Митник Кевин. Искусство обмана.

Возмездие Саманты

Саманта Грегсон была сердита.
Она тяжело работала над ее степенью по бизнесу в колледже, и накопила кипы студенческих займов чтобы заниматься этим. В нее всегда вбивалось, что степень колледжа – это как ты получил карьеру вместо работы, как заработал большие деньги. А потом она окончила колледж и не смогла нигде найти достойную работу.
Как она была рада получить предложение от компании Lambeck Manufacturing. Конечно, было унизительным принимать позицию секретаря, но м р Кэтрайт сказал как сильно они хотели взять ее, и что принятие секретарской работы засветило бы ее, когда следующая неадминистративная должность будет открытой.
Два месяца спустя она услышала, что один из младших менеджеров по продукции Кэтрайта собирался уходить. Она с трудом могла уснуть в ту ночь, представляя себя на пятом этаже, в офисе с дверью, посещая собрания и принимая решения.
На следующее утро она первым делом пошла повидать м ра Кэтрайта. Он сказал, что им кажется ей следовало бы побольше узнать об индустрии перед тем как она будет готова для профессиональной должности. А потом они пошли и наняли новичка за пределами компании, который знал об индустрии меньше нее.
Это было как раз перед тем, как до нее стало доходить: в компании было много женщин, но почти все они были секретаршами. Они и не собирались давать ей менеджерскую работу. Вообще никогда.
Расплата
Ей потребовалась около недели чтобы выяснить как она собирается им отплатить. Месяцем ранее парень из журнала индустриальной торговли попытался запасть на нее когда пришел на запуск нового продукта. Несколькими неделями спустя он позвонил ей на работу и сказал, что если бы она прислала некоторую дополнительную информацию на продукт с названием Cobra 273, он бы прислал ей цветы, а если бы это была на самом деле горячая информация, которую он мог бы использовать в журнале, он бы специально приехал из Чикаго просто чтобы пойти с ней поужинать.
Она побывала в офисе молодого м ра Джоэнссена буквально через день после того, как он имел доступ(залогинивался) к корпоративной сети. Не раздумывая, она проследила за его пальцами (“плечевой серфинг ”, как это иногда называется). Он ввел “marty63” в качестве своего пароля.
В ее плане все начинало сходиться. Была записка которую она, как она вспомнила, печатала немногим позденее ее прихода в компанию. Она нашла копию в файлах и напечатала новую версию, используя язык исходной. Ее версия читалась так:
КОМУ: К. Пелтон, отдел Информационных Технологий
ОТ: Л. Кэтрайт, отдел Разработок
Мартин Джоэнссен будет работать в команде специальных проектов в моем отделе.
Тем самым я авторизую его для получения доступа к серверам, используемым инженерной группой. Профиль безопасности м ра Джоэнссена будет обновлен для предоставления ему тех же прав доступа, как и у разработчика продукта.
Луис Кэтрайт
LINGO
ПЛЕЧЕВОЙ СЕРФИНГ Акт наблюдения за тем, как человек печатает на клавиатуре своего компьтера, с тем чтобы обнаружить и украсть его пароль или другую пользовательскую информацию.
Когда почти все ушли на ланч, она вырезала подпись м ра Кэтрайта из оригинальной(исходной) записки, вклеила ее в новую версию, и намалевала канцелярским корректором по краям. Она сделала копию с результата, а потом сделала копию с копии. Вы бы едва смогли различить кромки вокруг подписи. Она послала факс с машины неподалеку от офиса м ра Кэтрайта.
Три дня спустя она осталась внеурочно и подождала пока все уйдут. Она вошла в офис Джоэнссена и попробовала залогиниться в сеть с его именем пользователя и паролем, marty63. Это сработало.
В считанные минуты она обнаружила файлы спецификации продукта Cobra 273, и скачала их на Zip диск.
Диск надежно был в ее кошельке когда она вышла на прохладный ночной ветерок на парковочной стоянке. Диск был на своем пути к репортеру в тот вечер.
Анализ обмана
Недовольный сотрудник, поиск среди файлов, быстрая операция вырезки вставки и коррекции, немного творческого копировая, и факс. И, вуаля! – у нее есть доступ к конфиденциальным спецификациям на маркетинг и продукт.
И спустя несколько дней, у журналиста из журнала по торговле есть большой ковш со спецификациями и маркетинговыми планами нового горячего продукта, который будет в руках подписчиков журнала по всей индустрии месяцами ранее выпуска продукта. У компаний конкурентов будет несколько месяцев наперед, чтобы начать разрабатывать эквивалентные продукты и держать их рекламные кампании наготове, чтобы подорвать Cobra 273.
Естественно, журнал никогда не расскажет, где они взяли зацепку.

Предотвращение обмана

Когда спрашивают любую ценную, чувствительную, или критически важную информацию, которая может сослужить выгоду конкуренту или кому угодно еще, сотрудники должны быть осведомлены, что использование услуги “caller ID” в смысле подтверждения личности звонящего извне недопустимо. Некоторые другие средства подтверждения должны быть использованы, такие как сверка с куратором того человека по поводу того, что запрос был соответствующим, и что у пользователя есть авторизация для получения информации.
Процесс проверки требует балансировочного акта, который каждая компания должна определить для себя: безопасность против продуктивности. Какой приоритет будет назначен для усиления мер безопасности? Будут ли сотрудники сопротивляться следованию процедур безопасности, и даже обходить их в порядке дополнения к их рабочим обязанностям? Понимают ли сотрудники почему безопасность важна для компании и для них самих? На эти вопросы должны быть найдены ответы чтобы разработать политику безопасности, основанную на корпоративной культуре и деловых нуждах.
Большинство людей неизбежно видят досаду во всем, что пересекается с выполнением их работы, и могут обойти любые меры безопасности, которые кажутся пустой тратой времени. Мотивировать сотрудников сделать безопасность частью их повседневных обязанностей через обучение и осведомленность – это и есть ключ.
И хотя сервис “caller ID” никогда не должен использоваться в смысле аутентификации для голосовых звонков извне компании, другой метод, называемый Автоматическим Определением Номера (АОН – Automated Number Identification, ANI), может. Эта услуга предоставляется когда компания подписывается на бесплатные услуги, где компания платит за исходящие звонки и надежна для идентификации. В отличие от “caller ID”, коммутатор телефонной компании не использует любого рода информацию, которая посылается от потребителя когда предоставляется номер вызывающего. Номер, передаваемый АОН’ом, является оплачиваемым номером, назначенным звонящей стороне.
Заметьте, что несколько изготовителей модемов добавили функцию “caller ID” в их продукты, защищая корпоративную сеть путем дозволения звонков удаленного доступа только из списка заранее авторизованных телефонных номеров. Модемы с “caller ID” – дупустимая мера аутентификации в низко безопасном окружении, но, как уже должно быть ясно, подмена caller ID – относительно простая техника для компьютерных злоумышленников, и поэтому не должна служить опорой для подтверждения личности звонящего или местнонахождения в обстановке высокой безопасности.
Чтобы адресовать случай с воровством личности, как в истории с обманом администратора для создания ящика голосовой почты на корпоративной телефонной системе, сделайте такую политику, чтобы весь телефонный сервис, все ящики голосовой почты, и все записи в корпоративный справочник, обоих видов – печатные и онлайновые – должны быть запрошены в письменном виде, на бланке/форме по назначению. Менеджер сотрудника должен подписать запрос, а администратор голосовой почты должен проверить подпись.
Корпоративная политика безопасности должна требовать, чтобы все компьютерные аккаунты или повышения прав доступа предоставлялись только после положительной верификации персоны, осуществляющей запрос, такими путями, как перезвон системному менеджеру или администратору, или его/ее поверенному, по телефонному номеру, указанному в печатном или онлайновом справочнике. Если компания использует защищенную электронную почту, где сотрудники могут подписывать сообщения Электронной Цифровой Подписью, такой альтернативный метод верификации тоже может быть допустимым.
Помните, что каждый сотрудник, независимо от того имеет ли он доступ к компьютерным системам компании, может стать жертвой обмана социального инженера. Каждый должен быть включен в тренинги осведомления о безопасности. Асситенты администратора, регистраторы, телефонные операторы и охранники должны быть знакомы с теми типами атак социального инжениринга, которые более вероятно будут направлены против них, так что они будут лучше подготовлены к защите от этих атак.

Глава 15: Знание об информационной безопасности и тренировки

(Chapter 15 Information Security Awareness and Training)
//Глава еще будет редактироваться
Перевод: sly (http://slyworks.net.ru ) ICQ:239940067

Cоциальный инженер задумал заполучить проект (исходники) Вашего нового продукта за 2 месяца до релиза.
Что остановит его?
Ваш файервол? Нет.
Мощная система идентификации? Нет.
Система обнаружения вторжений? Нет.
Шифрование данных? Нет.
Ограничение доступа к номерам дозвона модемов? Нет.
Кодовые имена серверов, которые затрудняют определение местонахождения проекта искомого продукта? Нет.
Смысл здесь в том, что никакая технология в мире не сможет противостоять атаке социального инженера.

Обеспечение безопасности с помощью технологии, тренировки и процедуры

Компании, которые проводят тесты на возможность проникновения, сообщают, что их попытки проникнуть в компьютерную систему компании с помощью методов социнженерии практически в 100% случаев удаются. Технологии безопасности могут усложнить этот тип атак путем исключения людей из процесса принятия решений. Тем не менее истинно эффективный путь ослабить угрозу социальной инженерии можно через использование технологий безопасности, комбинированных с политикой безопасности, которая устанавливает правила поведения служащих, а также включающих обучение и тренировку сотрудников.
Единственный путь сохранить разработки Вашего продукта нетронутыми – иметь тренированную, знающую и добросовестную рабочую команду. Это подразумевает тренировку с использованием политик и процедур, но, вероятно, более важным является переход к программе распределенной осведомленности. Некоторые компании, занимающиеся вопросами безопасности, рекомендуют тратить на тренировку таких программ до 40% бюджета компании.
Первый шаг – приучить каждого на предприятии к мысли, что существуют бессовестные люди, которые могут с помощью обмана и психологии манипулировать ими. Служащие должны знать, какая информация нуждается в защите, и как эту защиту осуществлять. Однажды хорошо прочувствовав и поняв, как можно поддаться чужим манипуляциям, они будут находиться в намного более выгодной позиции, чтобы распознать атаку.
Осведомление о безопасности включает также обучение каждого работающего в компании политикам и процедурам. Как обсуждается в главе 17, политики – это необходимые и обязательные правила, которые описывают поведение сотрудников для защиты корпоративной информационной системы и особо ценной информации.
Эта и следующая главы показывают безопасный шаблон (blueprint – синька, светокопия), который обезопасит Вас от атак, которые дорого могут Вам обойтись. Если Вы не тренируете персонал, следующий процедурам обработки информации (well– thought –out procedures), это до того момента, пока Вы не потеряете информацию благодаря социальному инженеру. Не тратьте время, ожидая атак, которые могут случиться, пока решаете, разрабатывать или не разрабатывать политики безопасности: они могут разорить Ваш бизнес и разрушить благополучие Ваших рабочих.

Понимание того, как атакующий может воспользоваться человеческой природой

Для того, чтобы разработать действенную программу обучения, Вы должны понять, почему люди в первую очередь уязвимы для атак. Для выделения этих тенденций в вашей программе, например, обратить на них внимание благодаря дискуссии – этим Вы поможете сотрудникам понять, как социальный инженер может манипулировать людьми.
Манипуляция начала изучаться социальными исследователями в последние 50 лет. Robert B. Cialdini, написавший в «Американской науке» (Февраль 2001), объединил результаты этих исследований и выделил 6 «черт человеческой натуры», которые используются в попытке получения нужного ответа.
Это 6 приемов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулировать.
Авторитетность
Людям свойственно желание услужить (удовлетворить запрос) человеку с авторитетом (властью). Как говорилось раньше, человек получит нужный ответ, если сотрудник уверен, что спрашивающий имеет власть или право задавать этот вопрос.
В своей книге «Влияние» Dr. Cialdini написал об обучении в 3 госпиталях Мидвестерна, в которых аппараты 22 медсестер соединялись с человеком, который выдавал себя за физиотерапевта, инструктируя административный персонал на выписку рецепта препарата (наркотика?) пациенту. Медсестры, которые получили это указание, не знали звонившего. Они не знали, действительно ли он доктор (а он им не был). Они получали инструкции для выписки рецепта по телефону, что нарушает политику безопасности госпиталя. Препарат, который указывался, не разрешен к применению, а его доза составляла в 2 раза большую, чем допустимая суточная норма – все это может опасно отразиться на состоянии здоровья пациента или даже убить его. Более чем в 95% случаев Cialdini сообщает, что «медсестра брала необходимую дозу из палаты с медикаментами и уже была на пути к палате указанного пациента», где перехватывалась наблюдателем, который сообщал ей об эксперименте.