном кафе и до конца дня осмотрел на студии множество мест. Мне удалось даже пробраться к съемочной площадке и понаблюдать за тем, как снимают кино. Я разгуливал по студии до семи часов вечера, и это был одно из самых интересных впечатлений в моей жизни.

История Дойли Лоннегана

Лоннеган не был мальчишкоймолодым человеком, которого вы ждете хотите увидеть на пороге вашего дома, ждущегоожидающего, пока вы откроете ему откроют дверь. Бывалый вышибалаСпециалист по выбиванию игровых долгов, он и сейчас не гнушался приработка, конечно, если его это не слишком его утруждало. В нашем случае ему предложили приемлемую сумму практически только за несколько звонков в магазин видео-проката. Звучит достаточно просто. И это только потому, что ни один из «клиентов» Лоннегана не представлял себе суть аферы – им необходим был человек с его талантом и ноу-хаузнанием дела.
lllllllllllllll
За покерным столом ставки не принято покрывать расплачиваться чеками. Это знают все. И почему мои дружки продолжали играть с этим плутом, который не выкладывал зелененькие? Не спрашивайте. Возможно у них не хватает чего-то в отделе Умственного развития. Но они мои друзья – что тут поделаешь?
У этого парня не было наличных, и они взяли чек. Я спрашиваю вас! Почему не повезли его к банкомату? Нет, взяли чек. 3230 баксов.
Конечно, это аукнулось. А чего вы ждали? Поэтому И они позвонили мне –могу я им помочь? Я больше не закрываю двери в ответ на стук снаружи. И, кроме того, сейчас есть более удачные способы решения внезапных проблем. Я сказал им: 30 процентов комиссионных, и посмотрю, что тут можно предпринять. Итак, они снабдили меня адресом и именем, а я сел за компьютер и подсмотрел нашел ближайший к этому адресу видео-прокат.
Я вовсе не торопился. Четыре звонка, чтобы притереться к менеджеру магазина и потом, (бинго!), у меня есть номер Visa-карты обманщика.
Другой мой дружок владеет стриптиз-баром. За пятьдесят баксов от он провел покерные деньги того парня через кассу бара. Оставим за нашим плутом право объяснить все это своей жене. Вы думаете, что он попытается рассказать компании Visa о том, что это не его счет в этом баре? Подумайте еще раз. Он знает, что мы знаем, кто он такой. Если мы можем получить номер его кредитной карты, то он догадывается, что мы способны и на большее. На этот счет никаких сомнений быть не может.

История Джейн Актон

Вот уже больше трех лет Джейн Актон тянула лямку в службе по работе с клиентами. Ее работодатель – поставщик коммунальных услуг в городке Вашингтон, что в округе Колумбия. Компания называется Hometown Electric Power. Джейн имеет репутацию ответственного, умного и внимательного сотрудника – она одна из лучших клерков фирмы.
lllllllllllllll
Примечательный для нас звонок поступил Джейн накануне Дня Благодарения.
Звонящий: Это Эдуардо из отдела расчетов. У меня тут на трубке леди – она секретарь одного из вице-президентов в головном офисе. Ей нужна информация, а у меня не работает компьютер. Я получил письмо от той одной девчонки из отдела кадров с заголовком “ILOVEYOU”. Я оОткрыл письмо и больше не могу работать с компьютером. Все сломалось. Вирус. Я попался на глупый вирус. В общем, ты можешь найти для меня данные по одному клиенту?
Джейн: Конечно. Значит, говоришь, компьютер накрылся? Это ужас.
Звонящий: Ну да.
Джейн: Чем помочь?
Здесь атакующий обращается к крохам знаний, полученных в ходе предварительной разведки. Например, удалось выяснить, что данные хранятся в чем-то, что называется Информационная система расчетов с клиентами. Внутри компании эту систему называли ИСРК.
Звонящий: Ты сможешь поднять запись по ИСРК?
Джейн: Да, какой номер счета?
Звонящий: Я номер не знаю. Мне нужно найти по имени.
Джейн: Хорошо. Имя?
Звонящий: Зовут Гетер Мернинг.
Он произнес имя по буквам и Джейн набрала его на клавиатуре.
Джейн: Хорошо – есть.
Звонящий: Отлично! Счет действителен?
Джейн: НуДа, д. Действителен.
Звонящий: А номер счета какой?
Джейн: Ручка есть записать?
Звонящий: Готов. Пишу.
Джейн: Номер счета BAZ6573NR27Q
Он повторил записанный номер.
Звонящий: И какой адрес обслуживается?
Она дала ему адрес.
Звонящий: А телефон обозначен?
Джейн любезно произнесла номер.
Звонящий не менее любезно поблагодарил ее, попрощался и повесил трубку. А Джейн перешла к следующему звонку, через минуту уже забыв о предыдущем.

История Джека

Джек Доукинс начинал свою профессиональную карьеру в качестве карманника на стадионе команды “Янки”, в заполненных платформах метро и среди толпы туристов на площади Times. Он был настолько артистичен, что мог вытащить бумажник у человека абсолютно незаметно. Но с возрастом он стал менее ловким, и однажды был пойман за руку. А в тюрьме его научили, что есть достойные занятия с гораздо меньшим риском попасться.
Его теперешней задачей было выяснить данные о квартальном доходе и прибыли компании до того, как информация станет общедоступной. Заказ на эту работу ему дал дантист, который не стал объяснять, зачем ему нужна подобная информация. Джек видел таких людей насквозь. Скорее всего, парень погорел на игре или у него подружка, которая требует на свое содержание немало средств. Или он врал своей жене, что успешно играет на бирже, потерял кучу денег и хочет сделать надежные инвестиции, чтобы вернуть потерю, а для этого ему надо раньше всех знать квартальные результаты компании.
Удивительно, как немного усилий надо приложить опытному социальному инженеру, чтобы овладеть ситуацией, с которой он никогда не сталкивался. Еще по дороге домой от дантиста у Джека в голове уже созрел план. Его друг Чарли Бейтс работал на компанию Panda Importing, в которой была собственная телефонная станция, иначе говоря PBX.
Люди, знакомые с телефонными системами PBX, знают, что соединяется с телефонной линией Т1, сконфигурированной как PRI ISDN (primary rate interface integrated services digital network - первичный интерфейс интегральных услуг цифровой сети). Это означает, что каждый раз, как звонок направляется в офис Panda, вся информация, связанная с его обработкой идет по цифровому каналу на переключатель телефонной компании; в эту информацию включен и номер того, кто звонит (если эта функция не заблокирована специальным образом).
Приятель Джека знал, как запрограммировать этот переключатель, чтобы человек, принимающий звонок, видел бы на экране не истинный номер звонящего из офиса Panda, а тот номер, который записан в переключателе.
Этот фокус легко проходит, поскольку местные телефонные станции абсолютно не заботятся о проверке соответствия номера звонящего его истинному номеру.

Все, что было нужно Джеку Доукинсу, так это доступ к такой телефонной услуге. Его друг, а иногда и партнер по мошенничествам, Чарльз Бейтс, всегда был готов протянуть руку помощи, естественно, за определенную плату. Поэтому Джек и Чарльз временно перепрограммировали переключатель телефонной компании так, чтобы звонки с определенной телефонной линии, расположенной в офисе Panda казались бы звонками, исходящими с телефона Виктора Мартина, то есть из офиса Starbeat Aviation.

Возможность подмены номера звонящего практически неизвестна широкой общественности, поэтому она практически не обсуждается. Именно поэтому Линда абсолютно спокойно отправила по факсу информацию тому, кто по ее мнению был представителем отдела PR.

После того, как Джек положил трубку, Чарльз перепрограммировал переключатель обратно к его изначальным установкам.

История Джессики

Джессика Андовер была очень довольна своей работой в современной компании, занимающейся роботами. Это была совсем молодая компания, и зарплаты там были не очень большими, но все искупалось дружелюбием сотрудников и надеждой на стремительный рост акций, который сделает всех богачами. Может быть не миллионерами, как владельцев компании, но все же достаточно состоятельными людьми.
Именно поэтому она лучезарно улыбнулась Рику Дагготу, когда он вошел к ним в приемную в то августовское утро. В дорогом костюме от Армани с золотым «Роллексом» на запястье и совершенно невероятной прической, в точности такой, от которой обалдели бы все одноклассницы Джессики. Он был совершенно неотразим.
–Привет, – сказал он. – Меня зовут Рик Даггот, я приехал на встречу с Лари.
Джессика смущенно улыбнулась:
– Ларри в отпуске все неделю.
– Но у меня назначена встреча с ним на час дня. Я специально для этого прилетел из Луисвилля, – сказал Рик и показал ей свой календарь в карманном компьютере.
Она посмотрела на него и покачала головой:
– 20-е число – это следующая неделя.
Он схватил компьютер и уставился на экран.
– О нет, – буквально зарычал он. – Просто не верится, что я совершил такую глупую ошибку!
– Могу ли я хотя бы заказать для вас обратный билет? – спросила она сочувственно.
Пока она дозванивалась, Рик рассказал, что они с Ларри договорились организовать стратегический альянс по маркетингу. Компания Рика производила устройства для производства и сборки, которые прекрасно дополняли новый продукт их компании C2Alpha. Продукция Рика и С2Alpha вместе составляли очень сильное решение, которое открывало для обоих компаний обширный промышленный рынок.
Когда Джессика закончила с заказом билета на вечерний рейс, Рик сказал:
– Ну что же, тогда я попробую пообщаться со Стивом, если он здесь.
Но Стив – глава и основатель компании – тоже отсутствовал в офисе.
Рик очень дружелюбно разговаривал с Джессикой и даже начал немного флиртовать с ней. Он предложил (поскольку у него есть свободное время до вечернего рейса) организовать обед с ведущими сотрудниками компании, добавив: «включая вас, естественно» и поинтересовался – кто сейчас в офисе.

Вдохновленная идеей участия в обеде, Джессика спросила:

– Кого вы хотели бы пригласить?

Он опять взялся за свой КПК и с его помощью назвал нескольких человек – двух инженеров из отдела разработок, новых менеджеров по продажам и маркетингу и финансового консультанта проекта. Рик попросил ее рассказать о работе в компании, а сам предложил рассказать ей о себе. Он выбрал самый лучший ресторан в районе, в котором Джессика всегда хотела побывать, сказал, что там заказан столик на 12:30 и он вернется через некоторое время за ними.

Когда все собрались в ресторане – четверо сотрудников плюс Джессика – их стол еще не был готов. Они присели в баре, и Рик уверил их, что и бар и обед – все будет за его счет. Рик был классным мужчиной и у него был стиль в общении, все как будто были знакомы с ним много лет. Он знал, что сказать по любому поводу, умел прервать неловкое молчание удачной шуткой, и находиться в его обществе было просто удовольствием.

Он рассказал немало подробностей о продуктах своей компании, которые станут основой совместной маркетинговой программы. Он назвал несколько компаний из списка Fortune 500, с которыми его фирма сотрудничала, и так вел разговор, что все за столом поняли, что их продукт обречен на успех, еще до выхода за стены компании.

Затем Рик обратился к одному из инженеров – Брайану. Пока остальные собеседники за столом болтали друг с другом, Рик обсуждал с Брайаном, какие особенности нового продукта C2Alpha

отличаются от тех, что есть у конкурентов. В этой застольной беседе он узнал о некоторых отличиях, которыми Брайан особенно гордился и считал их действительно “крутыми”.

Рик продолжал вести свою линию и тет-а-тет побеседовал с каждым. Специалист по маркетингу с удовольствием сообщил ему дату выпуска продукта и суть маркетинговых планов. Финансовый консультант поделился с ним ожидаемыми издержками на производство и сырье, ценами продукта и ожидаемой прибылью, а также основными проблемами в работе со всеми поставщиками оборудования.

К тому моменту, когда пришла пора переходить из бара за стол, Рик успел обменяться парой слов со всеми и стал всеобщим любимцем.


После обеда они пожимали ему руки полностью довольные друг другом и благодарили его. Рик раздал всем свои визитки, а инженеру Брайану сказал, что им предстоят более серьезные обсуждения, когда Ларри вернется.

На следующий день Рик позвонил Брайану и сказал, что только что переговорил с Лари.

– Я вернусь в понедельник, чтобы обсудить некоторые подробности, – сказал Рик. – Но Лари хочет, чтобы мы ускорили наши разработки. Поэтому ты должен выслать ему все самые последние детали ваших разработок и их подробные описания, а он тогда уже решит, что переслать мне.

Инженер ответил, что готов это сделать.

– Отлично, – сказал Рик и продолжил. – У Ларри небольшие проблемы с электронной почтой, поэтому все материалы надо выслать по адресу larryrobotics@yahoo.com, который специально сделан для него в бизнес-центре отеля, где он находится.

Когда на следующей неделе, в понедельник, отдохнувший и довольный Ларри появился в офисе, Джессика решила первой поделиться с ним эмоциями по поводу Рика:

– Какой отличный парень! Он всех нас сводил пообедать, даже меня.

Ларри был очень удивлен:

– Рик? Какой еще Рик?

– Твой новый партнер по бизнесу.

– Что!!!!????

– Все были очень довольны, поговорив с ним.

– Но я не знаю никакого Рика....

– Что с тобой, Ларри? Ты шутишь или смеешься надо мной?

– Немедленно собери все руководство в комнате для переговоров. Пусть бросают все свои дела. Пусть придут все, кто был на обеде, включая и тебя.

Они расселись вокруг стола в полном недоумении, лишившись дара речи. Ларри вошел и сказал:

– У меня нет знакомых по имени Рик. У меня нет никаких новых бизнес-партнеров, которых я бы держал в секрете от вас. Если среди нас есть шутник, то я хотел бы, чтобы он назвал себя.

В ответ – ни звука. В комнате как будто становилось темнее с каждой минутой. Наконец заговорил Брайан.

– Почему ты не ответил мне, когда я послал тебе письмо со всеми спецификациями нашего продукта и кодами?

– Какое письмо?!

Брайан буквально окаменел:

– О... дьявол!

В разговор вступил другой инженер Клиф:


– Он дал нам свои визитки. Надо просто позвонить ему и выяснить, что за чертовщина творится.

Брайан взял свой карманный компьютер, отыскал нужную страницу и подвинул его к Ларри. Надеясь на чудо, они все не отрывали глаз от Ларри, пока тот набирал номер. Он нажал кнопку громкой связи и все услышали короткие гудки занятой линии. После безуспешного набора номера в течение двадцати минут обескураженный Ларри позвонил оператору и попросил его прервать разговор по экстренной причине.

Через несколько мгновений оператор перезвонил им и удивлено спросил:

– А откуда вы взяли этот номер?

Ларри сказал, что этот номер напечатан на визитке человека, с которым ему надо срочно соединиться. Оператор сказал:

– Мне очень жаль, но это специальный тестовый номер телефонной компании и он всегда дает сигнал «занято».

Ларри срочно начал составлять список информации, которая была передана Рику. Картина вырисовывалась не слишком приятная.

Они вызвали полицию, пришли два детектива и сняли показания. Выслушав всех, они сказали, что никакого преступления совершено не было, и они ничего сделать не могут. Они посоветовали Ларри обратиться в ФБР, поскольку там есть специальное подразделение, которое занимается экономическим шпионажем. Когда Рик Даггот просил инженера отправить ему тестовые результаты, представившись не тем, кем он был на самом деле, он мог нарушать какие-то федеральные законы, но для уточнения этого надо обратиться в ФБР.

Через три месяца Ларри читал на кухне утреннюю газету за завтраком и вдруг едва не выплеснул себе на колени горячий кофе. Его худшие подозрения, которые затаились с того момента, как он впервые услышал о Рике, начали сбываться. Это было напечатано на первой странице бизнес-раздела. Компания, названия которой он даже и не слышал, объявляла о выпуске нового продукта, чье описание в точности совпадало с C2Alpha, который его компания разрабатывала уже более двух лет.

При помощи элементарного воровства эти люди опередили с выходом на рынок. Все мечты его были разрушены.Миллионы долларов, вложенные в исследования и разработки пропали даром. И он не сможет доказать никаких своих прав.

История Кейта Картера

Если судить по детективным фильмам и романам, частные сыщики плохо знакомы с этикой и гораздо лучше умеют выбивать из клиентов необходимые сведения. Делают это они при помощи совершенно недопустимых методов и сами с трудом избегают ареста. На самом деле, большинство частных детективов ведут исключительно законопослушную деятельность. Многие из них начинали свою карьеру в качестве сотрудников правоохранительных органов и абсолютно точно знают, что законно, а что нет и большинство из них никогда не переступает невидимой границы между этими двумя областями.
Но есть и исключения: некоторые частные детективы полностью соответствуют образам «плохих парней» из криминальных историй. Их еще называют «торговцами информацией» - и это очень вежливое название для тех, кто нарушает правила. Они знают, что если не соблюдать правила, можно придти к цели более коротким путем. И даже угроза, что короткий путь может привести их на несколько лет за решетку не оастанавливает.
Но самые опытные и удачливые частные детективы – те, кто сидит в дорогих офисах богатых районов города и никогда не делают грязную работу самостоятельно. Для этого они нанимают других «торговцев информацией».
Человек по имени Кейт Картер относится к таким «глазам», незатуманенным излишней этикой.
**************
Это был типичное дело из разряда: «Где он прячет свои деньги?» А иногда и «Где она прячет свои деньги?» Иногда богатая леди хочет знать, где муж прячет ее деньги (почему женщины с деньгами выходят замуж за нищих мужчин – всегда было загадкой для Кейта Картера, он много думал над ней и никогда не находил ответа).
В этом случае муж по имени Джо Джонсон хранил свои деньги в полной безопасности. Он был неглупым человеком, начал свой высокотехнологичный бизнес с 10 тысяч долларов, которые получил от семьи жены, и превратил их в сотни миллионов. Но по мнению ее адвоката, во время развода оказалось, что он спрятал все доходы и они должны быть возвращены.
Кейт решил собирать информацию в офисе социального страхования, надеясь получить оттуда множество полезных сведений о Джонсоне, чтобы потом с их помощью начать атаку на банки, брокерские компании и оффшорные организации для поиска следов там.
Кейт прежде всего позвонил в районное отделение, используя общедоступный номер, который есть в любой справочной телефонной книге. Когда дежурный взял трубку, Кейт попросил соединить его с кем-нибудь из отдела претензий. После соединения, Кейт сказал недовольным голосом:
– Это Грегори Адамс из районного отделения 329. Я пытаюсь соединиться с отделом претензий, а попадаю на факс - не могли бы вы меня соединить.
– Переключаю на вторую линию, – ответил мужчина.
На второй линии ответила Мей Лин, которой Кейт представился уже сотрудником Генерального инспектора и получил всю необходимую информацию, о чем мы уже рассказали.

История Крега Когбурна

Крег Когбурн был довольно успешным менеджером по продажам в одной хай тек компании. Со временем Крег стал понимать, что его успешность хорошо объясняется одной способностью – он без труда видел клиента насквозь. А зная уязвимости покупателя, не сложно заключить сделку. Позже Крег стал подумывать и о других возможностях своего таланта, что привело его в гораздо более выгодную сферу – промышленный шпионаж.
lllllllllllllll
Это было интересное задание. Все было похоже на то, что работы не много, а денег хватит на поездку на Гавайи... или Таити.
Парень, нанявший меня, естественно, ничего не говорил о клиенте, но ясно было одно – какая то компания решила похоронить своего конкурента одним маневром. Моя же задача заключалась в краже проектных материалов безделушки одной технической новинки – сердечного стента. Не знаю точно, что это такое, но оно нужно мне и оно принадлежит компании GeminiMed. Об этой фирме я раньше тоже ничего не слышал, но это была контора из Fortune 500. Естественно, - множество филиалов по всей стране, а это автоматически облегчает задачу. Это не маленькая фирма, где все знают друг друга в лицо, что, а как говорят пилоты о столкновениях в воздухе, - это может испортить весь день.
Мой клиент выслал факс, по сути – вырезку из медицинского журнала, из которой получалось, что GeminiMed сейчас работает над абсолютно новой разработкой, которая в будущем будет называться STH-100. Журналист сделал за меня часть черновой работы – подсказал название стента.
Проблема номер один: разузнать имена всех людей, потенциально имеющих доступ к проекту, а также имена специалистов, непосредственно работающих над STH-100. Я соединился с коммутатором компании:
– Добрый день. Я обещал встретится с одним инженером, но не могу вспомнить его фамилию, помню только что имя начиналось на С.
Оператор ответила:
– Есть Скот Арчер и Сэм Девидсон.
Я решил развить ситуацию:
– А кто из них работает в группе STH-100?
Она не знала, так что поэтому я просто выбрал Скота Арчера, с кем меня и соединили в следующую секунду.

Скот взял трубку и я сказал:

– Привет, это Майк из почтового отдела. У нас конверт FedEx. Адресат – группа STH-100. Не знаете, куда это отправить?

В ответ я получил имя лидера по проекту –, Джерри Мендел. Не растерявшись, я спросил еще и его номер телефона.

Позвонил. Мендела на месте не оказалось, автоответчик услужливо подсказал, что Джерри в отпуске и до тринадцатого числа ждать его не приходится.

– Если что-то срочное, – продолжал автоответчик, – перезвоните Мишель. Добавочный 9137.

Какие внимательные люди. Очень приятно. Я позвонил Мишель, она ответила, а яи представился:

– Это Бил Томас. Джерри сказал перезвонить вам. Я закончил спецификацию, с которой хотели ознакомиться ребята из его отдела. Вы ведь работаете над сердечным стентом. Я правильно понял?

Я понял все правильно. Теперь пришло время заняться самым интересным. На случай, если она начнет что-то подозревать, я заранее наплел что-то о том, что делаю одолжение, о котором попросил Джерри. Итак, я спросил:

– Вы на какой системе?

– Системе?

– Я имею в виду, какие серверы используете?

– А, RM22, а часть группы использует и GM16.

Хорошо, именно это мне и нужно. И, что немаловажно, я получил это, не вызвав подозрений. Можно было копнуть поглубже.

– Джерри сказал, что вы можете дать мне список имен и электронных адресов разработчиков. Мне надо разослать спецификацию, а ваши сервера мне недоступны, понимаете? – спросил я и задержал дыхание.

– Хорошо, список слишком длинный, чтобы зачитывать сейчас. Могу я отправить его по электронной почте?

Так, осторожно. Давать адрес не из домена GeminiMed.com

слишком опасно – сразу заподозрят неладное. Вместо этого я попросил, чтобы список прислали по факсу.

Она согласилась без проблем.

– У нашего факса тонер кончился. Я сейчас найду другой аппарат и перезвоню вам, – сказал я и повесил трубку.

Вы можете предположить, что здесь у меня возникли проблемы. Вовсе нет – это часть моей работы. Все, что я сделал, это немного подождал, чтобы оператор успел забыть особенности моего голоса, и перезвонил в очередной раз на коммутатор GeminiMed.


– Это Билл Томас, у нас факс не работает, можете получить для меня документ?

Мне ответили, что конечно, никаких проблем, и дали номер.

Я просто пошел и забрал факсимиле? Конечно, нет. Первое правило: никогда не появляйтесь на территории своей жертвы без самой крайней необходимости. Если тебя не видели, то и арестовать тебя не просто – ты просто голос в телефоне и ничего больше. А на голос наручники не наденешь, верно? Так что я позвонил секретарю через несколько минут и поинтересовался, не пришел ли мой факс.

– Уже пришел, – ответили мне.

– Послушайте, я сейчас у нашего внешнего консультанта. Не могли бы вы переправить его сюда?

Девушка с другой стороныдругого конца провода согласилась. А почему ей не согласиться – как обычному секретарю оценить информацию на этих листках? Теперь мне оставалось лишь дойти до небольшого здания на углу с объявлением «Отправка и получение факсов». Факс должен был попасть в это здание даже быстрее меня. Так оно и получилось – шесть страниц имен и адресов членов рабочей группы за $1.75 уже ждали меня.

История Курта Дилона

Издатели компании Milard-Fenton с энтузиазмом отнеслись к появлению нового перспективного автора, с которым они были готовы подписать контракт. Это был вышедший на пенсию руководитель одной из крупных компаний (входящих в список 500 крупнейших компаний журнала Fortune), у которого в запасе имелось много интересных историй. Кто-то направил его к бизнес-менеджеру для заключения договора. Это бизнес-менеджер не хотел показать, что плохо разбирается в издательских контрактах, поэтому он позвал на помощь своего старого друга. К сожалению, это не было не самое лучшее решение. Курт Дилон в своей деятельности использовал не совсем этичные методы.
Он создал себе бесплатную страничку на сайте Geosites на имя Рона Витаро и загрузил туда специальную шпионскую программу (spyware). Он сменил имя этой программы на manuscript.doc.exe, так, чтобы она была похожа на обычный текстовый файл и не вызывала подозрений. На самом деле это сработало даже лучше, чем Курт мог ожидать; поскольку настоящий Витаро никогда не менял изначальных установок параметров Windows, а там, как известно, установлено правило: «Прятать расширения для известных типов файлов». Из-за этого правила его файл был виден пользователю как manuscript.doc.
Затем он попросил свою подругу позвонить секретарю Витаро. Следуя указаниям Дилона, она сказала: «Я помощник Поль Спадоне, президента книжного магазина Ultimate в Торонто. Г-н Витаро встречался с моим шефом на книжной выставке некоторое время назад и попросил его перезвонить, чтобы обсудить совместный проект. Г-н Спадоне часто находится в отъезде, поэтому он просил меня точно узнать, когда г-н Витаро будет в офисе».
Через некоторое время девушка имела подробный список всех поездок г-на Витаро, который и передала своему приятелю. Таким образом, он точно знал, когда г-н Витаро находится в офисе, и когда его там нет. После нескольких дополнительных фраз удалось выяснить, что секретарша г-на Витаро не теряет времени даром и во время его отсутствия ездит кататься на лыжах. Значит какое-то время обоих не бывает в офисе. Прекрасно.

История Петера

О Петере ходили разные слухи - люди, которые учились вместе с ним, слышали, что он стал компьютерным экспертом, который всегда может добыть полезную информацию, недоступную другим. Когда с подобной просьбой к нему обратилась Алиса Конрад, он вначале отказал. С какой стати он должен идти ей навстречу? А когда он влюбился в нее и просил о свидании, она очень холодно отказала.
Но его отказ ее не удивил. Она сказала, что он просто не может сделать то, о чем она просит. Это прозвучало, как вызов, поскольку он-то был уверен, что сможет все сделать. Поэтому он согласился.
Алисе предложили выполнить определенную консалтинговую работу для маркетинговой компании, но условия контракта ее не удовлетворяли. Перед тем, как потребовать лучших условий, она хотела понять, какие условия предлагают другим консультантам в аналогичных контрактах.
Для этого ей и понадобился Петер. Вот его рассказ.
*************
Я не сказал Алисе, что был знаком с людьми, которые хотели, чтобы я сделал то, на что они считали меня неспособным, а я знал, что это не так уж и сложно. Ее случай был не очень простым, пришлось поработать. Но все прошло хорошо.
Я смог показать ей, что умный человек может многое.
В 7:30 утра в понедельник я позвонил в приемную маркетинговой компании и сказал, что я из пенсионного фонда, занимающегося пенсиями сотрудников компании, и мне надо поговорить с кем-нибудь из бухгалтеров. Бухгалтеры уже на месте? «Да я видела, что Мэри уже пришла - сказала секретарша - я попытаюсь соединить вас с ней».
Когда Мэри взяла телефонную трубку, я рассказал ей придуманную историю о проблемах с компьютерами, которая должна была заставить ее заволноваться и с удовольствием начать сотрудничать со мной. После того, как я уговорил ее поменять пароль, я быстро вошел в систему именно с этим временным паролем «test123», который она установила.
В этот момент начинает работать мастерство: я запустил небольшую программку, которая позволяла мне входить в компьютерную систему компании, когда мне это заблагорассудится, используя свой собственный пароль.
После того, как я закончил беседу с Мэри, я уничтожил все следы нашего сотрудничества, так, что никто не смог бы узнать, что я был в их системе. Это несложно было сделать. После установки себе высоких привилегий, я мог запускать программу под названием clearlogs, которую нашел на сайте www.ntsecurity.nu, посвященному проблемам безопасности.

Пришло время настоящей работы. Я запустил программу поиска документов со словом «контракт» в имени файла, после чего перегружал к себе эти файлы. Затем я перешел к более глубокому поиску в материнской директории, содержащей все отчеты по выплатам консультантам. Таким образом, я свел воедино все контракты и список выплат по ним.

Теперь Алиса смогла просмотреть контракты и понять, сколько обычно платят консультантам. Пусть теперь занимается этой неблагодарной работой – ее проблема. Я сделал то, что она хотела.

Я распечатал несколько файлов с того диска и решил показать ей при случае. Я заставил ее приглисить меня и угостить обедом. Когда она увидела толстую кипу бумаг, ее лицо изменилось: «Это невозможно - повторяла она - это просто немыслимо».

Диск, на который я скопировал все файлы, я не принес. Оставил в качестве приманки. Я сказал, что ей придется зайти ко мне, чтобы получить его, в надежде, что может быть она захочет продемонстрировать свою благодарность за то, что я для нее сделал.

Совет Митника

Просто удивительно, как легко может социальный инженер заставить людей делать то, что ему надо, всего лишь правильно построив запрос. Хитрость заключается в том, чтобы запустить автоматические ответы, основанные на психологических тонкостях, полагаясь на то, что люди считают звонящего не врагом, а своим союзником

История, рассказанная Антони

Я думаю, что ленивый бизнесмен – подходящее имя для Антони Лейка. Может «бесчестный бизнесмен» подходит даже лучше. Вместо того чтобы работать на других людей, он решил, что он будет работать на себя. Он захотел открыть магазин, где мог бы проводить целый день, не бегая по разным местам. И хотел иметь такой бизнес, который бы приносил ему гарантированный доход.
Какой же магазин? Он быстро нашел ответ на этот вопрос. Он знал, как чинят машины, соответственно, это должен был быть магазин запчастей.
Как же можно гарантировать успех? Ответ появился мгновенно: нужно было убедить «Знаменитые автозапчасти» продать нужный ему товар по минимальной цене.
Конечно, компания вряд ли бы сделала такое по своей воле. Но Антони умел обдуривать людей, а его друг Мики умел взламывать компьютерные сети. Так вместе они придумали хитроумный план.
В этот осенний денек он выдал себя за служащего Питера Милтона, причем сделал это очень убедительно, так же ему удалось проникнуть внутрь офиса «Знаменитых запчастей» и подключить свой ноутбук к сети. До сих пор все шло хорошо, но это был только первый шаг. Антони нужно было управиться минут за 15 –как раз тот срок, который он для себя установил. Чуть-чуть больше, и риск разоблачения будет слишком высоким.
Немного раньше он позвонил от имени компьютерного поставщика и сыграл с ними в пустячную игру. «Ваша компания приобрела у нас двухгодовую техническую поддержку. Сейчас нам нужно будет занести вас в базу данных, чтобы мы могли высылать информацию по новым версиям или обнаруженным ошибкам в программах, которыми вы пользуетесь. Мне нужно узнать какими приложениями вы пользуетесь». Ему назвали целый список программ. Один из знакомых бухгалтеров определил, что нужной программой является МАС 90. Эта программа содержит списки продавцов, информацию по скидкам и условиям оплаты для каждого продавца.
При помощи этой ключевой информации и компьютерной программы он смог идентифицировать все работающие в сети серверы. После чего он достаточно быстро вычислил сервер, который использовал бухгалтерский отдел.
С хакерским арсеналом, находящимся на его ноутбуке, он запустил одну программу, которая распознала всех авторизованных пользователей этого сервера. При помощи другой программы он нашел список наиболее часто используемых паролей, вроде «пустой» (blank) или «пароль» (password). Последний подошел. В этом нет ничего удивительного – люди не проявляют никакого творчества, когда выбирают пароли.

Прошло всего 6 минут, а игра была уже наполовину выиграна. Он был в сети.

В следующие 3 минуты он аккуратно внес в список клиентов название своей новой компании, адрес, телефон и контактное лицо. Затем, самое важное – для чего все и затевалось – все товары будут теперь продаваться ему всего за 1% стоимости.

Меньше чем за 10 минут ему удалось все сделать. Он достаточно долго оставался в конференц-зале, поэтому нужно было поблагодарить Кайлу. Он сказал, что связался с Майком Талботом и у них изменились планы – они встретятся у клиента в офисе. Он пообещал ей, что не забудет порекомендовать ее в офис маркетинга.

История, рассказанная Джо Харпером

Джо Харпер, в возрасте 17 лет, уже около года занимался тем, что проникал тайком на разные предприятия. Иногда он прокрадывался туда днем, иногда ночью, и все для того, чтобы посмотреть, как можно выйти «сухим из воды». Он был сыном музыканта и официантки, которые работали в ночные смены, и поэтому вечерами Джо был предоставлен самому себе. История, рассказанная Джо, проливает свет на то, что же в действительности произошло.
          *****
У меня есть друг, Келли, который мечтает быть пилотом вертолета. Он попросил провести его на завод, где делают вертолеты. Он знает, что я уже побывал тайком в разных местах. Испытываешь небывало острые ощущения, когда удается проникнуть в места, где тебе нельзя находиться.
Но в офис или на завод попасть совсем не просто. Тут нужно все хорошенько обдумать, спланировать и провести разведку относительно объекта. Надо сходить на веб-страницу компании, изучить имена, должности, систему отчетности и телефонные номера. Почитать газетные вырезки и статьи из журналов. Тщательное исследование – гарантия, что я смогу поговорить с любым, кто остановит меня, и представить дело так, как будто я сотрудник этой компании.
С чего же я начал? Сначала залез в интернет, для того чтобы узнать, где находятся офисы этой компании. Выяснил, что штаб-кватира находилась в Фониксе. Отлично. Я позвонил и попросил соединить меня с отделом маркетинга – ведь в любой компании есть отдел маркетинга. На телефонный звонок ответила женщина, я представился и сказал, что работаю в компании Блу Пенсил Нрафикс и хочу предложить им наши услуги. Затем спросил – с кем лучше поговорить по этому поводу. Она сказала, что лучше обратиться к Тому Силтону. Я спросил номер его телефона, на что она ответила, что не может дать такую информацию, а только переключить на него. Звонок был перенаправлен в голосовую почту, где автоответчик произнес: «Это Том Стилтон из Графикс. Добавочный номер 3147. Пожалуйста, оставьте свое сообщение». Смотрите, они не могут дать добавочный номер, а этот парень взял и оставил его на автоответчике! Это было здорово.
Теперь у меня было имя и добавочный номер.

Другой звонок, в тот же самый офис. «Здравствуйте, Я бы хотел поговорить с Томом Стилтоном, но он сейчас вышел. Могу я задать один маленький вопрос его начальнику?» Начальника Тома тоже не было в офисе. Но к тому времени я уже знал, как зовут начальника. Она тоже оставила свой добавочный номер на автоответчике, как мило с ее стороны.

Возможно, я мог теперь провести своего друга через охрану в вестибюле без особого труда, кажется, я бывал когда-то поблизости от этого завода. Там еще была ограда вокруг стоянки. А ограда означает, что есть охранники, которые тебя проверяют, когда ты туда заезжаешь. Ночью они возможно даже записывают номера машин, поэтому мне пришлось купить старые автомобильные номера на блошином рынке.

Но сначала мне нужно было заполучить номер телефона, находящийся в комнате для охраны. Я подождал немного – чтобы не попасть на этого же оператора, который может меня узнать, если я буду снова набирать этот номер. Немного спустя я позвонил и сказал:

– Мы получили жалобу, что телефон в комнате для охраны в Ридж Роуд иногда барахлит. У них по-прежнему есть с этим проблема? – Она ответила, что ничего об этом не знает, но соединит меня с охранником. В трубке раздалось:

– Охрана на Ридж Роуд, Рейн слушает.

– Привет, Рейн. Это Бен. У вас были проблемы с этим телефоном?

Рейн – охранник, которому не очень-то много платят, но я предполагаю, что он прошел кое-какие тренинги, потому что тут же спросил:

– Бен, назовите Вашу фамилию.

Я же просто продолжал, как будто не расслышал, что он сказал:

– Кто-то сообщил о проблеме.

Он убрал трубку от лица и громко спросил у кого-то:

– Брюс Роджер, у вас была проблема с телефоном? – Потом его голос снова раздался в трубке: – Нет, мы ничего не знаем.

– Сколько у Вас телефонных линий?

Он уже забыл о моем имени.

– Две, – ответил он.

– А по какой линии вы сейчас разговариваете?

– 3410

Здорово!

– И обе линии работают без помех?

– Да, вроде, никаких проблем.

– Ну ладно, послушайте, Том, если у вас появятся хоть какие-то проблемы с телефоном, звоните нам в Телеком в любое время.


Мы всегда готовы помочь.

Мы с приятелем решили навестить завод на следующую ночь. После обеда я позвонил на охрану под именем того парня из отдела маркетинга

– Привет, это Том Стилтон из Графикс. У нас сейчас завал. Двое моих ребят сейчас едут в город, чтобы помочь нам. Возможно, я не появлюсь здесь до часу или даже двух. Это будет еще ваша смена?

Охранник был рад сообщить, что его смена заканчивается в 12 ночи. Я попросил:

– Оставьте, пожалуйста, записку для следующей смены, хорошо? Когда появятся мои ребята и скажут, что они к Тому Стилтону, попросите им это передать.

Он сказал, что все сделает. Это было очень даже неплохо. Он записал мое имя, отдел, добавочный номер и пообещал проследить за всем.

Мы подъехали к воротам, когда было чуть больше двух ночи. Я назвал имя «Том Стилтон», и сонный охранник просто указал на ворота, через которые нужно проехать и поставить автомобиль на стоянку.

Когда мы вошли в здание, в вестибюле был еще один пост охраны, с регистрационным журналом для посещений во внерабочие часы, что было вполне естественно. Я сказал, что мне нужно закончить отчет к утру, а со мной товарищ, который хотел бы посмотреть завод.

– Он просто с ума сходит по вертолетам, – сказал я. – Он хочет научиться ими управлять.

Охранник попросил меня показать пропуск. Я полез в карман, затем пошарил по другим карманам и сказал, что, наверное, забыл его в машине.

– Я пойду за ним, на это уйдет минут десять.

Охранник произнес:

– Не беспокойтесь, все нормально. Просто распишись здесь.

Замечательное развлеченье – гулять по производственному этажу. Пока этот тучный Лерой не остановил нас.

В отделе безопасности я вычислил самого нервного и испуганного человека. Когда ситуация стала достаточно критичной, я начал говорить так, как будто сильно раздражен. Как будто я действительно тот, за кого себя выдаю, и меня уже стало выводить из себя, что они мне не верят.

Когда они заговорили о том, что, вероятно, нужно позвонить женщине, которая, якобы была моим начальником и пошли искать номер ее телефона, я про себя подумал «Подходящее время смыться».Но нам нужно было пройти пост охраны возле ворот у стоянки. Даже если бы мы выбрались из здания, они бы закрыли ворота, и мы бы никак уже не смогли выбраться.

Когда Лерой позвонил начальнику Стилтона, а потом передал мне трубку, женщина начала кричать: «Кто это? Кто ты?» А я продолжать болтать с ней, как будто у нас очень даже милый разговор. А потом повесил трубку.

Сколько понадобится времени, чтобы посреди ночи узнать телефон компании? Я прикинул, что у нас меньше 15 минут, до того, как она позвонит охране и откроет им глаза. Мы выбрались оттуда так быстро, как могли, но при этом делали вид, что совершенно не торопимся. Мы были просто счастливы, когда парень возле ворот махнул нам на прощание рукой.

История, рассказанная охранником

После того, как Лерой Грин очистил свои кожаные каблуки, постучав ими по полу практически безлюдного завода, он почувствовал себя гораздо лучше, чем в послеобеденное время своего дежурства, сидя перед видеомониторами в отделе безопасности. Здесь ему ничего не разрешалось делать, только смотреть на экраны, нельзя даже почитать газету или свою Библию в кожаном переплете. Он просто должен был сидеть здесь и лениво смотреть на неподвижную картинку на экранах мониторов.
Ходьба по коридору позволила ему размять ноги, потом он вспомнил о бросках через плечо и сделал несколько упражнений для рук. Конечно, это не могло считаться полноценной зарядкой для человека, который в старших классах состоял правым полузащитником в футбольной команде, выигравшей городской чемпионат. Но он понимал, что работа есть работа.
Лерой завернул за угол и направился в юго-западном направлении в сторону галереи, окна которой выходили на производственный этаж длинной в полмили. Посмотрев вниз, он заметил двух людей, проходящих мимо линии по сборке вертолетов. Они остановились и как будто на что-то обращали внимание друг друга. Эта картина выглядела более странно в такое время. «Лучше проверить, что там происходит», – подумал Лерой.
Он направился к лестнице, которая вела на этаж производственных линий. Лестница вывела его к этим людям, которые как будто и не подозревали, что у них за спиной кто-то есть.
– Доброе утро. Покажите мне, пожалуйста, ваши пропуска. 
Лерой всегда пытался говорить в такие моменты очень мягко – он понимал, что его фигура выглядит уже достаточно угрожающее.
– Привет, Лерой, – поздоровался один из них, прочитав его имя на бейдже. – Меня зовут Том Стилтон. Я работаю в отделе маркетинга в корпорации в Фоникс. Я приехал сюда на встречу и просто хотел показать моему другу, как строят самые великие в мире вертолеты.
– Понимаю, сэр. Покажите, пожалуйста, Ваш пропуск, – повторил Лерой. Он не мог не обратить внимания на возраст этих людей. Парень из отдела маркетинга выглядел так, как будто только что окончил школу.
У другого парня волосы были до плеч, и он выглядел лет на пятнадцать.

Парень с короткими волосами полез в нагрудный карман за пропуском, потом стал шарить в остальных карманах. Внезапно у Лероя появилось нехорошее предчувствие.

– Проклятье, – выругался парень. – Наверное, забыл пропуск в машине. Но я могу сходить за ним – это займет не больше десяти минут – только до парковки и обратно.

К этому моменту Лерой уже достал блокнот.

– Повторите еще раз Ваше имя, – уточнил он и аккуратно записал его. Затем Лерой попросил молодых людей пройти с ним в отдел безопасности. Пока они поднимались в лифте, Том все болтал о том, что он в компании всего шесть месяцев и переживал, не возникнет ли каких-нибудь проблем из-за всего случившегося. В комнате для охраны Лерой и два других охранника, которые дежурили вместе с ним ночью, стали задавать вопросы молодым людям. Назвавшийся Стилтоном дал номер своего телефона, сказал, что его босса зовут Джуди Андервуд и дал номер ее телефона. Всю информацию проверили по компьютеру, после чего Лерой отозвал двух охранников в сторону, и они стали решать что делать – они боялись совершить ошибку. Было решено позвонить боссу, хотя это значило разбудить ее среди ночи.

Лерой набрал номер миссис Андревод, представился ей и уточнил, действительно ли у нее работает Том Силтон. Голос у нее был ужасно сонный, как будто она еще не совсем проснулась. Она подтвердила, что такой человек работает у нее.

– Дело в том, что мы обнаружили его в 2:30 ночи возле производственной линии и у него нет с собой пропуска.

Мисис Андервуд попросила позвать Тома к телефону.

Стилтон подошел к телефону и сказал:

– Джуди, мне очень неудобно, что эти парни разбудили тебя среди ночи. Я надеюсь, это никак не отразится на мне.

Затем он что-то выслушал и добавил:

– Просто я все равно должен был прийти сюда утором, ну, на это собрание относительно пресс-релиза. Кстати, а ты получила сообщение по поводу сделки с «Томсоном»? Нам нужно будет обязательно встретиться с Джимом в понедельник утром, чтобы ничего не упустить.


Я надеюсь, наши планы вместе пообедать во вторник остаются в силе?

Он выслушал что-то еще, потом попрощался и повесил трубку.

Лерой был удивлен; он предполагал, что Том должен был передать ему трубку, чтобы женщина могла подтвердить, что все в порядке. Нужно ли ему еще раз перезвонить ей и все уточнить? Ведь он уже побеспокоил ее среди ночи. Если он позвонит ей еще раз, возможно, это ее разозлит, и она пожалуется начальству. «Зачем гнать волну?» – подумал он.

– Хорошо. Так я покажу другу производственную линию? – спросил Стилтон Лероя. – Вы можете сопровождать нас и присматривать за нами.

– Да ладно, идите, посмотрите, – сказал Лерой. – Только в следующий раз не забывайте пропуск. И в следующий раз необходимо проинформировать охрану, если собираетесь осматривать производственный этаж после закрытия смены – таково правило.

– Я запомню, – ответил Стилтон, и они ушли.

Прошло едва ли десять минут после того, как они ушли, и в комнате охранников раздался телефонный звонок. Это была Миссис Андервуд:

– Кто был тот парень? – спросила она. И сказала, что пыталась задавать ему вопросы, но он продолжал болтать о совместном ланче, и она даже понятия не имеет, кто это такой.

Охранники позвонили в холл и на парковку. Им ответили, что двое молодых людей покинули территорию несколько минут назад.

Когда потом Лерой рассказывал эту историю, он всегда заканчивал ее словами: «Господи, как же мне досталось от начальства – он чуть не стер меня в порошок. Но мне еще повезло – меня не выгнали с работы».

История Сэмми Сандорфа

Достаточно умный для того, чтобы зарабатывать неплохие деньги вполне законным путем, но и достаточно испорченный для того, чтобы предпочесть жизнь мошенника, Сэмми Санфорд был вполне доволен собой. Однажды на него обратил внимание бывший промышленный шпион, который вынужден бросить свое занятие из-за пристрастия к алкоголю. Озлобленный и мстительный он нашел способ продавать таланты, которые развил в себе еще на государственной службе. Всегда в поисках людей, которых можно использовать в своих интересах, он вычислил Сэмми сразу же, как только увидел его впервые. Сэмми согласился, что легче и проще красть не деньги у людей, а секреты у компаний.
*****
У большинства не хватит выдержки делать то, что делаю я. Приходится уговаривать людей по телефону или через интернет, и вы не видите того, с кем разговариваете. В недалеком прошлом мошенники общались со своими жертвами с глазу на глаз  и тоном голоса или улыбкой могли заставить человека поверить ему на слово (их и сейчас вокруг нас гораздо больше, чем вы думаете). Некоторые законники считают это криминалом. Я думаю, что это талант.
Никакое мошенничество нельзя совершать без подготовки, надо многое тщательно просчитывать. Даже у любого прохожего на улице можно узнать температуру после нескольких дружелюбных вопросов.
Работа с компанией больше похожа на то, что мы называем большое жульничество. Для его совершения необходима серьезная подготовка. Надо найти слабые места у противников, изучить их черты, нужды и особенности. Спланировать атаку и очень тщательно ее подготовить. Продумать по шагам свое поведение и не приступать к выполнению плана до тех пор, пока не будет абсолютной уверенности в своей готовности.
Однажды я три недели готовился к акции. Клиент дал мне два дня, чтобы объяснить, что «моя» компания делает и почему маркетинговый союз с нами будет выгоден для них.
Мне повезло. Я позвонил в компанию и сказал, что представляю фирму с венчурным капиталом, мы очень заинтересованы во встрече с ними и мне надо подробно знать, когда руководство будет на месте, чтобы организовать встречу.
Мне сообщили, когда Ларри наверняка не будет в городе. Он два года уже не ездил в отпуск после того, как организовал эту фирму, но в первую неделю августа его жене удалось уговорить его уйти в отпуск, чтобы вволю наиграться в гольф.

Оставалось подождать две недели.

Тем временем в отраслевом журнале я узнал, какая фирма ведет PR-компанию тех, кто меня интересует. Я сказал, что мне нравится, как они работают с этой компанией, производящей роботы, и не могли бы мы найти почву для сотрудничества. В PR-фирме была очень энергичная женщина, которая очень вдохновилась идеей заполучить нового клиента. Во время недешевого обеда, когда она выпила на один стакан вина больше, чем следовало, она с присущей ей энергией стала убеждать меня, насколько они хороши в понимании проблем клиентов и нахождении правильных PR-решений. Я был холоден и требовал конкретных примеров. Когда наши тарелки опустели, она успела сообщить мне немало интересного о готовящемся к выпуску продукте и проблемах компании, к атаке на которую я готовился.

Далее все мошенничество сработало «как часы». Моя рассеянность, когда я якобы перепутал время встречи, и готовность пообщаться с командой разработчиков, были полностью приняты девушкой из приемной. Она мне явно сочувствовала. Обед обошелся в 150 долларов, включая чаевые, но я получил все, что мне было нужно. Телефонные номера, названия работ и имена людей, ответственных за них, и главное сами люди, которые поверили в историю, которую я им рассказал.

Брайан выглядел наиболее доверчивым. Было ясно, что он вышлет мне все, что только я ни попрошу у него. Однако небольшое подозрение у него все же оставалось, поэтому я использовал домашнюю заготовку - заранее подготовленный интернет-адрес с именем Ларри. Наверное, служба безопасности Yahoo до сих пор сидит и ждет, что ящиком воспользуются еще раз, дабы отследить злоумышленника. Им придется долго ждать. Я работаю над следующим проектом.

История Скотта

– Скотт Абрамс слушает.
– Скотт, это Кристофер Далбридж. Я только что разговаривал с мистером Бигли, он очень недоволен. Он послал запрос дней десять назад, чтобы ваши сотрудники переслали все копии маркетинговых исследований рынка нам для анализа. Мы до сих пор ничего не получили.
– Исследования рынка? Никто ничего мне об этом не говорил. А вы из какого отдела?
– Я из консалтинговой фирмы, и мы уже выбиваемся из графика.
– Послушайте, я иду на совещание, оставьте мне ваш телефонный номер и я...
Атакующий перебивает раздраженным тоном:
– Вы хотите, чтобы я передал это мистеру Бигли?! Послушайте, ему нужны наши анализы к завтрашнему утру, и мы будем работать над ними всю ночь. Теперь вы хотите, чтобы я сказал ему, что мы не можем сделать это, поскольку не получили отчеты от вас, или вы сами ему скажете об этом?!
Сердитый начальник может разрушить карьеру. Мишень вашей атаки скорее всего решит, что лучше до совещания уладить все проблемы. Еще один пример того, как социальный инженер «нажал» на верную кнопку, чтобы получить желаемый результат.

История Стива Крамера

Это была небольшая лужайка, совсем не дорогостоящее засеянное специальной газонной травой покрывало и не предмет особой гордости. И, конечно, эта была не та лужайка, которая оправдывала бы покупку сидячей газонокосилки, там более, что он бы ей все равно ей не пользовался. Стиву нравилось работать ручной косилкой, - это занимало больше времени и само занятие давало подходящую возможность сфокусироваться на собственных мыслях, а не выслушивать Анну, постоянно распространявшуюся без конца болтающую о людях из ее банка. А кКроме того, Анна постоянно давала ему советы. Он ненавидел эти ставшие уже частью любого выходного предписания в форме «дорогой, сделай это...». Он вдруг подумал, что его 12-летний сын был чертовски умен, вступив записавшись в команду по плаванию. Ему, во всяком случае, не приходится устраивать для себя эти субботники.
Некоторые могут подумать, что работа Стива – разработка устройств для GeminiMed – по крайней мере скучна. Стив же думалполагал, что спасает людям жизни. Он думал о своей работе, как о творчестве. Артист, композитор, инженер – с точки зрения Стива –все эти люди схожи в том, что делают нечто, что до них никто еще не делал. И его последний крайне занимательный проект – новый сердечный стент – это его самая большая гордость.
Было почти 11:30 очередной субботы и Стив находился в подавленном состояниинастроении. Он уже закончил с лужайкой, но так и не продвинулся в своих мыслях. Как уменьшить энергопотребление стента? Это была последняя серьезная проблема и именно та проблема, над которой приятно подумать за газонокосилкой. Но нужное решение так и не пришло.
lllllllllllllll
В проеме двери появилась Анна, ее волосы были накрыты красным ковбойским пейслиплатком. Она всегда надевала этот платокего во время уборки дома.
–  Звонок, – бросила она. – Кто-то с работы.
– Кто? – в ответ бросилпоинтересовался Стив.
– Какой-то Ральф. По-моему.
Ральф? Стив не мог припомнить ни одного Ральфа, который мог бы позвонить ему в выходной.
Но, возможно, Анна и ошиблась.

– Стив, Это Раймон Перес из службы технической поддержки.

Раймон – и каким образом Анна могла спутать это испанское имя?

– Я звоню предупредить, – начал Раймон, – что тТри наших сервера упали,. это Это наверное червь. Нам придется вычистить диски и восстановиться с резервной копии. Надеюсь, сделаем так, чтобы ваши файлы были будут доступны к среде или четвергу. Если повезет.

– Абсолютно недопустимо, – жестко сказал Стив, борясь с приступом паники. Как люди могут так глупить? Неужели они думают, что я смогу обходиться без доступа к серверам все выходные и половину следующей недели? – Не получится. В самое ближайшее время я сяду за домашний терминал и мне необходим доступ к моим файлам. Я ясно объясняю?

– Да, однако все, кому я звоню, говорят тоже самое. Все хотят быть первыми в списке. Я уже трачу свои выходные, мне пришлось выйти на работу и мне совсем не нравится, что меня все меня поливают грязью.

– А меня прижимают сроки, и компания на меня рассчитывает. Мне надо закончить сегодня. Что здесь непонятного?

– А мне еще надо обзвонить кучу людей, прежде чем я хотя бы возьмусь за дело, – сказал Раймон. – Что если я постараюсь закончить ко вторнику?

– Не вторник, не понедельник, а сегодня. СЕЙЧАС! – Раймон стал думать, кому позвонить в случае, если не удастся пробиться через толстую черепную кость коробку этого парня.

– ХорошоЛадно, хорошо, – тем временем ответил Раймон и Стив услышал его несчастный вздох. – Давайте посмотрим, что я могу предпринять. Вы используете сервер RM22, так?

– RM22 и GM16. Оба.

– Да, конечно. Мне придется попотеть. Облегчите мне задачу, скажите пароль и имя пользователя.

– Ну и ну, – подумал Стив. – Что же такое происходит? Почему это ему понадобился мой пароль? Почему человеку из IT нужен мой пароль?

– Повторите еще раз свое имя. И кто ваш начальник?

– Раймон Перес. Слушайте, знаете что... Когда вы устраивались на работу, вы заполняли форму для регистрации пользовательской записи. Там же вы указывали пароль.


Я могу найти эти бумаги и показать, что у нас на руках ваш начальный пароль.

Стив немного поразмышлял и согласился. Он нетерпеливо выждал, пока Раймон удалился за документами. Секундой Немного позже в трубке стал слышен шорох перелистываемой бумаги.

– А, вот оно, – наконец произнес Раймон. – Здесь вы записали пароль ‘Janice’.

Жанис. Это было имя его матери, и иногда он использовал его в качестве пароля. Вполне возможно, что именно этот пароль он внес и в форму.

– Да, все правильно, – подтвердил Стивон.

– Хорошо, мы теряем время. Теперь вы знаете, что я имею отношение к вашим паролям, а я знаю, что вы можете сильно сократить время на восстановление ваших же файлов.

– Мой логин: s, d, подчеркивание, cramer. C-r-a-m-e-r. Пароль: pelican1.

– Отлично. Я вошел, – слова голос Раймона наконец то зазвучали более менее тактично. – Дайте мне пару часов.

Стив повозился еще с лужайкой, пообедал и когда сел он наконец сел за компьютер, все нужные ему файлы были уже в порядке. Он был доволен собой, доволен тем, как заставил сотрудничать того парня из IT и надеялся, что Анна слышала его настойчивость, проявленную в разговоре. Было бы неплохо поблагодарить парня или его начальника за работу… но он знал, что никогда не обременит себя этим делом.

История Винса Капелли

Винс, сын полицейского из маленького городка, с малых лет твердо решил, что не будет всю свою жизнь гнуть спину за нищенскую зарплату. У него было две цели в жизни - выбраться из этого самого городка и завести собственный бизнес. Школьные приятели смеялись над ним: не правда ли, забавно, что человек мечтает завести свой бизнес, но не имеет ни малейшего представления, что это будет за бизнес.
В глубине души Винс понимал, что они правы. Единственное, что у него хорошо получалось, это играть “кэтчера” в школьной бейсбольной команде. К сожалению, не настолько хорошо, чтобы стать профессиональным спортсменом или получить стипендию в колледже. Каким же бизнесом он мог заняться?
Об одном соученики Винса не догадывались: почему происходило так, что если у кого-то из них заводился красивый нож, новые перчатки или сексапильная подружка – и если это нравилось Винсу, то вскоре оказывалось у него. При этом Винс ничего не крал и не совершал предосудительных действий за спинами приятелей. Все отдавалось ему добровольно, а потом отдавший недоумевал - как же это произошло. И даже сам Винс не смог бы ответить на этот вопрос: он и сам не знал. Казалось, что люди сами отдавали ему все, что он хотел.
Винс Капелли с детства был прирожденным социальным инженером, хотя ни разу не слышал этого термина.
Его друзья перестали смеяться, когда получили дипломы об окончании университета и только смотрели по сторонам в поисках работы, а Винс уже работал в частном сыскном бюро у старого приятеля его отца в Сан-Франциско.
Это произошло шесть лет назад. Винс не любил заниматься делами, связанными с супружескими изменами, когда часами приходилось сидеть и наблюдать за объектом, но очень любил добывать сведения для адвокатов - достаточно ли средств у того или иного клиента и стоит ли им заниматься. Именно такие задания позволяли ему продемонстрировать все, на что он способен.
Однажды ему потребовалось заглянуть в банковский счет человека по имени Джо Маркович. Джо провернул одну темную сделку вместе с приятелем, и теперь приятель хотел понять, сколько же денег тот положил себе на счет.

Винс решил, что начать надо с того, что узнать один, а лучше два банковских кода. Для непосвященного это звучит абсолютно невыполнимой задачей. Что может заставить банковского служащего дать постороннему человеку ключи к собственной системе безопасности? Спросите себя - даже если у вас возникла такая идея, как можно ее реализовать?

А для таких людей как Винс - это проще простого.

Люди сразу же проникаются доверием к вам, если вы используете их профессиональный или внутрикорпоративный жаргон. Это значит, вы принадлежите к их узкому кругу. Это похоже на тайное рукопожатие.

Для выяснения кодов многого не требуется, никакого вскрытия мозгов. Начать стоит с номера филиала. Когда Винс позвонил в Буффало, офис на Бекон стрит, телефонную трубку поднял один из секретарей.

– Это Тим Акерман, – сказал Винс. Подходит любое имя, все равно его никто не будет записывать. – Какой номер у вашего филиала?

– Телефонный номер или номер филиала? – спросил секретарь. Совершенно дурацкий вопрос, поскольку телефонный номер был только что набран.

– Мне нужен номер филиала.

– 3182.

Вот и все. И никакого вопроса “А зачем вам это надо?” или чего-то подобного. Поскольку это не секретная информация она написана в этом филиале буквально на каждом клочке бумаги.

Второй шаг. Позвонить в отделение, где хранит свои деньги интересующий меня человек, узнать имя одного из сотрудников и время его обеденного перерыва. Анджела, уходит на обед в 12-30. Отлично.

Третий шаг. Звонок в это же отделение во время обеда Анджелы, представившись, что звонок из Бостона, филиал номер такой-то, Анджеле нужен факс с информацией, назовите мне код на сегодня. Это главный момент проекта, как говорят американцы, точка, где «резина встречается с дорогой». Подобные ситуации можно делать тестом на право называться социальным инженером: ваша жертва становится подозрительной, причем, по понятной причине, а вы должны перебороть эту подозрительность и получить нужную информацию. Этому нельзя научить, вы должны ориентироваться по ситуации – «прочесть» вашу жертву, овладеть ее сознанием, поиграть с ней как кошка с мышкой и, в конце концов, проглотить, то есть узнать то, что вам нужно!


Винс побеждает собеседника и получает один из кодов. Большой успех. Большинство банков обходятся одним единственным кодом на день, поэтому можно считать дело сделанным. Однако, у индустриального банка – пять новых кодов. Имея два из пяти в своем распоряжении, вы повышаете шанс успеха всей операции как минимум вдвое. Очень эффектный ход: «Я не говорил В, я сказал код Е», – и в распоряжении Винса оказывается два кода.

Можно попытаться получить даже три кода: буквы «В», «D» и «Е» звучат по телефону похоже, поэтому всегда можно сказать, что и второй раз вас неправильно поняли. Здесь важно не переборщить. Винс почувствовал, что его собеседник не полный лопух, поэтому остановился на двух кодах.

Код дня – ключ к получению нужной информации о клиенте. На вопрос банковского служащего о коде «С» придумывается быстрый ответ, что компьютер занят и можно назвать два других кода – В и Е.

Мы все сотрудники одной компании, мы все работаем вместе – так думает ваш собеседник в этот момент – поэтому он реагирует в точности так, как вам требуется. Называет один из предложенных вариантов, получает код и отсылает карточку с подписью.

Дело почти сделано. С помощью еще одного звонка Винс получает телефонный номер, по которому электронный собеседник сообщит ему все, что нужно о состоянии счета. В качестве идентификационного критерия банк обычно использует первые пять или последние четыре цифры из номера социальной страховки. Винс звонит по этому номеру и после нескольких нажатий телефонных клавиш получает сведения о состоянии всех четырех счетов парня, которым он интересуется, в том числе о последних зачислениях на эти счета.

Все, о чем просил клиент, сделано. При этом надо стараться сделать всегда чуть больше, чем тебя попросили. Клиент будет доволен и, скорее всего, обратится за помощью еще раз.

Изменение в схеме

Мошенничество, описанное в этой истории, происходило множество раз, хотя выглядит оно так, как будто взято со страниц романа Джона Гришэма или из кадров голливудского кино.

Я видел это в кино

Здесь проиллюстрирована ситуация из известного фильма, который многие помнят. В «Трех днях кондора» главный герой, Турнер (которого сыграл Роберт Редфорд), работал в маленькой исследовательской фирме имеющей контракты с ЦРУ. Однажды он вернулся с обеда и обнаружил всех своих коллег застреленными. Далее он расследует, кто сделал это и зачем, все время осознавая, что плохие парни, кто бы они не были, охотятся за ним.
Позднее в этой истории, Турнер ухитрился получить телефонный номер плохих парней. Но кто они такие и как Турнеру определить их местонахождение? Ему повезло: сценарист Дэвид Райфил наделил Турнера прошлым, в котором тот обучался ремеслу телефонного мастера в Army Signal Corps и потому знаком с техникой и практикой телефонной компании. Имея в руках телефонный номер плохих парней, Турнер точно знает, что надо делать. В сценарии эта сцена выглядит так:
Турнер поднимает трубку и набирает другой
номер.
Звучит вызов. Затем:
Женский голос в трубке:
– CNA, миссис Колман у телефона.
Турнер (в тестовой последовательности):
– Миссис Колман, это Гарольд Томас, обслуживание клиентов. CNA на номер 202-555-7389, пожалуйста.
Женский голос в трубке:
– Подождите минуточку.
(почти сразу)
– Леонард Атвуд, Переулок Маккензи, 765,Чеви Чэйз, Мэриленд.
Игнорируя тот факт, что сценарист ошибочно использовал код Вашингтона в округе Колумбия для адреса в Мэриленде, можно ли определить, что здесь произошло?
Турнер, обучавшийся на телефонного мастера, знал, какой номер надо набирать для того, чтобы попасть в офис телефонной компании, называемый CNA (Customer Name and Address bureau – Бюро имен и адресов клиентов). CNA создано для удобства установщиков телефонов и для других уполномоченных работников телефонной компании. Установщик может позвонить в CNA и назвать телефонный номер. Служащий CNA должен назвать имя и адрес человека, которому принадлежит номер.

Этапы разработки программы безопасности

Разработка доступной и понятной программы информационной безопасности обычно начинается с оценки рисков. Для этого необходимо определить:
·
какие информационные активы должны быть защищены?
· каким специфическим угрозам подвержены эти активы?
· какой урон будет нанесен предприятию, если эти потенциальные угрозы осуществляться?
Первостепенная цель этапа оценки рисков заключается в расстановке приоритетов. Какие активы нужно защищать прежде всего, и, исходя из оценки значимости этих активов, будут ли меры безопасности рентабельными? Проще говоря, надо ответить на вопрос: «Что защитить в первую очередь и сколько это будет стоить?»
Без сомнения, руководство обязано полностью поддерживать идею создания политики и непосредственно участвовать в программе безопасности. Как и в любой другой корпоративной программе, для того, чтобы дело увенчалось успехом, менеджеры должны не просто способствовать мероприятию, но и подавать пример своим подчиненным. Служащие должны удостовериться, что начальство со всей ответственностью подходит к вопросу информационной безопасности; они должны понять, что безопасность жизненно необходима для развития компании и что их работа напрямую зависит от успеха нового мероприятия.
Разработчик, описывающий политику безопасности, в свою очередь, обязан понимать, что документ не должен содержать компьютерного жаргона. Текст политики должен быть понятен любому сотруднику (даже тому, кто не имеет специальных знаний). Не менее важно, чтобы документ четко объяснял, почему нужно соблюдать то или иное правило. Иначе сотрудники могут воспринять внедряемые правила лишь как формальность, на которую они зря тратят свое время. Будет лучше, если автор или редактор политики разделит ее на две составляющие: документ, состоящий из набора правил и документ, описывающий процедуры, с помощью которых реализуются эти правила. Дело в том, что сами правила политики меняются намного реже, чем процедуры, которые не должны отставать от прогресса информационных технологий и должны время от времени корректироваться.

Кроме того, автор политики обязан хорошо ориентироваться в технологиях, способных помочь в реализации мер по обеспечению безопасности. Например, многие операционные системы имеют встроенные механизмы контроля длины и стойкости пользовательских паролей. А в некоторых компаниях загрузка программ из интернета запрещена локальными или глобальными настройками межсетевых экранов. Там где это возможно и рентабельно, не отказывайтесь от технологий, способных исключить человеческий фактор.

Сотрудников необходимо заранее предупредить о последствиях несоблюдения правил политики безопасности. Соответствующие санкции должны разрабатываться вместе с политикой и, в последствии, доводиться до сведения внутри компании. Естественно, что в противовес этим санкциям должна существовать и система поощрений как для сотрудников, демонстрирующих последовательность в вопросах безопасности, так и для тех, кто вовремя обнаружил или предупредил инцидент. И если руководство собирается поощрять тех, кто обнаружит брешь в обороне, то будет не лишним сообщить об этом. Например, в специальной статье по корпоративному списку рассылки.

Одна из целей программы повышения компетентности в вопросах безопасности заключается в том, что персонал организации должен четко понимать взаимосвязь между политикой и последствиями в несоблюдении правил этой политики. Человек в принципе таков, что склонен игнорировать или обходить емкие и недостаточно четко обзначенные правила. Здесь задача руководства – сделать все возможное для того, чтобы служащие оценили значимость политики и имели мотивацию к соблюдению правил, т.е. не воспринимали политику в качестве досадной помехи.

Важно еще раз подчеркнуть следующее: политика информационной безопасности – это не тот документ, который может быть написан раз и навсегда. Правила и процедуры корректируются вслед за изменениями в деловой активности компании. Кроме того, на рынке постоянно появляются новые технологии защиты, а хакеры находят все новые уязвимости. Корпоративная политика должна соответствовать тенденциям развития информационных технологий, и поэтому должна обновляться.Здесь лучше всего воспользоваться intranet-сайтом или любым другим доступным сетевым ресурсом, на котором будут размещены последние версии правил безопасности.

И, наконец, чтобы оценить компетентность сотрудников и выявить факты несоблюдения политики, можно и нужно проводить периодические проверки на уязвимость (vulnerability tests) и испытания на проникновение (penetration tests). Причем, прежде чем организовать тест «на прочность», проинформируйте персонал о том, что подобные проверки в принципе возможны и будут время от времени происходить.

Как атакующие берут превосходство над человеческой природой?

Если перед вами стоит задача разработки программы обучения, то прежде всего необходимо осознать, почему люди уязвимы перед лицом социоинженерной атаки. Во время, ролевых тренингов это "почему" следует отдельно подчеркнуть, ведь только так служащие поймут, почкму социоинженеры манипулируют людьми вообще и как они могут поступить конкретно с ними.
Техники манипулирования людьми изучаются социологами вот уже как минимум пятьдесят лет. В февральском выпуске Scientific American 2001 года Роберт Чалдини (Robert. B. Cialdini) обобщил свои исследования и предоставил на суд публики шесть «основных склонностей человеческой натуры», с помощью которых можно получить расположение жертвы.
Эти шесть склонностей – именно то, на что полагаются и чем сознательно или даже неосознанно пользуются социальные инженеры при манипулировании.

Как использовать правила безопасности

Представленные в этой главе правила – это только часть рабочей политики безопасности, способной противостоять любой информационной угрозе. Таким образом мои правила – не готовый документ, а базис, на котором строится политика отдельно взятого предприятия.
Авторам реальной политики так или иначе придется создавать правила для конкретного оборудования и собственных бизнес-процессов. Каждая компания имеет свои требования к безопасности, которые обусловлены делопроизводством, юридическими моментами, организационной культурой и информационными системами. Автор может взять за основу только те правила этой главы, которые отвечают требованиям компании, а остальные не задействовать.
Правила предлагаемой политики не делятся по степени важности. В маленькой фирме, расположенной в одном здании, где каждый знает друг друга лично, вовсе не обязательно заботиться о проверке личности звонящего сослуживца. Может случиться и так, что, невзирая на риск, администрация некоторых компаний предпочтет установить у себя некоторый упрощенный, но не конфликтующий с корпоративной культурой, набор правил.

Категории данных и определения

Вся информация должна быть разделена по категориям, в зависимости от значимости. Заметьте, что после принятия некоторой структуры классификатора, перестраивать ее крайне трудно и долго. В предлагаемом примере политики я выбрал четыре уровня классификации, которые подходят для большинства компаний среднего и крупного бизнеса. В зависимости от спектра используемых данных, эта классификация может быть расширена за счет добавления новых категорий более низкого уровня. Дополнительные уровни классификатора позволят эффективнее контролировать специфические данные. С другой стороны, в малом бизнесе достаточно трех категорий. Запомните – чем больше дифференциация классификатора, тем дороже и сложнее подготовить персонал и внедрить политику безопасности.
·
Конфиденциальная информация. Категория наиболее ценной информации. Конфиденциальные данные предназначены для использования внутри организации. Причем в большинстве случаев, к такой информации должен иметь доступ ограниченный круг лиц. Особенность конфиденциальной информации заключается в том, что ее раскрытие влечет за собой серьезные последствия как для самой фирмы, так и для ее деловых партнеров или клиентов. Конфиденциальные данные, в общем случае, подразделяются на типы:
o Информация, касающаяся коммерческих секретов, исходных текстов, технических спецификаций или описаний продуктов, в которых заключается преимущество перед конкурентами.
o Служебная маркетинговая и финансовая информация.
o Любая другая информация, особо важная для работы компании, например, планы стратегического развития.
· Частная информация. В эту категорию попадает частная информация, имеющая хождение внутри организации. Несанкционированное раскрытие частной информации может ударить как по отдельным служащим, так и по всей компании. Примерами частной информации могут служить: история болезни работника, данные о льготах, банковские вклады, история счета, или любая другая идентифицирующая информация, не предназначенная для публичного пользования.

· Внутренняя информация. К информации для внутреннего использования обычно имеют доступ все сотрудники организации. Несанкционированный доступ к такой информации чаще всего не влечет за собой серьезных последствий для фирмы, акционеров, партнеров или клиентов. Тем не менее, профессионалы от социоинженерии могут воспользоваться внутренней информацией для маскировки, представляясь в качестве авторизированного пользователя, поставщика или производителя. А это, в свою очередь, позволяет злоумышленнику получить доступ и к более ценной информации или проникнуть в компьютерную сеть организации.     

Прежде чем предоставить доступ к внутренней информации для третьих лиц, каковыми являются агенты поставщиков, аутсорсеры или партнеры, необходимо заключить соглашение о неразглашении информации. Под определение внутренней информации обычно попадают любые данные каждодневной деятельности фирмы, которые должны скрываться от посторонних – схемы организационной структуры, внутренние телефоны и сетевая адресация, номера корпоративных серверов dial-up, конфигурации удаленного доступа и т.д.

· Общедоступная информация. Информация для публичного представления. Такая информация может свободно распространяться, в том числе в качестве пресс-релизов, номеров телефонов службы поддержки или рекламных брошюр. Заметьте, что любая информация, которая специально не помечена как общедоступная, должна восприниматься только как ценная.

Классификация данных

Политика классификации данных определяет весь процесс защиты и, кроме того, устанавливает категории, необходимые для процедур контролирования ценной информации. Эта политика предоставляет все необходимое для того, чтобы каждый сотрудник мог обратиться к ней за получением объективной оценки значимости используемой в работе информации.
На сегодняшний день во многих компаниях внутренняя деятельность не опирается на классификацию информации. Решение о принадлежности документа к той или иной категории остается за конкретным служащим. В действительности, решение служащего основывается на субъективном суждении, а не на реальной стоимости или служебной ценности информации. Информация попадает в чужие руки еще и потому, что сотрудник, отвечая на вопрос, даже не задумывается о том, что в данный момент может вести диалог со злоумышленником.
Правила классификации данных устанавливают директивы, согласно которым информация может быть разделена по своей значимости. Когда все документы классифицированы, сотрудник получает возможность следовать процедурам, определенным для конкретного типа информации. Благодаря процедурам, о которых пойдет речь ниже, исчезает возможность непреднамеренного разглашения служебной информации несанкционированным лицам.
Все служащие компании без исключения, даже те, кто непосредственно не связан с работой на компьютере и не является пользователем корпоративных систем, должны знать принятую на фирме классификационную политику. Каждый может стать целью социоинженера, ведь доступ к служебной информации имеют буквально все – охранники, сотрудники, проходящие испытательный срок, консультанты, обслуживающий персонал и т.п.
Руководство должно ввести должность хранителя информации (information owner) – ответственного за всю информацию, которая так или иначе используется в компании. Помимо прочего, хранитель информации ответственен за безопасность информационных активов. Обычно, хранитель принимает решения, связанные с классификацией данных – устанавливает новые уровни классификации, если того требует бизнес, периодически пересматривает адекватность этих уровней текущей обстановке, и вносит изменения в политику классификации данных.

Классика жанра

Что представляет наибольшую угрозу для бизнеса с точки зрения безопасности бизнес-активов компании? Ответ прост: социоинженер[1]
– бессовестный фокусник, который заставляет Вас смотреть на свою левую ладонь, в то время, как его правая рука ворует Ваши секреты. При этом он сама дружелюбность, красноречие и любезность: Вы просто счастливы, что повстречали такого замечательного человека!
Обратите внимание на следующий пример из  социальной инженерии социоинжиниринга. Сейчас уже мало кто помнит молодого человека по имени Стенли Марк Рифкин, как и его приключение с ныне присным не существующим Лос-анжелесским банком Security Pacific National Bank. Люди разное говорят, подробности его похождений Рифкина не известны, да и сам Стенли Рифкин (в этом он похож на меня) никогда не рассказывал эту историю. Здесь приведена реконструкция событий, основанная на некоторых публикациях.

Комментарий Митника

Не полагайтесь на сетевую защиту или брандмауэры для того, чтобы сохранить свою информацию. Попробуйте найти ваше наиболее уязвимое место. Как правило, вы обнаружите, что слабое звено защиты заключается в ваших людях.

Безопасность через незаметность совершенно не поможет в блокировании атаки социоинженера. Любой компьютерной системой в мире пользуется по крайней мере один человек. Поэтому, если атакующий сможет манипулировать человеком, который пользуется системой, незаметность здесь будет неуместна.
В этом случае не нужно ни проверять или идентифицировать кого-то, ни давать кому-либо персональный номер, не нужно ежедневно изменять пароль. Если вы узнали по какому номеру звонить и ваш голос звучит авторитетно, то вам дается право получить информацию.
Все это не слишком благоразумно со стороны телефонной компании. Их единственной попыткой обеспечить безопасность была периодическая смена телефонного номера, по меньшей мере раз в год. Даже в этом случае, их актуальный номер был широко известен среди телефонных фрикеров, которые наслаждаются от получения выгоды из такого доступного источника информации, и от того, что делятся опытом со своими друзьями-фрикерами. Трюк с бюро CNA был одним из первых, которому я научился, увлекаясь фрикерством в подростковом возрасте.
Speakeasy security все еще широко распространена в мире бизнеса и в правительственных учреждениях. Похоже, что любой малоопытный взломщик может проникнуть в систему в качестве авторизованной персоны, если соберет достаточно информации об отделах, людях и жаргоне, принятом в вашей компании. Иногда даже нужно и того меньше: иногда внутренний телефонный номер – это все, что надо.


Эта история показывает, что временные жетоны безопасности и подобная форма идентификации не является совершенной защитой от коварного социоинженера. Единственная защита – это добросовестный работник, который следует всем правилам и понимает, как посторонние могут умышленно повлиять на его поведение.
Могло ли что-нибудь подобное случится в вашей компании? Может быть, уже случилось?


Коды безопасности, которые произносят сотрудники, аналогичны паролям и представляют собой удобное средство защиты информации. Надо только рассказать сотрудникам о возможных уловках социальных инженеров и научить их никогда не выдавать эти сведения, которые в реальности являются «ключами от королевства».


Если в вашей компании есть телефонная станция, как должен вести себя обслуживающий ее человек, получая запрос о ее номере от производителя этой станции? Кстати, поменяли ли вы начальное значение пароля на вашей станции и что за слово используется в ней в качестве пароля?


Манипуляторы (люди, которые манипулируют другими людьми) обычно обладают привлекательной внешностью. Они, как правило, легки на подъем и очень четко и правильно выражают свои мысли. Социоинженер также обладают навыками сбивать людей с толку таким образом, что они не могут взаимодействовать между собой. Думать, что какой-то определенный человек может противостоять манипуляциям, значит недооценить умения и потрясающую интуицию социоинженера.
Хороший социоинженер, наоборот, всегда по достоинству оценивает своего противника.


Возможно, ваша корзина с мусором является сокровищем для ваших врагов. Мы не придаем большого значения тому, что мы выбрасываем, находясь вне работы. Так почему мы думаем, что люди ведут себя на работе по-другому? Все сводится к тому, что нужно просвещать работников относительно опасности (небрезгливых людях, которые копаются в мусоре с целью поиска ценной информации) и уязвимости (засекреченная информация, которая не уничтожена или некачественно стерта).


   Большинство работников, которых смещают, или увольняют, или понижают в должности не создают проблем. Однако достаточно одного проблемного сотрудника, чтобы компания осознала, пусть и слишком поздно, какие меры безопасности нужно предпринимать для того, чтобы предотвратить несчастье.
Опыт и статистика показывают, что большая угроза исходит от своих же людей. Именно свои люди знают, где хранится ценная информация и куда нужно ударить, чтобы причинить как можно больше вреда.


Впуская незнакомца на территорию, где можно подключиться к компьютерной сети компании, вы увеличиваете риск вторжения. Работнику, особенно из другого офиса, вполне разумно разрешить проверить свою почту из переговорной, но до тех пор, пока посетитель не опознан, компьютерная сеть должна быть защищена от несанкционированных соединений. Компьютерная сеть и есть слабое звено, при помощи которого файлы компании могут быть использованы в корыстных целях.


Промышленные шпионы и хакеры далеко не всегда проникают в другие компьютеры через сеть, достаточно часто они просто входят в офис компании, и используют методы социальной инженерии для убеждения тех, кто находится по другую сторону двери, в необходимости открыть эту дверь.


Это еще один пример того, как умные люди недооценили противника. А как обстоит дело у вас - уверены ли вы в безопасности вашей компании настолько, чтобы выложить 300 долларов тем, кто сможет в нее проникнуть? Иногда уровень безопасности ваших технологических устройств не так высок, как вам кажется.


Используя терминологию известной игры «Монополия», « если вы используете словарные слова для вашего пароля - немедленно отправляйтесь в тюрьму». Вы должны старательно обучить сотрудников, как выбирать пароли, чтобы защитить ваши активы.


Когда хакер не может получить доступа к сети или компьютеру, он попытается сделать это, манипулируя другим человеком. Когда физический доступ необходим для достижения цели, гораздо правильнее использовать для его реализации посредника, чем делать что-то самому, поскольку в таком случае атакующий подвергается меньшему риску быть обнаруженным.


Просить о помощи подчиненного или коллегу по работе – совершенно обычное дело в любой компании. Социальный инженер прекрасно знает, как сыграть на естественном человеческом желании помочь и быть настоящим «игроком команды». Он использует эту хорошую человеческую черту в своих интересах, и ничего не подозревающие сотрудники приближают его к цели. Очень важно осознать эту простую мысль, тогда вы будете лучше защищены, если кто-то захочет манипулировать вами.


В следующий раз, когда на телефоне высветится номер вашей мамочки, не обольщайтесь, это может быть какой-нибудь очаровательный социальный инженер


Почаще прослушивайте свою голосовую почту; если вы услышите исходящее сообщение, сказанное не вашим голосом, знайте, что вы встретились с социальным инженером.


Опытный социальный инженер всегда очень умело влияет на других людей, чтобы использовать их в своих интересах. Получить факс и переправить его на другой адрес – копеечное дело, поэтому убедить сотрудника приемной сделать это не составляет никакого труда. Запомните: если кто-то, кого вы не знаете или не можете проверить его личность, просит вас оказать услугу, связанную с информацией, откажите ему.


Человеческое сознание – удивительная вещь. Можно только удивляться тому, насколько изобретательными бывают мошенники для достижения своих целей или для выхода из сложных ситуаций. Для защиты компьютерных сетей и информации, содержащейся в них, как в частном так и в государственном секторе, требуется не меньшая фантазия и изобретательность. Поэтому, друзья, создавая политики безопасности для вашей компании – будьте креативны и думайте нестандартно.


Хотя большинство атак социальных инженеров проводятся по телефону или через электронную почту, не надо предполагать, что опытный атакующий никогда не появится в вашей компании лично. В большинстве случаев обманщик использует различные приемы социальной инженерии для того, чтобы получить доступ в здание, надев на себя “бэдж” сотрудника, сделанный при помощи такой всем известной программы, как Photoshop.
А как быть с визиткой, на которой в качестве телефона указан номер тестовой линии телефонной компании? В известном американском телевизионном шоу “Файлы Рокфорда”, посвященном работе частных детективов рассказывалось о таком забавном приеме. У главного героя, Рокфорда (которого играл Джеймс Гарнер), в автомобиле была портативная машинка для печатания визитных карточек. Он использовал ее для печатания карточек того типа, который был ему нужен в данный конкретный момент. Сегодня социальный инженер может получить любые визитки в течение часа в любом копировальном салоне или самостоятельно распечатать их на приличном лазерном принтере.
Что же заставляет нескольких умных мужчин и женщин поверить обманщику? Вероятно, здесь действует и чувство и разум. Когда мы видим человека, внешность которого внушает доверие – а именно такой внешностью и обладают большинство мошенников – наше чувство опасности притупляется. Именно внешность, внушающая доверие и отличает успешного мошенника или социального инженера от одного из тех, терпит поражение.
Спросите себя: уверены ли вы в том, что никогда не попадете в историю, подобно истории с Риком? Если вы уверены, что «нет», задайте вопрос, захочет ли кто-нибудь проделать нечто подобное с вами. Если ответ на второй вопрос «да», то, скорее всего ответ на первый вопрос тоже должен быть «да»...


Очень важное правило, которое надо буквально вдолбить всем сотрудникам: никогда не пересылайте никаких файлов людям, которых вы лично не знаете (за исключением прямых указаний руководства), даже если адрес назначения находится во внутренней сети компании.
Насколько просто аналогичную атаку можно провести против вашей компании?

Консолидация

Люди имеют тенденцию соглашаться с собственными обещаниями или заверениями, сделанными публично. Если мы что-то обещали, то приходится это делать, так как иначе мы будем выглядеть человеком непоследовательным, ненадежным и т.п.

Копание в мусоре

Разгребание мусора - это термин, который означает копание в мусорных корзинах в поисках ценной информации. Количество информации, которое возможно получить из корзины, просто поражает.
Многие люди даже не задумываются над тем, когда выбрасывают дома телефонные счета, отчеты по кредитным карточкам, бутылочки из-под лекарств, прописанных доктором, банковские отчеты, документы, связанные с работой и многое-многое другое.
Но на работе служащие должны быть предупреждены, что мусор может просматриваться для получения определенной информации.
Во время моего пребывания в старших классах, я, бывало, занимался тем, что копался в мусорном контейнере, который находился позади здания, принадлежащего местной телефонной компании. Очень часто я занимался этим один, иногда с друзьями, которые разделяли мой интерес – узнать как можно больше о телефонной компании. Как только ты становишься опытным информационным шпионом, сразу приобретаешь сноровку, чтобы, например, избегать мусорных мешков из комнаты отдыха, и, конечно же, работаешь в перчатках.
Рыться в мусоре – это не очень приятное занятие, но вознаграждение того стоит: справочники с внутренними телефонами компании, руководство по работе с компьютером, списки сотрудников компании, выброшенные распечатки с инструкциями по программированию коммутационного оборудования и много чего еще – все это добыча.
Я осуществлял набеги по ночам, когда выпускались новые пособия, так как тогда мусорные контейнеры пополнялись множеством старых пособий, выброшенных без задней мысли. Но я иногда ходил к мусорным контейнерам и спонтанно. Я искал любые записки, письма, отчеты и все такое, что могло быть интересной или полезной информацией.
Как только я приходил на место, я брал какие-нибудь коробки, вытряхивал из них все содержимое и ставил в стороне. Если бы кто-то стал задавать мне вопросы, а это случалось, кстати, нередко, я отвечал, что мой друг переезжает, и я ищу коробки, чтобы помочь ему упаковать вещи.
Охранники никогда не замечали документы, которые я клал внутрь коробок и относил потом домой. Иногда охранник приказывал мне исчезнуть, тогда я просто шел к центральному офису другой телефонной компании.

Кража, совершенная «своим человеком»

Единожды попав внутрь компьютерной системы компании, что происходит дальше? Как Дэнни найдет путь к серверу с программным обеспечением?
Он уже приготовился для этого.
Компьютерные пользователи знакомы с группами новостей, где существует огромный набор досок объявлений и куда можно послать вопрос, на который ответят другие, или найти виртуальных компаньонов, разделяющих интерес к музыке, компьютерам или любую другую из сотен различных тем.
На что надеются некоторые люди, когда они пишут какие-то сообщение в группу новостей, так это на то, что их сообщение останется там и будет доступно многие годы. Google, например, сейчас обслуживает архив из семисот тысяч миллионов сообщений, причем некоторые датированы двадцатилетней давностью! Дэнни начал с Web-адреса http://groups.google.com. В поле поиска он набрал «encryption radio communications» (кодирование радиосвязи) и имя компании. И обнаружил старое сообщение на эту тему от одного из сотрудников компании. Это было сообщение, устаревшее еще до того, как компания начала разработку первой версии продукта, и, вероятно, задолго до того, как полиция и федеральные службы стали рассматривать необходимость шифрования сигналов.
Сообщение содержало подпись отправителя, предоставляя не только имя человека – Скотт Пресс – но и его телефонный номер и даже название отдела, в котором он работал в Secure Communications Group.
Дэнни взял телефон и набрал номер. Это было почти нереально – возможно ли, чтобы человек оставался в той же организации много лет спустя? Возможно ли, чтобы он был на работе в выходной день, да еще когда на дворе бушевала буря? Телефон прозвонил раз, другой, третий, а затем в трубке раздалось: «Скотт слушает».
Представившись, сотрудником IT-отдела компании, Дэнни выудил из Скотта (одним из способов, известных вам из прошлых глав) имена серверов, задействованных в процессе разработки. Это были сервера, на которых мог храниться исходный код. Код, содержащий запатентованный алгоритм кодирования и встроенное программное обеспечение, которое используется в выпускаемых компанией изделиях, обеспечивающих шифрованную связь.

Дэнни подходил все ближе и ближе, и его волнение возрастало. Он предвкушал удовольствие, намного большее, чем он обычно испытывал, когда узнавал то, во что посвящены лишь немногие.

Но все же, он не добрался еще до самого главного. Весь остаток выходных он мог в любое время входить в сеть компании, благодаря менеджеру компьютерного центра. И знал, к какому серверу нужно получить доступ. Но когда пытался связаться с ним, терминал сервера не позволял войти в систему разработки Secure Communication Group. Должно быть, там был внутренний брандмауэр или маршрутизатор, защищающий компьютерную систему этой группы. Необходимо было найти другой способ проникновения.

Эта преграда была преодолена смелостью: Дэнни снова позвонил Ковальски в Компьютерный центр и пожаловался:

– Сервер не хочет меня пускать. Нужно, чтобы Вы установили для меня доступ к одному из компьютеров в вашем Центре, чтобы я мог использовать Телнет для соединения с системой.

Этот менеджер уже однажды одобрил открытие доступа к коду, отображаемому на жетоне безопасности, так что новая просьба не выглядела безосновательной. Ковальски создал временную учетную запись и пароль на один из компьютеров Операционного центра и сказал Дэнни:

– Позвоните мне снова, когда вам больше не будет нужен доступ, чтобы я удалил эту запись.

Только теперь, войдя с помощью временной учетной записи, Дэнни смог подсоединиться к компьютерной системе Secure Communications Group. Спустя час онлайновых поисков технических уязвимостей, которые помогли бы проникнуть в главный сервер разработчиков, он «снял банк». Очевидно система или сетевой администратор не отслеживали последние новости по лазейкам в безопасности операционной системы, допускающей удаленный доступ. Но Дэнни знал про эти лазейки. Спустя некоторое время он обнаружил файлы с исходным кодом, которые он затем переправил на сайт электронной коммерции, предоставляющий бесплатное дисковое пространство. На этом сайте, даже если файлы были бы обнаружены, по ним его никогда бы не выследили.

Ему оставался один шаг, чтобы выйти из игры: методичный процесс стирания своих следов. Он окончил скорее, чем заканчивает ночной эфир Jay Leno. Дэнни справедливо отметил, что это одна из лучших его работ в выходные. Причем он никогда не хотел себя лично подвергать риску. Это был захватывающее действо, даже лучшее, чем сноубординг или затяжной прыжок с парашютом.

Дэнни был опьянен этой ночью, но не виски, ни джином или саке, а своим чувством власти и успеха, которого добился, украв файлы, содержащие сверхсекретное программное обеспечение.

Кто там?

Пример, приведенный в этой главе о мошеннике, который при помощи своего шарма очаровал сотрудников и добыл из них нужную информацию, говорит о необходимости более строгой проверки личности. Запрос о пересылке кодов на FTP-сайт также говорит о том, что надо точно знать личность просящего.
В главе 16 вы познакомитесь со специальными политиками для проверки личности любого лица, делающего запрос об информации или о проведении каких-то действий. Мы поговорим о необходимости проверки личности на протяжении всей книги – в главе 16 вы узнаете, как это должно быть сделано.
Часть 4. Поднимая планку

Легкие деньги

Когда я впервые познакомился с компьютером в школе, мы должны были соединяться через модем с центральным миникомпьютером DEC PDP
11, расположенному в центре Лос-Анджелеса, и которому подключались все школьные учреждения этого города. Операционная система на этом компьютере называлась RSTS/E и это была первая система, с которой я научился работать.
В то время компания DEC спонсировала ежегодные конференции пользователей своей продукции, и в 1981 году я узнал, что эта конференция будет происходить в Лос-Анджелесе. В популярном журнале для пользователей этой операционной системы было объявлено о выходе нового продукта для обеспечения безопасности - LOCK-11. Его рекламировали посредством совсем неглупой рекламной кампании, клипы которой звучали примерно так: «Сейчас 3-30 утра и хакер Джонни с соседней улицы после 336 попытки раскопал номер вашего dial-up
555-0336. Теперь он внутри вашего компьютера, а вы - вне игры. Приобретайте LOCK-11». Продукт, как утверждала реклама, полностью защищен от хакеров. Его собирались представить на конференции.
Я мечтал посмотреть на эту разработку. Мой школьный приятель и коллега по хакингу, который потом стал главным свидетелем против меня, полностью разделял мой интерес к продуктам DEC и одобрил мое желание пойти на конференцию вместе с ним.

Личность, вводящая в заблуждение

Любой, кто получает звонок по сотовому телефону, видит, кто ему звонит – на экране телефона высвечивается номер или имя звонящего. В рабочее время это помогает определить откуда исходит звонок – от коллеги или из-за пределов компании.
Много лет назад некоторые амбициозные телефонные хакеры устанавливали на своих аппаратах такое приспособление задолго до того, как телефонные компании начали предлагать эту услугу клиентам. Им очень нравилось дурачить людей, узнавая имя звонящего еще до того, как он произнес первое слово.
В наши дни, когда вы уверены, что на экране вашего телефона появляется номер того, кто вам звонит, это может быть обманом, на который и полагается атакующий.

Ловушка

Не секрет, что коммерческие кадровые агентства и работающие в них– «охотники за головами» – при поиске кандидатов на возникающие вакансии используют социоинженерные приемы. Я приведу пример того, как это происходит на практике.
В конце 90-х годов одно не совсем этичное кадровое агентство заключило договор с компанией, которой необходимо было подыскать инженера – микроэлектронщика с приличным опытом работы в телекоммуникационной отрасли. Проект вела одна женщина, наделенная завораживающим голосом и сексуальными манерами. Свои качества она давно научилась использовать в деле, легко устанавливая доверие и достигая взаимопонимания во время телефонного разговора.
Наша леди решила начать с небольшого набега на сотовую компанию в попытке выяснить, не найдется ли там специалиста, готового «перебежать» на сторону конкурента. Она, естественно, не могла просто позвонить в приемную и сказать: «Соедините меня, пожалуйста, с инженером, чей опыт работы превышает пять лет». Вместо этого и по причинам, которые станут вскоре понятны, она начала с поисков отрывочных данных, той информации, которая обычно высоко не ценится и которую служащие готовы предоставить любому заинтересованному лицу.

Месть Саманты

Саманта Грегсон была разгневана.
Она всегда старалась получить диплом бизнес-школы и прилагала для этого все усилия. Она была уверена, что именно этот диплом, а отнюдь не тяжкий труд, определяет карьеру и уровень заработной платы. В конце концов, она получила диплом, но найти достойную работу не могла.
Именно поэтому она была очень рада предложению компании Lambeck Manufacturing. Конечно, позиция секретаря – это была более чем смешная работа для нее, но г-н Картрайт сказал, что очень хотел бы видеть ее в своей компании, а секретарем она будет работать только до тех пор, пока не освободится первая не руководящая позиция.
Через два месяца она узнала, что один из молодых менеджеров по продуктам увольняется. Она не могла заснуть в эту ночь, представляя себя на пятом этаже в отдельном офисе, как посещает встречи у руководства и принимает решения.
На следующее утро она отправилась к г-ну Картрайту. Он сказал, что хотел бы, чтобы она больше узнала о подробностях производственного процесса перед тем, как приступать к серьезной работе. После чего на вожделенное место взяли новичка, который знал о работе гораздо меньше, чем она.
Тогда она поняла, что выхода нет. В компании было много женщин, но все они работали на секретарских должностях. Они никогда не допустят ее к руководящей работе. Никогда.

Мы сами не местные

Истории главы 3 показали, как атакующий может уговорить жертву сказать свой персональный номер. Используя различные подходы для достижения одного и того же результата показано, как злоумышленник может воспользоваться полученной информацией.

На пороге

Несмотря на миф о современном электронном офисе, лишенном печатной бумажной документации, организации продолжают каждый день печатать груды бумаг. И даже если вы при этом соблюдаете осторожность и ставите на документы грифы секретности, информация на бумаге остается под угрозой.
В следующей Следующая историия рассказываетпоказано, как социоинженеры овладевают добывают самыми самые ценными ценные служебными служебные материаламиматериалы.

Начальство

Люди имеют склонность исполнять приказы, отданные начальством или теми, кто располагает властью в принципе. Как уже неоднократно показывалось в этой книге, жертва быстрее пойдет на поводу атакующего, если верит, что последний располагает определенными полномочиями или высокой должностью.
В своей книге Психология влияния Чалдини описывает опыт трех западных клиник, двадцать две медсестры из которых имели дело с человеком, представлявшимся доктором и просившим выписать рецепт для своего пациента. Медсестры не знали этого человека ранее и даже в последствии не могли ни чем подтвердить, что это был доктор (а он им не был). Распоряжения на выписку рецептов поступали по телефону, что на самом деле явное нарушение инструкций. Выписываемое средство не было предназначено для использования в стационаре, а доза превышала дневную в два раза и была опасна для жизни! Чалдини утверждает, что, несмотря на все эти очевидные факты, в 95 процентах случаев «медсестры отправлялись за требуемой дозой лекарства в больничное хранилище и уже были готовы идти в палату указанного пациента и делать инъекцию», когда их останавливал наблюдатель, и оповещал об эксперименте.

Начнем с начала

Я думаю, все началось в детстве. Я был беспечным беззаботным ребенком. И скучным. В три года я потерял отца, а моя мать обеспечивала нашу маленькую семью, работая официанткой. Увидеть меня тогда, единственного ребенка, взращиваемого растимого матерью, которая сбивалась с ног, работая по безумному графику, --
это увидеть ребенка, отданного на самоусмотрение. Я был сам себе сиделкой. Рос в микрорайоне San Fernando Valley, что давало мне возможность исследовать пространства Лос-Анжелеса. А в двенадцать лет я нашел способ бесплатного передвижения по всему округу. В один прекрасный день, сидя в автобусе, я вдруг понял, что купленный мною автобусный билет защищен лишь тем необычным узором, который оставляет компостер, и который содержит информацию о дне, времени и маршруте поездки. Приветливый водитель, отвечая на мой вежливый вопрос, рассказал, где можно приобрести подобный компостер.
Билет позволял путешествовать, делая пересадки, а и я догадался, как с помощью того же билета можно ездить совершенно бесплатно. Бланки талонов, оказывается, можно было без труда достать в автобусном парке, порывшись в любом мусорном баке. С пустыми талонами и компостером я мог сам делать себе билет на любой автобус и ездить туда, куда вообще могли ездить Лос-Анжелеские автобусы. Вскоре я изучил и запомнилзаучил наизусть
все расписания движения. (Это первый пример того, как работает моя удивительная память, способная надолго сохранять в себе некоторые виды информации. Я и сейчас еще помню телефонные номера, пароли и другие мелочи из детства.)
Еще одно мое детское увлечение – это фокусы, которые . Фокусы меня зачаровывали. Как только я узнавал, как сделать какой-нибудь фокус, я тренировался до тех пор, пока он у меня не начинал получаться. К слову сказать, именно благодаря фокусам я открыл в себе стремление к чужим секретам.

Надувательство телефонной компании

В реальной жизни телефонный номер, которым пользуется бюро CNA – тщательно охраняемый секрет.
Хотя телефонные компании окончательно поняли это и в наши дни не просто получить подобного рода информацию, они тоже используют вариант speakeasy-безопасности, которую профессионалы называют безопасность через незаметность (security through obscurity). Они предполагают, что любой, кто звонит в бюро CNA и знает соответствующий сленг («Обслуживание клиентов. CNA на номер 555-1234, пожалуйста», например) является уполномоченной на это персоной.

Наивность человека

Надо признать, что мы не внимательны к окружающим нас опасностям. Особенно, если говорить о жителях западного мира. В Соединенных Штатах люди не приучены относиться друг к другу с подозрением. Напротив, нас учили «любить ближнего», доверять и верить друг другу. Дошло до того, что некоторые не закрывают на ключ собственный дом или машину. Угроза явная, но, несмотря на это, многие из тех, кто предпочитает жить красиво, игнорируют опасность – во всяком случае, до тех пор, пока не столкнется с этой опасностью лицом к лицу.
Мы знаем, что далеко не все люди добрые и честные, но предпочитаем вести себя так, как будто все наоборот. Эта умиляющая наивность наполняет жизнь американцев, и с ней не так просто расстаться. Многие американцы считают, что концепция свободы подразумевает, что лучшее место для жизни – это там, где ключи и замки вообще не нужны.
Есть и такие, кто заблуждается, думая что его не обманут хотя бы потому, что вероятность быть обманутым ничтожно мала. Нападающий, пользуетющийся этим заблуждением, – пользуется доверием своей жертвы и придает своим словам естественность, не вызывающую никаких подозрений.

Найти Гондорффа

Теперь предстояло узнать, в каком из корпусов центра сидит Гондорфф. Эту информацию сотрудники исправительных учреждений и тюрем стараются никому не предоставлять. Еще раз Джонни пришлось использовать свое мастерство социального инженера.
Он позвонил в тюрьму другого города – Майами, но выбор был совершенно произвольным, и сказал, что звонит из исправительного центра в Нью-Йорке. Он попросил соединить его с кем-нибудь, кто работает с информационной системой, содержащей сведения обо всех узниках исправительных учреждений США.
Когда на его звонок ответили, Джонни, старательно изображая Нью-Йоркский акцент, сказал:
– Привет, это Томас из исправительного центра в Нью-Йорке. У нас не работает соединение с информационным центром, помогите мне разыскать одного из заключенных. Я думаю, что он сидит в вашей тюрьме, – и дал имя и регистрационный номер Гондорффа.
– Нет, его нет здесь, – отозвался собеседник через несколько секунд. – Он находится в исправительном центре Сан Диего.
Джонни изобразил искреннее удивление:
– Как Сан-Диего! Его надо было перевезти в Майами специальным рейсом в сопровождении маршалов еще на прошлой неделе! Мы говорим об одном и том же парне - какая у него дата рождения?
– 12 марта 1960 года, – прочел его собеседник с экрана монитора.
– Да, это он. А в каком здании он находится?
– Он в десятом северном корпусе, – сказал мужчина, слепо отвечая на поставленный вопрос, даже не задумываясь о том, почему сотрудник тюрьмы в Нью-Йорке вдруг захотел узнать конкретное место заточения одного из узников.
Джонни выполнил три пункта из своей программы, теперь ему предстояло узнать, какой номер телефона закреплен за десятым северным корпусом.
Это оказалось не простым занятием. Джонни набрал один из номеров. Он знал, что звонок у всех телефонов в тюрьме отключен, поэтому никто не догадывался, что телефон звонит. Джонни сел и начал перечитывать один из журналов, подвернувшихся под руку, слушая постоянные гудки в трубке. Наконец кто-то взял ее на другом конце. Это человек хотел поговорить со своим адвокатом. Джонни был готов к такому развитию событий и быстро ответил:
– Офис PDO слушает.
Мужчина попросил соединить его со своим адвокатом. Джонни сказал:
–Я посмотрю, на месте ли он. Из какого корпуса вы звоните?
Услышав ответ, он положил трубку и через минуту сказал:
– Ваш адвокат в суде, перезвоните ему попозже.
Джонни потратил на звонки все утро, но ему еще повезло: с четвертой попытки он попал в десятый корпус. Теперь он знал номер телефона в здании тюрьмы, где сидел Гондорфф.

Наличные в обмен на мусор

Корпорации тоже играют в игру под названием «копание в мусоре». У прессы был знаменательный день в июне 2000 года, когда сообщалось, что Оракл Корпорейшн (чей исполнительный директор, Ларри Еллисон, является, пожалуй, самым откровенным противником Майкрософт) наняла частную сыскную фирму, которую поймали, когда она «запустила руку в банку с печеньем». По-видимому, разведчикам нужно было заполучить мусор от поддерживаемой Майкрософт компании АСТ, но они не предполагали, чем может закончиться столь рискованное мероприятие.
Согласно сообщению в прессе, сыскная фирма подослала женщину, которая предложила 60 долларов уборщикам в обмен на мусор из АСТ. Уборщики отказались. На следующий вечер она вернулась, уже предлагая 500 долларов уборщикам и 200 долларов смотрителям.
Уборщики отвергли это предложение и сдали ее полиции.
Ведущий он-лайн журналист, Деклэн МакКалла из газеты «Вайред Ньюс», следуя литературным традициям, озаглавил это событие: «Оракл шпионит за Майкрософт». Журнал «Таймс», приковывая внимание к Еллисону, назвал статью просто: «Подглядывающий Ларри».

Настройка

Несколько лет назад для многих людей было занимательным времяпрепровождением держать радиоприемник настроенным на радиоволну местной полиции или пожарной команды. И время от времени слушать эмоциональные переговоры в реальном времени о развитии таких событий, как ограбление банка, тушение пожара или погоня на высокой скорости. Таблицы радиочастот, используемых силовыми структурами и пожарными подразделениями, можно было найти в справочниках ближайшего книжного магазина. Сегодня они доступны в интернете или в книге, которую можно купить в Radio Shack (радиорубке) – там указаны радиочастоты местных, окружных, государственных и, в некоторых случаях, даже федеральных служб.
Конечно, слушают их не только любопытные. Грабители, опусташающие магазин среди ночи, могут настроиться и услышать, как полицейская машина отправляется к месту происшествия. Наркоторговцы могут следить за действиями Агенства по борьбе с наркотиками. Поджигатель может усилить свое болезненное наслаждение, если будет слушать, как пожарники борются с разведенным им огнем.
Совсем недавно разработчики компьютерных технологий создали возможность кодировки речевых сообщений. Как только инженеры нашли способы всунуть в единый микрочип огромные вычислительной мощности, они начали создавать маленькие радиопередатчики для силовых структур, которые позволяют защитить переговоры от прослушивания плохими парнями и любопытными.

Не отставайте от Джонсов

В Силиконовой Долине есть одна очень известная компания, имя которой мы называть не будем. Расположенные по всему миру офисы продаж компании, а также другие ее подразделения связываются с головным офисом через сеть WAN (wide area network). Злоумышленник, умный и смелый парень по имени Брайен Аттерби, знал, что почти всегда можно легко проникнуть в эту сеть с одного из удаленных узлов, за безопасностью которого не смотрят так строго, как в Центральном офисе.
Злоумышленник позвонил в офис города Чикаго и попросил мистера Джонса. Секретарь спросила, знает ли он имя мистера Джонса, на что самозванец ответил:
– Я знал, но забыл его. Сколько Джонсов у Вас работает?
– Три. В каком отделе работает нужный Вам?
– Если Вы подскажете мне их имена, вероятно, я смогу вспомнить нужное.
– Бэрри, Джозеф и Гордон, – назвала секретарь.
– Джо. Я совершенно уверен, что это он. И он работает... в каком отделе?
– В отделе развития.
– Отлично. Соедините с ним, пожалуйста.
Секретарь соединила. Когда Джонсон ответил, нападающий произнес:
– Мистер Джонс? Здравствуйте! Это Тони из отдела зарплаты. Мы только что выполнили Ваш запрос о переводе чека с зарплатой на Ваш счет в кредитном банке.
– ЧТО??? Вы смеетесь? Я не делал подобного запроса. Я даже не имею счета в кредитном банке!
– Черт побери! А я уже сделал перевод.
Джон был слишком расстроен мыслью о том, что его чек мог попасть на какой-нибудь чужой счет, и решил, что парень на другом конце провода малость туповат. До того, как он что-нибудь ответил, злоумышленник произнес:
– Сейчас посмотрю, как это произошло. Изменения в ведомости зарплаты помечены персональным номером. Какой у Вас номер?
Джонс дал номер.
– Да, Вы правы, запрос был не от Вас, – отозвался звонивший.
Они тупеют с каждым годом, подумал Джонс.
– Хорошо, я позабочусь об этом и внесу изменения прямо сейчас. Так что не волнуйтесь, с вашим следующим чеком будет все в порядке, – сказал парень обнадеживающе.

«Не желаете бесплатненького?»

С давнего времени вирусы досаждали человеку и причиняли головную боль медикам. Компьютерные вирусы представляют собой такую же напасть для пользователей техники. Само название «вирус» очень подходяще для этого явления. Очевидно, что компьютерный вирус, о котором вдруг начинают все говорить и который вдруг оказывается в центре всеобщего внимания, способен причинить немало вреда. Это продукт деятельности компьютерных вандалов.
Эти вандалы, а точнее компьютерные болваны, из кожи вон лезут, чтобы показать, какие они умные. А иногда подобострастно заискивают перед более взрослыми и опытными хакерами, иллюстрируя что-нибудь этакое. Такие люди исходят из того, что им зачтется, сделай они сетевого червя или разрушительный вирус. Они раздуваются от гордости, смотрявидя, как их творение разрушает файлы, портит диски и распространяется в электронных сообщениях тысячам ничего не подозревающих пользователей. А еще лучше, если вирус наделает столько шума и натворит такой беспорядок, что о нем начнут предупреждать в Internetинтернет-новостях и писать в газетах.
О вандалах и вирусах написано немало книг, создано немало антивирусных программ и на рынке немало компаний, разрабатывающих эти программы компаний. Но здесь мы не будем касаться технической стороны атаки. Сейчас интересно попоговорить не о деструктивных наклонностях вандала, а о целеустремленности его дальнего родственника – социоинженера.

Небольшая помощь новичку

Новые служащие – заманчивая цель для атакующего. Они еще не успели со многими познакомиться и не чувствуют себя уверенно во всех рабочих «можно» и «нельзя». И, что тоже также немаловажно, новички, пытаясь произвести хорошее впечатление на начальство, стараются не отказывать в содействии.

Невидимый сотрудник

Ширли Катлес придумала новый увлекательный способ быстро подзаработать. Никаких долгих часов изнурительного труда на соляных копиях. Она вступила в ряды сотен других членов самого популярного жульничества десятилетия - воров идентичности. Сегодня она направила свои усилия на получение конфиденциальной информации от сервисного департамента компании, выпускающей кредитные карточки. После необходимой предварительной подготовки она позвонила в эту компанию и попросила соединить ее с отделом телекоммуникаций. Далее она попросила соединить ее с тем, кто занимается голосовой почтой.
Используя собранную заранее информацию, она объяснила, что звонит Норма Тодд из офиса в Кливленде. Используя уже хорошо знакомое нам мошенничество, она сказала, что должна на некоторое время уехать в командировку, но ей надо проверять свой ящик голосовой почты так, чтобы не пришлось платить за междугородние звонки. Можно ли это сделать? Служащий ответил, что все сделает и перезвонит ей, чтобы дать всю необходимую информацию.
Спокойным голосом она ответила: «Дело в том, что я сейчас на встрече. Давайте лучше я перезвоню вам через час».
Когда она перезвонила, служащий сообщил ей, что все сделано и назвал номер расширения и временный пароль, который надо говорить для доступа к ее почте. Он спросил, знает ли она, как надо менять пароль голосовой службы, и она внимательно прослушала все его инструкции, хотя знала их отлично.
– Кстати, – спросила она, – какой номер я должна набирать из этого отеля, чтобы проверить свою почту?
Он сказал ей номер. Ширли позвонила по этому номеру, сменила пароль и записала новое приветствие.

Никого не забывайте

Политики безопасности часто упускают из виду сотрудников, работающих на незначительных должностях, таких как сотрудники приемной, поскольку они не имеют доступа к важной информации. Тем не менее, мы много раз видели, что именно такие сотрудники становятся мишенью атакующих. Проникновение в компанию автозапчастей - прекрасный тому пример: дружелюбный человек в спец. одежде утверждает, что он сотрудник вашей компании из другого здания, но на самом деле может оказаться вовсе не тем, за кого себя выдает. Сотрудник компании, работающий в приемной, должен быть тщательно обучен вежливому ведению диалога с пришедшим и четкому запросу его документов. При этом обучены должны быть не только те, кто сидит в приемной постоянно, но и те, кто заменяет их на время обеденного перерыва и других краткосрочных отлучек.
У визитеров, не являющихся сотрудниками компании, надо требовать удостоверение личности и записывать все сведения в журнале. Сделать фальшивое удостоверение личности не так сложно, но требование документа усложняет передвижение атакующего.
В некоторых компаниях имеет смысл следовать политике, требующей, чтобы все визитеры передвигались по территории только в сопровождении сотрудников компании. Причем сопровождающий должен точно знать – является сопровождаемый им человек сотрудником компании или нет. Почему это важно? Потому что, как мы уже видели в предыдущих историях, атакующий часто представляется сначала одним человеком, а потом - другим. Для него ничего не стоит убедить дежурного в приемной, что у него назначена встреча с одним из инженеров. А когда он попадет в помещение, где работают инженеры, там он может представиться продавцом каких либо устройств, и после недолгой беседы получает возможность свободного передвижения по всему здания.
Поэтому, принимая человека на работу в качестве сотрудника приемной, надо убедиться, что он осведомлен обо всех основных методах, которые используют атакующие для проникновения в здания.
А как защититься от атакующего, которому удалось проникнуть в здание компании и подключить свой ноутбук к сети за корпоративным сетевым экраном? Это не так-то просто сделать: во всех комнатах для встреч и конференций, классах для обучения и других аналогичных помещениях компании все порты подключения должны быть защищены при помощи сетевых экранов или маршрутизаторов. Но самая эффективная защита - это идентифицировать всех пользователей, которые соединяются с сетью.

Никого не забывать...

Каждый может с легкостью вычислить внутри собственной организации структуры, которые нуждаются в повышенном внимании с точки зрения безопасности. Но мы легко можем не заметить менее очевидные, но не менее уязвимые места. В одной из историй просьба отправить факс на внутренний номер кажется обычной и не представляющей никакой угрозы, но, как вы заметили, атакующий отлично этим воспользовался. Мораль: все, начиная от ассистентов и секретарей и заканчивая высшим звеном руководства, должны быть знакомы с подобного рода уловками. И не забудьте плотно закрывать входную дверь: ресепшен обычно первым сталкивается с социоинженером, и служащие, работающие в холе, должны вовремя распознать в звонящем или зашедшем человеке своего врага.
Служба безопасности должна позаботиться об организации единого центра, куда бы обращались все сотрудники, подозревающие, что стали или становятся мишенью социоинженера. Центр обработки инцидентов, так или иначе связанных с корпоративной безопасностью, позволит создать на фирме своего рода систему раннего оповещения, благодаря которой спланированная и скоординированная атака попадет под контроль еще уже на начальном этапе своего развития.

Номер, пожалуйста

Атакующий звонит в дДиспетчерский центр распределения линий (Mechanized Line Assignment Center, MLAC) частной телефонной компании. Женщине, ответившей на вызов, он говорит примерно следующее: «Привет! Это Пол Энтони. Разводчик. Слушайте, здесь распределительная коробка выгорела. Пожар был. Копы думают, что этот придурок решил поджечь дом из-за страховки. Меня отправили развести весь этот терминал, а здесь две сотни пар. Мне реально действительно нужна помощь! Что у вас по клиентам на Саус Мэйн, 6723?».
Если бы Пол звонил в другой отдел компании, то там бы с подозрением отнеслись к такому вопросу. Реверсивные запросы на получение номеров (не занесенных в общедоступные справочники) по адресу или имени клиента возможны только после положительной идентификации запрашивающего в качестве уполномоченного служащего компании. Но в отделе MLAC привыкли иметь дело с работающими «на земле» и, казалось бы, в MLAC мог обратиться только служащий компании. И, если даже запрещено разглашать непубличную информацию посторонним, кто откажется помочь сослуживцу в его нелегком деле. Женщине, которая ответила Полу, было жаль беднягу, ей и вспомнились похожие проблемы из личного опыта работы в компании... Она дала маркировки кабеля, номера пар и номера телефонов по Саус Мэйн 6723.

Новичок

Какая информация в компьютерах вашей компании может быть интересна атакующему? Иногда такая, что вам даже и в голову не придет защищать ее...

Новый партнер по бизнесу

У социальных инженеров есть большое преимущество перед мошенниками и взломщиками и это преимущество – расстояние. Мошенник может обмануть вас только в личной беседе, поэтому вы обратитесь в полицию, и опишите внешность преступника, а то и вызовите их немедленно, если почувствуете неладное.
Социальные инженеры обычно бегут от такого риска как от чумы. Иногда риск оказывается неизбежным, но тогда он вознаграждается сторицей.

О паролях

Сотрудники, которые сегодня имеют доступ к важной информации – то есть практически любой, у кого есть компьютер – должны понимать, что даже такое простое действие, как смена пароля всего на несколько минут может привести к серьезным брешам в безопасности.
Треннинги в сфере безопасности должны касаться вопросов смены паролей, причем особое внимание надо уделять тому, когда и как следует менять ваш пароль, каким должен быть правильный пароль и в чем состоит угроза допущения постороннего человека к этому процессу. Особое подозрение у всех сотрудников должны вызывать любые попытки узнать их пароли.
Кажется, что довести такие требования до сотрудников не составляет труда. Однако, это далеко не так, поскольку сотрудники должны хорошо осознать, что простейшее действие – смена пароля – может привести к проникновению хакеров в систему. Вы учите своего ребенка: «Смотри сначала налево, а потом - направо, когда переходишь улицу», но пока он не поймет, почему это важно, вы можете полагаться только на его слепое послушание. А правила, основанные на слепом послушании, обычно забываются или игнорируются.

Обман неосторожных

Я уже подчеркивал, как важно инструктировать сотрудников, чтобы они никогда не выполняли просьб незнакомого посетителя. Все сотрудники также должны понимать опасность выполнения просьб сделать что-либо на чужом компьютере. Политика компании должны запрещать подобные действия за исключением тех случаев, когда они одобрены руководством. Вот в каких ситуациях подобные действия допустимы:
·
когда просьба исходит от хорошо известного вам человека, причем сделана она в личной беседе или по телефону;
· когда вы точно установили личность говорящего при помощи методов утвержденных руководством;
· когда действия одобрены руководством, непосредственно знакомым с человеком, сделавшим запрос.
Сотрудники компании никогда не должны помогать человеку, с которым они лично не знакомы, даже если тот представляется одним из руководителей компании. После того, как политики, обеспечивающие безопасность и касающиеся проверки личности определены, надо убедить сотрудников следовать им, даже если для этого придется вступить в конфликт с представителями руководства, когда они попросят обойти политику безопасности.
Во всех компаниях должны быть четко определены правила действий на тот случай, если к сотрудникам обратятся с просьбой предпринять те или иные действия с компьютерами или компьютерным оборудованием. В рассказанной выше истории про издательский дом социальный инженер использовал новичка, который еще не был обучен процедурам и политикам в сфере информационной безопасности. Чтобы избежать подобных атак, каждый сотрудник, а особенно новички должны выполнять одно простое правило: никогда не выполняйте просьб посетителей, если эти просьбы связаны с компьютерами.
Запомните, что любым сотрудником, имеющим физический или электронный доступ к компьютеру или компьютерному оборудованию могут манипулировать таким образом, чтобы он предпринял некие действия по указке атакующего.
Сотрудники компании, а особенно - персонал департамента информационных технологий, должны осознать, что предоставление чужому человеку доступа в компьютерную сеть компании ничем не отличается от оглашения номера вашего банковского счета или кредитной карты с экрана телевизора.
Сотрудники должны всегда тщательно продумывать - не приведет ли выполнение подобной просьбы к раскрытию важной информации или взлому корпоративной компьютерной сети.

Сотрудники ИТ-департамента должны также очень осторожно относиться к тому, что визитеры или люди, звонящие по телефону, представляются как поставщики оборудования. Лучше всего назначить в компании специальных людей, ответственных за общение с каждым из поставщиков конкретного оборудования, и запретить всем остальным сотрудникам отвечать на любые запросы поставщиков об изменениях в составе оборудования или внутренних корпоративных телефонов. В таком случае назначенные сотрудники компании лично знакомятся с представителями поставщиков оборудования, и их будет труднее обмануть постороннему человеку. Если звонит представитель поставщика оборудования, с которым у компании нет никаких связей, это с самого начала должно вызывать подозрения.

Все сотрудники компании должны хорошо осознавать существующие угрозы для информационной безопасности и уязвимости в системе ее защиты. Все охранники должны проходить специальные тренинги не только по обеспечению безопасности компании, но и по обеспечению ее информационной безопасности. Поскольку охранники чаще всего имеют доступ ко всем помещениям компании, они должны быть знакомы со всеми видами атак социальных инженеров, которые те могут предпринять для проникновения в эти помещения.

Образование, правда, бесчестным путем

Он смог проникнуть в компьютерную сеть университета штата, нашел там запись о каком-то отличнике, скопировал ее и, снабдив своим именем, добавил к списку выпускников. Тщательно обдумав сделанное, он пришел к выводу, что могут быть и другие списки студентов, где должно встречаться его имя - перечень жильцов общежития, квитанции оплаты за обучение, списки посетителей тех или иных лекций и многое другое. Простое добавление себя в список выпускников, оставляет значительную вероятность выявления этого мошенничества.
Продолжая серьезно думать о реализации своей мечты, Майкл понял, что гораздо эффективнее найти выпускника с тем же именем и фамилией, получившим диплом по компьютерным наукам в определенный период времени. Тогда он сможет помещать идентификационный номер медицинского страхования этого Майкла Паркера на свое заявление об устройстве на работу. Отдел кадров любой компании, послав запрос в университет, удостоверится, что такой человек имеет диплом по компьютерным наукам. (Большинство людей не осознают того, что четко знал Майкл: на заявление о приеме на работу он может ставить чужой номер медицинской страховки, а после приема, ставить в анкете свой настоящий номер. Большинству отделов кадров не приходит в голову сверить эти номера.)

Один простой звонок

Основная задача атакующих - добиться, чтобы их запрос звучал убедительно, был похож на типичные запросы, которые жертва получает ежедневно, и не раздражал бы ее сверх необходимости. Так же, как это бывает и со многими другими вещами в нашей жизни, сделать убедительный звонок - иногда проще простого, а в другой раз - сложнее сложного.

Охранник, всегда готовый помочь

Мошенники всегда стремятся отыскать жадного человека, потому что он охотней всего попадается на их удочки. Социальные инженеры, когда отыскивают мишень для атаки среди уборщиков или охранников, ищут самого симпатичного, доверчивого и доброжелательного. Именно от них можно ждать помощи. Об этом и думал атакующий в нижеследующей истории.

Оно приходит с электронной почтойпо электронной почте

Скорее всего, вы каждый день получаете незатребованную почту, сообщения, рекламирующие что-то бесплатное, то, что абсолютно не нужно и о чем даже мысли в голову не приходили. Вы понимаете, о чем я. Кто-то советует, куда надо вложить деньги, кто-то предлагает скидки на компьютеры, телевизоры, видеокамеры, витамины, турытурпоездки; другие предлагают вам обзавестись абсолютно ненужной кредитной картой или устройством, которое без проблем и бесплатно позволяет получать настроится на каналы спутникового телевидения. Ну и конечно масса способов улучшить здоровье и избавиться от проблем в личной жизни.
Но всегда найдется такое письмо, которое, лишь только «нарисовавшись» в ящике, сразу привлечет к себе внимание. Может быть, это бесплатная игрушка, а вам нечего делать, или фотографии любимого киногероя, а может быть это недорогая антивирусная программа. И чтобы не предлагалось в сообщении, рядом будет ссылка, по которой можно загрузить навязываемые вам файлы.
Есть и другие сообщения, заголовок которых выглядит примерно так: «РомаДон, я скучаю по тебе». Или «Анна, ты почему мне не пишешь». Или «Привет Тима, здесь то фото, помнишь, я говорил...». Вы подумаете – это не реклама, ведь написано мое имя, и фраза кажется знакомой. И вы открываете вложенный файл с фотографией или текстом.
Стоит вам открыть файл из электронного конверта, посланного непонятно кем, загрузить программу, о которой говорилось в рекламке, нажать на ссылку сайта, о котором вы раньше и не слышали – и проблема уже рядомтут как тут. Без сомнения, в большинстве случаев вы получите именно то, что и ожидалосьожидали. В худшем случае, нечто странное или противное. Но иногда, даже не подозревая этогооб этом, можно обзавестись поделкой компьютерного вандала.
Сама по себе отправка злонамеренного кода на ваш компьютер – это только небольшая часть атаки. Для завершения атаки взломщик должен еще заставить вас загрузить или открыть вложенный файл.
Примечание
Троян с удаленным доступом$$Remote Access Trojan, RAT.
Троянская программа с удаленным доступом или просто "крыса".$$ – это один из видов программ, хорошо известных в компьютерном андеграунде. Такого рода программа позволяет взломщику полностью контролировать компьютер свой жертвы, так, как если бы этот взломщик сидел за вашей клавиатурой.

Наиболее опасные черви (например, с названиями типа Love Letter, SirCam, Anna Kournikiva и т.п.), размножаются и расползаются по сети именно благодаря социоинженерной технике маскировки и не в последнюю очередь за счет нашего желания получить что-то бесплатненькое.

Сетевой червь обычно приползает в виде атачмента электронного письма с заманчивым или вызывающим текстом – сказкой про некие секретные материалы или бесплатную порнографию. Есть и более удачные находки. Например, в письме может быть написано «вложенный файл содержит копию чека», и далее упоминается якобы совершенная вами покупка на крупную сумму. Вы откроете файл хотя бы потому, что у вас возникнет подозрение, что кто-то воспользовался вашей кредиткой.

Поразительно, сколько людей попадаются на эту удочку. Мы остаемся крайне уязвимыми даже несмотря на то, что вокруг постоянно говорят об опасности. Наше чЧувство опасности притупляется.

Организационная наивность

Организационная наивность, как следствие наивности отдельного человеканашего национального характера, стала очевидной при первом же удаленном соединении компьютеров. ARPANet (Сеть Агентства по обеспечению Наукоемких Исследований при Министерстве Обороны), прародитель Интернет, была разработана для обмена информацией между правительственными учреждениями, исследовательскими и образовательными институтами. Целями проекта было становление принципов информационной свободы и технологического рационализма. В то время многие университеты пользовались компьютерами, защищенными слабо или вообще никак не защищенными. Один гуманист от программирования, Ричард Столман, нарочито и публично заявлял о том, что не защищаетотказывался защищать паролем свою учетную запись.
Угрозы информационной безопасности драматическим образом ворвались в жизнь после того, как Интернет начал использоваться в роли инструмента электронной коммерции. Эти угрозы и опасности стали Появились качественно другимеи угрозы и опасности и стало ясно, что технология, сама по себе, не способна защитить человекарешить проблему безопасности человека.
Посмотрите на современный аэропорт, где безопасность имеет первостепенное значение. Но в прессе постоянно появляются заметки о пассажирах, проносящих оружие в самолет. Разве это возможно сейчас, когда принимаются такие  беспрецедентные меры? Проблема в металлодетекторах? Нет. Проблема не связана с машинами. Проблема заключается в человеческом факторе, в людях, управляющих этими машинами. Руководство аэропорта может задействовать Национальную Гвардию, установить наисовременнейшие детекторы и системы распознавания личности, но реально помочь может только специализированное обучение и тренировка охранников.
Похожие проблемы существуют в деловой сфере, в образовательных и государственных учреждениях. Несмотря на усилия экспертов по безопасности, информация везде и всюду остается лакомым куском для соционженера. И уязвимости в защите не исчезнут до тех пор, пока в цепи безопасности одно из звеньев – человеческий фактор – остается ослабленным.
Сейчас, как никогда раньше, пришло время избавиться от потребительского мышления там, где нужна компетентность в вопросах борьбы с атаками на конфиденциальность, целостность и доступность информации, атаками на компьютеры и сети. Пришло время включить защитные механизмы, научиться безопасной работе с компьютерной техникой.
Угроза может казаться мнимой, если еще не нарушена конфиденциальность Вашей личной информации или не взломаны информационные ресурсы Вашей организации. И чтобы не допустить такого рода нарушений, нам всем необходимо стать компетентными и бдительными, надо активно защищать информационные ресурсы, свою личную информацию и инфраструктуру государства. Реализовать предупредительные меры необходимо «здесь и сейчас».

От фрикера к хакеру

Моя первая встреча с тем, что называется социальная инженерия, произошла в средней школе и благодаря одному учащемуся, которого поймали за его любимым занятием – телефонным фрикингом. Фрикер – это разновидность хакера, который исследует телефонную сеть, неявным образом эксплуатируя телефонные системы и персонал телефонных же компаний. Этот однокашка показал мне несколько приемов работы с телефоном, среди которых было получение абонентской информации и использование для бесплатных междугородних звонков секретного пробного номера для бесплатных междугородних звонков. (На самом деле, эти междугородние звонки были бесплатными только с нашей точки зрения. Позже я выяснил, что этот номер был никаким не секретным и не тестовым. Фактически, звонки оплачивались одной несчастной фирмой.)
Это было мое первое знакомство с социальной инженерией – моей, так сказать, колыбелью. Мой друг и еще один фрикер, с которым я вскоре познакомился, позволяли мне слушать, как они, один за другим, делали совершали подложные звонки в телефонные компании. Я слушал и изучал, как они заставляют операторов поверить им и тому, что они говорили. Я узнавал много интересного об учреждениях телефонных компаний, я изучал сленг телефонистов и их работу. Прошло не так много времени, и я уже все делал сам, иногда даже лучше своих наставников.
Я вышел на дорогу, по которой шел все следующие пятнадцать лет.
В средней школе моим любимым развлечением было взламывать доступ к телефонному коммутатору и изменять класс группу доступа для домашнего телефона одного из моих приятелей-фрикеров. Когда приятель пытался позвонить с домашнего телефона, из трубки раздавалось сообщение о том, что для продолжения разговора в автомат необходимо бросить десять центов. Я делал так, чтобы, потому что коммутатор воспринимал его номер, как номер телефонного автомата.
Я буквально пропитался телефонами и всем, что было связано с телефонами связано. Я разбирался не только в электронике, коммутаторах и компьютерах, но и в корпоративной организации телефонных компаний, терминологии и функциях разнообразных служащих.
Еще через некоторое время я мог сказать о телефонных системах больше, чем любой из этих служащих. И я развил свои навыки социоинженера  так, что в семнадцать лет мог спокойно общаться с любым телефонистом практически на любую тему. И неважно, разговаривал я с ними лично или по телефону или при личном контакте.

Моя, более известная, карьера хакера тоже началась в школе. Я не буду раскрывать все подробности, скажу лишь, что, благодаря одной из попыток взлома, я получил признание в команде хакеров.

Тогда мы называли хакером человека, который все свое время тратит на конструирование всевозможных устройств и написание программ;, придумывая более эффективные программы или обходя ненужные процедуры, чтобы в итоге работа выполнялась быстрее. Термин с тех пор приобрел уничижительную окраску – «злостный компьютерныйзлонамеренный

преступник». Я буду использовать это слово так, как делал это всегда – в его более раннем, добром значении.

После школы я проходил курсыпродолжил обучение в Лос-Анжелеском Центре Компьютерного Образования. Через несколько месяцев управляющий центра вдруг понял, что я нашел одну уязвимость в операционной системе, которая позволила мне получить весь набор администраторских привилегий на миникомпьютере IBM. Лучшие эксперты центра так и не смогли понять, каким образом мне это удалось. После этого произошел наверное один из первых в истории «найм хакера». Мне предложили то, от чего нельзя было отказаться: заняться честным делом повышения информационной безопасности центра или быть отчисленным за взлом системы. Естественно, я занялся честным делом повышения безопасности, и окончил учебу с отличием курсы

cum laude.

Относитесь к мусору с уважением

История с копанием в мусоре показывает, что макулатуру можно использовать с умом и нанести тем самым немалый урон компании. Есть восемь простых правил обращения с мусором:
· классифицируйте всю информацию по степени ее важности для компании;
· утвердите специальные процедуры для уничтожения важной информации;
· следите за тем, чтобы любая важная бумажная информация измельчалась бы в клочки, а совсем маленькие клочки уничтожались бы иным образом; уничтожители бумаги не должны быть дешевыми, нарезающими бумагу на ленточки, которые любой серьезный атакующий при определенном старании может сложить обратно в первоначальный лист, они должны измельчать документы буквально в конфетти;
· должны быть определены способы для утилизации ненужных или вышедших из строя компьютерных деталей, таких как флоппи-диски, ZIP-диски, компакт-диски или DVD, использовавшиеся для хранения данных, ленты, старые жесткие диски и т.п. перед их выбрасыванием; запомните, что удаленные файлы не исчезают без следа, их можно восстановить (в этом убедились, к примеру, топ-менеджеры компании Enron и многие другие люди, поплатившиеся за свою беспечность); выбрасывание отработавших деталей компьютера в мусор - это своеобразное приглашение вашим врагам воспользоваться ими в своих интересах (прочтите главу 16, где изложены подробные указания, как надо уничтожать устройства и детали);
· тщательно подбирайте уборщиков в ваших помещениях, при необходимости используйте различные проверки их личных дел и указанных в них сведений;
· напоминайте время от времени сотрудникам, что им всегда следует думать о том, что именно они выбрасывают в мусор;
· запирайте мусорные баки на замки;
· используйте различные мусорные баки для важных и менее важных материалов и поручайте работу с этими баками тем, кто умеет с ними обращаться.

Отвлекающие маневры

Широко известная поговорка гласит о том, что "защищенный компьютер – выключенный компьютер". Хорошо подмечено. Но не соответствует действительности. Злоумышленник заставит кого-нибудь пойти в офис и включить этот самый компьютер. Противник, желающий завладеть Вашим секретом, может сделать это одним из тысячи способов. Это вопрос времени, терпения, настойчивости и характера. Здесь выиграет тот, кто мастерски владеет искусством обмана и перевоплощения.
Шпион или находит способ обмануть доверенное лицо, выдающее ему всю необходимую информацию, или пытается перехитрить ничего не подозревающего человека, с помощью которого можно получить доступ к такой информации. И если сотрудники обмануты, находятся под влиянием мошенника, или сами раскрывают собственные секреты, то никакая технология уже не способна защитить организацию. В этом смысле социоинженер, манипулирующий персоналом компании и, таким образом, обходящий систему безопасности, похож на криптоаналитика, способного расшифровать сообщение, пользуясь слабостями ненадежного алгоритма.

Падение сети

Время: Понедельник, 12 февраля, 15:25.
Место: Офис Starboard Shipbuilding

Переключение

Для выполнения своего плана Эрику надо было получить доступ к телефонистке, ведающей соединением с отделом безопасности в DMV. Он позвонил в департамент телекоммуникаций штата, представился сотрудником компании Nortel (производящей наиболее распространенные офисные телефонные станции DMS-100). Он сказал: «не могли бы вы соединить меня с одним из техников, обслуживающих DMS-100?»
Когда его соединили с техником, он сказал, что представляет Центр технического обслуживания Nortel в Техасе и создает базу данных для обновления ПО на телефонных станциях. Это обновление будет происходит централизованно в удаленном режиме, техникам не надо принимать в нем участия. Но ему надо знать телефоны всех этих телефонных станций, чтобы произвести обновление ПО из Центра технического обслуживания.
Объяснение звучало крайне правдоподобно и техник выдал Эрику телефоны станций. Теперь он мог звонить непосредственно на любую из телефонных станций.
Для защиты от непрошеных посетителей такие станции защищены паролями, как и любая корпоративная компьютерная сеть. Любой социальный инженер с минимальным опытом знает, что у станций Nortel имя пользователя для смены ПО - NTAS (сокращение от Nortel Technical Assistance Support). Но какой пароль? Эрик попробовал несколько очевидных вариантов – NTAS (такой же, как и имя пользователя), «helper», «patch» - ни один не сработал.
Наконец он попробовал «update» - и получил доступ! Очень типичная ситуация. Никто не задумывается, что использовать простой и легко вычисляемый пароль – все равно, что не использовать его вовсе.
Чтобы преуспеть в своей деятельности, Эрик знал достаточно много об устройстве телефонной станции, о ее перепрограммировании и устранении ошибок почти столько же, сколько знают обслуживающие ее техники. Получив авторизованный доступ к станции, он получил полный контроль над всеми ее линиями. Он нашел известный ему телефон в DMV – 555-6127 и обнаружил, что в том же отделе есть еще 19 телефонов. Это означало, что в этот департамент часто звонят.
Для обслуживания каждого входящего звонка телефонная станция находила свободную линию и соединяла с ней.
Эрик выбрал линию 18 и запрограммировал станцию так, чтобы звонки на эту линию перенаправлялись бы на его недавно купленный, дешевый сотовый телефон. Телефоны такого типа очень популярны у наркодельцов, поскольку они очень дешевые и их можно просто выбросить после завершения сделки.
Когда 17 линий в офисе заняты, и звонок должен был пойти на линию 18, он вместо этого перенаправлялся на телефон Эрика. Эрик сел и стал ждать.

Переворачивая таблицы

Молодой человек, назовем его Майкл Паркер, был одним из тех, кто довольно поздно понял, что все хорошо оплачиваемые рабочие места уже разобраны теми, кто хорошо учился в колледже, и имеет звание бакалавра. Он и сам мог учиться в местном колледже, но для этого требовалось сидеть над книгами ночами, а выходные дни подрабатывать, чтобы платить за квартиру, машину и питание. Майкл всегда стремился найти более простые и короткие пути к успеху. Он познакомился с компьютером еще в десятилетнем возрасте, увлекшись компьютерными играми, и решил самостоятельно стать бакалавром компьютерных наук в «ускоренном» порядке.

Первые шаги

– Дорожная полиция, район Холленбек.
– Добрый день, я хотел бы переговорить с кем-то из отдела повесток.
– Я вас слушаю.
– Прекрасно, это адвокат Джон Леланд из юридической конторы «Мешам, Мешам и Талбот». Я хотел бы пригласить одного из ваших инспекторов для разбора случая.
– Кто вам конкретно нужен?
– В вашем подразделении есть инспектор Кендалл?
– А какой у него личный номер?
– 21349.
– Да, такой инспектор есть. Когда он вам нужен?
– В один из дней будущего месяца. Мне надо вызвать еще несколько других свидетелей и договориться с судом, когда может быть назначено слушание. Если ли дни в следующем месяце, когда г-н Кендалл не сможет присутствовать?
– Сейчас посмотрю... У него выходные дня с 20 до 23-го, а с 8 до 16 у него дни специальной подготовки.
– Спасибо большое. Это все, что мне было нужно от вас. Я перезвоню, когда будет назначена дата слушания.

Первый этап: Идентификация

Процедуры идентификации перечислены в порядке эффективности – чем выше порядковый номер, тем эффективнее метод. Вместе с описанием каждой процедуры даны пояснения, раскрывающие слабости метода и тактику злоумышленника, пытающегося преодолеть идентификацию.
1.
Автоматическое определение номера. Подразумевается, что телефонные системы предприятия имеют АОН. Согласно показаниям АОН необходимо удостовериться в том, что звонящий находится по заявленному номеру.
Недостатки: Иногда существует возможность изменения номера со стороны звонящего, в особенности, если злоумышленник имеет доступ к коммутатору телефонной компании.
2. Обратная связь. Найдите представившегося сотрудника в корпоративном справочнике и перезвоните ему по внутреннему номеру.
Недостатки: Если злоумышленник располагает достаточными знаниями, то может переадресовать звонок таким образом, что идентифицирующий обратный вызов будет перенаправлен на внешний телефонный номер атакующего.
3. Поручительство. Инициатора запроса идентифицирует доверенное лицо.
Недостатки: Атакующий может заранее расположить к себе доверенное лицо, которое впоследствии его идентифицирует.
4. Публичный ключ доступа. Shared Secret. Используйте корпоративный ключ, каковым может являться пароль или ежедневно изменяемый код.
Недостатки: Если доступ к ключу имеют многие сотрудники компании, то злоумышленник может с легкостью его узнать.
5. Контакт с руководителем. Перезвоните непосредственному начальнику того, кто делает запрос и попросите подтвердить правомочность запроса.
Недостатки: Если инициатор запроса сам скажет вам номер, по которому находится его начальник, то в результате вы можете получить подтверждение от сообщника, а не настоящего руководителя.
6. Защищенное электронное сообщение. Попросите прислать сообщение с электронной подписью.

Недостатки: Если злоумышленник заранее дискредитировал компьютер сотрудника, за которого себя выдает, то, скорее всего, подделать сообщение для него не составит труда.

7. Идентификация голоса. Человек, получающий запрос, уже имел дело со звонящим (предпочтительно, если встречался с ним лично), уверен, что этот человек является доверенным лицом, и способен точно узнать его по голосу.

Недостатки: Более чем надежный метод, но абсолютно не годится, в случае если получающий запрос никогда прежде не разговаривал с абонентом.

8. Решение на базе динамического пароля. Инициатор запроса идентифицирует себя с помощью динамического пароля (например, использует Secure ID).

Недостатки: Злоумышленнику достаточно получить доступ к зарегистрированному в системе устройству считывания идентификационной карты или узнать PIN пользователя. Кроме того, взломщик может обмануть сотрудника и тот сам предоставит ему код авторизации.

9. Личная встреча. Запрашивающий информацию лично предстанет перед сотрудником, имея соответствующий бэдж или другой документ, удостоверяющий его право на получение информации. Лучше, если эта (известная вам!) форма документа содержит фотографию запрашивающего.

Недостатки: Атакующий может украсть или подделать бэдж. Но, с другой стороны, злоумышленник попытается избежать личной встречи по понятным причинам – это слишком большой риск.

Первый звонок: Андре Лопес

Андре Лопес подняла телефонную трубку, находясь на своем рабочем месте, в отделе видео-проката. А уже через мгновение она улыбнулась: всегда приятно, когда клиент затрудняет себявысказывает лестными лестные отзывами отзывы об услугах. Человек на другом конце провода сказал, что получил очень хороший опыт общения с персоналом видео-проката и хотел бы написать письмо менеджеру отдела.
Он спросил имя менеджера и его почтовый адрес, и она ответила ему, что менеджера зовут менеджера Томми Алиссон, сказалаи назвала его адрес. Уже почти повесив трубку, собеседник вдруг передумал и произнес: «Наверное мне следует также написать и в головной офис. Какой номер вашего магазина?» Она ответила и на этот вопрос. Он поблагодарил в ответ, добавил что-то о том, насколько она любезна и попрощался.
– Благодаря таким звонкая и смена пролетает незаметно,«Такой звонок,» - подумала Андре, –- «Всегда заставляет смену заканчиваться быстрее. Как было бы здорово было бы, если бы клиенты чаще звонили с такими отзывами.»

Первый звонок: Ким Эндрюс

– Банк Нэшнл. Это У телефона Ким. Вы хотелиите открыть счет?
– Привет Ким! У меня есть к вам Вам вопрос. Пользуются ли ваши парни CreditChex?
– Да.
– Когда Вы звоните в CreditChex, тот номер, который Вы сообщаете... Это называется Коммерческий идентификатор[sinm5] ?
Возникла пауза. Ким взвешивала вопрос, оценивая, должна ли она отвечать.
Не дожидаясь ответа, голос на другом конце провода продолжил:
– Ким, я работаю над книгой. Материал касается частного расследования.
– Да, я понимаю, – Ким ответила с доверием в голосе. Она была бы рада оказаться полезной писателю.
– Так номер называется Коммерческий идентификатор Идентификатор Коммерческого банка?
– О да.
– Окей, великолепно. Я хотел быть точным в повествовании и не хотел бы ошибаться в употреблении терминов. Серьезная книга, вы же понимаете. Спасибо за помощь. Всего хорошего, Ким.

Первый звонок: Секретарь

Атакующая, называя назвав себя Диди Сэндс, звонит позвонила в офис сотовой компании. Разговор получился примерно следующим:
Секретарь: Добрый день. ЭтоУ телефона  Мари, чем могу быть полезна?
Диди: Вы можете соединить меня с транспортным отделом?
С: Я не уверена, что знаю номер. Сейчас посмотрю в справочнике. С кем я говорю?
Д: Это Диди.
С: Вы в здании или...?
Д: Нет, я не в здании.
С: Диди, как дельше кто?
Д: Диди Сэндс. У меня был раньше записан внутренний номер транспортного отдела, но теперь я не могу его найти.
С: Один моментМинуточку.
Во избежании лишних подозрений, Диди задала вполне обычный и одновременно поддерживающий разговор вопрос. Вопрос, который впрочем, позволял ей притвориться «своей», знакомой с инфраструктурой предприятия.
Д: Вы в каком здании находитесь, Лейквью или в Центральном?
С: Так, ЦентральноеВ Центральном. (пауза) Номер (805) 555-6469.
На случай, если в транспортном отделе ей не удастся выяснить ничего подходящего, Диди попросила секретаршу назвать узнала номер отдела по работе с недвижимостью. А когда она попросила соединить ее с транспортным отделом, номер оказался занят, что тоже оказалось кстати.
Теперь Диди спросила третий номер, счетного отдела, который находился в Техасе, в городе Остин. Секретарша попросила немного подождать и исчезла. Поспешила сообщить о странном звонке в отдел безопасности? Вовсе нет, и Диди в этом ничуть не сомневалась. Почти через минуту секретарша вернулась на линию, найдя номер счетного отдела и еще через мгновение соединила Диди с Техасом.

Первый звонок: Тед

Для начала, социоинженер позвонил в один из магазинов сети по продаже электроники. Магазин располагался на улице Вест Джирар.
– Электрон Сити, говорит Тед.
– Привет Тед, это Адам. Послушай, я как-то вечером заходил к вам и разговаривал с продавцом в зале о сотовом телефоне. Я сказал, что перезвоню ему, как только определюсь с тарифным планом, но забыл его имя. Как зовут человека, который работает у вас в вечернюю смену?
– Тут не один. Может это Вильям?
– Я не уверен. Может и Вильям. Как он выглядит?
– Высокий парень. Худой такой.
– Думаю, что это он. Как говорите его фамилия?
– Хадли. Х-А-Д-Л-И.
– Да. Похоже. Когда он будет на месте?
– Я не знаю его расписания, но вечерняя смена приходит к пяти.
– Хорошо. Я попытаюсь найти его сегодня вечером. Спасибо, Тед.

Первый звонок: Том Де Лей.

– Том Де Лей, бухгалтерия.
– Привет Том, это Эдди Мартин из службы поддержки. Мы здесь стараемся решить проблему с компьютерной сетью. У вас в группе нет проблем со связью?
– Ну, я ничего подобного не слышал.
– И у вас лично тоже все нормально?
– Да, кажется все в порядке.
– Отлично. Слушайте, мМы обзваниваем всех, кого могли коснуться неполадки, так что перезвоните нам, если проблема покажет себя проявится и сеть упадет. Это очень важно!.
– Звучит грозносурово. Думаете, это может произойти?
– Надеемся, что нет, но если такое случится, вы позвоните, не так ли?
– Позвоню, уУж поверьте.
– Похоже, что если сеть упадет – вам это совсем не понравится...
– Точно.
– ... так что я дам вам номер своего сотового, мы сейчас работаем на выезде и меня, скорее всего, не будет на рабочем месте. Вы мне перезвоните если что.?
– Это было бы великолепно. Продолжайтездорово. Говорите.
– 555-867-5309
– 555-867-5309. Записал. Да, спасибо. Как вас зовут, повторите, пожалуйста.
– Эдди. Вот еще что – я должен проверить номер порта сетевого подключения вашего компьютера. Взгляните на системный блок, там должен быть стикер с надписью вроде «порт номер:...».
– Не вешайте трубку. Сейчас. Нет, ничего определенного не вижу.
– Так. Тогда посмотрите с обратной стороны компьютера... вы видите шнур локальной сети?
– Да.
– Посмотрите, куда он идет, где включен в розетку. На розетке должна быть надпись.
– Секунду. Да, сейчас, я сейчас попробую рассмотреть. Да –Ага, здесь написано Порт 6 тире 47.
–Хорошо – это именно то, о чем я говорил, все верно.

Подглядывание за Кевином

Несколько лет назад, когда я работал в небольшой компании, подметил, что каждый раз, как только я заходил в небольшой офис, в котором работали еще три компьютерщика из ИТ-департамента, один из этих ребят, назовем его Джо, быстро переключал экран своего компьютера на другую страницу. Конечно же, мне это показалось подозрительным. Когда подобное “экстренное” переключение произошло трижды за один и тот же день, я понял, что должен разобраться с тем, что происходит. Что именно этот парень скрывает от меня?
Компьютер Джо работал в качестве терминала для доступа к миникомпьютерам компании, поэтому я установил на миникомпьютер VAX
специальную программу мониторинга, которая позволяла мне шпионить за тем, что делает Джо. Программа действовала, как телекамера, расположенная за спиной у Джо и показывала все то, что происходило на его компьютере.
Мой стол был расположен рядом со столом Джо, и мне пришлось повоернуть монитор так, чтобы он не видел моего экрана, но он мог бы наклониться и, заглянув мне через плечо разглядеть все в деталях. Однако, он был слишком погружен в свои проблемы, чтобы обращать на меня внимание.
Когда я увидел, что он творит, то пришел в ярость: этот проходимец рассматривал платежные ведомости фирмы, чтобы узнать мою
зарплату! Я работал на этом месте всего несколько месяцев и полагал, что у Джо не должна была возникнуть мысль, что я зарабатываю больше него.
Через несколько минут я увидел, что он перекачивает с моего компьютера некоторые хакерские программы, которые используют начинающие хакеры, не умеющие самостоятельно создать необходимые средства. Я понял, что Джо невежда и не имеет ни малейшего представления о том, что рядом с ним расположен стол одного из самых опытных хакеров Америки. Мне это показалось очень забавным.
Он уже выяснил размер моей зарплаты, поэтому слишком поздно было останавливать его. Кроме того, любой сотрудник с компьютерным доступом к системе социального страхования (Social Security Administration) мог запросто узнать мой гонорар. В мои намерения не входило дать понять Джо, что я узнал, чем он занимается. Мое целью было демонстрировать незнание, поскольку хороший социальный инженер никогда не стремится показать свои истинные знания и возможности. Всегда лучше, если люди недооценивают вас и не воспринимают в качестве реальной угрозы.
Поэтому я позволил событиям развиваться своим чередом и внутри себя подсмеивался над Джо, который думал, что узнал мои секреты, тогда как все обстояло ровно наоборот: я полностью контролировал все его действия.
Со временем я обнаружил, что все три моих коллеги по ИТ-департаменту грешат тем же: они изучали зарплаты и другие вознаграждения всех сотрудников компании - от миловидной секретарши до руководителей.

Подготовка к обороне

К обороне от большинства атак социальных инженеров подготовиться достаточно легко, если только .... хорошо знать, как именно выглядят подобные атаки.
Именно поэтому возрастает роль предварительной подготовки и выработки мер по отражению подобных атак. Мало того, надо самыми разными способами напоминать сотрудникам, к чему конкретно они готовятся.
Пусть при включении компьютера можно использовать появление различных всплывающих окон с информацией из области безопасности. Причем надпись не должна исчезать автоматически, а только после того, как владелец компьютера подтвердит кликом мыши, что прочел и осознал ее.
Напоминания о важности безопасности должны доходить до пользователей различными путями, постоянно, они должны выражаться различными фразами и использовать для иллюстрации различные примеры.
Одна из привлекательных возможностей – использование коротких запоминающихся заметок в корпоративной газете или новостях. Они не должны быть длинными – нечто вроде небольшого экрана с двумя-тремя фразами – и каждый раз новыми.

Поищите оправдание, пожалуйста

Однажды, возвратившись поздно вечером к себе домой, он посмотрел на окна своей квартиры и увидел, что свет выключен, хотя он всегда оставляет одну из ламп включенной, когда уходит из дома.
Он позвонил в соседскую дверь, пока не разбудил соседа, который сообщил ему, что в дом приходила полиция. Они попросили соседей остаться внизу, поэтому сосед не знает, в какую из квартир они заходили. Он только знает, что полицейские унесли с собой какие-то тяжелые вещи, правда вещи были завернуты, и он не знает, что именно унесли. Они никого не увели с собой в наручниках.
Артуро осмотрел свою квартиру. Плохая новость заключалась в том, что на двери была прикреплена бумага с требованием немедленно позвонить в полицию и назначить время беседы в течение ближайших трех дней. Еще более плохая новость заключалась в том, что его компьютеры исчезли.
Артуро выбегает из квартиры и решает переночевать у приятеля. Но неизвестность гнетет его. Что знает полиция? Поймали ли они его или оставили возможность удрать? Или произошедшее имеет иную причину, с которой он сможет справится и не уезжая из города?
Перед тем, как читать дальше, остановитесь и подумайте: есть ли какой-нибудь способ узнать, что именно полиция знает о вас? Предположим, у вас нет знакомых политиков или друзей в департаменте полиции, есть ли тогда способ обычному человеку получить подобную информацию? Может ли вам помочь в таком нелегком деле социальный инженер?

Полезный архивный работник

Теперь Майкл знает, к какому компьютеру ему надо присоединиться, и у него есть ID пользователя и пароль. Но вот какие команды надо использовать для поиска файлов с информацией о дипломниках по компьютерным наукам, да еще с нужным именем и сроком окончания института? База данных информации о студентах наверняка является нестандартной, скорее всего она разработана здесь же в университете и обладает доморощенными командами.
Первый шаг на пути к окончательному результату - найти того, кто сможет служить проводником в поисках по студенческой базе данных. Майкл опять позвонил в секретариат, на этот раз он представился сотрудником офиса декана факультета инженерных наук: «Подскажите, к кому мне обратиться за помощью, если возникли проблемы с доступом к базе данных студентов?»
Буквально через минуту он уже разговаривал с администратором базы данных университета, налаживая с ним доверительные отношения: «Я Марк Селлерс из секретариата. Впечатление такое, что вы мне не очень рады? Извините, что тревожу вас, но все наши сотрудники на конференции и нет никого вокруг меня, кто мог бы помочь. Мне надо восстановить список всех выпускников, получивших диплом по компьютерным наукам между 1990 и 2000 гг. Списки нужны до конца дня и, если я их не получу, я не задержусь на этой работе надолго. Вы могли бы помочь человеку в беде?» Помогать людям - это главная задача любого администратора базы данных, поэтому он особенно тщательно объяснял все подробности Майклу шаг за шагом.
За время разговора, Майкл успел перегрузить к себе полный список дипломников со степенью компьютерных наук за эти годы. Он запустил поиск по этому файлу и буквально через несколько минут обнаружил двух Майклов Паркеров, выбрал наиболее подходящего и узнал номер его социальной страховки, так же как и другие личные данные.
Теперь он стал «Майклом Паркером, бакалавром компьютерных наук, получившим степень с отличием в 1998 году».

Полезный звонок

Звонящий спросил, кто в компании отвечает за компьютеры, и телефонный оператор соединил его с техником Полем Ахерном.
Звонящий представился, как:
– Эдвард из компании SeerWare, которая является поставщиком баз данных для вашей компании. Так получилось, что целый ряд клиентов не получил электронное письмо о срочном обновлении кода, поэтому мы обзваниваем всех для проверки - есть ли проблемы с установкой «заплатки». Вы уже установили ее?
Поль ответил, что он уверен в том, что ничего подобного он не видел.
Эдвард озабоченно сказал:
– Да, тогда это может привести к немедленной потере данных, поэтому мы рекомендуем вам установить «заплатку» как можно быстрее.
Ситуация явно требовала срочных решений.
– Конечно, – ответил Поль.
– Тогда мы пришлем вам CD с «заплаткой» и я хочу сказать вам, что проблема действительно критическая - две компании уже потеряли несколько дней. Вам надо установит «заплатку» как можно быстрее, если вы не хотите оказаться в их положении.
– А не могу я скачать «заплатку» с вашего Интернет-сайта? – спросил Поль.
– Мы ее выложим туда в самом ближайшем будущем - наша техническая служба активно занимается этим. Если хотите, наш технический центр обслуживания установит «заплатку» вам через удаленный доступ. Мы можем соединиться с вами через dial-up
или использовать Telnet для соединения, если вы его поддерживаете.
– У нас не разрешается использовать Telnet, особенно через Интернет, поскольку это не безопасно, – ответил Поль. – Если вы можете использовать SSH, тогда все в порядке, – сказал он, назвав протокол безопасной передачи данных.
– Конечно, у нас есть SSH. Какой у вас IP-адрес?
Поль сообщил ему IP-адрес, а когда Эндрю попросил назвать имя пользователя и пароль, тот сообщил и эту информацию.

Полицейские простофили

Частному детективу или социальному инженеру часто требуется узнать номер водительских прав другого человека, например при получении сведений о его банковском счете.
Можно конечно вытащить бумажник этого человека и заглянуть туда или же, улучив момент, заглянуть через его плечу, но у социального инженера есть масса более интересных способов узнать желаемое.
Одному из моих знакомых социальных инженеров – Эрику Мантини – регулярно требовалось узнавать номера водительских прав и номера регистрации автомобилей. Он пришел к выводу, что постоянно звонить в организацию, где хранится эта информация (Department of Motor Vehicles – департамент автомашин) и каждый раз придумывать новые способы извлечения ее – это слишком большой риск. Он начал искать более простой путь решения проблемы.
И он нашел такой способ, причем он основан на сервисе, который предлагает DMV (в разных странах это ведомство может носить разные названия), делая приватную информацию доступной страховым компаниям, частным детективам и другим заинтересованным лицам.
Естественно, у DMV есть правила для того, какую информацию и кому можно сообщать. Страховым компаниям доступен вполне определенный набор сведений, есть правила для общения с частными детективами и т.д.
Для представителей правоохранительных органов есть другое правило: DMV должно предоставлять любую информацию полицейскому, если он доказал, что он полицейский. В штате, где тогда жил Эрик, это был определенный код запроса в сочетании с номеров водительских прав полицейского. Сотрудник DMV должен тщательно проверить имя офицера полиции, номер его прав и дату рождения (с теми, что хранятся в картотеке организации) перед тем, как выдавать запрошенную информацию.
Эрик решил изобразить из себя офицера полиции.
Как же ему это удалось? Используя технику обратного жала!

Полицейские штрафы

Каждый, кому инспекторы ДПС выписывали штраф за превышение скорости, мечтал каким-либо образом от этого штрафа избавиться. Естественно не таким банальным способом, как заплатить или сходить в школу вождения для прослушивания лекции о правилах движения, или убедить инспектора ДПС в том, что его радар или спидометр дают неверные показания. Нет, самый увлекательный способ не платить штраф – это обмануть систему.

Полицейский рейд

Представьте такую ситуацию: правительство пытается поймать человека по имени Артуро Санчес, который бесплатно распространяет копии кинокартин через интернет. Студии Голливуда считают, что он нарушает права их собственности, он отвечает, что пытается убедить их в неизбежном приходе нового рынка, чтобы заставить сделать хоть что-нибудь, открыть какую-нибудь возможность для скачивания новых фильмов. Он отмечает (абсолютно правильно, кстати), что это может стать новым источником доходов для студий, на который они просто не обращают никакого внимания.

Политика информационных технологий

Отдел информационных технологий особенно нуждается в правилах обеспечения безопасности информационных ресурсов компании. Для того чтобы не противоречить структуре IT-операций, я разделил эти правила на следующие разделы: «Общая часть», «Справочная служба», «Администрирование компьютерных систем», и «Правила для операционистов компьютерных систем».

Посылка от друга

Несмотря на принятые меры предосторожности, события могут развиваться не самым лучшим образом. Представьте себе, что вы решили не оставлять злоумышленникам и вандалам не ни единого шанса. Теперь вы загружаете файлы только с надежных и всемирно известных сайтов, вроде SecurityFocus.com
или Amazon.com. Вы больше не нажимаете на гиперссылки в приходящих письмах и не открываете атачменты от незнакомцев. И вы, что-то покупая или чем-то обмениваясь в Internetинтернете, посещаете только те страницы, которые заставляют браузер показывать значок «безопасный сайт».
И вот, в один замечательный день, вы получаете письмо от друга или сослуживца. В письме вложенный файл. Разве может быть что-то токсичное опасное в письме от человека, которого вы отлично знаете? По крайней мере, думаете вы, будет понятно, кого винить в случае разрушения данных на компьютере.
Вы открываете файл и... ХЛОП! Компьютер заражен червем или трояном. И почему ваш друг так поступил с вами? Потому что некоторые вещи непохожи на то, чем являются на самом деле. А на самом деле это червь, который, пробравшись на компьютер друга, разослал себя по всем адресам его адресной книги. Каждое такое письмо приходит адресату от хорошо знакомого ему отправителя. И адресат вряд ли будет долго думать перед открытием вложенного файла. Эффект аналогичен кругам, расходящимся по гладкой воде от брошенного и подпрыгивающего камня.
Взломщик убивает двух зайцев одним выстрелом. Вирус свободно распространяется и, более того, к новым жертвам он попадает от людей, которым доверяют.
Комментарий Митника
Человек за свою историю изобрел множество замечательных вещей, которые изменили наш мир и образ жизни. Но у любой технологии, будь то компьютер, сотовый телефон или Internetинтернет, есть обратная сторона. Всегда найдется тот, кто применит технологическое решение в своих личных целях и во вред остальным.
На современном этапе развития необходимо признать досадный факт: получая электронное письмо от близкого друга, нам приходится сомневаться  в безвредности содержимого посылки.

Позвони телефонистам...

Джонни начал с того, что позвонил в офис телефонной компании и представился сотрудником General Services Administration - агентства, занимающегося поставками товаров и услуг для правительственных учреждений. Он сказал, что изучает возможность предоставления дополнительных услуг и ему нужна информация обо всех телефонах исправительного центра Сан-Диего с номерами и ежемесячными выплатами. Сотрудница телефонной компании была рада ему помочь.
Только для того, чтобы убедиться, он позвонил по одному из указанных номеров и услышал ожидаемый ответ: «Эта линия отключена или больше не обслуживается», - что означало вовсе не это, а лишь блокирование всех входящих звонков.
Из своего долгого опыта общения с телефонными компаниями Джонни знал, что ему надо добраться до департамента со сложным названием Recent Change Memory Authorization Center (RCMAC - центр авторизации недавних изменений памяти - и кто только изобретает такие названия!). Он начал с того, что позвонил в секретариат телефонной компании, представился сотрудником ремонтного отдела и сказал, что ему необходимо знать номер телефона RCMAC, которые обслуживают район со следующими номерами - и он дал номера телефонов исправительного центра. Это был совершенно обычный запрос, который часто делают работающие по вызовам техники, поэтому у клерка, беседующего с Джонни, не возникло никаких подозрений, и он назвал номер.
Далее Джонни позвонил в RCMAC, назвался вымышленным именем и представился сотрудником ремонтного отдела. Ответившей женщине он перечислил полученные в секретариате номера и спросил:
– На эти номера установлено «отклонение запроса»?
– Да, – ответила она.
– Тогда понятно, почему клиенту нельзя дозвониться, – сказал Джонни. – Помогите, пожалуйста. Мне надо изменить параметры этой линии или устранить запрет входящих звонков.
На том конце линии возникла пауза - женщина проверяла в компьютерной системе правильность запроса.
– Но этот номер должен быть установлен на запрет входящих звонков и нет никакого приказа об изменении.

– Я знаю, но это ошибка. Мы хотели выполнить заказ еще вчера, но наш сотрудник заболел и забыл передать заказ кому-то другому. Клиент сегодня просто в ярости.

После небольшой паузы женщина выполнила просьбу Джонни, хотя его запрос был необычным и выходил за рамки принятых правил. Он слышал, как она стучала по клавишам, делая необходимые изменения. Через несколько секунд все было сделано.

Между говорящими возникло своеобразное взаимопонимание, Джонни почувствовал, что женщина готова помогать ему и дальше. Он сказал:

– У вас есть несколько минут для того помочь мне еще?

– Конечно, а что вам нужно?

– У меня есть еще несколько номеров, принадлежащих тому же клиенту, и у всех та же самая проблема. Я их вам перечислю, а вы сделайте так, чтобы у них не было отказа в обслуживании входящих звонков - хорошо?

Она сказала, что все будет в порядке. Через несколько минут все десять телефонных линий были «исправлены» так, что могли принимать входящие звонки.

Правила для дистанционных пользователей

Дистанционные пользователи находятся с внешней стороны корпоративного межсетевого экрана и, поэтому, подвергаются большей угрозе со стороны компьютерных взломщиков. Представленные ниже правила позволят вам предотвратить атаки на пользователей, которых социоинженеры могут превратить в канал для получения служебной информации.

Правила для секретарей

Секретари обычно находятся на внешней линии обороны, они обычно первыми сталкиваются с нападающим и, тем не менее, имеют недостаточные знания в области информационной безопасности.

Правила для служащих отдела кадров

Отдел кадров несет на себе особенную миссию сохранения личной информации сотрудников компании. Кроме того, отдел кадров должен защищать предприятие от действий уволенных или несостоявшихся в деловом отношении сотрудников.

Правила для службы чрезвычайного реагирования

В компании должна быть организована служба, которая централизованно собирает сообщения об обнаруженных следах информационных атак.

Правила для службы охраны

Несмотря на то, что социоинженеры стараются избегать посещения атакуемой компании, иногда они вынуждены это сделать. Представленные в этом разделе правила помогут вам в информационной защите занимаемых площадей.

Правила для всех служащих

Есть правила, которых должны придерживаться все служащие, независимо от принадлежности к тому или иному отделу. Эти правила представлены в нескольких категориях: «Общая часть», «Использование компьютера», «Использование электронной почты», «Использование телефона», «Использование голосовой почты», «Использование факса» и «Пароли».

Правила классификации данных

Классификация данных необходима для определения ценности информации и разграничения доступа к документам.

Некоторые хакеры уничтожают чужие файлы

Некоторые хакеры уничтожают чужие файлы и жесткие диски. Это крэкеры или вандалы. Некоторые новички даже не затрудняют себя изучением технологий, скачивают хакерские программки и с их помощью вскрывают слабые системы. Их называют skriptscript okiddies - скриптомалышками. Более опытные хакеры, умеющие программировать, сами пишут эти программы и публикуют их в Интернет. И, наконец, есть те немногие, которые не интересуются технологиями, а используют компьютер лишь в качестве инструмента, помогающего украсть деньги, товары или чужую услугу.
Несмотря на растиражированный миф о Кевине Митнике, я не злобный хакер.
Но я пытаюсь превзойти самого себя.

Предотвращая обман

Роясь в вашем мусоре или обманывая охранника или секретаря в приемной, социальный инженер может получить доступ к внутренним документам вашей компании. Надеюсь, что вам небезынтересно будет узнать о существовании целого ряда мер, направленных против этих действий.

Атаки социальных инженеров могут быть еще более разрушительными, если они используют технологические приспособления. Чтобы предотвратить этот тип атак, надо предпринимать шаги, как на уровне техники, так и на уровне персонала


Когда речь идет о ценной, важной или просто критичной для компании информации, которая, попав в чужие руки, может дать конкурентам или кому-то еще серьезное преимущество, сотрудники компании должны знать, что для ее выдачи недостаточно просто установить личность человека, делающего запрос. Должны бы дополнительные средства подтверждения запроса, такие как утверждение вышестоящим руководителем с авторизацией на получение требуемой информации.
Процедура верификации всех запросов - дело очень тонкое, каждая компания должна определять для себя индивидуально, достигая разумного баланса между производительностью и безопасностью. Насколько приоритетным должно быть усиление мер безопасности? Будут ли сотрудники противодействовать процедурам обеспечения безопасности или даже обходить их, чтобы вовремя выполнить свою работу? Осознают ли сотрудники, насколько важна безопасность для их компании и их самих? На все эти вопросы надо отвечать, разрабатывая политику безопасности на основе корпоративной культуры и бизнес-процессов.
Неизбежно, меры безопасности кое-кому мешают работать, и неосведомленные люди могут пытаться обходить их, считая бесполезной тратой времени. Необходимо мотивировать сотрудников при помощи специальных тренингов так, чтобы соблюдение мер безопасности стало неотъемлемой частью их ежедневной деятельности.
Надежным средством идентификации звонящего является платная услуга автоматического определения номера. В отличие от услуги определения имени звонящего, распространенной в корпоративных сетях, переключатель телефонной компании не использует никакой информации от пользователя, когда шлет ему номер звонящего. Номер, который передает АОН, это номер, на который выставляется счет звонящему.
Заметим, что некоторые производители модемов встраивают функцию определения имени звонящего в свои продукты, защищая корпоративную сеть таким образом от случайных звонков, допуская в нее только предварительно определенный список телефонных номеров. Эта техника вполне приемлема в компаниях с невысоким уровнем требований к безопасности, но, как мы уже выяснили, подменить в таком случае личность звонящего не составляет труда опытному хакеру, поэтому на нее полагаться нельзя.

Предотвращая жульничество

Симпатия, чувство вины и запугивание – вот три самых популярных психологических триггера, которые обычно использует социальный инженер, и представленные истории демонстрируют эту тактику в действии. Что же можете сделать вы и другие сотрудники компании для того, чтобы избежать подобных атак?

Правильное использование кода безопасности в банке или другом месте является хорошим способом повышения уровня защиты информации. Неправильное использование кода безопасности гораздо опаснее, чем отказ от него, поскольку в таком случае создается лишь иллюзия безопасности, которой на самом деле нет. Какова ценность секретных кодов, если сотрудники не держат их в секрете?
Любая компания, использующая коды безопасности, должен четко указать сотрудникам правила их использования. Правильно проинструктированный сотрудник банка никогда не назовет код звонящему человек (как это случилось в первом сюжете этой главы). Он чувствовал, что не должен назвать, но поддался эмоциям, а отсутствие четкой политики безопасности не смогло его остановить.
В политике безопасности должны быть четко определены шаги, которые следует предпринимать в случае неадекватного запроса о секретных кодах. Каждый такой случай должен быть подробно описан. Кроме того, надо попытаться определить личность человека, делающего такой запрос.
Сотрудник должен всегда записывать имя звонящего, телефон и компанию, откуда тот звонить, только после этого заканчивать разговор. Перед ответный звонком надо убедиться, что такая компания существует на самом деле, там работает упомянутый человек и его телефонный номер соответствует, названному им в разговоре. В большинстве случаев такие простые меря позволяет убедиться в том, что звонящий человек именно тот, кем он представляется.
Проверка адреса усложняется, если у компании есть лишь напечатанный список телефонов, а не online-версия. Люди увольняются и нанимаются новые, сотрудники переходят из отдела в отдел, меняют должности и номера телефонов. Печатный телефонный справочник устаревает на следующий день после своего выхода, еще до распространения. Даже на online-версии таких справочников надо полагаться с опаской, имея в виду, что социальные инженеры всегда могут внести в них требуемые им изменения. Надо пытаться проверять все сведения несколькими путями, например, связываясь с руководителем того, от кого пришел запрос.

Предотвращение атаки

Компания в лице администрации несет ответственность за то, чтобы сотрудники понимали всю серьезность ошибок, связанных с неправильным обращением непубличной внутренней информации. Хорошо продуманная политика информационной безопасности предприятия, соединенная совместно с должным обучением и тренингом сотрудников, может значительно повысить общий фон компетентности в вопросах работы с деловой информацией. Политика классификации информации поможет вам внедрить подходящие механизмы контроля и с учетом специфики распространения данных. Без правил такой политики вся внутренняя информация должна восприниматься, как конфиденциальная, если отдельно не оговорено обратногообратное.
Информация, которая кажется Кажущаяся незначительной и не имеющей ценности информация может защищаться по следующей схеме:
n
Отдел информационной безопасности должен проводить тренинги для сотрудников. Тренинги должны затрагивать специфические методы, используемые социоинженерами. Один из описанных выше методов заключается в получении доступа к «безвредной» информации и последующем использовании данных в качестве джокера, которого можно обменять на моментальное доверие жертвы. Все служащие, без исключенийисключения, должны понимать, что если собеседник кажется сведущим в бизнес-процессах и сложившейся терминологии, знает внутренние номера и идентификаторы, то это вовсе и ни в коем случае не означает, что собеседник является тем, за кого он себя выдает или имеет право знать то, о чем спрашивает. Звонящий на самом деле может быть бывшим служащим или нанятым по контракту человеком, знакомым с внутренней классификацией и устоявшимися на фирме правилами. Итак, корпорация обязана определить подходящие методы аутентификации незнакомых лиц.
n Человек или группа, ответственная за составление политики классификации должны выяснить все возможные пути получения доступа к ценной информации посредством «выуживания» данных, кажущихся несущественными с точки зрения безопасности данных.
Что может предпринять организация для подавления атак на принципиальное присущее сотрудникам желание сотрудников доверять людям? Ниже можно прочитатьдано несколько предложений и советов.


Один из самых мощных приемов социального инженера – это поменяться со своей жертвой ролями. Глава, которую вы сейчас читаете, именно об этом приеме. Социоинженер создает проблему, а потом волшебным способом устраняет ее, заставляя свою жертву показать дорогу к самым ценным секретам фирмы. Попадутся ли на такую уловку служащие вашей компании? Позаботились ли вы о создании специальных правил безопасности, способных предотвратить угрозу? Знаком ли с этими правилами персонал?

Предотвращение обмана

Казалось бы, часто повторяемый элемент в этих историях следующий: атакующий входит извне в компьютерную сеть компании, с помощью лиц, которые помогают ему получить основания того, что звонящий является настоящим сотрудником и имеет право на доступ. Почему я возвращаюсь к этой теме так часто? Потому что, это, несомненно, является фактором, который используют множество атакующих. Для социоинженера это простейший способ достигнуть цели. Почему атакующий должен тратить часы, пытаясь проникнуть в сеть, когда он может просто взять и позвонить?
Если вы не хотите, чтобы работники отказывали в помощи коллегам или клиентам, вам нужно вооружить их специфическими процедурами проверки в случае чьих-либо просьб о получении доступа к конфиденциальной информации. Этот путь может быть затруднительным для тех, кто нуждается в помощи, но в то же время защитит информационные ценности организации и компьютерные системы.
Процедуры безопасности компании должны быть в деталях проработаны на предмет того, какой тип механизма проверки необходимо использовать в различных обстоятельствах. Часть 17 снабдит вас полноценной методикой, здесь приведу лишь некоторые правила:
· Хороший способ проверить идентичность персоны – позвонить в компанию, от имени которой этот человек представляется. Если запрос делает злоумышленник, проверка либо позволит вам поговорить с реальным лицом, в то время, как злоумышленник ожидает на линии, либо вы попадете на голосовой ящик работника, таким образом, услышите его настоящий голос и сравните с голосом звонящего.
· Если в вашей компании используются персональные номера сотрудников для идентификации, то эти номера должны быть хорошо защищены и недоступны посторонним. То же самое относится ко всем остальным видам внутренней идентификации, такой как внутренние телефонные номера, номера ведомственных счетов, и даже адреса электронной почты.
· На корпоративных тренингах необходимо обращать внимание на определенный порядок приема незнакомых людей.
Социальный инженер всегда предпочитает реализовывать свои цели при помощи сотрудников, которые не только не опознают его, но и не заподозрят ничего подозрительного в его запросах. Это не только упрощает его работу, но и делает ее менее рискованной, что и подтверждают истории, рассказанные в этой главе.


Промышленный шпионаж долгое время был реальным вызовом бизнесу, а теперь, поскольку холодная война закончилась, стал способом заработка обычных шпионов, которые сконцентрировали свои усилия на получении секретов компаний за немалую цену. Правительства всего мира и крупные корпорации сегодня просто нанимают промышленных шпионов для получения необходимой информации. Небольшие местные компании нанимают информационных брокеров, которые готовы перейти любые границы для получения информации от конкурентов. Чаще всего информационными брокерами становятся бывшие военные шпионы или разведчики, обладающие массой необходимых знаний и опытом для проникновения в компании, особенно в те, которые не предприняли специальных шагов по обучению сотрудников для защиты своей информации.

Предупреждение атаки

Вот какое правило должно упоминаться на тренингах по безопасности: если звонящий в компанию или посетитель офиса знает имена ваших коллег, знаком с корпоративным сленгом и бизнес-процессами – это не означает, что этот человек является тем, за кого себя выдает. И это условие несомненно также означает, что такого человека нельзя воспринимать, как имеющего полномочия на получение доступа к компьютерной технике, конфиденциальной или служебной информации.
На тренинге необходимо отдельно подчеркнуть подчеркиватьэти простые слова: если сомневаешься, то проверяй, проверяй и еще раз проверяй.
Раньше дело обстояло так: информация была в юрисдикции начальства, а рабочие топили горнила, работали с машинами, печатали письма и заполняли бланки очередной отчетности. Начальник говорил им, что, как и когда нужно сделать. Только начальник знал, сколько рабочий должен сделать запонок за смену, какого цвета должны быть запонки сегодня, сколько в этом месяце должна произвести фирма и какие примерно цифры должны быть в квартальном отчете.
Рабочие занимались машинами, инструментами и материалами, а боссы работали с информацией. Конкретному служащему хватало только специфических данных касательно его непосредственных обязанностей.
Теперь все немного по-другому, не правда ли? Если говорить о рабочих, то сегодня они работают используют с компьютерыами или с машинами под управлением компьютера. Важная информация постоянно «спускается» на дисплеи машин, с которыми работает большая часть современной рабочей силыбольшинство сотрудников. В современных условиях получается так, что служащие только и делают, что обрабатывают информацию.
И именно поэтому политика безопасности должна распространяться в компании повсеместно, невзирая на должность иерархию и должностные обязанности служащих. Все должныНеобходимо четко представлять себе обстановку, в которой ценна и важна любая служебная информация, а не только та, с которой работают начальники, бухгалтерия и администрация. Сегодня служащие любого ранга подвержены информационному нападению, и неважно, работают они с компьютером или нет. Только что нанятый принятый на работу продавец-консультант может с легкостью превратиться в слабое звено, благодаря которому социоинженер достигнет своей цели.
Тренинги по безопасности и политика корпоративной безопасности – это те инструменты, которые могут и должны укрепить это звено.

Служебная информация специалистами часто называется

Служебная информация специалистами часто называется ценной или чувствительной к разглашению. Я буду употреблять прилагательное служебная, так как термин «служебная информация» сам по себе раскрывает сущность понятия. Ценная информация, в свою очередь – это не классифицирующее понятие, но подходящее определение для конфиденциальных и частных данных. Проще говоря, ценная информация – это любые данные, которые специальным образом не обозначены в качестве общедоступной информации.


Заметьте, что схемы доступа к информации для социоинженера – это как плащ тореодора для быка. Согласитесь, что если на фирме имеет хождение такая схема, то у шпиона возникнет большое желание ее заполучить. А как только злоумышленник получит к ней доступ, компания окажется под ударом.
· Контакт с руководством для подтверждения полномочий. Сотрудник соединяется с менеджером запрашивающего и получает всю необходимую информацию о полномочиях.
· Подтверждение полномочий хранителем информации или другим ответственным лицом. Хранитель информации – ваш судья в вопросах авторизации. Если в информационной (автоматизированной) системе предприятия поддерживаются профайлы служащих, то вы получите права доступа к информации у непосредственного начальника запрашивающего. В любом другом случае начальник обязан руководствоваться комментариями ответственного за эту информацию. Такая цепочка необходима хотя бы для того, чтобы хранитель информации не обременялся подтверждениями на доступ к часто запрашиваемым данным.
· Подтверждение полномочий специальными программными средствами. В крупной компании хорошей практикой является использование информационной системы, разграничивающей доступ к информации. База данных такой системы сопоставляет сотрудников с привилегиями на доступ к той или иной классифицированной информации. Причем сами сотрудники не должны иметь доступ к общему описанию привилегий других пользователей. Вместо этого система, основываясь на введенном имени запрашивающего и идентификаторе категории информации, отвечает, имеет ли инициатор запроса доступ к определенным данным. Таким образом можно избежать ситуации, когда злоумышленник пересоздает список служащих с привилегированными правами на доступ к особо ценной информации.


Тип «задней двери», описываемый здесь, не изменяет login- программу операционной системы. Специальная функция из динамической библиотеки, которую использует login-программа, заменяется, и таким образом создается секретная точка входа. Во многих атаках хакеры заменяют login-программу, но опытные системные администраторы могут обнаружить замену, сравнивая программу с ее копиями в архиве и на других носителях информации.
Я тщательно следовал инструкциям, которые написала для меня Юлия, прежде всего, установить «patch», затем предпринять шаги, чтобы удалить все следы, которые я оставил, создавая аккаунт.
Вскоре компания собиралась начать поставки своей новой операционной системы клиентам - финансовым институтам по всему миру. И каждая разосланная копия содержала бы в себе ту самую лазейку, которую я внедрил в оригинал ОС еще до ее рассылки, эта лазейка позволила бы мне без помех проникнуть в любую компьютерную систему банка или брокерской конторы, которая бы установила у себя эту новую систему.
Естественно, я не чувствовал себя абсолютно спокойным - предстояло сделать еще немало работы. Мне надо было проникнуть во внутреннюю сеть каждого финансового института, который я хотел «посетить». Затем понять, какой из компьютеров используется для перевода денег и разобраться, каким образом это делается.
Но все это я мог сделать с любого компьютера, на берегу Таити, скажем.
Я позвонил охраннику еще раз, поблагодарил его за помощь и сказал, что он может выбросить распечатку.


Джон Ле Карре, автор всемирно известных детективов «Шпион, который вернулся с холода», «Безупречный шпион» и многих других прекрасных книг был сыном респектабельного и успешного мошенника. Ле Карре еще в молодые годы был потрясен тем, что его отец, столь успешный в обмане других людей, не раз становился жертвой мошенничества, как со стороны мужчин, так и женщин. Что демонстрирует, насколько риску обмана со стороны социального инженера подвержен любой человек, даже социальный инженер.


Не все организации располагают достаточными ресурсами для создания программы компетентности собственными силами. Здесь можно порекомендовать воспользоваться услугами специализированных компаний, выйти на которые можно с помощью сайта Secure World Expo (www.secureworldexpo.com).


Программа повышения компетентности в вопросах безопасности не может гарантировать абсолютную неуязвимость. Там где это возможно, используйте технологические средства «глубинной» защиты. Это означает, что некоторые инструменты безопасности должны находиться не в руках сотрудников, а обеспечиваться технологией. Например, средствами операционной системы можно запретить загрузку программ из интернета и установить обязательные правила использования стойких паролей.
Если тренинги безопасности смогли внушить сотруднику, что каждый запрос должен удовлетворять этим двум критериям, то можно считать, что риск социоинженерной атаки резко сократился.
На практике, программа повышения компетентности и тренинги, нацеленные на поведенческие факторы и социоинженерные аспекты, должны включать в себя следующее:
· Описание того, как именно социальные инженеры используют свои навыки в обмане людей.
· Методы социоинженерии.
· Как распознать возможную атаку.
· Процедура обработки подозрительной просьбы.
· К кому обращаться в случае обнаружения социоинженерной атаки.
· Важность получения любой дополнительной информации о подозрительном лице, невзирая на заявленную этим лицом должность или значимость иного рода.
· Нельзя никому доверять в безусловном режиме без соответствующей проверки, даже если следуешь внутреннему позыву.
· Важность процедуры проверки личности, соответствия и привилегий любого запрашивающего информацию или просящего об исполнении некоторого действия.
· Процедуры, направленные на защиту ценной информации, включая принципы работы с существующей системой классификации данных.

Пример атаки:

Социальный инженер использует фактор власти, когда, например, представляется работником IT-департамента, начальником или исполняющим некоторое распоряжение администрации.

Во время разговора атакующий старается выяснить хобби и интересы своей жертвы, а далее проявляет нескрываемый энтузиазм в обсуждении этих вещей. Он может сказать, что учился в той же школе, или приехал из того же штата или имеет такую же цель в жизни или в карьере. Кроме того, социоинженер, несомненно, попытается скопировать поведение своей жертвы, что создает видимость схожести характеров.


Сотруднику поступает звонок от коллеги из IT-отдела. Звонящий объясняет, что на фирме появился опасный вирус, с которым не справляется антивирусная система. Коллега предлагает проконсультировать вас по телефону – сказать, что надо сделать, чтобы файлы остались целы. И вслед за этим просит проверить одну программку, которая недавно была обновлена «и теперь пользователь может в ней сменить пароль». Сотрудник вряд ли откажется, так как только что получил «неоценимую» помощь от специалиста, спасшего его файлы от опасного вируса.


Атакующий звонит сравнительно недавно устроившемуся сотруднику и заявляет, что на фирме существуют некоторые правила безопасности, которых необходимо придерживаться и с которыми надо согласиться, чтобы впредь иметь доступ к корпоративным системам. И после небольшого диалога о правилах, звонящий просит сотрудника огласить свой пароль «чтобы проверить его на соответствие правилу стойких паролей пользователей». Жертва говорит свой пароль и атакующий рекомендует использовать сложные и непредсказуемые пароли. В данном случае сотрудник раскрыл свой пароль только потому, что это не идет в разрез с его заявлением в начале разговора о согласии придерживаться правил безопасности. Кроме того, сотрудник может подозревать, что собеседник просто проверяет его лояльность.


Звонящий говорит, что проводит опрос и называет имена ваших коллег, которые уже заполнили анкету. Жертва верит, что если другие пошли навстречу опрашивающему, то это позволяет или даже обязывает ответить и ему. Далее атакующий задает серию вопросов, с помощью чего получает ключ к нужной информации.


Атакующий отсылает жертве письмо, где говорится, что первые 500 зарегистрировавшихся на сайте получат бесплатные билеты на новейший блокбастер. Ничего не подозревающий сотрудник заходит на сайт, где ему предлагается ввести свой адрес электронной почты и пароль. Далее, исходя из того факта, что пользователи для удобства обычно пользуются одним и тем же или похожими паролями в разных системах, атакующий пытается проникнуть на домашнюю и рабочую станции жертвы.

Природа опасности

Дело Рифкина показывает, насколько обманчиво бывает наше ощущение защищенности. Подобные случаи мошенничества случаются каждый день. Конечно, не всегда происшествие можно оценить в 10 миллионов долларов, но от этого легче не становится. Возможно, именно сейчас, когда Вы читаете эти строки и ничего не подозреваете, Ваша фирма лишается своих капиталов или самого ценного коммерческого секрета. И если какая-то организация еще не пострадала от мошенников, то это всего лишь вопрос времени, а не вероятности наступления события.

Проблема в подключении

Как отыскать нужного «Майкла Паркера» в университетских архивах? Сам Майкл действовал так. Он пошел в библиотеку университета, сел за компьютер, вошел в интернет на сайт университета и нашел там телефон регистратуры. Позвонив туда, он воспользовался обычными приемами социальной инженерии:
– Я звоню вам из компьютерного центра. Мы меняем конфигурацию сети и хотим убедиться, что не нарушим вашу работу. С каким сервером вы соединены?
– Что вы имеете в виду, – с удивлением спросили у него.
– Какой адрес вы набираете, когда хотите получить сведения о студентах?
Ответ был «admin.rnu.edu» - так Майкл получил адрес компьютера со всеми сведениями о студентах. Это была первая часть задачи, теперь он знал, куда надо попасть.
Майкл набрал указанный адрес на своем компьютере и не получил ответа - как он и ожидал, доступ блокировался при помощи сетевого экрана. Тогда он запустил программу, чтобы попробовать найти открытые сервисы на этом компьютере, и нашел открытый Telnet-порт, который позволял одному компьютеру соединяться с другим компьютером и получать доступ к нему при помощи «немого терминала». Все, что нужно после этого для доступа - знать ID и пароль пользователя.

Процедуры авторизации и удостоверения

Для доступа к конфиденциальной деловой информации промышленный шпионаж прибегает к маскировке, благодаря чему социоинженеры могут выдавать себя за служащих, производителей оборудования или партнеров. В целях поддержания информационной безопасности, сотрудники, получающие запрос на совершение некоторого действия или на получение ценной информации, прежде всего должны удостовериться в личности инициирующего запрос.
Предлагаемые процедуры приведены в помощь сотрудникам, получающим запрос по любым коммуникационным линиям, таким как телефон, факс или электронная почта. Цель процедур заключается в авторизации – удостоверении или опровержении правомочности запрашивающего и самого запроса.

Профессиональный жаргон

Двойной обман (Reverse Sting) - такой вид жульничества, когда атакованный человек сам просит атакующего о помощи

Разгребание мусора (dumpster diving) – копаться в мусоре компании (часто в мусорных корзинах, стоящих на улице) в поисках выброшенной информации, которая или сама по себе является ценной, или является орудием атаки для социоинженера, как, например, внутренние телефоны или название должностей.
_ _
Я не знаю, как обстоят дела сейчас, но тогда, в прошлом, было достаточно легко определить, в каком мешке могло содержаться что-то стоящее. Мусор после подметания полов или отходы из кафе в огромных мешках набросаны небрежно, в то время как офисные корзины для мусора стоят в один ряд с белыми мешками, которые уборщики поднимают один за другим и аккуратно перевязывают.
Однажды, когда мы копались с друзьями в мусоре, то наткнулись на несколько листов бумаги, разорванных вручную. Они были не просто разорваны: кто-то не поленился и разорвал их на крошечные кусочки, после чего они были просто выброшены в огромный мусорный мешок. Мы взяли этот мешок и отнесли его в местный магазинчик, высыпали содержимое этого мешка на стол и стали собирать кусочки.
Мы все были заняты головоломкой, это был вызов гигантского составной картинки-загадки… Но выяснилось, что и награда была недетской! Когда мы ее собрали, получили полную учетную запись и список паролей к одной из самой важной компьютерной системе компании.
Оправдали ли наши усилия и риск все наши подвиги в разгребании мусора? Вы можете быть уверенными – оправдали. Даже в большой степени, чем вы предпологаете. Ведь риск нулевой. Так было в то время, да и сейчас все точно так же: до тех пор, пока вы не нарушаете чьих-либо владений, копание в чьем-либо мусорном ведре является на 100% легальным.
Конечно, телефонные фрикеры и хакеры не единственные, кто копается в мусоре. Полицейские отделы по всей стране регулярно роются в мусоре. Целая череда, начиная от главарей мафий и заканчивая мелкими воришками были признаны виновными на основании улик, найденных в их мусоре. Разведывательные службы, включая нашу разведку, прибегают к этому методу уже многие годы.
Возможно, эта тактика неказиста для Джеймса Бонда – киноман предпочтет увидеть, как герой обманывает злодея и соблазняет красавицу, а не то, как он стоит на коленях и роется в мусоре. Настоящие шпионы менее брезгливы, особенно когда действительно можно найти что-то стоящее среди банановой кожуры, кофейной гущи, мятых газет и консервных банок. И особенно, когда сбор информации не подвергает их опасности.


Direct connect (прямое соединение) - термин телефонных компаний, означающий, что соединение идет на определенный номер.
Deny terminate (отклонение запроса) - услуга телефонной компании, которая отвергает все входящие звонки на определенный номер.
Поскольку любой опытный мошенник достаточно искушен в искусстве обмана, Джонни с самого начала был уверен в том, что есть у этой проблемы есть решение. Изнутри Гондорфф уже звонил по PDO-телефонам и говорил: «Это Том из отдела ремонта телефонной компании. Мы проверяем вашу линию, наберите 9, а затем ноль-ноль». После набора девятки телефон выходил бы на внешнюю линию, а ноль-ноль позволял бы соединиться с оператором междугородних соединений. Его попытка не увенчалась успехом, поскольку человек из PDO, отвечавший на его звонок, уже знал эту хитрость.
Джонни повезло больше. Он обнаружил, что в этом самом исправительном центре есть десять телефонных линий, каждая из которых имеет прямое соединение с PDO. Естественно, Джонни столкнулся с некоторыми препятствиями, но как любой социальный инженер, он был уверен, что найдет обходные пути вокруг этих препятствий. На какую из этих линий выходит Гондорфф? Как связаны телефоны PDO и в исправительном центре? И как получить послание от Гондорффа так, чтобы оно не было перехвачено сотрудниками тюрьмы?
То, что кажется совершенно немыслимым обычным людям, например, получение секретных номеров федеральных учреждений, для опытного мошенника – не более чем несколько звонков. После двух-трех бессонных ночей, проведенных в раздумьях, однажды утром в голове Джонни сложился стройный план, состоящий из пяти пунктов.
Первое: надо выяснить телефонные номера десяти телефонов, непосредственно связанных с PDO.
Второе: он должен изменить параметры этих телефонных линий, чтобы они начали пропускать входящие телефонные звонки.
Третье: надо выяснить, в каком здании центра содержится Гондорфф
Четвертое: определить, какой телефонный номер закреплен за этим зданием.
Пятое: договориться с Гондорффом, когда ждать его звонка и не допустить прослушивания.
Проще пареной репы, подумал Джонни


Безопасность на основе терминалов (terminal-based security) - система обеспечения безопасности, которая основана на идентификации конкретного компьютерного терминала; этот метод обеспечения безопасности особенно популярен на мейнфреймах IBM.
Знакомый парень, который считался гуру в RSTS/E, подошел к стенду раньше нас. Мы с ним уже как-то соревновались во взломе внутреннего компьютера компании DEC, после чего его сообщники турнули меня. Теперь он был вполне уважаемым программистом. Мы обнаружили, что он пытался победить программу безопасности LOCK-11, но не смог этого сделать. Это еще больше убедило разработчиков в том, что их продукт действительно безопасен.
Состязание было предельно простым: проникаешь в устройство и получаешь доллары. Хорошая публичная реклама... До тех пор, пока кто-нибудь не проникнет внутрь и не заберет деньги. Они были настолько уверены в своем устройстве, что вывесили распечатку с некоторыми именами пользователей и соответствующими паролями. Причем, не простые учетные записи пользователей, но и все привилегированные.
На самом деле это было не столь большим откровением: каждый терминал в той системе, которая была реализована на выставке, подключался к одному из портов компьютера. Не надо быть семи пядей во лбу, чтобы понять: пять терминалов в холле конференции были сконфигурированы так, что посетитель мог войти только как обычный пользователь, без привилегий системного администратора. Похоже, что было только два пути: либо обойти все ПО, обеспечивающее безопасность - как раз для предотвращения чего и был рассчитан LOCK-11, или же отыскать путь, который разработчики не могли себе вообразить.


Enumeration - процесс, который можно назвать инвентаризацией, поскольку он выявляет все возможные приложения, работающие в системе, являющиеся мишенью хакера, платформу операционной системы и список пользователей, которые имеют доступ к этой системе.
После определения списка пользователей, программа может запустить «словарную» атаку на этот сервер. С этой атакой знакомы многие компьютерные специалисты и хакеры, но большинство обычных пользователей будут просто шокированы, узнав о ее существовании. Такая атака нацелена на раскрытие паролей всех пользователей системы при помощи перебора обычных слов.
Мы все иногда бываем ленивы, но меня не перестает восхищать та бесконечная тупость и полное отсутствие фантазии, которые овладевают людьми, когда они придумывают пароли для своих компьютеров. Большинство из нас хотят, чтобы пароль обеспечил защиту их компьютера, но в то же время выбирают его легким для запоминания, то есть, чем-то близким для нас. Инициалы, отчество, прозвища, имя жены, любимая песня, кино, пиво, наконец. Название улицы, на которой мы живем, или города, модель машины, любимой деревушки для отдыха на Гавайях или любимый ручей, где лучше всего клюет форель. Понимаете? Есть вполне ограниченный набор имен, мест или общеупотребительных слов, которые и перебирает «словарная» атака для каждого из пользовательских учетных записей.
Иван запускал трехступенчатую «словарную» атаку. Прежде всего, он проверил список из 800 самых распространенных паролей; в этом списке такие слова как secret (секрет), work (работа) и password (пароль). Далее программа пробует самые распространенные словарные слова, прибавляя к ним по одной букве или цифре в начале или в конце. Программа перепробовала это для всех пользователей - безуспешно.
Для следующей попытки, Иван отправился на сайт поисковой машины Google и отыскал там адреса тысяч сайтов с самыми разными словарями на разных языках. Среди них Иван выбрал сайт: www.outpost9.com/files/WirldLists.html, с которого (совершенно бесплатно) он скачал огромный список фамилий, имен, фамилий актеров, слов из библии и многого-многого другого.
Еще один популярный сайт того же типа предлагает университет в Оксфорде: ftp://ftp.ox.ac.uk/pub/worldlists.
Есть сайты, которые предлагают имена героев мультфильмов, слова из Шекспира, Толкина, Одиссеи или сериала «Звездные войны», также научные и религиозные термины и т.п. Одна компания предлагает список из 4,4 миллионов слов и имен всего за 20 долларов! Программа атаки проверяет все слова как в прямом, так и обратном написании - это еще один прием, который по мнению пользователей повышает их безопасность.


Brute force attack (атака грубой силы) - стратегия определения пароля, которая заключается в последовательном переборе всех возможных комбинаций буквенных, цифровых и специальных символов.
Именно по этой причине атакующий часто перекачивает файлы с паролями на свой компьютер и проводит атаку у себя, чтобы не оставаться on-line в сети атакуемой компании с риском быть обнаруженным.
Ивану повезло, и ждать пришлось не слишком долго. Через несколько часов программа предоставила ему пароли всех членов команды разработчиков. Но это были пароли для пользователей сервера АТМ6, а он уже знал, что исходных кодов игры, которые он разыскивает, на сервере нет.
Что же дальше? У него до сих пор нет пароля для входа на сервер АТМ5. Зная из своего опыта, что у пользователей не так много фантазии, он приходит к выводу, что члены команды имеют одни и те же пароли для работы на обоих серверах.
Именно так и оказывается на самом деле: один из членов команды использовал один и тот же пароль gamers  на обоих серверах АТМ5 и АТМ6.
Для Ивана открылась дверь к поискам нужного кода, и вскоре он его отыскал. После того, как он нашел директорию с кодами и перекачал ее на свой компьютер, Иван сделал еще один шаг, характерный для опытных хакеров: он изменил пароль в одном «спящем» аккаунте с правами администратора, чтобы иметь возможность в будущем безо всяких проблем проникать на эти сервера и получать обновленные версии кодов.


Patch (заплатка) - так называют часть программы, которая при включении в работающую программу, устраняет определенную проблему.


Spyware (шпионские или подглядывающие дополнения) – специальное ПО, используемое для того, чтобы контролировать все, что происходит на компьютере, за которым следит атакующий. Одна из простейших форм такого «шпионажа» - отслеживать все сайты, на которые заходит человек, чтобы специально для него готовить набор интернет-рекламы. Другая – заключается в копировании всей активности пользователя - пароли, набранный на клавиатуре текст, электронные письма, чаты, послания, посещаемые интернет-сайты и все картинки, появляющиеся на его экране.


Silent install (тихая установка) – метод установки приложений ПО, о которых владелец компьютера ничего не знает.
Во время первого дня отсутствия г-на Витаро они позвонили, чтобы убедиться в этом, и дежурный ответил: «Г-на Витаро нет в офисе, так же как и его секретаря. Их не будет ни сегодня, ни завтра, ни послезавтра».
Первая же попытка обмана молодой сотрудницы увенчалась успехом, она, не моргнув глазом, помогла ему скачать «манускрипт», который на самом деле был версией широко распространенной шпионской программы, которую атакующий модифицировал для тихой установки. С использованием этого метода, установка ПО не может быть обнаружена никаким антивирусными программами. По каким-то непонятным причинам производители антивирусных программ не рекламируют продукты, которые могут выявлять коммерческое шпионское ПО.
Сразу же после того, как молодая сотрудница загрузила ПО на компьютер Витаро, Курт опять отправился на свою страничку на сайте Geosites и заменил файл doc.exe на настоящий текст книги, который он отыскал в интернете. Если бы кто-то решил заглянуть на этот сайт, то обнаружил бы там любительский неопубликованный текст книги.
После того, как программа была установлена, а компьютер перезагружен, она немедленно начала действовать. Когда Рон Витаро вернется в город через несколько дней и начнет работать, шпионское ПО будет передавать все набираемые им строчки, включая электронную почту и содержимое экрана компьютера, на бесплатный адрес одного интернет-провайдера на Украине.
Через несколько дней после возращения Витаро, Курт обнаружил, просматривая эту самую почту, одно конфиденциальное письмо, которое указывало, насколько далеко издательский дом Milard-Fenton
готов идти при заключении соглашения с автором. Имея в своих руках такую информацию, агенту автора было гораздо легче торговаться с издательским домом, не боясь потерять выгодный контракт. Что, естественно, означало получение более высоких комиссионных самим агентом.


Shoulder surfing (слежение из-за плеча) – так называют наблюдение за тем, что набирает пользователь на клавиатуре, чтобы узнать его пароль и позднее – воспользоваться им.
Когда большинство сотрудников ушли на обед, она вырезала подпись Картрайта из одной старой бумаги, приклеила ее на собственную версию письма и замазала границы наклейки белой замазкой. Затем она сделала ксерокопию письма, потом – копию с копии и границы наклейки стали совершенно незаметными.
После чего она послала бумагу с одного из факсов, расположенных неподалеку от офиса г-на Картрайта.
Еще через три дня она задержалась на работе и дождалась, пока все не ушли. Она зашла в офис Юхансона и попыталась войти в сеть с его именем и паролем “marty63”. Все сработало.
Через несколько минут она нашли файлы с описанием продукта Cobra
273 и перегрузила их на диск.
Диск был упрятан в сумочку, и она отправилась на стоянку, обдуваемая свежим ветерком. Она планировала встретиться этим же вечером с журналистом.


GZIP («зипование» файлов) – архивация файлов при помощи программы Linux GNU.
Поэтому он согласился заархивировать и переслать файлы. Шаг за шагом, ощущая локоть Карла, Гарри объяснял своему собеседнику, как провести процедуру сжатия всех программ в один компактный файл. Он также назвал имя файла, которым надо назвать сжатый файл – «newdata» – сказав, что такое название поможет избежать путаницы с предыдущими испорченными версиями.
Карлу пришлось объяснить следующий шаг дважды, пока Гарри не уловил суть, поскольку это был главный элемент в их игре – «чехарда» – о котором мечтал Карл. Гарри должен был позвонить в центр разработки Миннеаполиса и сказать: «Я хочу послать вам некоторый файл, а затем мне надо, чтобы вы мне его переслали». Естественно, все это должно быть «упаковано» в правдоподобные мотивировки. Гарри смущало, что он должен сказать: «Я собираюсь послать вам файл»”, тогда как он не собирался ничего посылать. Он должен был убедить собеседника в центре разработки, что файл придет от него, в то время как на самом деле файл придет к ним из Европы. «Почему я должен говорить, что файл придет от меня, тогда как он на самом деле придет из-за границы», – хотел понять Гарри.
«Парень в центре разработки – полный лопух», – объяснил Карл. – «Он будет думать, что просто помогает коллеге из другого отдела в США, получая файл от нас и перенаправляя его нам».
Гарри наконец понял. Он позвонил в центр разработки и попросил оператора соединить его с Вычислительным центром, где к телефону подошел техник. Голос его звучал так же молодо, как голос самого Гарри. Гарри поприветствовал его и сказал, что звонит из производственного отдела компании в Чикаго и ему никак не удается переслать файл коллеге по работе: «У нас проблемы с маршрутизатором и я не могу попасть в их сеть. Я хотел бы переслать файл вам, а потом я перезвоню, проверю, что вы его получили и вы перешлете его на компьютер моего коллеги».
Техник согласился. Гарри спросил у него адрес гостевого (или анонимного) FTP в компьютерном центре – устройства, которое позволяет любому желающему пересылать файлы в какую-то директорию на компьютере и забирать оттуда файлы без авторизации и пароля. Да, такой доступ был и Гарри получил внутренний IP-адрес для доступа к нему.


Анонимный FTP (Anonymous FTP) - программа, которая обеспечивает доступ к удаленному компьютеру, даже если у вас нет на нем эккаунта, при помощи FTP-протокола (протокол передачи файлов). Хотя доступ в анонимный FTP производится без пароля, обычно права доступа пользователей к определенным директориям все же ограничены.
Имея в своем распоряжении эту информацию, Гарри позвонил в зарубежный центр разработки. Сжатый и упакованный файл уже был готов и Гарри дал указание, как его переслать на анонимный FTP. Менее чем через пять минут файл был в американском Центре разработки.

Программа в действии

Многие убеждены в том, что результаты обучения, пусть даже фундаментальным основам, со временем сходят на «нет», если не заботиться о постоянном обновлении собственной базы знаний. И именно поэтому в области социоинженерной защиты крайне важно поддерживать знания сотрудников на должном уровне. Действующая программа информационной безопасности призвана поддерживать этот уровень компетентности.
Один из способов «заставить» служащего принимать решения, не забывая об аспектах безопасности, это превратить саму информационную безопасность в одну из обязанностей, пусть и несколько специфическую. Так можно добиться неплохого результата в том смысле, что сотрудник найдет свое место в деле информационной защиты предприятия. Можно сказать и так – если не прибегнуть к этому методу, то в штате возникнет синдром «безопасность-это-не-моя-забота».
Если обобщенная ответственность за программу безопасности ложится на профессионала – служащего отдела безопасности или IT-департамента, то программа в своем развитии может рассматриваться как совместный проект, в рамках которого один из отделов занимается проведением тренингов.
Реализованная и развивающаяся программа – дело творческое и требует поиска всех возможных каналов воздействия на персонал, причем сообщения и события не должны оставаться незамеченными: хороший пример должен быть на виду. Методология должна задействовать как традиционные способы предоставления информации, так и нетрадиционные – все, что может предложить воображение разработчика программы. Как и в случае с обычной рекламой, на помощь приходит юмор и талант. А разнообразие форм и словосочетаний поможет избежать скучной повторяемости, которую нормальные люди стараются вообще игнорировать.
Действующая программа повышения компетентности может включать в себя:
·
Предоставление копий данной книги всем слушателям программы.
· Тематические вставки в корпоративной литературе или на интранет-сайте (выделяющиеся короткие блоки в тексте, привлекающая внимание графика и т.п.)

· Позиционирование Человека месяца от Безопасности.

· Настенные плакаты в комнатах отдыха и в рекреациях.

· Заметки на доске объявлений в холле.

· Приложения – небольшие брошюрки в конверте с очередным чеком.

· Напоминания по электронной почте.

· Использование тематических экранных заставок на рабочих местах, ориентированных на информационную безопасность.

· Широковещательные сообщения в системе голосовой почты.

· Распечатка стикеров с надписями вроде «Вы уверены, что говорите с тем, с кем Вы думаете, что говорите?»

· Установка напоминаний, возникающих на экране компьютера при входе в систему или по окончании рабочего дня. Например, «Если Вам необходимо отправить письмо, содержащее сведения ДСП, не забудьте зашифровать вложенный файл!»

· Включение категории «компетентность в области информационной безопасности» в стандартные отчеты о проделанной работе и в ежегодные корпоративные обзоры.

· Установка дисплея, например, в кафетерии, на котором время от времени появляются напоминания.

· Распространение на фирме вкладышей и брошюр.

Информационная угроза – величина постоянная, и напоминать об этой угрозе надо с не меньшим постоянством.

Промышленный шпионаж

Угроза информационной атаки против правительственных агентств, корпораций или университетских городков общеизвестна. Почти каждый день СМИ сообщают о новом компьютерном вирусе, отказе сервисных служб из-за атаки хакеров или краже информации о кредитных карточках с интернет-сайта электронного магазина.
Мы читаем также и о случаях промышленного шпионажа, когда Borland
обвиняет Symantec в краже своих секретов, а Cadence Design Systems выдвигает обвинения в краже кодов против своего конкурента. Многие бизнесмены читают такие истории и думают, что с их компанией уж конечно ничего подобного случиться не может.
Однако, это случается каждый день.

Проникновение в полицию

Артуро решил свою задачу таким образом. Он начал с того, что получил номер телефона ближайшего центра копирования, позвонил туда и узнал их номер факса.
Затем он позвонил в офис районного прокурора и попросил отдел протоколов. Когда его соединили с отделом протоколов, он представился следователем из района Lake County и сказал, что ему надо поговорить с секретарем, который протоколирует результаты обысков.
– Это я, - ответила девушка
– Прекрасно, - сказал Артуро. - Мы делали обыск сегодня ночью и я пытаюсь отыскать протокол.
– Я могу его найти, если вы назовете адрес, где происходил обыск, – сказала девушка.
Он дал свой адрес, и она радостно ответила:
– О да, я хорошо знаю об этом – «нарушитель авторских прав»!
– Именно этот. Мне нужен протокол обыска и его результаты.
– Они у меня в руках.
– Прекрасно! Послушайте, я сейчас далеко от офиса на встрече с секретными агентами, которые приехали как раз по поводу этого случая всего на 15 минут. А я - пустая голова - оставил свою копию дома и просто не знаю, как мне быть. Вы не могли бы мне прислать их сюда?
– Нет проблем. Я сделаю копии - приходите и забирайте их.
– Отлично, – сказал он, – просто отлично. Правда, я сейчас на другом конце города. Вы не могли бы мне выслать их по факсу?
Это вызвало некоторое замешательство:
– У нас здесь нет факса в отделе, он есть в секретариате, наверное, они дадут мне возможность им воспользоваться.
– Давайте я позвоню в секретариат и договорюсь, – произнес Артуро.
Женщина в секретариате сказала, что она с удовольствием поможет, но кто будет за это платить? Ей нужна была строка для отчета.
– Я узнаю и перезвоню, – сказал он.
Он опять перезвонил в офис районного прокурора, представился полицейским офицером и просто спросил секретаршу:
– Какой код оплат для офиса прокурора?
Она ответила ему безо всяких вопросов. Он перезвонил в секретариат и назвал этот код, после чего отправился получать все желаемые документы.

Проникновение в помещения

Почему чужак может так легко притвориться сотрудником компании? Почему он так успешно может играть эту роль, что даже люди, занимающиеся вопросами безопасности компании, не подозревают обмана?
Почему так легко ввести в заблуждение людей, оберегающих интересы своей компании? Людей, которые прекрасно знают о мерах безопасности и подозрительно относятся к незнакомым людям?
Почитайте истории, рассказанные в этой главе, и заодно задумайтесь над этими вопросами.

Проникновение

Итак, за несколько часов я успел поговорить с тремя или четырьмя людьми и уже был готов проникнуть в компьютеры компании. Для этогоТеперь оставалось сделать совсем немного.
На первом месте по важности для меня был номер телефона, по которому можно было бы «достучаться» до сервера разработчиков. Я вновь позвонил в GeminiMed и попросил оператора соединить меня с IT-отделом. Там яЯ попросил помощи, и меня переключили на соответствующего человека. Я притворился «чайником», ничего не понимающим в компьютерах. «Я дома и только что купил ноутбук. Мне нужно его настроить, чтобы удаленно работать с сетью рабочей группы».
Все настройки для меня были очевидны, так что мне пришлось набраться терпения и выслушать техника, который мне все подробно объяснилподробные объяснения. Мое терпение вознаградилось, когда «консультант» наконец-то озвучил номер diap-up
соединения. Он сказал номер, как нечто совершенно обыденное. Я попробовал и сказал в ответответил, что все в порядке.
Я дозвонился и обнаружил, что имею дело с терминальным сервером, соединенным с каждым из компьютеров во внутренней сети. Через несколько После нескольких неудачных попыток я нашел одну из станций, на которой был гостевой вход без пароля. Некоторые операционные системы предоставляют гостевую учетную запись. Обычно пользователь должен установить пароль на эту запись или вообще блокировать ее, но иногда об этом не знают или забывают по каким-то причинам забывают. В моем случае, было похоже, что ОС была только что установлена, а про настройки гостевого входа просто-напросто забыли.
Сленг
Хеш пароля. Строчка символов, которая получается в результате однонаправленного шифрования пароля. Такое шифрование необратимо, т.е. считается, что невозможно восстановить пароль из хеша.
Благодаря гостевой учетной записи теперь у меня был реальный доступ к одному из компьютеров, на котором установлена старая версия UNIX. На ОС UNIX
обычно есть файл, в котором записаны пароли всех пользователей, авторизованных на вход.
Эти пароли зашифрованы и хранятся в виде хешей. При этом, например, пароль «justdoit» в этом файле представляется тринадцатью символами.

Когда, допустим, Билли Боб хочет передать файлы на компьютер, он обязан ввести свои имя пользователя и пароль. Система шифрует введенный им пароль и сравнивает его с хешем из парольного файла. Если результат сравнения положителен, пользователь успешно авторизуется.

В теории пароль не может быть восстановлен из хеша и, отчасти поэтому, парольный файл обычно доступен всем пользователям. На практике же, что смешнодостаточно забавно, достаточно бывает инициализировать атаку по словарю (см. об этом в Главе 12). Итак, я вскрыл один пароль – «Janice» - принадлежавший некоему Стивену Крамеру. Попытавшись использовать этот пароль на одном из нужных мне серверов, я разочаровался. Обидно, ведь это могло бы спасти сэкономить кучу времени и сил.

И это означало, что придется перехитрить Крамера и заставить его рассказать мне новый пароль. А для этого я решил подождать выходных.

Остальное вы уже знаете. В субботу я позвонил Крамеру, наврал ему все про червей вирусы и восстановление файлов, все, чтобы рассеять его подозрения и сомнения.

А что насчет истории с заполнением анкеты, спросите вы? Здесь я рассчитывал, что Крамер давно забыл, что именно он записывал в этих анкетах. Новый сотрудник обычно заполняет кучу бумаг, а годы спустя уже никто не помнит, что это были за бумаги. И, в конце концов, если бы Крамер не сломался, у меня был еще длинный список имен...

С его паролем и именем пользователя я получил доступ к серверу, немного побродил по файловой системе и в итоге нашел раздел с проектной документацией STH-100. Так как я понятия не имел, что конкретно нужно заказчику, я переписал все содержимое на дэд-дроп, которым в этот раз был анонимный и бесплатный FTP-сервер в Китае. Оставим за клиентом право копаться в этих данных.

Сленг

Дэд-дроп (dead drop) – место для «складывания» данных. Такое мМесто, которое скорее всеготочно не найдут те, для кого эти данные не предназначаются.В случае классического шпионажа, дэд-дроп – это ниша за вынимающимся кирпичом. В мире компьютерных хакеров – это обычно сайт на территории третьей страны.

Прощание с сотрудниками

Мы уже говорили о необходимости соблюдения четких процедур для прощания с теми сотрудниками, которые имели доступ к важной для компании информации, паролям, номерам телефонов интернет-доступа и т.п. Должны существовать определенные схемы защиты от уходящих из компании сотрудников, которые имели различные степени доступа к информации. Достаточно сложно организовать эффективную систему защиты информации от внешнего вторжения хакеров, но еще сложнее это сделать от атаки бывших сотрудников.
Еще один важный шаг: после того, как увольняется сотрудник, который занимался архивированием информации и имел доступ к хранилищу данных, инструкция должна предписывать, чтобы его имя немедленно исключалось из списка доступа к этому хранилищу.
В 16 главе представлена подробная информация на эту важнейшую тему, но имеет смысл и здесь перечислить ключевые соображения по поводу безопасности, своеобразную квинтэссенцию высказанных соображений:
· при увольнении сотрудника должен тщательно выполняться заранее проработанный список мероприятий, причем особое внимание должно уделяться уходу людей, имевших доступ к ценной информации;
· при увольнении сотрудника его доступ к компьютерам компании должен быть прекращен немедленно, а еще лучше - до того, как сотрудник покинет помещение;
· должна быть разработана четкая процедура восстановления утерянных “бэджей”, ключей или электронных устройств доступа;
· охранники компании должны строго соблюдать правила проверки документов людей, проходящих на территорию компании без “бэджей”, тщательно сверяя их имена со списком доступа.
Следующие шаги могут кому-то показаться необязательными или слишком дорогими для одних компаний, но вполне уместны для других. Среди этих более строгих мер безопасности можно выделить:
· электронные “бэджи” в сочетании со сканерами для этих “бэджей” на входе; каждый проходящий сотрудник прикладывает или вставляет свой “бэдж” в сканер для мгновенной проверки - является ли он все еще сотрудником компании и разрешен ли ему вход в здание; сотрудники охраны не должны полностью полагаться на электронику, отслеживая попытки проскользнуть в здание посторонних людей;
· все служащие подразделения, из которого уходит сотрудник (особенно, если его увольняют), должны сменить свои пароли. Вам кажется это слишком суровым требованием? Много лет спустя, после краткосрочной работы в компании General Telephone, я узнал, что сотрудники службы безопасности компании Pacific Bell “попадали на землю от хохота”, когда General Telephone опять взял меня на работу. К чести General Telephone надо сказать, что когда они уволили меня и поняли, что на них работал опытный хакер, они сменили пароли у всех сотрудников компании!
Вы не должны превращать свое учреждение в тюрьму, но в то же время обязаны поставить преграду на пути тех, кто вчера был уволен, а сегодня пришел для того, чтобы нанести вред вашей компании.

Просто скажи «Нет»

В первой истории этой главы клерк телефонной компании RCMAC
просто не должен был менять статус десяти телефонных линий, не имея специального распоряжения. Сотрудники обязаны не только знать политики и процедуры обеспечения безопасности; сотрудники должны осознавать, насколько важны эти политики для предотвращения ущерба компании.
Политики в области безопасности должны предотвращать отклонения от четкого соблюдения правил при помощи системы поощрений и наказаний. Естественно, политики должны быть реалистичными и не возлагать на сотрудников слишком тяжелое бремя, которое те, скорее всего, будут игнорировать. Специальная программа, разъясняющая суть политик безопасности, должна убедить сотрудников компании в том, соблюдение правил в сфере обеспечения безопасности может оказаться жизненно важным для компании и ее сотрудников.
Аналогичные предосторожности надо предпринимать, предоставляя информацию по телефону незнакомым людям. Независимо от того, насколько убедительно представляется звонящий, независимо от его и вашего положения в компании, никакую секретную информацию нельзя предоставлять посторонним людям до тех пор, пока их личность не установлена наверняка. Если бы эта политика строго соблюдалась, план социальных инженеров провалился бы и заключенный Гондорфф никогда не смог бы планировать новое мошенничество со своим напарником Джонни.
Главное, что я не устаю повторять снова и снова на протяжении всей книги: проверяйте, проверяйте и проверяйте. Ни один запрос не должен приниматься, пока не установлена личность человека его запрашивающего.

Пыль в глаза

Социоинженерная атака в принципе направлена не только на активы предприятия. Иногда жертвами становятся клиенты компании.
Работа в отделе по обслуживанию клиентов приносит служащему немного и разочарованяий, немного и радости радость и, без сомнения, такая работа неизбежно означает толику невинных ошибок – некоторые из которых отражаются в достаточно неприятных последствиях для рядового рядовых клиента клиентов компании.

Районный суд, офис секретарей

– Я хотел бы назначить дату слушания по нарушению правил, – сказал Поль.
– Хорошо, я могу предложить вас 26 число следующего месяца, – ответил секретарь.
– Я хотел бы назначить предварительное слушание.
– Вы хотите проводить предварительно слушание из-за нарушения правил?
– Да.
– Хорошо. Мы назначаем предварительное слушание завтра днем или утром. Когда вам удобно?
– Днем.
– Предварительно слушание назначается на завтра в 1:30 дня в комнате номер 6.
– Спасибо, я обязательно буду там.

Расплата

Около недели она думала о том, как можно отплатить своим обидчикам. Месяц назад один парень из отраслевого журнала пробовал завязать с ней отношения. Он хотел получить информацию о запуске нового продукта. Через несколько недель он позвонил ей на работу и сказал, что если она пошлет ему предварительную информацию о продукте Cobra 273, то он пришлет цветы, а если информация будет настолько интересной, что ее опубликуют в журнале, то он специально приедет к ней из Чикаго и сводит ее в ресторан.
Вскоре после этого она оказалась в кабинете молодого сотрудника Юхансона, когда он входил в корпоративную сеть компании. Безо всякой задней мысли она обратила внимание на его пальцы, когда он набирал пароль (слежение из-за плеча - так еще иногда называется этот тип поведения). Пароль был “marty63”.
В ее голове начал вызревать план. Она вспомнила, что не так давно печатала бумагу по указанию г-на Картрайта. Она отыскала оригинал и напечатала новую версию, используя практически все выражения оригинала.
КОМУ: С.Пелтон, ИТ-департамент
ОТ КОГО: Л.Картрайт, Служба развития
          Мартин Юхансон будет заниматься специальными проектами в моем отделе.
          По этой причине я прошу дать ему доступ ко всем серверам, которые использует группа разработки. Профиль безопасности г-на Юхансона должен быть установлен таким, чтобы он имел все те же права, что и разработчик продуктов.
                                                                          Луи Картрайт

Распространение информации

В этой секции затрагиваются вопросы распространения информации, в основе которых лежат проблемы идентификации личности и определения необходимости запроса.

Рассказ Дуга

С Линдой у меня не все шло хорошо, но встретив Эрин, я понял, что именно она создана для меня. Линда была похожа ... как бы выразиться поточнее, что ли импульсивным человеком.
Максимально мягко я сказал, что ей пора уезжать и даже помог уложить вещи, подарив при этом парочку своих любимых CD-дисков. Когда она уехала, я сразу же пошел на рынок, купил новый замок и тем же вечером поменял его. На следующее утро я позвонил в телефонную компанию и попросил сменить номер моего телефона, причем пожелал сделать это в тайне.
После этого я приступил к «осаде» Эрин.

Рассказ Линды

Я и сама хотела уйти, только не решила когда. Но согласитесь – никому не понравится быть отвергнутой. Поэтому я решила показать ему, какое он ничтожество.
Придумать месть не составило особого труда. Наверняка в деле была замешана другая женщина, иначе он не заставил бы меня убраться так стремительно. Поэтому я решила позвонить ему поздно вечером, когда он меньше всего этого ждал.
Я дождалась ближайшей субботы и позвонила ему около 11 часов. Оказалось, что он сменил номер своего телефона, а новый номер нигде нельзя было узнать. Все это показывает, каким подлецом был этот Дуг!
Естественно, после первой неудачи я не отказалась от своих попыток. Я работала в телефонной компании, и у меня остались знания об устройстве телефонных линий. Кроме того, уходя от Дуга, я унесла с собой несколько бумаг, среди которых оказалась квитанция, которую оставили техники, ремонтировавшие его телефон несколько месяцев назад. На этой квитанции был указан номер кабеля и телефонной пары для телефона в его квартире. Дело в том, что вы можете поменять номер телефона по своему желанию, но номер кабеля и медной пары от вашего аппарата останутся теми же. Если вы знаете (как это знала я), как происходит телефонное соединение, то, зная номера кабеля и медной пары, сможете узнать и номер телефона, в каком бы секрете ни хранил его владелец.
У меня был список всех телефонных узлов, я нашла ближайший к тому месту, где жила вместе с этим подлецом, и позвонила туда. Естественно, никто не ответил. Где находятся телефонисты, когда они действительно нужны?! Подождав минуту, я стала звонить на другие телефонные узлы и, в конце концов, нашла того, кто мог бы мне помочь. К сожалению, он находился далеко и сидел, скорее всего, задрав ноги на стол. Я знала, что он не захочет сделать то, что мне нужно, но у меня был план.
– Это Линда, отдел ремонта, – начала я. – У нас аварийная ситуация. Отказал один из элементов. Местные техники пытаются устранить неполадку, но у них ничего не выходит. Вы должны поехать на телефонный узел района Вебстер и посмотреть, доходит ли туда сигнал из центрального офиса.

После этого я сказала ему:

– Я перезвоню, когда вы туда доберетесь. – Поскольку, естественно, не могла допустить, чтобы он самостоятельно звонил в отдел ремонта и спрашивал меня.

Я понимала, что он с большой неохотой вылезет из своего теплого кресла и отправится по темной дождливой дороге на телефонный узел Вебстер, но прозвучали слова «аварийная ситуация» и он не мог отказаться или сказать, что слишком занят.

Я перезвонила ему через 45 минут на телефонный узел Вебстер и попросила проверить кабель 29 и медную пару 2481. Он сделал все, что нужно, и ответил, что сигнал есть. Это я знала и без него.

– Хорошо, – сказала я, – тогда проведем проверку линии.

Это означало установление номера телефона при помощи специального устройства с определителем номера. Он проделал это, ничего не зная о том, какой номер определяет - закрытый или недавно измененный - он просто выполнял мои указания. Все сработало просто прекрасно.

После того, как я узнала необходимый мне номер, я поблагодарила его, пожелала спокойной ночи и сказала, что мы продолжим искать проблему, которая вероятно находится вне этого района.

Ну хватит, пожалуй, говорить об этом Дуге, который пытался спрятаться от меня, сменив номер телефона. Главное удовольствие - впереди!

Совет Митника

После того, как социальный инженер узнал подробности работы компании, он может наладить контакты с ее сотрудниками. Компании должны специально готовиться к возможным атакам со стороны бывших или настоящих сотрудников, у которых есть повод быть недовольными политикой компании. Имеет смысл внимательно изучать личные дела сотрудников, чтобы понять, кто способен на эти действия. Правда, чаще всего, таких потенциальных «врагов» крайне сложно выявить. Единственная возможность повысить уровень своей безопасности - это тщательно проверять личность всех посетителей и возможность доступа сотрудников к той или иной информации.

Разбор полетов

Вся эта махинация основана на одном из фундаментальных методов социальной инженерии. А метод этот заключается в получении доступа к информации, которую атакуемый служащий должен был бы расценивать, но не расценивает в качестве служебной тайны.
Первый банковский служащий, с которым разговаривал Оскар Грейс, подтвердил значение термина «Идентификатор коммерческого банкаКоммерческий идентификатор». Второй снабдил атакующего номером контактного телефона и ключевой информацией, которой без сомнения является номер идентификатора. Клерк думал, что все эти данные безвредны и незначительны, тем более, что он разговаривал, по его мнению, с представителем той самой компании CreditChex.
Все этиЭти предпосылки сделали возможным третий звонок. У Грэйс на руках были все нужные карты: он позвонил в CreditChex от имени служащего Банка Нэшнл и получил то, за чем охотился.
В нашей истории Грейс не только умеет красть информацию, как карманник кошельки, но и хорошо разбирается в людях. Он знает, что ключевой вопрос можно спрятать среди обыденных и понимает, как использовать личные вопросы для оценки расположенности своей жертвы.
Защититься от ошибки, которую допустил первый клерк практически невозможно. Идентификатор БанкаКоммерческий идентификатор – это настолько привычная и широко известная вещь в банковской сфере, что кажется несущественной. Но второй клерк, Крис, повела себя безрассудно, так как обязана была идентифицировать личность звонящего человека – проверить, является ли он тем, за кого себя выдает. По крайней мере, можно было спросить номер телефона и имя, чтобы затем перезвонить по этому номеру. Таким образомПотому что, если впоследствии возникнут вопросы, то можно будет обратиться к записям об именах и телефонных номерах звонивших.
Комментарий Митника
Коммерческий идентификаторИдентификатор Коммерческого Банка в данной ситуации аналогичен паролю. И если банковские служащие будут относиться к этому ID, как к PIN-коду карточки для банкомата, то и ценность этого идентификатора будет восприниматься адекватно. Задумайтесь, а нет ли на вашей фирме внутреннего кода или номера, к которому служащие относятся недостаточно внимательно?
Еще лучше, воВо всех отношениях, правильней было бы перезвонить в CreditChex по заранее известному номеру, а не по тому, который сказал сам звонящий. Тогда появилась бы возможность проверить, работает ли там сейчас этот человек и если работает, то проводит ли он опрос по телефону. Конечно, благодаря современной атмосфере и сжатым графикам работы, требовать такой доскональной верификации от служащих тяжело. Нужно понимать, что,но сотрудник обязан перезвонить, как только если у него возникли некоторые малейшие подозрения.

В этой социоинженерной атаке Диди начала с «уточнения» телефонных номеров трех отделов компании-мишени. Это не представляло трудностей, так как нужные ей данные не скрывались, - тем более для своих сотрудников. Социальный инженер умеет выглядеть и говорить, как твой коллега, а Диди владела своей профессией в превосходстве. Один из полученных телефонных номеров привел ее к коду калькуляции (субсчету) отдела, без которого вряд ли было возможно получить внутренний справочник.
Во время работы ей понадобилось: приветливо вести разговор, использовать корпоративный язык, и, в последнем эпизоде, немного словесно заиграть со своей жертвой.
И, кроме прочего, присутствовал один непростой элемент – опыт манипулирования, отточенный практикой и неписаными уроками поколений самоуверенных людей.


Вы, наверное, не первый раз замечаете, что знание внутреннего, профессионального языка компании – корпоративного сленга, структуры компании и обязанностей служащих тех или иных подразделений, - все это неотъемлемая часть багажа знаний ухищрений предприимчивого социоинженера.
Комментарий Митника
Мы часто отвечаем на вопросы только благодаря доброте своей душевной доброте. Особенно, если кто-то задает справедливый и кажущийся разумным вопрос. Социоинженеры знают об этом и не брезгуют пользоваться наивностью своих жертв.


Джейн, без сомнения, знала, что данные о клиентах – это конфиденциально. Она бы никогда не рассказала одному клиенту о другом. А тем более постороннему человеку.
Но, как водится, в разговоре с коллегами действуют иные правила. Джейн всегда готова помочь человеку из своей команды, ведь в работе надо помогать друг другу. Тот парень из отдела расчетов с клиентами и сам мог бы найти интересующие его данные, если бы не вирус. А так она с удовольствием ему помогла выйти из затруднительной ситуации.
Арт выудил ключевую информацию, задавая различные вопросы, ответы на которые его совершенно не интересовали. Однако, если быть точным, то номер счета, например, мог пригодиться в последствии, если бы служащий что-то заподозрил в процессе диалога. Клиентский счет позволит выглядеть более осведомленным, если придется искать очередную возможность выудить данные.
Джейн даже не приходило никогда в голову, что ее могут обмануть подобным образом, представившись сотрудником ее же компании. И винить Джейн не в чем, на самом деле. Никто и никогда не предупреждал ее об атаках на информацию, подобных той, которую инициировал Арт. И она никогда не слышала о правилах идентификации телефонного собеседника. Таких правил нет в ее рабочих инструкциях, ни к чему подобному ее не подготавливали, и ее менеджер никогда об этом не думал.


Когда Томми звонил Джинни, он просто входил к ней в доверие. А когда пришло время для настоящей атаки, она уже не сопротивлялась и воспринимала Томми именно в качестве того человека, чьим именем он прикрывался: как менеджера одного из филиалов их сети видео-проката.
И почему она не должна была его принять – она уже была с ним знакома. Конечно, она «встречала» его только по телефону, но у них возникло знакомство на почве деловых отношений, – а это отличная основа для доверия. Как только она приняла его в качестве авторизированного менеджера своей компании, доверие уже появилось, а остальное было пустяком – не сложнеекак прогулки прогулка в парке.
Комментарий Митника
Обманная техника, позволяющая завоевывать доверие к себе – это один из наиболее эффективных приемов социоинженерии. Вы должны думать о том, с кем вы разговариваете на самом деле. Знаете ли вы этого человека на самом деле? В некоторых, пусть и редких, случаях ваш собеседник может оказаться вовсе не тем, за кого себя выдает. Это факт, и в соответствии с этим фактом мы все должны учиться наблюдать, думать и задавать грамотные вопросы.


Подумайте о своей собственной реакции на просьбу незнакомого стороннего человека... Если на пороге вашего дома появится незнакомец в потрепанной одежде, вы вряд ли захотите его впустить. Но если это будет дорого хорошо одетый человек в блестящих ботинках и с безупречной прической, вежливый и улыбающийся, вы будете к нему гораздо менее подозрительны. Вполне возможно, что это Джейсон из Пятницы 13-ое, но вы, тем не менееоднако, доверитесь ему, пока он нормально выглядит и не держит в руке окровавленное мачете.
Менее очевидно для нас то, что мы судим о телефонном собеседнике точно таким же образом. Этот человек говорит со мной так, как будто пытается что-то продать? Он Его голос дружелюбный и располагающий располагает к разговору и дружелюбный или я чувствую некоторую враждебность и давление? Похожа ли его или ее речь на речь образованного человека? Мы неосознанно, бегло и незаметно для себя оцениваем все эти и множество других различных факторов. Причем чаще всего для этого нам достаточно нескольких секунд разговора.
Комментарий Митника
Человеческая натура заставляет нас не думать об обмане, во всяком случае до тех пор, пока что-то не подскажет нам обратное. Мы взвешиваем риск, но практически всегда наши сомнения играют на руку тем, кого стоит опасаться. Это часть обычного поведения цивилизованных людей... во всяком случае тех цивилизованных людей, которых никогда не обманывали на крупную сумму денег.
Родители учат детей не верить посторонним. Возможно, стоит придерживаться этого старинного правила и на современном рабочем месте современности.
На работе люди постоянно обрабатывают запросы. У тебя есть email
адрес электронной почты этого парня? Где последняя версия клиентского реестра? Кто отвечает за эту часть проекта? Пожалуйста пришли мне последнее обновление проектных файлов. Мне нужна более новая версия исходников.
Догадайтесь, о чем я. Иногда люди, спрашивающие вас о чем-то – это люди, которых вы прежде в лицо не видели, люди, работающие в совершенно другой части вашей компании.


Нет ничего странного в том, что люди легче принимают того, кто уверяет, что является коллегой, кто знаком с деловыми процессами фирмы и знает сленг. Социоинженер из последней истории получил преимущество, изучив когда изучил подробности рекламной акции, выдав выдал себя за сотрудника и попросив попросил помощи у коллеги из соседнего филиала. Такая ситуация более чем возможна в сети розничных магазинов или в компании с большим количеством подразделений, где люди физически разъединены и вынуждены работатьсотрудничают с коллегами, которых никогда не видели ни на работе, ни в свободное от работы время.


Состоявшийся Настоящий социоинженер вряд ли остановится перед взломом базы данных NCIC. И зачем ему лишний раз раздумывать, когда достаточно позвонить в местное полицейское управление и деловито пообщаться, играя роль в роли осведомленного человека? А в следующий раз, в крайнем случае, можно перезвонить в другое управление и повторить все сначала.
Вы, наверное, спрашиваете себя, а разве не рискованно звонить в полицейское управление, шерифу или в дорожную инспекцию? Атакующий развеРазве атакующий не рискует?
Ответ отрицательный... обоснованно Обоснованно отрицательный. Люди, работающие в правоохранительных органах, как и военные, взращены на уважении к званию, вышестоящему чину. И пока социоинженер маскируется под капитана или майора – присваивает себе более высокое звание, чем то, которым располагает его собеседник – он в безопасности. Жертва прошла хороший урок на своей службе и не привыкла задавать вопросы начальникам. Другими словами, звание имеет свои привилегии, и в частности, привилегию не затрудняться вопросами со стороны подчиненных.
Но не думайте, что чинное уважение присуще только военным или полицейским. Социоинженер может воспользоваться оружием доверия к должности и в деловых кругах, что неоднократно подтверждается историями из этой книги.


Атакующий сплел сеть-ловушку и заставил попасть в нее свою жертву, которая столкнулась с несуществующей проблемой. В нашем случае, еще до того, как проблема проявилась, атакующий знал, что она обязательно появитсявозникнет, так как сам собирался вызвать эту проблему. Далее он представил себя, как в качестве человека, способного разрешить возникшие трудности.
Эта стратегия отлично подходит для злоумышленника. Все, что необходимо сделать, это заранее позиционировать себя для мишени в качестве человека, способного помочь в затруднительной ситуации. Мишени остается самому позвонить После этого мишень сама позвонит и обратиться за помощью к атакующему, который только этого и ждет.
Подобная афера попадает под категорию реверсивной социоинженерии. Атакующий, которому звонит жертва по доброй воле, получает огромный кредит доверия. Согласитесь, если я сам звоню сотруднику службы поддержки, я не буду проверять его личность и полномочия их сотрудников. Эту работу за меня уже «сделал» злоумышленник.
Чем больше знает жертва, тем подозрительнее она отнесется к производимым на ней манипуляциям, так что в подобной афере атакующий постарается найти мишень, слабо знакомую с компьютерами. Такая жертва быстрее согласится «просто скачать эту небольшую программку», так как слабо представляет последствия и степень потенциального риска. Кроме того, сильно сокращаются шансы, что жертва понимает ценность информации, к которой может получить доступ посторонний посредством захваченного компьютера.
Сленг
Удаленная командная строка (rshell) – неграфический интерфейс, принимающий текстовые команды и исполняющий определенные функции ОС или программы. Атакующий, используя технические недостатки узла-жертвы или установивший троянскую систему, вместе с этим, скорее всего, получает удаленный доступ и к командной строке захваченной операционной системы.
Реверсивная социальная инженерия – социоинженерная атака, при которой нападающий создает все условия для того, чтобы жертва попала в затруднительное положение и при этом попросила помощи у самого нападающего. Другая разновидность реверсивности играет может быть направлена против злоумышленника. Жертва при этом распознает атаку и, используя психологические методы, пытается выяснить как можно больше о нападающем, например для того, чтобы обезопасить свой бизнес от подобного нападения в дальнейшем.
Комментарий Митника
Если незнакомец оказывает вам услугу, а затем просит взамен об оказании другой услуги, то прежде чем согласиться, хорошо подумайте, о чем именно вас просят.


История подтверждает факт, с которым вы не раз встречались и еще встретитесь на страницах этой книги: злоумышленник от сотрудника прежде всего хочет получить узнать пароль и имя пользователя. Получив эти данные от служащего в нужном подразделении компании, атакующему остается внедриться в систему от имени жертвы и найти искомое.
Комментарий Митника
Прежде чем новые сотрудники получат доступ к компьютерной технике, они должны закончить пройти соответствующий курс повышения компетентности в вопросах информационной безопасности. В частности, должны знать правила неразглашения своих пользовательских паролей.
Аутентификационные данные – это как ключ от города. С ключами в руке можно свободно передвигаться по корпоративной сети и искать нужную информацию.


Для человека, которого мы звали Крег Когбурн, как и для любого другого, хорошо знакомого с вороватым-но-не-всегда-преступным ремеслом социоинженерии, это задание было вполне обычным делом. Задача заключалась в нахождении и загрузке файлов, хранимых в хорошо защищенной брандмауэрами и другими технологиями локальной сети предприятия.
Большая часть работы Крега для него не представляла для него никаких сложностей. Начал он с того, что, представившись рабочим почтового отдела, настоятельно попросил получить посылку FedEx. Этот ход вывел его на лидера руководителя рабочей группы по разработке сердечного стента, который, правда, отбывал пребывал в отпуске, но услужливо оставил на автоответчике имя и телефон своего ассистента – более чем подходящая информация для любого социоинженера. Позвонив ассистенту, Крег сразу избавился от возможных подозрений, сказав, что исполняет распоряжение ведущего специалиста. А так как специалиста не было в городе, Мишель не смогла проверить его слова. Она поверила ему и без сомнений предоставила список сотрудников, входящих в группу разработчиков. Именно эта информация во всем мероприятии для Крега была ключевой.
У нее не возникло никаких подозрений даже тогда, когда Крег попросил послать данные по факсу, хотя было очевидно, что электронная почта в этом случае подходила больше, чем что бы то ни было. Почему Мишель оказалась такой доверчивой? Как и многие другие служащие, она бы не хотела, чтобы босс, вернувшись из отпуска, обнаружил ее несговорчивость в вопросе, который он (по легенде) и поставил перед своим подчиненным. Кроме того, звонящий не только упомянул о задании босса, но и о его словах об участии в деле Мишель. Это еще один пример того, как служащие стараются показать свое участие в общем делеприверженность общему делу, при этом становясь легкой мишенью обманамошенника.
Крег вовсе не хотел появляться в офисе компании и поэтому попросил принять факс секретаря. Он не зря надеялся на помощь секретаря, так как обычно людей на эту должность выбирают прежде всего за то, что они очаровательных очаровательные и умеющих могут произвести впечатление.


ЭтгарЭдгар попался на довольно распространенную в Internet интернете уловку. Такого рода жульничество может принимать различные формы. Например, одна интерпретация представляет собой поддельное, но в точности повторяющее оригинальное, окно входа в систему, где пользователь вводит свои свое имя и пароль доступа (об этом более подробно в Главе 9), которые незамедлительно «скармливаются» хакеру.
В нашем же случае имеет место подделка другого рода – пользователь пошел на поводу у злоумышленников лишь потому, что название сайта «paypal-secure.com» очень похоже на название защищенного сайта известной компании PayPal. Но это не так. Думая, что обновляет базу клиентов PayPal, ЭтгарЭдгар пополнял базу данных взломщиков.
Комментарий Митника
Если вы не комекадзекомикадзе, то, вводя конфиденциальные данные на каком-то сайте в Интернетинтернете, убедитесь, что соединение в данный момент зашифровано и заверено электронным сертификатом. И еще один важный момент. Никогда не нажимайте кнопку «Да», не ознакомившись с текстом в диалоговом окне, ведь довольно часто этот текст говорит о том, что сертификат отозван или не может быть подписан центром сертификации.

Разнообразные этюды

Сколько еще есть способов заставить пользователя посетить фиктивный сайт и подарить свою информацию хакеру? Я не думаю, что кто-то имеет точный ответ на этот вопрос, но выражение «тьма-тьмущая» очень даже подойдет.

Разработка программы повышения компетентности

Вы можете опубликовать брошюру политики информационной безопасности, можете заставить всех сотрудников посетить страницу на интранет-сайте, но это не избавит вас от угрозы. Компания должна не только определить правила безопасности и утвердить политику безопасности, но и приложить все усилия, чтобы каждый служащий, имеющий дело со служебной информацией или компьютерными системами, научился следовать правилам этой политики. Больше того, каждый должен понимать, что стоит за этими правилами и для чего их необходимо соблюдать. В любом другом случае политика будет игнорироваться, правила превратятся в обузу, и в конечном итоге только навредят вам.
Основная цель программы повышения компетентности заключается в таком воздействии на персонал, которое заставит изменить поведение и отношение сотрудников к проблеме. Служащие должны захотеть стать частью программы защиты информационных активов своей компании. Мотивацией к этому может послужить осознание того, что программа служит на благо не только бизнесу, но и его участникам, конкретным людям. И так как компания обладает частной информацией своих служащих, то, охраняя корпоративные системы и документы, эти служащие защищают что-то, что принадлежит им лично.
Программа компетентности и тренинга безопасности требует значительной поддержки. Усилия, направленные на обучение, должны коснуться каждого служащего, имеющего доступ к служебным системам и информации, эти усилия должны быть последовательными и должны непрерывно совершенствоваться, доводя до персонала данные о новых угрозах, методах нападения и защиты. Служащие должны видеть, что руководство в полной мере вовлечено и программу и нуждается в ней. И участие менеджмента в этом случае не может быть просто показным, вроде «благословляем вас, дети мои». Разработку программы необходимо реально поддерживать и подкреплять ресурсами. То же относится к стадии тестирования политики и более поздним этапам оценки результативности.

С Новым Годом…

ЭтгарЭдгар, бывший страховой агент, а ныне пенсионер, однажды получил электронное письмо от известной компании PayPal, известной компании, предлагающей быстрый и доступный способ оплаты через Internetинтернет. Такая услуга особенно полезна, если пользователь покупает вещь у незнакомого человека, находящего на другом концежывущего в другой части страны или всего вообще на другом краю света. PayPal списывает деньги со счета кредитной карты покупателя и переводит сумму непосредственно на счет продавца.
Эдгар – коллекционер антикварных стеклянных кувшинов – не раз участвовал в онлайновом аукционе eBay. И он неоднократно, иногда по несколько раз в неделю, пользовался услугами электронного перевода PayPal. Итак, в рождественские каникулы 2001 года ЭтгарЭдгар получает письмо от PayPal, в котором упоминается о небольшом вознаграждении за обновление информации клиента в базе данных компании. Вот текст, который заинтересовал ЭтгараЭдгара:
Уважаемый пользователь системы PayPal! С наступающими Вас праздниками;
Проходит старый и наступает Новый Год и мы рады предложить Вам в качестве новогоднего подарка 5 долларов, которые будут немедленно зачислены на ваш счет.
Для получения подарка, обновите пожайлуста свою регистрационную информацию владельца счета на нашем надежном и защищенном сайте PayPal до 1-го января 2002 года. С новым годом приходят новые изменения, и мы хотели бы и впредь повышать для наших ценных клиентов качество предоставляемых услуг для клиентов. И Вы можете нам в этом помочь, обновив свои регистрационные данные.
Для того, чтобы без замедления перейти к форме обновления информации и получить новогодний перевод, нажмите на ссылку:
http://www.paypal-secure.com/cgi-bin
Спасибо за Вашу преданность PayPal.com и за помощь в развитии нашего бизнеса!
Искренне желаем Вам Счастливого Рождества и поздравляем Вас с Новым Годом!
Команда разработчиков сайта PayPal
Заметка о сайтах электронной коммерции
Вы наверняка знаете таких людей, которые избегают совершать покупки в Internetинтернете, даже на таких известных сайтах, как Amazon, eBay, Old Navy, Target или Nike.
Признаться, они вправе опасаться онлайновых сделок.

Если ваш браузер поддерживает современный стандарт кодирования при помощи 128-битного ключа, то вся информация с вашего компьютера на защищенный сайт проходит по каналам сети в зашифрованном виде. Если приложить достаточно усилий, ваши данные могут быть расшифрованы, но для этого потребуется слишком много времени. Конечно, Национальное Агенствоагентство Безопасности безопасности США (NSA) может справиться с 128-битным шифром за приемлемые сроки, но пока NSA не проявляло видимого интереса к номерам чужих кредитных карт граждан Америки, равно как и не пыталось отследить покупателей порно-записей или экстравагантного нижнего белья.

Если располагать временем и ресурсами, то можно вскрыть любую шифрограмму. Но скажите мне, какой дурак пойдет на встречу таким трудностям ради одного единственного номера кредитной карты, когда в базах данных многих фирм электронной коммерции можно найти сотни и тысячи таких номеров, хранимых в открытом виде? Скажу больше, некоторые коммерческие предприятия в сети, использующие SQL-сервера и хранящие финансовую информацию, вообще не имеют представления об опасностио безопасности. Администраторы даже не меняют стандартный, полученный (по умолчанию от производителя) системный пароль! Когда они достают программу из коробки, на CD прописан пароль «пароль» «null», он и остается таковым . «пароль» остается и на действующей системе в Internet. ИтакПоэтому, содержимое базы данных иногда становится доступно любому пользователю, которому пришло в голову соединиться с этим сервером. Такие сайты постоянно находятся под угрозой и информация с них «течетутекает» без всяких последствий, без ведома администраторов и клиентов.

С другой стороны, те же люди, которые не хотят совершать покупки в Internetсети интернет, которые боятся, что их кредитная информация будет украдена, без всяких проблем пользуются своей кредиткой в баре или в магазине за углом. А в таких местах ваши чеки постоянно «исчезают», чеки с номерами вылавливаются из мусорных контейнеров или считываются кассирами и официантами с помощью карманных кард-ридеров.

Итак, покупка в Internet интернете безусловно связана с некоторым риском, но вряд ли большим, чем при посещении продуктового магазина. Кроме того, виртуальные коммерсанты предоставляют вполне реальные гарантии – в случае кражи вы несете ответственность не более чем на 50 долларов.

По-моему, страх перед онлайновой торговлей абсолютно необоснован.

ЭтгарЭдгар не обратил внимания ни на один из настораживающих моментов в тексте. Не Ни на точку с запятой в приветствии, не ни на «...ценных клиентов качество услуг для клиентов...». Он нажал на ссылку, ввел свое имя, адрес, время действияномер телефона и номер карты и стал ждать обещанного вознаграждения. Его ожидания полностью «оправдались», когда он получил счет и список товаров, которых он не покупал.

С точки зрения Элиота...

Время действия: 3:26 утра, утро вторника, февраль 1998 г.
Место действия: фабрика Marchand Microsystems, Нью Хэмпшир
Элиот Стейли знал, что ему нельзя уходить со своего поста, если он не делает плановый обход. Но было раннее-раннее утро, полная тишина и ни одного человека вокруг. Уже почти пришло время обхода, а голос бедного парня по телефону звучал так жалобно, как будто ему действительно нужна была помощь. Все это заставляет человека чувствовать так, что он просто обязан помочь страждущему...

Сбитый с толку охранник

Дата и время событий: вторник, 17 октября, 2 часа 16 минут (ночь)
Место: завод Skywatcher Aviation, расположенный на окраине г. Тусона в штате Аризона.

«Сделай это сейчас»

Не все, кто использует тактику социальной инженерии, является обязательно социоинженером. Любой человек, хорошо осведомленный в особенностях компании, может наделать немало бед. Для тех компаний, которые хранят в своих базах данных информацию о сотрудниках, риск возрастает, а ведь такова ситуация в большинстве компаний.
Когда сотрудники компании недостаточно опытны и не обучены тому, как распознавать атаки социальных инженеров, определенные люди, наподобие обманщицы, о которой пойдет речь ниже, могут преуспеть в таких делах, которые честные люди сочли бы недопустимыми.

Секретарь, готовый помочь

Взломщик Роберт Джордей регулярно проникал в компьютерные сети крупной компании Rudolfo Shipping, Inc. Сотрудники компании случайно обнаружили, что кто-то заходит на их терминальный сервер, а через него может попасть в любой компьютер компании. Чтобы защитить свою корпоративную сеть, было решено требовать пароль для dial-up
соединения с каждым терминалом.
Роберт позвонил в Центр обслуживания сети, представился адвокатом из юридического отдела и сказал, что не может войти в сеть. Ответивший ему сетевой администратор объяснил, что по соображениям безопасности для dial-up
соединения с сетью теперь надо каждый месяц получать пароль у начальника отдела. Роберт задумался над тем, каким образом эти ежемесячные пароли попадают к начальникам отделов и как бы ему тоже получить их. Оказалось, что пароли на следующий месяц рассылаются начальникам отделов в специальной корпоративной рассылке.
Это упростило дело. Роберт провел небольшое исследование, а потом позвонил в компанию в первых числах месяца секретарю руководства, Джанет. Он сказал: «Джанет, привет, это Рэнди Гольдштейн из отдела разработок. Я помню, что получал письмо с паролем на этот месяц для входа на терминальный сервер, но я не могу его найти. У вас есть такое же письмо?»
Она ответила, что получила такое письмо.
Он попросил ее послать ему страничку этого письма по факсу, и она согласилась. Он дал ей номер факса приемной в другом здании компании, с сотрудниками которой он уже договорился, что полученный для него факс они перешлют на указанный им номер. Роберт указал номер специального online-сервиса, который, получив факс, пересылал его на электронную почту абонента.
А электронную почту для получения письма с паролем Роберт организовал на бесплатном почтовом сервере в Китае. Даже если удастся отследить путь пересылки факса, человеку придется вступать в контакт с китайскими чиновниками, которые, как известно, очень не любят, когда их тревожат по таким ничтожным поводам. Кроме того, Роберт никогда не появлялся лично в месте расположения факса и люди, переславшие факс для него, никогда его не видели лично, поэтому не смогли бы опознать.

Штурм крепости

Денни начал делать домашние заготовки. Он уже соединил вместе достаточно разрозненной информации, чтобы прикинуться настоящим сотрудником. Он знал имя сотрудника, название отдела, в котором тот работает, номер телефона, его персональный номер, а также имя и номер телефона управляющего.
Сейчас было затишье перед бурей. Буквально. Следуя выработанному плану, Дэнни нужно было получить еще одну вещь до того, как приступить к следующему шагу и это было что-то такое, чего он не мог контролировать: ему нужна была снежная буря. Дэнни необходима маленькая помощь от матери-природы в форме такой плохой погоды, которая удержала бы работников от посещения своих офисов.
Зимой в Северной Дакоте, где расположено описываемое нами промышленное предприятие, каждый, кто ожидает плохую погоду, может не слишком долго ждать. В пятницу вечером началась настоящая буря. Снег быстро превращался в леденящий дождь, и дороги покрылись скользким, опасным слоем льда. Для Дэнни это было отличной возможностью.
Он позвонил на предприятие, попросил соединить с компьютерным отделом и связался с одной из «рабочих пчел» IT-отдела, компьютерным оператором Роджером Ковальски.
Дени назвался именем настоящего работника и сказал:
– Это Боб Биллинг. Я работаю в
Secure Communication Group. Сейчас я дома и не могу приехать из-за бури. Проблема в том, что мне нужен доступ к рабочей станции и серверу из дома, а я оставил Secure ID в моем рабочем столе. Вы не могли бы сходить за ним? Или послать кого-нибудь еще? А затем прочитать мне код, который я должен ввести. Мою команду поджимают сроки, и нет другого способа, с помощью которого я смогу поработать дома. У меня нет возможности добраться до офиса – дороги слишком опасные.
– Я не могу покинуть Компьютерный центр, – сказал оператор.
Дэнни быстро ставил:
– А у Вас есть собственный Secure ID?
– У нас есть один в Компьютерном центре. Мы держим его для непредвиденного случая.
– Послушайте, – сказал Дэнни. – Могли бы Вы оказать мне большую любезность? Когда мне нужно будет войти в сеть, могли бы Вы дать мне взаймы Ваш Secure ID? Только до тех пор, пока не появится возможность безопасно доехать до работы.

– Кто Вы? Назовите себя еще раз, – потребовал Ковальски.

– Боб Биллинг.

– На кого Вы работаете?

– На Эда Трентона.

– Да, я знаю его.

Хороший социоинженер всегда собирает как можно более подробную информацию об объекте.

– Я работаю на втором этаже, – продолжил Дэнни, – рядом с Роем Тукером.

Ковальски знал это имя также. Дэнни вернулся к его «обработке».

– Было бы намного проще сгонять к рабочему месту и достать мой Secure ID из стола.

Дэнни был совершенно уверен, что парень не купится на это. Скорее всего, он вряд ли захочет в середине смены тащиться по коридору, а затем вверх по лестнице в достаточно удаленную часть здания.

Также он, вероятно, не захочет шарить в чужом рабочем столе, вторгаясь в чье-то персональное пространство. Да, это было безопасное предложение.

Ковальски не хотел говорить «нет» парню, который просил о помощи, но он также не хотел сказать «да» и получить проблемы. Поэтому он подошел к принятию решения по-другому:

– Я спрошу у своего шефа. Побудьте на связи.

Он положил телефонную трубку и Дэнни услышал, как тот подходит к другому телефону, набирает номер и объясняет просьбу. Затем Ковальски сделал что-то необъяснимое: он фактически поручился за человека, использующего имя Боба Биллинга.

– Я знаю его, – сказал Ковальски своему начальнику. – Он работает на Эда Трентона. Можем ли мы позволить ему использовать Secure ID из Компьютерного центра?

Дэнни, находящийся на линии, был удивлен, подслушав необычную и неожиданную для него поддержку. Он не мог поверить своим ушам и своей удаче.

Через пару мгновений, Ковальски вернулся на линию и сказал:

– Мой начальник хочет поговорить с Вами сам, – и дал Дэнни номер сотового.

Дэнни позвонил управляющему и еще раз рассказал всю историю с начала и до конца, добавив подробности о проекте, над которым он работает и объяснил, что его команду поджимают сроки.

– Было бы проще, если бы кто-нибудь сходил и достал мой жетон, – сказал он. – Мне кажется, что стол не заперт и он должен быть в левом верхнем ящике.

– Ладно, – отозвался менеджер. – Только из-за того, что сейчас выходные, я думаю, мы можем позволить вам использовать один из наших жетонов, находящихся в Компьютерном центре. Я скажу дежурным, что, когда Вы будете звонить, они должны считывать для Вас код случайного доступа. – И он дал Дэнни PIN-код для этого жетона.

Все выходные, в любое время, когда Дэнни хотел войти в корпоративную компьютерную систему, он просто звонил в Компьютерный центр и просил считать шесть цифр с дисплея Secure ID.

Симпатия

Люди имеют тенденцию соглашаться с теми, кто кажется им добродушным и симпатичным, а также с теми, кто имеет схожие интересы, мировоззрение, мнения.

Сюрприз для Джорджа

Сложно себе представить, что такая скучная вещь, как слушание бюджета может представлять хоть какой-то интерес. Но зал заседания в совете округа был забит – там присутствовали и репортеры, и представители разных групп, депутаты и даже две новостные команды с телевидения.
На таких заседаниях Джордж всегда ощущал, что слишком многое поставлено на карту. У совета округа был денежный фонд, и если Джордж не сможет сделать презентацию убедительной, то бюджет на строительство дорог будет урезан. Это значит, что все начнут жаловаться на выбоины на дорогах, неправильно работающие светофоры и опасные перекрестки. Все будут винить именно его, соответственно весь этот год будет просто ужасным. Но когда его представили присутствующим, он почувствовал уверенность. Он работал шесть недель над этой презентацией в PowerPoint visuals. Он показывал эту презентацию жене, ведущим работникам и кое-каким представительным друзьям. И все они подтвердили, что это была его лучшая презентация.
Показ первых трех слайдов в PowerPoint прошел хорошо. Все присутствующие были внимательны, и его доклад звучал достаточно убедительно.
И затем вдруг все пошло наперекосяк. Предполагалось, что на четвертом слайде будет красивая фотография новой развязки магистрали, открытой в прошлом году. Вместо этого на слайде было что-то другое, причем очень неприличное. Там была фотография из журнала Пентхауз или Хастлер. Когда Джордж поспешил нажать кнопку на своем компьютере и сменить слайд, он услышал вздох публики.
Картинка была еще хуже. Здесь уже совсем не оставалось ничего для воображения.
Джордж все еще пытался переключать слайды, когда кто-то из присутствующих выдернул шнур из розетки. В это время председатель совета постучал по столу и прокричал сквозь шум, что собрание откладывается.

Сюрприз, папочка

Как-то раз я сидел в ресторане за столом вместе с Генри и его отцом. Во время нашего разговора Генри пытался убедить папу, что узнать номер его кредитки не сложнее, чем выяснить номер телефона по справочнику.
– Конечно, ты должен сказать номер своей кредитки, если делаешь покупку, – говорил он. – Но отдавать этот номер фирме на хранение – это по-настоящему глупо.
– Единственное место, где знают номер моей кредитной карты – это Студио Видео, – ответил мистер Конклин. – Но я каждый месяц просматриваю свои счета от Visa. Я узнаю, если что-то пойдет не так.
– Конечно, – отвечает Генри. – Но если у них есть твой номер, то ничто не мешает постороннему человеку украсть его.
– Ты говоришь о нечистом на руку сотруднике?
– Нет. Я говорю о любом человеке – не обязательно сотруднике.
– Ты просто чешешь языком, – ответил емупроизнес мистер Конклин.
– Я могу прямо сейчас сделать звонок и заставить их сказать мне номер твоей Visa-карточки, – бросил Генри.
– Нет. Не сможешь.
– Я сделаю это за пять минут, прямо при тебе и не сходя с этого места.
Мистер Конклин посмотрел на сына в упор, . Это был взглядом человека, уверенного в своих соображениях, но не собирающегося показывать этого человекасвоей правоте.
– Я уже сказал – ты не понимаешь о чем говоришь, – прорычал рявкнул он, выкладывая из портмоне на стол пятидесятидолларовую купюру. – Если сделаешь то, о чем говоришь, – это твое.
– Мне не нужны твои деньги, папа, – сказал Генри.
Он достал свой сотовый телефон, спросил у отца номер филиала видео-проката, в котором тот был зарегистрирован, и набрал номер справочной, где поинтересовался телефоном этого филиала, а заодно и телефоном соседнего магазина в Шерман Оакс.
Не медля, он перезвонил в Шерман Оакс. Используя подход, крайне похожий на тот, о чемкотором я говорил рассказал в предыдущей истории, он узнал внутренний номер этого магазина и имя менеджера.
Далее Генри позвонил в филиал видео-проката, в котором был счет его отца. Маскируясь под менеджера из Шерман Оакс и используя его имя – короче говоря, используя старый трюк под названием «воплощаясь-в-менеджера» – он озвучил номер магазина, который только что получил. «Ваши компьютеры в норме? С нашими проблема». Он явно услышал что-то в ответ, подождал и продолжил: «Хорошо, послушайте, у меня ваш клиент хочет взять кассету, но компьютеры не работают. Посмотрите для меня его счет и, кстати, проверьте, ваш ли это клиент».
Генри сказал имя своего отца. Далее, используя лишь немного отличающуюся от предыдущей тактику, он попросил прочесть для него данные учетной записи: адрес, телефон и дату регистрации клиента. И затем вдруг сказал: «Послушайте, у меня тут целая очередь скопилась. Скажите номер и дату действия карты».
Одной рукой Генри держал трубку, а другая уже записывала номер карты. Закончив разговор, он подтолкнул салфетку поближе к отцу, который уставился на нее, медленно открывая при этом рот. Бедный мистер Конклин был шокирован так, как будто вся система его веры только что была спущена в канализациювыпущена в трубу.

Скрытая ценность информации

Многие безобидные, невзрачные и беззащитные документы, однако, высоко ценятся социоинженерами, так как в основном именно благодаря содержащейся в них информации, в них содержащихся, шпионам удается без затруднений входить в доверие к служащим.
В этой и последующих главах я попробую показать, как действуют соционженеры, а вы будете соучаствовать в атаках, смотря смотреть на вещи с точки зрения жертвы и оценивая оценивть происходящее, пытаясь понять свою собственную реакцию (или реакцию своих коллег). Одновременно, вам предоставляется возможность переживать события в перспективе социоинженера.
Итак, в первой истории речь пойдет об одной «дыре» в финансовой отрасли.

Словарь, как средство атаки

Когда кто-то узнает пароль для доступа в ваш компьютер, он получает возможность проникнуть в вашу систему. В большинстве случаев вы даже не узнаете, что это произошло.
Один юный хакер, назовем его Иван Петерс, хотел получить исходные коды новой электронной игры. Он без проблем попал в сеть компании, поскольку его приятель взломал один из ее Web-серверов. Обнаружив незакрытую брешь в ПО Web-сервера, этот приятель едва не упал со стула, осознав, что система дает ему доступ и во внутреннюю сеть.
Однако, после того, как Иван вошел в сеть, он столкнулся с проблемой туриста, вошедшего в Лувр в надежде самостоятельно отыскать Мону Лизу. Без путеводителя этим можно заниматься не одну неделю. Компания, в сеть которой он попал, состояла из сотен офисов и тысяч серверов, и, естественно, никаких путеводителей по этим хитросплетениям не было.
Вместо того чтобы искать нужный сервер какими-нибудь техническими или программными средствами, Иван использовал средства социальной инженерии. Он сделал несколько звонков, пользуясь методами, описанными в этой книге. Прежде всего, он позвонил в службу технической поддержки, представился сотрудником компании, который продвигает один из продуктов и попросил телефонный номер руководителя группы разработки игр.
Позвонив по указанному номеру, он представился уже сотрудником ИТ-департамента. «Сегодня поздно вечером, – сказал он, – мы должны будем отключить маршрутизатор и должны убедиться, что ваша группа не потеряет связи с вашими серверами. Поэтому нам надо знать, какими серверами пользуется ваша группа». Сеть в этой компании модернизировалась практически постоянно. Дать имя сервера – разве это может кому-нибудь или чему-нибудь повредить? Поскольку сеть защищена паролями, знание имени сервера никому не может помочь проникнуть в него. Так атакующий узнал название сервера. А тот, кто сказал его, даже и не подумал перезвонить и проверить правильность рассказанной истории или просто записать имя и телефон звонящего. Он просто назвал имя серверов – АТМ5 и АТМ6.

Словарь

Немой терминал (Dumb terminal) - так называется терминал, который не содержит собственного микропроцессора. Он может понимать только простые команды и показывать на экране текст и цифры.
Майкл опять позвонил в регистратуру, внимательно прислушиваясь к голосу собеседника, чтобы удостовериться, что он говорит с другим сотрудником. На этот раз трубку взяла женщина, и он опять представился ей сотрудником компьютерного центра. Он сказал, что устанавливается новая система создания административных записей, которая пока она еще только тестируется, но ей доверили опробовать ее. Он дал ей IP-адрес для соединения и постоянно поддерживал разговор в процессе дальнейших действий.
На самом деле этот IP-адрес соединял ее с компьютером Майкла, сидящего в библиотеке университета. Используя процесс, описанный в главе 8[NM8] , он сделал симулятор логина – специальный экран, неотличимый от того, который возникает при обращении к системе информации о студентах.
– Ничего не работает, – сказала сотрудница. – На экране надпись «имя пользователя не верное».
Но в это время симулятор логина уже передал строчку с именем пользователя и паролем на терминал Майкла, его задача была выполнена. Он сказал:
– Вы знаете, вероятно, еще не все пользователи подключены к новой системе. Давайте я проверю и перезвоню вам.
Опытный социальный инженер никогда не оставляет обещания невыполненными: в секретариат надо обязательно перезвонить и сказать, что тестовая система пока не работает и они известят всех, когда она будет работать в нормальном режиме.

Сочетание технологии и социальной инженерии

Социальная инженерия - это умение манипулировать людьми, способность заставить их делать то, что поможет достичь желаемого результата, однако успех этих действий часто должен быть подкреплен основательным знанием компьютерных и телефонных систем.

Социальная небезопасность

Невероятно, но факт: руководство социального страхования выложило подробное описание своих планов в интернете. Эта информация очень важна для сотрудников, но она не менее важна и для социальных инженеров. В ней содержатся все термины, аббревиатуры и инструкции по оформлению запроса на нужную информацию.
Вам надо побольше узнать о руководстве социального страхования? Запустите поиск в интернете или зайдите на сайт: http://policy.ssa.gov/poms.nsf/. До тех пор, пока начальство не прочтет эту книгу и уберет описания из интернета, вы сможете пользоваться открытым описанием того, какую информацию клерки агентства социального страхования могут выдавать правоохранительным организациям. Попросту говоря - всем тем, кто представится сотрудником правоохранительной организации.
Атакующий не может преуспеть в получении подобной информации от одного из клерков, отвечающих на звонки по общедоступной линии. Такой тип атаки Кейт использует только тогда, когда работает с людьми, чьи телефоны недоступны простому смертному, поэтому они уверены, что любой звонящий им – не человек «с улицы».
Вот что способствует успеху атаки:
·
знание номера телефона;
· хорошее знание терминологии, используемой в социальном страховании;
· представление в качестве сотрудника офиса Генерального инспектора, о котором каждый работник правительственных организаций знает, что это исследовательское агентство с широкими возможностями; этот факт изначально наделяет атакующего аурой авторитета.
Одна интересная деталь: социальный инженер умеет так сделать запрос, что никому в голову не придет мысль «почему вы звоните именно мне?», хотя по соображениям здравого смысла нужно было бы звонить другим людям совсем в другой департамент. Надо суметь заговорить так, чтобы звонок зазвучал своеобразным ярким пятном в монотонном течении дня и заставил бы жертву не принимать в расчет его необычность.
Наконец, атакующий в данном примере не удовлетворяется одноразовым извлечением информации, а стремится установить долговременный контакт для регулярного использования в будущем. Упрощенная аргументация типа: «я пролил кофе на свою клавиатуру» в данном случае не сработает, поскольку клавиатуру можно заменить в течение дня. Придумывается более сложная и жалобная история о том, что кто-то вынужден сидеть за вашим компьютером: «Я думал, что вчера придет компьютер для него, но в последний момент его отдали другому. Мне придется мучиться еще не один день». И так далее.
В общем: я очень бедный, несчастный и мне нужна помощь. Действует безотказно.

Социальная оценка

Люди имеют склонность к уступкам в ситуации, когда их поступки не противоречат поведению окружающих. Действия окружающих воспринимаются в качестве оценки справедливости и адекватности собственного поведения.

Содержание учебного курса

Если обратиться к основам социальной инженерии, то все атаки имеют одну общую основу - обман. Атакующий, так или иначе, убеждает жертву в том, что он его коллега или кто-то другой, но этот кто-то обязательно имеет полномочия на доступ к служебной информации. Практически все эти атаки можно отразить, если потенциальная жертва обмана будет соблюдать две меры предосторожности:
·
Проверить личность запрашивающего информацию: является ли он тем, за кого себя выдает?
· Проверить, имеет ли запрашивающий соответствующие полномочия: должен ли он знать то, о чем спрашивает, по долгу службы; имеет ли он распоряжение на получение этой информации?

Содержать ценную информацию в сохранности...

Как показано в историях из этой главы,В этой главе хорошо видно, что люди, которым незнакомец предлагает помощь, просто обязаны опираться на некоторую политику безопасности, которая давала бы им ответ, что делать в этом данном конкретном или сильно похожем случае. Другими словами, политика должна учитывать особенности вашего бизнеса, размер вашей компании и, в частности, ваши конкретные обязанности.
Никогда не идите на поводу у незнакомого человека, который просит найти для него информацию, или ввести незнакомые команды в компьютер, или изменить настройки программ, а тем более, если просит вас открыть вложенный в электронное письмо файл или загрузить что-то из Интернетинтернета. Любая программа, даже та, которая на первый взгляд ничего не делает, на самом деле может быть не такой безобидной, как кажется.
Примечание
Лично я не верю, что есть компании, которым пригодилась бы практика обмена паролями между сотрудниками. Гораздо проще установить жесткое правило, которое запрещает любой обмен парольной информацией. Это надежно, по крайней мере, надежно. Но в каждом конкретном случае, в каждой конкретной организации есть свои особенности, которых необходимо придерживаться при внедрении такого жесткого правила.
Есть некоторые вещи, к которым необходимо относится с неубывающим вниманием, и не важно, насколько хорошо вы обучены. Об этих вещах можно забыть в самый неподходящий момент, и, в частности, это относится к разного рода паролям. Вам кажется, что все знают, что пароль нельзя никому говорить, что всех предупреждают и т.д. и т.п. Необходимо подчеркнуть: это только так кажется, это – расхожее мнение. Но на самом деле, каждому сотруднику необходимо постоянно напоминать, что пароль к компьютеру в офисе, к почтовому ящику, к домашнему компьютеру важен не меньше, чем PIN-код вашей собственной пластиковой карты.
Случается и так (очень редко, но случается), что при некоторых обстоятельствах очень надо или даже необходимо поделиться с кем-то конфиденциальной информацией. И поэтому абсолютное правило "никогда" не совсем подходит. Однако, правила безопасности должны четко определять такие исключительные обстоятельства, при которых вы можете дать сказать свой пароль. А что еще более важно, эти правила должны не менее четко определять лиц, с которыми вы можете обмениваться конфиденциальной информацией, например, тем же паролем.

Сообщение для Розмари

Розмари Морган была довольна своей новой работой. Она прежде никогда не работала в издательстве, а теперь обнаружила, что окружающие ее люди относятся к ней даже лучше, чем она могла ожидать. Ей казалось это милым, несмотря на учитывая давление, под которым работала команда, подготавливающая подготавливая каждый месяц журнал, выпуск за выпуском. Однажды к ней поступил звонок, который только уверил ее во всеобщем дружелюбии коллег.
– Это Розмари Морган?
– Да.
– Привет, Розмари. Это Билл Йордэй, из группы Информационной Безопасности.
– Да?Слушаю.
– В вашем отделе с вами еще не говорили о методиках защиты информации?
– Кажется нет.
– Хорошо, давайте это исправим. Для начала: мы никому не разрешаем устанавливать программное обеспечение, принесенное извне. Нам не нужны проблемы с использованием нелицензионного ПО. А кроме того, программы могут быть носителями вирусов.
– Понятно.
– Вы ознакомились с правилами пользования электронной почтой?
– Нет.
– Какой ваш у вас электронный адрес?
– Rosemary@ttrzine.net
– Ваше иИмя пользователя также Rosemary?
– Нет, R-подчеркивание-Morgan.
– Правильно. Мы стараемся, чтобы новые служащие знали об опасности открытия нежданных вложенных файлов. Сейчас по сети ходит множество вирусов и червей, которые обычно приходят в письмах от ваших же знакомых. Так что если вам по почте пришел файл, которого вы не ждали, сначала проверьте, правда ли вам посылал его человек, который указан в поле отправителя. Вы понимаете меня?
– Да, я об этом слышала.
– Хорошо. А что насчет нашего правила менять свой пароль каждые 90 дней? Когда вы в последний раз меняли пароль?
– Я здесь всего три недели. Пока еще не меняла.
– Это не страшно. Можете дождаться истечения трех месяцев. Но мы должны быть уверены, что наши пользователи придумали стойкие пароли, те, которые трудно предугадать. В вашем пароле есть и буквы и цифры?
– Нет.
– Это следует исправить. Какой пароль вы сейчас используете?
– Аннет – имя моей дочери.
– Это совсем не стойкий пароль.
Никогда не используйте при создании пароля личную информацию. Хорошо, посмотрим. Например, вы можете сделать, как я. Будет нормально, если вы дополните свой текущий пароль цифрой, соответствующей текущему месяцу.

– Так, значит если я это сделаю сейчас, то для марта мне надо добавить 03 или просто 3?

– Как пожелаете. Что для вас более удобно?

– Думаю Аннет3.

– Отлично, рассказать, как изменить пароль?

– Нет, не надо. Я знаю.

– Хорошо. И еще одна вещь, о которой необходимо упомянуть. На вашем компьютере установлен антивирус и его надо регулярно обновлять. Это важно. Никогда не выключайте антивирус, даже если при этом система немного тормозит. Хорошо?

– Конечно.

– У вас есть наш внутренний номер? Звоните по нему, если возникнут проблемы с компьютером.

Номера у нее не оказалось. Он дал ей номер, она аккуратно его записала и вернулась к работе, опять же, чувствуя благодарность к заботливым коллегам.

Сотовый телефон за тридцать копеекодин цент

Многие люди пытаются найти способы заключения более выгодных сделок. Социоинженеры не ищут выгодных сделок, они ищут возможности сделать саму сделку выгодной. Как пример, иногда компании выбрасывают на рынок услугу или товар под прикрытием настолько мощной маркетинговой компании, что вам приходиться сильно постараться, чтобы пропустить ее мимо ушей. Социоинженер, в свою очередь, смотрит на рекламу и раздумывает, как бы «подсластить» выгодное предложение.
Не так давно одна национальная сотовая компания начала массовую пропаганду своего предложения, в рамках которого клиент получал фирменный телефон за один цент, но по условиям контракта ему приходится воспользоваться навязываемым навязанным тарифным планом.
Как позже выяснилось, у осторожного покупателя должно было возникнуть множество вопросов относительно этого тарифного плана. Насчет качества услуги, насчет количества ежемесячных бесплатных минут, насчет цены роуминга и т.д. и т.п. Особенно важно оказалось знать о соглашениях по взносам – проще говоря, сколько времени будет действовать внесенная сумма предоплаты?
Вообразите себе социоинженера в Филадельфии, которого привлекла дешевизна рекламируемого телефона, но который был в корне не согласен с тарифным планом. Проблем нет. Вот один из способов разрешения возникшей проблемысправиться с ситуацией.

Совет Митника

Правда заключается в том, что никто не защищен от обмана со стороны социального инженера. В самых разных жизненных ситуациях у нас не всегда есть время на тщательное обдумывание даже очень важных для нас решений. Сложные ситуации, нехватка времени, эмоциональное возбуждение или сильная усталость могут запросто вывести нас из нормального состояния. Поэтому мы торопимся и принимаем решения без должного обдумывании, «на автомате». Это также справедливо для членов правительства и руководства правоохранительных органов. Все мы люди.
Далее, использовав не один, а два копировальных салона, Артуро максимально обезопасил себя на тот момент, когда он получал необходимые ему странички факса. Можно еще более затруднить процесс отслеживания факса если пересылать документ не в другой копировальный салон, а на специальный Интернет-адрес, который получит ваши документы и переправит их вам в виде электронной почты. Таким образом, материалы могут быть доставлены прямо на компьютер атакующего, при этом никто не увидит его лица и не сможет идентифицировать в дальнейшем. Адрес электронной почты и номер электронного факса могут быть покинуты сразу же после того, как будут получены нужные документы.

Пользователи компьютеров часто просто не имеют ни малейшего представления об угрозах и уязвимостях, связанных с социальной инженерией в нашем технологичном мире. Они имеют доступ к информации, но не имеют представления о том, что может угрожать их безопасности. Социальный инженер всегда ориентируется на того сотрудника, кто не понимает значимости информации, с которой имеет дело, поэтому скорее выполнит запросы атакующего.

Срочная «заплатка»

Может показаться, что уж компьютерный специалист никогда никого постороннего не допустит к компьютерной сети своей компании. Однако, если этот посторонний – опытный социальный инженер, маскирующийся под производителя ПО, результат может быть абсолютно неожиданным.

Ссылки

Один фокус повторяется с завидной регулярностью: письмо, в котором говорится о заманчивой возможности и в котором приведена ссылка на страницу, где эта возможность реализуется. Все прекрасно, кроме одной детали: нажимая на ссылку, вы попадаете не на не тот сайт, на который хотели, а на сайт, название которого очень похоже на название оригинала. Если возвратиться к PayPal, то есть один хороший пример такого названия, которое уже использовалось на практике:
www.PayPai.com
Если вы часто работаете с PayPal, то такое название в пути к странице беглым взглядом воспринимается, как оригинал. И даже если жертва замечает точку над последней буквой, то такой дефект нередко приписывают, например, особенностям отображения. И еще труднее бывает заметить, что в адресе
www.paypa1.com
 буква l
заменена на цифру 1. Существует Немало немало людей, которые невольно питают популярность такого рода мошенничества. Грабителям достаточно зарегистрировать имя домена, скопировать оформление официального сайта и разослать письма потенциальным жертвам-, простакам, которые всю работу сделают за них.
В середине 2002 года я получил письмо, имеющее обратный адрес Ebay@ebay.com. Вот текст этого письма:
Дорогой пользователь eBay,
    Доводим до вашего сведения, что постороннее лицо разрушило вашу учетную запись и, одновременно с этим, было нарушено условие одного из правил нашего Пользовательского Соглашения:
4. Торги и оплата покупок
    Вы обязуетесь завершать сделку с продавцом в случае, если являетесь выйгравшим аукцион или покупаете товар по одной из заранее обусловленных ставок. Если Вы выйграли аукцион и ваша ставка принимается продавцом, то Вы обязаны подтвердить денежный перевод. В противном случае права продавца будут защищаться законом и этим Пользовательским Соглашением.
Вы читаете это сообщение, так как мы заметили, что ваша текущая учетная запись конфликтует с другими членами аукциона eBay. Примите к сведению, что eBay требует от Вас немедленной проверки Вашей учетной записи.
В противном случае запись будет анулирована. Для проверки состояния учетной записи, перейдите по этой ссылке http://error_ebay.tripod.com.

********************************************************

Упомянутые торговые марки и названия являются собственностью соответствующих владельцев. “eBay” и фирменное изображение eBay являются торговыми марками eBay Inc.

Люди, которые нажали на представленную ссылку, оказались на сайте, внешне практически неотличимом от официального сайта eBay. Страница была хорошо оформлена, на ней были оригинальные знаки eBay, и если нажать на «Browse»,«Sell» и другие кнопки, то браузер открывал страницы официального сайта eBay. Браузер даже показывал иконку «безопасного соединения», так как разработчик постарался и использовал HTTP-шифрование, чтобы пользователь видел, что – вводимые им данные защищены при передаче.

Это отличный образец компьютеризированной социоинженерной атаки. Однако, не без изъяна.

Сообщение написано далеко не в лучших деловых традициях. Неуместно и глупо выглядит фраза «Вы читаете это сообщение, так как мы заметили...». Кроме того, внимательный пользователь заметил бы сам, что eBay

предлагает проверить информацию клиента PayPal, - а это с само по себе подозрительно. Не существует причины, по которой компания eBay запросила бы частную информацию посетителя другой системы, пусть даже тесно связанной с онлайновыми торгами.

Примечание

Почему так просто зарегистрировать домен с неуместным или явно вводящим в заблуждение именем? Ответ прост: в соответствии с законодательством и Internetинтернет-политикой, вы имеете право зарезервировать для себя любое неиспользуемое название.

Легальный бизнес пытается бороться с таким положением дел, но пока безрезультатно. Посмотрите, с чем приходится сражаться. General Motors

подала в суд на компанию, которая зарегистрировала домен fuckgeneralmotors.com и установила автоматический переход на официальный сайт General Motors.  GM

проиграла дело.

И, кроме того, любой, хоть немного разбирающийся в Internet интернете пользователь сразу обратил бы внимание, что гиперссылка соединяет не с доменом eBay, а с tripod – доменом, предоставляющим бесплатный хостинг частным лицам. А это означает, что письмо вряд ли отправлено представителями eBay. Несмотря на все вышесказанное, я готов поспорить, что немало людей, посетивших эту страницу, оставили на ней номер своей кредитки.

Становясь социоинженером

Многие люди каждый день просыпаются и идут на службу, где работу где, как шахтер в забое, выполняют свою обычную рутиннуюу работу. Мне повезло – я всегда был доволен своей работой. Вы даже не можете себе представить, сколько удовольствия и отдачи я получал, работая частным детективомсыщиком. Я использовал свой талант в ремесле, которое называется социальная инженерия, заставляя людей делать вещи, которые они обычно для незнакомца не делают, и получал за это деньги.
Для меня было совсем не сложно стать знатоком
своего деласоциоинженерии. По линии отца, я имел несколько поколений предков, которые трудились на ниве коммерции, так что умение влиять на людей и убеждать их у меня в крови. А если такие врожденные способности человека усиливаются его умением "честно врать" – перед Вами типичный социоинженер.
Можно сказать, что работа мошенника Профессия предателя[n3] имеет две специализации. Тот, кто обманывает людей, выманивая деньги – аферист. Тот, кто маскируется, воздействует на бизнес и умеет убеждать в своей правоте служащих, наделенных полномочиями – социоинженер. Со времени моей уловки с автобусными билетами прошло достаточно времени, и я начал понимать, что обладаю способностью выманивать чужие секреты, те, которые при любых других обстоятельствах, навсегда остались бы для меня тайной. Благодаря этой способности, используя технику обмана и зная терминологию предметной области, я научился манипулировать людьми.
Один из способов, которым я пользовался в развитии навыков своего ремесла, если это можно назвать ремеслом, заключался в следующем: я выбирал для себя информацию, в которой абсолютно не нуждался, и пытался получить ее от человека на другом конце телефонной линии. Я тренировался так, как тренировался раньше, разучивая новый фокус. Благодаря постоянным репетициям вскоре я понял, что могу завладеть практически любой информацией, на которую нацелюсь.
Годы спустя, при даче показаний в Конгрессе, я объяснялся перед сенаторами Либерманом и Томсоном:
Я получил несанкционированный доступ к компьютерам крупнейших корпораций планеты и прошел сквозь надежнейшие системы. При этом, для того, чтобы изучить принципы действия и уязвимости, используя как технические, так и не технические средства, я доставал исходные коды различных операционных систем и коммуникационного оборудования.
Все это я делал только ради удовлетворения собственного любопытства. И это правда. Для того, чтобы понять, на что я способен. Для того, чтобы раздобыть секретную информацию об операционных системах, сотовых сетях, обо всем, что дразнило мое любопытство.

Становясь вирусоустойчивым

Отдельная заметка об антивирусных программах, которые крайне важны не только для бизнеса, но и для каждого отдельно взятого служащего, сидящего за компьютером. Мало иметь установленный на компьютере антивирус. Антивирус должен постоянно работать. Хотя многие так не думают, аргументируя это тем, что замедляется работа машины.
Нужно помнить (или хотя бы вспоминать!) о том, что антивирусное ПО нуждается в регулярном обновлении своего банка штаммов. И если у вас на фирме не установлена система автоматического и централизованного обновления антивирусов на рабочих станциях, то вся ответственность перекладывается на конечных пользователей компьютеров. Я лично советую настроить программу так, чтобы антивирусная база данных обновлялась каждый день.
Термин
Протокол защищенных сокетов Защищенный сокетный слой (Secure Socket Layer, SSL). Протокол, разработанный в компании Netscape и предоставляющий возможность двусторонней аутентификации сервера для клиента и клиента для сервера на защищенном соединении в Internetинтернет.
Говоря прощеПроще говоря, пока вы не научились регулярно обновлять антивирусное ПО – вы под угрозой. И в любом случае, даже если с антивирусом антивирусной программой все в порядке, всегда остается шанс встретиться с доселе неизвестным червем или вирусом, штамм которого еще не выделен или просто не дошел до базы данных вашей программы.
Все дистанционные пользователи корпоративной сети обязаны иметь на лаптопах ноутбуках или домашних компьютерах как минимум брандмауэр и обновляемый антивирус. Профессиональный взломщик изучает предмет атаки и ищет слабое место. Удаленное соединение – излюбленная мишень. Не забывайте говорить дистанционным пользователям об обязательном присутствии на их компьютерах персонального экрана и активного антивируса, а лучше внесите это правило в должностную инструкцию.
Кроме всего перечисленного выше, я лично рекомендую пользоваться и менее расхожими, но не менее нужными, анти-троянскими системами. На момент написания этой главы лучшими в своем роде являлись две: The Cleaner (www.moosoft.com) и Trojan Defence Sweep (www.diamondcs.au).
Осталось еще раз напомнить об опасностях, связанных с открытием вложенных файлов в электронных письмах. Особенно, если корпоративный шлюз не фильтрует подозрительные аттачменты. Администрация должна постоянно, тем или иным способом, напоминать служащим, что крайне опасно получать нежданные письма (кто бы не ни был их отправителем!) и, тем более, открывать вложенные в эти письма файлы.

Структура тренинга

Прежде всего необходим вводный курс по информационной безопасности, обязательный для всех служащих предприятия. Новые сотрудники, в свою очередь, обязаны закончить этот курс в рамках подготовительного периода. Я лично не рекомендую допускать новых сотрудников к компьютерной технике без прохождения курса повышения компетентности.
Этот начальный курс должен фокусировать внимание слушателей на социоинженерной проблеме, но, одновременно с этим, должен быть достаточно кратким, чтобы запомнились его основные установки. По моему мнению, важна именно концентрация и мотивация, а не длительные лекции, которые приводят сотрудников в полное оцепенение от объема свалившейся на них информации.
Акцент вводного курса должен быть поставлен на понимание серьезности ущерба, который может быть нанесен как всей компании, так и каждому служащему в отдельности. Еще раз повторюсь, что мотивация, личная ответственность в защите данных видится здесь делом более важным, чем изучение специфики информационной безопасности.
В тех случаях, когда некоторые сотрудники не могут посещать очные курсы, можно подумать об иных методиках – видео-уроки, компьютерные обучающие программы, печатные материалы.
Вслед за коротким вводным курсом, одинаковым для всех, следует более длительный курс, освещающий отдельные потенциальные уязвимости, способы нападения и предупреждения атак. Причем преподносимая информация должна непосредственно зависеть от должности служащего. Сама сущность угрозы, так же как и методы воздействия на людей постоянно совершенствуются, так что этот курс необходимо актуализировать. Кроме того, осторожность у людей со временем ослабевает и в противовес этому курс необходимо проводить снова и снова. В нем, кроме обновления знаний, стоит делать ударение на мотивацию и важность информационной защиты для предприятия.
Менеджеры должны уделять определенное время обучению своих подчиненных правилам и процедурам безопасности и всестороннее поддерживать программу повышения компетентности. От служащих нельзя требовать «зубрежки» политики безопасности или посещения тренингов и семинаров в нерабочее время. Новым сотрудникам, до фактического принятия должностных обязанностей, следует выделить некоторое время, достаточное для обзорного изучения этой политики.
Служащие, которые поменяли должность или должностные обязанности должны, конечно же, посетить курс безопасности, соответствующий своим новым обязанностям и новым типам служебных данных. Например, если оператор становится администратором, или секретарь переходит на должность помощника администратора, то такое дополнительное обучение крайне актуально.

Сверим часы

Теперь надо было дать сигнал Гондорффу, чтобы он снял трубку в определенное время. Это оказалось проще, чем можно было ожидать.
Джонни позвонил в исправительный центр и, представившись его сотрудником, строгим официальным голосом попросил соединить его с десятым корпусом. Его звонок перенаправили, куда он просил. Когда трубку взял сотрудник корпуса, Джонни начал свой разговор с характерного приема социальных инженеров - использовал жаргонные сокращения названий: вместо названия отдела «Receiving and Discharge» он использовал сокращение R&D.
– Это Тайсон из R&D, – сказал он. – Мне надо поговорить с одним из ваших заключенных, Гондорффом. У нас есть некоторые его вещи, и мы хотим узнать у него адрес, по которому их надо направить. Вы не могли бы пригласить его к телефону?
Джонни услышал, как сотрудник тюрьмы на том конце провода прокричал имя Гондорффа. Через несколько томительных минут он услышал в трубке знакомый голос.
– Не говори ничего, пока я не объясню тебе всю ситуацию, – произнес Джонни. Он сказал, что разговор должен выглядеть так, будто они обсуждают, куда направить вещи Гондорффа. Затем Джонни сказал:
– Если ты сможешь позвонить по телефону для заключенных сегодня, не отвечай. Если не сможешь, то назови время, когда сможешь. – Гондорфф промолчал. Джонни продолжал:
– Хорошо, тогда будь у этого телефона в час дня. Я позвоню тебе туда. Возьми трубку. Если он соединить тебя с PDO, то положи трубку и перезвони через 20 секунд. Повторяй операцию до тех пор, пока не услышишь меня на другом конце провода.
Ровно в час Гондорф взял трубку, Джонни уже ждал его. Они спокойно неспешно поболтали, наметили план дальнейших звонков и, в конце концов, придумали, где достать деньги на адвоката для Гондорффа.

Сверяться с источником...

Во многих организациях должно приниматься Многим организациям необходимо принять за правило: "если информация потенциально может причинить вред компании или вашим коллегам, то такую информацию можно давать в руки только лицам, с которыми вы лично знакомы, или чей голос вы ни с чем каким другим не перепутаете".
В случае особо строгой защиты, должны восприниматься только запросы при личной встрече или посредством строгой аутентификациистрогого контроля, например, с при двухфакторной аутентификациииспользованием ключа, одной частью которого является совместный, разделяемый секрет, а другой – токен, личный секрет, изменяющийся во времени.
Классификация ценной информации должна подразумевать, что никакая
информация не должна предоставляться лицу, не знакомому вам лично или лицу, за которое не поручился ответственный начальник.
Так как же в этом случае обращаться с кажущимися приемлемыми запросами от служащих других компаний? Например, если вас просят список сотрудников группы, которая работает с внешним партнером? Как сделать так, чтобы подобные данные, которые по своей природе менее ценны, чем спецификации или планы стратегического развития, все же не оказались в руках злоумышленника? Большая Значительная часть решения заключается в организационной структуре. В каждой рабочей группе или отделе необходимо назначить ответственного за внешние контакты и снабдить это ответственное лицо необходимыми инструкциями и методами проверки достоверности поступающих извне запросов.
Примечание
Страшно сказать, но найдя имя в телефонном справочнике компании и перезванивая по этому номеру, вы не гарантируете проверку! Социоинженеры знают способы достаточные для того, чтобы как прописать свое подставное имя в справочнике и перенаправить вызов.

Телефонный звонок Линды

Время звонка: вторник, 23 июля, 3.12 дня.
Место: офис департамента финансов, Starbeat Aviation.
Телефон Линды Хилл зазвонил в тот момент, когда она составляла текст по заданию своего босса. Она посмотрел на определитель номера, чтобы понять, кто звонит. Там высветилось, что звонок исходит из корпоративного офиса в Нью-Йорке, но имя Виктор Мартин было ей незнакомо.
Она отправила звонок в голосовую почту, чтобы не прерывать течения своих мыслей при составлении документа. Однако любопытство взяло верх. Она взяла трубку, звонящий представился сотрудником PR-отдела, работающим над текстом для президента компании. “Он сейчас находится на пути в Бостон, где состоится встреча с банкирами. Ему нужны финансовые показатели за последний квартал”, - сказал он. “И еще один момент. Ему нужны финансовые показатели проекта Apache”, – добавил Виктор, используя кодовое название одного из продуктов, которые компания планировала выпустить этой весной.
Она спросила адрес его электронной почты, но он ответил, что у него как раз сейчас проблемы с почтой, техническая служба работает над этим, не могла бы она воспользоваться факсом? Она ответила, что нет проблем, и он дал номер факса.
Она послала факс через несколько минут.
Однако Виктор не работал в PR-отделе компании. Он вообще не работал в этой компании...

Телефонный звонок Мей Лин

Место: региональный офис социального страхования.
Время: 10:18 утра, четверг.
– Вторая линия. Вас слушает Мей Лин Ванг.
Голос на другом конце телефонной линии звучит вежливо, почти застенчиво.
– Мисс Ванг, это Артур Арондейл из офиса Генерального инспектора. Можно называть вас просто Мей?
– Меня зовут Мей Лин.
– Хорошо, Мей Линн, вот в чем дело. У нас работает новый сотрудник, у него пока нет компьютера, а теперь он ведет проект и по необходимости использует мой компьютер. Мы - правительство самой богатой страны в мире, а денег на компьютер для сотрудника у нас нет. А мой босс только ставит задачи и не хочет слушать никаких оправданий их невыполнения.
– Я понимаю, что вы имеете ввиду.
– Не могли бы вы мне помочь сделать быстрый запрос в базе данных информации о налогоплательщиках?
– Конечно, что вас интересует?
– Мне нужны сведения о Джозефе Джонсоне, дата рождения 07.04.69.
После короткой паузы Мей Лин спрашивает:
– А что конкретно вы хотите знать?
– Какой у него номер социальной страховки?
Она диктует этот номер.
– Теперь давайте проверим все сведения о нем.
Мей Лин диктует место рождения, фамилию отца и девичью фамилию матери. Звонящий слушает, не прерывая, и узнает месяц и год, когда карточка была выдана и даже место ее выдачи.
Затем он задает вопрос о доходах за 2001 год и получает ответ: $190 286 были выплачены компанией Johnson MicroTech.
– Никаких других доходов?
– Нет.
– Спасибо, Вы очень любезны.
После этого звонящий договаривается о возможности следующего запроса, это обычный трюк социальных инженеров - всегда стараться установить долговременные отношение с конкретным служащим, чтобы избежать необходимости каждый раз организовывать новый контакт.
– Позвоните через неделю, – говорит Мей Лин, потому что всю следующую я проведу в Кентукки на свадьбе сестры. – В любое другое время я в вашем распоряжении.
Мей Лин кладет трубку и испытывает удовлетворение, потому что смогла помочь незаметному и недооцененному государственному служащему.

Телефонный звонок Мэри Х

Время: понедельник, 23 ноября, 7:49 утра
Место: бухгалтерское агентство Mauersby&Storch, Нью-Йорк.
Для большинства людей бухгалтерская работа, состоящая в постоянном перелопачивании горы чисел приносит примерно такое же удовольствие, как сверление канала в больном зубе. К счастью, не все согласны с этим мнением. Мэри Харрис, например, считает свое полное увлечение работой старшего бухгалтера одним из основных аргументов, почему ее считают одним из наиболее ценных бухгалтеров в компании.
В тот самый понедельник Мэри пришла на работу пораньше, чтобы поэнергичней начать этот долгий день и была очень удивлена ранним телефонным звонком. Она сняла трубку и представилась.
– Привет, это Петер Шеппард. Я из компании Arbuckle, мы занимаемся техническим обслуживанием компьютеров вашей фирмы. За выходные мы получили несколько жалоб на сбои в компьютерах. Я бы хотел разобраться с этими проблемами пораньше, чтобы люди могли нормально работать уже сегодня. У вас были проблемы с компьютером или при соединении с сетью?
Мэри ответила, что еще не знает. Она включила компьютер, и пока он загружался, звонящий объяснил ей, что хочет сделать.
– Я хочу провести несколько тестов с вашей помощью, - сказал он – Я могу видеть на своем экране текст, который вы печатаете на своем компьютере, я хочу убедиться, что он проходит через сеть без искажений. Поэтому, каждый раз как печатаете букву, говорите мне ее и я буду сверять с тем, что появляется у меня здесь на экране.
Представив себе бездну проблем, которая возникнет, если ее компьютер не заработает, Мэри была просто счастлива, что есть человек, который сможет ей помочь. Через несколько секунд она произнесла:
– На экране появилось окно логина, я набираю мой ID - печатаю - M...A...R...Y...D
– Отлично, – сказал он, – я вижу, что все правильно. Теперь набирайте свой пароль, но ни в коем случае не произносите его вслух. Вы не должны никогда говорить свой пароль никому, даже компьютерным специалистам. Я увижу на своем экране только звездочки - ваш пароль защищен и я не смогу его увидеть.

Все это было неправдой, но для Мэри звучало убедительно. Затем он сказал:

– Дайте мне знать, когда ваш компьютер начнет работать.

Когда она сказала, что компьютер заработал, он попросил ее запустить несколько приложений, и она ответила, что все заработало нормально. Мэри успокоилась, когда увидела, что все идет хорошо. Петер сказал:

– Я очень рад, что ваш компьютер в порядке. А теперь давайте попробуем установить новую программу, которая позволит сотрудникам менять их пароли. Потратьте на меня еще несколько минут вашего драгоценного времени, чтобы убедиться, что все работает нормально, хорошо?

Она была так благодарна, что он ее успокоил ее, поэтому сразу же согласилась. Петер стал диктовать шаги запуска приложения для смены пароля, которое на самом деле является стандартным элементом операционной системы Windows 2000.

– Набирайте свой пароль, – сказал Петер. – Но не называйте его вслух.

Когда она набрала пароль, Петер продолжил:

– Теперь для нашей проверки, когда вас попросят набрать новый пароль, введите «test123» и потом наберите эту строку еще раз в окошечке Verification.

После этого он попросил ее отсоединиться от сервера. Она подождала несколько минут и затем соединилась опять и вошла в свой компьютер с новым паролем. Все работало прекрасно. Петер был удовлетворен и попросил ее поменять этот тестовый пароль на ее первоначальный пароль или на любой другой и еще раз порекомендовал ей никогда не произносить свой пароль вслух.

– Отлично, Мэри, – сказал Петер. – Никаких проблем я не обнаружил и это просто прекрасно. Все же если будут какие-то проблемы, звоните нам в Arbuckle. Я обычно работаю над специальными проектами, но любой, кто вам ответит, сможет помочь.

Она поблагодарила, и они попрощались.

Терминология классифицированных данных

Основываясь на представленной выше классификации, данные распространяются среди нескольких групп людей. Правила политики применяются к информации, которая может попасть в руки неустановленных лиц. В контексте приведенных мною правил, неустановленное лицо – это человек, которого сотрудник не может однозначно идентифицировать себя в качестве служащего компании или лица, имеющего необходимые привилегии для доступа к запрашиваемой информации.
В рамках этой политики – доверенное лицо – это человек, которого вы знаете лично, который является клиентом, сослуживцем или наемным работником и у которого имеются все необходимые привилегии. Доверенным лицом может быть и человек из другой компании, с которой у вашей фирмы установлены надежные связи (например, стратегический партнер, уже подписавший соглашение о неразглашении информации).
Процедура поручительства заключается в том, что доверенное лицо удостоверяет статус некоторого человека и подтверждает, что этот человек имеет привилегии для доступа к информации или все необходимые санкции для совершения некоторого действия. Заметьте, что в рамках некоторых правил, прежде чем заверяться поручительством, необходимо убедиться также и в том, что доверенное лицо все еще является сотрудником компании.
Привилегированная учетная запись – компьютер или другой аккаунт, требующий дополнительные разрешения на доступ помимо основного; такую учетную запись имеет обычно администратор системы. Служащие с привилегированными полномочиями может изменять пользовательские учетные записи или исполнять системные функции.
Общий ящик голосовой почты отдела – это электронный ящик голосовой почты, который отвечает на входящие звонки в отдел. Такая система защищает имена и внутренние телефонные номера служащих отдела.

Терроризм

Без сомнения, искусно обманывать умеют не только социоинженеры. Сейчас, как никогда раньше, мир стал по-настоящему опасным. Цивилизация – это всего лишь тонкая оболочка, которую можно разрушить. И террористы на это способны.
Сентябрьские атаки на Нью-Йорк и Вашингтон посеяли грусть и страх в сердце каждого, не только американца, но и каждого любого здравомыслящего человека. Мы получили предупреждение: хорошо обученные, настойчивые террористы ждут возможности нанести повторный удар.
Усилия, которые предпринимаются государством, не могли не отразиться на сознательности граждан. Мы должны оставаться на стороже, охранять себя от проявлений терроризма. Мы должны понимать, каким образом террорист делает себе фальшивый паспорт и смешивается с толпой, скрываясь под видом добропорядочного гражданина. Плетя заговоры, террористы скрывают свои истинные цели – так, как это делает социоинженер и так, как это описано на страницах этой данной книги.
И пока, поверьте мне, террористы еще не использовали социальную инженерию, ее уловки, против корпораций, водоочистных сооружений, электростанций и прочей жизненно важной инфраструктуры. У них есть потенциал, все не так сложно, но становится трудно осуществимым, если управленцы подкованы в вопросах безопасности и способны регулировать деятельность в строгом соответствии с проработанной политикой безопасности.

Тот, кто звонил Анджеле

Место: Vallery branch, Индустриальный федеральный банк
Время: 11:25 утра.
Анджела Висновски ответила на звонок мужчины, который сообщил ей, что недавно получил хорошее наследство и теперь хочет поподробнее узнать о различных типах накопительных счетов, депозитов и других способов не только сохранить свои деньги в безопасности, но и преумножить их. Она ответила, что таких способов много и было бы лучше, если бы он пришел к ней в офис и обсудил различные возможности. Он ответил, что должен скоро уехать, а у него еще масса дел. Она начала предлагать ему различные варианты, объясняя преимущества тех и других.
Казалось, что дело движется, но собеседник неожиданно сказал, что должен ответить на другой звонок и попросил разрешения перезвонить позднее, осведомившись, когда Анджела уходит на ланч. Она ответила, что в 12:30, он пообещал позвонить завтра до этого времени.

Тот, кто звонил Донне Плейсер

– Добрый день, говорит мистер Ансельмо.
– Чем могу помочь?
– Напомните мне номер, начинающийся с 800, по которому я должен позвонить, чтобы убедиться переведены ли деньги с моего счета?
– Вы клиент нашего банка?
– Да, конечно, я просто давно не пользовался этим номером и не помню, где я его записал
– Это номер 800-555-8600.
– Спасибо.

Тот, кто звонил Луи

Большинство банков имеют внутренние коды безопасности, которые меняются ежедневно. Когда кто-нибудь из одного филиала банка, хочет получить информацию из другого филиала, он должен назвать код текущего дня. Для повышения уровня безопасности в некоторых банках коды меняются по несколько раз в день. В индустриальном банке, о котором идет речь, каждый сотрудник получает список из пяти кодов ежедневно, они помечены буквами от А до Е.
Место: то же самое
Время: 12:48
Луи Хальпберн не подозревал ничего необычного, когда ответил на звонок, совершенно обычный, на десятки подобных которому он отвечает каждую неделю.
– Здравствуйте. Это Нил Вебстер из филиала 3182 в Бостоне. Будьте добры Анджелу Висновски.
– Она обедает. Могу я вам чем-нибудь помочь?
– Да конечно. Она попросила нас послать ей по факсу информацию об одном из наших клиентов.
Голос звонящего звучал так, как будто у него был очень сложный день.
– Человек, который обычно занимается этим, болеет. У меня целая куча подобных дел, у нас уже четыре часа, и мне через полчаса надо идти к врачу...
Задумка социального инженера состоит в том, чтобы вызвать к себе сочувствие. После первой фразы он приступает к делу:
– Черт знает, кто записывал этот номер факса - не могу разобрать - 213 - дальше не читается. Какие там последние цифры?
Луи, естественно, говорит номер факса, тогда звонящий продолжает:
– Хорошо, спасибо. Но перед тем, как я пошлю вам факс, я должен узнать у вас код В.
– Но это вы звоните мне, – отвечает Луи достаточно суровым голосом, чтобы человек из Бостона понял, что имеет дело не с простофилей.
Это хорошо, в свою очередь думает звонящий, что человек не поддался первому нажиму. Если все мои попытки будут удаваться с первого раза, то работа станет слишком простой и я разленюсь.
Он говорит Луи:
– Вы знаете, у нас здесь начальник совсем помешался на безопасности и всегда требует спрашивать код, когда мы посылаем что-нибудь из нашего офиса. Если вам не нужен факс с этой информацией – пожалуйста.
Не надо называть никакого кода.

– Послушайте, – говорит Луи, – Анджела вернется через полчаса или около того, я могу попросить ее перезвонить вам.

– Я сообщу ей, что я не смог послать необходимую информацию, потому что вы не стали называть мне кода. Если я завтра не заболею, тогда я ей перезвоню. И все же на этом послании написано “Очень срочно”. Слушайте, без кода я не могу его вам передать. Пожалуйста, скажите ей, что я пытался это сделать, но вы отказались мне помочь.

Луи находится в раздумье.

– Хорошо, – говорит он, – подождите минуту, я посмотрю в компьютере. Какой код вам нужен?

– Код В, – отвечает звонящий.

Луи кладет трубку и через несколько секунд произносит:

– Код 3184.

– Код неправильный.

– Как неправильный? Правильный. Код В – 3184.

– Я просил Вас не В, а Е.

– Черт побери, подождите еще минуту.

Еще небольшая пауза, пока Луи смотрит значение кода Е:

– Е – 9697.

– 9697 - правильно. Посылаю вам факс.

– Спасибо.

Тот, кто звонил Вальтеру

– Индустриальный федеральный банк, Вальтер слушает.
– Вальтер, привет, это Боб Грабовский из филиала 38 в Студио Сити. Мне надо, чтобы вы прислали образец подписи и карточку одного из счетов по факсу.
В карточке кроме подписи содержится вся информация о владельце счета - номер социальной страховки, дата рождения, девичья фамилия матери, а иногда и номер водительского удостоверения. Очень полезная информация для социального инженера.
– С удовольствием. Назовите код С.
– Послушайте, Вальтер, мой компьютер сейчас занят другим сотрудником, я только что использовал коды В и Е и хорошо помню их. Спросите меня один из них.
– Хорошо, назовите код Е.
– Код Е – 9697.
Через несколько минут Вальтер передает по факсу карточку клиента.

Третий этап: определение необходимости запроса

Допустим, вы установили, что запрашивающий является действующим сотрудником компании или имеет соответствующие своему запросу взаимоотношения с фирмой. Этого не всегда достаточно. Необходимо удостовериться, что человек, с которым вы ведете диалог, располагает необходимыми привилегиями (для получения информации) или санкциями (если требует от вас выполнения каких бы то ни было действий, связанных с компьютерной техникой).
Ваши действия должны соответствовать одной из следующих процедур:
·
Проверка соответствия запроса статусу, должностным обязанностям или принадлежности к рабочей группе. Администрация компании может предоставлять для своих сотрудников своего рода схему сопоставления информации с лицами, имеющими к ней доступ. Эта схема может опираться на должности, отделы, рабочие группы, или на некоторую комбинацию этих условий. Такого рода схемы должны постоянно обновляться и, что немаловажно, вы должны иметь к ним непосредственный доступ в режиме реального времени. Поддерживает и отвечает за такие схемы обычно хранитель информации, о котором упоминалось выше.

Третий звонок: Генри Мак-Кинси

– CreditChex, это Генри Мак-Кинси, чем могу быть полезен?
Звонящий представился служащим банка Нэшнл. Он назвал текущий идентификатор и затем имя и номер страхового свидетельства [sinm6] человека, на которого хотел получить финансовое досье. Генри попросил уточнить дату рождения, и сотрудник банка ответил ему. Через несколько секунд, Генри начал зачитывать информацию со своего дисплея:
– Уэльское отделение Fargo в 1998 заявило о недостаче$$NSF – nonsufficient funds. Недостача, банковский термин, означающий ситуацию, при которой клиент выписывает чек на свое имя, а позже обнаруживается, что сумма банковского счета не способна покрыть этот чек.$$, было это один раз и на сумму 2066 долларов.
– Что-нибудь еще за ним числится?
– Нет, больше ничего.
– Кто еще запрашивал досье на этого человека?
– Сейчас посмотрим. Вот здесь, два запроса и оба за последний месяц. Третий Юнайтед Кредит Юнион в Чикаго.
Генри не смог сразу произнести второе название и прочел его по буквам:
– Шенектеди Мьюшал Инвестментс. В Это в штате Нью-Йорк.

Третий звонок: Помощь врага

Примерно через час, у парня, назвавшегося Эдди Мартин, зазвонил мобильный. Он в этот момент был в магазине электрочастей City Circuit. Посмотрев на номер вызывающего абонента, Эдди сразу понял, что это звонят из компании Shipbuilding, и прежде чем ответить, поспешил в сравнительно тихое место за стеллажами.
– Служба поддержки, Эдди.
– О, Эдди. Плохо слышно – эхо, вы где?
– Я, хм, в аппаратной. Кто говорит?
– Это Том Де Лей. Боже, как хорошо, что я вас нашел. Помните, вы звонили мне пару дней назад? Сеть только что упала, все именно так, как вы и говорили. Я начинаю нервничать.
– Да, сейчас у многих нет соединения. Мы с этим разберемся до завтра. Нормально?
– Нет! Черт, это сильно затормозит работу. Вы можете что-то для меня сделать?
– Сейчас это очень нужно?
– Конкретно сейчас я могу заняться другими делами. Так можно все исправить в ближайшие тридцать минут?
– ПолчасаЗа полчаса?! Ничего лучше придумать не могли?! Хорошо, знаете что, я сейчас отвлекусь на вашу задачу. Посмотрим, может успею.
– О, я очень благодарен за это, Эдди.

Третий звонок: Спасительное «ошиблась номером»

Следующая задача Диди заключается заключалась в том, чтобы превратить код калькуляции – своеобразный джокер в покерном раскладе – в нечто более полезное.
Прежде всего, она перезвонила в отдел по работе с недвижимостью, прикрываясь тем, что ошиблась номером. Она объяснила своему собеседнику, что является рядовым сотрудником компании, который потерял корпоративный справочник и пытается выяснить, где можно раздобыть копию такого справочника. В ответ ей объяснили, что печатная версия безнадежно устарела и лучше посмотреть на интранет-сайте.
Диди более устраивает справочник на бумаге и собеседник советует ей перезвонить в маркетинговый отдел и далее, не дожидаясь вопросов - может быть только потому, чтобы чуть дольше пообщаться с соблазнительным голосом – услужливо нашел и предоставил ей номер этого самого маркетингового отдела.

Трюк с кольцовкой

Каждая телефонная компания обычно раз в год выпускает книжку, которая называется Справочник Тестовых тестовых Номеров номеров (во всяком случае раньше было так, а теперь я не собираюсь это уточнять, находясь на условно-досрочном освобождении и под наблюдением). Фрикеры высоко ценят такие эти справочники, так как в них публикуются номера для служебного пользования внутри телефонной компании, вроде пробных номеров для прозвона магистралей и вечно занятых линий.
Один из таких номеров на телесленге называется кольцовкой
(loop-around) и особенно популярен среди фрикеров, которые используют его для переговоров и поиска своих собратьев в телефонной сети. Кроме того, кольцовку можно использовать в качестве прикрытия, звоня, скажем, в банк. Социоинженер может оставить такой номер сотруднику банка, чтобы тот перезвонил ему «в офис». В результате банкир перезвонит на номер, который перехвачен социоинженером и местоположение которого нельзя отследить.
Короче говоря, справочник тестовых номеров содержит массу крайне заманчивых данных для любого инфоголодного и тестостеронизированного фрикера. Так что появления каждого нового релиза справочника ждут и жаждут массы хакеров, чье хобби – путешествия по телефонным сетям.
Комментарий Митника
Корпоративная политика безопасности обязана предусматривать в своем контексте тренинги по защите информационных ресурсов. И важно здесь то, что эти тренинги должны посещать все служащие компании, а не только те, кто непосредственно работает с IT-ресурсами.

Уборщики

Для любой компании, где охранники не дежурят круглосуточно, большой проблемой становится доступ атакующих в офис в нерабочие часы. Уборщики обычно с уважением относятся к любому представителю компании, который появится в этот момент в офисе. Этот человек может причинить им немало неприятностей, а то и вовсе уволить с работы. По этой причине все уборщики, как работающие в компании, так и приглашенные извне должны быть строго проинструктированы о возможности физического проникновения посторонних лиц на территорию компании.
Работа уборщика не требует никакого специального образования и даже умения говорить по-английски. И если с ними и проводятся инструктаж, то только на тему, какие чистящие средства в каких случаях применять. Чаще всего они не слышат указаний типа: «Если кто-то просит вас впустить его в офис компании в нерабочие часы, то вы должны проверить его документы, позвонить в свой центральный офис, объяснить ситуацию и ждать указаний».
Компании должны разработать план поведения в ситуациях, описанных в этой главе, и соответственно проинструктировать всех людей. Мой личный опыт говорит, что частные компании недостаточно жестко соблюдают именно физический аспект безопасности. Можно попытаться подойти к проблеме с другой стороны и переложить ответственность за ее решение на самих сотрудников компании. Если у вас нет круглосуточной охраны, то ее сотрудники должны знать, что для прохода в офис во внерабочее время они должны пользоваться своими ключами или электронными карточками доступа и никогда не возлагать на уборщиков ответственность принятия решения - кого пускать, а кого - нет. Уборщикам же надо строго настрого запретить пускать кого-либо в нерабочие часы в офис компании. Это достаточно простое правило. Не открывать дверь никому. Такое условие может даже быть вписано в текст контракта с компанией уборщиков.
Также уборщики должны быть ознакомлены с техникой «проскальзывания» за спиной настоящих сотрудников. Нельзя никого пропускать в здание вместе с собой, даже если этот человек выглядит как сотрудник компании.
Кроме того, несколько раз в год осуществляйте проверочное проникновение в здание. Пусть кто-то попытается проникнуть в офис компании, когда там работают уборщики. Для этой нелегкой работы можно привлечь сотрудников определенных компаний, специализирующихся именно на таких работах.

Учитесь доверять с умом

Охранять бизнес от шпионского вторжения должны не только те, кто имеет непосредственное отношение к наиболее ценной документации, как-то разработчики НИОКР или сотрудники бухгалтерии. Каждый человек на фирме должен уметь защищаться и защищать корпорацию от нападений информационных грабителей и вообще от всяких проявлений индустриального шпионажа.
В основе защиты лежат работы по оценке информационных активов предприятия, изучение изучению каждого ценного файла или документа, ознакомление ознакомлению с методами потенциальной компрометации дискредитации этих активов с помощью социальной инженерии. Решение этого всего комплекса проблем позволит разработать адекватный курс – тренинг для сотрудников, работающих с внутренней информацией.
Сделайте так, чтобы ваши сотрудники взяли за правило задавать себе несколько вопросов, когда незнакомец пытается получить информацию или спровоцировать собеседника на манипуляции с компьютером. Если я скажу то, о чем меня просят своему самому страшному врагу, как это может повлиять на мою компанию? Вполне ли я понимаю, что произойдет, если я введу в компьютер команду, о которой меня попросили?
Мы вовсе не желаем жить с постоянным чувством подозрения к каждому новому знакомому. Однако чем более мы доверчивы, тем вероятнее, что очередной появившийся в городе социоинженер сможет заставить нас подарить ему информацию, которой вправе распоряжаться только наша компания и никто больше.

Учиться, учиться и еще раз учиться...

Есть старая шутка про приезжего в Нью-Йорке, который поинтересовался у человека на улице: "Как попасть в Карнеги Холл?". Человек ответил ему: "Старайся, тренируйся, практикуйся." Мы все настолько подвержены угрозе социальной инженерии, что единственный эффективный способ для защиты компании защититься – это обучать и практиковать персонал так, чтобы каждый смог вовремя распознать в собеседнике атакующего.
Служащие должны воспитать в себе некоторое чувство подозрительности и пользоваться этим чувством, контактируя с незнакомыми людьми, особенно если незнакомец старается получить доступ к компьютерам или сети. Человеку свойственно доверять окружающим, но, как говорят японцы, бизнес – это война. И ваш бизнес не может должен позволить позволять себе обезоруживать собственную охрану. Корпоративная политика безопасности должна четко определять соответствующее и несоответствующее поведение людей.
Безопасность не бывает универсальной или всеразмернойподходящей для любого случая. У разных служащих разные должностные роли, разные обязанности, а каждая должность имеет собственные и специфические уязвимости. Помимо общей, начальной программы подготовки, фирма должна позаботиться и о тренингах, ориентированных на отдельные должности, имеющие, помимо специфических уязвимостей, и свои собственные методы защиты. Дополнительные знания должны получать и люди, по долгу своей службы работающие с ценной служебной информацией.

Умные мошенничества

До сего момента вы уже поняли, что когда посторонний человек звонит в компанию с запросом о важной информации или такой, которая может представлять интерес для него, то тот, кто отвечает на звонок, должен следовать специальной инструкции. Сотруднику компании следует спросить телефон звонящего и перезвонить по этому телефону, чтобы убедиться в том, что человек на проводе является сотрудником компании, или партнером по бизнесу, или представителем одного из поставщиков оборудования.
Но даже когда в компании есть четкая процедура для проверки личности звонящего, у опытного хакера в запасе всегда есть несколько приемов для того, чтобы заставить жертву поверить в то, что он действительно тот человек, кем представляется. Даже очень осторожные люди могут быть введены в заблуждение методами, о которых пойдет речь ниже.

Униженный босс

Никому не пришло ничего в голову, когда Харлан Фортис пришел на работу в понедельник утром и сказал, что он забыл дома свой бедж, так как ужасно спешил. Охрана была свидетелем, как Харлан приходил и уходил каждый будний день на протяжении двух лет, что он здесь работает. Женщина-охранник попросила его расписаться за временный бедж, вручила ему этот пропуск, и он пошел своей дорогой.
Только спустя два дня начались неприятности, и ситуация стала выходить из-под контроля. Эта история распространилась по всему отделу со сверхъестественной быстротой. Половина людей, которые слышали ее, говорили, что этого не могло быть. Остальные просто не знали, смеяться ли им или сочувствовать бедняге.
Но, в конце концов, Джордж Адамсонг был добрым и сострадательным человеком, самым лучшим начальником отдела, который когда-либо здесь работал. Он совершенно не заслужил всего того, что с ним случилось. Принимая во внимание, что произошло на самом деле, конечно.
Все началось с того, что Джодж позвонил Харлану в офис в пятницу вечером и очень осторожно сообщил ему, что со следующего понедельника Харлану нужно будет явиться на новую работу. В отдел по санитарии. Это было хуже, чем быть уволенным; это было унижение. Харлан не мог с этим просто так смириться.
Тем же самым вечером он уселся на крыльцо дома и стал наблюдать за движением на дороге, которая проходила рядом с домом. Наконец он увидел соседского мальчишку, Девида, которого все называли «Любитель компьютерных стрелялок». Он возвращался на своем мопеде из школы домой. Харлан остановил Девида, угостил вишневым напитком Маунтен Дью, который он специально приобрел для своей цели, и предложил мальчику сделку: самая последняя модель игровой приставки и шесть игр в обмен на небольшую помощь и обещание молчать.
Затем Харлан объяснил суть проекта, не вдаваясь в детали, которые могли бы его скомпрометировать, и мальчик согласился. Девид описал Харлану, что нужно было сделать. Ему нужно было купить модем, пройти в офис, найти компьютер рядом со свободной телефонной розеткой и подключить туда модем. Затем спрятать модем под столом, чтобы никто его не обнаружил. Потом был опасный момент: Харлану нужно было сесть за компьютер, установить удаленный доступ к компьютерным программам и запустить его. В любой момент мог появиться кто-нибудь, кто работал в этом офисе, или проходящий мимо человек мог заметить его сидящим за чужим компьютером. Харлан был настолько напряжен, что едва смог прочитать инструкцию, которую ему написал мальчишка. Но ему удалось сделать все как надо, и он незаметно улизнул из офиса.

Управленческая политика

Следующие правила приведены для менеджеров компании. Эти правила разделены на категории: «Классификация данных», «Распространение информации», «Администрирование телефонных систем» и «Разное». Для быстрого поиска и идентификации соответствующей процедуры, правила имеют сквозную нумерацию.

Ускоренная загрузка

Через десять лет после окончания юридической школы, Нед Расин наблюдал за своими однокашниками, который жили в симпатичных домах с лужайками перед входом и дважды в неделю играли в гольф, тогда как он разбирался с мизерными проблемами людей, у которых никогда не было денег, чтобы оплатить счета. Зависть – плохой советчик в жизни. И однажды терпению Неда пришел конец.
Ему попался наконец единственный хороший заказчик, с небольшим, но очень успешным консалтинговым бизнесом и специализации на слияниях и приобретениях компаний. Они долго не использовали услуги Неда, достаточно долго для того, чтобы тот понял, что они вовлечены в такие дела, которые, попав на первые страницы газет, могут повлиять на биржевую стоимость нескольких известных компаний. Если бы он только смог проникнуть в их базу данных и понять, над чем они работают в данный момент...
Он знал человека, у которого был знакомый, осведомленный в подобных делах. Он выслушал план Неда, заинтересовался и согласился помочь. За небольшую плату этот человек дал Неду определенные инструкции о том, что предстоит сделать. Кроме того, он дал еще и небольшое устройство, новинку на рынке высоких технологий.
В течение нескольких дней Нед наблюдал за парковкой, расположенной перед неприметным офисом той самой компании. Большинство сотрудников уходило с работы между половиной шестого и шестью часами. К семи офис уже был пуст. В половине восьмого появлялись уборщики. Прекрасно.
Следующим вечером без чего-то восемь Нед припарковал машину на офисной стоянке. Как он и ожидал, офис был пуст, не считая стоявшего перед входом грузовика компании по уборке помещений. Нед приложил ухо к двери и услышал доносящийся оттуда шум работающего пылесоса. На нем был костюм и галстук, а в руке – дорогой портфель. Нед сильно постучал в дверь. Ответа не было, он терпеливо подождал, потом постучал еще раз. Наконец-то дверь открылась, и из-за нее появился уборщик. «Привет», – прокричал Нед через стеклянную дверь, показывая визитную карточку одного из сотрудников, которую он достал чуть раньше. «Я забыл свои ключи в машине и мне надо добраться до рабочего стола».
Мужчина открыл дверь и опять закрыл ее за Недом, после этого он пошел по коридору и включил свет так, чтобы Неду было видно, куда идти. А почему бы и нет - он должен быть вежлив с одним из тех, кто платил ему за работу. Наверняка одна из подобных мыслей шевельнулась в его голове.
Нед сел за компьютер одного из сотрудников и включил его. Затем установил в USB-порт компьютера небольшое устройство - вещицу размером с брелок для ключей, способную содержать, тем не менее, 120 мегабит данных. Он вошел в сеть, используя имя и пароль секретарши, которые были написаны на листке бумаги, прикрепленном к дисплею. Всего за пять минут Нед закончил перекачивать все файлы с таблицами и документами с рабочего компьютера и сетевых папок и отправился домой.

Услужливая Андре

– Кадровый отдел, Андре Коллаген.
– Андре, привет, это Алекс, из Службы Безопасности.
– Да?Слушаю.
– Как дела?
– Хорошо, чем могу помочь?
– Значит так. Мы готовимся к семинару по безопасности для новых служащих и нам нужен материал, на ком испытать программу. Мне нужны имена и телефоны всех новых служащих, нанятых в последние несколько месяцев. Вы можете мне помочь с этим?
– Я займусь этим не раньше полудня. Это подойдет? Ваш добавочный?
– Да, конечно, 52. О, даНо, я практически весь день буду на совещании. Когда в перерыве зайду в офис, я сам вам перезвоню. Примерно через час.
Когда Алекс позвонил, Андре уже собрала всю информацию и зачитала ему имена и телефоны новых сотрудников.

Установка бомбы

Давид заскочил к Харалну тем же вечером после обеда. Они уселись за компьютер Харлана, и мальчишка всего за несколько минут подключился к модему и затем к компьютеру Джорджа Адамсона. Это было совсем несложно, так как у Джорджа никогда не хватало времени на меры предосторожности, такие как смена пароля. Потом он постоянно просил то одного, то другого человека скачать его почту или загрузить файл на его компьютере, и, в конце концов, все в офисе знали его пароль.
После недолгого поиска они наткнулись на файл «Презентация бюджета 2002», который и загрузили на компьютер Харалана. После этого Харалан отправил мальчика домой и сказал вернуться через несколько часов.
Когда Девид вернулся, Харлан попросил его подключиться еще раз к компьютерной системе Дорожного департамента и поместить этот файл, правда слегка измененный, туда же, где они его и нашли. Харалан показал Девиду игровую приставку и пообещал, что если все получится, то Девид получит эти приставку уже на следующий день.

В желании продвинуться по службе

Одним прекрасным осенним утром, Питер Милтон, вошел в зал регионального офиса «Знаменитые автозапчасти» в городе Денвер. Этот офис занимался оптовой торговлей запчастей на авторынке. Питер остановился возле стойки администратора и наблюдал, как молодая леди одновременно записывала посетителя, объясняла по телефону дорогу и разбиралась с курьером из «ЮПС».
– Как вы научились делать столько много дел одновременно? – спросил Питер, когда она освободилась. Она улыбнулась, очевидно довольная, что он это заметил. Питер сказал ей, что работает в отделе маркетинга в городе Даллас, и что у него назначена встреча с Майклом Талботом из отдела продаж компании «Атланта». – Нам нужно будет встретиться с одним клиентом сегодня после обеда. Я тогда подожду его здесь, в зале.
– Маркетинг, – произнесла молодая леди почти с грустью. Питер улыбнулся, ожидая услышать, что она скажет. – Если бы я поступила в колледж, я бы выбрала Маркетинг. Мне бы очень хотелось заниматься маркетингом.
Он снова улыбнулся.
– Кайла, – произнес он, прочитав ее имя на табличке. – У нас в офисе есть женщина, которая работала секретарем. Ей удалось перейти в отдел маркетинга три года назад. А сейчас она уже помощник менеджера по маркетингу, то есть поднялась на 2 ступеньки вверх.
Кайла посмотрела задумчиво. Питер продолжал:
– Вы умеете пользоваться компьютером?
– Конечно, – ответила она.
– Как бы вы отнеслись к тому, если бы я предложил вам работу секретаря в отделе маркетинга?
– Ради этого я бы могла переехать в Даллас, –просияла она.
– Вам понравится Даллас, – произнес Питер. – Я не могу вам пообещать прямо сейчас, но я посмотрю, что смогу сделать.
Она подумала, что этот приятный мужчина в костюме, галстуке, аккуратно подстриженный и хорошо причесанный может сильно изменить ее карьеру.
Питер сел в зале, открыл свой ноутбук и начал работать. Через 10 или 15 минут он подошел к стойке снова.
– Похоже, что Майкл задерживается. Есть ли здесь какая-нибудь комната для переговоров, где я мог бы проверить мою электронную почту пока жду Майкла?
Кайла подозвала человека, который координировал расписание для конференц-залов, и попросила его найти свободную комнату для Питера. Следуя примеру компаний из Силиконовой Долины (возможно, компания «Эппл» первая изобрела это), некоторые переговорные были названы именами героев из мультфильмов, другие именами сетей ресторанов, звезд кино или героев из комиксов. Питеру сказали, что свободна комната Мини Маус. Она попросила его расписаться и сказала, где находится эта комната.
Он нашел комнату и подключил ноутбук к локальной сети компании.
Вы уже поняли?
Правильно – самозванец подключился к сети, минуя межсетевой экран.

Вариации на тему: пластиковые кражи

Борьба за доверие вовсе не обязательно подразумевает долгие телефонные переговоры с жертвой. Я обращаю ваше внимание на другой случай, очевидцем которого я был и который уложился в пять минут.

Вариации на заданную тему

В эру Internet интерента появился новый вид мошенничества, последовательность махинаций, в результате которых пользователь попадает на фальшивый сайт. Приведенный ниже пример отлично иллюстрирует механизм такого жульничества.

Визит в студию

Вы обращали внимание на то, как некоторые люди проходят мимо охранников в какое-нибудь заведение, скажем, в ресторан отеля, где намечается частная вечеринка, пресс-конференция или другое закрытое мероприятие, не показывая никаких документов, и при этом никто их об этом даже и не просит?
Таким же образом и социальный инженер в простом разговоре может выведать у вас множество информации, которую вы сообщите ему, сами о том даже не ведая. Вот хороший пример из киноиндустрии.
– Офис Рона Хиларда, Дороти слушает.
– Дороти, привет. Меня зовут Кил Беллами. Я только что приехал, чтобы работать над мультипликацией в команде Брайана Гласмана. У вас тут все по-другому устроено...
– Я никогда не работала на других студиях, поэтому – не знаю. Чем могу Вам помочь?
– Честно говоря, я чувствую себя не в своей тарелке. Ко мне должен придти вечером сценарист для обсуждения кое-каких дел, но я не знаю, с кем поговорить о том, чтобы организовать нашу встречу. В офисе Брайна есть симпатичные ребята, но мне просто не хочется отрывать их от работы и нагружать своими проблемами. Впечатление такое, будто только поступил в институт и не можешь найти дорогу в туалет, вы понимаете, что я имею в виду?
Дороти смеется.
– Лучше всего обратиться в службу безопасности. Наберите «7», потом «6138». Если трубку возьмет Лоран, скажите, что Дороти просила ее позаботиться о вас.
– Дороти, спасибо огромное! А если я все же не найду мужской туалет, то я еще раз обращусь к Вам за помощью...
Собеседники весело обсуждают эту забавную проблему и кладут трубки, абсолютно удовлетворенные друг другом.

Внедряясь в систему

Принцип использования подобной информации в обмане чиновников или бизнесменов остается прежним: если социоинженер знает, как получить доступ к определенным базам данных или программам, или знает имеет представление об адресациию компьютеров корпорации, он знает, как получить кредит доверия.
Получить в свое расположениеПрисвоить нужную информацию вовсе не сложно, если знаешьпонимаешь, как это сделать. В нашем примере социоинженер должен был бы начать со звонка в телетайп-офис полиции штата. Там можно поинтересоваться чем-то вроде:
– Когда я запрашиваю OFF в базе NCIC, я получаю ошибку ‘Система не работоспособна.’ У вас происходит тоже самое в ответ на команду OFF? Можете для меня проверить?
А может быть, вместо кода преступления (OFF), наш социоинженер попытается выудить данные, опираясь на файл разыскиваемого преступника. Это не столь важно.
Клерк из телетайп-офиса скорее всего подумает, что звонящий отлично разбирается в процедурах общения с базой данных NCIC и прошел специальную подготовку.
После того, как клерк убедится (естественно!) в работоспособности своей системы, разговор может продолжиться примерно следующим образом:
– Мне понадобится помощь.
– Что вы ищите?
– Мне нужна OFF-команда на Рэрдона Мартина. Дата рождения 18.10.66.
– SOSH?
– 700-14-7435.
Изучив список на дисплее компьютера, клерк мог бы ответить так:
– На нем 2602.
Атакующему после этого остается лишь заглянуть в указатель NCIC и сопоставить полученную цифру со следующим следующей фактоминформацией: «За человеком числится уголовное дело о мошенничестве.»
Сленг
SOSH – так в силовых структурах называют номер карты социального страхования в силовых структурах.

Возможноcти: вам звонит президент США

Когда-то я работал в Лос-Анджелесе на радиошоу под названием “Темная сторона Интернета” на KFI Talk Radio, и моим начальником был директор программ по имени Дэвид. Его, как настоящего “трудоголика”, было очень непросто поймать по телефону, потому что он всегда был занят и отвечал на звонок только тогда, когда определитель показывал, что звонит кто-то достойный ответа.
У меня тогда стоял антиопределитель номера на сотовом телефоне, Дэвид не мог понять, кто ему звонит, и никогда не отвечал на мои звонки. Они всегда переправлялись на запись в голосовую почту, и это меня очень раздражало.
Я поговорил об этой проблеме со своим старинным другом, который владел компанией, связанной с недвижимостью, и предоставлял площади под офисы высокотехнологичным конторам. Вместе нам удалось выработать план. У него был доступ к телефонному переключателю Meridian, принадлежащий его компании, что давало возможность программировать номера исходящих телефонных звонков, как было рассказано в предыдущей истории. Когда мне надо было прозвониться к директору, я просил моего друга запрограммировать звонок на какой-либо номер. Иногда я просил, чтобы мой звонок выглядел исходящим от помощника директора, а иногда - от руководства холдинговой компании, которая была собственником радио.
Но наиболее эффективным было перепрограммирование на показ номера домашнего телефона Дэвида, тогда он брал трубку всегда и безо всяких сомнений. Я полагался в таком случае на его чувство юмора: он брал телефон, чтобы поговорить с женой или детьми и слышал мой голос, понимая, что я опять его дурачу. Приятно было, что в таком случае он не сразу бросал трубку и выслушивал все, что я хотел ему сказать.
Я демонстрировал этот фокус на выставке Art Bell Show, когда на телефоне человека, принимающего мой звонок, появлялся номер штаб-квартиры ФБР. Многие люди были напуганы такой акцией и ругали меня за то, что я делаю что-то противозаконное. Но я убедил их, что все абсолютно законно, поскольку я не использую этот обман в своих интересах.
После выставки я получил несколько сотен предложений с просьбой объяснить, как я это сделал. Теперь вы все знаете.

Это уникальная возможность создать кредит доверия для социального инженера. В процессе подготовки аферы атакующий может звонить своим абонентом, представляясь кем угодно и получая от них любую нужную информацию.

Атакующий может позвонить вам домой, представившись сотрудником IТ-департамента вашей компании. Он может попросить ваш пароль для того, чтобы срочно восстановить ваши файлы после отказа сервера. На определителе вашего телефона может появиться телефон вашего банка или брокера и милый женский голос поинтересуется номером вашего счета и девичьей фамилией вашей мамы. Тот же голосок может спросить о пароле вашего доступа для быстрого решения проблем в компьютерной системе. Звонки могут исходить и из таких уважаемых банков как Merril Lynch

или Citibank. Кто-то может позвонить вам из офиса Visa и убедить вас сказать ему номер вашей карточки, не говоря уже о строгих звонках из правоохранительных органов.

Если у вас есть доступ к телефонной системе, плюс некоторый опыт в перепрограммировании, вы можете подшучивать над друзьями как угодно. Если у кого-то из ваших знакомых есть политические амбиции, то ему можно позвонить из “БЕЛОГО ДОМА”!

Он вполне может вообразить, что ему звонит президент США!

Мораль истории очень проста: нельзя доверять определителю номера вашей корпоративной сети, за исключением тех случаев, когда речь идет о звонках внутри компании. Во всех остальных случаях - дома или на работе - надо четко осознавать, что телефонному номеру на определителе верить нельзя.

Все не так надежно, как вам хотелось бы думать

«Администрация компании, которая не задумывается о защите собственной служебной информации – слишком беспечная администрация». Большинство людей думают в этом духе. Жить было бы гораздо проще, если бы все было так очевидно и просто. Правда же заключается в том, что компании, тратящие огромные усилия на защиту информации, все равно остаются под серьезной угрозой.
Здесь изложена история, иллюстрирующая, как компания может обманывать себяобманываться, считая, что их собственные средства безопасности, разработанные опытными профессионалами, не могут быть подавлены преодолены атакующими.

Вступительное слово

Мы, люди, существуем с врожденным желанием познания, желанием изучать природу окружающих нас вещей. Кевин Митник и я – молодые люди, любопытные и жаждущие самоутверждения. Мы получали удовольствие, изучая новое, решая головоломки и выигрывая. И в то же время, окружающий мир учил нас правилам поведения, законам, ограничивающим стремления свободолюбивого исследователя. Для Кулибиных, смельчаков-изобретатетелей, разрушающих стереотипы технологического прогресса, так же как и для Кевина Митника, - это внутреннее стремление к исследованиям позволяет делать то, что кажется невозможным для других.
Кевин Митник – один из лучших людей, с которыми мне приходилось иметь дело. Спросите его и он Вам ответит, что то, чем ему приходилось заниматься – социальная инженерия – это, по сути, не в последнюю очередь[n1], обман  людей. Но тТеперь Кевин уже не социоинженер. А когда им был, то не во вред другим и не для собственной наживы. Это не говорит не о том, что социоинженеры, сами по себе, не представляют угрозы для общества и не являются опасными преступниками. Социальная инженерия, без сомнения, вредоносна.  И Кевин написал эту книгу только для того, чтобы показать, насколько опасны эти люди.
Искусство маскировки[n2] Книга The Art of Deception – искусство лжи
или искусство обмана – доказывает, насколько мы все уязвимы. Правительство, бизнес, каждый человек в отдельности – все может пасть жертвой социоинженера. В современном мире, где безопасность подчас выходит на первый план, на защиту компьютерных сетей и информации тратятся огромные деньги. Деньги тратятся на технологии безопасности. Эта книга объясняет, как просто бывает перехитрить всех защитников и обойти технологическую оборону.
Если Будь Вы бизнесмен или чиновник государственный служащий, Вам несомненно, Вам будет интересно узнать, как работают социоинженеры и как отразить нападение с их стороны. Кевин и его соавтор, Бил Саймон, рассказывают множество специально придуманных историй, которые сами по себе интересны, и более того, раскрывают секреты андеграунда социальной инженерии. Каждая история комментируется авторами, которые дают практические советы по защите от атак, по обеспечению корпоративной  безопасности и снижению информационной угрозы.
Технологическая защита имеет свои бреши, которые надо уметь закрывать. И в этом нам способны помочь такие люди, как Кевин. Прочтите книгу, и Вы, наверняка,  осознаете, что нужно руководствоваться не только привычным пониманием безопасности, но и обращаться за советом к человеку, мыслящему как Кевин Митник.

Второй этап: удостоверение статуса сотрудника

Внимание! Вы подвергаетесь наибольшему риску не со стороны социоинженера или опытного хакера, а со стороны гораздо более близкого для компании человека. Представьте себе только что уволенного сотрудника (или партнера, разорвавшего отношения с вашей фирмой), который мечтает продолжить карьеру за ваш счет.
Прежде чем предоставить хоть сколь либо ценную информацию, проверьте, является ли еще ваш собеседник сотрудником компании.
· Проверка по справочнику. Если на фирме присутствует обновляемый справочник контактной информации сотрудников, сверьтесь с ним.
· Контакт с руководителем. Соединитесь с руководителем запрашивающего по известному вам номеру телефона.
· Контакт с отделом или рабочей группой. Свяжитесь с департаментом инициатора запроса и узнайте, работает ли у них этот человек.

Второй звонок: Джинни

– Спасибо, что позвонили в Студио Видео. Это Джинни. Чем могу вам помочь?
– Привет, Джинни, – звонящий говорил с энтузиазмом и казалось, что он общается с Джинни чуть ли не каждый день. – Это Томми Алиссон, менеджер из магазина 863 по Форест Парк. У меня клиент, который хочет получить Рокки 5, а у нас все копии на руках. Не посмотрите, может у вас есть?
Джинни вернулась через несколько секунд:
– О да, у нас три копии.
– Хорошо, я спрошу, сможет ли он подъехать к вам. Слушайте, спасибо. Если вам вдруг потребуется помощь от нашего магазина, позвоните и спросите Томми. Я буду рад помочь, если смогу, конечно.
В течение нескольких последующих недель Томми звонил Джинни три или четыре раза, то с одним вопросом, то с другим. Это были обычные просьбы, он был вежлив, и не было похоже, что он с ней заигрывает. Кроме всего прочего, он был болтлив: «Слышала о пожаре в Оак Парк? Там все улицы перекрыли». И тому подобное. Его звонки немного разбавляли рутинные дни, и Джинни им была рада.
Однажды Томми позвонил в некотором замешательстве. Они спросил:
–У вас там нет проблем с компьютерами?
– Нет, – ответила Джинни. –А почемучто случилось?
– Один парень разбился о телефонный столб, а техник из телефонной компании сказал, что пока не восстановит линию, часть города останется без телефона и интернета.
– О нет! Человек пострадал?
– Его увезли в реанимацию. Как бы там ни было, мне потребуется помощь. У меня здесь ваш клиент. Он хочет Крестного Отца, вторую часть. И у него нет с собой карточки. Вы можете для меня проверить его данные?
– Да. Конечно.
Томми продиктовал его имя и адрес, а Джинни нашла запись в базе данных, после чего сказала ему номер его счета.
– Возвращал все вовремя? Нет долга на балансе? - спросил Томми.
– Ничего такого не вижу.
– Отлично. Я запишу его от руки на счет в нашем отделе и потом перенесу запись в компьютер, позже, когда восстановят сеть. Он хотел оплатить по карте Visa, которую использовал и у вас, но не может найти эту карту. Скажите мне номер карты и срок действия.
Она произнесла номер и дату окончания действия карты. Томми сказал:
– Слушайте, спасибо. Я еще позвоню, – и повесил трубку.

Второй звонок: Кати

Следующий звонок последовал в другой магазин из этой же сети, но теперь на улице Норд Броад.
– Привет, Электрон Сити. Говорит Кати, чем могу помочь?
– Кати, привет. Это Вильям Хадли из магазина на Вест Джирар. Как у вас дела?
– Вяло. Что случилосьТак себе. А вас как?
– У меня покупатель на одноцентовую программу. Ты понимаешь, о чем я?
– Конечно. Я продала несколько на прошлой неделе.
– У вас еще остались телефоны, которые идут с этим тарифным планом?
– Целая груда.
– Отлично. Я только что продал один. Мы подписали контракт. Я проверил чертов наш запас и оказалось, что этих телефонов уже нет. Мне так неловко. Можешь сделать одолжение? Я отошлю его к вам за телефоном. Сможете продать ему этот телефон за цент и выписать чек? Я сказал ему, чтобы он перезвонил потом с этого телефона, а я подскажу ему, как запрограммировать трубку.
– Да, конечно. Отправляй его к нам.
– Хорошо. Его зовут Тед. Тед Янси.
Когда парень, назвавший себя Тед Янси, очутился в магазине на Норд Броад, Кати выписала товарный чек и продала ему телефон за один цент, ровно как просил ее «коллега». Она заглотила крючок с наживкой, а также леску и грузило.
Пришло время расплачиваться, а у Теда не оказалось мелких монет. Так что Поэтому он протянул руку и взял пенни из блюдца, стоящего около кассы, и протянул его девушке, сидящей за аппаратом. Он получил телефон, не заплатив за него даже одного цента.
Теперь ничто не мешало ему отправиться в любую другую сотовую компанию, которая работала с этой моделью телефона, и выбрать подходящий тарифный план. Желательно помесячный и без абонентской платы.

Второй звонок: Кристина Талберт

– Банк Нэшнл. Отдел открытия новых счетов, это говорит Крис.
– Привет Крис. Это Алекс. Я представляю CreditChex по работе с клиентами. Мы проводим опрос – хотим повысить уровень обслуживания. Вы можете уделить мне пару минут?
Она, Крис, была бы радасогласилась и "Алекс" продолжил:
– Хорошо. По какому графику работает ваше отделение?
Она ответила на этот вопрос, впрочем, как и на все остальные, которые последовали далее.
– Сколько служащих вашего банка непосредственно работают с нашей службой?
– С какой интенсивностью вы запрашиваете CreditChex?
– Какими из наших выделенных 800-х линий вы пользуетесь, звоня по телефону в CreditChex?
– Вежливо ли общаются с вами наши представители?
– Как вы оцениваете нашу оперативность?
– Долго ли вы работаете в этом банке?
– Ваш текущий коммерческий идентификатор идентификатор коммерческого банка?
– Не находили ли вы неточностей в данных, которые поступали от нас?
– Если вы имеете собственные пожелания, касающиеся качества нашей услуги, то не могли бы вы их озвучить?
И последнее:
– Если вам будет угодно, мы пришлем нашу анкету, и вы ее заполните.
Она согласилась, они еще немного поболтали, после чего звонящий повесил трубку, а Крис вернулась к ожидавшим еесвоим делам.

Второй звонок: Парень из IT

Два дня спустя поступил звонок в Сетевой Сетевом Операционный Операционном Центре той же компании раздался звонок.
– Привет, это Боб. Я в офисе Тома Де Лея, бухгалтерия. У нас здесь трудности с сетевой проводкой. Мне нужно отключить порт 6-47.
Парень из IT отдела ответил, что все будет сделано через несколько минут, и что нужно обязательно дать ему знать, когда можно будет включить порт обратно.

Второй звонок: Пегги

Пегги: Счетный отдел. Это Говорит Пегги.
Диди: Привет Пегги. Это Диди из Саузенд Оакс.
П: Привет, Диди.
Д: Как дела?
П: Все в порядке.
Далее Диди воспользовалась хорошо известным в бизнесе термином, который отвечает за код, идентифицирующий расходную часть бюджета определенного подразделения или рабочей группы:
Д: Великолепно. У меня есть вопрос. Как мне выйти на бюро калькуляций отдела?
П: Для этого необходимо связаться с финансовым аналитиком нужного департамента.
Д: Вы знаете финансового аналитика здесь, в центральном офисе Саузенд Оакс? Мне нужно заполнить бланк, иа я не знаю соответствующий код для расчетов.
П: Все что я знаю, это то, что вам для этого нужно перезвонить аналитику.
Д: В вашем отделе, там в Техасе, есть калькуляция?
П: Да, конечно, но они не предоставят нам список других бюро.
Д: Сколько цифр у них в номере? Может это мне поможет. К примеру, какой номер вашего бюро калькуляций?
П: Вы по направлению 9WC или SAT?
Диди абсолютно не представляла себе, что означают эти сокращения и к каким отделам относятся, но это было для нееи не важно. И она ответила первое:
Д: 9WC.
П: Тогда это обычно четыре символа. Откуда говорите вы?
Д: Центральный офис. Саузенд Оакс.
П: Хорошо, здесь всего один номер в Саузенд Оакс. Это 1A5N. N – Нэнси.
Общения с тактичным и желающим помочь человеком оказалось достаточно. Теперь Диди знала код калькуляции нужного ей отдела. А это именно та информация, которую в компании никто должным образом не защищает, так как все уверены, что подобные данные для человека с улицы не представляют никакой ценности.

Эта книга изобилует данными об

Эта книга изобилует данными об информационной безопасности и социальной инженерии.
Первая часть показывает, что такое слабое звено безопасности и почему вы и ваша организация подвержены риску социоинженерной атаки.
Во второй части я попытаюсь объяснить, как именно социоинженер играет на доверии, как он пользуется симпатией и участием окружающих. Истории, раскрывающие атаку в действии, отлично иллюстрируют способность социоинженера скрываться под разными масками. Если вы думаете, что вам не приходилось сталкиваться с чем-то подобным, то вы, скорее всего, ошибаетесь. Увидели в одной из этих историй нечто знакомое? Очень может быть. И если Вы прочтете материал этой части (и особенно главы со второй по девятую), то в следующий раз, я Вас уверяю, будете готовы встретиться с социоинженером во всеоружии.
Третья часть посвящена социоинженерным приемам и тактикам. Здесь рассказывается о том, как социоинженер проникает в чужие владения, как обходит системы безопасности и овладевает секретами, способными разрушить организацию. Сценарии, представленные в этой части, помогут Вам разобраться с угрозами, начиная от мести сотрудника и заканчивая кибер-терроризмом. Если Вы цените конфиденциальность собственной информации, то обязательно прочтите с главы с 10 по 1410-ой по 14-ую главу.
Важно отметить, что все истории из этой книги являются полностью вымышленными, если специально не оговорено обратное.
В четвертой части рассказывается о том, как предотвратить социоинженерные атаки, направленные на организацию. В главе 15 приведена копия удачной программы-тренинга по безопасности. А глава 16 представляет собой политику безопасности, которую можно подстроить для нужд конкретной организации.
В завершение приводится раздел «Принципы безопасности», который содержит всевозможные перечни, таблицы и графики, подытоживающие содержание книги. Эти данные помогут Вам разработать собственную программу подготовки – тренинга по безопасности для сотрудников компании.
В книге присутствует огромное количество полезных, на мой взгляд, вставок: «ЖаргонЛинго»
(Lingo) объясняет специфические термины; «Комментарий Митника» (Mitnick Messages) дает хороший совет по усилению стратегии безопасности; другие примечания предоставляют любопытные данные и дополнительную информацию по тому или иному вопросу.

Высокий класс

Представьте себе, что против крупной фармацевтической компании Pharmomedic выдвинуто серьезное обвинение. Суть его в том, что одно из популярных лекарств дает побочный эффект, воздействие которого проявляется лишь через несколько лет. Эти опасные последствия были выявлены в результате испытаний, но компания утаила результаты и никогда официально не сообщала о них.
Прокурор Вильям (Билли) Чейни, оформивший обвинение от имени Нью-йоркской юридической фирмы, опирался на показания двух медиков – бывших сотрудников Pharmamedic. Правда, оба уже вышли на пенсию, и у них не было никаких документальных доказательств по своему обвинению. Билли понимал, что обвинение покоится на зыбком фундаменте. До тех пор, пока он не получит в свое распоряжение копии одного из докладов о побочных эффектах или же какие-то другие письменные свидетельства их существования, дело обречено на поражение.
Поэтому он обратился за помощью в компанию частных детективов “ Андресон и сыновья”, услугами которой пользовался ранее. Билли не интересовался, каким образом Пит и его коллеги выполняли его задания, он и не хотел этого знать. Он знал лишь, что Пит Андресон - хороший детектив.
Андресон называл такие задания “черным ящиком”. Первое правило подобных работ заключалось в том, что нанимавшие его компании и юридические фирмы никогда не интересовались методами, при помощи которых он получал информацию, и заранее подготавливали убедительные оправдания своего незнания. Если кому-то и предстояло понести наказание за неправомерные действия, то это был только Пит. За этот риск он и получал свои немалые гонорары. Кроме того, он испытывал настоящее наслаждение от того, что ему удавалось перехитрить самых хитрых людей.
Если документы, которые ждет от него Чейни, действительно существуют и не были уничтожены, то они должны содержаться где-то в архивах Pharmomedic. Однако отыскать их среди огромного количества корпоративной информации было бы крайне сложной задачей. С другой стороны, можно предположить, что копии есть в адвокатском бюро Дженкинс и Петри, обслуживающей Pharmomedic. Если эти адвокаты знали о существовании бумаг и не сообщили о них, то они нарушили закон. Осознав это, Пит решил, что его атака будет добрым делом.

Вызов принят

Винни и я ходили вокруг установки, и в голове у меня созрел план. Мы наблюдали за происходящим с некоторого расстояния. К обеду, когда толпа начала редеть, разработчики решили устроить себе небольшой перерыв и пошли перекусить, оставив вместо себя какую-то женщину, которая была либо женой, либо подружкой одного из них. Мы подошли и я начал болтать с ней о всякой ерунде: «Как долго вы работаете в этой компании? Какие еще продукты ваша компания предлагает на рынке?» и т.д.
В это время Винни за пределами ее поля зрения приступил к работе, используя культивируемые нами навыки. Кроме удовольствия от взлома компьютеров, нам с детства обоим нравилось открывать закрытые замки. Еще ребенком я изучил все полки одного небольшого подвального книжного магазинчика в долине Сан-Фернандо, где были собраны книги, посвященные взлому замков, методам освобождения от наручников, изготовлению поддельных документов – в общем, всем тем вещам, о которых детям лучше не знать.
Винни, как и я, усиленно практиковался в открытии различных замков, пока мы с ним не стали экспертами в открытии практически любого из общедоступных замков. Было время, когда я любил найти что-нибудь, запертое для верности на два замка, открыть их и поменять местами, так, чтобы хозяин поволновался, пытаясь открыть замки неправильными ключами.
Итак, я продолжал отвлекать женщину разговорами, а Винни пробрался в заднюю часть экспозиции и открыл комнату, где был расположен миникомпьютер PDP-11 и кабельные соединения. Эту комнату даже трудно было назвать запертой, поскольку замок на ней смог бы без ключа открыть любой человек, а не то, что такие опытные взломщики, как мы.
Винни открыл дверь меньше, чем за минуту. Внутрион обнаружил то, что мы и предполагали: стойку портов для подключения пользовательских терминалов и специальный порт под названием «консольный терминал». Так называют терминал, который использует оператор или системный администратор для управления всеми компьютерами. Винни подключил к этому разъему один из кабелей, который вел к терминалу, расположенному на выставке.

Это означало, что теперь данный терминал стал управляющим терминалом. Я сел за него и вошел в машину, используя одно из имен и паролей столь беззаботно предоставленных организаторами акции. LOCK-11 распознал, что я являюсь системным администратором и предоставил доступ со всеми привилегиями системного администратора. Прежде всего, я изменил настройки операционной системы таким образом, чтобы с любого терминала на выставке я мог бы войти в нее как привилегированный пользователь.

После этих изменений Винни опять зашел в комнату и переключил кабель терминала в его первоначальное положение. Затем он закрыл комнату и повесил замок на место.

Я тем временем вошел в компьютер и начал просматривать его директории, чтобы отыскать файлы и программы, связанные с LOCK-11, и очень быстро наткнулся на нечто неожиданное: на директорию, которой не должно было быть в компьютере. Разработчики были настолько уверены в неуязвимости своей программы, что не позаботились о том, чтобы удалить из компьютера ее исходные коды. На ближайшем принтере я стал распечатывать текст исходного кода программы на длинных листах зеленоватой бумаги, используемой в те времена.

Винни едва успел закрыть дверь и присоединиться ко мне, как хозяева стенда вернулись с обеда. Они увидели меня сидящим за компьютером, в то время как принтер что-то печатал.

– Кевин, что здесь происходит? – спросил один из них.

– Я просто распечатываю коды вашей программы, – честно ответил я.

Естественно, они решили, что я шучу. Так продолжалось недолго: они взглянули на распечатку и обнаружили, что там действительно находятся совершенно секретные коды их программы.

Они просто не поверили, что это возможно и мне удалось войти в систему с правами привилегированного пользователя.

– Нажми Ctrl-T, – скомандовал один из них. Я подчинился. На экране появился текст, подтверждающий мои слова. Парень потрясенно чесал свой затылок, а Винни сказал ему:

– Три сотни долларов, будьте добры.

Они заплатили. Остаток дня мы с Винни разгуливали по выставке со стодолларовыми бумажками за нашими бэджами.Каждый, кто смотрел на нас, понимал, что это значит.

Конечно, на самом деле мы с Винни не взломали их программы, и если бы команда разработчиков тщательней заботилась о правилах проведения соревнования, или использовала бы действительно надежный замок, или следила бы за своим оборудованием более внимательно, они никогда не испытали бы то жуткое разочарование из-за пары подростков.

Позднее я узнал, что у команды разработчиков в тот день возникли проблемы с деньгами: эти триста долларов были их единственными наличными средствами.

Взлом федералов

Часто люди даже не задумываются о том, какие материалы опубликованы на Web-сайте их организации. Например, для моей еженедельной передачи на канале KFI Talk Radio в Лос-Анджелесе, продюсер искал кое-какую информацию в сети и в результате нашел инструкцию по использованию базы данных Национального Информационного Центра по Борьбе с Преступностью (NCIC). Позже он нашел и полный указатель NCIC – служебный документ, в котором приведены все инструкции, необходимые для доступа к информации криминальной базы данных ФБР.
По сути, этот указатель предназначается для «органов» - своеобразное наставление, в котором указаны формат и коды запросов к информации о преступниках и уголовных делах. К базе данных имеют доступ агентства по всей стране, и это, безусловно, неоспоримая помощь в расследованиях любой юрисдикции. В указателе собраны коды поиска в базе данных, коды поиска всего что угодно, начиная от типов татуировок и заканчивая корпусами яхт и номерами похищенных купюр и закладных.
Любой, кто может заглянутьзаглянет в этот указатель, может ознакомиться с синтаксисом и командами обращения к национальной базе данных. Далее, следуя инструкциям из пошагового руководства и приложив некоторые усилия, любой каждый может найти интересующие его данные. В указателе есть и телефоны службы поддержки, где могут помочьокажут помощь в случае возникшей проблемы. В вашей компании тоже могут быть подобные руководства и указатели, скажем, товарных кодов или кодов поиска служебной информации.
В ФБР практически наверняка не знают, что их служебный документ и инструкции доступны в сети, и я не думаю, что они были бы рады об этом узнать. Одна копия «уплыла» из правительственного департамента в штате Орегон, другая – из агентства в Техасе. Почему? Скорее всего, кто-то решил, что эти данные не столь ценны для того, чтобы не опубликовывать их. Возможно, кто-то выложил файл в интранет, даже не подозревая о том, что опубликовал их для всех, кто умеет пользоваться хорошей поисковой машиной вроде Google. Для всех, включая просто любопытных, будущих полицейских, хакеров и мафиозных главарей.

Взлом кода

Как-то раз, в 1978 году, Рифкин оказался в служебном помещении банковского телетайпа. В этой комнате служащие Security Pacific занимались тем, что получениемали и отправкойляли переводыов, дневной объем которых составлял миллиарды долларов.
Доступ в помещение имел только ограниченный круг лиц, но Рифкин работал в компании, которая, по договору с банком, должна была разработать систему резервного копирования для обрабатываемых транзакций, на случай, если головной компьютер выйдет из строя. Роль разработчика дала Стенли Рифкину возможность соприкоснуться с банковскими операциями, в числе которых есть и соответствующая процедура отдачи приказа на перевод денег. Стенли узнал, что должностные лица, отдающие такой приказ, ежедневно получают секретный авторизирующий код, который они обязаны сообщать операционистам банковского телетайпа.
В самом помещении телетайпа дела обстояли так: операционисты, избавив себя от трудностей с запоминанием кода, который менялся каждое утро, записывали его на полоску бумаги. Для большего удобства, эта записка обычно вешалась на видное место. В один из ноябрьских дней Рифкин пришел на работу c конкретной целью – он хотел взглянуть на эту записку.
Появившись в зале телетайпа, он занялся своим обычным делом: составил список примечаний комментариев к рабочим процедурам, предположительно, для того, чтобы увериться в согласованности работы действующих систем с системой резервирования данных. "Случайно" бросив взгляд на кусок бумаги с кодом, он запомнил его, а пятью минутами позже покинул операционный зал. Позже Рифкин скажет, что в тот момент он почувствовал себя так, как будто выиграл в лотерее, что вытащил счастливый лотерейный билет.

Загрузка вредоносного ПО

Некоторые виды вредоносного программного обеспечения – токсичного кода (malicious software, malware) – отличаются тем, что программа взломщика попадает на компьютер и работает абсолютно незаметно для пользователя. Внешне такой токсичный код может выглядеть обычно и невинно – документ Word, презентация PowerPoint или любой другой файл формата, предусматривающего исполнение макросов, которые могут установить или запустить вредоносную программу. Троянский конь, о котором мы говорили в предыдущей главечасти[NM7], - яркий представитель токсичного кода. Такого рода программа, например, может перехватывать все нажатия клавиш и отправлять атакующему по сети все данные о введенных паролях и номерах кредитных карт.
Есть еще пара примеров токсичных программ, которые могут показаться для иного пользователя просто шокирующими. Например, есть программы, позволяющие взломщику слышать каждое произнесенное вами слово, даже если вы уверены, что компьютерный микрофон выключен. Еще хуже, если у вас установлена Web-камера – здесь задействуется применяется аналогичная технология.
Сленг
Токсичный код (malware). Термин, означающий вредоносное программное обеспечение, программы вроде вирусов, сетевых червей и троянских коней, выполняющих разрушительные операции на компьютере.
Комментарий Митника
Бойтесь идиотов, дары приносящих! Иначе вашу фирму постигнет участь Древней Трои. Если сомневаетесь или недоумеваете – защищайтесь.
С другой стороны, может случиться и так, что некий юморной хакер-юморист загрузит на ваш компьютер программу, которая будет постоянно «шалить» и проказничать. Например, будет постоянно открываться и закрываться дверца CD-привода или в самый неудачный момент минимизироваться окно программы, с которой вы работаете. А еще может раздаться крик из динамиков посреди ночи. Это конечно не смешно, особенно если вы спите или пытаетесь закончить срочную работу... Но, по крайней мере, это совсем не опасно.

это фокус всех атак социальных

Пароли - это фокус всех атак социальных инженеров, поэтому мы отдельно поговорим на эту тему в главе 16, где будут изложены специальные политики по работе с паролями.

Заметая следы

Правда, перед этим Артуро предстояло совершить еще несколько шагов. Всегда надо быть готовым к тому, что когда ты придешь за факсом, тебя будет ожидать несколько детективов. Артуро перезвонил в секретариат и проверил - отправлен ли факс.
Он позвонил еще в один копировальный салон в том же районе города и использовал такой обманный ход, сказав:
– Я так доволен вашей работой, что хочу написать благодарственное письмо руководителю, кстати, как его зовут?
Получив в свое распоряжение эту информацию, он позвонил в первый копировальный салон и сказал, что хочет поговорить с начальником. Когда тот взял трубку, Артуро сказал:
– Привет, это Эдвард из соседнего копировального салона. Моя сотрудница попросила позвонить вам. У нас тут рассерженный клиент, которому дали неправильный номер факса: он ждет его в нашем офисе, а факс отослали к вам.
Менеджер пообещал как можно быстрее передать факс во второй салон. Артуро с нетерпением ждал этот долгожданный факс во втором салоне. Как только он получил его, он позвонил в секретариат и поблагодарил сотрудниц за пересылку факса, кроме того, он попросил «не относить оригиналы назад наверх, а просто выкинуть их». Затем он позвонил в первый копировальный салон, тоже поблагодарил сотрудников и попросил выкинуть их копии факсов. Таким образом, он гарантировал, что не осталось следов его активности, если вдруг в дальнейшем возникнут вопросы по этому поводу. Социальный инженер знает, что нужно всегда быть предельно предусмотрительным.
Организовав все описанным выше образом, Артуро даже и не подумал заплатить копировальному салону за получение факса и за пересылку его во второй салон. И если бы полиция добралась до первого копировального салона, то факс уже был в руках Артуро, и прошло бы немало времени прежде чем полицейские смогли добраться до второго салона.
Итог все истории: полученные документы показали Артуро, что у полиции есть документальные свидетельства его деятельности по переписыанию фильмов. Это ему было очень важно знать. Еще до полуночи он благополучно пересек границу штата, и направлялся навстречу новой жизни, с новым именем, готовый к началу новой деятельности.

Заправка жертвы

Итак – полпути к цели были пройдены. Теперь Гарри и Карл должны были подождать и убедиться, что файл прибыл на место. В процессе этого ожидания они подошли к столу инструктора и предприняли другие необходимые шаги. Первый – это была организация анонимного FTP-сервера на его компьютере, который должен служить окончательным местом назначения для файла.
Второй шаг должен был обеспечить решение еще одной непростой проблемы. Естественно, они могли сказать технику в Центре разработки, что файл надо пересылать на адрес типа warren@rms.ca.edu. Все знают (даже полусонный техник в Центре разработки), что расширение edu имеют компьютеры, расположенные в школах, а это могло сразу сорвать всю операцию. Чтобы избежать этого, они зашли в систему Windows компьютера инструктора и посмотрели на IP-адрес машины, который они и дали в качестве адреса для пересылки файла.
Пришло время звонить технику в Вычислительный центр центра разработки. Гарри сказал ему: “Я только что переслал файл, о котором предупреждал вас; проверьте, что вы его получили”. Да, файл прибыл на место. Гарри попросил переслать его и дал IP-адрес. Он не клал телефонную трубку до тех пор, пока техник не установил соединения и не начал пересылать файл – они заметили, как на компьютере инструктора замигала лампочка, связанная с работой жесткого диска.
Гарри обменялся с техником несколькими замечаниями по поводу того, что настанет день, когда компьютеры и их периферия будут более надежными, поблагодарил и попрощался.
Двое злоумышленников скопировали файл из компьютера инструктора на пару дисков, чтобы потом полюбоваться им. Как это делают злоумышленники, укравшие картину из музея. За исключением того, что в данном случае они имели дубликаты «картины», а музей по-прежнему обладал оригиналом.
Затем Карл научил Гарри, как удалить все следы FTP-сервера из компьютера инструктора, так, чтобы не было никаких следов пребывания за исключением украденного файла, лежащего на видном месте.
В заключение, они выложили часть кода в Usenet
непосредственно с компьютера инструктора. Совсем небольшую часть, чтобы не нанести большого вреда компании, но оставив четкие следы, ведущие к машине инструктора. Ему будет очень трудно объяснить все эти следы.

Запросы от доверенных лиц

Запрос на получение информации или на совершение действия со стороны доверенного лица может требовать:
·
Удостоверения в том, что запрашивающий является действующим сотрудником компании или имеет отношение к компании, причем эти отношения подразумевают наличие привилегий на получение запрашиваемой информации.
· Удостоверения в том, что запрашивающий имеет отношение к информации и авторизован на получение этой информации.

Запросы от неустановленных лиц

При получении запроса от неустановленного лица, должна быть пройдена процедура удостоверения человека, и прав на получение запрашиваемой информации, особенно если запрос касается компьютеров или любого другого электронного оборудования. Это основополагающая процедура, позволяющая предотвратить социоинженерную атаку. Если следовать изложенным ниже правилам, то эффективность противодействия шпионажу автоматически возрастает.
Важно чтобы процедуры удостоверения были оправданы с точки зрения затрачиваемых средств, т.е. они должны быть рентабельными. Кроме того, процедурные правила также должны быть не слишком обременительными для сотрудников.
Процесс удостоверения состоит из трех этапов, на каждом из которых необходимо давать ответы на следующие простые вопросы:
· Идентификация: является ли запрашивающий тем, за кого он себя выдает?
· Статус: работает ли он сейчас в компании (имеет ли он соответствующие связи с компанией)?
· Необходимость: имеет ли он все необходимые полномочия на получение запрашиваемой информации?

Защищая данные

Истории, рассказанные в этой главе, демонстрируют насколько опасно посылать файл тому, кого вы не знаете, даже если этот человек является (или хочет казаться) сотрудником, и файлы пересылаются по внутренним путям, по электронным адресам или номерам факсов внутри компании.
Политика безопасности компании должна особое внимание уделять защите тех данных, которые пересылаются неизвестным адресатам. Должны быть определены процедуры для пересылки файлов с особо ценной информацией. Если запрос исходит от того, кто лично неизвестен владельцу информации, должны быть предприняты шаги для проверки адресата на разных уровнях аутентификации в зависимости от важности информации.
Вот некоторые способы для этого:
·
надо понять, насколько необходима информация (что может потребовать авторизацию со стороны владельца информации);
· постоянно вести записи любой активности на уровне людей и департаментов;
· создать список людей, которые специально обучены для действий в таких сложных условиях и могут принимать решения о посылке важной информации; надо сделать так, чтобы только эти люди могли пересылать информацию за пределы компании;
· если запрос на посылку данных пришел в письменной форме (факс, электронная почта или обычное письмо), следует предпринять дополнительные меры безопасности, чтобы убедиться в том, что запрос действительно пришел от того лица, которое указано его отправителем.

Защищайте собственных клиентов

В наше электронное время многие компании, работающие с конечными потребителями, хранят у себя информацию о кредитных картах. Для этого есть свои причины, например, экономия времени и нервов покупателя, которому не приходится каждый раз вводить свою кредитную информациюсвои кредитные данные, сопровождая очередную покупку в магазине, баре или на Web-сайте. Однако эта практика не совсем всегда себя оправдывает себя.
Если вам необходимо хранить номера кредитных карт, то процесс обеспечения безопасности идет куда дальше, чем шифрование и разграничение доступа. Сотрудники должны знать, как им «вычислить» социоинженера, действующего по сценариям, описанным в этой главе. Тот «коллега», которого вы никогда не встречали, но который вдруг стал вашим телефонным знакомым, вполне возможно вовсе не тот, за кого себя выдает. И ему «нет надобности» в доступе к служебной информации хотя бы потому, что он на самом деле не работает в вашей фирме.
Комментарий Митника
Каждый должен уяснить для себя modus operandi (образ действия) социоинженера: собери о мишени как можно больше информации и используй полученные данные, чтобы войти в доверие в качестве отлично осведомленного человека. Затем кончай прикончи его!

Защищайте свою сеть

Сотрудники компании должны осознать, что даже название сети или имя сервера - отнюдь не тривиальная информация. Наоборот, владение ей и умелое использование, может помочь атакующему получить доступ к нужной информации.
Особо аккуратными должны быть администраторы баз данных, поскольку они имеют доступ к любой информации и должны руководствоваться особо строгими правилами при общении с людьми, которые просят у них советов или сведений.
Сотрудники отдела технического обслуживания компьютеров должны очень четко знать, какие типы запросов являются подозрительными и могут быть отнесены к атакам социальных инженеров.
И все же - все равно атаки бывают успешными. Взять хотя бы последний случай. С точки зрения администратора базы данных звонок абсолютно не подозрительный: человек звонит с территории университета, причем с компьютера, нахождение в котором требует знания логина и пароля. Этот пример еще больше убеждает в том, что должны быть выработаны стандартные процедуры проверки личности того человека, который запрашивает информацию, особенно, если он просит о помощи в доступе к конфиденциальной информации (как и было в данном случае).
Все перечисленные соображения должны быть удвоены, а то и утроены при получении запросов из колледжей и университетов. Ни для кого не секрет, что занятие хакерством очень популярно в студенческой среде, а информация о студентах - популярная мишень. Угроза со стороны университетов настолько реальна, что многие корпорации рассматривают университеты в качестве потенциальных источников атак и создают для своих сетевых экранов жесткие правила: не допускать в систему никого, кто имеет компьютерный адрес образовательного учреждения, то есть, с расширением .edu.
В общем, итогом всех наших рассуждений должен стать простой вывод: все сведения о студентах должны быть причислены к потенциальным мишеням для атак и потому особенно хорошо защищаться.

Защита в нерабочее время

Все сотрудники, забывшие дома свои корпоративные “бэджи”, должны обратиться к секретарю или в службу безопасности для получения временных карточек на один день. События в первой истории этой главы могли бы развиваться совсем иначе, если бы охранник компании имел строгие инструкции, как действовать при отсутствии пропуска у визитера.
Для некоторых площадей внутри компании, где обеспечивается не очень высокий уровень безопасности, не имеет смысла настаивать, чтобы сотрудники всегда носили свои “бэджи” на виду. Но в компаниях, где есть области с ограниченным доступом, это правило должно неукоснительно выполняться. Все сотрудники должны быть специально предупреждены о том, что человека без такого “бэджа” надо остановить и попросить предъявить документы. А топ-менеджеры компании должны быть специально предупреждены, чтобы не встречать в штыки такие вопросы от своих же подчиненных.
В политику компании следует включить список наказаний для тех сотрудников, кто регулярно забывает свои “бэджи”; эти наказания могут состоять в отсылке сотрудника домой без сохранения оплаты или записи в личном деле о прогуле. В некоторых компаниях предусмотрены даже более суровые наказания, включая доклад руководству, если нарушение повторяется регулярно.
Кроме того, если в компании есть информация, доступ к которой должен быть ограничен, надо разработать четкую схему доступа к ней в нерабочие часы. Рекомендуется регулировать этот процесс при помощи службы безопасности или некоторой другой группы специально подготовленных людей. Эти люди должны будут тщательно проверять личность любого сотрудника, стремящегося проникнуть в офис во внерабочее время при помощи звонка одному из руководителей компании или другими доступными методами.

Жаргон

Конфетная безопасность (candy security) – термин, придуманный Белловином и Чесвиком из Bell Labs
для описания сценария безопасности, в котором внешний периметр, такой как брандмауэр, сильный, но внутренняя структура слабая. Этот термин произошел из-за сравнения с карамелью M&M, имеющей твердую внешнюю оболочку и мягкий центр.

Speakeasy-безопасность – безопасность, которая основывается на знании места, где находится желаемая информация и использовании ключевого слова или имени для получения доступа к данным или компьютерной системе.


Безопасность через незаметность (Security through obscurity) – неэффективный метод обеспечения компьютерной безопасности в котором надеются на сохранение в секрете подробностей того, как функционирует система (протоколы, алгоритмы и внутренние системы). Security through obscurity полагается на неверное предположение, что никто, кроме человека из доверенной группы, не сможет проникнуть в систему.


Двухфакторная идентификация (two-factor authentication) – использование двух различных типов идентификации для проверки личности. Например, лицо может идентифицировать себя, позвонив из заранее определенного места и знать определенный пароль.
Возвращаясь к нашей истории, в компании, производящей радиосистемы безопасности, каждый работник для доступа к компьютеру и сети, имеет свой логин и пароль, а также дополнительное электронное устройство – Secure ID. Это, так называемый, временной жетон или жетон безопасности. Такие жетоны бывают двух типов: одни размером с половину кредитной карты, но немного толще; другие достаточно маленькие, в виде брелока, который человек может просто повесить на цепочку с ключами.
Пришедшее из мира криптографии, это особое приспособление – временной жетон безопасности – имеет маленькое окошко, в котором высвечивается набор из шести цифр. Каждые шестьдесят секунд содержимое дисплея меняется и на экран выводится другое шестизначное число. Когда уполномоченному лицу нужен доступ из внешней сети, он должен сначала идентифицировать себя, набрав личный PIN-код и затем шесть цифр с этого устройства-жетона. После проверки внутренней системой, сотрудник затем идентифицирует себя с помощью имени пользователя и пароля.
И вот, для того, чтобы молодой хакер Дэнни получил желанные исходные коды, он должен не только вскрыть информацию о некоторых именах пользователей и паролях, но также перехитрить временной жетон.
Преодолеть двухфакторную идентификацию временного жетона совместно с секретным PIN-кодом пользователя звучит подобно требованию назвать пароль в фильме Миссия невыполнима (Mission Impossible). Но для социоинженеров, такое требование подобно раскрыванию игральной карты игроком в покер, который обычно умеет расколоть своего противника. Когда он садится за игорный стол, то знает, что с помощью маленькой удачи он, вероятно, уйдет с большой кучей чужих денег.

Жулик по имени Стив

Обычно телефонные компании следят за своими служебными справочниками и подержать такую книжку в руках удается далеко не каждому. Фрикерам приходится изворачиваться. Как? Повернутый на справочнике молодецОдержимый желанием заполучить справочник может действовать примерно следующим образом.
lllllllllllllll
Однажды тихим южно-калифорнийским осенним вечером парень, которого я назову Стиви, позвонил в центральную контору одной небольшой телефонной компании. Это та контора, из здания которой телефонные линии разбегаются по частным домам и офисам зоны обслуживания.
Трубку поднял дежурный оператор, Стиви представился служащим отдела, занимающегося производством и доставкой печатных материалов, и сказал:
– У нас готова новая версия справочника тестовых номеров. Но благодаря правилам службы безопасности мы не можем привезти его, пока не заберем предыдущий. Курьер как обычно не справляется и опаздывает. Если вы оставите старый справочник за дверью на пороге, он заедет по дороге домой, быстро заберет его и оставит новый.
Наивному оператору такое состояние дел показалось справедливым. Он все сделал так, как ему сказали. Вышел и положил под дверь справочник, на обложке которого большими красными буквами было написано «КОНФИДЕНЦИАЛЬНО – ПО ИСТЕЧЕНИИ СРОКА ДЕЙСТВИЯ УНИЧТОЖИТЬ».
Стиви подъехал и внимательно осмотрелся в поисках рыскающей охраны, подозрительных машин в паркинге или прячущихся в кусках копов. Никого. Он быстро подобрал справочник и скрылся.
Еще один пример того, насколько просто бывает получить желаемое, следуя принципу «стоит-только-попросить».

Жульничество

Я не рекомендую никому пытаться повторить описанный способ действий, чтобы обмануть систему регистрации штрафов (во всяком случае, не делайте это из дома). Но это хороший пример того, как социальный инженер использует искусство обмана для достижения своих целей.
Давайте назовем нашего героя Поль Дюруа.

Злоупотребление доверием

В большинстве случаев, преуспевающий социоинженер – это личность, наделенная незаурядными способностями: приятныйая, вежливыйая, харизматичныйая личностьчеловек, без труда устанавливающийая взаимоотношения и легко входящийая в доверие к окружающим. Опытный социоинженер, обладающий такими качествами и умеющий грамотно ими пользоваться такими качествами, может получить доступ практически к любой информации.
В основе технологии информационной защиты лежат тщательным образом проработанные решения, направленные на реальное снижение, минимизацию риска, связанного с использованием компьютера. Но при этом за рамками технических решений остается одна из важнейшихая уязвимостейь – человеческий фактор. Несмотря на интеллект, мы - люди, а не машины, и, вместе с тем представляем друг для друга самую серьезную угрозу безопасности.

Звонок Анне

– Финансовый отдел, Анна слушает.
– Как приятно узнать, что кто-то еще работает так поздно. Говорит Рон Витаро, издатель бизнес-подразделения. Мне кажется, мы не знакомы. Добро пожаловать в наш коллектив.
– Спасибо большое.
– Анна, я сейчас в Лос-Анджелесе и у меня серьезные проблемы. Мне нужна ваша помощь минут на десять.
– Конечно, я все сделаю. Чем могу помочь?
– Пожалуйста, поднимитесь в мой офис - вы знаете, где он находится?
– Нет.
– Это угловая комната на 15 этаже - офис 1502. Я туда вам перезвоню через несколько минут. Когда войдете, отключите автоответчик, чтобы мой звонок дошел туда.
– Хорошо, я уже иду.
Через десять минуть она оказывается в указанном офисе, отключает его автоотчетчик и ждет звонка. Он звонит и просит ее войти в Интернет. Когда она выполняет просьбу, он просит зайти на сайт www.geocites.com/ron_insen/manuscript.doc.exe.
Открывается диалоговое окно, и он просит ее нажать на кнопку «Открыть». Компьютер начинает загружать какой-то текст, но в процессе загрузки экран гаснет. Она сообщает, что что-то не так.
– О господи, нет, опять проблемы! У меня уже были проблемы с загрузкой этого текста с Интернет-сайта довольно часто, но я думал, что эти проблемы уже решены. Ладно, не берите в голову, я получу этот файл другим путем.
Затем он просит ее перезапустить компьютер, чтобы быть уверенным, что тот нормально работает после всего, что случилось. Он объясняет ей, как надо перезапускать его компьютер.
Когда выясняется, что компьютер опять работает нормально, он от души благодарит ее и кладет трубку. Анна возвращается в свой финансовый отдел, чтобы закончить работу, от которой ее оторвал этот звонок.

Звонок Питеру Абелью на проводе

– Привет, – произнес голос на На другом конце провода голос произнес простое «Привет». – Это Том из Паркхест Трэвел. Ваши билеты в Сан Франциско готовы. Вы хотите, чтобы мы их вам доставили, или сами заедите за ними?
– Сан-Франциско?! – воскликнул Питер. – Но я не собирался в Сан-Франциско.
– Я говорю с Питером Абелем?
– Да, но я никуда не собираюсь.
– Однако, – с долей иронии говорит звонящий, – Вы уверены, что не хотите ехать в Сан-Франциско?
– Если так, то поговорите об этом с моим начальником... – подыгрывая, отвечает Питер.
– Загадка какая-то, – отвечает звонящий. – Все заявки в нашей системе привязаны к номеру служащего. Может кто-то сказал нам не тот номер? Ваш номер какой?
Питер озвучил свой номер. А почему бы и нет? Этот номер он записывал практически на каждом бланке, куча сотрудников знает этот номер – кадровый отдел, бухгалтерия и (почему бы и нет) он может быть известен туристическому агентству, с которым работает его офис. Никто не считает собственный номер секретом. Какая разница?
На этот вопрос ответить более чем просто. Вполне возможно, что два или три фрагмента «незначительных» данных приведут к тому, что социальный инженер сможет эффективно прикрываться вашим именем. Узнает ваше имя, внутренний телефон, номер служащего, и, на всякий случай, имя вашего начальника и его телефон. Этого достаточно даже шпиону средней руки, чтобы комфортно себя чувствовать и правдиво выглядеть в глазах следующей жертвы.
Если вчера вам позвонил кто-то, кто представился коллегой из другого отдела вашей компании, назвал причину своего звонка и спросил у вас ваш номер служащего, то что вам мешало ответить ему?
И, - кстати будет спросить, - какой номер вашего паспортавашей социальной карты?
Комментарий Митника
Мораль сей басни такова – если вам незнаком голос запрашивающего информацию или если вы не уверены, что запрашивающий имеет право на получение информации, то ни при каких обстоятельствах не говорите ему идентификаторы, равно как личные или служебные данные.

Звонок Саре

– Отдел кадров, Сара слушает.
– Привет, Сара. Это Джордж из гаража. Вы представляете себе карточку доступа, которой пользуетесь при входе на корпоративную парковку и в лифт? У нас есть некоторые проблемы, и нам надо перепрограммировать карточки тех, кого приняли на работу за последние две недели.
– Вам нужны их имена?
– Да, и номера телефонов.
– Мне надо уточнить список, тогда я вам перезвоню. Какой номер вашего телефона?
– Это 73... Слушайте, мне надо бежать на встречу, лучше я вам перезвоню через полчаса, идет?
– Хорошо.
Когда он перезвонил, она сообщила ему:
– У нас двое новичков: Анна Миртл, секретарь в финансовом отделе и г-н Андервуд, вице-президент.
– А их телефоны?
– Да, конечно, у г-на Андервуда 6973, а у Анны Миртл – 2127.
– Спасибо, Сара, вы очень помогли мне.

Звонок в DMV

Около восьми утра его телефон впервые зазвонил. Ситуация была очень интересной: социальный инженер Эрик внимательно выслушивал звонок кого-то из правоохранительных органов, тех людей, кто имел все права арестовать его и посадить в тюрьму – разговор надо было вести с большим мастерством.
И - началось. Звонил не один полицейский, а целая вереница их. Когда Эрик сидел с приятелями в ресторане, телефон трещал каждые пять минут, и Эрику приходилось даже кое-что записывать на салфетке одолженной у соседа ручкой. Он вошел в роль и даже постоянный обман полиции не пугал его, а только добавлял остроты в происходящее.
Вот типичный звонок.
«DMV, чем могу помочь?»
«Это детектив Эндрю Коул»
«Да, детектив, чем могу быть полезен?»
«Мне нужен «фоторобот» водительских прав 005602789», - так на своем жаргоне полицейские называют фотографию владельца – этот термин используется, когда нет фотографии подозреваемого, а есть лишь словесное описание.
«С удовольствием, - говорит Эрик – Из какого вы агентства?»
«Jefferson County». Далее Эрик задает самые важные вопросы – код запроса, номер водительских прав и дату рождения – и, естественно, получает на них ответа.
Эрик некоторое время молчит, как бы проверяя полученную информацию, потом говорит, что все в порядке и опять замолкает, на этот раз имитируя поиск информации, подтверждая его кликаньем клавиш компьютера. Через некоторое время он виновато говорит: «О, черт, мой компьютер опять завис. Ради бога простите, детектив, но эта чертова машина барахлит весь день. Перезвоните, вам с удовольствием поможет мой коллега.»
Это надо проговорить очень убедительно, чтобы не вызвать подозрений у собеседника. В результате у Эрика есть все необходимое для того, чтобы извлечь из DMV любую нужную ему информацию.
После сбора десятка таких «украденных идентификаций» в течение нескольких часов, Эрик соединяется с телефонной станцией и отключает перевод звонка.
В течение нескольких месяцев после успешно проведенной операции он получает возможность выполнять заказы частных детективных агентств, которые не интересуются тем, как он достает информацию. По мере необходимости он всегда может подключиться к телефонной станции опять и обновить список сведений о полицейских офицерах для дальнейшей работы.



    Имидж бизнеса: Лидерство - Конфликтология

• Имидж бизнеса
  
• Стиль и имидж бизнеса
  
  
• Лидерство
  
• Психология лидерства
  
  
• Конфликтология
  
• Разновидности конфликтов
  
• Психология конфликта