 |
 |
 |
 |
|
 |
 |
и спрашивая о них.
Это естественно – стремиться к абсолютной безопасности, но это желание заставляет
многих людей соглашаться с ложным чувством защищ¸нности. Рассмотрим ответственного и
любящего отца семейства, у которого есть Medico – над¸жный замок в парадной двери,
который ограждает его жену и детей и его дом. Сейчас он спокоен, так как сделал свою
семью гораздо более защищ¸нной от вторжений. Но как насч¸т грабителя, который
разбивает окно или взламывает код у замка на двери гаража? Тогда нужно установить
охранную систему? Неплохо, но вс¸ же недостаточно. Независимо от того, насколько дороги
замки, домовладелец оста¸тся уязвим.
Почему? Потому что человеческий фактор по-настоящему самое слабое звено в
безопасности.
Безопасность слишком часто просто иллюзия и иногда иллюзия может быть даже хуже
легковерия, наивности или невежества. Самый знаменитый в мире уч¸ный 20 века Альберт
Эйнштейн говорил: «Можно быть уверенным только в двух вещах: существовании
вселенной и человеческой глупости, и я не совсем уверен насч¸т первой». В конце концов,
атаки социальных инженеров успешны, когда люди глупы или, гораздо чаще, просто
неосведомлены о хороших мерах безопасности. Аналогично нашему домовладельцу, многие
профессионалы в информационных технологиях (ИТ) придерживаются неправильных
представлений, будто они сделали свои компании в значительной степени неуязвимыми к
атакам, потому что они используют стандартные продукты по безопасности: файрволлы,
системы для обнаружения вторжений (IDS) или серь¸зные устройства для аутентификации,
такие как биометрические смарт-карты или time-based tokens. Любой, кто думает, что одни
только эти продукты по безопасности предоставляют достаточную защиту, соглашается на
иллюзию защиты. Это как жить в мире фантазий – неизбежно, рано или поздно он
столкн¸тся с инцидентом, связанным с безопасностью.
Как заметил консультант по безопасности Брюс Шнайер: «Безопасность – это не
продукт, это процесс». Кроме того, безопасность – это не технологическая проблема, это
проблема людей и управления.
Пока разработчики непрерывно изобретают вс¸ лучшие и лучшие технологии защиты,
делая вс¸ более трудным возможность использовать технические уязвимости, атакующие вс¸
чаще используют человеческий фактор. Зачастую очень просто взломать человеческий
файрволл, все затраты не превышают стоимости одного телефонного звонка и атакующий
подвержен минимальному риску.
Классический случай обмана
Какая самая большая угроза безопасности ваших деловых активов? Ответ прост – это
социальный инженер – нечестный фокусник, который заставляет вас смотреть на его левую
руку, пока правой ворует ваши секреты. Этот персонаж часто так дружелюбен и любезен,
что вы благодарны за то, что с ним столкнулись.
Далее рассмотрим пример социальной инженерии. Немногие люди сегодня вс¸ ещ¸
помнят молодого человека по имени Стенли Марк Рифкин и его маленькое приключение с
ныне уже несуществующим Тихоокеанским Национальным Банком в Лос-Анджелесе.
Подробности его авантюры противоречивы и Рифкин (как и я) никогда не рассказывал свою
историю, поэтому следующее основано только на печатных источниках.
Взлом кода
Однажды в 1978 году Рифкин заглянул в помещение банка для телеграфных переводов
с табличкой «только для авторизованного персонала», в котором служащие каждый день
получали и отправляли трансферты в несколько миллиардов долларов.
Он работал с этой компанией по контракту и занимался разработкой системы для
резервного копирования данных из этого помещения на случай, если когда-нибудь
произойд¸т сбой их главного компьютера. Эта роль давала ему доступ к процедурам
