Кевин Митник - Искусство обмана

Следующий шаг требовал нахальства – Дэнни позвонил Ковальски и пожаловался: «Мой сервер не разрешает мне соединиться», и сказал: «Мне нужна учетная запись на одном из компьютеров вашего отдела, чтобы я мог использовать Телнет для соединения с моей системой».

Руководитель уже одобрил раскрытие кода доступа, отображаемого на синхронизируемом жетоне, поэтому новое требование не показалось чрезмерным. Ковальски создал временную учетную запись и пароль на одном из компьютеров вычислительного центра и попросил Дэнни «позвонить, когда учетная запись будет больше не нужна, чтобы я удалил ее».

Зайдя с временной учетной записью, Дэнни мог соединиться по сети с компьютерными системами Группы защищенной связи. После часового поиска уязвимости , которая давала ему доступ к главному серверу, он сорвал куш. Очевидно, системный администратор не следил за последними известиями об ошибках безопасности, которые давали удаленный доступ. Зато Дэнни был хорошо осведомлен об этом.

За короткий срок он нашел файлы с исходными кодами и отправил их на сайт, который предоставлял бесплатное место для хранения. Здесь, даже если файлы были бы обнаружены, на его след никогда не смогли бы выйти.

Перед выходом оставался один заключительный шаг: методичное уничтожение своих следов. Он закончил до того как закончилось шоу Джея Лено. Для Дэнни это была очень хорошая работа на выходных. И он ни разу не подвергнул себя риску. Это было опьяняющее возбуждение, даже лучше чем сноубординг или прыжки с парашютом.

Дэнни был пьян той ночью, не от виски, джина, пива, а от могущества и чувства завершенности, приблизившись к чрезвычайно секретной программе.

Анализ обмана

Как и в предыдущей истории, уловка сработала только потому, что один из работников компании слишком охотно принял, что звонящий был действительно служащим, которым он представился. Стремление помочь сотруднику, с одной стороны, является частью того, что смазывает колеса промышленности, и частью того, что делает приятным работу служащих одних компаний с работниками других организаций. Но с другой стороны, эта полезность может быть главной уязвимостью, которую попытается использовать социальный инженер.

Одна деталь в махинации Дэнни была восхитительной. Когда он просил кого-нибудь принести жетон из своего стола, он настаивал на том, чтобы кто-то «принес» его для него. «Принеси» – это команда, которую вы даете своей собаке. Никто не хочет, чтобы ему велели принести что-нибудь. С помощью одного слова Дэнни сделал так, чтобы просьба была отклонена, было принято другое решение, именно то, которое хотелось ему.

Оператор вычислительного центра, Ковальски, был обманут Дэнни с помощью имен людей, которых он знал. Но почему руководитель Ковальски – IT-руководитель, не меньше, – позволил чужаку проникнуть во внутреннюю сеть компании? Просто потому что звонок о помощи может быть мощным убедительным инструментом в арсенале социального инженера.

Сообщение от Митника

Эта история показывает, что синхронизируемые жетоны и простые формы аутентификации не может быть защитой против коварного социального инженера.

Может что-то подобное случиться в вашей компании? Случилось ли уже?

Предотвращение обмана

Может показаться, что один элемент часто упоминается в этих историях – атакующий приспосабливается звонить в компьютерную сеть компании снаружи, минуя служащего, который помогал бы ему, удостоверившись в том, что звонящий действительно является работником, и у него есть право доступа. Почему я так часто возвращаюсь к этой теме? Потому что это правда один из факторов многих атак социальной инженерии. Для социального инженера это самый легкий путь к достижению цели. Почему атакующий должен тратить часы на вторжение, когда он может сделать это с помощью обычного телефонного звонка?

Один из самых мощных методов провести атаку —это обычная уловка с просьбой о помощи, подход, часто используемый атакующими. Вы не хотите, чтобы ваши служащие перестали быть полезными для коллег и клиентов, поэтому вам нужно вооружить их особыми процедурами подтверждения для всех, кто запрашивает компьютерный доступ или конфиденциальную информацию. Этот способ , служащие могут быть полезными для тех, кто заслуживает помощи, но в то же время защищают информационное имущество и компьютерные системы организации.

Необходимо детально разобрать, какой механизм подтверждения следует использовать в различных случаях. В главе 17 приведен список процедур, есть руководящие принципы для рассмотрения.