LibCat » Книги » Компьютеры и интернет » Прочая околокомпьтерная литература » Кевин Митник - Искусство обмана

Кевин Митник - Искусство обмана

Здесь есть возможность читать онлайн «Кевин Митник - Искусство обмана» весь текст электронной книги совершенно бесплатно (целиком полную версию без сокращений). В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Год выпуска: 2004, ISBN: 2004, Издательство: Компания АйТи, Жанр: Прочая околокомпьтерная литература, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Искусство обмана
Автор:
Кевин Митник
Издательство:
Компания АйТи
Жанр:
Прочая околокомпьтерная литература / на русском языке
Год:
2004
ISBN:
5-98453-011-2, 0-471-23712-4
Рейтинг книги:
3.6 / 5. Голосов: 5
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 80
- 1
- 2
- 3
- 4
- 5

Искусство обмана: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Искусство обмана»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Книга The Art of Deception – «Искусство обмана» – доказывает, насколько мы все уязвимы. В современном мире, где безопасность подчас выходит на первый план, на защиту компьютерных сетей и информации тратятся огромные деньги. Деньги тратятся на технологии безопасности. Эта книга объясняет, как просто бывает перехитрить всех защитников и обойти технологическую оборону, как работают социоинженеры и как отразить нападение с их стороны Кевин Митник и его соавтор, Бил Саймон рассказывают множество историй, которые раскрывают секреты социальной инженерии. Авторы дают практические советы по защите от атак, по обеспечению корпоративной безопасности и снижению информационной угрозы «Искусство обмана» не только демонстрирует, насколько опасна и вредоносна социоинженерия, но поможет разработать собственную программу тренинга по безопасности для сотрудников компании.

Искусство обмана — читать онлайн бесплатно полную книгу (весь текст) целиком

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Искусство обмана», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Человек или люди, ответственные за составление политики классификации данных, должны исследовать типы данных, которые кажутся безвредными и могут быть использованы законными служащими для получения доступа, но могут привести к получению важной информации. Хотя вы никогда не открыли бы коды доступа к вашей карте ATM, вы сказали бы кому-нибудь, какой сервер вы используете для разработки программных продуктов? Может ли кто-нибудь, притворяющийся кем-то с законным доступом к корпоративной сети, использовать эту информацию?

Иногда одно только знание внутренней терминологии может заставить социального инженера казаться авторитетным и хорошо осведомлённым. Часто атакующий полагается на это общее неправильное представление, чтобы добиться согласия его/её жертвы. Например, Merchant ID – это идентификатор, который люди из Отдела Новых Счетов банка небрежно используют каждый день. Но такой идентификатор то же самое, что пароль. Если каждый работник будет понимать природу этого идентификатора, что он предназначен для подтверждения подлинности, он будет относиться к нему с большим уважением.

Сообщение от Митника

Согласно старой пословице: даже у настоящих параноиков, возможно, есть враги. Мы должны согласиться, что у любого бизнеса тоже есть враги – атакующие, которые целятся в инфраструктуру сети, чтобы скомпрометировать бизнес-секреты. Недостаточно просто ознакомиться со статистикой по компьютерным преступлениям – пришло время поддерживать необходимую обороноспособность, осуществляя надлежащее средство управления через хорошо известные политики и процедуры безопасности.

Ни одна компания – хорошо, по крайней мере, очень немногие – дают прямые номера своих CEO или председателей правления. Однако большинство компаний не беспокоятся о выдаче телефонных номеров большинства отделов и рабочих групп в организации – особенно кому-то, кто кажется или на самом деле является служащим. Возможная контрмера: осуществить политику, которая запрещает выдачу посторонним внутренних телефонных номеров работников, подрядчиков, консультантов и других. Ещё важнее разработать пошаговую процедуру для выяснения действительно ли звонящий, спрашивающий о номерах, является настоящим служащим.

Коды рабочих групп и отделов, также как и копии корпоративных справочников (не важно, печатная копия, файл данных или электронная телефонная книга) частые цели социальных инженеров. Любой компании нужна письменная, хорошо разработанная политика касательно открытия информации этого типа. Нужно также завести учетную книгу записей, в которую будут записываться случаи, когда важная информация открывалась людям вне компании.

Информацию, вроде номера работника, не стоит использовать для аутентификации саму по себе. Любой работник должен быть обучен проверять не только личность, но и разрешение на получение информации.

В своем обучении безопасности предусмотрите обучение работников следующим подходам: всякий раз, когда незнакомец задаёт вопрос, научитесь сначала вежливо отключаться, пока запрос не будет проверен. Затем, прежде подтвердив его личность, следуйте политикам и процедурам компании, с уважением относясь к проверке и раскрытию непубличной информации. Этот стиль может идти вразрез нашему естественному желанию помочь другим, но небольшая здоровая паранойя может оказаться полезной, чтобы не стать следующей жертвой социального инженера.

Как показано в историях в этой главе, кажущаяся безвредной информация может быть ключом к самым существенным секретам компании.

Глава 3: Прямая атака: просто попроси

Перевод: Artem (artemsib@inbox.ru)

Многие атаки социальной инженерии являются сложными, включая в себя тщательно планируемый ряд шагов, сочетая манипуляцию и технологические знания.

Но меня всегда поражает, как искусный социальный инженер может достичь своей цели с помощью простой прямой атаки. Как вы увидите, все, что может понадобиться – просто попросить информацию.

Случай с центром назначения линий

Хотите узнать чей-нибудь неопубликованный номер телефона? Социальный инженер может сообщить вам полдюжины способов (некоторые из них вы найдете в других историях книги), но, возможно, самым простым из них будет обычный телефонный звонок, как этот.

Номер, пожалуйста

Атакующий позвонил по неофициальному номеру телефонной компании, в механизированный центр назначения линий (Mechanized Line Assignment Center). Он сказал женщине, поднявшей трубку: