Часть полного текста документа:Социальная инженерия Кевин Митник - в прошлом хакер, взломавший информационные системы крупнейших компаний мира, а ныне консультант по информационной безопасности, учредитель компании Mitnick Security Consulting. Автор книг "Искусство обмана" и "Искусство вторжения". Сегодня человеческий фактор в информационной безопасности играет гораздо более важную роль, чем 20 лет назад, когда Интернет не был коммерческим и его пользователями были лишь специалисты. Многие компании, которые думают, что проблему информационной безопасности можно решить просто с помощью аппаратных и программных средств, сильно заблуждаются. Технологии безопасности, которым мы привыкли доверять, - межсетевые экраны, устройства идентификации, средства шифрования, системы обнаружения сетевых атак и другие - малоэффективны в противостоянии хакерам, использующим методы социальной инженерии. Необходима мощная работа с персоналом, обучение сотрудников применению политики безопасности и техникам противостояния социоинженерам - только тогда ваша система безопасности будет комплексной. Непрямая атака Представьте ситуацию: крупный московский офисный центр. Вы входите в лифт и видите на полу компакт-диск с логотипом известной компании и наклейкой: "Строго конфиденциально. Заработная плата сотрудников за 2005 год". Самая естественная человеческая реакция - взять этот диск, отнести в свой офис и вставить в CD-ROM своего рабочего компьютера. Предположим, вы так и сделали. На диске - файл со знакомой иконкой MS Excel. Вы пытаетесь его открыть, но вместо столбиков цифр и фамилий видите лишь сообщение операционной системы: "ошибка, файл поврежден". В этот момент на ваш компьютер, помимо вашей воли и вашего ведома, загружается вредоносная программа. В лучшем случае это "троянец", отслеживающий, какие клавиши вы нажимаете и какие совершаете операции, и передающий эту информацию по мгновенно налаженному каналу связи на чужой компьютер. В худшем варианте - вирус, который в считанные мгновения разрушит вашу информационную систему и распространится по локальной сети, пожирая всю корпоративную информационную систему. Вы ведь подключены к локальной сети, правда? Это типичный пример социальной инженерии - нарушения информационной безопасности компании с помощью воздействия на человека. Есть много способов манипулировать людьми, и любопытство - только один из мотивов, которые можно использовать. Почему злоумышленники прибегают к социальной инженерии? Это проще, чем взломать техническую систему безопасности. Такие атаки не вычислить с помощью технических средств защиты информации. Это недорого. Риск - чисто номинальный. Работает для любой операционной системы. Эффективно практически на 100%. База для социоинженера Первый этап любой атаки - исследование. Используя официальную отчетность компании-жертвы, ее заявки на патенты, сообщения о ней в прессе, рекламные буклеты этой фирмы и, конечно же, корпоративный сайт, хакер пытается получить максимум информации об организации и ее сотрудниках. В ход идет даже содержимое мусорных корзин, если его удается раздобыть. Социоинженер выясняет, кто в компании имеет доступ к интересующим его материалам, кто в каком подразделении работает и где это подразделение расположено, какое программное обеспечение установлено на корпоративных компьютерах... ............ |