Розділ 1 Проникнення на територію Чому сторонній людині так легко видати себе за співробітника компанії і зіграти цю роль настільки переконливо, що на цей обман купляться навіть люди, дуже добре поінформовані в питаннях безпеки? Чому так легко ввести в оману людей, далеких від процедур системи безпеки, що захищають інтереси компанії, що відносяться з підозрою до людей, з якими вони не знайомі особисто? Подумайте над цим, поки читатимете історії, приведені в цьому розділі. Охоронець, що розгубився Дата/Час: вівторок, 17 жовтня, 2:16 ночіМісце: Ськайуотчер Ейвіейшн, Інк., завод по виробництву авіатехніки на околиці Тускона, штат Арізона. Історія про охоронця Для Лероя Гріна було набагато приємніше слухати стукіт своїх каблуків в зовсім недавно спорожнілих цехах заводу, чим сидіти всю ніч перед відеомоніторами у відділі охорони. Хоча йому не дозволено було робити нічого, окрім як сидіти, втупившись в екрани, на яких навіть не мінялося зображення, - не можна було навіть почитати журнал або його Біблію в шкіряній палітурці. Але, прогулюючись по цехах, він хоч би розминав ноги, інколи він не забував посувати руками і плечима, це теж було для нього невеликою розминкою. Хоча це навряд чи можна було вважати розминкою для людини, яка раніше була правим блокуючим півзахисником у футбольній команді школи. Але, думав він, робота є робота. Він повернув за південно-західний ріг і попрямував по галереї, оглядаючи виробничий цех завдовжки в півмилі. Він кинув погляд вниз і побачив двох людей, що прогулюються уздовж ряду частково зібраних вертольотів. Вони зупинилися, і, здавалося, показували щось один одному. Дивний огляд в цей час доби. «Краще перевірити», подумав він. Лерой попрямував до сходів, по яких потім спустився на той поверх складального цеху, де знаходилася пара, але вони не відмітили його наближення, поки він не опинився поряд з ними. "Добрий ранок. Покажіть, будь ласка, ваші бейджі", - попросив він. Лерой завжди в подібних випадках прагнув говорити м'яко; він знав, що його грізний вигляд може налякати кого завгодно. "Привіт, Лерой", - сказав один з них, прочитавши його ім'я на бейджі. "Я Том Стілтон з Департаменту маркетингу у відділенні корпорації у Феніксі. Я приїхав підписати деякі документи, і хотів показати моєму другу, як збираються найбільші в світі вертольоти". "Так, сер. Ваш бейдж, будь ласка", сказав ще раз Лерой. Він не міг не помітити, наскільки молодо вони виглядали. Хлопець з маркетингу, здавалося, тільки що закінчив школу, а інший, з волоссям до плечей, взагалі виглядав на п'ятнадцять років. Перший хлопець поліз в кишеню за посвідченням, потім почав обнишпорювати всі свої кишені. У Лероя раптово з'явилися погані передчуття. "Біс", - сказав хлопець. "Мабуть, я забув його в машині. Я можу принести його, це займе десять хвилин, щоб дійти до стоянки і повернутися." "Як, ви сказали, ваше ім'я, сер?" - дістаючи блокнот, запитав Лерой, і акуратно записав відповідь. Потім він зажадав пройти з ним у відділ охорони. У ліфті Том розповів, що працює в компанії тільки шість місяців, і сподівається, що у нього не буде неприємностей із-за цього випадку. У кімнаті моніторингу до Лерою приєдналися два інших охоронця з його зміни, і стали розпитувати пару. Стілтон назвав свій номер телефону, і сказав, що його керівником є Джуді Андервуд, також назвавши її номер телефону; ця інформація була перевірена по комп'ютеру. Лерой відкликав у бік двох інших охоронців, і вони стали обговорювати, що робити далі. Ніхто не хотів виявитися винуватим; вони вирішили, що краще всього буде подзвонити керівникові цього хлопця, не дивлячись на те, що її доведеться підняти серед ночі. Лерой сам подзвонив місіс Андервуд, представившись і запитавши, чи дійсно Том Стілтон працює в її відділі? Здавалося, що вона ще не прокинулась. "Так", - сказала вона. "Бачте, ми виявили його в складальному цеху в 2:30 ранку, і він не мав при собі посвідчення". "Дайте йому трубку", - сказала місіс Андервуд. Стілтон узяв трубку і сказав: "Джуді, мені дійсно дуже шкода, що ці люди розбудили вас посеред ночі. Я сподіваюся, ви не триматимете на мене зла?" Вислухавши відповідь, він продовжив: "Мені у будь-якому випадку потрібно бути тут з ранку, на зборах з приводу нового прес-релізу. Так, до речі, ви отримали е-мейл щодо операції з Томпсоном? Нам необхідно буде зустрітися з Джимом в понеділок вранці, щоб обговорити деталі. А у вівторок ми разом обідаємо, не забули?" Він послухав ще небагато, попрощався і повісив трубку. Це було сюрпризом для Лероя, він думав, що візьме трубку, і жінка підтвердить йому, що все гаразд. Спочатку він подумав, що, можливо, варто передзвонити їй і запитати, але потім вирішив, що краще цього не робити. Він вже потривожив її, розбудивши своїм дзвінком серед ночі; якщо він подзвонить другий раз, вона може обуритися і поскаржитися його босові. «Навіщо піднімати бурю?» - подумав він. "Можна, я продовжу показувати моєму другу виробничий конвейєр?" - запитав у Лероя Стілтон. "Ви хочете піти з нами, продовжуючи спостерігати?" "Продовжуйте", - відповів Лерой. "Тільки будьте обережні, дивитеся по сторонах. І не забудьте ваш бейдж наступного разу. І ще: необхідно повідомляти охорону, якщо ви збираєтеся знаходитися в цехах заводу в неробочий час - це правило." "Я запам'ятаю це, Лерой", - сказав Стілтон, і вони пішли. Не пройшло і десяти хвилин, як у відділі охорони задзвонив телефон. Дзвонила місіс Андервуд. «Хто був той хлопець?!» - хотіла вона знати. Вона сказала, що намагалася поставити йому питання, але він просто продовжував говорити з приводу обіду з нею, і вона не знає, хто він взагалі такий. Охоронці подзвонили в приймальню і на охорону на виїзді з автостоянки. У обох місцях їм сказали, що дві молоді людини пройшли пару хвилин тому. Розповідь Джо Харпера Просто так, ради розваги, семнадцатілетній Джо Харпер вже більше року проникав в різні будівлі, іноді в денний час, іноді ночами. Син музиканта і офіціантки з бару, які працювали ночами, Джо майже весь час був наданий сам собі. Його розповідь проливає світло на тільки що описаний інцидент. Мій друг Кенні збирається стати пілотом вертольота. Тому він попросив мене провести його в цехи заводу Скайуотчер, щоб подивитися, як збираються вертольоти. Він знає, що я раніше вже проникав в подібні місця. Це виглядає дуже захоплює і викликає приток адреналіну, коли ви потрапляєте в місця, де вам не дозволено знаходитися. Ясно, що ви не можете просто узяти і прийти на завод або в офісну будівлю. Це процес необхідно обдумати, спланувати, провести повне дослідження цільового об'єкту. З'ясувати на Інтернет-сторінці компанії імена і посади, структуру і телефони. Прочитати газетні вирізки і журнальні статті. Ретельне дослідження - це моя власна гарантія безпеки, тому я можу розмовляти з будь-якою людиною, яка завагається в мені, оскільки я володію таким же об'ємом знань, що і будь-який співробітник компанії. Отже, з чого почати? Спочатку я скористався Інтернетом, щоб дізнатися, де розташовані офіси компанії, і побачив, що штаб-квартира корпорації розташована у Феніксі. Відмінно. Я подзвонив і попросив з'єднати мене з департаментом маркетингу, у будь-якій компанії є подібний департамент. Жінці, що відповіла, я сказав, що представляю компанію «Блю Пенсил Графікс», і хочу дізнатися, чи можемо ми зацікавити їх своїми послугами, і з ким я можу поговорити про це. Вона сказала, що з Томом Стілтоном. Я запитав його телефон, і вона відповіла, що вони не дають подібну інформацію, але вона може мене перемкнути на нього. Дзвінок був перемкнутий на автовідповідач, в повідомленні мовилося: «Це Том Стілтон, додатковий номер 3147, залиште, будь ласка, повідомлення». Звичайно, вони не дають внутрішні номери телефонів, а цей хлопець залишає його прямо в повідомленні автовідповідача. Здорово, тепер у мене є ім'я і додатковий номер. Ще один дзвінок, в той же офіс. «Здрастуйте, мені потрібний був Том Стілтон, але його немає на місці. Я б хотів дещо дізнатися у його керівника». Керівника теж не опинилося в офісі, але на той час, як я закінчив розмову, я вже знав ім'я керівника. І вона також люб'язно залишила свій внутрішній номер в повідомленні автовідповідача. Тепер ми, можливо, могли пройти через пост охорони без проблем, але я збирався приїхати на завод на машині, і мені потрібно було подумати ще про одну перешкоду на заводській парковці. Цією перешкодою був охоронець, перевіряючий документи на в'їзді. А вночі, можливо, вони записували номери автомобілів, тому мені довелося купити старі автомобільні номери на барахолці. Але спочатку мені потрібно було дізнатися номер телефону на посту охорони. Я почекав якийсь час, щоб, якщо я нарвуся знову на того ж оператора, коли дзвонитиму в офіс, вона не дізналася мій голос. Я подзвонив і сказав: «До нас поступила скарга, що телефон на посту охорони Рідж Роуд працює з перебоями - проблема ще не дозволена?» Вона відповіла, що не знає, але може з'єднати мене. "Пост Рідж Роуд, Райан слухає", відповів хлопець. "Здрастуйте, Райан, це Бен. У вас були проблеми з телефонним зв'язком?" - запитав я. Він був всього лише охоронцем на низькооплачуваній посаді, але, ймовірно, дуже добре навченим, тому що він відразу запитав: "Який Бен - назвіть ваше прізвище". Я продовжував, зробивши вигляд, що не чув його питання: "Хтось нам подзвонив і сказав, що у вас проблеми з телефоном". Я чув в трубку, як він запитав своїх колег: «Ей, Брюс, Роджер, у нас були проблеми з телефоном?» Він знову узяв трубку і сказав: "Ні, у нас все гаразд". "Скільки телефонних ліній у вас на посту?" "Дві", - сказав він, забувши про моє прізвище. "По якій ви зараз зі мною розмовляєте?" "3140". О так! "І обидва телефони працюють нормально?" "Ніби так." "ОК", - сказав я. "Послухайте, Том, якщо у вас будуть проблеми із зв'язком, дзвоните нам в Телеком у будь-який час. Це наша робота". Ми з приятелем вирішили відвідати завод наступною ж ніччю. Пізніше, в другій половині дня, я подзвонив на охорону, представившись ім'ям того хлопця з маркетингу. Я сказав: "Здрастуйте, це Том Стілтон з Маркетингу. Ми горимо з термінами проекту, тому повинні приїхати два хлопці, щоб нам допомогти. Вони приїдуть приблизно в першій або в другій годині ночі. Ви ще будете на зміні?" Він був щасливий сказати, що ні, він змінявся опівночі. Я попросив його: "Добре, тоді залиште повідомлення для змінника. Коли з'являться два хлопці і скажуть, що вони приїхали до Тома Стілтону, просто пропустите їх, ОК?" "Добре", відповів він. Те, що мені було потрібно. Він записав моє ім'я, департамент, внутрішній номер і сказав, що поклопочеться про це. Ми під'їхали до воріт відразу після двох, я назвав ім'я Тома Стілтона, і сонний охоронець відкрив ворота і сказав, де нам потрібно припаркуватися. Коли ми увійшли до будівлі, на прохідній був ще один пост охорони, з книгою реєстрації відвідин у внерабочий час. Я сказав охоронцеві, що до ранку мені терміново потрібно підготувати звіт, а це мій друг, який хотів оглянути завод. "Він схиблений на вертольотах", сказав я. "Збирається вчитися на пілота". Він запитав моє посвідчення. Я поліз в кишеню, потім став шарити по інших, і сказав, що, можливо, забув його в машині, піду, візьму його, і що це займе десять хвилин. Він сказав, що, гаразд, можна без посвідчення, потрібно тоді розписатися в книзі реєстрації відвідин. Ви можете собі представити, якою розвагою для нас була прогулянка по складальному цеху. До тих пір, поки нас не зупинив Лерой і зажадав піти з ним у відділ охорони. Коли справа обертається таким чином, я вдаю, що дуже роздратований і обурений. Неначе я дійсно є тим, ким представився, і мене дратує, що вони мені не вірять. Коли вони сказали, що, можливо, варто подзвонити тій жінці - моєму «керівникові» - і стали шукати її домашній телефон в базі даних співробітників, я стояв і думав: «Самий час, щоб змитися звідси». Але ж був ще пост охорони на в'їзді: навіть якщо ми виберемося з будівлі, вони закриють ворота, і ми не зможемо вийти з території. Коли Лерой подзвонив жінці, яка була босом Стілтона, і передав мені трубку, жінка стала обурено кричати: «Хто це, хто ви?!» А я продовжував говорити, неначе у нас була звичайна спокійна розмова, а потім повісив трубку. Скільки може піти часу на те, щоб знайти людину, яка дасть вам номер телефону компанії серед ночі? Я прикинув, що у нас є п'ятнадцять хвилин, щоб забратися звідси до того, як ця жінка дізнається номер телефону поста охорони і подзвонить сюди. Ми вийшли звідси настільки швидко, наскільки могли, не подаючи вигляду, що ми дуже поспішаємо. Природно, ми зраділи, коли охоронець на воротах пропустив нас без всяких допитів. Аналізуючи обман Той факт, що в реальній історії, на якій заснована ця розповідь, зловмисниками були дійсно підлітки, не має великого значення. Це вторгнення для них було всього лише забавою, тільки для того, щоб переконатися, що вони зможуть зробити це. Але, якщо це було так легко для пари підлітків, це могло б бути набагато простіше для дорослих злодіїв, промислових шпигунів або терористів. Як могли троє досвідчених охоронців так просто узяти і відпустити цих двох порушників? І не просто якихось порушників, а таких молодих, що у кожної розсудливої людини виникли б підозри на рахунок їх? Спочатку у Лероя виникли підстави для підозри. Він діяв правильно, проводячи їх у відділ охорони, розпитавши хлопця, який назвався Томом Стілтоном, і, перевіривши імена і телефони, які він назвав. Він також діяв правильно, коли подзвонив керівникові цього хлопця. Але, врешті-решт, його збентежила самовпевнена і обурена поведінка цієї молодої людини. Його поведінка була не схоже на те, яке можна чекати від грабіжника або зловмисника, що вторгся, - так може поводитися тільки дійсний працівник. або той, хто видає себе за такого. Лерой повинен був бути навчений покладатися на грунтовну перевірку осіб, а не на власні відчуття або домисли. Чому він не став підозріліший, коли молода людина після закінчення розмови з керівником повісила трубку, замість того, щоб передати її назад Лерою, щоб він міг почути підтвердження безпосередньо від Джуді Андервуд, і її завірення щодо причин, які примусили знаходитися цього хлопця на заводі пізніше вночі? Обман, на який попався Лерой, був настільки очевидний, що він винен був би це відмітити. Але подивитеся на те, що відбулося із його точки зору: людина без вищої освіти, що украй зацікавлена в цій роботі, сумнівається, чи не нарветься він на неприємності, якщо другий раз серед ночі потурбує своїм дзвінком менеджера компанії. Якби ви були на його місці, стали б ви дзвонити ще раз? Але, звичайно, другий дзвінок не був єдиною можливою дією з його боку. Що ще міг зробити в даному випадку цей охоронець? Ще до того, як дзвонити менеджерові, він міг би попросити у цих хлопців який-небудь документ, що засвідчував особу, з фотографією; вони приїхали на завод на машині, значить, принаймні, у одного з них повинне бути посвідчення водія. Відразу б стало зрозуміло, що спочатку вони представилися фальшивими іменами (професійний шахрай ради такого випадку поклопотався б про фальшиве посвідчення особі, але ці підлітки не подумали про це). У будь-якому випадку, Лерой повинен був би перевірити їх посвідчення і зафіксувати дані на папері. Якщо вони наполягали, що у них немає з собою посвідчення, він повинен був проводити їх до машини, щоб перевірити наявність бейджа компанії, який «Том Стілтон» нібито залишив в машині. Повідомлення Мітника Люди, здатні маніпулювати поведінкою інших людей, зазвичай є особами, що привертають увагу. Вони енергійні і володіють добре поставленою мовою. соціальні інженери також володіють здатністю відволікати увагу людей від їх розумового процесу і примушувати їх співробітничати. Думати, що якась конкретна людина не здатна попасти під вплив подібних маніпуляцій - значить, недооцінювати здібності і природну інтуїцію соціального інженера. Професійний соціальний інженер же, у свою чергу, завжди дуже добре розраховує свої можливості роботи впливу на супротивника. Після телефонного дзвінка один з охоронців повинен був би весь час бути поряд з цією парою, поки вони не вийшли з будівлі. Потім пройти з ними до машини і записати її номер. Якби він був достатньо уважний, то відмітив би, що на номері (який цей шахрай купив на барахолці) відсутня реєстраційна наклейка - і це могло послужити достатньою підставою, щоб затримати хлопців для подальшого розслідування. Розгрібання сміття Термін «розгрібання сміття» описує процес пошуку цінної інформації в сміттєвих корзинах компанії. Об'єм інформації, що допомагає вам вивчити жертву (людину або компанію), здобутий у такий спосіб, здатний уразити уяву. Більшість людей не замислюються про ті речі, які вони викидають удома: телефонні рахунки, виписки з рахунків кредитних карт, упаковок від ліків, банківських рахунків, матеріалів, що мають відношення до роботи, і т.д. Відповідно, на роботі співробітники повинні бути попереджені, що насправді люди можуть ритися в сміттєвих корзинах, щоб вивудити звідти корисну і вигідну для них інформацію. Коли я вчився в старших класах, я іноді копався в сміттєвих баках, які стояли на задньому дворі місцевої телефонної компанії, - часто один, але іноді з друзями, які розділяли мій інтерес у вивченні інформації про телефонну компанію. Ви стаєте досвідченим «сміттярем», коли пізнаєте декілька речей, наприклад, що потрібно зробити, щоб уникати контакту з пакетами з вбиралень, або про необхідність користуватися рукавичками. Це заняття не з приємних, але результат був більш ніж рідкісним - телефонний довідник внутрішніх номерів компанії, інструкції по роботі з комп'ютерами, списки співробітників, викинуті роздруки, в яких пояснювалося, як настроювати устаткування комутаторів, і багато що інше. Я сумістив графік своїх нічних відвідин з часом виходу нових інструкцій і довідників, оскільки в сміттєвих контейнерах було повне старих довідників, які бездумно викидалися. Але і в інший час я їх теж перевіряв, намагаючись знайти які-небудь записки, листи, звіти, і все таке інше, що могло б представляти яку-небудь цінність. Після прибуття я знаходив декілька картонних пакувальних коробок, діставав їх і ставив поряд. Якщо хтось виявляв мене, що іноді траплялося, я говорив, що мій друг переїздить, і я збираю картонні коробки, щоб допомогти йому упакувати речі. Охоронці ніколи не помічали, що в коробках, які я відносив додому, лежать документи. Іноді охоронець вимагав мене забиратися геть, тому я просто переміщався до офісу іншої телефонної компанії. Я не знаю, як справи йдуть сьогодні, але тоді було легко визначити, в яких мішках могла міститися цікава інформація. Сміття, що скупчується після прибирання приміщень, і відходи з кафетерію були упаковані у великі мішки, тоді як офісні відходи були зібрані в одноразових мішках, які прибиральники окремо витягували з офісних корзин і щільно перев'язували. Одного разу, коли ми з друзями копалися в контейнерах, то наткнулися на листи паперу, розірваного уручну. І не просто розірвані: хтось постарався порвати їх на маленькі шматочки, які, на щастя, знаходилися в одному пакеті. Ми забрали цей пакет, висипали все це на стіл, і почали збирати їх по частинах. Ми всі були любителями паззлів-головоломок, так що для нас було просто зібрати цю мозаїку в єдине ціле. І ми отримали більше, ніж просто винагорода дитячої цікавості. Після закінчення перед нами з'явився повний список облікових записів і паролів до однієї з найважливіших комп'ютерних мереж компанії. Чи коштували наші дії тієї риски і зусиль? Ви скажете, звичайно. Але більше, ніж ви думаєте, тому що ризик був рівний нулю. Це було правдою тоді, і в наші дні все ще діє правило: якщо ви не наносите нікому збитку, копання в чиємусь смітті є на 100 відсотків легальним. Звичайно, не тільки телефонні шахраї і хакери копаються в сміттєвих баках. Цим повсюдно і регулярно займається поліція, тому дуже багато злочинців, від ватажків мафії до дрібних злодюжок були засуджені завдяки доказам, знайденим в їх смітті. До цього методу також протягом багатьох років вдаються різні розвідувальні служби. Звичайно, ці дії не прийнятні для Джеймса Бонда - в кіно він предстає отаким героєм, що одурює і карає негідників, або проводящим вільний час з красунею в ліжку, ніж чим що стоїть навколішки і копається в смітті. Шпигуни в реальному житті набагато менш гидливі, якщо серед бананових шкірок, обривків газет і іншого сміття може знаходитися що-небудь важливе. Особливо, якщо такий спосіб добування інформації не піддає їх ризику. Гроші за сміття Корпорації теж грають в ігри з «розгрібанням сміття». У червні 2000 газет писали про те, що корпорація Оракл (Oracle) (президент якої, Ларрі Еллісон, є найвідомішим і відвертішим супротивником корпорації Майкрософт) найняла детективне агентство, яка була потім викрита. Ймовірно, сищикам потрібне було сміття однієї з підвідомчих організацій Майкрософту, компанії АСТ, але вони, природно, не хотіли бути спійманими. Згідно газетним статтям, детективне агентство послало жінку, яка запропонувала прибиральникам 60 дол. за те, щоб отримати паперове сміття компанії АСТ. Вони відмовилися від її пропозиції. Тоді вона повернулася наступною ніччю, підвищивши ставки і запропонувавши 500 дол. прибиральникам і 200 дол. начальникові зміни. Прибиральники знову відмовилися і здали її поліції. Провідний онлайновий журналіст Деклан Маккулла по аналогії з літературним твором озаглавив статтю на новинному сайті Wired News, освітлюючу цей випадок, як «Оракл, яка шпигувала за майкрософтом». Журнал Time опублікував дискредитуючу статтю про Президента корпорації Оракл, назвавши її просто «Цікавий Ларрі». Аналізуючи обман Виходячи з описаного мною мого досвіду і досвіду компанії Оракл, ви могли б подумати, навіщо комусь, піддаючи себе ризику, красти чиїсь сміттєві корзини. Відповідь, я думаю, в тому, що ризик при цьому рівний нулю, а вигода може бути значна. Якщо ви хочете підкуповувати прибиральників, ваші шанси, можливо, виростуть, але для того, хто не боїться трохи забруднитися, давати кому-небудь хабар абсолютно не потрібно. Природно, для соціального інженера копання в смітті має свою вигоду. Він може розкопати достатньо інформації, щоб успішно почати штурм на цільову компанію, включаючи різні записки, повістки зборів, листи, а також з'ясувати імена, департаменти, посади, телефони, і закріплення проектних груп. Також в смітті можна знайти організаційні графіки і структуру компанії, графіки відряджень, і зачую подібну інформацію. Всі ці деталі можуть здаватися буденними і нічого не значущими для працівників компанії, але для того, що атакує подібна інформація може мати вирішальне значення. Марк Джозеф Едвардс в своїй книзі «Інтернет-безпека в системі Windows NT» говорить про те, що «цілі звіти і плани ставали недійсними із-за паролів, записаних на клаптиках паперу, повідомлень з телефонними номерами, записаних на автовідповідачах, вкрадених тек з документами, дискет і плівок, які не були своєчасно стерті або знищені, - загалом, всього того, що могло допомогти потенційному зловмисникові». исьменник підходить до питання: «А хто ті люди, які працюють у вас в штаті прибиральників? Ви вирішили, їм не буде дозволено входити в серверну кімнату, але не забувайте про інші сміттєві корзини. Якщо федеральні служби вважають за необхідне перевіряти людей, які мають доступ до їх сміттєвих корзин і шредерів, можливо, вам теж слід так поступити». Повідомлення Мітника Ваші сміттєві корзини можуть виявитися скарбом для ваших ворогів. Ми не надаємо великого значення документам і матеріалам, які ми викидаємо удома, так навіщо сподіватися, що на роботі люди відноситимуться по-іншому до матеріалів, що викидаються. Все це говорить про необхідність пояснення людям про небезпеку (недобросовісні люди, що копаються у пошуках важливої інформації) і уразливість (конфіденційна інформація, яка не була знищена в шредері або стерта). Принижений начальник Ніхто не зрадив значення тому, що Харлан Фортіс прийшов як завжди вранці в понеділок на роботу в Управління автомагістралей округу, і сказав, що в поспіху забув свій бейдж вдома. Жінка-охоронець протягом всіх двох років, що працювала тут, кожен робочий день бачила Харлана. Вона виписала йому тимчасовий пропуск і пропустила його. Через два дні трапилася жахлива історія, яка розповсюдилася по всьому управлінню подібно до пожежі. Половина людей, які почули її, говорили, що це не може бути правдою. Решта не знали, що робити - голосно сміятися або жаліти бідолаху. Врешті-решт, Джордж Адамсон був доброю і співчуваючою особою, кращим керівником управління зі всіх, що коли-небудь знаходилися на цій посаді. Він не заслужив того, що з ним відбулося. Проблеми почалися, коли увечері в п'ятницю Джордж викликав Харлана в свій кабінет, і сказав йому настільки тактовно, як міг, що з наступного понеділка Харлан переводитися на іншу роботу. В Управління санітарного контролю. Для Харлана це було не звільнення. Набагато гірше: це було образливо. Він не міг просто так змиритися з цим. Тим же вечором він сидів на своєму крильці і спостерігав за рухом автомобілів на дорозі. Врешті-решт, він побачив сусідського хлопчика Девіда, який захоплювався комп'ютерними іграми, що їде на своєму мопеді з школи додому. Він зупинив Девіда, запропонував йому «Маунтін Дью», який він купив спеціально для цього, і запропонував йому операцію: новітня ігрова приставка і шість ігор натомість на деяку комп'ютерну допомогу і обіцянку тримати рот на замку. Після того, як Харлан пояснив йому суть, не вдаючись до подробиць, Девід погодився. Він пояснив, що потрібно зробити Харлану. Йому необхідно було купити модем, прийти в офіс і підключити цей модем до якого-небудь комп'ютера з найближчою телефонною розеткою. Якщо він залишить модем під столом, навряд чи хто це відмітить. Далі починалася ризикована частина завдання. Харлану потрібно було встановити на цьому комп'ютері програму віддаленого доступу і запустити її. У будь-який момент могла з'явитися людина, що працює в цьому відділі, або хто-небудь міг проходити мимо і побачити його в чужому кабінеті. Він був настільки напружений, що ледве міг прочитати інструкції, які написав йому хлопчик. Але він все зробив правильно і вийшов з будівлі непоміченим. Бомба Девід зайшов до нього увечері після вечері. Вони сіли біля комп'ютера Харлана, і протягом декількох хвилин хлопець через модем дістав доступ до робочого комп'ютера Джорджа Адамсона. Це було зовсім нескладно, тому що Джордж ніколи не надавав значення таким заходам безпеки, як зміна паролів, і завжди просив ту або іншу людину допомогти йому завантажити або відправити файл по електронній пошті. Тому, всі в офісі знали його пароль. Метою їх полювання був файл BudgetSlides2002.ppt, який хлопець завантажив на комп'ютер Харлана. Потім Харлан сказав хлопцю відправлятися додому, і повернутися через пару годин. Коли Девід повернувся, Харлан попросив його ще раз підключитися до локальної мережі Автодорожнього управління і перезаписати цей файл назад, затерши стару версію. Харлан показав Девіду ігрову приставку, і пообіцяв, що, якщо все пройде нормально, він отримає її наступного дня. «Сюрприз» Джорджа Ви, напевно, думаєте, що немає нуднішого заняття, ніж слухання по бюджету, але зал засідань в Раді округу був заповнений журналістами, представниками різних груп по інтересах, іншими зацікавленими особами, і навіть двома командами теленовин. Джордж завжди відчував, що для нього на подібних засіданнях багато що поставлене на карту. Рада округу розпоряджалася бюджетом, і, якщо Джордж не представить переконливу презентацію, фінансування Автомобільного управління може бути урізане. Тоді кожен почне скаржитися на погані дороги, дуже часті світлофори і небезпечні перехрестя, і всі звинувачення будуть направлені у бік Джорджа, тоді життя не здасться йому солодким на весь майбутній рік. Але того вечора він відчував себе дуже упевнено. Він працював цілих шість тижнів над цією презентацією і візуалізацією її в PowerPoint, яку він випробував на своїй дружині, своїх заступниках, і близьких друзях. Всі погодилися, що за весь час це була сама краща його презентація. Перші три зображення в презентації були вдалими і привернули увагу всіх членів Ради. Він дуже успішно почав свою презентацію. Але потім все пішло непередбачуваним чином. Четвертою картинкою в презентації повинне було бути зображення заходу на новій автомагістралі, відкритій минулого року. Натомість з'явилося щось інше, що всіх привело в замішання. Фотографія з журналу типу «Penthouse». Він почув вигуки здивування в аудиторії і швидко натиснув кнопку на його ноутбуку, щоб перейти до наступного зображення. Воно було ще гірше. Він все ще намагався перемкнутися на інші картинки, коли хтось в аудиторії відключив проектор з розетки, і голова зборів голосно ударив молотком і ще голосніше прокричав, що збори відкладені. Аналізуючи обман Скориставшись допомогою хакера-підлітка, ображений співробітник дістав доступ в комп'ютер керівника свого управління, викачав дуже важливу презентацію PowerPoint, і замінив деякі із слайдів зображеннями певного образливого характеру. Потім він повернув підправлену презентацію в комп'ютер керівникові. Підключившись за допомогою модему і телефонної лінії до одного з офісних комп'ютерів, молодий хакер зміг увійти до мережі ззовні. Хлопець налаштував програму видаленого доступу таким чином, що, підключившись до комп'ютера, він дістав повний доступ до будь-яких файлів. Оскільки цей комп'ютер був підключений до локальної мережі організації, і він знав логін і пароль свого керівника, він легко зміг дістати доступ до його файлів. Враховуючи час, витрачений на сканування зображень з журналу, вся операція зайняла всього лише декілька годин. В результаті репутація порядної людини була дуже сильно зіпсована. Повідомлення Мітника Основне число працівників, яких перевели, звільнили або знизили на посаді, не представляють проблеми. Проте завжди може знайтися одна людина, яка примусить зрозуміти керівництво компанії, які кроки потрібно було зробити, щоб уникнути неприємностей, але буде вже надто пізно. Досвід і статистичні дані наочно показують, що основну загрозу організації представляють інсайдери, тобто люди, що працюють в організації. Вони володіють детальними знаннями того, де знаходиться значуща корпоративна інформація, і куди варто завдати удару, щоб заподіяти компанії найбільший збиток. В очікуванні зустрічі Приємним осіннім ранком Пітер Мілтон зайшов в офіс регіонального представництва компанії «Honorable Auto Parts» в Денвері, великого загальнонаціонального оптового постачальника запчастин на автомобільному ринку. Він чекав в приймальні, поки дівчина-секретар реєструвала відвідувача, пояснювала тому, що дзвонив, як доїхати до офісу і підписувала папери у кур'єра служби «UPS», причому, все це вона робила одночасно. "Як ви вмудряєтеся робити так багато подів одночасно?" сказав Пітер, коли черга дійшла до нього. Вона мило посміхнулася. Він сказав їй, що працює в департаменті маркетингу в представництві Далласа компанії, і пояснив, що збирається зустрітися з Майком Телботтом з представництва в Атланті. "Нам потрібно разом сьогодні зустрітися з одним клієнтом", сказав він. "Я почекаю його у вестибюлі". "Маркетинг", вимовила вона мрійливим голосом, і Пітер, посміхнувшись, чекав, що вона скаже далі. "Якби я поступила в коледж, я вибрала б це. Я б хотіла працювати в службі маркетингу"."Кайла", сказав він, прочитавши її ім'я на бейджі, і знову посміхнувся. "У нас в представництві Далласа є дівчина, яка раніше працювала секретарем, але потім перевелася до департаменту маркетингу. Це були три роки назад, а зараз вона помічник керівника департаменту маркетингу".Кайлі дивилася на нього мрійно-наївним поглядом. Він продовжував:"Ви умієте користуватися комп'ютером?""Звичайно", - відповіла вона. "Ви хотіли б, щоб я допоміг вам отримати посаду секретаря в департаменті маркетингу"?Вона вся засіяла. "Ради такого випадку я навіть переїхала б до Далласа". "Вам дуже сподобається Даллас", сказав він. "Я не обіцяю вам це прямо зараз, але обов'язково постараюся допомогти".Вона подумала, що цей приємний чоловік в костюмі і краватці, з акуратною стрижкою, міг би дійсно їй допомогти з отриманням цікавішої роботи. Пітер сів напроти неї у вестибюлі, відкрив свій ноутбук, і почав працювати. Через п'ятнадцять хвилин він знову підійшов до стійки. "Послухайте", сказав він. "Схоже, Майк затримується. У вас є переговорна кімната, де я міг би сісти і перевірити свою електронну пошту, поки я чекаю його?" Кайла подзвонила людині, яка координує графік переговорних, і забронювала для нього одну з кімнат. Наслідуючи приклад компаній Силіконової Долини (компанія Apple, можливо, була першопроходцем), деякі переговорні кімнати були позначені іменами мультиплікаційних персонажів, інші - назвами ресторанних мереж, іменами кінозірок або героїв коміксів. Дівчина записала його, сказала, що йому потрібна переговорна «Мінні Маус», і пояснила, як її знайти. Він знайшов кімнату, розташувався там, і підключив свій ноутбук до мережевого порту. Вам вже стало зрозуміле? Правильно - шахрай підключився до локальної мережі компанії, не захищеної зовнішнім брандмауером. Розповідь Ентоні Я думаю, що Ентоні Лейка можна назвати ледачим бізнесменом. Він не хотів працювати на інших, вирішивши, що працюватиме на себе, він хотів відкрити магазин, де він міг би сидіти на одному місці цілий день, і йому не довелося б мотатися по околицях. Але тільки він хотів, природно, щоб цей бізнес ще і приносив доходи. Чим може торгувати його магазин? Відповідь не примусила себе чекати. Він розбирався в машинах і ремонті, значить, це буде магазин автозапчастин. А як добитися гарантії успіху? Відповідь була для нього немов спалах: необхідно переконати оптового постачальника запчастин, компанію «Honorable Auto Parts», продати йому важ необхідний товар без торгових націнок. Природно, по своєму бажанню вони ніколи не зроблять цього. Але Ентоні умів одурювати людей, а його друг Мікки знав, як зламувати чужі комп'ютери, і разом вони виробили хитрий план. Він представився Пітером Мілтоном, співробітником компанії, проник в офіс компанії і підключив свій ноутбук до локальної мережі. Спершу непогано, але це був лише перший крок. Те, що йому належало зробити, було завданням не з легких, особливо тому, що Ентоні встановив для себе п'ятнадцятихвилинний ліміт - довше він не міг затримуватися, оскільки піддав би себе у такому разі великому ризику. Повідомлення Мітника Поясните своїм людям, що не можна «судити про книгу виключно на вигляд - якщо людина одягнена в дорогий костюм і доглянута, це не означає, що він автоматично заслуговує більшої довіри. У попередньому дзвінку він представився співробітником технічної підтримки компанії, яка поставляла їм комп'ютерну техніку. «Ваша компанія підписала дворічний контракт на технічну підтримку, тому ми заносимо вас в нашу базу даних, щоб повідомити вас, коли вийдуть останні оновлені версії програмного забезпечення, яким ви користуєтеся. Тому мені необхідно знати, в яких застосуваннях ви працюєте». Йому надали перелік програм, і його друг-бухгалтер вказав йому те застосування, яке йому потрібне було, - MAS 90, програму, яка містила перелік постачальників, а також знижки і умови розрахунків з ними. Маючи в своєму розпорядженні цю інформацію, він скористався програмою, яка дозволила йому ідентифікувати всі комп'ютери, і йому не склало труднощів визначити сервер фінансового департаменту. Скориставшись арсеналом програм хакерів на своєму ноутбуку, він завантажив одну з них, яка допомогла йому визначити авторизованих користувачів, підключених до цього сервера. Потім він запустив программу-переборщик поширених паролів, таких як «blank» (порожній) або «password» (пароль). «Password» підійшов. У людей відсутня уява, коли їм доводиться вигадувати паролі. Пройшло тільки шість хвилин, а половина справи була зроблена. Він проник в сервер. Ще три хвилини знадобилося, щоб акуратно додати його нову компанію, адресу, телефон і контактне ім'я в перелік клієнтів. А зараз черга дійшла до найвирішальнішого поля, того, ради чого все це затіялося. Ентоні вказав, що всі товари продаються його компанії з націнкою всього 1 відсоток від закупівельної вартості. Всього десять хвилин - і справа зроблена. Він зупинився, щоб подякувати Кайлі за те, що вона дозволила йому перевірити пошту. Він також сказав, що додзвонився до Майка Телбота, у них змінилися плани, і вони зустрінуться в офісі клієнта. І що він не забуде порекомендувати її на посаду в департаменті маркетингу. Аналізуючи обман Шахрай, що представився Пітером Мілтоном, скористався двома психологічними методами - один був спланований заздалегідь, інший був зімпровізований по ходу дії. Він одягнувся так, як зазвичай одягаються менеджери, що заробляють непогані гроші. Костюм і краватка, доглянуті і чудово укладені волосся, - здається, це дрібниці, але вони здатні справити хороше враження. Одного разу я і сам це зрозумів. Коли я працював нетривалий час програмістом в компанії «GTE California» - великій телефонній компанії, якої більше не існує, - я виявив, що, якщо я прийду на роботу без бейджа, в акуратному, але повсякденному одязі - скажімо, у футболці, джинсах і спортивному взутті - мене обов'язково зупинять і почнуться розпитування. Де ваш бейдж, хто ви такий, де працюєте? Іншим разом я пройшов в костюмі і краватці, виглядаючи дуже респектабельно, але, знову ж таки, без бейджа. Я застосував старий, добре відомий метод, розчинившись в натовпі людей, що входять в будівлю. Я приєднався до групи людей, і зробив вигляд, що базікаю з ними про щось, що я є одним з них. Я, звичайно, пройшов всередину, і навіть якщо б охоронці відмітили, що у мене не було бейджа, вони не стали б зупиняти мене, тому що я виглядав, як людина з адміністрації, і я був з людьми, у яких були бейджи. На підставі свого досвіду я переконався, наскільки передбаченою є поведінка охорони. Як і більшість з нас, вони судили про людей по їх зовнішньому вигляду - один з моментів уразливості, яким так уміло користуються соціальні інженери. Той, що атакує скористався другим своєю психологічною зброєю, коли відмітив, наскільки уміло йдуть справи у секретарки. Спілкуючись з декількома людьми одночасно, вона не виглядала дратівливою, навпаки, прагнула показати кожному, що вони знаходяться під повною її увагою. Він прийняв це як знак того, що вона може бути зацікавлена в самореалізації, в просуванні вгору по службових сходах. І коли він сказав, що працює в департаменті маркетингу, він чекав її реакції, намагаючись побачити ознаки взаєморозуміння, що встановлюється між ними. І вона підтвердила його здогадку. Це був плюс для того, що атакує, оскільки тепер він міг маніпулювати нею, пообіцявши, що допоможе перевести її на кращу роботу. (Природно, якби вона сказала, що хотіла б працювати у фінансовому департаменті, наприклад, він би відповів, що у нього є і там контакти, і що він зможе їй допомогти влаштуватися туди). Шахраям також подобається інший психологічний прийом, використаний в цій історії: посторенніє довіри за допомогою двохетапної атаки. Спочатку він невимушено поговорив з нею про роботу в маркетингу, застосувавши також прийом «згадки імені» - назвавши як би побіжно ім'я іншого реального співробітника, як і те ім'я, яким він представився, теж не було вигаданим. Тепер він міг би відразу продовжувати розмову проханням про надання кімнати для переговорів. Але натомість, він сів навпроти і зробив вигляд, що працює, чекаючи свого колегу - ще один спосіб розсіяти можливі підозри, оскільки він не тинявся по офісу. Насправді, він сидів дуже довго, соціальні інженери знають, що краще залишитися на місці злочину довше, ніж це їм необхідно. Як примітка: згідно чинному законодавству, Ентоні не скоїв злочин, коли увійшов до вестибюля. Він не скоїв злочин, скориставшись ім'ям справжнього працівника. Він не скоїв злочин, коли попросив скористатися переговорною кімнатою. Він також не скоїв злочин, коли підключився до локальної мережі компанії і шукав потрібний йому комп'ютер. Він переступив закон тільки в той момент, коли зламав парольний захист і вторгся в комп'ютер фінансового департаменту. Повідомлення Мітника Дозвіл доступу незнайомцеві в приміщення, де він може підключити свій ноутбук до корпоративної мережі, підвищує ризик порушення системи безпеки компанії. Звичайно, для співробітників, що особливо не працюють постійно в офісі, або з видалених представництв, не існує причин відмови перевірити свою електронну пошту в переговорній кімнаті. Але це можна дозволити тільки тоді, коли відвідувач довів свої повноваження довіреного співробітника, або корпоративна мережа розділена на сегменти для запобігання неавторизованим підключенням. Інакше, це може виявитися слабкою ланкою, дозволяючим стороннім дістати доступ до корпоративних файлів. Підглядання за Кевіном Багато років тому, коли я працював в невеликій організації, я почав помічати, що кожного разу, коли я входив в кабінет, в якому сиділи ще три комп'ютерники, а всі разом ми складали департамент IT, один з них (я назву його Джо) тут же перемикав монітор свого комп'ютера на інше застосування. Мені це здалося підозрілим. Коли це відбулося ще двічі за один день, я зрозумів, що мені необхідно з'ясувати, що відбувається.Чим таким цей хлопець займався, що він не хотів, щоб я це побачив? Комп'ютер Джо був сервером, через який здійснювався доступ до інших робочих станцій, тому я встановив програму моніторингу, яка дозволяла мені шпигувати за тим, що він робив. Ця програма діє подібно до телекамери, встановленої позаду Джо, показуючи мені те ж саме, що він бачив на своєму моніторі. Мій стіл стояв поряд з робочим місцем Джо. Я розвернув свій монітор так, щоб він не міг бачити мій екран, але у будь-який момент він міг повернути голову і побачити, що я за ним шпигую. Це не проблема: він був дуже захоплений тим, що він робив, щоб щось помітити. У мене відвиснула щелепа, коли я це побачив. Уражений, я дивився, як цей покидьок піднімає дані моєї платіжної відомості. Він дивився мою зарплату! На той час я працював в цій компанії всього лише декілька місяців, і я вирішив, що Джо не залишає в спокої думка, що я можу отримувати більше, ніж він. Декілька хвилин опісля я побачив, що він завантажував програми хакерів, використовувані недосвідченими хакерами, які не розбираються в програмуванні і підстроюванні цих програм під свої потреби. Це було по дурному з боку Джо, оскільки він не мав анінайменшого поняття, що поряд з ним сидить один з самих найдосвідченіших хакерів Америки. Мене це розвеселило. Тепер він вже знав розмір моєї зарплати, тому було надто пізно його зупиняти. Крім того, будь-який співробітник, що має доступ до комп'ютерів Внутрішньої податкової служби США або Управління соціального забезпечення, міг подивитися дані по зарплаті. Я прагнув не подати вигляду, що я знаю, чим він займається. Професійний соціальний інженер ніколи не рекламує свої знання і здібності. Ви весь час хочете, щоб люди трохи недооцінювали вас, не бачили у вас загрози для себе. Я дозволив йому продовжувати і сміявся про себе про те, що Джо думав, що він знає якісь секрети про мене, тоді як козирі були у мене на руках: я знав, за що його можна буде притягати до відповідальності. Тоді я зрозумів, що всі троє моїх товаришів по службі з групи IT знічев'я розважали себе, з'ясовувавши, яку зарплату відносить додому та або інша мила секретарка або (для єдиної дівчини в групі) симпатичний хлопець, на яких вони зупинили свій погляд. І вони могли з'ясувати зарплату і заохочувальні виплати будь-якому співробітникові, який їх зацікавив, включаючи керівний склад компанії. Аналізуючи обман Ця історія освітлює цікаву проблему. Дані платіжних відомостей доступні людям, що відповідають за обслуговування комп'ютерних систем компанії. Звідси слідує вивід: при підборі персоналу необхідно чітко з'ясувати, кому можна довіряти подібну роботу. У деяких ситуаціях співробітники відділу IT не можуть відмовитися від спокуси сунути ніс в чужі справи. І вони мають можливість зробити це, тому що вони наділені повноваженнями, що дозволяють їм подолати будь-який контроль доступу до файлів. Одним із запобіжних засобів може стати фіксація будь-яких спроб доступу до секретних даних, наприклад, таким, як платіжні відомості. Звичайно, будь-який, хто наділений відповідними повноваженнями, може відключити журнал реєстрацій або стерти записи, вказуючі на них, але кожна додаткова міра захисту може послужити перешкодою для недобросовісних співробітників. Запобігання обману Запустивши руки у ваше сміття, щоб обдурити охорону або секретарів, соціальні інженери можуть вторгнутися у ваші корпоративні володіння. Але ви зрадієте, дізнавшись про превентивні заходи, які ви можете застосувати. Захист в неробочий час Всі співробітники, що приходять на роботу без бейджів, повинні отримувати тимчасовий пропуск на день у відділі охорони. Інцидент, описаний в першій історії цього розділу, мав би абсолютно інший підсумок, якби охорона мала перелік конкретних кроків, які необхідно виконувати, зіткнувшись з будь-якою людиною, що не має при собі посвідчення співробітника. У компаніях або певних приміщеннях або відділах компаній, де дотримання високого рівня безпеки не є необхідним, не обов'язково наполягати на тому, щоб кожен співробітник постійно тримав свій бейдж на видному місці. Але в компаніях з підвищеним рівнем безпеки це правило повинне бути стандартним, строго обов'язковим. Співробітники повинні бути навчені і мотивовані зупиняти і вимагати посвідчення у людей, не бейджів, що мають, а співробітники управлінської ланки повинні бути готові до подібних з'ясувань, не бентежачи людей, що зупиняють їх. Політика безпеки компанії повинна передбачати штрафні санкції для тих співробітників, які постійно порушують правила носіння бейджів; штрафні санкції можуть включати недопущення співробітника до робочого місця, з не зарахованим і, відповідно, неоплачуваним робочим вдень, або внесення запису до особистої картки співробітника. У деяких компаніях застосовуються серйозніші штрафні санкції, які можуть включати повідомлення про подію керівникові цього співробітника і видачу офіційного попередження. На додаток, якщо існує необхідність захисту секретної інформації, компанія повинна виробити процедури для додаткової авторизації людей, що збираються працювати в неробочий час. Рішення: необхідні дозволи повинні видаватися відділом безпеки організації або іншою спеціальною групою. Працівники цієї групи повинні ретельно перевірити особу будь-якого співробітника, що дзвонить з проханням отримання допуску в неробочий час, шляхом стрічного дзвінка керівникові цього співробітника, або застосуванням інших надійних заходів безпеки. Належне поводження із сміттям Історія з копанням в смітті розкрила проблему потенційної небезпеки використання шахраями викинутих документів. Тут приведені вісім правив, які необхідно враховувати при поводженні із сміттям: · Класифікуйте всю інформацію залежно від ступеня важливості. · Розробіть єдині для всієї компанії правила знищення документів з секретною інформацією. · Настійно рекомендується, щоб всі важливі папери знищувалися в шредері. Також рекомендується не користуватися дешевими шредерами, що перетворюють листи паперу в тонкі смужки, які рішучий шахрай, володіючи достатнім терпінням, може скласти в єдине ціле. Необхідно користуватися такими шредерами, які перетворюють листи паперу на подрібнену однорідну паперову масу. · Перед утилізацією комп'ютерних носіїв інформації, таких як дискети, Zip-диски, CD і DVD-диски, використовувані для зберігання файлів, носії на магнітній стрічці, старі жорсткі диски, і ін., їх необхідно повністю затерти або привести в такий стан, при якому ними неможливо буде скористатися. Пам'ятаєте, що процес видалення файлів насправді не є фізичним видаленням з носіїв; ці файли можна буде відновити. Просто кинувши непотрібні комп'ютерні носії інформації в сміттєву корзину, ви тим самим можете привернути увагу якого-небудь місцевого любителя попорпатися в чужому смітті. (В розділі 16 приведені спеціальні рекомендації по утилізації носіїв інформації і що інших комп'ютерних комплектують.) · Забезпечте необхідний рівень контролю при наборі персоналу в штат прибиральників, при необхідності здійснюючи відповідні перевірки біографії претендентів. · Періодично нагадуйте співробітникам про те, щоб вони думали, які матеріали вони викидають в сміттєву корзину. · Зачиняйте сміттєві контейнери. · Використовуйте окремі знищувані контейнери для секретної інформації, і підпишіть контракт з компанією, що спеціалізується на утилізації подібних відходів. При звільненні співробітників Раніше на цих сторінках вже указувалася необхідність посилювання процедур доступу до секретної інформації, паролів, номерів дозвону на сервери компанії, і т.п. Процедури інформаційної безпеки повинні забезпечити спосіб обліку тих осіб, які мають права доступу в різні системи. Для якого-небудь соціального інженера подолання ваших бар'єрів безпеки може виявитися важким завданням, але це легко може зробити колишній співробітник. Ще один момент, що часто ігнорується: коли звільняється співробітник, що мав права доступу до резервних копій даних, необхідно негайно оповіщати компанію, що здійснює резервне зберігання ваших даних, для того, щоб викреслити цю людину із списку авторизованих співробітників. В розділі 16 представлені докладні рекомендації по цій життєво важливій темі, тому тут приведені лише деякі ключові моменти, які повинні враховуватися для забезпечення безпеки: · Повний і вичерпний перелік дій, які повинні робитися при звільненні співробітника, включаючи спеціальні запобіжні засоби при звільненні тих співробітників, які мали доступ до секретних даних. · Політика негайного анулювання прав доступу в комп'ютер звільненого співробітника - бажано навіть раніше, ніж співробітник покине будівлю. · Обов'язкове повернення співробітником персонального посвідчення або бейджа, ключів і інших електронних пристроїв доступу. · Заходи обережності, що дозволяють охоронцям звіряти особу співробітника, що прийшов на роботу без посвідчення, по фотографії в базі даних, і переконатися, що ця людина знаходиться в списку працюючих співробітників. Деякі подальші дії покажуться зайвими або дуже витратними для одних компаній, але вони можуть бути прийнятними для інших. Такими найбільш переконливими методами забезпечення безпеки є: · Електронні ідентифікаційні бейджи разом з скануючими пристроями на входах; кожен співробітник повинен прикласти бейдж до сканера (або провести крізь нього, залежно від пристрою) для негайного визначення того, що ця людина є співробітником, що діє, і має право входу в будівлю. (Відмітьте, проте, що охоронці навіть в цьому випадку повинні бути завжди напоготові, щоб запобігти можливому проникненню сторонніх людей услід за авторизованими співробітниками). · Необхідність того, щоб всі працівники тієї робочої групи, з якої звільняється співробітник (а особливо, якщо його звільняють), змінили свої паролі. (Вам здається це крайністю? Багато років опісля після того, як я нетривалий час працював в компанії «Дженерал Телефон», я дізнався, що люди з відділу безпеки компанії «Пасифік Белл», почувши, що «Дженерал Телефон» найняла мене на роботу, «каталися по підлозі від сміху». Але, треба віддати належне компанії «Дженерал Телефон»: після того, як вони дізналися, що в їх компанії працює відомий хакер, і звільнили мене, було виконано вимогу зміни паролів всіх співробітників компанії!) Ви, звичайно, не хочете, щоб ваша будівля була схоже на в'язницю, але в той же самий час вам необхідно захиститися від хлопця, який був вчора звільнений, а сьогодні знову прийшов, щоб помститися і завдати непоправного збитку. Не забувайте ні про кого Правила безпеки мають тенденцію випускати з уваги співробітників низького рівня, людей, подібно службовців приймальні, які не оперують секретною корпоративною інформацією. Ми бачимо всюди, що секретарі є найбільш поширеною мішенню для тих, що атакують, а історія з проникненням в компанію, торгуючу автозапчастинами, показує нам ще один приклад: ввічлива людина, що професійно одягнена і представляється працівником компанії з іншого представництва, насправді може таким не бути. Секретарі повинні бути добре навчені правилу ввічливо питати посвідчення особи компанії, коли це необхідно, і подібне навчання повинне проводитися не тільки з основними секретарями, але і з будь-якими співробітниками, помічниками секретарів під час обідніх перерв і кофі-брейків, що є. Для відвідувачів, що не є співробітниками компанії, правила повинні встановлювати вимогу пред'явлення яких-небудь посвідчень особі з фотографією і фіксації інформації в спеціальних журналах реєстрації. Хоча абсолютно не складно зробити фальшиве посвідчення, принаймні, прохання пред'явити посвідчення може ускладнити завдання що потенційному атакує. У деяких компаніях правилами прийнято проводжати відвідувачів з вестибюля на зустріч. Правила також повинні встановлювати, щоб супроводжуючий повідомив того співробітника, до якого прийшов відвідувач, що цей відвідувач є або не є співробітником компанії. Чому це важливо? Тому що, як ми бачили в попередніх історіях, той, що атакує часто предстає перед першою людиною в одній масці, а перед другим представляється абсолютно іншим ім'ям. Для того, що атакує є дуже простій завданням переконати секретаря приймальні, що у нього призначена зустріч, скажімо, з інженером, і після того, як його проводять в кабінет інженера, він представляється співробітником компанії, яка збирається запропонувати який-небудь продукт цієї компанії; а потім, після зустрічі з інженером, він має вільний доступ в приміщення будівлі. Перед тим, як допустити зовнішнього співробітника, що не працює безпосередньо в цьому представництві компанії, в будівлю, необхідно виконати відповідні процедури посвідчення особи цього співробітника; секретарі приймальні і охорона повинні бути знайомі з методами, якими користуються ті, що атакують, видаючи себе за співробітників компанії з метою діставання доступу в будівлю. А як щодо захисту від того, що атакує, який під яким або приводом проникає в будівлю і підключає свій ноутбук до мережевого порту усередині зони дії корпоративного брандмауера? Сучасні технології дозволяють захиститися від цього: у переговорних кімнатах, кімнатах для проведення навчання і інших подібних приміщеннях мережеві порти повинні захищатися локальними брандмауерами або маршрутизаторами. Але ще кращим способом захисту в таких випадках є посвідчення особи будь-якого користувача, що підключається до локальної мережі. Гарантії безпеки IT Розумне твердження: у вашій компанії, можливо, будь-який співробітник департаменту IT знає або може з'ясувати дуже швидко, скільки ви заробляєте, які суми отримує Президент компанії, і хто користується літаком компанії, щоб полетіти у відпустку підкотитися на лижах, наприклад. У деяких компаніях існує навіть можливість того, що співробітники департаменту IT або фінансового департаменту можуть збільшити собі розмір зарплати, провести платежі підставній фірмі-постачальникові, видалити негативні записи з своїх особистих карток в департаменті управління персоналом, і так далі. Іноді тільки страх бути спійманими утримує їх від цього, але одного разу з'являється людина, чия жадність або природна нечесність примушує його (або її) проігнорувати ризик і зробити свою справу, після якої він вийде сухим з води. Звичайно, і для цієї проблеми існують прийнятні рішення. Найбільш важливі файли можуть захищатися відповідним контролем доступу до них так, щоб тільки авторизований персонал міг відкрити ці файли. Деякі операційні системи мають можливості аудиту і контролю доступу, які можуть бути настроєні так, щоб створювати журнал реєстрації певних подій, наприклад таких, як реєстрація кожної людини, що намагається відкрити захищений файл, незалежно від того увінчалася його спроба успіхом чи ні. Якщо ваша компанія зрозуміла всю серйозність даної проблеми і виробила відповідні важелі управління доступом до секретної інформації - ви робите великі успіхи у вірному напрямі. Розділ 2 Поєднуючи технологію і соціальну інженерію: Соціальний інженер живе своєю можливістю маніпулювати людьми, примушувати робити те, що допоможе йому досягти своєї мети, але успіх зазвичай вимагає великої кількості знань і навиків у використанні комп'ютерів і телефонних систем. Злом грат Які системи ви можете пригадати, захищені від злому - фізичного, телекомунікаційного або електронного? Форт Нокс ? Звичайно. Білий Дім? Абсолютно точно. NORAD (North American Air Defence), північно-американська повітряна-оборона, розташована глибоко під горою? Безумовно. А як щодо в'язниць і місць вироків? Вони повинні бути не менш безпечні, чим інші місця в країні, вірно? Люди рідко тікають, і навіть якщо це їм вдається, їх зазвичай незабаром ловлять. Ви можете думати, що державна організація буде невразлива для атак соціальних інженерів. Але ви не матимете рації - ніде не немає такої речі, як "захист від дурня". Кілька років тому, пара професійних шахраїв зіткнулися з проблемою. Так вийшло, що вони понесли велику сумку готівки у місцевого судді. У цієї пари вже не перший рік були проблеми із законом, але зараз федеральні власті особливо зацікавилися. Вони зловили одного з шахраїв, Чарльза Гондорффа, і посадили його у виправну колонію поряд з Сан-дієго. Федеральний суддя наказав утримувати його як загрозу суспільству і потенційного утікача. Його друг Джоні Хукер знав, що для Чарлі буде потрібно хорошого адвоката. Але звідки узяти гроші? Як і у багатьох інших шахраїв, всі його гроші йшли на хороший одяг, модні машини і жінок так само швидко, як і приходили. Джоні насилу вистачало грошей на помешкання. Гроші на адвоката повинні були прийти після чергової справи. Джоні не збирався робити все самостійно. Чарлі Гондорфф завжди планував всі їх афери. Але Джоні навіть не смів зайти у виправну колонію, щоб запитати у Чарлі, що робити, враховуючи те, що федерали знали, що в злочинах брали участь двоє, і жадали дістати другого. Тільки члени сім'ї могли відвідувати увязнених, що означало, що йому довелося б скористатися фальшивим посвідченням, стверджуючи, що він - член сім'ї. Намагатися використовувати фальшиве посвідчення особи у федеральній в'язниці - не найрозумніша ідея. Ні, йому треба було якось зв'язатися з Гондорффом. Це буде нелегко. Жодному ув'язненому з федеральної, штатної або місцевої організації не дозволено відповідати на дзвінки. Над кожним телефоном у федеральній колонії висять таблички, на якій може бути написано, наприклад, "Попереджаємо вас, що всі Ваші розмови з цього телефону будуть піддані прослуховуванню, і використання цього телефону означає згода з прослуховуванням". Урядові працівники слухатимуть ваші дзвінки, коли скоєння злочину - це спосіб продовження державно-оплачуваної відпустки. Джоні знав, що деякі дзвінки не прослуховуються: дзвінки між ув'язненим і його адвокатом - відносини, захищені Конституцією, наприклад. Взагалі те, установа, де затримувався Гондорфф, була сполучена безпосередньо з Офісом Суспільних Захисників (ООЗ). Піднімаючи один з телефонів, встановлюється пряме з'єднання з ООЗ. Телефонна компанія називає це прямою лінією. Нічого непідозрююча адміністрація вважає, що ця служба безпечна і невразлива для вторгнення, тому що витікаючі дзвінки поступають тільки в ООЗ, а вхідні дзвінки блокуються. Навіть якщо хто-небудь як-небудь дізнається номер, він запрограмований в телефонній компанії на deny terminate(заборона припинення), незграбний термін телефонних компаній для послуги, де заборонені вхідні дзвінки. Оскільки будь-який гідний шахрай відмінно розбирається в мистецтві обману, Джоні зрозумів, що можна вирішити цю проблему. Зсередини, Гондорфф вже намагався піднімати трубку і говорити: "це Том, з ремонтного центру компанії. Ми перевіряємо цю лінію, і мені треба, щоб ви набрали 9, а потім 00". Дев'ятка відкрила б доступ на зовнішні лінії, а нуль-нуль би з'єднали з оператором по дальніх дзвінках. Але це не спрацювало - людина, що відповіла на виклик, вже знав цей трюк. Джоні був успішніший. Він вже дізнався, що у в'язниці є десять житлових відділень, кожне з прямою лінією до Офісу Суспільних Захисників. Джоні зустрів декілька перешкод, але як соціальний інженер, він знав, як подолати ці камені спотикання. У якому саме відділенні був Гондорфф? Яким був номер у служби прямого з'єднання з цим відділенням? І як йому передати його перше повідомлення Гондорффу, щоб воно не було перехоплене тюремними властями? Те, що може показатися неможливим для середньостатистичної людини, як отримання секретних номерів, розташованих в державних закладах, - не більше ніж декілька дзвінків для афериста. Після пари безсонних ночей мозкової атаки, Джоні прокинувся одного разу вранці з повним планом в голові, що складається з п'яти пунктів. По-перше, треба дізнатися номери десяти відділень, сполучених з ООЗ. Всі 10 треба змінити на прийом вхідних викликів. Потім треба дізнатися, в якому відділенні Гондорфф затримується. Після цього треба з'ясувати, який номер сполучений з цим відділенням. І, нарешті, домовитися з Гондорффом про дзвінок так, щоб уряд нічого не запідозрив. Ласий шматочок, подумав він. LINGODIRECT CONNECT - Термін телефонних компаній для телефонної лінії, яка з'єднується з певним номером коли піднята трубка. DENY TERMINATE - Сервіс телефонної компанії, де устаткування налаштоване так, що вхідні дзвінки не можуть бути прийняті з певного номера. Дзвоню в Ma Bell Джоні почав з дзвінків в офіс телефонної компанії під виглядом співробітника гособслуживания, організації, відповідальної за придбання товарів і послуг для уряду. Він сказав, що працює над замовленням по покупці додаткових послуг, і хотів отримати рахунку по всіх використовуваних прямих лініях зв'язку, включаючи робочі номери і телефонну вартість у в'язниці Сан-дієго. Жінка була рада допомогти. Щоб переконатися, він спробував набрати один з номерів, і відповів типовий голос із запису: "Ця лінія відключена або не обслуговується". Насправді нічого подібного не малося на увазі, це означало, що лінія запрограмована блокувати вхідні дзвінки, як він і чекав. Він знав з його обширних знань про операції і процедури телефонних компаній, що йому доведеться додзвонитися до департаменту Recent Change Memory Authorisation Center або RCMAC. Він почав з дзвінка в комерційний офіс фірми, сказав, що він з відділу ремонту і хотів дізнатися номер центру RCMAC, який обслуговував зону з названим їм з кодом і префіксом, і він виявився тим же офісом, обслуговуючим всі лінії в'язниці. Ця була найзвичайніша послуга, що надається техніці на роботі, що потребує допомоги, і службовець негайно дав номер. Він подзвонив в RCMAC, назвав "телефонне" ім'я і знову сказав, що він з відділу ремонту. Коли жінка відповіла, Джоні запитав: "Чи встановлений на номері заборона припинення ? ""Так" - сказала вона. "Тоді це пояснює, чому клієнт не може отримувати дзвінки. "- сказав Джоні. "Слухай, надай мені, будь ласка, послугу. Треба змінити властивість лінії або прибрати заборону тих, що входять, гаразд?" Виникла пауза, поки вона перевіряла іншу комп'ютерну систему, чи є наказ, що вирішує зміну. "Цей номер повинен забороняти вхідні дзвінки. Немає наказу про зміну". "Тоді це помилка... Ми повинні були передати наказ вчора, але представник рахунку захворіла, і забула попросити кого-небудь віднести наказ за неї. Отже тепер клієнтка бурхливо протестує із цього приводу". Після секундної паузи жінка обдумала прохання, адже прохання незвичайне і протирічить стандартним операціям, і сказала "Гаразд". Він чув, як вона друкує, вносячи зміни. І через декілька секунд, все було зроблено. Лід рушив, між ними утворилося щось, схоже на змову. Зрозумівши відношення жінки і її бажання допомогти, Джоні, не коливаючись, вирішив спробувати все відразу. Він сказав: "У тебе є ще пару хвилин, щоб допомогти мені?" "Так, - вона відповіла, - Що вам треба?" "У мене є ще пару ліній, що належать тій же клієнтці, і на всіх та ж проблема. Я прочитаю вам номери, щоб ви перевірили, чи поставлена на них заборона тих, що входять - добре?" Вона погодилася. Через декілька хвилин, всі лінії були "полагоджені" на прийом вхідних дзвінків. Пошук Гондорффа Тепер йому треба було дізнатися, в якому відділенні знаходиться Гондорфф. Це інформація, яку люди, що містять місця висновку і в'язниці, точно не захочуть надати стороннім. Знову Джоні повинен був покластися на свої навики в соціальній інженерії. Він вирішив подзвонити у в'язницю іншого міста - Майамі, але будь-який інший би підійшов, і сказав, що він дзвонить з Нью-йоркської в'язниці. Він попросив кого-небудь, хто працює з комп'ютером центрального бюро, що містить інформацію про всіх увязнених, що містяться у в'язницях по всій країні. Коли людина підійшла до телефону, Джоні заговорив на своєму Брукліновськом акценті. "Привіт, - він сказав, - Це Томас з FDC (Federal detention center), Нью-Йорк. Наше підключення з центральним бюро не працює, не могли б ви подивитися розташування злочинця для мене, мені здається, він може бути у вашій установі", - і він сказав ім'я Гондорффа і реєстраційний номер. "Ні, він не тут", - сказав хлопець через декілька секунд. "Він у виправному центрі в Сан-дієго". Джоні прикинувся здивованим. "Сан-дієго! Його повинні були переправити в Майамі на судовому літаку минулого тижня! Ми говорив про одну людину - яка у нього дата народження?" "12/3/60" сказав чоловік, прочитавши з екрану. "Так, це той хлопець. У якому відділенні він знаходиться?" "Він в Северном-10", сказав чоловік, безтурботно відповівши на питання, не дивлячись на те, що не було поважної причини, навіщо ця інформація знадобилася працівникові в Нью-Йорку. Зараз у Джоні були телефони, включені на прийом тих, що входять, і знав, в якому відділенні знаходиться Гондорфф. Тепер треба дізнатися, який номер підключений до відділення Північне-10. Це - складна частина. Джоні подзвонив на один з номерів. Він знав, що дзвінок телефону буде вимкнений; ніхто не дізнається, що він дзвонить. Отже він сидів і читав туристичний довідник Найбільші Міста Європи Фодора (Fodor's Europe's Great Cities), слухаючи постійні гудки в телефоні, поки нарешті хтось не підняв трубку. Ув'язнений на іншому кінці лінії, звичайно, намагатиметься дістатися до свого адвоката, призначеного судом. Джоні підготувала відповідь. "Офіс Суспільних Захисників " - він оголосив. Коли чоловік попросив свого адвоката, Джоні сказав: "Я подивлюся, чи вільний він. Ви з якого відділення?" Він записав відповідь чоловіка, клацнув по hold, повернувся через півхвилини і сказав: "Він зараз в суді, вам доведеться передзвонити пізніше". Він витратив велику частину ранку, але могло бути і гірше; його четверта спроба виявилася Північною-10. Тепер Джоні знав номер, сполучений з ООЗ у відділенні Гондорффа. Синхронізуй свій годинник Тепер треба передати повідомлення Гондорффу, коли йому треба підняти трубку, підключену до Офісу Суспільних Захисників. Це було простіше, ніж може показатися. Джоні подзвонив у в'язницю, використовуючи "офіційно - звучний" голос, представився як співробітник, і попросив, щоб його з'єднали з Північним-10. Дзвінок з'єднали. Коли наглядач підняв там трубку, Джоні обдурив його, використовуючи внутрішню абревіатуру для Прийому і Випуску (Recieving and Discharge), відділу, який працює з новими увязненими, що відбувають: "Це Тайсон з R&D ", сказав він. "Я повинен поговорити з увязненим Гондорффом. У нас є деякі його речі, і він винен повідомить нам адресу, куди нам їх краще відправити. Не могли б ви його покликати до телефону?" Джоні чув, як охоронець кричить через кімнату. Через декілька нетерплячих хвилин, він почув знайомий голос на лінії. Джоні сказав йому: "не говори нічого, поки я не поясню тобі, що я задумав". Він розповів всю передмову так, щоб здавалося, ніби Джоні обговорює, куди він хоче доставити речі. Потім він сказав: "якщо ти зможеш дістатися до телефону офісу суспільних захисників сьогодні удень - не відповідай. А якщо не зможеш, назви час, коли ти зможеш бути там". Гондорфф не відповів. Джоні продовжив: "Добре. Будь там в першій годині. Я тобі подзвоню. Підніми трубку. Якщо він почне дзвонити в Офіс Суспільних Захисників, натискай на скидання кожні 20 секунд. Не переставай пробувати, поки не почуєш мене на іншому кінці". Під час дня, коли Гондорфф підняв трубку, Джоні вже чекав його. У них була жива, приємна, некваплива бесіда, що почала серію подібних дзвінків, щоб спланувати аферу, яка принесе гроші на оплату легальних рахунків, - вільних від урядової завіси. Аналіз обману Цей епізод показує основний приклад того, як соціальний інженер може зробити те, що здається неможливим, одурюючи декількох людей, кожен з яких робить щось, що здається непослідовним. Насправді, кожну дію дає маленький шматочок головоломки, поки афера не закінчена.Перша співробітниця телефонної компанії думала, що віддає інформацію з держобслуговування. Наступна співробітниця телефонної компанії знала, що вона не повинна змінювати клас лінії без відповідного наказу, але все одно допомогла доброзичливому чоловікові. Це дало можливість дзвонити у все 10 відділень в'язниці. Для чоловіка з виправної колонії в Майамі, прохання допомогти іншій федеральній установі, у якої проблеми з комп'ютером, звучало абсолютно переконливим. І навіть якщо у нього не було іншої причини дізнатися номер відділення, чом би не відповісти на питання? А охоронець в Північному-10, що повірив, що співбесідник дійсно з цього ж закладу, дзвонить у офіційній справі? Це було повністю прийнятне прохання, так що він покликав ув'язненого Гондорффа до телефону. Зовсім не серйозна справа. Серія добре-спланованих розповідей, які складаються в єдиний ланцюг. Швидке викачування Через 10 років після завершення юридичного інституту, Нед Ресин бачив своїх днокласників, що живуть в маленьких милих будинках з лужайками перед будинком, членів різних клубів, що грають в гольф 2 рази на тиждень, як і раніше працюючи з копійчаними справами людей, яким ніколи не вистачало грошей на оплату рахунків. Заздрість може стати підступним супутником. Одного разу Неду це набридло. Його єдиний хороший клієнт володів маленькою, але дуже спішною бухгалтерською фірмою, яка спеціалізувалася на покупках і об'єднаннях. Вони працювали з Недом недовго, але достатньо, щоб він зрозумів, що вони брали участь в операціях, які могли б вплинути на біржову ціну однієї або двох компаній. Копійчана справа, але в чомусь воно краще - маленький стрибок в ціні може стати великим процентним прибутком від інвестицій. Якби тільки він міг заглянути в їх файли, і подивитися, над чим вони працюють... Він знав людину, яка знала людину, яка розбиралася в не зовсім типових речах. Чоловік почув план, запалився і погодився допомогти. За меншу суму, чим він зазвичай просив, разом з відсотком від прибутку з валютної біржі, чоловік розповів Неду, що треба робити. Він так само дав корисний маленький пристрій - новинку в магазинах. Декілька днів підряд Нед спостерігав за стоянкою в маленькому бізнес парку, де у бухгалтерської компанії були непрезентабельні офіси, схожі на вітрину магазина. Більшість людей йшли в 5:30-6:00. У 7 будівля була порожньою. Прибиральники приїжджали приблизно в 7:30. Ідеально. На наступний вечір, за декілька хвилин до восьми, Нед припаркував свою машину на стоянці фірми. Як він і чекав, вона була порожня, не рахуючи вантажівки прибиральної компанії. Нед, одягнений в костюм і краватку, тримаючи в руці потерту валізу, приклав вухо до дверей і почув працюючий пилосос. Він постукав дуже голосно. Відповідь не послідувала, але він був терплячий. Він постукав знову. Чоловік з прибиральної команди нарешті з'явився. "Здрастуйте", кричав Нед через скляні двері, показуючи пропуск один із співробітників, який він знайшов трохи ранішим. "Я закрив свої ключі в машині і мені треба дістатися до столу". Чоловік відкрив двері, знову закрив її за Недом, і пішов по коридору, включаючи світло, щоб Нед бачив, куди йти. А чом би і ні - адже він по ідеї один з тих, хто допомагає йому класти їжу на стіл. Принаймні, у нього були всі причини так думати. Нед сів за комп'ютер один із співробітників і включив його. Поки він включав його, він встановив пристрій, який йому дали, на порт USB, достатньо маленьке, щоб носити в зв'язці ключів, і, проте здатне уміщати до 120 мегабайт інформації. Він підключився до мережі, використовуючи логін і пароль секретарки співробітника, приклеєний на папірці до дисплея. Менш ніж за 5 хвилин, Нед викачав всі файли з таблицями і документами з робочого комп'ютера і мережених папок партнера, і вже прямував до будинку. Повідомлення від Мітника Промислові шпигуни і комп'ютерні зломщики іноді фізично проникають в «ціль». Вони не використовують лом, щоб пройти, соціальні інженери використовують мистецтво обману, щоб вплинути на людину з другого боку дверей, яка відкриє двері для нього. Легкі гроші Коли а вперше познайомився з комп'ютерами в старших класах школи, нам доводилося підключатися до одного центрального мінікомп'ютера DEC PDP 11, розташованого в передмісті Лос-Анджелеса, який використовували всі школи Л.А. Операційна система на комп'ютері називалася RSTS/E, і ця була перша операційна система, з якою я навчився працювати. У той час, в 1981 році, DEC влаштовували щорічну конференцію для своїх користувачів, і цього року конференція пройде в Л.А. У популярному журналі для користувачів цієї операційної системи було оголошення про нову розробку по безпеці, Lock-11. Цей продукт просували з хорошою рекламною кампанією, де мовилося щось ніби: "Зараз 3:30 ранку, і Джоні з іншого кінця вулиці знайшов ваш номер дозвону, 555-0336, з 336й спроби. Він усередині, а ви в прольоті. Купуйте Lock-11". Продукт, як мовилося в рекламі, був "хакеростійким". І його збиралися показати на конференції. Я жадав подивитися на розробку. Друг старшокласник, Вінні, що був моїм партнером по хакінгу протягом декількох років, згодом став державним інформатором проти мене, розділяв мій інтерес до нового продукту DEC, і надихнув мене на похід на конференцію з ним. Гроші на лінії Ми прийшли і виявили великий переполох в натовпі біля презентації Lock-11. Схоже, що розробники ставили гроші на те, що ніхто не зможе зламати їх продукт. Звучить як виклик, перед яким я не зміг встояти. Ми попрямували прямо до стенду Lock-11, і виявили, що керують там розробники проекту; я дізнався їх, і вони дізналися мене - навіть в юності у мене вже була репутація фрікера і хакера із-за великої розповіді в LA Times про мій перший контакт з властями. У статті розповідалося, як я завдяки одним діалогам увійшов посеред ночі в будівлю Pacific Telephone (телефонна компанія - прим. перекладача), і вийшов з комп'ютерним керівництвом, прямо перед носом у їх охорони. ( Схоже, що Times хотіли надрукувати сенсаційну розповідь, і в своїх цілях надрукували моє ім'я; я був ще неповнолітнім, і стаття порушувала не тільки традиції, а можливо навіть закон про заховання імен неповнолітніх, звинувачених в правопорушенні.) Коли Вінні і я підішли, це викликало інтерес у обох сторін. З їх боку був інтерес, тому що вони дізналися в мені хакера, про якого читали, і були трохи шоковані, побачивши мене. Інтерес з наший сторони викликало те, що у кожного з трьох розробників, що стояли там, був чек на $100, що стирчав із значка учасника конференції. В сумі приз для будь-якого, хто зможе зламати їх систему, складав $300 - і це показалося великою сумою грошей для пари тінейджерів. Ми насилу могли дочекатися того, щоб почати. Lock-11 був спроектований за визнаним принципом, що покладався на два рівні безпеки. У користувача повинні були бути вірний ідентифікаційний номер і пароль, але і додатково цей ідентифікаційний номер і пароль працюватимуть, тільки якщо вони введені з уповноваженого терміналу, підхід званий terminal-based security (безпека, заснована на терміналах). Щоб перемогти систему, хакерові б знадобилося не тільки знання ідентифікаційного номера і пароля, але і довелося б ввести інформацію з правильного комп'ютера. Метод був добре визнаним, і винахідники Lock-11 були переконані, що він триматиме поганих хлопців подалі. Ми вирішили викласти їм урок, і заробити триста баксів. Знайомий хлопець, який вважався гуру в RSTS/E, вже підійшов до стенду раніше нас. Кілька років тому, він був одним з тих хлопців, хто спантеличив мене зломом внутрішнього комп'ютера розробників DEC, після чого його спільники видали мене. Тепер він став поважаним програмістом. Ми дізналися, що він намагався зламати програму безпеки Lock-11, незадовго до того, як ми прийшли, але не зміг. Цей інцидент дав розробникам ще більшу упевненість, що їх продукт дійсно безпечний. Змагання було безпосереднім випробуванням: ти зламуєш - ти отримуєш гроші. Хороший публічний трюк ... якщо хто-небудь не зганьбить їх і забере гроші. Вони були такі упевнені в своїй розробці, і були достатньо зухвалими, що навіть приклеїли роздрук на стенд з номерами облікових записів і відповідних паролів в системі. Але не тільки призначені для користувача облікові записи, але і всі привілейовані. Це було набагато менш приємно, чим звучить. З таким видом настройок, я знав, що кожен термінал підключений до порту на самому комп'ютері. Це - не ракетна фізика, щоб здогадатися, що вони встановили п'ять терміналів в залі для конференцій, і відвідувач міг увійти тільки як непривілейований користувач - це означає, що підключення були можливі тільки з облікових записів з правами системного адміністратора. Схоже, що було тільки два шляхи: обійти систему безпеки, для запобігання чого і був розрахований Lock-11, або абияк обійти програмне забезпечення, як розробники навіть не представляли. Виклик прийнятий Ми з Вінні йшли і говорили про конкурс, і я придумав план. Ми безневинно ходили навколо, поглядаючи на стенд з відстані. Під час обіду, коли натовп розійшовся, і троє розробників вирішили скористатися перервою і пішли разом купити собі що-небудь поїсти, залишивши жінку, яка могла бути дружиною або дівчиною одного з них. Ми прогулювалися туди-сюди, і я відволікав жінку, розмовляв з нею про різні речі: "чи давно ти працюєш в компанії?", "які ще продукти вашої компанії є у продажу" і т.д. Тим часом, Вінні, поза полем її зору, приступив до роботи, використовуючи навики, які ми розвивали. Крім зачарованості зломом комп'ютерів і мого інтересу до магії, ми були зацікавлені в навчанні відкриття замків. Коли я був маленьким, я прочісував полиці підпільного книжкового магазина в Сан-Франциско, в якому були томи про розтин замків, вилазить з наручників, створенні підроблених посвідчень - і про інші речі, про які діти не повинні знати. Вінні, як і я, тренувався розкривати замки до тих пір, поки у нас не стало добре виходити із замками магазинів із залізом. Був час, коли я влаштовував розиграші - знаходив кого-небудь, хто використовував 2 замки для безпеки, розкривав їх і міняв місцями, і це дуже дивувало і турбувало, якщо він намагався відкрити їх не тим ключем. У виставковому залі, я продовжував відволікати дівчину, поки Вінні підповз позаду будки, розкрив замок в кабінет, де стояв їх PDP-11 і кабелі. Назвати кабінет замкнутим - це майже жарт. Він був захищений тим, що слюсарі називають вафельний замок, відомий як що легко відкривається, навіть для таких незграбних любителів зламувати замки як ми. Вінні знадобилася приблизно хвилина, щоб відкрити замок. Усередині, в кабінеті він виявив те, що ми не любили: смуги портів, для підключення призначених для користувача терміналів, і один порт, який називається консольним терміналом. Цей термінал використовувався оператором або системним адміністратором, щоб управляти всіма комп'ютерами. Вінні підключив кабель, що йде від консольного порту до одного з терміналів, що знаходяться на виставці. Це означало, що тепер цей термінал сприймається як консольний термінал. Я сів за перепідключену машину, і використовував пароль, який так сміливо надали розробники. Оскільки Lock-11 визначив, що я підключаюся з уповноваженого терміналу, він дав мені доступ, і я був підключений з правами системного адміністратора. Я пропатчиівопераційну систему, змінив її так, що можна буде підключитися з будь-якого комп'ютера на поверсі як привілейований користувач. Коли я встановив свій секретний патч, Вінні повернувся до роботи, відключив термінальний кабель і підключив його туди, де він був спочатку. Він ще раз розкрив замок, цього разу, щоб закрити двері кабінету. Я зробив лістинг директорій, у пошуках тек і програм, пов'язаних з Lock-11, і випадково наткнувся на дещо що шокує: директорія, яка не повинна була бути на цій машині. Розробники були дуже упевнені, що їх програмне забезпечення непереможне, що вони навіть не потурбувалися про те, щоб прибрати початковий код їх нового продукту. Я пересунувся до сусіднього друкуючого терміналу, і почав роздруковувати порції початкового коду на довгих листах зелено-смугастого паперу, використовуваного комп'ютерами в ті часи. Вінні ледве встиг закрити замок і повернутися до мене, коли хлопці повернулися з обіду. Вони застали мене, що сидить біля комп'ютера що б'є по клавішах, а принтер продовжував друкувати. "Що робиш, Кевін?"- запитав один з них. "А, просто друкую сорси “ я сказав. Вони припустили, що я жартую. Поки не подивилися на принтер і не побачили, що це дійсно той початковий код їх продукту, що ревно охороняється. Вони не повірили, що я дійсно підключився як привілейований користувач. "Натисни CONTROL-T", - наказав один з розробників. Я натиснув. Напис на екрані підтвердив моє твердження. Хлопець ударив рукою по своєму лобу, коли Вінні говорив "Триста доларів, будь ласка". Повідомлення від Мітника Ще чого один приклад того, як розумні люди недооцінюють супротивника. А як щодо вас - ви упевнені, що можна поставити $300 на ваші охоронні системи, проти зломщика? Іноді обхід навколо технологічних пристроїв не такий, який ви чекаєте. Вони заплатили. Ми з Вінні ходили по виставці частину дня, що залишилася, із стодолларовими чеками, прикріпленими до наших значків конференції. Кожен, що бачив чеки, знав, що вони означають. Звичайно, ми з Вінні не перемогли їх програму, і якщо розробники встановили б хороші правила в конкурсі або використовували б дійсно безпечний замок, або наглядали за своїм устаткуванням уважніше, то їм би не довелося терпіти приниження того дня - приниження із-за парочки підлітків. Пізніше, я дізнався, що команді розробників довелося зайти в банк, щоб отримати готівку: ці стодолларові чеки - всі гроші, узяті з собою, які вони збиралися витрачати. Словник як знаряддя атаки Коли хто-небудь отримує ваш пароль, він може вторгнуться у вашу систему. В більшості випадків, ви навіть не дізнаєтеся, що відбулося щось погане. У юного хакера, якого я назву Іваном Пітерсом, є мета - отримати початковий код для нової електронної гри. У нього не було проблем з проникненням в мережу компанії, тому що його друг-хакер вже скомпрометував один з веб-серверів фірми. Знайшовши непропатчену уразливість в програмному забезпеченні веб-сервера, його друг трохи не повалився із стільця, дізнавшись що система була настроєна в як хост з подвійним входом, що означало, що у нього був вхідний пункт в локальну мережу фірми. Але коли Іван підключився, він зіткнувся з випробуванням, схожим на ходіння по Лувру в надії знайти Мона Лізу. Без карти, ви можете бродити тижнями. Компанія була міжнародною, з сотнями офісів і тисячами комп'ютерних серверів, і вони не надали список систем розробників або послуги туристичного гіда, щоб відразу привести його до потрібного. Замість того, щоб використовувати технічний підхід, щоб дізнатися, який сервер є його метою, він використовував соціально-інженерний підхід. Він дзвонив, грунтуючись на методах, схожих на описаних в цій книзі. Спочатку, подзвонив в службу технічної підтримки, і заявив, що він співробітник компанії, у якого проблеми з інтерфейсом в продукті, який розробляла його група, і запитав телефон керівника проекту групи розробників гри. Потім він подзвонив тому, чиє ім'я йому дали, і представився як той хлопець з техпідтримки. "Пізніше вночі", сказав він, "ми замінюватимемо маршрутизатор і повинні переконатися, що люди з твоєї групи не втратять зв'язок з сервером. Тому ми повинні знати, які сервери використовує ваша команда." У мережі постійно проводився апгрейд. І сказати назву сервера нікому і ніяк не пошкодить, вірно? Раз він був захищений паролем, всього лише сказавши ім'я, це не допомогло б нікому зламати його. І хлопець сказав тому, що атакує ім'я сервера. Він навіть не поклопотався про те, щоб передзвонити хлопцю і підтвердити розповідь, або записати його ім'я і телефон. Він просто сказав імена серверів, ATM5 і ATM6. Атака паролями У цьому місці Іван використовував технічний підхід для отримання засвідчуючої інформації. Перший крок в більшості технічних зломів систем, що надають видалений доступ, - знайти аккаунт із слабким паролем, який дасть первинний доступ до системи. Коли той, що атакує намагається використовувати інструменти хакерів для паролів, що працюють видалено, може знадобиться залишатися підключеним до мережі компанії протягом декількох годинників за раз. Він робить це на свій ризик: чим довше він підключений, тим більше ризик, що його виявлять і зловлять. Як початковий етап Іван вирішив зробити підбір пароля, який покаже подробиці про систему (можливо, є зважаючи на, що програма показує логіни - прим. пер.). Знову-таки, інтернет зручно надає ПЗ для цієї мети (на <http://ntsleuth.0catch.com/>; символ перед "catch" - нуль). Іван знайшов декілька загальнодоступних програм хакерів в мережі, що автоматизують процес підбору, уникаючи необхідності робити це уручну що займе більше часу, і отже працює з великим ризиком. Знаючи, що організація в основному працювала на основі серверів Windows, він скачав копію NBTEnum, утиліту для підбору пароля до NETBIOS(базова система введення/виводу). Він ввів IP (Internet Protocol) адресу сервера ATM5, і запустив програму. LINGOEnumeration - Процес, що показує сервіси, що працюють на системі, операційну систему і список імен аккаунтов користувачів, у яких є доступ до системі. Програма для підбору змогла визначити декілька облікових записів, що існували на сервері. Коли існуючі аккаунти були визначені, та ж програма підбору дістала можливість почати атаку по словнику проти комп'ютерної системи. Атака по словнику - це щось, що знайомо хлопцям із служби комп'ютерній безпеці і зломщикам, але багато хто буде уражений, дізнавшись що це можливо. Така атака націлена на розкриття пароля кожного користувача, використовуючи частовживаних слів. Ми всі іноді лінуємося в деяких речах, але мене ніколи не перестає дивувати, що коли люди вибирають паролі, їх творчий підхід і уяву, схоже, зникають. Багато хто з нас хоче пароль, який одночасно дасть захист і його легко запам'ятати, що означає, що це щось близьке для нас. Наприклад, наші ініціали, друге ім'я, нік, ім'я чоловіка, улюблена пісня, фільм або напій. Назва вулиці, на якій ми живемо, або міста, де ми живемо, марка машини, на якій ми їздимо, села біля берега на гаваях, де ми любимо відпочивати, або улюблений струмок, де краще всього клює форель. Розумієте принцип? В основному, це все - імена власні, назви місць або слова із словника. Атака словником перебирає частовживані слова з дуже швидкою швидкістю, перевіряючи кожен пароль на одному або більш призначених для користувача аккаунтів. Іван влаштував атаку в трьох частинах. У першій він використовував простій список з 800 найзвичайніших паролів; список включає secret, work і password.. Програма також змінювала слова із списку, і пробувала кожне з доданим числом, або додавала чисельне значення поточного місяця. Програма спробувала кожного разу на всіх знайдених призначених для користувача аккаунтах. Ніякого везіння. Для наступної спроби, Іван пішов на пошукову систему Google, і ввів "Wordlist dictionaries", і знайшов тисячі сайтів з великими списками слів і словниками на англійському і на деяких іноземних мовах. Він викачав цілий електронний англійський словник. Він поліпшив його, викачавши декілька словників, знайдених в Google. Іван вибрав сайт www.outpost9.com/files/WordLists.html <http://www.outpost9.com/files/WordLists.html>. На цьому сайті він викачав (і все це - безкоштовно) підбірку файлів, включаючи прізвища, другі імена, імена і слова членів конгресу, імена акторів, і слова і імена з Біблії. Ще один з багатьох сайтів, що пропонують списки слів надається через Оксфордський університет, на <ftp://ftp.ox.ac.uk/pub/wordlists>. Інші сайти надають списки з іменами героїв мультфільмів, слів, використаних у Шекспіра, в Одіссеї, у Толкієна, в серіалі Star Trek, а також в науці і релігії і так далі (одна онлайнова компанія продає список, що складається з 4,4 мільйонів слів і імен всього за $20). Атакуюча програма також може бути налаштована на перевірку анаграм слів із словника - ще один улюблений метод, який, на думку користувачів комп'ютера, збільшує їх безпеку. Швидше, ніж ти думаєш Коли Іван вирішив, який список слів використовувати, і почав атаку, програмне забезпечення запрацювало на автопілоті. Він зміг звернути свою увагу на інші речі. А ось і дивовижна частина: ви думаєте, що така атака дозволить хакерові поспати, і програма все одно зробила б мало, коли він прокинеться. Насправді, залежно від операційної системи, що атакується, конфігурації систем безпеки і мережевого з'єднання, кожне слово в Англійському словнику може бути перепробуване менш, ніж за 30 хвилин! Поки працювала ця атака, Іван запустив схожу атаку на іншому комп'ютері, націлену на інший сервер, використовуваний групою розробників, ATM6. Через 20 хвилин, атакуюча програма зробила те, що багато непідозрюючих користувачів вважають за неможливе: вона зламала пароль, показуючи, що один з користувачів вибрав пароль "Frodo", один з хоббітів з книги Володар Кілець. З паролем в руці, Іван зміг підключитися до сервера ATM6, використовуючи призначений для користувача аккаунт. Для того, що нашого атакує була хороша і погана новини. Хороша новина - у зламаного аккаунта були адміністраторські права, які були потрібні для наступного етапу. А погана новина - те, що початковий код гри ніде не був виявлений. Він повинен бути, все-таки, на іншому комп'ютері, ATM5, який, як він вже дізнався, зміг встояти перед атакою по словнику. Але Іван ще не здався; він ще повинен був спробувати декілька штучок. На деякий операційних системах Windows і Unix, хеші (зашифровані паролі) з паролями відкрито доступні будь-якому, хто дістає доступ до комп'ютера, на якому вони знаходяться. Причина в тому, що зашифровані паролі не можуть бути зламаними, а отже, і не потребують захисту. Ця теорія помилкова. Використовуючи іншу програму, pwdump3, також доступну в Інтернеті, він зміг витягнути хеши паролів з комп'ютера ATM6 і викачати їх. Типовий файл з хешамі паролів виглядає так: Administrator:500:95E4321A38AD8D6AB75E0C8D76954A50:2E8927A0B04F3BFB341E26F6D6E9A97:::akasper:1110:5A8D7E9E3C3954F642C5C736306CBFEF:393CE7F90A8357F157873D72D0490821:::digger:1111:5D15C0D58DD216C525AD3B83FA6627C7:17AD564144308B42B8403D01AE26558:::elligan:1112:2017D4A5D8D1383EFF17365FAF1FFE89:07AEC950C22CBB9C2C734EB89320DB13:::tabeck:1115:9F5890B3FECCAB7EAAD3B435B51404EE:1F0115A728447212FC05E1D2D820B35B:::vkantar:1116:81A6A5D035596E7DAAD3B435B51404EE:B933D36DD112258946FCC7BD153F1CD6F:::vwallwick:1119:25904EC665BA30F449AF4449AF42E1054F192:15B2B7953FB632907455D2706A432469:::mmcdonald:1121:A4AED098D29A3217AAD3B435B51404EE:E40670F936B79C2ED522F5ECA9398A27::: kworkman:1141:C5C598AF45768635AAD3B435B51404EE:DEC8E827A121273EF084CDBF5FD1925C З хешами, викачаними на його комп'ютер, Іван використовував іншу програму, що робила інший вид атаки, відому як brute force(брутфорс). Цей тип атаки пробує кожну комбінацію цифрових, буквених і спеціальних символів. Іван використовував утиліту під назвою L0phtcrack3 (вимовляється лофт-крек; доступно на <http://www.atstake.com/>; ще один ресурс для відмінних програм, що розкривають паролі, - <http://www.elcomsoft.com/>). Системні адміністратори використовують L0phtcrack3 для перевірки "слабких" паролів; ті, що атакують використовують його для злому паролів. Функція брутфорса в LC3 пробує паролі з комбінаціями букв, цифр, і більшості символів, включаючи mailto:!@#$ <mailto:!@>^&. Вона систематично перебирає кожну можливу комбінацію з більшості символів (Запам'ятаєте, проте, що якщо використовуються недруковані символи, LC3 не зможе відкрити пароль). У програми майже неймовірна швидкість, яка може досягати 2.8 мільйонів спроб в секунду на комп'ютері з процесором з частотою 1ГГц. Але навіть з такою швидкістю, якщо системний адміністратор правильно налаштував операційну систему Windows (відключивши використання хешів LANMAN),взлом пароля може зайняти багато часу. LINGOАтака брутфорсом Стратегія виявлення пароля, яка пробує кожну можливу комбінацію буквених, чисельних і спеціальних символів. Той, що з цієї причини атакує часто викачує хеши і запускає атаку на своєму або чужому комп'ютері, а не залишається підключеним до локальної мережі компанії, ризикуючи бути виявленим. Для Івана очікування не було довгим. Через декілька годинників, програма надала йому паролі кожного члена з команди розробників. Але це були паролі користувачів сервера ATM6, і він вже знав, що початковий код, який він шукав, був не на цьому сервері. Що ж далі? Він все одно не зміг отримати пароль для аккаунта на комп'ютері ATM5. Використовуючи свій стиль хакера мислення і розуміючи неправильні небезпечні звички користувачів, він припустив, що один член команди (розробників) міг вибрати однакові паролі на обох комп'ютерах. Насправді, саме це він і виявив. Один з членів команди використовував пароль "gamers" на ATM5 і ATM6. Двері широко відкрилися перед Іваном, і він знайшов програми, які він шукав. Коли він виявив джерела коду і радісно викачав їх, і зробив ще один крок, типовий для зломщиків систем: він змінив пароль невживаного аккаунта з адміністраторськими правами, у випадку якщо він захоче отримати новішу версію програмного забезпечення в майбутньому. Аналіз обману У цій атаці, що грунтувалася на технічних і людських вразливостях, той, що атакує почав з попереднього дзвінка, щоб дізнатися місцеположення і імена серверів розробників, на яких була приватна інформація. Він використовував програму, щоб дізнатися імена користувачів аккаунтів кожного, у кого був аккаунт на сервері розробників. Потім він провів дві успішні атаки на паролі, включаючи атаку по словнику, яка шукає частовживані паролі, перебираючи всі слова в англійському словнику іноді доповнений декількома списками слів, що містять імена, місця і спеціалізовані предмети. Оскільки комерційні і суспільні програми для злому можуть бути отримані кожним для будь-яких цілей, важливо, щоб ви були пильні при захисті комп'ютерних систем підприємства і мережевої інфраструктури. Важливість цієї загрози не може бути переоцінена. За даними журналу Computer World, дослідження в Oppenhiemer Funds в Нью-Йорку привели до вражаючого відкриття. Віце-президент фірми по мережевій безпеці провів атаку на паролі, використовувані сотруднамі фірми, що застосовували один із стандартних пакетів ПО. Журнал повідомляє, що за три хвилини він зміг дізнатися паролі 800 співробітників. Повідомлення від Мітника Якщо скористатися термінологією гри "Монополія", якщо ви використовуєте словарне слово як пароль - відправляйтеся відразу у в'язницю. Не проходите поле "Вперед", ви не отримаєте $200. Навчіть своїх працівників правильно вибирати паролі, які дійсно захистять вашу інформацію. Запобігання обману Атаки соціальних інженерів можуть стати ще більш деструктивними, коли той, що атакує використовує елементи технології. Запобігання цьому виду атаки зазвичай включає заходи безпеки на людському і технологічному рівні. Просто скажи "Ні" У першій історії в цьому розділі, службовець компанії RCMAC не повинен був знімати статус deny terminate з 10 телефонних ліній без наказу, підтверджуючого зміну. Недостатньо того, щоб співробітники знали правила безпеки і процедури, співробітники повинні розуміти, наскільки важливі ці правила для компанії для запобігання нанесенню збитку. Правила безпеки повинні не заохочувати відхилення від процедури, використовуючи систему заохочень і наслідків. Природно, правила безпеки повинні бути реалістичними, що не закликають співробітників виконувати дуже обтяжливі речі, які, швидше за все, будуть проігноровані. Також, програма навчання по безпеці повинна переконати службовців, що треба виконувати доручення по роботі швидко, але найкоротший шлях, що нехтує системою безпеки, може виявитися шкідливим для компанії і співробітників. Та ж обережність повинна бути присутньою при наданні інформації незнайомій людині по телефону. Не дивлячись на те, як переконливо він представив себе, незважаючи на статус або посаду людини в компанії, ніяка інформація, яка не призначена для суспільного доступу, не повинна бути надана, поки особа що дзвонить не буде встановлена. Якби ці правила строго дотримувалися, соціально-інженерний план в цій розповіді потерпів би невдачу, і федеральний ув'язнений Гондорфф ніколи не зміг би спланувати ще одну аферу з його приятелем Джоні. Цей єдиний пункт настільки важливий, що я повторюю його впродовж всієї книги: перевіряйте, перевіряйте, перевіряйте. Кожне прохання, не зроблене особисто, ніколи не повинне бути виконане без підтвердження особи що просить - і крапка. Прибирання Для будь-якої фірми, у якої немає охоронців цілодобово, план, де той, що атакує дістає доступ до офісу на декілька годинників - трудність. Прибиральники зазвичай відносяться із з повагою до кожного, хто здається членом компанії і не виглядає підозріло. Все-таки, ця людина може викликати у них неприємності або звільнити. З цієї причини прибиральники, як співробітники фірми так і працюють за контрактом із зовнішнього агентства, повинні бути навчені техніці безпеки. Прибиральна робота не вимагає освіти в коледжі і навіть уміння говорити по-англійськи, і навіть якщо вимагає навчання, то не по безпеці, а тільки по використанню різних очисних засобів для різних призначень. Зазвичай ці люди навіть не отримують вказівок ніби: "якщо хто-небудь попросить вас впустити їх після робочого часу, ви повинні перевірити у них пропуск, подзвонити в офіс прибиральної компанії, пояснити ситуацію і почекати дозволу". Організації потрібно заздалегідь спланувати, що робити в конкретній ситуації, як ця, перш ніж вона відбудеться і відповідно навчити людей. По моєму досвіду, я дізнався що більшість, якщо не важ приватний бізнес неточний в цій частині фізичної безпеки. Ви можете спробувати підійти до проблеми з іншого боку, поклавши тягар на співробітників своєї компанії. Компанії без цілодобової охорони повинні повідомляти співробітників, що якщо їм знадобиться увійти після робочого дня, їм доведеться скористатися власними ключами або електронними картами, і не повинні ставити прибиральників в положення вибору, кого можна пропустити. Повідомите прибиральну компанію, що їх люди повинні бути навчені не впускати кого-небудь в приміщення у будь-який час. Це просте правило - нікому не відкривайте двері. Якщо потрібно, то це може бути включено в контракт з прибиральною компанією. Також прибиральники повинні знати про техніку "piggyback"(сторонні люди слідують за уповноваженою людиною через безпечний вхід). Вони повинні бути навчені не дозволяти іншим людям входити в будівлю тільки тому, що він виглядає як співробітник. Приблизно три або чотири рази на рік влаштовуйте тест на проникнення або оцінку уразливості. Попросите кого-небудь підійти до дверей, коли працюють прибиральники, і спробуйте проникнути в будівлю. Але краще не використовуйте для цього власних співробітників, а найміть співробітників фірми, що спеціалізується на цьому виді тестів на проникнення. Передай іншому: Захисти свої паролі Організації стають все більш і більш пильними, підсилюючи техніку безпеки технічними методами, наприклад, конфігуруючи операційну систему ускладнювати техніку безпеки паролів і обмежити число невірних введень перед блокуванням аккаунта. Насправді, така властивість вбудована в платформи Microsoft Windows, які призначені для бізнесу. Але, знаючи як дратують покупців властивості, які вимагають зайвих зусиль, продукти зазвичай поставляються з відключеними функціями. Вже пора б розробникам припинити поставляти продукти з відключеними за умовчанням функціями безпеки, коли все повинно бути навпаки( я підозрюю, що незабаром вони здогадаються). Звичайно, правила безпеки корпорації повинні дозволяти системним адміністраторам доповнювати ці правила технічними методами, коли можливо, з урахуванням того, що людям властиво помилятися. Зрозуміло, що якщо ви, наприклад, обмежите число невірних спроб входу через конкретний аккаунт, то ви зможете зробити життя того, що атакує важчим. Кожна організація стикається з нелегким вибором між могутньою безпекою і продуктивністю співробітників, що примушує деяких співробітників нехтувати правилами безпеки, не розуміючи, наскільки вони необхідні для захисту цілісності секретної комп'ютерної інформації. Якщо правила безпеки конкретно не указуватимуть можливі проблеми при зневазі ними, співробітники можуть піти по шляху найменшого опору, і зробити що-небудь, що полегшить їх роботу. Деякі співробітники можуть відкрито нехтувати безпечними звичками. Ви могли зустрічати співробітників, хто слідує правилам про довжину і складність пароля, але записує пароль на листок паперу і клеїть його до монітора. Життєво-важлива частина захисту організації - використання складно вгадуваних паролів у поєднанні з могутніми настройками безпеки в техніці. Докладний розгляд рекомендованої техніки безпеки паролів описаний в розділі 16. Розділ 3 Атака на нижчої ланки, що служить Як показують історії в цій книзі, досвідчений соціальний інженер часто вибирає як свою мету службовців нижньої ланки в організаційній ієрархії. Можна легко маніпулювати цими людьми, примушуючи повідомити інформацію, що здається безневинною, яку використовує той, що атакує, щоб стати на крок ближче до отримання секретної інформації корпорації. Той, що атакує націлюється на службовців нижньої ланки тому, що вони здебільшого не знають про цінність специфічної інформації про компанію, або про можливі наслідки їх дій. Також, на них легко вплинути найбільш поширеними соціально-інженерними підходами: що дзвонить, який згадує начальство; людина, що здається доброзичливим і приємним; людина, яка знає співробітників компанії, які відомі жертві; прохання, яке, за словами того, що атакує є терміновою - або будь-який інший спосіб вплинути, при якому жертві буде надана послуга або жертва дізнається кого-небудь з тих, що дзвонять.Далі показані атаки на службовців нижчої ланки у дії. Люб'язний охоронець Шахраї сподіваються знайти жадібну людину, тому що його найпростіше обдурити. Соціальні інженери, вибираючи кого-небудь на зразок прибиральника або охоронця, сподіваються знайти кого-небудь доброзичливого і довірливого. Вони з найбільшою вірогідністю захочуть допомогти. Саме про це думав той, що атакує в наступній історії З погляду ЕліотаДата/Час: Вівторок, 3:36 ранку в лютому 1998 року.Місце: Підприємство Marchland Microsystems, Nashua, New Hampshire Еліот Стенлі знав, що не повинен покидати свій пост під час роботи. Але ж тоді була середина ночі, і він не бачив жодної людини за зміну. І майже добігала кінця його зміна. А бідний хлопець по телефону говорив так, як ніби йому дійсно була потрібна допомога. Людина починає відчувати себе краще, якщо він може хоч трохи кому-небудь допомогти. Розповідь Біла У Біла Гудрока була проста мета, до якої він незмінно слідував з 12 років: піти на пенсію в 24 роки, не чіпаючи ні цента з грошей свого отця. Щоб показати отцеві, могутньому і нещадному банкірові, що він може і сам досягти успіху. Залишилися всього два роки, і йому стало виразне зрозуміло, що за 24 місяці він не зможе заробити свій стан, будь він відмінний бізнесменом або проникливим інвестором. Він одного разу думав про пограбування банків з пістолетом, але це з області фантастики, і шанси на успіх невеликі. Натомість, він мріє повторити подвиг Ріфкина - електронний пограбувати банк. Під час своєї останньої поїздки в Монако з сім'єю, він відкрив рахунок з 100 франками. І на нім як і раніше лежать 100 франків, але у нього з'явився план, як він зможе швидко збільшити це число до семи знаків. А може і до восьми, якщо повезе. Дівчина Біла, Мері-Енн, працювала в M&A на великий банк Бостона. Одного разу, у офісу, поки він чекав її з тривалого засідання, він піддався своїй цікавості і підключив свій ноутбук до порту локальної мережі в конференц-залі, де він сидів. Так! Він був в локальній корпоративній мережі, підключений зсередини, за корпоративним брендмауером. І у нього з'явилася ідея. Він поділився своєю ідеєю з колишнім однокласником, який був знайомий з дівчиною на ім'я Джулії, кандидатом наук в області комп'ютерів, що працювала в Marchland Microsystems. Джулія була схожа на відмінне джерело корпоративної інфоріациі її працівника. Вони сказали, що пишуть сценарій до фільму, і вона їм дійсно повірила. Їй здавалося, що це дуже весело - придумувати з ними історію, і розповідаючи всі подробиці, як можна реалізувати описаний ними план. Вона вважала, що їх ідея геніальна, і випрошувала у них написати її прізвище в титрах. Вони попередили її, що сценарії дуже часто крадуть, і примусили присягнутися, що вона нікому не скаже. Легко дізнавшись все від Джулії, Біл виконав ризиковану частину сам, не сумніваючись в успіху. Я подзвонив вдень, і дізнався, що за охорону вночі відповідає людина на ім'я Ісаака Аддамс. У 3:30 тією ніччю, я подзвонив, і поговорив з охоронцем. Вся моя історія була заснована на терміновості, і я говорив, неначе я в паніці: «У мене проблеми з машиною і я не можу зараз потрапити в будівлю». «У мене термінова справа і мені дуже потрібна ваша допомога. Я намагався додзвонитися до головного охоронця, Ісаака, але його немає удома. Ви не могли б мені допомогти? Я буду вам дуже вдячливий!» На всіх кімнатах в цій великій будівлі були номери, так що я дав йому номер серверною, і запитав, чи знає він, де це. Він сказав, що знає, де це, і погодився допомогти. Він сказав, що йому буде потрібно пару хвилин, щоб дійти до туди, а я відповів, що передзвоню йому в серверну, виправдовуючись тим, що це - єдина вільна зараз телефонна лінія, і що я спробую додзвонитися через модем щоб виправити помилку. Коли я подзвонив, він вже був там, і повідомив, де знайти консоль, що цікавила мене, на якій був наклеєний папірець з написом «Елмер», - за словами Джулії, цей комп'ютер використовувався для компіляції версій операційних систем, що потрапляли в продаж. Коли він його знайшов, я переконався, що Джулія добре забезпечила нас інформацією, і моє серце йокнуло. Я попросив його натиснути на клавішу Enter кілька разів, і з'явився значок долара. Це показало, що зараз залогинен root, суперкористувач зі всіма системними привілеями. Він дуже погано друкував, і напевно спітнів, коли я спробував пояснити йому наступну команду, що було більш ніж tricky. echo ‘fix:x:0:0::/:/bin/sh’ >> /etc/passwd Він нарешті це набрав, і ми отримали обліковий запис з ім'ям користувача fix. Потім я попросив його набрати echo ‘fix::10300:0:0’ >> /etc/shadow Ця команда поставила зашифрований пароль, який розташовується між двома двоєточиямі. Якщо між ними нічого не немає, це означає, що пароль порожньої. У результаті, було потрібно всього дві команди, щоб додати обліковий запис fix у файл з паролями, з нульовим паролем. Більш того, аккаунт матиме ті ж привілеї, що і суперкористувач. Потім я попросив його набрати команду, яка роздрукувала великий список файлів. Я попросив його відірвати все роздруковане, тому що «Мені може знадобитися, щоб ти прочитав дещо звідти пізніше» (Очевидно, всі команди, що вводяться, і їх результати роздруковувалися - прим. перекладача). Краса цієї ситуації в тому, що він не знав, що створив новий аккаунт. І я попросив його надрукувати великий список файлів, тому що я хотів бути упевнений, що команди, які я набрав раніше, покинуть кімнату разом з ним. Так системний адміністратор або оператор не виявлять нічого, що могло б їх потривожити завтра уранці.У мене був аккаунт, пароль, і повні привілеї. Незадовго до півночі, я додзвонився за допомогою модему, використовуючи інструкції, які набрала Джулія «для сценарію». І вмить я дістав доступ до однієї з систем, де містилася копія початкового коду операційної системи. Я закачав патч, який написала Джулія, який, за її словами, змінював щось в одній з системних бібліотек. Патч повинен створити прихований бекдор, який дозволить дістати видалений доступ до системи, використовуючи секретний пароль. ЗаміткаОписаний тут бекдор не міняє саму програму входу в систему. Швидше, функція, що міститься в бібліотеці, використовувана програмою входу в систему замінюється для створення секретної точки входу. Зазвичай, зломщики міняють саму програму входу в систему, але хитрі системні адміністратори зможуть відмітити заміну, порівнявши з версією на інформаційному носієві на зразок диска, або іншими методами. Я чітко пішов інструкціям, які вона записала, спочатку встановивши патч, а потім прибравши аккаунт fix, і почистив логи, щоб не залишити слідів моєї діяльності. Незабаром, компанія почне відправляти оновлення своєї операційної системи всім своїм покупцям: фінансовим установам по всьому світу. І в кожній висланій копії буде бекдор, який я включив перед їх відправкою, дозволяючи мені дістати доступ до кожного банку і кожної біржі, яка встановить оновлення. LINGOПатч - зазвичай фрагмент коду, який усуває яку-небудь проблему у виконуваній програмі. Звичайно, мені ще над чим попрацює. Мені все ще треба дістати доступ до локальної мережі кожного банку, який я хотів «відвідати». Потім мені доведеться встановити спостерігаючі програми, щоб дізнатися подробиці їх фінансових операцій, і як переказувати кошти. І я зможу це зробити дистанційно. З будь-якого комп'ютера. Наприклад, на піщаному пляжі. Таїті чекає мене! Я передзвонив охоронцеві, подякував за допомогу, і сказав, що він може викинути роздрук. Аналіз обману У охоронця були інструкції про його обов'язки, але все одно, навіть добре продумані інструкції не можуть описати, як поступати в кожній виникаючій ситуації. Ніхто не говорив йому, скільки шкоди можуть заподіяти пару натиснень клавіш для людини, яка, схожий на співробітника компанії. За допомогою охоронця дуже просто дістати доступ до системи, на якій зберігається дистрибутив, не дивлячись на те, що він знаходиться за закритими дверима лабораторії. У охоронця, природно, є ключі від всіх дверей. І навіть кристально чесний співробітник (або, в даному випадку, кандидат наук, співробітник, Джулія) може іноді підкуповувати або бути обдурений, і повідомить інформацію першорядної ваги соціальному інженерові, наприклад, де знаходиться та, що цікавить соціального інженера система і, що найважливіше, коли вони збираються компілювати нову версію для розповсюдження. Це важливо, оскільки, зробивши що-небудь дуже рано збільшує шанс того, що заміна буде виявлена або операційна буде переписана наново. Ви звернули увагу на деталь - примусити охоронця віднести роздрук до його робочого місця, а потім викинути її там? Це був важливий крок. Коли оператори прийдуть завтра на роботу, вони не виявлять ніяких слідів ні на жорсткому диску, ні в смітті. Придумавши виправдання для того, щоб охоронець узяв з собою роздрук, зменшило ризик. Повідомлення від МітникаКоли зломщик не може дістати фізичний доступ до системи або мережі, він спробує маніпулювати іншою людиною, щоб той зробив все за нього. У випадках, коли за планом необхідний фізичний доступ, використовувати жертву краще, ніж зробити це самостійно, тому що той, що атакує не ризикує бути спійманим. Важливий патч Ви думаєте, що хлопець з техпідтримки усвідомлює небезпеку, даючи доступ в мережу сторонньому. Але коли той сторонній - хитрий соціальний інженер, що прикидається постачальником ПО, результати можуть бути не такими, як ви чекаєте. Корисний дзвінок Той, що дзвонив хотів дізнатися, хто тут відповідає за комп'ютери. І телефонний оператор сеоєдініл його з паренм з технічної підтримки, Полом Ахерном. Той, що дзвонив представився як "Едуард, з SeerWare, постачальник вашій БД. Декілька наших клієнтів не отримали лист про термінове оновлення, так що обдзвонюємо клієнтів, щоб дізнатися, чи були проблеми з установкою патча. Ви його вже встановили?" Пол сказав, що він точно не бачив нічого подібного. Едурад сказав, "Ну, уразливість може привести до катастрофічної втрати даних, так що ми радимо встановити його якнайскоріше". "Так, це дійсно треба зробити", відповів Пол. "Ми можемо прислати вам диск або дискету, але я повинен сказати - уразливість дуже небезпечна - дві компанії вже втратили багато інформації. Отже встановите як тільки прійдет, поки це не відбулося з вашою компанією." "А хіба я не можу викачати його з вашого сайту?" - запитав Підлогу. "Воно вже скоро буде викладено, технічна служба займається ліквідацією наслідків. Якщо хочете, наша служба підтримки клієнтів може встановити його видалено. Ми можемо підключитися до вас через модем або telnet, якщо у вас це є. "Ми не використовуємо telnet, особливо з інтернету - це дуже небезпечно", відповів Пол. "Але якщо ви можете підключитися через SSH, то це зійде", сказав він, називаючи продукт, який забезпечує безпечну передачу файлів. "Так, у нас є SSH. Яка у вас IP-адреса?" Пол назвав йому IP-адресу, і коли Едуард запитав, "а який пароль мені можна використовувати", Пол дав йому і це. Аналіз обману Звичайно, дійсно могли подзвонити постачальники бази даних. Але тоді історія не була б помощена в цю книгу. Соціальний інженер в цій історії примусив жертву злякатися втрати важливих даних, і запропонував негайне рішення проблеми. Також, коли соціальний інженер атакує кого-небудь, хто знає ціну інформації, він повинен придумати дуже переконливі і вагомі аргументи для того, щоб дати видалений доступ. Йому треба додати елемент терміновості, щоб жертва була роздратована необхідністю поквапитися, і він підкорятиметься перш, ніж встигне обдумати прохання. Нова дівчина До якої інформації, що зберігається у файлах вашої компанії, той, що атакує може захотіти дістати доступ? Іноді це те, що ви самі не вважаєте потрібними захищати. Дзвінок Сари "Відділ кадрів, говорить Сара" "Привіт Сара. Це Джордж, з парковки.Є карта доступу, якою ти користуєшся для входу на парковку і в ліфт. Ну, у нас тут деякі проблеми і ми винні перепрограмуватти карти всіх нових працівників, найнятих за останніх 15 днів." "Тобто вам потрібні їх імена?" "А також номери їх телефонів." "Я можу перевірити важ список і передзвонити вам. Який номер?" "Номер 73 ... А, знаєш, я зараз йду на перерву, так що може я сам вам передзвоню через півгодини?" "Ну добре" Коли він передзвонив, вона сказала: Ну взагалі-то новеньких всього дві. Ганна Мартл у відділі фінансів, вона секретарка. І новий віце-президент, містер Андервуд.”И які у них телефонні номери?”Так...У містера Андервуда 6973. Ганна Мартл 2127.”Вы мені дуже допомогли, спасибі.” Дзвінок Ганні “Фінансовий відділ, Ганна слухає.” “Як я радий, що знайшов хоч когось, хто працює допізна. Це Рон Вітарро, я видавець у відділенні бізнесу. Не думаю, що ми раніше зустрічалися. Ласкаво просимо в компанію.” “Про, спасибі” “Ганна, я зараз в Лос-анжелесе і у мене проблема. Мені потрібно 10 хвилин вашого часу.” “Звичайно, що я повинна зробити?”“Сходите в мій офіс, ви знаєте де він?” “Немає.” “Ладно,це кутовий офіс на 15 поверсі, кімната 1502. Я передзвоню туди через декілька хвилин. Коли увійдете до офісу, натисніть на кнопку телефону, це автоматично вимкне голосову пошту.” “Добре,уже йду.” Десять хвилин опісля вона була в офісі, відключила голосову пошту і стала чекати дзвінка.Він велів їй сісти до комп'ютера і запустити Internet Explorer. Потім ввести адресу www.geocities.com/roninsen/manuscript.doc.exe З'явилося діалогове вікно і він велів натиснути “Відкрити”. Почалося закачування і потім екран став білим. Коли вона повідомила, що щось йде не так, він відповів, “Про, тільки не це. Не знову. У мене були проблеми з викачуванням з того сайту дуже часто, але я думав, що вони вже всі виправили. Гаразд, не хвилюйтеся, я отримаю цей файл пізніше.” Потім послідувала інструкція про перезапуск комп'ютера, щоб переконатися що все гаразд. Коли комп'ютер завантажився, він подякував її і попрощався. Ганна пішла назад у відділ фінансів, щоб закінчити свою роботу. Історія Курта Діллона У видавництві Міллард-фентон не могли нарадуватися на свого нового автора, CEO компанії Fortune 500, що тільки що пішов у відставку. Його направили до бізнес менеджерові, щоб погоджувати контракт. Бізнес менеджер не хотів визнавати, що практично нічого не знав про контракти видавництва і найняв старого друга, щоб допомогти йому. Цей старий друг, на жаль, був не самим кращим вибором. Курт Діллон використовував в своїх дослідженнях неетичні методи.Курт створив безкоштовний сайт на Geocities на ймення Рона Вітарро і завантажив шпигунську програму на новий сайт. Він змінив ім'я програми на manuscript.doc.exe, таким чином файл би виглядав як додаток Word і не викликав підозр. Фактично, це спрацювало навіть краще, ніж припускав Курт; оскільки справжній Вітарро ніколи не міняв настройки за умовчанням на своїй ОС Windows "Приховувати розширення для відомих типів файлів." Завдяки настройці, файл відображався під ім'ям manuscript.doc. Потім його подруга подзвонила секретарці Вітарро. Слідуючи вказівки, вона сказала "Я виконавчий помічник Пола Спаддоне, президента Ultimate Bookstores, в Toronto. Містер Вітарро зустрівся з моїм босом на книжковому ярмарку і попросив передзвонити йому, щоб обговорити можливі плани про співпрацю. Містер Спаддоне зараз в дорозі, так що просив дізнатися, коли може знайти містера Вітарро в офісі." На той час, як двоє закінчили звіряти розклади, подруга мала достатньо інформації для містера Вітарро, що атакував про дні роботи. Що означає, він дізнався, коли його не буде на робочому місці. Було потрібно трохи часу зрозуміти, що секретарка Вітарро скористається відсутністю боса, щоб підкотитися на лижах. На короткий проміжок часу нікого не буде в офісі. Чудово. LINGOШпигунське ПО (spyware)- Спеціалізоване ПО, використовуване для прихованого спостереження за діяльністю користувача комп'ютера. Один вигляд використовується для запису сайтів, що відвідуються інтернет покупцями. Інший - захоплює паролі, набрані тексти, електронні адреси, балки розмов, робить скріншоти з монітора.Прихована установка - метод установки ПО, при якому користувач не попереджається про неї. У перший день їх відсутності він зробив пробний дзвінок, щоб упевнитися, що нікого не немає і дізнався, що містера Вітарро і його секретарки немає в офісі. Також, не очікувалося, що хтось з них з'явиться в найближчі два дні. Перша спроба обману новенької робітниці була успішною і вона ні на хвилину не запідозрила нічого дивного у викачуванні файлу, який по суті був популярним комерційним шпигунським модулем, який той, що атакує переробив для прихованої установки. Використовуючи цей метод, установка не була б відмічена жодним антивірусом. З дивної причини, виробники антивірусного ПО не проводять програм, що відловлюють шпигунські модулі. Незабаром після завантаження програми на комп'ютер Вітарро, Курт повернувся на сайт Geocities і замінив файл doc.exe на якийсь файл, знайдений в Інтернеті. Це було зроблено для того, щоб у разі розслідування або перевірки джерела, не знайшлося нічого, окрім звичайної книги. Коли програма була встановлена і проведена перезавантаження, вона відразу ж стала активною. Рон Вітарро повертався в місто через декілька днів і програма записувала б всі його натиснення клавіш, включаючи витікаючі електронні повідомлення і робила скріншоти. Всі зібрані дані відправлялися через певні проміжки часу на безкоштовну пошту в Україні. Через декілька днів після повернення Вітарро, Курт вивчав всі балки, що посилаються на український е-мейл і ситуацію, наскільки далеке видавництво Міллард-фентон готово піти назустріч новому авторові.Озброєний знанням агент з легкістю зміг укласти контракт на вигідніших умовах, ніж передбачалося на початку, без зайвої риски для відміни контракту в цілому.Що, зрозуміло, означало більший рівень доходу для агента. Аналіз обману В цьому прийомі атакуючий досяг успіху завдяки використанню нової робітниці в якості проксі сервера, покладаючись на її бажання допомогти товаришам по службі і незнання структури компанії, людей і правил безпеки. Оскільки Курт притворився віце президентом в своїй розмові з Ганною, звичайною службовкою відділу фінансів, він усвідомлював, що вона не вимагатиме доказів його особи. З іншого боку, вона могла подумати, що допомозі такій важливій людині йде нею на користь. Ганна не мала поняття, що вона тільки що допомогла тому, що атакує дістати доступ до різної інформації, котра може бути використана проти інтересів компанії. І чому він вирішив направити повідомлення віце президента на електронний ящик в Україні? З кількох причин, більш дальнє розташування робить трейс маловірогідним. Такі типи злочинів зазвичай розцінюються як незначні в країнах, як ця, де власті вважають, що скоєння злочину в Інтернеті не є серйозною провиною. З цієї причини, використання електронних ящиків в країнах, що не співробітничають з Америкою дуже привабливо з погляду закону. Запобігання обману Соціальний інженер завжди вважає за краще вибирати як свою мету працівника, що не знаходить нічого підозрілого в його запитах. Це робить його роботу не тільки більш простій, але і менш ризикованою. Повідомлення від Мітника Прохання товариша по службі про послугу - штатна ситуація. Соціальний інженер знає, як використовувати бажання людей допомогти і бути гідним в команді. Той, що атакує використовує цю позитивну межу людини, щоб досягти з його допомогою своїх цілей. Дуже важливо усвідомлювати цю просту концепцію і розрізняти, коли хтось намагається вами маніпулювати.