и спрашивая о них.
Это естественно стремиться к абсолютной безопасности, но это желание заставляет
многих людей соглашаться с ложным чувством защищ¸нности. Рассмотрим ответственного и
любящего отца семейства, у которого есть Medico над¸жный замок в парадной двери,
который ограждает его жену и детей и его дом. Сейчас он спокоен, так как сделал свою
семью гораздо более защищ¸нной от вторжений. Но как насч¸т грабителя, который
разбивает окно или взламывает код у замка на двери гаража? Тогда нужно установить
охранную систему? Неплохо, но вс¸ же недостаточно. Независимо от того, насколько дороги
замки, домовладелец оста¸тся уязвим.
Почему? Потому что человеческий фактор по-настоящему самое слабое звено в
безопасности.
Безопасность слишком часто просто иллюзия и иногда иллюзия может быть даже хуже
легковерия, наивности или невежества. Самый знаменитый в мире уч¸ный 20 века Альберт
Эйнштейн говорил: «Можно быть уверенным только в двух вещах: существовании
вселенной и человеческой глупости, и я не совсем уверен насч¸т первой». В конце концов,
атаки социальных инженеров успешны, когда люди глупы или, гораздо чаще, просто
неосведомлены о хороших мерах безопасности. Аналогично нашему домовладельцу, многие
профессионалы в информационных технологиях (ИТ) придерживаются неправильных
представлений, будто они сделали свои компании в значительной степени неуязвимыми к
атакам, потому что они используют стандартные продукты по безопасности: файрволлы,
системы для обнаружения вторжений (IDS) или серь¸зные устройства для аутентификации,
такие как биометрические смарт-карты или time-based tokens. Любой, кто думает, что одни
только эти продукты по безопасности предоставляют достаточную защиту, соглашается на
иллюзию защиты. Это как жить в мире фантазий неизбежно, рано или поздно он
столкн¸тся с инцидентом, связанным с безопасностью.
Как заметил консультант по безопасности Брюс Шнайер: «Безопасность это не
продукт, это процесс». Кроме того, безопасность это не технологическая проблема, это
проблема людей и управления.
Пока разработчики непрерывно изобретают вс¸ лучшие и лучшие технологии защиты,
делая вс¸ более трудным возможность использовать технические уязвимости, атакующие вс¸
чаще используют человеческий фактор. Зачастую очень просто взломать человеческий
файрволл, все затраты не превышают стоимости одного телефонного звонка и атакующий
подвержен минимальному риску.
Классический случай обмана
Какая самая большая угроза безопасности ваших деловых активов? Ответ прост это
социальный инженер нечестный фокусник, который заставляет вас смотреть на его левую
руку, пока правой ворует ваши секреты. Этот персонаж часто так дружелюбен и любезен,
что вы благодарны за то, что с ним столкнулись.
Далее рассмотрим пример социальной инженерии. Немногие люди сегодня вс¸ ещ¸
помнят молодого человека по имени Стенли Марк Рифкин и его маленькое приключение с
ныне уже несуществующим Тихоокеанским Национальным Банком в Лос-Анджелесе.
Подробности его авантюры противоречивы и Рифкин (как и я) никогда не рассказывал свою
историю, поэтому следующее основано только на печатных источниках.
Взлом кода
Однажды в 1978 году Рифкин заглянул в помещение банка для телеграфных переводов
с табличкой «только для авторизованного персонала», в котором служащие каждый день
получали и отправляли трансферты в несколько миллиардов долларов.
Он работал с этой компанией по контракту и занимался разработкой системы для
резервного копирования данных из этого помещения на случай, если когда-нибудь
произойд¸т сбой их главного компьютера. Эта роль давала ему доступ к процедурам
|