Искусство обмана - [60]
Сообщение Митника
Если в вашей компании используется телефонный коммутатор, что будет делать ответственный сотрудник, если ему позвонить производитель оборудования с просьбой сообщить номер для дозвона на коммутатор? И, кстати, этот сотрудник вообще когда-либо менял на коммутаторе пароль по умолчанию для служебной учетной записи? Этот пароль легко угадывается или подбирается по словарю?
Предотвратить обман
Грамотно используемый защитный код существенно повышает уровень безопасности. Неграмотно используемый защитный код может быть даже хуже, чем вообще отсутствие кода, так как он создает иллюзию защиты, которой на самом деле нет. Что хорошего в кодах, если ваши сотрудники не хранят их в секрете?
Любой компании, использующий устные защитные коды, необходимо ясно и четко объяснить сотрудникам, когда и как эти коды используются. Правильно проинструктированный персонаж из первой части этой главы не должен был бы полагаться на свою интуицию, когда незнакомец спросил его про защитный код. Он почувствовал, что у него не должны спрашивать эту информацию в данной ситуации, но отсутствие четкой политики безопасности и хороший здравый смысл – и он сдался.
Инструкции по безопасности должны включать в себя описание действий служащего, получающего несанкционированный запрос защитного кода. Все сотрудники должны быть обучены немедленно сообщать обо всех запросах защитных кодов (таких как код дня или пароль), сделанных при необычных обстоятельствах. Они также должны сообщать обо всех неудачных попытках установить личность запрашивающего.
Наконец, служащий должен записывать фамилию звонившего, телефон и название офиса или подразделения, прежде чем повесить трубку. А до того, как перезвонить, он должен убедиться, что в указанной организации действительно имеется сотрудник с такой фамилией и что телефон, по которому надо перезвонить действительно телефон этой организации. В большинстве случаев это простая тактика – практически все, что нужно, чтобы убедиться, что звонящий на самом деле тот, за кого себя выдает.
Проверка становится несколько сложнее, когда у компании есть только напечатанный телефонный справочник вместе с электронной онлайновой версии. Люди нанимаются, люди увольняются, они переходят из отдела в отдел, меняют должности и телефоны. Твердая копия телефонного справочника устаревает в день публикации, еще даже до распространения. И даже электронным справочникам нельзя доверять, потому что соц. инженеры знают, как их подделать. Если сотрудник не может проверить номер телефона по независимому источнику, его необходимо проинструктировать о других способах сделать это, например, обратившись к старшему менеджеру.
Глава 11: Сочетая технологию и социальную инженерию
Перевод: Daughter of the Night ([email protected])
Социальный инженер живет своей возможностью манипулировать людьми, заставлять делать то, что поможет ему достичь своей цели, но успех обычно требует большого количества знаний и навыков в использовании компьютеров и телефонных систем.
Взлом решетки
Какие системы вы можете вспомнить, защищенные от взлома – физического, телекоммуникационного или электронного? Форт Нокс ? Конечно. Белый Дом? Абсолютно точно. NORAD (North American Air Defence), Северно-американская воздушно-защитная база, расположенная глубоко под горой? Определенно.
А как насчет тюрем и мест заключений? Они должны быть не менее безопасны, чем другие места в стране, верно? Люди редко убегают, и даже если это им удается, их обычно вскоре ловят. Вы можете думать, что государственная организация будет неуязвима для атак социальных инженеров. Но вы будете не правы – нигде нет такой вещи, как «защита от дурака».
Несколько лет назад, пара профессиональных мошенников столкнулись с проблемой. Так получилось, что они унесли большую сумку наличных у местного судьи. У этой пары уже не первый год были проблемы с законом, но сейчас федеральные власти особо заинтересовались. Они поймали одного из мошенников, Чарльза Гондорффа, и посадили его в исправительную колонию рядом с Сан-Диего. Федеральный судья приказал удерживать его как угрозу обществу и потенциального беглеца.
Его друг Джонни Хукер знал, что для Чарли потребуется хороший адвокат. Но откуда взять деньги? Как и у многих других мошенников, все его деньги уходили на хорошую одежду, модные машины и женщин так же быстро, как и приходили. Джонни с трудом хватало денег на проживание.
Деньги на адвоката должны были прийти после очередного дела. Джонни не собирался делать все самостоятельно. Чарли Гондорфф всегда планировал все их аферы. Но Джонни даже не смел зайти в исправительную колонию, чтобы спросить у Чарли, что делать, учитывая то, что федералы знали, что в преступлениях участвовали двое, и жаждали заполучить второго. Только члены семьи могли посещать заключенных, что означало, что ему пришлось бы воспользоваться фальшивым удостоверением, утверждая, что он – член семьи. Пытаться использовать фальшивое удостоверение личности в федеральной тюрьме – не самая разумная идея.
Нет, ему надо было как-то связаться с Гондорффом.
Кевин Митник по праву считается самым неуловимым мастером компьютерного взлома в истории. Он проникал в сети и компьютеры крупнейших мировых компаний, и как бы оперативно ни спохватывались власти, Митник был быстрее, вихрем проносясь через телефонные коммутаторы, компьютерные системы и сотовые сети. Он долгие годы рыскал по киберпространству, всегда опережая преследователей не на шаг, а на три шага, и заслужил славу человека, которого невозможно остановить. Но для Митника хакерство не сводилось только к технологическим эпизодам, он плел хитроумные сети обмана, проявляя редкое коварство и выпытывая у ничего не подозревающего собеседника ценную информацию.«Призрак в Сети» – захватывающая невыдуманная история интриг, саспенса и невероятных побегов.
Эта книга – редкая возможность увидеть Стива Джобса таким, каким его видели лишь его самые близкие сотрудники, и разгадать загадку этого легендарного человека. Это возможность понять и освоить оригинальный стиль лидерства Джобса, благодаря которому Apple стала одной из величайших компаний и смогла выпускать продукты, изменившие нашу жизнь. Автор книги, Джей Эллиот, бывший старший вице-президент компании Apple, долгое время работал бок о бок со Стивом Джобсом и сформулировал главные уроки «iЛидерства», которые помогут совершить прорыв компании любого размера и из любой отрасли.
Истории, рассказанные в этой книге, демонстрируют, как небезопасны все компьютерные системы, и как мы уязвимы перед подобными атаками. Урок этих историй заключается в том, что хакеры находят новые и новые уязвимости каждый день. Читая эту книгу, думайте не о том, как изучить конкретные уязвимости тех или иных устройств, а о том, как изменить ваш подход к проблеме безопасности и приобрести новый опыт.Если вы профессионал в области информационных технологий или обеспечения безопасности, каждая из историй станет для вас своеобразным уроком того, как повысить уровень безопасности в вашей компании.
Эта книга о самом поразительном человеке в современной истории бизнеса – Стиве Джобсе – великом предпринимателе эпохи высоких технологий, известном своим индивидуализмом, инакомыслием и бунтарским характером. Авторы подробно описали головокружительный взлет молодого человека, очень рано добившегося успеха, и последовавшее за этим стремительное падение, во время которого Стив был изгнан не только из Apple, но и из компьютерной индустрии вообще.Эта книга приобрела скандальную известность еще на этапе ее подготовки к печати.