Кевин Митник - Искусство вторжения

Мы прекрасно знаем, что охранники никогда не будут изучать бейджи сотрудников слишком внимательно (что, кроме всего прочего, просто невозможно, когда в начале и в конце рабочего дня у проходной выстраивается вереница сотрудников). Поэтому нужны другие методы защиты от нежелательных пришельцев. Более высокую степень защиты обеспечивают электронные считыватели карточек. Но охранника надо научить задавать вежливые вопросы тем, чья карточка не распознается этим считывателем. Как произошло в только что рассказанной истории, проблемой может быть не ошибка считывателя, а попытка атакующего проникнуть в охраняемое помещение.

Тренировки сотрудников компании в области безопасности становятся все популярнее, но им не хватает последовательности. Даже в компаниях с очень обширными подобными программами недооценивается необходимость специальной подготовки менеджеров для контроля над всеми их подчиненными. Компании, где сотрудники не проходят специальных тренировок — это компании со слабой безопасностью.

ПОСЛЕСЛОВИЕ

Не так часто читателям предоставляется возможность заглянуть в «творческие лаборатории» тех, кто внес значительный вклад в арсенал хакерских средств. Имена Mudge и l0phtCrack начертаны на скрижалях истории.

С точки зрения Дастина Дюкса из Callisma компании, которые просят провести у них проверку безопасности, часто идут наперекор своим собственным интересам. Вы никогда не узнаете, насколько уязвима ваша компания, пока не разрешите провести у вас полномасштабную проверку безо всяких ограничений, включая методы социальной инженерии и физического проникновения в сочетании с техническими атаками.

Даже зная о том, что многие организации не предпринимают необходимых мер по обеспечению своей безопасности, чтобы закрыть все двери перед хакерами, мы склонны думать, что уж наши-то деньги находятся в безопасном месте, так что никто не может добраться до нашего банковского счета или даже (совсем уж жуткий бред!) перевести деньги с него себе в карман.

Плохая новость заключается в том, что безопасность во многих банках и других финансовых организациях не так хороша, как думают об этом люди, ответственные за нее. Следующие истории иллюстрируют это утверждение.

В ДАЛЕКОЙ ЭСТОНИИ

Мы расскажем о том, что любой человек, даже не хакер, может проникнуть в банк. Это плохая новость как для банков, т а к и для любого из нас.

Я никогда не был в Эстонии, может даже никогда и не попаду туда. Это название ассоциируется у нас с древними замками, окруженными темными лесами и колоритными крестьянами — в общем, с такими местами, куда путешественнику не следует отправляться без достаточного запаса осиновых колов и серебряных пуль. Это невежественное представление (укрепившееся благодаря малобюджетным фильмам ужасов, снятым в лесах и замках Восточной Эстонии) совсем не соответствует действительности.

На самом деле все обстоит иначе. Эстония гораздо более современная страна, чем я представлял себе. Я узнал это от хакера по имени Юхан. который живет там. Двадцатитрехлетний Юхан живет в центре города, один в просторной четырехкомнатной квартире с «действительно высокими потолками и красивыми стенами».

Эстония, как я узнал, — совсем небольшая страна с населением 1,3 миллиона человек (это примерно население такого города, как Филадельфия), расположенная между Россией и Финским заливом. Таллинн, столицу Эстонии, до сих пор уродуют унылые коробки многоквартирных домов, неряшливые памятники тому, как канувшая в Лету Советская империя пыталась дать своим гражданам максимально экономичное жилье.

Юхан жаловался: «Когда люди хотят узнать что-то об Эстонии, они иногда спрашивают: „Есть ли у вас врачи? Есть ли у вас университет?“ А ведь 1 мая 2004 года Эстония стала членом Евросоюза». Многие эстонцы, по его словам, работают изо всех сил, чтобы перебраться из старых квартир советских времен в небольшие собственные коттеджи в тихом пригороде. Они мечтают о том моменте, когда смогут сесть за руль «надежной иномарки». На самом деле, у многих уже есть автомобили и все больше людей перебираются в собственные дома, «ситуация улучшается каждый год». И в технологическом смысле страна также не является отсталой, как объясняет Юхан.