|
Митник Кевин. Искусство обмана.Категория: Библиотека » Ложь и её выявление. | Просмотров: 14140
Автор: Митник Кевин.
Название: Искусство обмана. Формат: HTML, RTF Язык: Русский Скачать по прямой ссылке Итак, мой жизненный путь на ближайшие 15 лет был предначертан. В средней школе одной из моих излюбленных шуток был захват неавторизованного доступа к телефонному коммутатору и подмена класса услуги товарищей по фрикингу. Когда они пробовали позвонить из дома, электронный голос в трубке предлагал опустить четвертак, потому что коммутатор телефонной компании воспринимал звонок как звонок с платного таксофона.
Я стал жадно поглощать всё, что мог узнать о телефонах: не только об электронике, коммутаторах и компьютерах, но также всё о корпоративной организации, процедурах и терминологии. Вскоре я, возможно, знал о телефонной системе больше среднего служащего компании. И я развил навыки в социальной инженерии до такого уровня, что к 17 годам я мог разговаривать с работниками телефонной компании почти о чём угодно, без разницы – лично или по телефону. Моя всем известная хакерская карьера фактически началась, когда я был в средней школе. Пока я не могу описать всё в деталях, достаточно сказать, что одной из движущих сил моих первых хаков было желание быть принятым в хакерскую группу. Тогда мы ещё использовали термин хакер по отношению к индивиду, который потратил огромное количество времени, копаясь в софте и железе, либо разрабатывая более эффективные программы, либо обходя ненужные шаги, чтобы сделать работу быстрее. Сейчас термин стал бранным словом, означая «умышленный преступник». На этих страницах я использую термин хакер в том смысле, которым он всегда был – в его первоначальном значении. После школы я изучал компьютеры в Учебном Компьютерном Центре в Лос Анджелесе. Спустя несолько месяцев, школьный компьютерный администратор обнаружил, что я нашёл уязвимость в операционной системе и заполучил полные администраторские привилегии на их IBM миникомпьютере. Лучшие компьютерные эксперты из преподавательского штата не смогли понять, как я это сделал. Возможно, это был один из первых примеров, когда «хакера взяли на работу», мне сделали предложение, от которого я не мог отказаться: сделать почётный проект по улучшению безопасности школьного компьютера или иметь дело с обвинением в хакинге системы. Конечно, я выбрал почётный проект и с почестями закончил получение высшего образования. Становление социальным инженером Некоторые люди просыпаются каждое утро, боясь своей каждодневной рутины. Мне повезло – я наслаждался своей работой. Вы не можете себе представить вызов, награду и удовольствие, которые я испытывал, когда работал частным сыщиком. Я затачивал свои таланты в искусстве под названием социальная инженерия (заставляя людей делать вещи, которые они не стали бы обычно делать для незнакомца) и получая за это зарплату. Для меня не было ничего сложного стать профессионалом в социальной инженерии. Мои предки со стороны отца были потомственными торговцами, поэтому искусство влияния и убеждения могло быть врождённой чертой. Когда вы объединяете эту черту и склонность к обману людей, вы получаете портрет типичного социального инженера. Возможно, вы скажете, что искусству обмана соответствуют две рабочих специальности. Тот, кто надувает и обманывает людей за их деньги, относится к одной суб специальности – это мошенник . Тот, кто использует обман, влияние и убеждение против компаний, целясь обычно в их информацию, относится к другой суб специальности – социальный инженер . Во времена моих трюков с автобусными билетиками, когда я был слишком молод, чтобы понять что то неправильное в моих действиях, я начал использовать свой талант, чтобы узнавать секреты, к которым у меня, как предполагалось, не было доступа. Я опирался на этот талант, обман, знание терминологии и растущие навыки в манипуляции людьми. Я работал над развитием навыков в моём ремесле, если я могу называть это ремеслом, следующим образом – я выбирал какой нибудь кусок информации (любой, без разницы) и смотрел, мог ли я, разговаривая с кем нибудь на другом конце телефонного провода, узнать это от него. Таким же образом я тренировался с фокусами. И через эти тренировки я вскоре обнаружил, что мог виртуально достать любую информацию, которую хотел. Вот что я сказал на слушании в Конгрессе сенаторам Либерману и Томпсону несколько лет спустя: Я получил неавторизованный доступ к компьютерным системам в некоторых крупнейших корпорациях на планете и успешно проникнул в некоторые наиболее гибкие когда либо разрабатывавшиеся компьютерные системы. Чтобы достать исходные коды различных операционных систем и телекоммуникационных устройств для изучения их внутренней работы и уязвимостей, я использовал как технические, так и нетехнические способы. Вся эта деятельность была прямиком направлена на удовлетворение моего любопытства. Только ради того, чтобы узнать мог ли я это сделать, я добывал секретную информацию об операционных системах, сотовых телефонах и других вещах. Финальные выводы После ареста я подтвердил, что мои действия были незаконны, и что я совершал вторжения в личную жизнь. Мои преступления мотивировались любопытством. Я хотел знать столько, сколько мог о том, как работают телефонные сети и входы выходы в компьютерной безопасности. Из ребёнка, который любил показывать магические фокусы, я превратился в самого печально известного хакера в мире, которого боялись корпорации и правительство. Бросая взгляд на свою жизнь за последние 30 лет, я признаю, что, идя на поводу у любопытства, желания изучать технологию и интеллектуального вызова, я принял несколько чрезвычайно плохих решений, Сейчас я изменился. Я обратил свои таланты и обширные знания об информационной безопасности и тактике социальной инженерии на помощь правительству, бизнесу и индивидам, чтобы помочь им предотвращать, обнаруживать и отвечать на угрозы информационной безопасности. Эта книга – ещё одна возможность использовать мой опыт, чтобы помочь другим людям избежать злонамеренных информационных воров. Я надеюсь, вы найдёте истории приятными и поучительными. Вступление (Introduction) Перевод: Yarlan Zey ([email protected]) Эта книга содержит исчерпывающие сведения об информационной безопасности и социальной инженерии. Чтобы помочь вам, здесь даны основные элементы структуры книги: В первой части я покажу самое слабое звено в безопасности и объясню, почему вы и ваша компания подвержены риску атак социальных инженеров. Во второй части вы увидите, как социальные инженеры используют вашу доверчивость, ваше желание быть полезным, вашу симпатию и ваше человеческое легковерие, чтобы получить то, что они хотят. Вымышленные истории о типичных атаках продемонстрируют, что социальные инженеры могут носить множество шляп и множество лиц. Если вы думаете, что вы никогда с ними не сталкивались, возможно, вы ошибаетесь. Вполне возможно в этих историях вы узнаете сценарии, которые уже испытали на себе, и удивитесь, если окажется, что вы сталкивались с социальной инженерией. Но, прочитав главы со второй по девятую, вы будете знать что делать, когда услышите телефонный звонок следующего социального инженера. Третья часть – это часть, в которой вы увидите, как социальный инженер достигает своей цели. В вымышленных историях показывается, как он может проникнуть в ваше корпоративное здание, украсть секреты, от которых зависит ваша компания, и обойти все ваши высокотехнологичные меры безопасности. Из сценариев этого раздела вы узнаете, что угрозы, могут варьироваться от простой мести служащего до кибертерроризма. Если вы цените информацию, которая держит ваш бизнес на плаву, и секретность ваших данных, вы захотите прочитать главы с десятой по четырнадцатую от начала до конца. Важно отметить, что если это не оговорено специально, все истории из книги полностью вымышлены. В четвёртой части я читаю корпоративную лекцию, как предотвратить успешные атаки социальных инженеров на вашу организацию. Глава 15 содержит макет эффективной программы по обучению безопасности. И Глава 16, возможно, спасёт вашу шею – это последовательная политика безопасности, которую вы можете настроить для вашей организации и сразу же применить для защиты компании и информации. Наконец, я предоставил раздел «Защищайтесь сразу», который включает в себя контрольные списки, таблицы и диаграммы. Они объединяют ключевую информацию, которую вы можете использовать на работе, чтобы помочь вашим служащим отражать атаки социальных инженеров. Повсюду в книге вы также найдёте несколько полезных элементов: ссылки lingo, которые расшифровывают определения и терминологию хакеров и социальных инженеров, Сообщения Митника, короткие ценные заметки, которые помогут усилить вашу стратегию безопасности, и примечания, дающие дополнительную информацию. Глава 1: Самое слабое звено в безопасности (Chapter 1 Security's Weakest Link) Перевод: Yarlan Zey ([email protected]) Компания может приобрести лучшие технологии по безопасности, какие только можно купить за деньги, натренировать своих людей так, что они станут прятать все свои секреты, прежде чем пойти ночью домой, и нанять охранников в лучшей охранной фирме на рынке. Но эта компания всё ещё остаётся полностью Уязвимой. Сами люди могут полностью следовать лучшей практике по безопасности, рекомендованной экспертами, по рабски устанавливать каждый вновь появившийся рекомендованный программный продукт по безопасности и тщательно следить за конфигурацией своей системы и следить за выпуском патчей. Но и они всё равно полностью уязвимы. Человеческий фактор Не так давно, давая показания перед Конгрессом, я объяснял, что часто я получал пароли и другие кусочки секретной информации компаний, просто притворяясь кем нибудь и спрашивая о них. Это естественно – стремиться к абсолютной безопасности, но это желание заставляет многих людей соглашаться с ложным чувством защищённости. Рассмотрим ответственного и любящего отца семейства, у которого есть Medico – надёжный замок в парадной двери, который ограждает его жену и детей и его дом. Сейчас он спокоен, так как сделал свою семью гораздо более защищённой от вторжений. Но как насчёт грабителя, который разбивает окно или взламывает код у замка на двери гаража? Тогда нужно установить охранную систему? Неплохо, но всё же недостаточно. Независимо от того, насколько дороги замки, домовладелец остаётся уязвим. Почему? Потому что человеческий фактор по настоящему самое слабое звено в безопасности. Безопасность слишком часто просто иллюзия и иногда иллюзия может быть даже хуже легковерия, наивности или невежества. Самый знаменитый в мире учёный 20 века Альберт Эйнштейн говорил: «Можно быть уверенным только в двух вещах: существовании вселенной и человеческой глупости, и я не совсем уверен насчёт первой». В конце концов, атаки социальных инженеров успешны, когда люди глупы или, гораздо чаще, просто неосведомлены о хороших мерах безопасности. Аналогично нашему домовладельцу, многие профессионалы в информационных технологиях (ИТ) придерживаются неправильных представлений, будто они сделали свои компании в значительной степени неуязвимыми к атакам, потому что они используют стандартные продукты по безопасности: файрволлы, системы для обнаружения вторжений (IDS) или серьёзные устройства для аутентификации, такие как биометрические смарт карты или time based tokens. Любой, кто думает, что одни только эти продукты по безопасности предоставляют достаточную защиту, соглашается на иллюзию защиты. Это как жить в мире фантазий – неизбежно, рано или поздно он столкнётся с инцидентом, связанным с безопасностью. Как заметил консультант по безопасности Брюс Шнайер: «Безопасность – это не продукт, это процесс». Кроме того, безопасность – это не технологическая проблема, это проблема людей и управления. Пока разработчики непрерывно изобретают всё лучшие и лучшие технологии защиты, делая всё более трудным возможность использовать технические уязвимости, атакующие всё чаще используют человеческий фактор. Зачастую очень просто взломать человеческий файрволл, все затраты не превышают стоимости одного телефонного звонка и атакующий подвержен минимальному риску. Классический случай обмана Какая самая большая угроза безопасности ваших деловых активов? Ответ прост – это социальный инженер – нечестный фокусник, который заставляет вас смотреть на его левую руку, пока правой ворует ваши секреты. Этот персонаж часто так дружелюбен и любезен, что вы благодарны за то, что с ним столкнулись. Далее рассмотрим пример социальной инженерии. Немногие люди сегодня всё ещё помнят молодого человека по имени Стенли Марк Рифкин и его маленькое приключение с ныне уже несуществующим Тихоокеанским Национальным Банком в Лос Анджелесе. Подробности его авантюры противоречивы и Рифкин (как и я) никогда не рассказывал свою историю, поэтому следующее основано только на печатных источниках. Взлом кода Однажды в 1978 году Рифкин заглянул в помещение банка для телеграфных переводов с табличкой «только для авторизованного персонала», в котором служащие каждый день получали и отправляли трансферты в несколько миллиардов долларов. Он работал с этой компанией по контракту и занимался разработкой системы для резервного копирования данных из этого помещения на случай, если когда нибудь произойдёт сбой их главного компьютера. Эта роль давала ему доступ к процедурам передачи трансфертов, включая возможность наблюдать, что делали служащие банка для совершения операций. Он узнал, что служащие банка, уполномоченные на передачу трансфертов, каждое утро получали тщательно охраняемый код, используемый при осуществлении запросов. В телеграфном помещении работали некоторые служащие, которые не утруждали себя попытками запомнить новый код, изменявшийся каждый день. Они записывали код на кусочек бумаги и клали его куда нибудь в поле зрения. В этот особенный ноябрьский день Рифкин зашёл в это помещение со специальным визитом. Он хотел взглянуть на этот кусочек бумаги. Зайдя в комнату, он немного повозился со своей работой, удостоверившись, что система резервного копирования правильно работает с основной системой. Тем временем он незаметно прочитал и запомнил код на прилепленном кусочке бумаги. Несколько минут спустя он вышел. Как он позже рассказывал, он чувствовал себя, словно выиграл лотерею. Связаться с администратором Похожие публикации: Код для вставки на сайт или в блог: Код для вставки в форум (BBCode): Прямая ссылка на эту публикацию:
|
|