- Регистрация
- 29.09.16
- Сообщения
- 186
- Онлайн
- 111д 1ч 16м
- Сделки
- 0
- Нарушения
- 0 / 0
"Искусство рассуждать – это искусство обманывать самого себя". Антуан де Сент Экзюпери "Цитадель"
Введение:
Даже самая совершенная система защиты бесполезна, если ею управляет психологически неустойчивый, наивный и/или доверчивый человек.
Помните анекдот о диссертации на тему "зависимость скорости перебора паролей от температуры паяльника (утюга)"? Многие почему то забывают, что в роли объекта атаки может выступать не только машина, но и ее оператор. Причем, оператор зачастую оказывается слабейшим звеном в системе защиты. На хакерском жаргоне атака на человека называется социальной инженерией (social engineering) и в своем каноническом виде обычно сводится к звонкам по те лефону с целью получения конфиденциальной информации (как правило, паро лей) посредством выдачи себя за другое лицо. В данной статье термин "социальная инженерия" рассматривается намного шире и обозначает любые способы психологического воздействия на человека, как то: введение в заблуждение (обман), игра на чувствах (любви, ненависти, зависти, алчности, в том числе и шантаж). Собственно, подобные приемы не новы и известны еще со времен глубокой древности.
Остается только удивляться тому, что за истекшие тысячелетия челове чество так и не научилось противостоять мошенникам и отличать правду от лжи. Еще удивительнее то, что арсенал злоумышленников не претерпел никаких прин ципиальных изменений. Напротив, с развитием коммуникационных технологий их задача значительно упростилась. Общаясь по Интернет, вы не видите и не слышите своего собеседника, более того, нет никаких гарантий, что сообщение действительно отправлено тем адреса том, имя которого стоит в заголовке.
Атакующий может находиться и в соседней Крис Касперски 2 комнате, и в соседнем городе, и даже на соседнем континенте! Все это значительно усложняет идентификацию личности, поиск и доказательство причастности злоу мышленника к атаке. Стоит ли удивляться огромной популярности социальной инженерии среди молодежи? К счастью, подавляющее большинство мошенников действует по идентич ным или близким шаблонам.
Поэтому, изучение приемов их "работы" позволяет распознать обман и не попасться на удочку. Автором этой статьи собрана обширная коллекция хакерского арсенала, наиболее популярные "экспонаты" которой пред ставлены ниже. Конечно, на исчерпывающее руководство по обеспечению соб ственной безопасности данная публикация не претендует, но общее представление о методиках хищения денег и/или информации все же дает.
Введение в заблуждение (обман)
Введение в заблуждение – основной "компонент" социальной инженерии, включающий в себя целый ряд всевозможных техник: выдача себя за дру гое лицо, отвлечение внимания, нагнетание психологического напряжения и т. д. Ко нечные цели обмана так же весьма разнообразны. Ниже мы рассмотрим лишь наи более популярные из них: отъем денег, получение несанкционированного доступа к конфиденциальной информации и уход от ответственности путем перевода подо зрений на постороннее лицо
Отъем денег.
Это только в американских боевиках одетые в маски грабители вла мываются в какой нибудь банк и, угрожая оружием, требуют деньги на бочку. В России же все происходит гораздо проще. Вездесущий бардак и халатное отноше ние к собственным обязанностям позволяют присвоить чужую зарплату простой росписью в ведомости. Автор этой статьи был до глубины души поражен, когда об наружил, что многие издательства выплачивают гонорары, не требуя ни паспорта, ни другого удостоверения личности! Просто заходишь в бухгалтерию, говоришь что ты за северный олень такой, царапаешь фамилию в ведомости (не обязательно свою и не обязательно ту же самую, что в прошлый раз), получаешь наличные и, не забыв сказать "до свидания", уходишь.
Ситуацию серьезно осложняет то обстоятельство, что далеко не всех своих корреспондентов издатель знает в лицо, т.к. многие из них проживают в другом го роде или даже стране. Для пресечения обмана все денежные вопросы следует решать не по электронной почте, по телефону, а еще лучше – выплачивать гонорар только по! сле заключения договора. (Договор же можно переслать обычной почтой или, на ху дой конец, по факсу). Кстати, встречаются и недобросовестные авторы, которые, получив деньги, требуют их снова, мотивируя это тем, что гонорар якобы получил кто то другой, выдавший себя за них
Бесплатное приобретение программных продуктов.
Хищение денег – это до статочно рискованный способ мошенничества и, в случае неудачи, он может обер нуться лишением свободы на длительный срок. Поэтому, многие предпочитают воровать не деньги, а их материальное воплощение.Предположим, злоумышленнику требуется некоторый программный пакет и/или техническая консультация. Взломать демо версию или атаковать локальную сеть фирмы разработчика? Чревато! Лучше, представившись журналистом, попро сить один экземпляр программы в обмен на обещание разрекламировать ее в неко тором популярном журнале. Какая фирма не клюнет на такую заманчивую перс пективу? К тому же вместе с продуктом злоумышленник получит и квалифициро ванную техническую поддержку непосредственно от самих разработчиков, а не девушек операторов, обслуживающих рядовых клиентов.
Если вы хотите избежать обмана – пересылайте продукт не напрямую, а через издателя. Он!то наверняка знает своих журналистов! Впрочем, вполне "всамомде лешний" журналист может продукт взять, а статью не написать. Или написать, но по независящим от него причинам не суметь ее опубликовать…
Злоумышленнику придется сложнее, если требуемый ему продукт настолько специфичен, что вообще отсутствует на рынке. Разработка "под ключ" обычно сто ит дорого, очень дорого, но если проявить чуточку смекали… Вот на сайте аля www.jobs.ru появляется объявление о высокооплачиваемой работе по Интернету. Прием сотрудников, естественно, происходит на конкурсной основе и каждому кандидату дается тестовое задание, по результатам выполнения которого и судят о его, кандидата, профессионализме. Вы не прошли тест? Не расстраивайтесь! Подучитесь, а потом попробуйте свои силы снова, если, конечно, к тому времени не поймете, кто остался с носом, а кто – с готовым продуктом. Самое печальное, что предъявлять злоумышленнику гражданский иск бессмысленно, поскольку состав преступления отсутствует.
Защитить себя от подобных обманов очень трудно, поскольку, аналогичная схема набора сотрудников широко используется и легальными фирмами. Напро тив, очень немногие работодатели готовы оплачивать работу "котов в мешке". По иск хорошей работы – это вообще рулетка и без разочарований здесь не обойтись.
Несанкционированный доступ.
Приемы хищения паролей.
Вероятно, самый из вестный прием похищения пароля – это звонок жертве от имени администратора системы или, напротив, администратору – от имени некоторого пользователя.
Просьба в обоих случаях одна, – под каким бы то ни было предлогом сообщить па роль на некоторый ресурс. К счастью, актуальность атак этого типа за последний год значительно снизилась – все таки жизнь чему то учит! Однако не стоить питать иллюзий по поводу своей защищенности. Она в большинстве случаев мнимая.
Лучший способ выведать пароль – не спрашивать его. Напротив, строго на строго запретить говорить! Это может выглядеть, например, так: "Ало, здравствуй! те! С Вами проводит разъяснительную беседу эксперт по безопасности Вася Пупкин. Помните ли Вы, что никогда, ни при каких обстоятельствах, никому!никому не дол! жны сообщать свой пароль? А помните, что пароль должен состоять из комбинации букв и цифр? Кстати, какой он у Вас?" Поразительно, но многие, пропуская "разъяс нительную беседу" мимо ушей, называют свой действительный пароль! Причем, атакующий в случае провала ничем не рискует, т.к. вопрос "какой у Вас пароль" мож но понимать двояко – какой именно пароль, и какой пароль вообще (длиннее восьми символов, является ли словарным словом или нет и т.д.).
А если пользователи окажутся достаточно сообразительными для того, чтобы не сообщать свой пароль первому встречному? Тогда, учитывая, что очень многие из нас склонны назначать одинаковые пароли на все ресурсы, злоумышленник просто подсунет жертве ресурс, требующий аутентификации (например, предло жит подписаться на почтовую рассылку). В крайнем случае, он узнает если не сам пароль, то хотя бы привычки жертвы – выбирает ли она в качестве паролей словар ные слова, и если выбирает, то по какому принципу.
Разумеется, для подобного анализа придется отследить несколько назначений паролей, но никаких подозре ний жертвы (даже самой квалифицированной!) это не вызовет. Поэтому, никогда не назначайте одинаковые или близкие пароли на различные ресурсы! Для низко квалифицированных пользователей припасена и другая тактика. О том, что свой пароль разглашать ни в коем случае нельзя, их, вероятнее всего, уже предупредили. Но сказали ли им: где этот пароль хранится и как его можно обой ти? Злоумышленник может попросить (а от имени начальника и приказать) выпол нить некоторые, вполне безобидные с точки зрения жертвы действия, например, переслать PWL файл по такому то адресу или создать нового пользователя с пу стым паролем. (Причем, выполняя по шагам расписанные действия, жертва, воз можно, даже не осознает, что она вообще делает).
Помните, низко квалифицирован! ный оператор – все равно, что обезьяна с гранатой! Кстати, постоянная смена паролей – это худший выход из ситуации, создаю щий проблем больше, чем их решающий. Никто не будет и пытаться запомнить длинные, постоянно меняющиеся, да к тому лишенные всякого смысла пароли! Все будут их… записывать! Никакие угрозы администратора ситуацию не исправят, а, напротив, ее усугубят. Поставьте себя на место пользователя, в заветном месте хранящего такую бумажку с паролем.
А теперь вообразите, что некий "доброжела тель" из "соседнего отдела" вам звонит и сообщает, что вас ожидает тотальный обыск на предмет поиска парольных бумажек с последующим увольнением всех, у кого такая бумажка обнаружится. Не знаю, сожжете ли Вы свою бумажку или за пьете ее молоком, но есть ненулевая вероятность того, что кто то избавится от изо бличающих его улик через окно или мусорную корзину. Злоумышленнику остается лишь хорошо порыться в мусоре или под окнами фирмы. Поэтому, любое приказание и любая служебная инструкция должна составляться осмысленно с учетом реаль! ной ситуации, а не теоретических измышлений. Люди – не компьютеры! В некоторых, не таких уж редких случаях, злоумышленник имеет принципи альную возможность подсмотреть набираемый на клавиатуре пароль (например, с помощью сильного бинокля, расположившись в соседнем здании). Самое трудное – уследить за быстро набираемым паролем, к тому же частично закрытым ру ками и другими частями тела. Каким либо образом инициировав смену паролей (например, путем имитации атаки), он существенно упростит свою задачу. Ведь но вый пароль уже не наберешь "на автомате"! Для предотвращения утечки информации компьютеры лучше всего располагать так, чтобы ни монитор, ни клавиатура, ни принтерные распечатки не были видны ни из окон, ни из дверей. Эти несложные меры значительно усложнят хакеру проникно вение в систему
Атака администратора системы.
В том случае, если пароль заполучить не удаст ся, злоумышленнику ничего не останется, как прибегнуть к атаке на технические средства (т.е. непосредственно на компьютеры). Однако правильно сконфигуриро ванную и хорошо защищенную систему ломать "в лоб" практически бесполезно. Вот если бы в ней была дыра… Один из нетехнических способов пробивания дыр выглядит приблизительно так: злоумышленник звонит администратору и сообщает, что из достоверных ис точников ему стало известно о готовящейся (или уже совершенной) атаке. Никаких деталей звонящий, естественно, не сообщает (он ведь не взломщик, а "знакомый" взломщика), но приблизительное местонахождение дырки все же указывает. Суще ствует ненулевая вероятность того, что администратор, пытаясь повысить безопас ность своей системы, допустит несколько ошибок, упрощающих атаку. (И эта веро ятность тем больше, чем сильнее волнуется администратор). Для отвлечения внимания злоумышленники часто прибегают к имитации ата ки, выполняя различные бессмысленные, но целенаправленные действия. Автору этой статьи известно несколько случаев, когда в ответ на мусор, направленный в 80 й порт, администраторы просто "срубали" WEB сервисы, поскольку, будучи предупрежденными об "атаке", считали: лучше на время остаться без WEB'а, чем позволить хакерам проникнуть в локальную сеть и похитить конфиденциальную информацию. Естественно, простой WEB серверов обернулся внушительными убытками, хотя никакой опасности на самом деле и не было. Так что не стоит ша! рахаться от каждой тени и любое непонятное действие расценивать как вторжение в систему. Развивая идею дальше, злоумышленники догадались, что выдавать себя за знакомого злоумышленника, согласного за определенное вознаграждение быть ос ведомителем, гораздо выгоднее, чем атаковать систему. К тому же, "осведомителя" чрезвычайно трудно привлечь к ответственности, поскольку факт обмана практи чески не доказуем, а имитация атаки, не влекущая несанкционированного доступа к системе (блокирования системы), вообще не наказуема. Причем, для такой "ата ки" злоумышленнику не требуется практически никакой квалификации, и стать "хакером" может буквально любой! Поэтому, не спешите оплачивать услуги осведо! мителя, даже если он согласен "работать" почти задаром сначала убедитесь, что это действительно осведомитель, и что вас действительно атакуют, а не создают лишь видимость атаки! Но не забывайте, что упускать из рук настоящего осведоми теля (а такие – не редкость среди хакеров) очень глупо.
Уход от ответственности.
Успешно выполнить атаку – означает решить лишь по ловину задачи. Злоумышленнику еще предстоит замести за собой следы – уйти от ответственности и не попасться. А это, кстати, намного сложнее! Поэтому, матерые мошенники, похитив энную сумму денег, без тени жалости переводят большую ее часть на счет одного из сотрудников фирмы, который в принципе подходит на роль похитителя. Причем, это должен быть жадный, азартный и умственно недалекий человек, который, обнаружив на своем счете "лишние" деньги, с высокой степенью вероятности рискнет прикарманить добро, само идущее к нему в руки, а не побе жит в милицию. Затем следует анонимный звонок (письмо) директору фирмы с со общением: где следует искать пропавшие деньги и… жертве будет чрезвычайно трудно доказать, что она тут ни при чем, и убедить остальных, что ее подставили. Конечно, путь денег (кто именно перевел их жертве) проследить вполне возможно (особенно, если это крупная сумма), но, во первых, злоумышленник может пере водить деньги через подставное лицо.
А, во вторых, даже будучи пойманным, он сможет заявить, что он не главарь, а пешка и вообще не знал, что деньги ворован ные. При условии, что злоумышленник оставит себе меньшую часть награбленно го, такая легенда будет звучать весьма убедительно. Поэтому, при "разборе полетов" ни в коем случае не хватайте первого попавшегося под руку обвиняемого – в боль шинстве случаев он действительно ни в чем не виновен. Другой способ "перевода стрелок" заключается в психологической обработке лиц, "помешанных" на подражательстве хакерам, но хакерами не являющимися. Сначала их убеждают, что пребывание в тюрьме – явление вполне нормальное для хакера, затем демонстрируют целую серию эффективных "взломов", чем вызывают глубокое уважение к себе. Наконец, когда "клиент" готов, мошенник предлагает ему стать своим учеником, после чего руками ученика осуществляет реальный взлом. В случае раскрытия преступления ученик может и не выдать своего "настав ника" (а при правильной психологической обработке и не выдаст, хоть режь его на куски). А, если даже и выдаст, следствию будет не так то легко уличить злоумы шленника, ведь все предыдущие атаки – фикция! "Наставник" без больших трудов сможет представить все это невинной игрой. Он де, просто забавлялся, не причи няя никому никакого вреда. А о том, кто руководил "учеником" в настоящей ата ке, – не имеет ни малейшего представления. Впрочем, заставить ученика молчать можно и другими способами, тем же шантажом, скажем, но об этом позже.
Введение:
Даже самая совершенная система защиты бесполезна, если ею управляет психологически неустойчивый, наивный и/или доверчивый человек.
Помните анекдот о диссертации на тему "зависимость скорости перебора паролей от температуры паяльника (утюга)"? Многие почему то забывают, что в роли объекта атаки может выступать не только машина, но и ее оператор. Причем, оператор зачастую оказывается слабейшим звеном в системе защиты. На хакерском жаргоне атака на человека называется социальной инженерией (social engineering) и в своем каноническом виде обычно сводится к звонкам по те лефону с целью получения конфиденциальной информации (как правило, паро лей) посредством выдачи себя за другое лицо. В данной статье термин "социальная инженерия" рассматривается намного шире и обозначает любые способы психологического воздействия на человека, как то: введение в заблуждение (обман), игра на чувствах (любви, ненависти, зависти, алчности, в том числе и шантаж). Собственно, подобные приемы не новы и известны еще со времен глубокой древности.
Остается только удивляться тому, что за истекшие тысячелетия челове чество так и не научилось противостоять мошенникам и отличать правду от лжи. Еще удивительнее то, что арсенал злоумышленников не претерпел никаких прин ципиальных изменений. Напротив, с развитием коммуникационных технологий их задача значительно упростилась. Общаясь по Интернет, вы не видите и не слышите своего собеседника, более того, нет никаких гарантий, что сообщение действительно отправлено тем адреса том, имя которого стоит в заголовке.
Атакующий может находиться и в соседней Крис Касперски 2 комнате, и в соседнем городе, и даже на соседнем континенте! Все это значительно усложняет идентификацию личности, поиск и доказательство причастности злоу мышленника к атаке. Стоит ли удивляться огромной популярности социальной инженерии среди молодежи? К счастью, подавляющее большинство мошенников действует по идентич ным или близким шаблонам.
Поэтому, изучение приемов их "работы" позволяет распознать обман и не попасться на удочку. Автором этой статьи собрана обширная коллекция хакерского арсенала, наиболее популярные "экспонаты" которой пред ставлены ниже. Конечно, на исчерпывающее руководство по обеспечению соб ственной безопасности данная публикация не претендует, но общее представление о методиках хищения денег и/или информации все же дает.
Введение в заблуждение (обман)
Введение в заблуждение – основной "компонент" социальной инженерии, включающий в себя целый ряд всевозможных техник: выдача себя за дру гое лицо, отвлечение внимания, нагнетание психологического напряжения и т. д. Ко нечные цели обмана так же весьма разнообразны. Ниже мы рассмотрим лишь наи более популярные из них: отъем денег, получение несанкционированного доступа к конфиденциальной информации и уход от ответственности путем перевода подо зрений на постороннее лицо
Отъем денег.
Это только в американских боевиках одетые в маски грабители вла мываются в какой нибудь банк и, угрожая оружием, требуют деньги на бочку. В России же все происходит гораздо проще. Вездесущий бардак и халатное отноше ние к собственным обязанностям позволяют присвоить чужую зарплату простой росписью в ведомости. Автор этой статьи был до глубины души поражен, когда об наружил, что многие издательства выплачивают гонорары, не требуя ни паспорта, ни другого удостоверения личности! Просто заходишь в бухгалтерию, говоришь что ты за северный олень такой, царапаешь фамилию в ведомости (не обязательно свою и не обязательно ту же самую, что в прошлый раз), получаешь наличные и, не забыв сказать "до свидания", уходишь.
Ситуацию серьезно осложняет то обстоятельство, что далеко не всех своих корреспондентов издатель знает в лицо, т.к. многие из них проживают в другом го роде или даже стране. Для пресечения обмана все денежные вопросы следует решать не по электронной почте, по телефону, а еще лучше – выплачивать гонорар только по! сле заключения договора. (Договор же можно переслать обычной почтой или, на ху дой конец, по факсу). Кстати, встречаются и недобросовестные авторы, которые, получив деньги, требуют их снова, мотивируя это тем, что гонорар якобы получил кто то другой, выдавший себя за них
Бесплатное приобретение программных продуктов.
Хищение денег – это до статочно рискованный способ мошенничества и, в случае неудачи, он может обер нуться лишением свободы на длительный срок. Поэтому, многие предпочитают воровать не деньги, а их материальное воплощение.Предположим, злоумышленнику требуется некоторый программный пакет и/или техническая консультация. Взломать демо версию или атаковать локальную сеть фирмы разработчика? Чревато! Лучше, представившись журналистом, попро сить один экземпляр программы в обмен на обещание разрекламировать ее в неко тором популярном журнале. Какая фирма не клюнет на такую заманчивую перс пективу? К тому же вместе с продуктом злоумышленник получит и квалифициро ванную техническую поддержку непосредственно от самих разработчиков, а не девушек операторов, обслуживающих рядовых клиентов.
Если вы хотите избежать обмана – пересылайте продукт не напрямую, а через издателя. Он!то наверняка знает своих журналистов! Впрочем, вполне "всамомде лешний" журналист может продукт взять, а статью не написать. Или написать, но по независящим от него причинам не суметь ее опубликовать…
Злоумышленнику придется сложнее, если требуемый ему продукт настолько специфичен, что вообще отсутствует на рынке. Разработка "под ключ" обычно сто ит дорого, очень дорого, но если проявить чуточку смекали… Вот на сайте аля www.jobs.ru появляется объявление о высокооплачиваемой работе по Интернету. Прием сотрудников, естественно, происходит на конкурсной основе и каждому кандидату дается тестовое задание, по результатам выполнения которого и судят о его, кандидата, профессионализме. Вы не прошли тест? Не расстраивайтесь! Подучитесь, а потом попробуйте свои силы снова, если, конечно, к тому времени не поймете, кто остался с носом, а кто – с готовым продуктом. Самое печальное, что предъявлять злоумышленнику гражданский иск бессмысленно, поскольку состав преступления отсутствует.
Защитить себя от подобных обманов очень трудно, поскольку, аналогичная схема набора сотрудников широко используется и легальными фирмами. Напро тив, очень немногие работодатели готовы оплачивать работу "котов в мешке". По иск хорошей работы – это вообще рулетка и без разочарований здесь не обойтись.
Несанкционированный доступ.
Приемы хищения паролей.
Вероятно, самый из вестный прием похищения пароля – это звонок жертве от имени администратора системы или, напротив, администратору – от имени некоторого пользователя.
Просьба в обоих случаях одна, – под каким бы то ни было предлогом сообщить па роль на некоторый ресурс. К счастью, актуальность атак этого типа за последний год значительно снизилась – все таки жизнь чему то учит! Однако не стоить питать иллюзий по поводу своей защищенности. Она в большинстве случаев мнимая.
Лучший способ выведать пароль – не спрашивать его. Напротив, строго на строго запретить говорить! Это может выглядеть, например, так: "Ало, здравствуй! те! С Вами проводит разъяснительную беседу эксперт по безопасности Вася Пупкин. Помните ли Вы, что никогда, ни при каких обстоятельствах, никому!никому не дол! жны сообщать свой пароль? А помните, что пароль должен состоять из комбинации букв и цифр? Кстати, какой он у Вас?" Поразительно, но многие, пропуская "разъяс нительную беседу" мимо ушей, называют свой действительный пароль! Причем, атакующий в случае провала ничем не рискует, т.к. вопрос "какой у Вас пароль" мож но понимать двояко – какой именно пароль, и какой пароль вообще (длиннее восьми символов, является ли словарным словом или нет и т.д.).
А если пользователи окажутся достаточно сообразительными для того, чтобы не сообщать свой пароль первому встречному? Тогда, учитывая, что очень многие из нас склонны назначать одинаковые пароли на все ресурсы, злоумышленник просто подсунет жертве ресурс, требующий аутентификации (например, предло жит подписаться на почтовую рассылку). В крайнем случае, он узнает если не сам пароль, то хотя бы привычки жертвы – выбирает ли она в качестве паролей словар ные слова, и если выбирает, то по какому принципу.
Разумеется, для подобного анализа придется отследить несколько назначений паролей, но никаких подозре ний жертвы (даже самой квалифицированной!) это не вызовет. Поэтому, никогда не назначайте одинаковые или близкие пароли на различные ресурсы! Для низко квалифицированных пользователей припасена и другая тактика. О том, что свой пароль разглашать ни в коем случае нельзя, их, вероятнее всего, уже предупредили. Но сказали ли им: где этот пароль хранится и как его можно обой ти? Злоумышленник может попросить (а от имени начальника и приказать) выпол нить некоторые, вполне безобидные с точки зрения жертвы действия, например, переслать PWL файл по такому то адресу или создать нового пользователя с пу стым паролем. (Причем, выполняя по шагам расписанные действия, жертва, воз можно, даже не осознает, что она вообще делает).
Помните, низко квалифицирован! ный оператор – все равно, что обезьяна с гранатой! Кстати, постоянная смена паролей – это худший выход из ситуации, создаю щий проблем больше, чем их решающий. Никто не будет и пытаться запомнить длинные, постоянно меняющиеся, да к тому лишенные всякого смысла пароли! Все будут их… записывать! Никакие угрозы администратора ситуацию не исправят, а, напротив, ее усугубят. Поставьте себя на место пользователя, в заветном месте хранящего такую бумажку с паролем.
А теперь вообразите, что некий "доброжела тель" из "соседнего отдела" вам звонит и сообщает, что вас ожидает тотальный обыск на предмет поиска парольных бумажек с последующим увольнением всех, у кого такая бумажка обнаружится. Не знаю, сожжете ли Вы свою бумажку или за пьете ее молоком, но есть ненулевая вероятность того, что кто то избавится от изо бличающих его улик через окно или мусорную корзину. Злоумышленнику остается лишь хорошо порыться в мусоре или под окнами фирмы. Поэтому, любое приказание и любая служебная инструкция должна составляться осмысленно с учетом реаль! ной ситуации, а не теоретических измышлений. Люди – не компьютеры! В некоторых, не таких уж редких случаях, злоумышленник имеет принципи альную возможность подсмотреть набираемый на клавиатуре пароль (например, с помощью сильного бинокля, расположившись в соседнем здании). Самое трудное – уследить за быстро набираемым паролем, к тому же частично закрытым ру ками и другими частями тела. Каким либо образом инициировав смену паролей (например, путем имитации атаки), он существенно упростит свою задачу. Ведь но вый пароль уже не наберешь "на автомате"! Для предотвращения утечки информации компьютеры лучше всего располагать так, чтобы ни монитор, ни клавиатура, ни принтерные распечатки не были видны ни из окон, ни из дверей. Эти несложные меры значительно усложнят хакеру проникно вение в систему
Атака администратора системы.
В том случае, если пароль заполучить не удаст ся, злоумышленнику ничего не останется, как прибегнуть к атаке на технические средства (т.е. непосредственно на компьютеры). Однако правильно сконфигуриро ванную и хорошо защищенную систему ломать "в лоб" практически бесполезно. Вот если бы в ней была дыра… Один из нетехнических способов пробивания дыр выглядит приблизительно так: злоумышленник звонит администратору и сообщает, что из достоверных ис точников ему стало известно о готовящейся (или уже совершенной) атаке. Никаких деталей звонящий, естественно, не сообщает (он ведь не взломщик, а "знакомый" взломщика), но приблизительное местонахождение дырки все же указывает. Суще ствует ненулевая вероятность того, что администратор, пытаясь повысить безопас ность своей системы, допустит несколько ошибок, упрощающих атаку. (И эта веро ятность тем больше, чем сильнее волнуется администратор). Для отвлечения внимания злоумышленники часто прибегают к имитации ата ки, выполняя различные бессмысленные, но целенаправленные действия. Автору этой статьи известно несколько случаев, когда в ответ на мусор, направленный в 80 й порт, администраторы просто "срубали" WEB сервисы, поскольку, будучи предупрежденными об "атаке", считали: лучше на время остаться без WEB'а, чем позволить хакерам проникнуть в локальную сеть и похитить конфиденциальную информацию. Естественно, простой WEB серверов обернулся внушительными убытками, хотя никакой опасности на самом деле и не было. Так что не стоит ша! рахаться от каждой тени и любое непонятное действие расценивать как вторжение в систему. Развивая идею дальше, злоумышленники догадались, что выдавать себя за знакомого злоумышленника, согласного за определенное вознаграждение быть ос ведомителем, гораздо выгоднее, чем атаковать систему. К тому же, "осведомителя" чрезвычайно трудно привлечь к ответственности, поскольку факт обмана практи чески не доказуем, а имитация атаки, не влекущая несанкционированного доступа к системе (блокирования системы), вообще не наказуема. Причем, для такой "ата ки" злоумышленнику не требуется практически никакой квалификации, и стать "хакером" может буквально любой! Поэтому, не спешите оплачивать услуги осведо! мителя, даже если он согласен "работать" почти задаром сначала убедитесь, что это действительно осведомитель, и что вас действительно атакуют, а не создают лишь видимость атаки! Но не забывайте, что упускать из рук настоящего осведоми теля (а такие – не редкость среди хакеров) очень глупо.
Уход от ответственности.
Успешно выполнить атаку – означает решить лишь по ловину задачи. Злоумышленнику еще предстоит замести за собой следы – уйти от ответственности и не попасться. А это, кстати, намного сложнее! Поэтому, матерые мошенники, похитив энную сумму денег, без тени жалости переводят большую ее часть на счет одного из сотрудников фирмы, который в принципе подходит на роль похитителя. Причем, это должен быть жадный, азартный и умственно недалекий человек, который, обнаружив на своем счете "лишние" деньги, с высокой степенью вероятности рискнет прикарманить добро, само идущее к нему в руки, а не побе жит в милицию. Затем следует анонимный звонок (письмо) директору фирмы с со общением: где следует искать пропавшие деньги и… жертве будет чрезвычайно трудно доказать, что она тут ни при чем, и убедить остальных, что ее подставили. Конечно, путь денег (кто именно перевел их жертве) проследить вполне возможно (особенно, если это крупная сумма), но, во первых, злоумышленник может пере водить деньги через подставное лицо.
А, во вторых, даже будучи пойманным, он сможет заявить, что он не главарь, а пешка и вообще не знал, что деньги ворован ные. При условии, что злоумышленник оставит себе меньшую часть награбленно го, такая легенда будет звучать весьма убедительно. Поэтому, при "разборе полетов" ни в коем случае не хватайте первого попавшегося под руку обвиняемого – в боль шинстве случаев он действительно ни в чем не виновен. Другой способ "перевода стрелок" заключается в психологической обработке лиц, "помешанных" на подражательстве хакерам, но хакерами не являющимися. Сначала их убеждают, что пребывание в тюрьме – явление вполне нормальное для хакера, затем демонстрируют целую серию эффективных "взломов", чем вызывают глубокое уважение к себе. Наконец, когда "клиент" готов, мошенник предлагает ему стать своим учеником, после чего руками ученика осуществляет реальный взлом. В случае раскрытия преступления ученик может и не выдать своего "настав ника" (а при правильной психологической обработке и не выдаст, хоть режь его на куски). А, если даже и выдаст, следствию будет не так то легко уличить злоумы шленника, ведь все предыдущие атаки – фикция! "Наставник" без больших трудов сможет представить все это невинной игрой. Он де, просто забавлялся, не причи няя никому никакого вреда. А о том, кто руководил "учеником" в настоящей ата ке, – не имеет ни малейшего представления. Впрочем, заставить ученика молчать можно и другими способами, тем же шантажом, скажем, но об этом позже.