|
Митник Кевин. Искусство обмана.Категория: Библиотека » Ложь и её выявление. | Просмотров: 14148
Автор: Митник Кевин.
Название: Искусство обмана. Формат: HTML, RTF Язык: Русский Скачать по прямой ссылке Каждая организация сталкивается с нелегким выбором между мощной безопасностью и продуктивностью сотрудников, что заставляет некоторых сотрудников пренебрегать правилами безопасности, не понимая, насколько они необходимы для защиты целостности секретной компьютерной информации.
Если правила безопасности не будут конкретно указывать возможные проблемы при пренебрежении ими, сотрудники могут пойти по пути наименьшего сопротивления, и сделать что либо, что облегчит их работу. Некоторые сотрудники могут открыто пренебрегать безопасными привычками. Вы могли встречать сотрудников, кто следует правилам о длине и сложности пароля, но записывает пароль на листок бумаги и клеит его к монитору. Жизненно важная часть защиты организации – использование сложно угадываемых паролей в сочетании с мощными настройками безопасности в технике. Подробное обсуждене рекомендованной техники безопасности паролей описано в главе 16. Глава 13: Умные мошенники (Chapter 13 Clever Cons) //Глава еще будет редактироваться Перевод: matt weird ([email protected]) Теперь вы выяснили, что когда незнакомец звонит с запросом на чувствительную информацию или на что то, что может представлять ценность для атакующего, человек, принимающий звонок, должен быть обучен требовать телефонный номер вызывающего и перезванивать чтобы проверить, что человек на самом деле есть тот, за кого себя выдает – сотрудник компании, или сотрудник партнера по бизнесу, или представитель службы технической поддержки от одного из ваших поставщиков, например. Даже когда компания установила процедуру, которой сотрудники тщательно следуют для проверки звонящих, сообразительные атакующие все еще способны использовать набор трюков для обмана своих жертв, заставляя поверить что они те, за кого себя выдают. Даже сознательные в отношении безопасности сотрудники могут стать обманутыми методами, такими как нижеприведенные. Несоответствующий “Caller ID” Любой кто хоть раз получал звонок на сотовой телефон, наблюдал в действии опцию, называемую “caller ID”(дословно “Идентификатор Вызывающего”) – этот знакомый дисплей, отображающий телефонный номер звонящего. В рабочей обстановке эта функция предлагает возможность рабочему одним взглядом оценить, от знакомого ли сотрудника идет вызов или же откуда то вне компании. Много лет назад некие амбициозные телефонные фрикеры обнаружили для себя все прелести caller ID еще даже до того как телефонная компания публично стала предлагать подобный сервис абонентам. Они изрядно повесилились, одурачивая людей ответами по телефону и приветствуя вызывающего по имени, в то время как тот даже не успевал сказать ни слова. Просто когда вы думаете что подобное безопасно, практика удостоверения личности путем доверия тому что вы видите – то, что появляется на дисплее caller ID – это именно то, на что атакующий может расчитывать. Звонок Линды День/время: Вторник, 23 июля, 15:12 Место: “Офисы Финансового Отдела, Авиакомпания Starbeat” Телефон Линды Хилл зазвонил когда она записывала заметку для босса. Она взглянула на дисплей caller ID, который показывал что звонок исходил из офиса корпорации в Нью Йорке, но от кого то по имени Виктор Мартин – имя она не узнала. Она подумала дождаться пока звонок переключится на автоответчик, так что ей не придется отрываться от мысли заметки. Но любопытство взяло верх. Она подняла трубку и звонящий представился и сказал что он из отдела рекламы и работает над некоторым материалом для управляющего компании. “Он на пути к деловой встрече в Бостоне с кем то из банкиров. Ему требуется первоклассный финансовый отчет на текущий квартал,” сказал он. “И еще одна вещь. Еще ему нужны финансовые прогнозы на проект Апачи,” добавил Виктор, используя кодовое название продукта, который был одним из главных релизов этой весной. Она попросила его электронный адрес, но он сказал что у него проблема с получением электронной почты и над этим работает служба технической поддержки, поэтому не могла бы она использовать факс взамен? Она сказала что это тоже подойдет, и он дал дополнительный внутренний код для его факс машины. Она отослала факс несолькими минутами позже. Но Виктор не работал в отделе рекламы. К слову сказать, он даже в компании то не работал. История Джека Джек Доукинс начал свою “профессиональную” карьеру в раннем возрасте в качестве карманного вора, промышляя на спортивных играх на стадионе команды Янки в оживленных помещениях под трибунами и среди ночной толпы туристов на Таймс Скуэйр. Он так проворно и искусно доказывал что мог снять часы с запястья человека, так что тот даже не узнает. Но в его трудные подростковые годы он рос неуклюжим и не был неуловим. В компании Джувенил Холл(дворец молодежи?)) Джек обучился новому ремеслу с куда меньшим риском быть схваченным. Его текущее назначение взывало его получать информацию о квартальном доходе, издержках и финансовом потоке компании до того как эти данные подавались в Комиссию по Обмену и Ценным Бумагам и обнародовались. Его клиентом был дантист, который не хотел объяснять почему он хотел получить информацию. Предусмотрительность этого человека показалась Джеку смехотворной. Подобное он видел и до этого – у парня наверное была проблема с азартными играми, или может недешево обходящаяся любовница, о которой его жена была еще не в курсе. Или может быть он просто хвастался своей жене насчет того, как он умен на фондовой бирже; теперь же он петерял пару пакетов акций и хотел сделать нехилое вложение в нечто более надежное, зная как именно биржевая стоимость компании будет прогрессировать когда они анонсируют квартальные итоги. Люди удивляются когда обнаруживают как мало времени требуется социальному инженеру чтобы выяснить как контролировать ситуацию, с которой он прежде никогда не сталкивался. К тому времени как Джек вернулся домой с его встречи с дантистом, у него уже сформировался план. Его друг Чарлз Бэйтс работал в компании Панда Импорт, у которой был свой собственный телефонный коммутатор, или PBX. В терминах, близких людям, знающим телефонные системы, PBX был подключен к цифровой телефонной службе известной как T1, сконфигурированной как Интерфейс Основного Тарифного плана цифровой сети интегрированных услуг (Primary Rate Interface ISDN(integrated services digital network), PRI ISDN – выделенный канал). Под этим подразумевается, что каждый раз когда звонок исходил от Панда Импорт, установки и другая информация обработки вызова попадали из канала данных в телефонный коммутатор компании; информация включала в себя номер вызывающей стороны, который(если не заблокирован) передавался в устройство caller ID на конце линии получателя. Друг Джека знал как запрограммировать коммутатор так, чтобы человек, получающий вызов, видел бы на его caller ID дисплее не действительный телефонный номер в офисе Панда Импорт, а какой угодно другой номер, который он запрограммировал в коммутатор. Этот трюк работает, поскольку местные телефонные компании не беспокоятся о подтверждении номера вызывающего, полученного от абонента, и сравнении его с действительными телефонными номерами за которые абонент платит. Все что Джеку Доукинсу было нужно – это доступ к любому такому телефонному сервису. К счастью, его друг и временами партнер по преступлениям, Чарльз Бэйтс, всегда был рад протянуть руку помощи за соответствующее вознагрждение. В данном случае, Джек и Чарльз временно перепрограммировали телефонный коммутатор так, что звонки с конкретной телефонной линии, проходящей в зданиях Панда Импорт, подменяли бы внутренний телефонный номер Виктора Мартина, делая похожим что вызов идет из авиакомпании Starbeat. Идея того, что ваш caller ID может быть изменен для отображения любого желаемого вами номера, так малоизвестна, что редко ставится под вопрос. В данном случае, Линда была счастлива отправить факсом запрошенную информацию парню, который, как она думала, был из рекламного отдела. Когда Джек повесил трубку, Чарльз перепрограммировал телефонный коммутатор компании, вернув телефонный номер к исходным установкам. Анализ обмана Некоторые компании не хотят чтобы их клиенты или поставщики знали телефонные номера их сотрудников. Например, в компании Ford могут решить, что звонки из их Центра Службы Поддержки Потребителей должны отображать номер 800 для Центра и имя вроде “Поддержка Ford” вместо реального прямого телефонного номера каждого представителя слубы поддержки, осуществляющего звонок. Microsoft может захотеть дать своим сотрудникам возможность говорить людям свой телефонный номер вместо того, чтобы каждый, кому они звонят, кидал взгляд на их caller ID и знал их дополнительный код. Таким способом компания способна поддерживать конфиденциальность внутренних номеров. Но эта же самая возможность перепрограммирования предоставляет удобную тактику для хулигана, коллекционера счетов, телемаркетолога, и, конечно же, социального инженера. Вариация: Звонит президент Соединенных Штатов Как соведущий радиошоу в Лос Анджелесе, которое называется “Темная сторона Интернета” на KFI Talk Radio, я работал под руководством директора по программам станции. Дэвида, одного из самых посвященных и вкалывающих людей которых я когда либо встречал, очень сложно застать по телефону, так как он очень занят. Он один из тех людей, который не отвечает на звонок, если только не видит на caller ID дисплее что это кто то с кем ему нужно поговорить. Когда я ему звонил, по причине наличия блокировки вызова на моем сотовом телефоне, он не мог сказать кто звонил и не отвечал на звонок. Звонок переключался на автоответчик, и для меня это стало изматывающим. Я переговорил по поводу того, что с этим делать с моим давним другом, основателем фирмы по работе с недвижимостью, предоставлявшей офисные помещения для хайтек компаний. Вместе мы разработали план. У него был доступ к телефонному коммутатору Meridian его компании, который дает ему возможность программирования номера вызывающей стороны, как описано в предыдущей истории. В любой момент, когда мне было нужно дозвониться до директора по программам и не удавалось пробиться, я просил своего друга запрограммировать любой номер на мой выбор, который должен был появится на caller ID. Иногда он делал так, чтобы выглядело что звонок исходит от офисного ассистента Дэвида, или иногда от холдинговой компании, которая владеет станцией. Но самым излюбленным было запрограммировать звонок, как будто он с собственного домашнего телефонного номера Дэвида, на который он всегда снимал трубку. Черт возьми, однако надо отдать этому парню должное. У него всегда было хорошее чувство юмора на этот счет, когда он брал трубку и обнаруживал что я его снова одурачил. Самым лучшим было то, что он оставался на линии достаточно долго чтобы выяснить чего я хотел и разрешить любую неувязку, какой бы она не была. Когда я демонстрировал этот маленький трюк на шоу Арта Белла, я подменил свой caller ID так, чтобы он отображал имя и адрес штабквартиры ФБР в Лос Анджелесе. Арт был совершенно шокирован по поводу всей затеи и убеждал меня в совершении чего то нелегального. Но я указал ему на то, что это вполне легально, до тех пор пока это не является попыткой совершения мошенничества. После программы я получил несолько сотен писем по электронной почте с просьбой объяснить как я это сделал. Теперь вы знаете. Это совершенный инструмент для построения убедительности социального инженера. Если, для примера, в течение исследовательской стадии цикла атаки социального инжиниринга было обнаружено, что у цели был caller ID, атакующий мог бы подменить его или ее собственный номер как будто будучи от доверительной компании или сотрудника. Коллекционер счетов может выдать его или ее звонки за исходящие с вашего места работы. Но остановитесь и задумайтесь о подтекстах. Компьютерный злоумышленник может позвонить вам на дом, утверждая что он из отдела Информационных Технологий в вашей компании. Человеку на линии насущно требуется ваш пароль для восстановления ваших файлов после сбоя сервера. Или caller ID показывает имя и номер вашего банка или брокерского дома, девушке с милым голосом просто понадобилось проверить номер вашего счета и девичью фамилию вашей матери. Для ровного счета, ей так же нужно проверить ваш ATM PIN по причине какой то системной проблемы. Управление котельной на фондовой бирже может сделать свои звонки похожими на исходящие от Мэрил Линч или Городского Банка. Кто то вознамерился украсть вашу личность и позвонить, очевидно из компании Visa, и убедить вас сказать ему номер вашей кредитной карты Visa. Злостный парень мог бы позвонить и заявить, что он из налоговой инспекции или ФБР. Если у вас есть доступ к телефонной системе, подключенной к Интерфейсу Основного Тарифа(PRI), плюс небольшие познания в программировании, которые вы, вероятнее всего, приобретете на веб сайте поставщика системы, вы сможете использовать такую тактику для разыгрывания крутых трюков над своими друзьями. Есть на примете кто нибудь с раздутыми политическими устремлениями? Вы бы могли запрограммировать выдаваемый номер как 202 456 1414, и его caller ID дисплей будет показывать имя “БЕЛЫЙ ДОМ.” Он подумает что ему звонит президент! Мораль истории проста: нельзя доверять caller ID, за исключением использования для проверки внутренних звонков. На работе или дома, все должны остерегаться трюка с caller ID и иметь ввиду что имени или телефонному номеру, отображаемому на caller ID дисплее, нельзя доверять для удостоверения личности. Сообщение от Митника В следующий раз, когда вам звонят и ваш caller ID дисплей показывает что звонок от вашей дорогой престарелой мамы, никогда не знаешь – он может быть от старого доброго социального инженера. Связаться с администратором Похожие публикации: Код для вставки на сайт или в блог: Код для вставки в форум (BBCode): Прямая ссылка на эту публикацию:
|
|