Кевин Митник - Искусство обмана

Луис Кэтрайт

LINGO

ПЛЕЧЕВОЙ СЕРФИНГАкт наблюдения за тем, как человек печатает на клавиатуре своего компьтера, с тем чтобы обнаружить и украсть его пароль или другую пользовательскую информацию.

Когда почти все ушли на ланч, она вырезала подпись м-ра Кэтрайта из оригинальной(исходной) записки, вклеила ее в новую версию, и намалевала канцелярским корректором по краям. Она сделала копию с результата, а потом сделала копию с копии. Вы бы едва смогли различить кромки вокруг подписи. Она послала факс с машины неподалеку от офиса м-ра Кэтрайта.

Три дня спустя она осталась внеурочно и подождала пока все уйдут. Она вошла в офис Джоэнссена и попробовала залогиниться в сеть с его именем пользователя и паролем, marty63. Это сработало.

В считанные минуты она обнаружила файлы спецификации продукта Cobra 273, и скачала их на Zip-диск.

Диск надежно был в ее кошельке когда она вышла на прохладный ночной ветерок на парковочной стоянке. Диск был на своем пути к репортеру в тот вечер.

Анализ обмана

Недовольный сотрудник, поиск среди файлов, быстрая операция вырезки-вставки-и-коррекции, немного творческого копировая, и факс. И, вуаля! – у нее есть доступ к конфиденциальным спецификациям на маркетинг и продукт.

И спустя несколько дней, у журналиста из журнала по торговле есть большой ковш со спецификациями и маркетинговыми планами нового горячего продукта, который будет в руках подписчиков журнала по всей индустрии месяцами ранее выпуска продукта. У компаний-конкурентов будет несколько месяцев наперед, чтобы начать разрабатывать эквивалентные продукты и держать их рекламные кампании наготове, чтобы подорвать Cobra 273.

Естественно, журнал никогда не расскажет, где они взяли зацепку.

Когда спрашивают любую ценную, чувствительную, или критически важную информацию, которая может сослужить выгоду конкуренту или кому угодно еще, сотрудники должны быть осведомлены, что использование услуги “caller ID” в смысле подтверждения личности звонящего извне недопустимо. Некоторые другие средства подтверждения должны быть использованы, такие как сверка с куратором того человека по поводу того, что запрос был соответствующим, и что у пользователя есть авторизация для получения информации.

Процесс проверки требует балансировочного акта, который каждая компания должна определить для себя: безопасность против продуктивности. Какой приоритет будет назначен для усиления мер безопасности? Будут ли сотрудники сопротивляться следованию процедур безопасности, и даже обходить их в порядке дополнения к их рабочим обязанностям? Понимают ли сотрудники почему безопасность важна для компании и для них самих? На эти вопросы должны быть найдены ответы чтобы разработать политику безопасности, основанную на корпоративной культуре и деловых нуждах.

Большинство людей неизбежно видят досаду во всем, что пересекается с выполнением их работы, и могут обойти любые меры безопасности, которые кажутся пустой тратой времени. Мотивировать сотрудников сделать безопасность частью их повседневных обязанностей через обучение и осведомленность – это и есть ключ.

И хотя сервис “caller ID” никогда не должен использоваться в смысле аутентификации для голосовых звонков извне компании, другой метод, называемый Автоматическим Определением Номера (АОН – Automated Number Identification, ANI), может. Эта услуга предоставляется когда компания подписывается на бесплатные услуги, где компания платит за исходящие звонки и надежна для идентификации. В отличие от “caller ID”, коммутатор телефонной компании не использует любого рода информацию, которая посылается от потребителя когда предоставляется номер вызывающего. Номер, передаваемый АОН’ом, является оплачиваемым номером, назначенным звонящей стороне.

Заметьте, что несколько изготовителей модемов добавили функцию “caller ID” в их продукты, защищая корпоративную сеть путем дозволения звонков удаленного доступа только из списка заранее авторизованных телефонных номеров. Модемы с “caller ID” – дупустимая мера аутентификации в низко-безопасном окружении, но, как уже должно быть ясно, подмена caller ID – относительно простая техника для компьютерных злоумышленников, и поэтому не должна служить опорой для подтверждения личности звонящего или местнонахождения в обстановке высокой безопасности.

Чтобы адресовать случай с воровством личности, как в истории с обманом администратора для создания ящика голосовой почты на корпоративной телефонной системе, сделайте такую политику, чтобы весь телефонный сервис, все ящики голосовой почты, и все записи в корпоративный справочник, обоих видов – печатные и онлайновые – должны быть запрошены в письменном виде, на бланке/форме по назначению. Менеджер сотрудника должен подписать запрос, а администратор голосовой почты должен проверить подпись.

Корпоративная политика безопасности должна требовать, чтобы все компьютерные аккаунты или повышения прав доступа предоставлялись только после положительной верификации персоны, осуществляющей запрос, такими путями, как перезвон системному менеджеру или администратору, или его/ее поверенному, по телефонному номеру, указанному в печатном или онлайновом справочнике. Если компания использует защищенную электронную почту, где сотрудники могут подписывать сообщения Электронной Цифровой Подписью, такой альтернативный метод верификации тоже может быть допустимым.

Помните, что каждый сотрудник, независимо от того имеет ли он доступ к компьютерным системам компании, может стать жертвой обмана социального инженера. Каждый должен быть включен в тренинги осведомления о безопасности. Асситенты администратора, регистраторы, телефонные операторы и охранники должны быть знакомы с теми типами атак социального инжениринга, которые более вероятно будут направлены против них, так что они будут лучше подготовлены к защите от этих атак.

Будет опубликована в ближайшее время.

Перевод: sly ( http://slyworks.net.ru) icq:239940067

Cоциальный инженер задумал заполучить проект (исходники) Вашего нового продукта за 2 месяца до релиза.

Что остановит его?

Ваш файервол? Нет.

Мощная система идентификации? Нет.

Система обнаружения вторжений? Нет.

Шифрование данных? Нет.

Ограничение доступа к номерам дозвона модемов? Нет.

Кодовые имена серверов, которые затрудняют определение местонахождения проекта искомого продукта? Нет.

Смысл здесь в том, что никакая технология в мире не сможет противостоять атаке социального инженера.