Искусство обмана, стр. 22

Она даже не заподозрила ничего, когда Крэйг попросил отправить список по факсу вместо электронной почты, обычно более удобной на обеих концах. Почему она была настолько легковерна? Как и многие другие сотрудники, она не хотела, чтобы босс по возвращению узнал, что она отказала звонящему, который просто пытался сделать что-то, о чем попросил ее директор. Кроме того, звонящий сказал, что босс не только разрешил выполнить просьбу, но и попросил помочь. Опять, здесь пример, как кто-то изъявляет сильное желание «играть в команде».

Крэйг избежал риска физического проникновения в здание, просто отправив факс секретарше, зная, что она скорее всего поможет. Секретарей обычно выбираются за очаровательные личные качества и возможность произвести хорошее впечатление. Оказание небольших услуг, отправка и прием факса входит в должность секретарши, и Крэйг хотел извлечь выгоду из этого факта. То, с чем она столкнулась — информация, которая могла бы поднять тревогу, если бы кто-нибудь знал ее цену. Но как может она распознать, какая информация безвредна, а какая — конфиденциальна?

Используя другой стиль манипуляции, Крэйг разыгрывал смущение и наивность, чтобы убедить парня в отделе компьютерных операций предоставить dial-up доступ к терминальному серверу компании, используемого в качестве места для подключения к компьютерным системам локальной сети.

Сообщение от Митника

Главная задача каждого сотрудника — сделать свою работу. Под этим давлением, безопасность переходит на второй план и игнорируется. Социальные инженеры рассчитывают на это, когда занимаются своим искусством.

Крэйг смог с легкостью подключиться, используя стандартный пароль, который никогда не менялся, один из бросающихся в глаза, широко-открытых пробелов, которые существуют во многих локальных сетях, которые основываются на фаэрволах. На самом деле, стандартные пароли многих операционных систем, роутеров и других продуктов, включая PBX, доступны в сети. Любой социальный инженер, хакер, промышленный шпион, а также просто любопытствующий может найти список на http://www.phenoelit.de/dpl/dpl.html (Просто невероятно, как облегчает Интернет жизнь тех, кто знает где искать, и теперь вы знаете).

Коборн смог убедить осторожного, подозрительного мужчину («Какая там у вас фамилия? Кто ваш начальник?») сообщить его имя пользователя и пароль, чтобы он мог мог получить доступ к серверам, используемым командой разработчиков. Это было аналогично оставлению Крэйга с открытой дверью и возможностью работать с самыми охраняемыми секретами компании, качать схемы нового продукта.

А что если Стив Крэмер продолжил чувствовать нечто подозрительное насчет звонка Крэйга? Это маловероятно, что он решит рассказать о своих подозрениях раньше, чем появится на работе утром в понедельник, что было бы поздно для предотвращения атаки.

И еще один ключ к последней уловке: Крэйг сначала относился безответственно и незаинтересованно к требованиям Стива, а потом изменил интонации, будто он пытается помочь Стиву завершить его работу. В большинстве случаев, если жертва верит, что ей пытаются помочь или оказать услугу, то расстанется с конфиденциальной информацией, которую она защищала бы в другом случае.

Предотвращение обмана

Один из наиболее мощных трюков социального инженера включает «перевод стрелок». Это именно то, что вы видели в этой главе. Социальный инженер создает проблему, а потом чудесным образом ее решает, обманом заставляя жертву предоставить доступ к самым охраняемым секретам компании. А ваши сотрудники попадутся на эту уловку? А вы позаботились о создании и применении специальных правил безопасности, которые могли бы предотвратить такое?

Учиться, учиться и еще раз учиться

Есть старая история о туристе в Нью-Йорке, который остановил мужчину на улице и спросил: «Как пройти к Carnegie hall»? Мужчина ответил: «Тренироваться, тренироваться, тренироваться». Все уязвимы к атакам социальных инженеров, и единственная эффективная система защиты компании — обучать и тренировать людей, давая им необходимые навыки для распознавания социального инженера. А потом постоянно напоминать людям о том, что они выучили на тренировке, но способны забыть.

Все в организации должны быть обучены проявлять некоторую долю подозрения при общении с людьми, которых они не знают лично, особенно когда кто-либо просит любой вид доступа к компьютеру или сети. Это естественно для человека — стремиться доверять другим, но как говорят японцы, бизнес это война. Ваш бизнес не может позволить себе ослабить защиту. Корпоративная техника безопасности должна четко отделять положенное и не положенное поведение.

Безопасность — не «один размер на всех». Персонал в бизнесе обычно разделяет роли и обязанности, и у каждой должности есть свои уязвимости. Должен быть базовый уровень обучения, который надо пройти всем в компании, но кроме того каждый сотрудник должен быть обучен в соответствии со своим профилем работы придерживаться некоторых процедур, которые уменьшают вероятность возникновения упомянутых в этой главе проблем. Люди, которые работают с важной информацией или поставлены на места, требующие доверия, должны получить особое специализированное обучение.

Безопасное хранение важной информации

Когда к людям подходит незнакомец и предлагает свою помощь, как описано в историях в этой главе, работники должны опираться на технику безопасности компании, которая создана в соответствии с нуждами бизнеса, размером и видом вашей компании.

Заметка

Лично я не считаю, что бизнес должен разрешать любой обмен паролями. Гораздо проще выработать жесткое правило, которое запретит персоналу использовать общий пароль или обмениваться ими. Так безопасней. Но каждый бизнес должен учитывать его специфику и соответствующие меры безопасности.

Никогда не сотрудничайте с незнакомцем, который просит вас посмотреть информацию, набрать незнакомые команды на компьютере, изменить настройки ПО, или, самое разрушительное из всего — открыть приложение к письму или скачать непроверенную программу. Любая программа, даже та, которая, на ваш взгляд, ничего не делает, может не быть настолько невинной, как кажется.

Есть некоторые процедуры, о которых, независимо от качества нашего обучения, мы часто имеем тенденцию забывать через определенное время. Часто мы забываем наше обучение в то время, когда оно нам как раз нужно. Вы можете подумать, что о том, что нельзя выдавать свое имя пользователя и пароль знают все(или должны знать) и практически не надо напоминать об этом: это просто здравый смысл. Но на самом деле, каждому сотруднику надо постоянно напоминать, что сообщение имени пользователя и пароля к офисному или домашнему компьютеру и даже устройству в почтовом отделе эквивалентно сообщению PIN-кода карточки ATM.

Часто возникают достоверные ситуации, когда это необходимо, а возможно даже важно дать кому-либо конфиденциальную информацию. По этой причине, надо сделать четкое правило о «никогда не…» При этом, в ваших правилах безопасности и процедурах должны быть особенности об условиях, при которых работник может сообщать его или ее пароль и, самое главное — кому разрешено спрашивать эту информацию.

Учитывай источник

Во многих организациях должно существовать правило, что любая информация, которая может причинить вред компании или сотруднику, может быть выдана только тому, с которым сотрудник, владеющий информацией знаком в лицо или чей голос настолько знаком, что вы узнаете его без вопросов.

В высокобезопасных ситуациях, единственные просьбы, которые можно выполнять — это те, которые получены лично или с серьезным подтверждением, к примеру, две отдельных вещи, как общий секрет и временной жетон (time-based token).

Процедуры классификации данных должны предусматривать, что никакая информация не должна быть предоставлена из отдела организации, работающего с секретами, кому-либо, не знакомому лично или подтвержденному каким-либо способом.