Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker

Hacker-forum!

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Hacker-forum! » Социальная инженерия » Социальная инженерия — один из основных инструментов хакеров XXI века


Социальная инженерия — один из основных инструментов хакеров XXI века

Сообщений 1 страница 30 из 163

1

В на­чале фев­ра­ля 2005 го­да мно­гие спе­ци­алис­ты по ин­форма­ци­он­ной бе­зопас­ности на­шей стра­ны жда­ли выс­тупле­ния К. Мит­ни­ка, из­вес­тно­го ха­кера, ко­торый дол­жен был рас­ска­зать о том, ка­кую опас­ность пред­став­ля­ет со­бой со­ци­аль­ная ин­же­нерия, и ка­кими ме­тода­ми поль­зу­ют­ся со­ци­аль­ные ин­же­неры (ко­торых мы в даль­ней­шем бу­дем на­зывать со­ци­аль­ны­ми ха­кера­ми). Увы, ожи­дания не очень-то оп­равда­лись: Мит­ник рас­ска­зал лишь об ос­новных по­ложе­ни­ях со­ци­аль­ной ин­же­нерии. И мно­го го­ворил о том, что ме­тоды со­ци­аль­ной ин­же­нерии ис­поль­зу­ют прес­тупни­ки все­го ми­ра для по­луче­ния са­мой раз­личной за­сек­ре­чен­ной ин­форма­ции. По мне­нию мно­гих учас­тни­ков встре­чи, слу­шать бы­ло ин­те­рес­но, т. к. че­ловек дей­стви­тель­но очень оба­ятель­ный, но ни­каких осо­бых тайн рас­кры­то не бы­ло.
То же са­мое мож­но ска­зать и о его кни­гах — ни­каких осо­бен­ных от­кро­вений там нет. Мы со­вер­шенно не ис­клю­ча­ем, что Мит­ник это все прек­расно зна­ет, бо­лее то­го, мы да­же в этом поч­ти уве­рены, толь­ко, к со­жале­нию, он ни­чего из то­го, что дей­стви­тель­но зна­ет, не рас­ска­зыва­ет. Ни в сво­их выс­тупле­ни­ях, ни в кни­гах.
При­меча­ние
Ке­вин Мит­ник — из­вес­тный ха­кер, ко­торо­му про­тивос­то­яли луч­шие эк­спер­ты по за­щите ин­форма­ции из ФБР, и осуж­денный в 90-х го­дах пра­восу­ди­ем США за про­ник­но­вение во мно­гие пра­витель­ствен­ные и кор­по­ратив­ные сек­ретные ба­зы. По мне­нию мно­гих эк­спер­тов, Мит­ник не об­ла­дал ни зна­читель­ной тех­ни­чес­кой ба­зой, ни боль­ши­ми поз­на­ни­ями в прог­рамми­рова­нии. За­то он об­ла­дал ис­кусс­твом об­ще­ния по те­лефо­ну в це­лях по­луче­ния нуж­ной ин­форма­ции и то­го, что сей­час на­зыва­ют "со­ци­аль­ной ин­же­нери­ей".
В ре­зуль­та­те та­ких не­дого­ворок со­ци­аль­ная ин­же­нерия пред­став­ля­ет­ся эта­ким ша­манс­твом для из­бран­ных, что не так. Бо­лее то­го, есть еще один важ­ный мо­мент. Во мно­гих опи­сани­ях атак про­пус­ка­ют­ся це­лые аб­за­цы, ес­ли не стра­ницы. Это мы вот к че­му. Ес­ли взять кон­крет­но схе­мы не­кото­рых, на­ибо­лее ин­те­рес­ных атак, и по­пытать­ся их вос­про­из­вести сог­ласно на­писан­но­му, то, ско­рее все­го, ни­чего не вый­дет. По­тому что мно­гие схе­мы К. Мит­ни­ка на­поми­на­ют при­мер­но та­кой ди­алог.
При­меча­ние
Что, на­вер­ное, в об­щем-то, и не­уди­витель­но, т. к. ФБР взя­лось тог­да за не­го очень плот­но, по­казав, кто в до­ме хо­зя­ин, и нер­вы ему по­дер­га­ли из­рядно. Бы­ло и мно­жес­тво объ­яс­не­ний, и зап­рет на ра­боту с ЭВМ в те­чение нес­коль­ких лет, и тю­рем­ное зак­лю­чение. Не сто­ит удив­лять­ся то­му, что пос­ле та­ких пе­рипе­тий он стал весь­ма за­коно­пос­лушным че­лове­ком, и не бу­дет не то ка­кие-то сек­ретные ба­зы по­хищать, но да­же и о не сек­ретных ве­щах ста­нет го­ворить с боль­шой ос­то­рож­ностью.
— Ва­ся, дай па­роль, по­жалуй­ста!
— Да на! Жал­ко мне, что ли для хо­роше­го че­лове­ка.
Раз­бор же этой "ата­ки" на­поми­на­ет при­мер­но сле­ду­ющее: "Ва­ся дал со­ци­аль­но­му ха­керу, по­тому что он с рож­де­ния не умел го­ворить "Нет!" нез­на­комым лю­дям. По­это­му ос­новной ме­тод про­тиво­дей­ствия со­ци­аль­ным ин­же­нерам — это на­учить­ся го­ворить "Нет"". …Мо­жет быть, эта ре­комен­да­ция и под­хо­дит для Аме­рики, но, бо­юсь, что не для Рос­сии, где боль­шинс­тво ско­рее не уме­ют го­ворить "Да", а "Нет" у всех по­луча­ет­ся весь­ма неп­ло­хо. Дей­стви­тель­но, есть тип лю­дей, ко­торые ор­га­ничес­ки не мо­гут от­ка­зать дру­гому че­лове­ку, но, во-пер­вых, та­ких лю­дей нем­но­го, а всех ос­таль­ных нуж­но к та­кому сос­то­янию под­во­дить. А о том, как под­во­дить, не ска­зано ни сло­ва.
Вот при­мер­но это и име­ет­ся в ви­ду, ког­да мы го­ворим, что у Мит­ни­ка не­ред­ко про­пус­ка­ют­ся це­лые аб­за­цы. Мож­но до­пус­тить, что пер­вая фра­за мог­ла иметь мес­то в на­чале, а вто­рая — в кон­це раз­го­вора. Но меж­ду ни­ми бы­ло еще очень мно­гое и са­мое ин­те­рес­ное. По­тому что, что­бы все бы­ло так прос­то, нуж­но че­лове­ка пог­ру­зить ли­бо в глу­бокий гип­ноз, ли­бо вко­лоть ему "сы­ворот­ку прав­ды". Но да­же ес­ли это так и бы­ло, то об этом то­же нуж­но пи­сать.
При­меча­ние
О пси­холо­гичес­кой ти­поло­гии и о том, как эти зна­ния ис­поль­зо­вать в со­ци­аль­ной ин­же­нерии, мы под­робно по­гово­рим в при­ложе­нии 2.
В жиз­ни же про­ис­хо­дит, как пра­вило, по-дру­гому. И па­роли го­ворят, и ба­зы вы­носят, не по­тому что не прос­то "нет" от­ве­тить не мо­гут, а по­тому что "нет" от­ве­чать бы­ва­ет, …очень не хо­чет­ся. А для то­го, что­бы че­лове­ку, ко­торый вла­де­ет ка­кой-то серь­ез­ной ин­форма­ци­ей, очень слож­но бы­ло от­ве­тить "нет", нуж­но его под­вести к та­кому сос­то­янию. Прос­ле­див за ним, ска­жем, в те­чение не­дель­ки. Вдруг что ин­те­рес­ное об­на­ружить­ся? Мо­жет он сам "зас­ланный ка­зачок" или по ве­черам на кон­ку­рен­тов под­ра­баты­ва­ет, а мо­жет де­ло то во­об­ще серь­ез­нее об­сто­ит: по ве­черам он под­ра­баты­ва­ет не на кон­ку­рен­тов, а хо­дит в пуб­личный дом …для лю­дей с нет­ра­дици­он­ной сек­су­аль­ной ори­ен­та­ци­ей, и, бу­дучи для всех про­чих при­мер­ным семь­яни­ном, очень не хо­чет, что­бы об этом кто-то уз­нал. Вот имея при­мер­но та­кую ин­форма­цию, к не­му же мож­но сме­ло под­хо­дить и го­ворить:
— Ва­ся, а ну ска­жи-ка мне все па­роли, ко­торые зна­ешь. И дос­туп мне в свою сеть от­крой, что­бы я вре­мя по­пус­ту не те­рял.
И вот в этом слу­чае уже очень мно­гие Ва­си от­ве­тят:
— Да на, по­жалуй­ста. И па­роли дам и дос­туп от­крою. Жал­ко мне, что ли для хо­роше­го че­лове­ка…
На язы­ке раз­ведчи­ков это на­зыва­ет­ся "вер­бовка". И ес­ли вдруг в ва­шей ор­га­низа­ции все ку­да-то ис­че­за­ет, все па­роли ко­му-то из­вес­тны, по­думай­те о том, не сел ли кто "на хвост" ко­му-то из ва­ших сот­рудни­ков. Вы­чис­лить то­го, на ко­го се­ли, и тех, кто сел, обыч­но бы­ва­ет не слож­но. Ум­ные сот­рудни­ки служб бе­зопас­ности, кста­ти, преж­де чем до­верять лю­дям клю­чевые пос­ты, обыч­но очень силь­но его про­веря­ют на пред­мет, ска­жем так, сла­бых сто­рон кан­ди­дата на дол­жность. И сле­дят за ним, и тес­ты вся­кие ум­ные ус­тра­ива­ют, что­бы знать, что за че­ловек ра­ботать при­шел.
…Это вступ­ле­ние на­писа­но не для то­го, что­бы пок­ри­тико­вать К. Мит­ни­ка — каж­до­го из нас есть за что пок­ри­тико­вать — а для то­го, что­бы по­казать, что в со­ци­аль­ной ин­же­нерии не все так прос­то, как это иног­да пре­под­но­сит­ся, и от­но­сить­ся к это­му воп­ро­су нуж­но серь­ез­но и вдум­чи­во. Те­перь, пос­ле это­го вступ­ле­ния, как го­ворит­ся, да­вай­те нач­нем.
Компь­ютер­ная сис­те­ма, ко­торую взла­мыва­ет ха­кер, не су­щес­тву­ет са­ма по се­бе. Она всег­да со­дер­жит в се­бе еще од­ну сос­тавля­ющую: че­лове­ка. Об­разно вы­ража­ясь, компь­ютер­ную сис­те­му мож­но пред­ста­вить сле­ду­ющей прос­той схе­мой (рис. 1.1).
44cc58b2-5446-4130-828b-81ebb0ba5e90.jpg
Рис. 1.1. Ос­новные ва­ри­ан­ты взло­ма компь­ютер­ной сис­те­мы (че­ловек — с ка­рика­туры Х. Бидс­тру­па)
За­дача ха­кера сос­то­ит в том, что­бы взло­мать компь­ютер­ную сис­те­му. Пос­коль­ку, как мы ви­дим, у этой сис­те­мы две сос­тавля­ющие, то и ос­новных пу­тей ее взло­ма со­от­ветс­твен­но два. Пер­вый путь, ког­да "взла­мыва­ет­ся компь­ютер", мы на­зовем тех­ни­чес­ким. А со­ци­аль­ной ин­же­нери­ей на­зыва­ет­ся то, ког­да, взла­мывая компь­ютер­ную сис­те­му, вы иде­те по вто­рому пу­ти и ата­ку­ете че­лове­ка, ко­торый ра­бота­ет с компь­юте­ром. Прос­той при­мер. До­пус­тим, вам нуж­но ук­расть па­роль. Вы мо­жете взло­мать компь­ютер жер­твы и уз­нать па­роль. Это пер­вый путь. А пой­дя по вто­рому пу­ти, вы этот же са­мый па­роль мо­жете уз­нать, поп­росту спро­сив па­роль у че­лове­ка. Мно­гие го­ворят, ес­ли пра­виль­но спро­сить.
По мне­нию мно­гих спе­ци­алис­тов, са­мую боль­шую уг­ро­зу ин­форма­ци­он­ной бе­зопас­ности, как круп­ных ком­па­ний, так и обыч­ных поль­зо­вате­лей, в сле­ду­ющие де­сяти­летия бу­дут пред­став­лять все бо­лее со­вер­шенс­тву­ющи­еся ме­тоды со­ци­аль­ной ин­же­нерии, при­меня­емые для взло­ма су­щес­тву­ющих средств за­щиты. Хо­тя бы по­тому, что при­мене­ние со­ци­аль­ной ин­же­нерии не тре­бу­ет зна­читель­ных фи­нан­со­вых вло­жений и дос­ко­наль­но­го зна­ния компь­ютер­ных тех­но­логий. Так, к при­меру, Рич Мо­гулл, гла­ва от­де­ла ин­форма­ци­он­ной бе­зопас­ности кор­по­рации Gartner, го­ворит о том, что "со­ци­аль­ная ин­же­нерия пред­став­ля­ет из се­бя бо­лее серь­ез­ную уг­ро­зу, чем обыч­ный взлом се­тей. Ис­сле­дова­ния по­казы­ва­ют, что лю­дям при­сущи не­кото­рые по­веден­ческие нак­лоннос­ти, ко­торые мож­но ис­поль­зо­вать для ос­то­рож­но­го ма­нипу­лиро­вания. Мно­гие из са­мых вре­донос­ных взло­мов сис­тем бе­зопас­ности про­ис­хо­дят и бу­дут про­ис­хо­дить бла­года­ря со­ци­аль­ной ин­же­нерии, а не элек­трон­но­му взло­му. Сле­ду­ющее де­сяти­летие со­ци­аль­ная ин­же­нерия са­ма по се­бе бу­дет пред­став­лять са­мую вы­сокую уг­ро­зу ин­форма­ци­он­ной бе­зопас­ности". Со­лида­рен с ним и Роб Фор­сайт, уп­равля­ющий ди­рек­тор од­но­го из ре­ги­ональ­ных под­разде­лений ан­ти­вирус­ной ком­па­нии Sophos, ко­торый при­вел при­мер "о но­вом ци­нич­ном ви­де мо­шен­ни­чес­тва, нап­равлен­но­го на без­ра­бот­ных жи­телей Авс­тра­лии. По­тен­ци­аль­ная жер­тва по­луча­ет по элек­трон­ной поч­те пись­мо, яко­бы от­прав­ленное бан­ком Credit Suisse, в ко­тором го­ворит­ся о сво­бод­ной ва­кан­сии. По­луча­теля про­сят зай­ти на сайт, пред­став­ля­ющий со­бой поч­ти точ­ную ко­пию нас­то­яще­го кор­по­ратив­но­го сай­та Credit Suisse, но в под­дель­ной вер­сии пред­став­ле­на фор­ма для за­пол­не­ния за­яв­ле­ния о при­еме на ра­боту. А за то, что­бы рас­смот­ре­ли за­яв­ле­ние, "банк" про­сил пусть сим­во­личес­кие, но день­ги, ко­торые тре­бова­лось пе­ревес­ти на та­кой-то счет. Ког­да же день­ги пе­реве­ли весь­ма мно­го че­ловек, сум­ма по­лучи­лась уже не столь сим­во­личес­кая. Фаль­ши­вый сайт сде­лан столь мас­тер­ски, что эк­спер­там пот­ре­бова­лось вре­мя, что­бы убе­дить­ся, что это под­делка. Сто­ит приз­нать, что зло­умыш­ленни­ки при­мени­ли до­воль­но хит­рую ком­би­нацию тех­но­логий. Их цель — са­мые нуж­да­ющи­еся чле­ны об­щес­тва, т. е. те, кто ищет ра­боту. Это как раз те лю­ди, ко­торые мо­гут под­дать­ся на та­кого ро­да про­вока­цию", — го­ворит­ся в сло­вах Фор­сай­та. Эн­ри­ке Са­лем, ви­це-пре­зиден­та ком­па­нии Symantec, во­об­ще счи­та­ет, что та­кие тра­дици­он­ные уг­ро­зы, как ви­русы и спам, — это "проб­ле­мы вче­раш­не­го дня", хо­тя ком­па­нии обя­затель­но дол­жны за­щищать­ся и от них. Проб­ле­мой се­год­няшне­го дня Са­лем на­зыва­ет фи­шинг с ис­поль­зо­вани­ем ме­тодов со­ци­аль­ной ин­же­нерии.
По­чему же мно­гие ис­сле­дова­тели счи­та­ют, что со­ци­аль­ная ин­же­нерия ста­нет од­ним из ос­новных инс­тру­мен­тов ха­керов XXI ве­ка? От­вет прост. По­тому что тех­ни­чес­кие сис­те­мы за­щиты бу­дут все боль­ше и боль­ше со­вер­шенс­тво­вать­ся, а лю­ди так и бу­дут ос­та­вать­ся людь­ми со сво­ими сла­бос­тя­ми, пред­рассуд­ка­ми, сте­ре­оти­пами, и бу­дут са­мым сла­бым зве­ном в це­поч­ке бе­зопас­ности. Вы мо­жете пос­та­вить са­мые со­вер­шенные сис­те­мы за­щиты, и все рав­но бди­тель­ность нель­зя те­рять ни на ми­нуту, по­тому что в ва­шей схе­ме обес­пе­чения бе­зопас­ности есть од­но очень не­надеж­ное зве­но — че­ловек. Нас­тро­ить че­лове­чес­кий бран­дма­уэр, ина­че го­воря фай­рвол(firewall), — это са­мое слож­ное и неб­ла­годар­ное де­ло. К хо­рошо нас­тро­ен­ной тех­ни­ке вы мо­жете не под­хо­дить ме­сяца­ми. Че­лове­чес­кий бран­дма­уэр нуж­но подс­тра­ивать пос­то­ян­но. Здесь как ни­ког­да ак­ту­аль­но зву­чит глав­ный де­виз всех эк­спер­тов по бе­зопас­ности: "Бе­зопас­ность — это про­цесс, а не ре­зуль­тат". Очень прос­той и час­то встре­ча­ющий­ся при­мер. Пусть вы ди­рек­тор, и у вас очень хо­роший сот­рудник, ко­торый, по ва­шему мне­нию, ну уж ни­ког­да ни­чего ни­кому не про­даст и ни­кого не про­даст. В сле­ду­ющем ме­сяце вы по­низи­ли ему зар­пла­ту, ска­жем, по тем или иным при­чинам. Пусть да­же эти при­чины весь­ма объ­ек­тивны. И си­ту­ация рез­ко из­ме­нилась: те­перь за ним глаз да глаз, по­тому что он мес­та се­бе не на­ходит от оби­ды, он уже вас убить го­тов, что уж тут го­ворить о ка­ких-то внут­ри­кор­по­ратив­ных сек­ре­тах.
При­меча­ние
Под­робно о фи­шин­ге — в гла­ве 2.
За­мечу так­же, что для то­го, что­бы за­нимать­ся обес­пе­чени­ем бе­зопас­ности, осо­бен­но в час­ти нас­трой­ки "че­лове­чес­ких фай­рво­лов", нуж­но об­ла­дать ус­той­чи­вой нер­вной и пси­хичес­кой сис­те­мой. По­чему, вы пой­ме­те из сле­ду­ющей прек­расной фра­зы А. Эй­нштей­на, ко­торую мы, вслед за Ке­вином Мит­ни­ком, не мо­жем не пов­то­рить: "Мож­но быть уве­рен­ным толь­ко в двух ве­щах: су­щес­тво­вании все­лен­ной и че­лове­чес­кой глу­пос­ти, и я не сов­сем уве­рен нас­чет пер­вой".

2

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

3

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

4

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

5

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

6

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

7

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

8

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

9

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

10

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

11

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

12

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

13

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

14

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

15

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

16

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

17

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

18

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

19

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

20

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

21

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

22

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

23

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

24

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

25

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

26

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

27

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

28

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

29

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

30

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.


Вы здесь » Hacker-forum! » Социальная инженерия » Социальная инженерия — один из основных инструментов хакеров XXI века