Кевин Митник - Искусство обмана

Организации нужно заранее спланировать, что делать в конкретной ситуации, как эта, прежде чем она произойдет и соответственно обучить людей. По моему опыту, я узнал что большинство, если не весь частный бизнес неточен в этой части физической безопасности. Вы можете попробовать подойти к проблеме с другой стороны, возложив бремя на сотрудников своей компании. Компании без круглосуточной охраны должны сообщать сотрудникам, что если им понадобится войти после рабочего дня, им придется воспользоваться собственными ключами или электронными картами, и не должны ставить уборщиков в положение выбора, кого можно пропустить. Сообщите уборочной компании, что их люди должны быть обучены не впускать кого-либо в помещение в любое время. Это простое правило – никому не открывайте дверь. Если нужно, то это может быть включено в контракт с уборочной компанией.

Также уборщики должны знать о технике «piggyback»(посторонние люди следуют за уполномоченным человеком через безопасный вход). Они должны быть обучены не разрешать другим людям входить в здание только потому, что он выглядит как сотрудник.

Примерно три или четыре раза в год устраивайте тест на проникновение или оценку уязвимости. Попросите кого-нибудь подойти к двери, когда работают уборщики, и попробуйте проникнуть в здание. Но лучше не используйте для этого собственных сотрудников, а наймите сотрудников фирмы, специализирующейся на этом виде тестов на проникновение.

Передай другому: Защити свои пароли

Организации становятся все более и более бдительными, усиливая технику безопасности техническими методами, например, конфигурируя операционную систему усложнять технику безопасности паролей и ограничить число неверных вводов перед блокированием аккаунта. На самом деле, такое свойство встроено в платформы Microsoft Windows, которые предназначены для бизнеса. Но, зная как раздражают покупателей свойства, которые требуют лишних усилий, продукты обычно поставляются с отключенными функциями. Уже пора бы разработчикам прекратить поставлять продукты с отключенными по умолчанию функциями безопасности, когда все должно быть наоборот( я подозреваю, что в скором времени они догадаются).

Конечно, правила безопасности корпорации должны разрешать системным администраторам дополнять эти правила техническими методами, когда возможно, с учетом того, что людям свойственно ошибаться. Понятно, что если вы, к примеру, ограничите число неверных попыток входа через конкретный аккаунт, то вы сможете сделать жизнь атакующего более тяжелой.

Каждая организация сталкивается с нелегким выбором между мощной безопасностью и продуктивностью сотрудников, что заставляет некоторых сотрудников пренебрегать правилами безопасности, не понимая, насколько они необходимы для защиты целостности секретной компьютерной информации.

Если правила безопасности не будут конкретно указывать возможные проблемы при пренебрежении ими, сотрудники могут пойти по пути наименьшего сопротивления, и сделать что-либо, что облегчит их работу. Некоторые сотрудники могут открыто пренебрегать безопасными привычками. Вы могли встречать сотрудников, кто следует правилам о длине и сложности пароля, но записывает пароль на листок бумаги и клеит его к монитору.

Жизненно-важная часть защиты организации – использование сложно угадываемых паролей в сочетании с мощными настройками безопасности в технике.

Подробное обсуждене рекомендованной техники безопасности паролей описано в главе 16.

Перевод: matt weird (mattweird@whoever.com)

Теперь вы выяснили, что когда незнакомец звонит с запросом на чувствительную информацию или на что-то, что может представлять ценность для атакующего, человек, принимающий звонок, должен быть обучен требовать телефонный номер вызывающего и перезванивать чтобы проверить, что человек на самом деле есть тот, за кого себя выдает – сотрудник компании, или сотрудник партнера по бизнесу, или представитель службы технической поддержки от одного из ваших поставщиков, например.

Даже когда компания установила процедуру, которой сотрудники тщательно следуют для проверки звонящих, сообразительные атакующие все еще способны использовать набор трюков для обмана своих жертв, заставляя поверить что они те, за кого себя выдают. Даже сознательные в отношении безопасности сотрудники могут стать обманутыми методами, такими как нижеприведенные.

Любой кто хоть раз получал звонок на сотовой телефон, наблюдал в действии опцию, называемую “caller ID”(дословно “Идентификатор Вызывающего”) – этот знакомый дисплей, отображающий телефонный номер звонящего. В рабочей обстановке эта функция предлагает возможность рабочему одним взглядом оценить, от знакомого ли сотрудника идет вызов или же откуда-то вне компании.

Много лет назад некие амбициозные телефонные фрикеры обнаружили для себя все прелести caller ID еще даже до того как телефонная компания публично стала предлагать подобный сервис абонентам. Они изрядно повесилились, одурачивая людей ответами по телефону и приветствуя вызывающего по имени, в то время как тот даже не успевал сказать ни слова.

Просто когда вы думаете что подобное безопасно, практика удостоверения личности путем доверия тому что вы видите – то, что появляется на дисплее caller ID – это именно то, на что атакующий может расчитывать.

Звонок Линды

День/время:Вторник, 23 июля, 15:12

Место:“Офисы Финансового Отдела, Авиакомпания Starbeat”

Телефон Линды Хилл зазвонил когда она записывала заметку для босса. Она взглянула на дисплей caller ID, который показывал что звонок исходил из офиса корпорации в Нью Йорке, но от кого-то по имени Виктор Мартин – имя она не узнала.

Она подумала дождаться пока звонок переключится на автоответчик, так что ей не придется отрываться от мысли заметки. Но любопытство взяло верх. Она подняла трубку и звонящий представился и сказал что он из отдела рекламы и работает над некоторым материалом для управляющего компании. “Он на пути к деловой встрече в Бостоне с кем-то из банкиров. Ему требуется первоклассный финансовый отчет на текущий квартал,” сказал он. “И еще одна вещь. Еще ему нужны финансовые прогнозы на проект Апачи,” добавил Виктор, используя кодовое название продукта, который был одним из главных релизов этой весной.

Она попросила его электронный адрес, но он сказал что у него проблема с получением электронной почты и над этим работает служба технической поддержки, поэтому не могла бы она использовать факс взамен? Она сказала что это тоже подойдет, и он дал дополнительный внутренний код для его факс-машины.