Кевин Митник - Искусство обмана
- Название:Искусство обмана
- Автор:
- Жанр:
- Издательство:Компания АйТи
- Год:2004
- ISBN:5-98453-011-2, 0-471-23712-4
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Кевин Митник - Искусство обмана краткое содержание
Книга The Art of Deception – «Искусство обмана» – доказывает, насколько мы все уязвимы. В современном мире, где безопасность подчас выходит на первый план, на защиту компьютерных сетей и информации тратятся огромные деньги. Деньги тратятся на технологии безопасности. Эта книга объясняет, как просто бывает перехитрить всех защитников и обойти технологическую оборону, как работают социоинженеры и как отразить нападение с их стороны Кевин Митник и его соавтор, Бил Саймон рассказывают множество историй, которые раскрывают секреты социальной инженерии. Авторы дают практические советы по защите от атак, по обеспечению корпоративной безопасности и снижению информационной угрозы «Искусство обмана» не только демонстрирует, насколько опасна и вредоносна социоинженерия, но поможет разработать собственную программу тренинга по безопасности для сотрудников компании.
Искусство обмана - читать онлайн бесплатно полную версию (весь текст целиком)
Интервал:
Закладка:
Мужчина открыл дверь, опять закрыл ее за Нэдом, и пошел по коридору, включая свет, чтобы Нэд видел, куда идти. А почему бы и нет – ведь он по идее один из тех, кто помогает ему класть еду на стол. По крайней мере, у него были все причины так думать.
Нэд сел за компьютер одного из сотрудников и включил его. Пока он включал его, он установил устройство, которое ему дали, на порт USB, достаточно маленькое, чтобы носить в связке ключей, и, тем не менее способное умещать до 120 мегабайт информации. Он подключился к сети, используя логин и пароль секретарши сотрудника, приклеенный на бумажке к дисплею. Менее чем за 5 минут, Нэд скачал все файлы с таблицами и документами с рабочего компьютера и сетевых папок партнера, и уже направлялся к дому.
Сообщение от Митника
Промышленные шпионы и компьютерные взломщики иногда физически проникают в цель. Они не используют лом, чтобы пройти, социальные инженеры используют искусство обмана, чтобы повлиять на человека с другой стороны двери, который откроет дверь для него.
Легкие деньги
Когда а впервые познакомился с компьютерами в старших классах школы, нам приходилось подключаться к одному центральному миникомпьютеру DEC PDP 11, расположенному в пригороде Лос-Анджелеса, который использовали все школы Л.А. Операционная система на компьютере называлась RSTS/E, и эта была первая операционная система, с которой я научился работать.
В то время, в 1981 году, DEC устраивали ежегодную конференцию для своих пользователей, и в этом году конференция пройдет в Л.А. В популярном журнале для пользователей этой операционной системы было объявление о новой разработке по безопасности, Lock-11. Этот продукт продвигали с хорошей рекламной кампанией, где говорилось нечто вроде: «Сейчас 3:30 утра, и Джонни с другого конца улицы нашел ваш номер дозвона, 555-0336, с 336й попытки. Он внутри, а вы в пролете. Покупайте Lock-11». Продукт, как говорилось в рекламе, был «хакероустойчивым». И его собирались показать на конференции.
Я жаждал посмотреть на разработку. Друг старшеклассник, Винни, являвшийся моим партнером по хакингу в течение нескольких лет, впоследствии ставший государственным информатором против меня, разделял мой интерес к новому продукту DEC, и воодушевил меня на поход на конференцию с ним.
Деньги на линии
Мы пришли и обнаружили большой переполох в толпе около презентации Lock-11. Похоже, что разработчики ставили деньги на то, что никто не сможет взломать их продукт. Звучит как вызов, перед которым я не смог устоять.
Мы направились прямо к стенду Lock-11, и обнаружили, что руководят там разработчики проекта; я узнал их, и они узнали меня – даже в юности у меня уже была репутация фрикера и хакера из-за большого рассказа в LA Times о моем первом контакте с властями. В статье рассказывалось, как я благодаря одним диалогам вошел посреди ночи в здание Pacific Telephone (телефонная компания – прим. переводчика), и вышел с компьютерными руководствами, прямо перед носом у их охраны. ( Похоже, что Times хотели напечатать сенсационный рассказ, и в своих целях напечатали мое имя; я был еще несовершеннолетним, и статья нарушала не только традиции, а возможно даже закон о сокрытии имен несовершеннолетних, обвиненных в правонарушении.)
Когда Винни и я подошли, это вызвало интерес у обеих сторон. С их стороны был интерес, потому что они узнали во мне хакера, о котором читали, и были немного шокированы, увидав меня. Интерес с нашей стороны вызвало то, что у каждого из трех разработчиков, стоявших там, был чек на $100, торчавший из значка участника конференции. В сумме приз для любого, кто сможет взломать их систему, составлял $300 – и это показалось большой суммой денег для пары тинэйджеров. Мы с трудом могли дождаться того, чтобы начать.
Lock-11 был спроектирован по признанному принципу, полагавшемуся на два уровня безопасности. У пользователя должен был быть верный идентификационный номер и пароль, но и вдобавок этот идентификационный номер и пароль будут работать, только если они введены с уполномоченного терминала, подход называемый terminal-based security (безопасность, основанная на терминалах) . Чтобы победить систему, хакеру бы понадобилось не только знание идентификационного номера и пароля, но и пришлось бы ввести информацию с правильного компьютера. Метод был хорошо признанным, и изобретатели Lock-11 были убеждены, что он будет держать плохих парней подальше. Мы решили преподать им урок, и заработать триста баксов.
Знакомый парень, который считался гуру в RSTS/E, уже подошел к стенду раньше нас. Несколько лет назад, он был одним из тех парней, кто озадачил меня взломом внутреннего компьютера разработчиков DEC, после чего его сообщники выдали меня. Теперь он стал уважаемым программистом. Мы узнали, что он пытался взломать программу безопасности Lock-11, незадолго до того, как мы пришли, но не смог. Этот инцидент дал разработчикам еще большую уверенность, что их продукт действительно безопасен.
Соревнование было непосредственным испытанием: ты взламываешь – ты получаешь деньги. Хороший публичный трюк … если кто-нибудь не опозорит их и заберет деньги. Они были так уверены в своей разработке, и были достаточно наглыми, что даже приклеили распечатку на стенд с номерами учетных записей и соответствующих паролей в системе. Но не только пользовательские учетные записи, но и все привилегированные.
Это было гораздо менее приятно, чем звучит. С таким видом настроек, я знал, что каждый терминал подключен к порту на самом компьютере. Это – не ракетная физика, чтобы догадаться, что они установили пять терминалов в зале для конференций, и посетитель мог войти только как непривилегированный пользователь – это значит, что подключения были возможны только с учетных записей с правами системного администратора. Похоже, что было только два пути: обойти систему безопасности, для предотвращения чего и был рассчитан Lock-11, или как-нибудь обойти программное обеспечение, как разработчики даже не представляли.
LINGO
Terminal-based security– Безопасность, частично основанная на идентификации конкретного используемого компьютера; этот метод был особо популярен с главными компьютерами IBM.
Вызов принят
Мы с Винни уходили и говорили о конкурсе, и я придумал план. Мы невинно ходили вокруг, поглядывая на стенд с расстояния. Во время обеда, когда толпа разошлась, и трое разработчиков решили воспользоваться перерывом и пошли вместе купить себе что-нибудь поесть, оставив женщину, которая могла быть женой или девушкой одного из них. Мы прогуливались туда-сюда, и я отвлекал женщину, разговаривал с ней о разных вещах: «давно ли ты работаешь в компании?», «какие еще продукты вашей компании имеются в продаже» и т.д.
Читать дальшеИнтервал:
Закладка:
