Navigation bar
  Print document Start Previous page
 57 of 131 
Next page End  

тайной, такой же ценной и защищенной, как и все, чем владела компания. Дэнни знал это.
И
нисколько не беспокоился. Как-никак, это была всего лишь некая большая безымянная
компания.
Но как получить исходный код программы? Как оказалось, похищение
«драгоценностей» из группы защищенной связи было слишком легким, несмотря на то что
компания была одной из тех организаций, где используется аутентификация по двум
условиям  , при которой требуется не один, а два индентификатора для доказательства своей
подлинности.
Вот пример, с которым вы уже, возможно, знакомы. Когда к вам приходит новая
кредитная карта, вас просят позвонить в компанию-эмитент, чтобы там знали, что карта
находится у ее владельца, а не кого-то, кто украл конверт на почте. В наши дни указания на
карте, как правило, предписывают звонить вамиз дома  . Когда вы звоните, программа в
компании анализирует номер, автоматически определенный на телефонном коммутаторе,
через который проходят бесплатные звонки. Компьютер в компании-эмитенте сравнивает
телефонный номер звонившего с номером в базе данных владельцев кредитных карт. К тому
времени, как служащий возьмет трубку, на его дисплее будет отображена информация о
клиенте из базы данных. служащий уже знает, что звонок сделан из дома клиента, .
Lingo
Аутентификация по двум условиям  использование двух разных типов
аутентификации для идентификации. Например, человек может идентифицировать себя
звоня из определенного места и зная пароль.
Затем служащий выбирает элемент отображаемых о вас данных – чаще всего номер
(социального обеспечения), дату рождения, девичью фамилию матери – и задает вам вопрос.
Если вы даете правильный ответ, это вторая форма аутентификации, основанная на
сведениях, которые вы должны знать.
В компании, выпускающей защищенные радиосистемы, у каждого служащего,
имеющего доступ к компьютеру, имелись имя и пароль, которые дополнялись небольшим
электронным устройством – Secure ID (безопасный идентификатор). Это то, что называют
синхронизируемым жетоном. Такие устройства делаются двух типов: одно из них размером с
половину кредитной карты, но немного толще; другое настолько мало, что люди могут
присоединить его к связке ключей.
В этом устройстве из мира криптографии имеется маленький шестиразрядный дисплей.
Каждые 60 секунд на дисплее отображается новое шестизначное число. Когда человеку
нужен доступ к сети, сначала он должен идентифицировать себя как зарегистрированного
пользователя, введя секретный PIN-код и число, отображаемое его устройством. Пройдя
проверку внутренней системы, он затем должен ввести имя и пароль.
Для получения исходного кода, которого так жаждал юный Дэнни, нужно было не
только скомпрометировать имя пользователя и пароль одного из служащих (что не
представляет особой сложности для опытного социального инженера), но и добраться до
синхронизируемого жетона.
Прохождение аутентификации по двум условиям с использованием синхронизируемого
жетона в сочетании с секретным PIN-кодом кажется невыполнимой миссией. Для
социальных инженеров задача подобна той, когда игрок в покер, который обладает не просто
умением «читать» своих противников.
Штурм крепости
Дэнни начал с тщательной подготовки. Вскоре он собрал вместе достаточно сведений,
чтобы выдать себя за настоящего служащего. У него было имя, подразделение, телефонный
номер служащего, а также имя и номер телефона руководителя.
Теперь было затишье перед штурмом. По составленному плану Дэнни нужна была еще
одна вещь перед тем, как сделать следующий шаг, и это было то, чем он не управлял: ему
нужна была метель. Ему нужна была помощь Матушки– природы в виде непогоды, которая
бы не позволила работникам добраться до офиса. Зимой в Южной Дакоте тому, кто надеялся
Hosted by uCoz