|
Митник Кевин. Искусство обмана.Категория: Библиотека » Ложь и её выявление. | Просмотров: 14141
Автор: Митник Кевин.
Название: Искусство обмана. Формат: HTML, RTF Язык: Русский Скачать по прямой ссылке Анализ обмана
Людям естественно доверять в более высокой степени коллеге, который что то просит, и знает процедуры компании, жаргон. Социальный инженер в этом рассказе воспользовался преимуществом, узнав детали компании, выдавая себя за служащего компании, и прося помощи в другом филиале. Это случается между филиалами магазинов и между отделами в компании, люди физически разделяются и общаются по телефону, никогда не встречая друг друга. Взлом федералов Люди часто не думают, какие материалы их организации доступны через Интернет. Для моего еженедельного шоу на KFI Talk Radio, в Лос Анджелесе продюсер покопался в сети и обнаружил копию руководства для получения доступа к базам данных Национального Центра Информационных Преступлений. Позже он обнаруживал реально работающее руководство NCIC, секретный документ, который дает возможность для поиска информации из национальной базы данных FBI. Руководство является справочником для агентств силовых ведомств, который дает коды для поиска информации о преступниках и преступлениях из национальной базы данных. Агентства всей страны могут найти ту же базу данных для информации, для помощи, в борьбе с преступностью в своей юрисдикции. Руководство содержит коды, использованные в базе данных начиная с татуировок, заканчивая маркировкой украденных денег и обязательств. Любой с доступом к руководству может найти синтаксис и команды, чтобы получить информацию из национальной базы данных. Затем, следуя инструкциям из руководства, каждый может извлечь информацию из базы данных. Руководство также дает телефонные номера технической поддержки в системы. Вы можете иметь аналогичные описания в вашей компании, предлагающей коды продуктов или коды для доступа к важной секретной информации. Несомненно, ФБР бы никогда не обнаружило, что их важнейшие руководства и инструкции доступны для каждого в сети, и я не думаю, что они были бы очень счастливы, узнав об этом. Одна копия была опубликована государственным отделом в Орегоне, другая правоохранительными органами в Техасе. Почему? В каждом случае, они, вероятно, подумали, что информация не была важна и, став доступной, она не могла причинить вред. Может быть, кто то поместил это в их внутренней сети для удобства собственным служащим, иногда не понимая, что информация стала доступна для любого в Интернет, кто имеет доступ к хорошей поисковой машине, как, например, Google – включая просто любопытных, продажных полицейский, хакеров, и преступные организации. Подключение к системе Принцип использования такой информации для обмана кого то в государственной или коммерческой организации тот же: поскольку социальный инженер знает, как получить доступ к специальным базам данных или приложениям, или узнать имена серверов компании, жертвы начинают полагать, что он говорит правду. И это ведет к доверию. Если социального инженера есть такие коды, то получение информации для него – легкий процесс. В этом примере, он мог начать со звонка служащему местного полицейского управления, и задать вопросы относительно одного из кодов в руководстве – например, код правонарушения. Он мог, например, говорить «когда я делаю запрос в NCIC, я получаю ошибку „Системная ошибка“. Вы получаете то же самое, делая запрос? Вы не могли бы пробовать это для меня?» Или он может сказать, что попытался найти wpf – на полицейском жаргоне файл на разыскиваемую особу. Служащий на другом конце телефона узнает по жаргону, что звонящий знаком с процедурами и командами запросов в базе данных NCIC. Кто еще кроме служащих может знать такие тонкости? После того, как служащий подтвердит, что система работает хорошо, разговор мог быть приблизительно таким: «Я мог бы вам немножко помочь. Что Вы ищете»? «Мне нужно сделать запрос про Редрона, Мартина. Дата рождения 10/18/66.» «Что какой у него SOSH?» (Служители закона иногда ссылаются на номер социального страхования как SOSH .) «700 14 7435.» После просмотра листинга, он могла бы сказать, например, «Его номер – 2602.» Атакующий должен только посмотреть в базе NCIC, чтобы узнать значение числа: какие преступления совершил человек. Анализ обмана Совершенный социальный инженер не остановится ни на минуту, чтобы обдумывать пути взлома базы данных NCIC. А зачем задумываться, когда он просто позвонил в местный полицейский отдел, спокойно говорил, и звучал убедительно, будто он работает в компании, – и это все, что потребовалось, чтобы получить нужную ему информацию? И в следующий раз, он просто позвонит в другой полицейский участок и использует тот же предлог. LINGO SOSH – сленг правоохранительных органов для номера социального страхования. Вы могли удивиться, не рискованно ли позвонить полицейский участок, офис шерифа, или в офис дорожного патруля? Не сильно ли атакующий рискует? Ответ – нет… и по особой причине. Служители закона, подобно военным, имеют укоренившееся в них из первого дня в академии отношение к высшим или низшим по званию (рангу). Пока социальный инженер выдает себя сержантом или лейтенантом – т.е человеком с более высоким званием, чем тот, с кем он общается – жертвой будет управлять этот хорошо запомненный урок, который говорит, что вы не должны задавать вопросы людям, что выше вас званием. Звание, другими словами, имеет привилегии над теми, у кого более низкий чин. Но не думайте что полицейские участки и военные структуры – единственные места, где социальный инженер может использовать привилегии в звании. Социальные инженеры часто используют «преимущество высокого ранга» в корпоративной иерархии как оружие в атаке на предприятиях – что демонстрируются во многих рассказах в этой книге. Предотвращение обмана Какими мерами может воспользоваться ваша организация, чтобы уменьшить вероятность, что социальные инженеры воспользуются преимуществом над природными инстинктами ваших служащих, чтобы поверить людям? Вот некоторые меры. Защитите ваших клиентов В наш электронный век многие компании, продающие что то потребителю, сохраняют кредитные карты в файле. На то есть причины: он облегчает клиенту работу, обеспечивая информацией о кредитной карточке всякий раз, когда он посещает магазин или веб сайт, чтобы оплатить. Тем не менее, практика огорчает. Если Вам приходится сохранять номера кредитных карточек в файле, то это должно сопровождаться мерами безопасности, которые включают шифрование или использование управления доступом. Служащие должны быть подготовленными, чтобы распознать трюки социальных инженеров, как в этой главе. Служащий компании, которого вы никогда лично не видели, ставший телефонным другом, может быть не тем, за кого он себя выдает. Ему необязательно знать, как получить доступ к секретной информации клиента, потому что он может вовсе не работать в вашей компании. Сообщение от Митника Все должны быть осведомлены о методах действия социальных инженеров: собрать как можно больше информации о цели, и использовать, эту информацию, чтобы приобрести доверие как будто он свой человек. А затем перейти в нападение! Разумное доверие Не только люди, имеющие доступ к важной информации – разработчики программного обеспечения, сотрудники в научно исследовательских и опытно конструкторских работ, должны быть защищены от атаки. Почти каждый в вашей организации должен быть обучен защищать предприятие от промышленных шпионов и похитителей информации. Создавая основы, нужно начать с обследования предприятия – доступ к банкам информации, уделяя внимание каждому важному, критическому аспекту, ценным активам, и спрашивая, какие методы нападения могут использовать, чтобы с помощью техники социальной инженерии получить доступ к этим ценным данным. Соответственная подготовка для людей, которые имеют доступ к такой информации, должна проектироваться вокруг ответов на эти вопросы. Когда кто то незнакомый вам лично просит некоторую информацию или материал, или просит, чтобы вы выполнили любые команды на вашем компьютере, нужно задать себе следующие вопросы. Если я дал эту информацию моему наихудшему врагу, могло бы это использоваться, чтобы повредить мне или моей компании? Я полностью понимаю потенциальный результат команд, что меня попросили ввести в компьютер? Мы не хотим прожить жизнь, подозревая каждого нового человека, которого мы встречаем. Но чем больше мы доверчивы, тем больше вероятность того, что следующий социальный инженер, который появился в городе, сможет обмануть нас, заставить выдать конфиденциальную информацию нашей компании. Что принадлежит к вашей внутренней сети? Части вашей внутренней сети могут быть открытыми для всего мира, а другие части – только для ограниченного числа сотрудников. Насколько ваша компания убеждена, что важнейшая информации не опубликована там, где она доступна для пользователей, от которых вы хотите защитить ее? Когда в последний раз кто нибудь в вашей организации проверял, доступна ли важная информация из вашей внутренней сети? Что доступно через открытые части вашего веб сайта? Если ваша компания установила прокси серверы как посредники, чтобы защитить предприятие от электронной атаки, проверены ли эти серверы, чтобы убедиться, что они сконфигурированы правильно? И вообще, проверял ли когда либо кто либо безопасность вашей внутренней сети? Глава 5: «Разрешите Вам помочь» (Chapter 5 «Let Me Help You») Перевод: Daughter of the Night ([email protected]) Мы все благодарны, когда кто нибудь со знанием, опытом и желанием помочь приходит и предлагает помочь с проблемами. Социальный инженер понимает это, и знает, как извлечь из этого выгоду. Он также знает как создать вам проблему… а потом сделать вас благодарными, когда он решит проблему… и на вашей поиграв на вашем чувстве благодарности, извлечет из вас информацию или попросит оказать небольшую услугу, которая оставит вашу компанию (или вас лично) в гораздо более плохом состоянии после встречи. И вы можете даже не узнать, что вы потеряли что то ценное. Есть несколько типичных способов, которыми социальные инженеры пытаются «помочь». Неполадки в сети Дата/Время: Понедельник, 12 февраля, 15:25 Место: Офис кораблестроительной фирмы Starboard. Первый звонок: Том ДиЛэй «Том ДиЛэй, бухгалтерия». «Здравствуй, Том, это Эдди Мартин, отдел техпомощи, мы пытаемся найти причины неисправности компьютерной сети. Были ли у кого либо в вашей группе проблемы с подключением?» «Нет, я не в курсе». «А у тебя?» «Нет, все вроде в порядке». «Окей, это хорошо. Мы звоним людям, на кого это может повлиять, потому что важно всех проинформировать заранее, если будут внезапные отключения». «Это звучит нехорошо. Вы думаете, это может случиться?» «Надеюсь, что нет, но если что случится, позвонишь?» «Можешь не сомневаться». «Похоже, отсутствие связи будет для тебя проблемой». "Бесспорно ". «Так что пока мы над этим работаем, я дам тебе свой сотовый. Тогда ты сможешь мне все сообщить при первой необходимости». «Отлично, говори». «Номер 555 867 5309». «555 867 5309. Записал. Спасибо. А как тебя зовут?» "Эдди. И последнее. Мне надо знать, к какому порту подключен твой компьютер. Посмотри, там где то есть наклейка с надписью «Порт N…» «Сейчас… Нет, не вижу ничего подобного». «Ладно, тогда сзади компьютера. Ты узнаешь сетевой провод?» «Да». «Тогда посмотри, где он подключен. Там должна быть табличка». «Подожди секунду. Сейчас. Мне придется туда пролезть, чтобы ее увидеть. Вот. На ней написано Порт 6 47.» «Отлично, как раз как записано про тебя. Просто проверяю». Второй звонок: Человек из техобслуживания Через пару дней поступил звонок в отдел локальной сети. «Здравствуй, это Боб, я в офисе Тома ДиЛэя из бухгалтерии. Мы пытаемся найти неисправность в кабеле. Надо отключить порт 6 47.» Человек из техобслуживания сказал, что это будет сделано за несколько минут, и попросил перезвонить, когда потребуется включить порт. Третий звонок: Помощь от врага. Связаться с администратором Похожие публикации: Код для вставки на сайт или в блог: Код для вставки в форум (BBCode): Прямая ссылка на эту публикацию:
|
|