Кевин Митник - Искусство обмана

Вот пример, с которым вы уже, возможно, знакомы. Когда к вам приходит новая кредитная карта, вас просят позвонить в компанию-эмитент, чтобы там знали, что карта находится у ее владельца, а не кого-то, кто украл конверт на почте. В наши дни указания на карте, как правило, предписывают звонить вам из дома . Когда вы звоните, программа в компании анализирует номер, автоматически определенный на телефонном коммутаторе, через который проходят бесплатные звонки. Компьютер в компании-эмитенте сравнивает телефонный номер звонившего с номером в базе данных владельцев кредитных карт. К тому времени, как служащий возьмет трубку, на его дисплее будет отображена информация о клиенте из базы данных. служащий уже знает, что звонок сделан из дома клиента, .

Lingo

Аутентификация по двум условиям– использование двух разных типов аутентификации для идентификации. Например, человек может идентифицировать себя звоня из определенного места и зная пароль.

Затем служащий выбирает элемент отображаемых о вас данных – чаще всего номер (социального обеспечения), дату рождения, девичью фамилию матери – и задает вам вопрос. Если вы даете правильный ответ, это вторая форма аутентификации, основанная на сведениях, которые вы должны знать.

В компании, выпускающей защищенные радиосистемы, у каждого служащего, имеющего доступ к компьютеру, имелись имя и пароль, которые дополнялись небольшим электронным устройством – Secure ID (безопасный идентификатор). Это то, что называют синхронизируемым жетоном. Такие устройства делаются двух типов: одно из них размером с половину кредитной карты, но немного толще; другое настолько мало, что люди могут присоединить его к связке ключей.

В этом устройстве из мира криптографии имеется маленький шестиразрядный дисплей. Каждые 60 секунд на дисплее отображается новое шестизначное число. Когда человеку нужен доступ к сети, сначала он должен идентифицировать себя как зарегистрированного пользователя, введя секретный PIN-код и число, отображаемое его устройством. Пройдя проверку внутренней системы, он затем должен ввести имя и пароль.

Для получения исходного кода, которого так жаждал юный Дэнни, нужно было не только скомпрометировать имя пользователя и пароль одного из служащих (что не представляет особой сложности для опытного социального инженера), но и добраться до синхронизируемого жетона.

Прохождение аутентификации по двум условиям с использованием синхронизируемого жетона в сочетании с секретным PIN-кодом кажется невыполнимой миссией. Для социальных инженеров задача подобна той, когда игрок в покер, который обладает не просто умением «читать» своих противников.

Штурм крепости

Дэнни начал с тщательной подготовки. Вскоре он собрал вместе достаточно сведений, чтобы выдать себя за настоящего служащего. У него было имя, подразделение, телефонный номер служащего, а также имя и номер телефона руководителя.

Теперь было затишье перед штурмом. По составленному плану Дэнни нужна была еще одна вещь перед тем, как сделать следующий шаг, и это было то, чем он не управлял: ему нужна была метель. Ему нужна была помощь Матушки– природы в виде непогоды, которая бы не позволила работникам добраться до офиса. Зимой в Южной Дакоте тому, кто надеялся на плохую погоду, не приходилось ждать очень долго. В пятницу ночью началась метель. снег быстро превратился в град, так что к утру дороги были покрыты слоем льда. Это была отличная возможность для Дэнни.

Он позвонил на завод, попросил соединить с машинным залом и связался с оператором, который представился как Роджер Ковальски.

Назвав имя настоящего служащего, Дэнни сказал: «Это Боб Билингс. Я работаю в группе защищенной связи. Я сейчас дома и не могу приехать из-за метели. Проблема в том, что мне нужен доступ к моему компьютеру и серверу из дома, а я оставил безопасный ID в столе. Не могли бы вы принести его? Или кто-нибудь? А потом прочитать мой код, когда надо будет ввести его? Сроки выполнения у моей группы подходят к концу, и у меня нет другого способа закончить работу. И нет способа попасть в офис – дороги слишком опасны.»

Оператор сказал: «Я не могу оставить вычислительный центр» Дэнни завладел ситуацией: «А у вас есть безопасный ID?»

«В центре есть один, – сказал тот, —Мы храним один для операторов на случай крайней необходимости.»

«Послушайте, – сказал Дэнни, —Вы не могли бы оказать мне большую услугу? Можно позаимствовать ваш безопасный ID, когда мне нужно будет войти в сеть? На время, пока опасно ездить по дорогам?»