Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker Hacker

Dark-forum

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Dark-forum » Социальная инженерия » О пси­холо­гичес­кой ти­поло­гии


О пси­холо­гичес­кой ти­поло­гии

Сообщений 1 страница 2 из 2

1

О пси­холо­гичес­кой ти­поло­гии и о том, как эти зна­ния ис­поль­зо­вать в со­ци­аль­ной ин­же­нерии, мы под­робно по­гово­рим в при­ложе­нии 2.
В жиз­ни же про­ис­хо­дит, как пра­вило, по-дру­гому. И па­роли го­ворят, и ба­зы вы­носят, не по­тому что не прос­то "нет" от­ве­тить не мо­гут, а по­тому что "нет" от­ве­чать бы­ва­ет, …очень не хо­чет­ся. А для то­го, что­бы че­лове­ку, ко­торый вла­де­ет ка­кой-то серь­ез­ной ин­форма­ци­ей, очень слож­но бы­ло от­ве­тить "нет", нуж­но его под­вести к та­кому сос­то­янию. Прос­ле­див за ним, ска­жем, в те­чение не­дель­ки. Вдруг что ин­те­рес­ное об­на­ружить­ся? Мо­жет он сам "зас­ланный ка­зачок" или по ве­черам на кон­ку­рен­тов под­ра­баты­ва­ет, а мо­жет де­ло то во­об­ще серь­ез­нее об­сто­ит: по ве­черам он под­ра­баты­ва­ет не на кон­ку­рен­тов, а хо­дит в пуб­личный дом …для лю­дей с нет­ра­дици­он­ной сек­су­аль­ной ори­ен­та­ци­ей, и, бу­дучи для всех про­чих при­мер­ным семь­яни­ном, очень не хо­чет, что­бы об этом кто-то уз­нал. Вот имея при­мер­но та­кую ин­форма­цию, к не­му же мож­но сме­ло под­хо­дить и го­ворить:
— Ва­ся, а ну ска­жи-ка мне все па­роли, ко­торые зна­ешь. И дос­туп мне в свою сеть от­крой, что­бы я вре­мя по­пус­ту не те­рял.
И вот в этом слу­чае уже очень мно­гие Ва­си от­ве­тят:
— Да на, по­жалуй­ста. И па­роли дам и дос­туп от­крою. Жал­ко мне, что ли для хо­роше­го че­лове­ка…
На язы­ке раз­ведчи­ков это на­зыва­ет­ся "вер­бовка". И ес­ли вдруг в ва­шей ор­га­низа­ции все ку­да-то ис­че­за­ет, все па­роли ко­му-то из­вес­тны, по­думай­те о том, не сел ли кто "на хвост" ко­му-то из ва­ших сот­рудни­ков. Вы­чис­лить то­го, на ко­го се­ли, и тех, кто сел, обыч­но бы­ва­ет не слож­но. Ум­ные сот­рудни­ки служб бе­зопас­ности, кста­ти, преж­де чем до­верять лю­дям клю­чевые пос­ты, обыч­но очень силь­но его про­веря­ют на пред­мет, ска­жем так, сла­бых сто­рон кан­ди­дата на дол­жность. И сле­дят за ним, и тес­ты вся­кие ум­ные ус­тра­ива­ют, что­бы знать, что за че­ловек ра­ботать при­шел.
…Это вступ­ле­ние на­писа­но не для то­го, что­бы пок­ри­тико­вать К. Мит­ни­ка — каж­до­го из нас есть за что пок­ри­тико­вать — а для то­го, что­бы по­казать, что в со­ци­аль­ной ин­же­нерии не все так прос­то, как это иног­да пре­под­но­сит­ся, и от­но­сить­ся к это­му воп­ро­су нуж­но серь­ез­но и вдум­чи­во. Те­перь, пос­ле это­го вступ­ле­ния, как го­ворит­ся, да­вай­те нач­нем.
Компь­ютер­ная сис­те­ма, ко­торую взла­мыва­ет ха­кер, не су­щес­тву­ет са­ма по се­бе. Она всег­да со­дер­жит в се­бе еще од­ну сос­тавля­ющую: че­лове­ка. Об­разно вы­ража­ясь, компь­ютер­ную сис­те­му мож­но пред­ста­вить сле­ду­ющей прос­той схе­мой (рис. 1.1).
44cc58b2-5446-4130-828b-81ebb0ba5e90.jpg
Рис. 1.1. Ос­новные ва­ри­ан­ты взло­ма компь­ютер­ной сис­те­мы (че­ловек — с ка­рика­туры Х. Бидс­тру­па)
За­дача ха­кера сос­то­ит в том, что­бы взло­мать компь­ютер­ную сис­те­му. Пос­коль­ку, как мы ви­дим, у этой сис­те­мы две сос­тавля­ющие, то и ос­новных пу­тей ее взло­ма со­от­ветс­твен­но два. Пер­вый путь, ког­да "взла­мыва­ет­ся компь­ютер", мы на­зовем тех­ни­чес­ким. А со­ци­аль­ной ин­же­нери­ей на­зыва­ет­ся то, ког­да, взла­мывая компь­ютер­ную сис­те­му, вы иде­те по вто­рому пу­ти и ата­ку­ете че­лове­ка, ко­торый ра­бота­ет с компь­юте­ром. Прос­той при­мер. До­пус­тим, вам нуж­но ук­расть па­роль. Вы мо­жете взло­мать компь­ютер жер­твы и уз­нать па­роль. Это пер­вый путь. А пой­дя по вто­рому пу­ти, вы этот же са­мый па­роль мо­жете уз­нать, поп­росту спро­сив па­роль у че­лове­ка. Мно­гие го­ворят, ес­ли пра­виль­но спро­сить.
По мне­нию мно­гих спе­ци­алис­тов, са­мую боль­шую уг­ро­зу ин­форма­ци­он­ной бе­зопас­ности, как круп­ных ком­па­ний, так и обыч­ных поль­зо­вате­лей, в сле­ду­ющие де­сяти­летия бу­дут пред­став­лять все бо­лее со­вер­шенс­тву­ющи­еся ме­тоды со­ци­аль­ной ин­же­нерии, при­меня­емые для взло­ма су­щес­тву­ющих средств за­щиты. Хо­тя бы по­тому, что при­мене­ние со­ци­аль­ной ин­же­нерии не тре­бу­ет зна­читель­ных фи­нан­со­вых вло­жений и дос­ко­наль­но­го зна­ния компь­ютер­ных тех­но­логий. Так, к при­меру, Рич Мо­гулл, гла­ва от­де­ла ин­форма­ци­он­ной бе­зопас­ности кор­по­рации Gartner, го­ворит о том, что "со­ци­аль­ная ин­же­нерия пред­став­ля­ет из се­бя бо­лее серь­ез­ную уг­ро­зу, чем обыч­ный взлом се­тей. Ис­сле­дова­ния по­казы­ва­ют, что лю­дям при­сущи не­кото­рые по­веден­ческие нак­лоннос­ти, ко­торые мож­но ис­поль­зо­вать для ос­то­рож­но­го ма­нипу­лиро­вания. Мно­гие из са­мых вре­донос­ных взло­мов сис­тем бе­зопас­ности про­ис­хо­дят и бу­дут про­ис­хо­дить бла­года­ря со­ци­аль­ной ин­же­нерии, а не элек­трон­но­му взло­му. Сле­ду­ющее де­сяти­летие со­ци­аль­ная ин­же­нерия са­ма по се­бе бу­дет пред­став­лять са­мую вы­сокую уг­ро­зу ин­форма­ци­он­ной бе­зопас­ности". Со­лида­рен с ним и Роб Фор­сайт, уп­равля­ющий ди­рек­тор од­но­го из ре­ги­ональ­ных под­разде­лений ан­ти­вирус­ной ком­па­нии Sophos, ко­торый при­вел при­мер "о но­вом ци­нич­ном ви­де мо­шен­ни­чес­тва, нап­равлен­но­го на без­ра­бот­ных жи­телей Авс­тра­лии. По­тен­ци­аль­ная жер­тва по­луча­ет по элек­трон­ной поч­те пись­мо, яко­бы от­прав­ленное бан­ком Credit Suisse, в ко­тором го­ворит­ся о сво­бод­ной ва­кан­сии. По­луча­теля про­сят зай­ти на сайт, пред­став­ля­ющий со­бой поч­ти точ­ную ко­пию нас­то­яще­го кор­по­ратив­но­го сай­та Credit Suisse, но в под­дель­ной вер­сии пред­став­ле­на фор­ма для за­пол­не­ния за­яв­ле­ния о при­еме на ра­боту. А за то, что­бы рас­смот­ре­ли за­яв­ле­ние, "банк" про­сил пусть сим­во­личес­кие, но день­ги, ко­торые тре­бова­лось пе­ревес­ти на та­кой-то счет. Ког­да же день­ги пе­реве­ли весь­ма мно­го че­ловек, сум­ма по­лучи­лась уже не столь сим­во­личес­кая. Фаль­ши­вый сайт сде­лан столь мас­тер­ски, что эк­спер­там пот­ре­бова­лось вре­мя, что­бы убе­дить­ся, что это под­делка. Сто­ит приз­нать, что зло­умыш­ленни­ки при­мени­ли до­воль­но хит­рую ком­би­нацию тех­но­логий. Их цель — са­мые нуж­да­ющи­еся чле­ны об­щес­тва, т. е. те, кто ищет ра­боту. Это как раз те лю­ди, ко­торые мо­гут под­дать­ся на та­кого ро­да про­вока­цию", — го­ворит­ся в сло­вах Фор­сай­та. Эн­ри­ке Са­лем, ви­це-пре­зиден­та ком­па­нии Symantec, во­об­ще счи­та­ет, что та­кие тра­дици­он­ные уг­ро­зы, как ви­русы и спам, — это "проб­ле­мы вче­раш­не­го дня", хо­тя ком­па­нии обя­затель­но дол­жны за­щищать­ся и от них. Проб­ле­мой се­год­няшне­го дня Са­лем на­зыва­ет фи­шинг с ис­поль­зо­вани­ем ме­тодов со­ци­аль­ной ин­же­нерии.
По­чему же мно­гие ис­сле­дова­тели счи­та­ют, что со­ци­аль­ная ин­же­нерия ста­нет од­ним из ос­новных инс­тру­мен­тов ха­керов XXI ве­ка? От­вет прост. По­тому что тех­ни­чес­кие сис­те­мы за­щиты бу­дут все боль­ше и боль­ше со­вер­шенс­тво­вать­ся, а лю­ди так и бу­дут ос­та­вать­ся людь­ми со сво­ими сла­бос­тя­ми, пред­рассуд­ка­ми, сте­ре­оти­пами, и бу­дут са­мым сла­бым зве­ном в це­поч­ке бе­зопас­ности. Вы мо­жете пос­та­вить са­мые со­вер­шенные сис­те­мы за­щиты, и все рав­но бди­тель­ность нель­зя те­рять ни на ми­нуту, по­тому что в ва­шей схе­ме обес­пе­чения бе­зопас­ности есть од­но очень не­надеж­ное зве­но — че­ловек. Нас­тро­ить че­лове­чес­кий бран­дма­уэр, ина­че го­воря фай­рвол(firewall), — это са­мое слож­ное и неб­ла­годар­ное де­ло. К хо­рошо нас­тро­ен­ной тех­ни­ке вы мо­жете не под­хо­дить ме­сяца­ми. Че­лове­чес­кий бран­дма­уэр нуж­но подс­тра­ивать пос­то­ян­но. Здесь как ни­ког­да ак­ту­аль­но зву­чит глав­ный де­виз всех эк­спер­тов по бе­зопас­ности: "Бе­зопас­ность — это про­цесс, а не ре­зуль­тат". Очень прос­той и час­то встре­ча­ющий­ся при­мер. Пусть вы ди­рек­тор, и у вас очень хо­роший сот­рудник, ко­торый, по ва­шему мне­нию, ну уж ни­ког­да ни­чего ни­кому не про­даст и ни­кого не про­даст. В сле­ду­ющем ме­сяце вы по­низи­ли ему зар­пла­ту, ска­жем, по тем или иным при­чинам. Пусть да­же эти при­чины весь­ма объ­ек­тивны. И си­ту­ация рез­ко из­ме­нилась: те­перь за ним глаз да глаз, по­тому что он мес­та се­бе не на­ходит от оби­ды, он уже вас убить го­тов, что уж тут го­ворить о ка­ких-то внут­ри­кор­по­ратив­ных сек­ре­тах.
При­меча­ние
Под­робно о фи­шин­ге — в гла­ве 2.
За­мечу так­же, что для то­го, что­бы за­нимать­ся обес­пе­чени­ем бе­зопас­ности, осо­бен­но в час­ти нас­трой­ки "че­лове­чес­ких фай­рво­лов", нуж­но об­ла­дать ус­той­чи­вой нер­вной и пси­хичес­кой сис­те­мой. По­чему, вы пой­ме­те из сле­ду­ющей прек­расной фра­зы А. Эй­нштей­на, ко­торую мы, вслед за Ке­вином Мит­ни­ком, не мо­жем не пов­то­рить: "Мож­но быть уве­рен­ным толь­ко в двух ве­щах: су­щес­тво­вании все­лен­ной и че­лове­чес­кой глу­пос­ти, и я не сов­сем уве­рен нас­чет пер­вой".

2

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.


Вы здесь » Dark-forum » Социальная инженерия » О пси­холо­гичес­кой ти­поло­гии


Рейтинг форумов | Создать форум бесплатно