KnigaRead.com/

Кевин Митник - Искусство обмана

На нашем сайте KnigaRead.com Вы можете абсолютно бесплатно читать книгу онлайн Кевин Митник, "Искусство обмана" бесплатно, без регистрации.
Перейти на страницу:

Получение диплома без почета

Он мог вломиться в компьютерную систему государственного университета, найти записи того, кто получил диплом с оценками «хорошо» и «отлично», скопировать их, вписать свое имя и добавить в записи выпускников того года. Обдумывая эту идею, он понял, что существуют и другие записи и студентах, проживающих в кампусе, их платежах. И создавая записи лишь о прослушанных курсах и классах, можно сильно проколоться.

Составляя план дальше, он понял, что может достичь своей цели, посмотрев, нет ли выпускников с его фамилией, получивших степень компьютерных наук в соответствующий отрезок времени. Если так, можно лишь изменить личный социальный номер на рабочих формах; любая компания, проверяющая его имя и личный социальный номер, увидит, что он действительно владеет указанным званием (это не понятно большинству людей, но очевидно для него, что если он укажет один социальный номер на заявлении о приеме на работу и затем, если его наймут, укажет свой реальный. Большинство компаний никогда не проверяют, чей номер указал нанимающийся).

Включаясь к проблеме

Как найти Майкла Паркера в университетских записях? Он представлял себе это так: пойти в главную библиотеку в университетском кампусе, сесть за компьютерный терминал, выйти в интернет и получить доступ к сайту университета. Затем он позвонил в регистрационный офис. С ответившим человеком он провел стандартную для социального инженера беседу: «Я звоню из компьютерного центра, мы меняем конфигурацию сети и хотим убедиться, что не нарушили ваш доступ. К какому серверу вы подключаетесь?»

«Что значит сервер?» – спросили его.

«К какому компьютеру вы присоединяетесь, когда хотите получить академическую информацию о студентах?»

Ответ admin.rnu.edu дал ему имя компьютера, в котором хранились записи о студентах. Это был первый кусочек головоломки. Теперь он знал свою цель.

LINGO:

Dumb terminal -"немой терминал". терминал, который не содержит свой микропроцессор. Такие терминалы могут принимать лишь простые команды и отображать буквы и цифры

Он впечатал тот URL и не получил ответа – как и ожидалось, там стоял файрвол, блокирующий доступ. Он запустил программу, отображающую наличие сервисов, которые он мог запустить на удаленном компьютере и нашел открытый порт телнета, который позволял компьютеру удаленно присоединиться к другому компьютеру и получить к нему доступ, так как можно было использовать dumb terminal . Все, что ему нужно было знать, чтобы получить доступ-это обычный логин пользователя и пароль.

Он еще раз позвонил в регистрационный офис, прислушиваясь внимательно, чтобы убедиться, что разговаривает с другим человеком. Ему ответила женщина, и он опять представился работником компьютерного центра. Он сказал, что они установили новый продукт для хранения административных записей и просит, чтобы она присоединилась к новой системе, которая все еще в стадии теста, чтобы проверить, правильно ли она работает. Он дал ей IP-адрес и провел через весь процесс.

Фактически, IP —адрес принадлежал компьютеру Майкла в библиотеке кампуса. Используя вышеназванный в этой главе процесс, он создал симулятор программы – ловушки, чтобы узнать под каким логином и паролем она заходит в систему студенческих записей. «Не работает», – ответила она. «Выдается сообщение, что логин неверен».

К этому моменту, симулятор передал символы имени ее аккаунта и пароля на терминал Майкла; миссия выполнена. Он ответил ей, что некоторые аккаунты еще не перенесены на эту машину. Но сейчас он внесет ее аккаунт и перезвонит ей. Очень внимательный к сокрытию следов, как и всякий опытный социальный инженер, он мог уточнить, что перезвонит позже, чтобы сказать, что тестовая система плохо работает, но если все будет хорошо, то ей перезвонят.

Полезный секретарь

Теперь Майкл знал, к какой системе необходимо получить доступ, имел логин и пароль. Но какими командами ему надо пользоваться, чтобы найти файлы с необходимой информацией, верным именем и датой? Студенческая база данных явно отвечает специфическим требованиям регистрационного офиса и имеет особый путь доступа к информации.

Первым шагом в решении этой проблемы было найти человека, который провел бы его через все ужасы поиска студенческой базы данных. Он вновь позвонил в регистрационный офис, опять выйдя на другого человека. Сказав, что звонит из деканата факультета инжиниринга, он спросил у женщины, кто бы мог помочь ему, так как возникли некоторые проблемы с доступом к студенческим академическим записям.

Немного позже он уже разговаривал с администратором базы данных и успешно играл на его симпатиях.

"Меня зовут Марк Селлерс, из офиса регистрации. Вы чувствуете ко мне жалость, да? Извините за звонок, но дело в том, что все старшие на совещании и вокруг нет никого, кто бы мог помочь мне. Мне необходимо восстановить список выпускников со степенью бакалавра компьютерных наук в период между 1990 и 2000 годами. Он нужен им к концу дня, но у меня он отсутствует, а я так долго стремился получить эту работу. Не будете ли вы так добры помочь парню, попавшему в беду? "Помогать людям, попавшим в беду было тем, что обычно делал администратор базы данных, и он терпеливо объяснил Майклу каждый шаг.

К тому времени, как они закончили разговор, Майкл загрузил вводный лист выпускников с необходимым дипломом за те года. Через несколько минут он обнаружил двух Майклов Паркеров, выбрал одного из них и получил его личный социальный номер, как и другую информацию, хранящуюся в базе данных.

Он только что стал Майклом Паркером, получившим звание бакалавра компьютерных наук в 1998 году.

Анализ обмана

Атакующий использовал одну уловку, о которой я раньше не упоминал: Атакующий попросил администратора провести его через весь процесс шаг за шагом. Достаточно сильное и эффективное действо, аналогичное тому, как если бы вы попросили владельца магазина помочь вынести вам предметы, которые вы только что из него украли.

Сообщение от Митника

Пользователи компьютера даже не подозревают о наличии угроз и уязвимостей, связанных с социальным инжинирингом, который существует в нашем мире высоких технологий. Они имеют доступ к информации, не разбираясь в деталях работы, не осознавая важности некоторых мелочей. Социальный инженер выберет своей целью работника с низким уровнем владения компьютером.

Предупреждение обмана

Симпатия, вина и запугивание-это три очень популярных психологических трюка, используемых социальным инженером, и вышеперечисленные истории продемонстрировали тактику действий. Но что можете сделать вы и ваша компания, чтобы избежать данных типов атак?

Защита информации

Некоторые истории в этой главе показывают опасность отправки файла кому-то незнакомому, даже человеку, который представляется работником вашей компании, а файл отправляется по внутренней сети на е-мэйл или факс.

Службе безопасности компании необходимо выстроить схему, обеспечивающую безопасность при пересылке важной информации какому-то незнакомому лично отправителю. Особые процедуры должны быть разработаны для передачи файлов с важной информацией. Когда запрос поступает от незнакомого человека, должны быть предприняты шаги к подтверждению его личности. Также должны быть установлены различные уровни доступа к информации.

Вот некоторые способы, которые следует обдумать:

Установите, насколько необходимо спрашивающему это знать (что может потребовать получения одобрения со стороны владельца информации)

Храните логи всех транзакций

Утвердите список людей, которые специально обучены процедурам передачи информации и которым вы доверяете отправку важной информации. Требуйте, чтобы лишь эти люди имели право отсылать информацию за пределы рабочей группы.

Если запрос на информацию пришел в письменном виде (е-мэйл, факс или почта), предпримите особые шаги, чтобы убедиться в верности указываемого источника.

О паролях

Все сотрудники, которые имеют доступ к важной информации, а в наше время это все, кто имеют доступ к компьютеру, должны понимать, что даже такая простая процедура, как смена пароля, может привести к серьезной бреши в безопасности системы.

Занятия по безопасности должны включать в себя тему паролей и быть сфокусированы на процессе смены пароля, установки приемлемого пароля и опасностях, связанных с участием посторонних в этом. Занятия должны научить сотрудников подозрительно относиться к любому запросу по поводу их пароля.

Заметка

Именно на паролях сосредоточены атаки социальных инженеров, которые мы рассмотрели в отдельной секции в главе 16, где вы также найдете особые рекомендации по данной теме.

Группа по отчетам

Перейти на страницу:
Прокомментировать
Подтвердите что вы не робот:*