Кевин Митник - Искусство вторжения

Через какое-то время Ларри оставил меня, чтобы сделать несколько звонков и з а н я т ь с я своими делами. Предоставленный самому себе, Урли отсканировал сеть и смог проникнуть в несколько компьютеров, работающих как под Windows, так и под Linux, благодаря слабым паролям, а затем провел еще два часа, копируя разнообразную информацию из сети и даже з а п и с ы в а я ее на D V D , «о чем мне не было задано никаких вопросов».

«Завершив все свои дела, я подумал, что будет очень забавно и полезно попытаться сделать еще одну вещь. Я подошел к каждому, с кем мне пришлось общаться, даже к тем, с кем меня видели лишь короткое время, и сказал им такую фразу: „Слушайте, сделайте мне одолжение, Я люблю собирать фото всех мест, где я был, и людей, с которыми работал. Вы не согласитесь сфотографироваться со мной?“ Это бывает удивительно просто».

Некоторые сотрудники даже приглашали соседей из своих офисов, чтобы сфотографироваться вместе с ними.

У него уже было несколько бейджей, сетевых диаграмм и успешных доступов в сеть. Все это он тоже сфотографировал.

Во время заключительной встречи с заказчиками, глава внутреннего аудита пожаловался, что Урли не должен был физически проникать на территорию компании, «он не должен был атаковать таким путем». Урли также было сказано, что его действия граничат с «криминалом» и заказчики не приемлют подобных действий. Он объясняет:

«Почему казино считает мои действия нечестными? Ответ очень простой. Я никогда до этого не работал с казино и совершенно не знал их правил. Мой отчет мог привести к тому, что их компания подверглась бы аудиту Комиссии по играм, что могло привести к серьезным финансовым потерям».

Однако гонорар Урли был выплачен полностью, поэтому он совершенно не огорчился. Он искренне хотел произвести на клиента хорошее впечатление, но чувствовал, что они просто ненавидят его за использованные методы и считают их нечестными по отношению к компании и ее сотрудникам. «Они ясно дали мне понять, что больше не хотят иметь со мной дела».

Такого с ним еще не случалось — обычно клиенты принимали все результаты его проверок и смотрели на них, по его словам, как «на результаты серьезного анализа», что означало, что они вполне удовлетворены его методами проверки, адекватными тем, которые используют хакеры или социальные инженеры в реальной жизни. «Клиентов всегда впечатляли мои результаты. И я радовался и негодовал вместе с ними — до этого случая».

Подводя итог, Урли считает свою работу в Вегасе удачной в плане тестирования и неудачной в плане взаимоотношений с клиентом. «Боюсь, что больше мне в Вегасе не работать» — сожалеет он.

Можно только пожелать Комиссии по играм в дальнейшем иметь дело только с этичными хакерами, использующими исключительно высокоморальные пути проникновения в казино…

АНАЛИЗ

Социальный психолог Бред Сагарин, доктор философии, который специально исследовал технологии убеждения, так описывает арсенал социальных инженеров: «В их действиях нет ничего волшебного. Социальные инженеры используют те же способы убеждения, что и все мы повседневно. Мы играем какие-то роли. Мы стараемся завоевать доверие. Мы призываем к выполнению взаимных обязательств. Но социальный инженер использует все это только для того, чтобы манипулировать людьми, обманывать их самым подлым образом, часто с разрушительным эффектом».

Мы попросили доктора Сагарина описать психологические принципы, лежащие в основе самых распространенных методов социальных инженеров. В некоторых случаях он подкреплял свои объяснения примерами из предыдущей книги Митника и Саймона «Искусство обмана», которые иллюстрируют ту или иную тактику.

Каждый раздел начинается с простого объяснения принципа и наглядного примера.

ВХОЖДЕНИЕ В Р О Л Ь

Социальный инженер обычно демонстрирует несколько характерных признаков той роли, которую он разыгрывает. Большинство из нас самостоятельно награждают исполнителя определенной роли дополнительными характеристиками, после того, как нам продемонстрируют некоторые знаковые элементы: мы видим человека в строгом костюме, рубашке и при галстуке, и автоматически предполагаем, что он умен, надежен и работоспособен.

Пример :когда Урли вошел в комнату наблюдения, он был одет в хороший костюм и говорил уверенным командным голосом, и люди в комнате автоматически стали выполнять его указания. Он успешно совершил перехват роли менеджера казино.

Практически каждая атака социального инженера использует вхождение в роль, так что жертва атаки домысливает другие свойства роли и действует соответственно. Такой ролью может быть ИТ-техник, клиент, новый сотрудник или многие другие, которые лучше соответствуют потребностям атакующего.

Чаще всего вхождение в роль включает упоминание имени начальника «мишени», или имен других известных ему сотрудников, или использование местных терминов и жаргона. Для атаки на конкретного человека атакующий старается выбрать соответствующую одежду, аксессуары (значок компании, браслет, дорогую ручку, перстень с символикой престижной школы), стиль прически — все это способствует вхождению в роль, на которую претендует атакующий.

Сила этого метода заключается в том, что если вы посчитали человека кем-то — начальником, клиентом, обычным сотрудником, вы переносите на него и другие характеристики его образа (начальник всегда энергичен и уверен в себе, разработчик программ очень умен, но в социальном плане может выглядеть не слишком блестяще, сотруднику компании всегда можно доверять).

Сколько же нужно приложить усилий, чтобы люди тебе поверили? Не т а к много.

ДОВЕРИЕ

Установление доверительных отношений — это одна из наиболее распространенных атак социальной инженерии, фундамент всего следующего в дальнейшем.

Пример :Урли вынудил Р и ч а р д а — начальника департамента ИТ — предложить ему пообедать вместе, прекрасно понимая, что все те, кто увидят его вместе с Ричардом, проникнутся к нему доверием.

Доктор Сагарин выделяет три метода, используемых в «Искусстве обмана», которые используют социальные инженеры для создания атмосферы доверия. Один из них заключается в том, что атакующий говорит нечто, что якобы работает против его интересов, как, например, в Главе 8 «Искусства обмана» в истории «Один простой звонок», когда атакующий сказал своей жертве: «Теперь напечатайте ваш пароль, но не называйте мне его. Вы никогда и никому не должны называть свой пароль, даже сотрудникам ИТ-персонала». Подобную фразу наверняка может произнести только честный человек.