Искусство обмана - [44]
Надежный HTTP(гипертекстовый протокол передачи ) или SSL обеспечивает автоматический механизм, который использует цифровые сертификаты не только для зашифровки посланной на удаленный сайт информации, но и для обеспечения идентификации (чтобы убедиться в подлинности удаленного сайта). Тем не менее, этот механизм защиты не приемлем для пользователей, не обращающих внимания на правильность имени сайта, к которому они пытаются получить доступ.
Другой вопрос безопасности, чаще игнорируемый, появляется в виде предупреждающей таблички, в которой говорится нечто вроде «Этот сайт не является безопасным или срок действия сертификата истек. Вы желаете посетить этот сайт?». Многие пользователи Интернета просто не понимают это сообщение и, когда оно появляется, просто щелкают OK или YES и продолжают свою работу, не подозревая, что они вступили на зыбучие пески. Будьте внимательны: на веб-сайте, не использующем безопасный протокол, никогда не вводите какую-либо конфиденциальную информацию, будь это ваш адрес или номер телефона, номера кредитной карты или банковского счета или что-то еще, что вы желаете сохранить в тайне.
Томас Джефферсон сказал, что поддержание нашей свободы требует постоянной бдительности. Для поддержания безопасности в обществе, где информация играет роль денег, требуется не меньше.
Подобающее понимание вирусов
Особая заметка по поводу вирусов: это необходимо как для корпоративной сети, так и для каждого работника, использующего компьютер. Сверх обычной инсталляции антивирусных программ на компьютеры, пользователям явно нужно подключать программное обеспечение (чего многие люди не очень любят делать, так как это замедляет некоторые функции компьютера).
Будучи владельцем антивирусного программного обеспечения, не стоит забывать о еще одной важной процедуре: своевременном обновлении антивирусных баз. Если ваша компания не собирается рассылать программы или обновления каждому пользователю, каждый из них должен нести ответственность за своевременную установку обновлений. Моя личная рекомендация – настроить свойства антивирусных программ таким образом, чтобы они автоматически обновлялись каждый день.
LINGO
Просто представьте, вы все еще уязвимы, несмотря на регулярное обновление антивирусных баз, и также, вы все еще не защищены полностью от вирусов и червей, которые не распознаются антивирусными программами или файлы об их обнаружении еще не опубликованы.
Все работники с привилегиями удаленного доступа со своих ноутбуков или домашних компьютеров обязаны иметь обновленное антивирусное программное обеспечение и персональный файрвол. Искушенный хакер проанализирует общую ситуацию и найдет самое слабое место, по которому и ударит. Напоминание людям с удаленным доступом о своевременных обновлениях и установке файрволов – обязанность каждой корпорации, потому что вы не можете ожидать, что рабочие, менеджеры, продавцы и другие, не связанные с IT отделом, будут помнить об опасности незащищенности их компьютеров.
Кроме этих шагов, я рекомендую использовать меньше обычных, но больше важных пакетов, которые защищают от троянских атак. На момент написания книги, лучшими из известных программ являются The Cleaner (www.microsoft.com ) и trojan defence sweep (www.diamondcs.com.au ).
В заключение, самое важное сообщение о безопасности для всех компаний, которые не сканируют на наличие опасных писем: Мы все имеем тенденцию быть забывчивыми или беспечными в вопросах, которые кажутся второстепенными в плане выполнения нашей работы, поэтому работникам нужно снова и снова напоминать не запускать приложения в письмах, несмотря на то, что они могут быть отправлены отдельным лицом или организацией, которым можно доверять. И управляющим также нужно напоминать работникам, что они должны использовать работающие антивирусные программы и антитроянское программное обеспечение, которое обеспечивает защиту против писем, которые могут содержать в себе разрушающий груз.
Глава 8: Используя чувство симпатии, вины и запугивание
Перевод: ext3 (www.hackzona.ru ) [email protected]
Как обсуждалось в Главе 15,социальный инженер использует психологию влияния в достижении своей цели и исполнения просьб. Опытные социальные инженеры очень сведущи в развитии уловок, симулирующих эмоции, такие как страх, возбуждение или вина. Они делают это, используя психологические рычаги – автоматические механизмы, которые ведут людей к исполнению требований без всякой доступной им информации.
Мы все хотим избежать трудных ситуаций для нас и окружающих. Базируясь на этом позитивном импульсе, атакующий может сыграть на симпатии человека, заставить жертву чувствовать свою вину или использовать запугивание в роли оружия.
Вот вам несколько прогрессивных уроков в известной тактике игре на эмоциях.
Визит в студию
Вы когда-нибудь замечали, как некоторые люди проходят через охрану на танцевальный вечер в отеле, приватную вечеринку, или презентацию книги без всякого билета или приглашения?
В большинстве случаев, социальный инженер может добиться прохода в такие места, о которых вы и не думали, что это возможно. В этом вы убедитесь на примере следующей истории об индустрии создания фильмов.
Кевин Митник по праву считается самым неуловимым мастером компьютерного взлома в истории. Он проникал в сети и компьютеры крупнейших мировых компаний, и как бы оперативно ни спохватывались власти, Митник был быстрее, вихрем проносясь через телефонные коммутаторы, компьютерные системы и сотовые сети. Он долгие годы рыскал по киберпространству, всегда опережая преследователей не на шаг, а на три шага, и заслужил славу человека, которого невозможно остановить. Но для Митника хакерство не сводилось только к технологическим эпизодам, он плел хитроумные сети обмана, проявляя редкое коварство и выпытывая у ничего не подозревающего собеседника ценную информацию.«Призрак в Сети» – захватывающая невыдуманная история интриг, саспенса и невероятных побегов.
Эта книга – редкая возможность увидеть Стива Джобса таким, каким его видели лишь его самые близкие сотрудники, и разгадать загадку этого легендарного человека. Это возможность понять и освоить оригинальный стиль лидерства Джобса, благодаря которому Apple стала одной из величайших компаний и смогла выпускать продукты, изменившие нашу жизнь. Автор книги, Джей Эллиот, бывший старший вице-президент компании Apple, долгое время работал бок о бок со Стивом Джобсом и сформулировал главные уроки «iЛидерства», которые помогут совершить прорыв компании любого размера и из любой отрасли.
Эта книга о самом поразительном человеке в современной истории бизнеса – Стиве Джобсе – великом предпринимателе эпохи высоких технологий, известном своим индивидуализмом, инакомыслием и бунтарским характером. Авторы подробно описали головокружительный взлет молодого человека, очень рано добившегося успеха, и последовавшее за этим стремительное падение, во время которого Стив был изгнан не только из Apple, но и из компьютерной индустрии вообще.Эта книга приобрела скандальную известность еще на этапе ее подготовки к печати.
Истории, рассказанные в этой книге, демонстрируют, как небезопасны все компьютерные системы, и как мы уязвимы перед подобными атаками. Урок этих историй заключается в том, что хакеры находят новые и новые уязвимости каждый день. Читая эту книгу, думайте не о том, как изучить конкретные уязвимости тех или иных устройств, а о том, как изменить ваш подход к проблеме безопасности и приобрести новый опыт.Если вы профессионал в области информационных технологий или обеспечения безопасности, каждая из историй станет для вас своеобразным уроком того, как повысить уровень безопасности в вашей компании.