Эта глава отличается от других: мы знакомимся с самым опасным типом атаки, который трудно обнаружить, а еще труднее от него защититься. Социальный инженер, использующий искусство обмана в качестве главного оружия, основывает свои действия на самых лучших человеческих качествах: стремлении помочь ближнему, вежливости, желанию работать в команде, отзывчивости и естественном желании довести дело до конца.
Как и в большинстве угрожающих ситуаций в жизни, первый шаг к обороне — это понимание методик, которыми пользуются наши противники. Поэтому мы расскажем сейчас о целом ряде психологических приемов, которые используют особенности человеческой природы и позволяют социальным инженерам быть столь успешными.
Начнем мы с рассказа о том, как они действуют. Он основан на реальной истории, которая, с одной стороны, увлекательна, а с другой — представляет собой настоящее пособие по социальной инженерии. Мы сочли ее настолько показательной, что включили в книгу, несмотря на некоторые сомнения. — автор либо случайно опустил некоторые детали, поскольку он был занят другим делом, либо он рассказал только часть истории. И все же, даже если кое-что в этом рассказе и выдумано, он прекрасно демонстрирует, как важно защищаться от атак социальных инженеров.
И, как во всех главах этой книги, некоторые детали изменены, чтобы защитить как атакующего, так и атакованную компанию.
СОЦИАЛЬНЫЙ ИНЖЕНЕР ЗА РАБОТОЙ
Летом 2002 года консультант, которого мы будем называть Урли, был нанят компанией казино из Лас-Вегаса для проведения аудита безопасности. Руководство активно занималось перестройкой системы обеспечения безопасности, и наняло его, чтобы он «попытался обмануть всех и вся», надеясь на основании этого опыта укрепить инфраструктуру компании. Урли был хорошим профессионалом, но мало знал о специфике игорного бизнеса.
Посвятив неделю глубокому погружению в исследование культуры стриптиза, — отдав, таким образом, дань Лас-Вегасу, он решил заняться делом. Он обычно приступает к своей миссии до назначенного срока, да и закончить старается тоже до запланированного начала, потому что давно понял, что руководство ничего не говорит своим сотрудникам о проводимой проверке только до тех пор, пока она не началась. «Даже когда они не должны никому ничего говорить, они обычно делают это». Но он легко справлялся с этой проблемой, начиная свою работу за две недели до назначенного срока.
Он приехал и поселился в отеле в девять вечера, после чего отправился в первое казино, находящееся в его списке, чтобы начать разведку на местности. Поскольку раньше он почти не сталкивался с казино, этот визит был для него настоящим открытием. Первое, что противоречило образу казино, созданному в его представлении телеканалом Travel, были сотрудники этого заведения: если на телеэкране они выглядели элитными экспертами в области безопасности, то в реальности они «были либо полусонными, либо совершенно безразличными к своей работе». Поэтому они становились легкой мишенью для простейшей игры на доверии, которая даже и близко не приближалась к тому, что он предварительно планировал.
Он подошел к одному из таких расслабленных сотрудников и очень быстро понял, что тот совсем не прочь поговорить о своей работе. Ирония состояла в том, что раньше он работал в казино, принадлежащем клиентам Урли. «Слушай, а там работа была получше?» — спросил Урли.
Сотрудник казино отвечал: «Я бы так не сказал. Здесь я нахожусь под постоянным контролем. А там они не замечали, даже если я опаздывал на работу, да и во всем было так — с бейджами, расписанием и всем остальным. Там правая рука часто не знала, что делает левая».
Мужчина рассказал ему, что он вообще часто терял свой бейдж, и иногда ему приходилось заимствовать его у коллеги, чтобы бесплатно пообедать в тамошнем кафе для сотрудников, расположенном внутри казино.
На следующее утро Урли сформулировал свою цель, которая была достаточно очевидна: он собирался проникнуть, по мере возможности, в каждое из охраняемых помещений казино, задокументировать свое присутствие там, и попытаться проникнуть в максимальное число систем безопасности. Кроме того, он хотел отыскать доступ к любой из систем, связанных с финансами и получить другую важную информацию, например, сведения о посетителях.
Возвращаясь ночью в отель из казино, он услышал по радио рекламу нового фитнес-клуба, предлагающего скидки для обслуживающего персонала. Он поспал и на следующее утро отправился в этот фитнес-клуб.
В клубе он выбрал для контакта девушку по имени Ленора. «Через пятнадцать минут мы установили с ней „психологический контакт“. Ему повезло, поскольку она оказалась финансистом, а он хотел узнать как можно больше о вещах, имеющих отношение к понятиям „финансовый“ и „аудит“ в казино-мишени. Проникновение в финансовую сферу во время проверки выявило бы колоссальную брешь в системе безопасности казино.
Один из любимых трюков Урли при занятиях социальной инженерией — угадывание мыслей собеседника. Во время разговора он следил за всеми оттенками поведения Леноры, и затем выдавал какое-то откровение, от которого о н а буквально в с к р и к и в а л а : « О , господи, как ты догадался?». В общем, они подружились, и он пригласил ее поужинать.
Во время ужина Урли рассказал ей, что он новичок в Вегасе, и подыскивает себе работу, что он закончил хороший университет, у него диплом в области финансов, но он переехал в Вегас из-за разрыва со своей девушкой. Затем он пожаловался, что немножко напуган перспективой занятий финансовым аудитом в Вегасе, потому что не хочет закончить жизнь «в желудке акулы». Она принялась его успокаивать, говоря, что отыскать работу в области финансов здесь совсем несложно. Чтобы помочь ему, Ленора рассказала ему гораздо больше деталей о своей работе, чем ему требовалось. «Она была самой большой моей удачей уже в начале пути, и я с удовольствием заплатил за ужин, поскольку все равно это сумма будет включена в мои производственные расходы».
Вспоминая то время, он говорит, что переоценивал тогда свои возможности, «что сильно повредило мне потом». Настало время начинать. Он упаковал сумку «с некоторыми нужными вещами, включая ноутбук, беспроводную точку доступа Orinoco, антенну и несколько других аксессуаров». Его цель была проста. Проникнуть в офисные помещения казино, сделать несколько цифровых фотографий (с отметкой времени) самого себя в тех местах, где его быть не должно, затем установить точку беспроводного доступа к сети так, чтобы он мог пытаться удаленно проникнуть в эту систему и собрать важную информацию. Чтобы завершить работу, на следующий день ему следовало еще раз вернуться и забрать установленную точку беспроводного доступа.
«Я чувствовал себя, как Джеймс Бонд». Урли прибыл в казино и расположился неподалеку от служебного входа как раз в момент пересменки, чтобы наблюдать за всем происходящим. Он надеялся, что пришел вовремя, и сможет понаблюдать, как люди входят и выходят, но оказалось, что большинство сотрудников уже прошло внутрь, и ему пришлось действовать в одиночку.
Он подождал еще несколько минут и вход совсем опустел… а это было совсем не то, чего ему хотелось. Урли заметил, что охранника, который собирался уходить, задержал его сменщик, и теперь они стояли и курили у выхода. Докурив, они пошли в разные стороны.
«Я направился вдоль улицы вслед за парнем, который уходил с работы, и приготовился пустить в ход мой любимый обезоруживающий прием.
Когда он пересек улицу и приблизился ко мне, я дал ему возможность пройти совсем рядом.
Затем я обратился к нему: «Пожалуйста, извините меня, у в а с есть минута времени?»
Именно в этом и состоял план. «Я давно заметил, что когда вы встречаетесь с кем-то лоб в лоб, то ваш визави изначально стоит в оборонительной позиции, а если вы позволяете кому-то догнать и обогнать вас, ситуация в корне меняется». Пока охранник отвечал Урли на какой-то незначительный вопрос, тот успел подробно рассмотреть его. Бейдж на груди говорил, что зовут его Чарли. «Пока мы стояли с ним, удача улыбнулась мне еще раз. Еще один сотрудник вышел и назвал Чарли его прозвищем — „Сырок“. Поэтому я спросил у Чарли, как он сподобился получить такое прозвище, и он мне все рассказал».
Затем Урли отправился к служебному входу быстрым шагом. Он всегда повторял, что лучшая защита — это нападение, и предпочитал действовать именно в таком стиле. У входа стояли несколько сотрудников. Он направился прямо к охраннику и сказал: «Слушай, ты не видел Сырка? Он должен мне двадцать баксов за игру, они мне очень нужны, чтобы перекусить в перерыве».
Вспоминая этот момент, он говорит: «Черт побери, это был мой первый прокол». Он совсем забыл, что сотрудники казино здесь питаются бесплатно. Но он никогда не впадает в отчаяние после «проколов»: тогда как другие гиперактивные люди с недостаточной концентрацией внимания могут растеряться в подобной ситуации, он сверхгиперактивный, и «может гораздо быстрее думать на бегу, чем большинство людей». Эта способность и помогла ему.
«Охранник сказал: „А какого черта ты вообще платишь деньги за обед?“ и в его взоре появилась подозрительность. Я быстро развеял ее: „Слушай, я договорился пообедать с невероятно милой девочкой. Ты не представляешь себе, какая она классная!“. (Подобное заявление всегда отвлекает пожилых людей, толстых людей и тех, кто живет с родителями).
Охранник ответил: « Т ы в пролете, потому что Сырок у ш е л до конца недели». «Вот ублюдок!» — сказал я».
Охранник совершенно очаровал Урли (а его трудно очаровать) своим неожиданным вопросом, любит ли он эту девушку.
«Я начинал входить в ритм работы. А затем последовал настоящий сюрприз. Я никогда в жизни не испытывал ничего подобного. Конечно, можно это приписать моему фантастическому мастерству, но, с к о р е е всего, это была просто удача: парень протянул мне сорок долларов! Он сказал, что за двадцать долларов ничего приличного не закажешь, а мне наверняка придется расплачиваться за обоих. Затем в течение пяти минут он давал мне „отеческие“ советы, — хотел передать свои глубокие познания мне, молодому парню!».
Урли пришел в полное умиление от того, что этот увалень решил заплатить за его выдуманное свидание.
Но все шло совсем не так гладко, как думал Урли, поскольку, как только он повернулся, чтобы уйти, охранник понял, что на нем нет бейджа, и спросил его об этом. «Пришлось мне сказать, что я забыл его в сумке, очень извиняюсь за это, и пойти в здание. Это был опасный момент, поскольку, если бы он стал настаивать, мои дела были бы плохи».
Итак, Урли вошел через служебный вход, но не имел ни малейшего представления, куда двигаться дальше. Там совсем не было людей, за которыми он мог бы последовать, поэтому он начал осторожно оглядываться и обдумывать, что делать дальше. Честно говоря, особого страха он не испытывал. «Забавно, — подумал он, — как цвет может влиять на психологию человека. Я был одет во все синее — цвет правды, — как будто я молодой топ-менеджер. Большинство пробегающих мимо людей были одеты, как простые сотрудники, поэтому было маловероятно, что они о чем-то спросят меня».
По мере продвижения он заметил комнату, которая выглядела в точности так, как он видел в фильме «Небесное око», за исключением того, что она была расположена не на самом верхнем этаже. В этой комнате было «столько телевизоров, сколько я больше нигде не видел — это было круто!». Он прошел в эту комнату и сделал нечто неожиданное. «Я зашел, и перед тем, как они успели спросить меня о чем-то, прочистил горло и сказал: „Внимание на девицу в двадцать третьем“.
Все телевизоры были перенумерованы, и конечно, на каждом экране была хотя бы одна девица. Все собрались около телевизора №23 и начали обсуждать, что замышляет девица, — Урли разбудил в них профессиональную паранойю. Это продолжалось добрых четверть часа, потом все вернулись к наблюдению за людьми на других мониторах, а Урли решил, что эта работа очень хорошо подходит тем, кто страдает склонностью к вуайеризму.
Перед тем, как выйти из комнаты, он сказал: «Извините, я был поглощен работой, и забыл представиться. Я Вальтер из внутреннего аудита. Меня недавно пригласил в свою группу Дэн Мур, — используя имя главы отдела внутреннего аудита, — одного из тех, кто вел с ним переговоры о проведении проверки. — Я еще не освоился во всех этих коридорах. Вы не покажете мне дорогу в комнаты руководства?».
Ребята были более чем счастливы избавиться от забредшего к ним «начальника Вальтера» и с удовольствием показали ему дорогу в те комнаты, что он искал. Урли направился в указанном направлении. Увидев, что никого нет вокруг, он решил осмотреться, и обнаружил небольшую комнату отдыха, где молодая женщина читала журнал. «Ее звали Меган, действительно симпатичная девушка. Мы несколько минут поболтали. Затем она сказала: „Слушай, ты из отдела внутреннего аудита, а мне как раз надо кое-что туда передать“. Оказалось, что у Меган есть несколько бейджей, несколько внутренних докладов, и целая коробка бумаг, которые надо было туда отнести. Урли подумал: „Ура, у меня теперь есть бейдж!“
Чтобы его бейдж не рассматривали слишком пристально, он перевернул его, так что была видна только его тыльная сторона. Потом он двинулся дальше.
«По дороге я увидел пустой офис. Там было два сетевых порта, но я не мог с первого взгляда определить, в рабочем ли они состоянии, поэтому я вернулся к Меган, и сказал, что забыл, что должен посмотреть ее компьютер и еще один в „офисе начальника“. Она очень мило согласилась и позволила мне присесть за ее стол.
Она дала мне свой пароль, когда я попросил, а затем опять пошла в комнату отдыха. Я сказал ей, что мне надо установить у нее «монитор сетевой безопасности», и показал ей свою точку беспроводного доступа. Она ответила: «Да делайте, что угодно. Честно говоря, я совсем не разбираюсь во всех этих компьютерных штучках».
Пока ее не было, он установил точку беспроводного доступа и перезагрузил компьютер. Вдруг он осознал, что вместо брелока от ключей у него флэш-память на 256 Мб, а вдобавок к этому — полный доступ к компьютеру Меган. «Я начал просматривать ее жесткий диск и обнаружил там немало интересного». Оказалось, что она занималась техническими делами всех топ-менеджеров и все свои файлы называла «приятными и красивыми именами». Она собирала все подряд, например, там было немало ее фотографий, сидящей с важным видом в комнате начальства. Через несколько минут Ме-ган вернулась, и он спросил у нее дорогу в операционный центр сети (NOC — Network Operations Center).
А вот там он столкнулся с «серьезной проблемой». Он вспоминает: «Сетевая комната была помечена так: „…“, и это было круто. Однако дверь оказалась закрытой». У него не было бейджа, который дал бы ему туда доступ, поэтому он решил просто постучать.
«Оттуда вышел джентльмен, и я рассказал ему свою „легенду“: „Привет, я Вальтер из внутреннего аудита и … бла, бла, бла“. Я не знал, что это за человек, а это был сотрудник ИТ-департамента. Он сказал: „Хорошо, я должен проверить это у Ричарда. Подождите секунду“.
Он повернулся, и попросил кого-то позвать Ричарда, и сказать ему, что здесь кое-кто «утверждает», что он из службы внутреннего аудита. Через несколько минут мой провал стал очевиден. Ричард спросил меня, кто я такой, где мой бейдж и задал еще несколько вопросов. Потом он сказал: «Давайте пройдем в мой офис, я позвоню во внутренний аудит и мы все выясним».
«Этот парень застукал меня с поличным. Но затем я воспользовался своим умением думать очень быстро и сказал ему: „Поздравляю, вы поймали меня“. И пожал ему руку. Потом я сказал: „Меня зовут Урли“, и дал ему свою визитную карточку. Затем я рассказал ему, что нахожусь здесь уже несколько часов, и никто ни о чем меня ни разу не спросил, что он первый, кто проявил бдительность, что будет отражено в моем отчете. Давайте пойдем в ваш офис, и вы позвоните тем, кто подтвердит, что это правда. Кроме того, я сказал, что должен сообщить Марте, которая руководит всей операцией, о некоторых вещах, которые я успел здесь заметить. Я считаю, для достаточно жесткой ситуации мой неожиданный гамбит сработал просто блестяще». Произошло удивительное превращение. Ричард начал спрашивать Урли о том, что он успел рассмотреть, об именах людей и т.п., а потом объяснил, что он проводит свой собственный аудит для того, чтобы увеличить средства, выделяемые на обеспечение безопасности и сделать NOC более безопасным с помощью «биометрики и прочих новинок». Он решил, что может использовать информацию, которую собрал Урли, для достижения своей цели.
Настало время обеда. Урли предложил продолжить разговор за обедом. Ричард согласился с тем, что это хорошая идея, и они вместе направились в столовую для персонала. «Заметьте, что мы до этого никому еще не позвонили. Я предложил ему сделать это сейчас, а он ответил: „У тебя есть бейдж, и я знаю, кто ты такой“. Мы отправились вместе в кафе, где Урли получил бесплатный обед и приобрел нового „друга“.
«Он спросил о моем опыте работы с сетями, и мы начали говорить о большом компьютере AS400, на котором работали все приложения казино. То, что события развивались именно таким образом, можно назвать только одним словом — невероятно». Невероятно, потому что глава ИТ-департамента, ответственный за компьютерную безопасность, делился различной внутренней информацией с Урли, даже не подумав удостовериться, с кем он разговаривает.
Говоря об этом, Урли отмечает, что «менеджеры среднего звена боятся „потерять лицо“. Как большинство из нас, они не хотят совершить ошибку и быть уличенными в этом. „Понимая это, вы получаете большое преимущество“. После обеда Ричард привел Урли обратно в NOC. „Когда мы вошли туда, он представил меня Ларри, главному системному администратору AS400. Он объяснил Ларри, что я собираюсь „попробовать их на прочность“, занимаясь аудитом в течение нескольких дней, и что мы вместе пообедали, и он уговорил меня провести некий предварительный аудит, «чтобы уберечь их от больших огорчений“, когда придет время основного аудита. После этого Урли выслушал от Ларри краткий обзор системы, собрав немало полезных сведений для своего отчета: например, что NOC хранит и обрабатывает всю информацию компании.
«Я сказал Ларри, что быстрее смогу помочь им, если у меня будет сетевая диаграмма, список доступа к межсетевому экрану и т.п. И он дал мне все это, только позвонив Ричарду для одобрения. Я подумал: „спасибо ему“.
Урли неожиданно вспомнил, что он оставил точку беспроводного доступа в одном из офисов. Хотя шансы быть пойманным сильно уменьшились после того, как он завел дружбу с Ричардом, он объяснил Ларри, что ему нужно вернуться и забрать точку доступа, которую он оставил. «Для этого мне потребуется бейдж, чтобы я мог войти в NOC, когда вернусь, и дальше входить и выходить по мере надобности». Ларри явно не хотелось этого делать, поэтому я предложил ему позвонить Ричарду еще раз. Он позвонил Ричарду и сказал, что гость хочет получить бейдж; Ричард предложил другое решение: недавно из казино было уволено несколько человек, их бейджи хранились в NOC, но никто их еще не уничтожил, «поэтому пусть воспользуется одним из них».
Урли вернул Ларри к разговору о системе, он знакомился с недавно принятыми мерами безопасности. Неожиданно Ларри позвонила его жена, явно недовольная и раздраженная чем-то. Урли насторожил уши, почувствовав, что может извлечь выгоду из этой ситуации. Ларри сказал своей жене: «Слушай, я сейчас не могу разговаривать. У меня в офисе человек». Урли дал понять Ларри, что он чувствует, как важен для него этот разговор с женой и что он сам возьмет бейдж, если Ларри покажет, где они лежат.
«Ларри провел меня в угол комнаты, выдвинул ящик и сказал: „возьми один из этих“. Затем он быстро вернулся к своему столу и продолжил разговор с женой. Я заметил, что на бейджах не было номеров, поэтому я взял две штуки из тех, что были там». Теперь у него был не просто бейдж, а бейдж, дающий ему доступ к NOC в любое время.
Урли отправился повидать свою новую подругу Меган, посмотреть на точку беспроводного доступа и поискать что-нибудь интересное. У него было на это время.
«Я понял, что у меня есть некоторое время, поскольку он занят разговором с женой, а такие разговоры всегда продолжаются дольше, чем хотелось бы. Я установил таймер на мобильном телефоне на двадцать минут, вполне достаточное время для проведения некоторых исследований без возбуждения недоверия у Ларри, который, как мне казалось, что-то подозревал».
Любой, кто работал в ИТ-департаменте, знает, что бейджи связаны с компьютерной системой; если получить доступ к компьютеру, то можно распространить возможности своего перемещения на все здание. Урли надеялся обнаружить компьютер, управляющий привилегиями доступа на бейджах, чтобы иметь возможность модифицировать те возможности, которые были на тех двух, что ему достались. Он шел по коридору и искал, где может быть расположен этот компьютер, но найти его оказалось сложнее, чем он думал. Урли почувствовал разочарование и усталость.
Он решил спросить кого-нибудь, и остановился на охраннике, который так доброжелательно отнесся к нему у служебного входа.
Многие сотрудники уже видели его вместе с Ричардом, поэтому о подозрительности и речи не было. Урли обратился к охраннику с вопросом о системе управления доступом в здание. Охранник даже не спросил, зачем ему это надо. Никаких проблем. Он подробно объяснил, где находится то, что искал Урли.
«Я нашел это место, и вошел в крошечную комнатку, где располагалась система управления. Этот компьютер стоял на полу и на экране был список уже открытых бейджей. Там не было ни пароля, ни скринсейвера —ничего, что могло помешать мне». По его мнению, это абсолютно типичная ситуация. «Для людей характерен подход „с глаз долой, из головы вон“. Е с л и такой компьютер располагается внутри охраняемой территории, никто не считает нужным заботиться о его безопасности».
Кроме получения доступа во все помещения, он хотел сделать еще одну вещь.
«Я думал, что просто для удовольствия добавлю некоторые привилегии на один из бейджей, поменяю на нем имя, а затем обменяюсь им с одним из сотрудников, который будет ходить по казино, неосознанно помогая мне проводить мой аудит. Кого же выбрать для этого? Меган, конечно, — с ней будет очень просто поменяться бейджами. Все, что мне надо будет сделать для этого, — это сказать, что мне нужна ее помощь для проведения аудита».
Когда Урли вошел, Меган встретила его так же дружелюбно, как и прежде. Он объяснил, что проверка закончена и ему надо получить свое оборудование назад. Затем он сказал Меган, что ему нужна ее помощь. «Большинство социальных инженеров подтвердит, что люди слишком охотно соглашаются помочь». Ему нужен был бейдж Ме-ган, чтобы сверить его с тем списком, что был у него. Через несколько мгновений у Меган был бейдж, который запутывал ситуацию еще больше, а у Урли был ее бейдж и еще один, в соответствии с которым он был большим начальником.
Когда Урли вернулся в офис Ларри, расстроенный менеджер только что закончил разговор с супругой. Наконец-то положив трубку, он был готов продолжить общение. Урли попросил подробно объяснить ему сетевую диаграмму, но потом сознательно сменил тему, чтобы обезоружить собеседника, и спросил, как обстоят дела у Ларри с женой. После этого они почти час обсуждали проблемы супружеской жизни. «В конце нашего разговора я был уверен, что с Ларри у меня больше не будет проблем. Поэтому я сказал ему, что в моем ноутбуке есть специальные программы для аудита, которые я должен запустить в сеть. Поскольку я обычно пользуюсь оборудованием последнего поколения, запустить ноутбук мне всегда просто, потому что нет человека на планете, который не захотел бы посмотреть его в работе».
Через какое-то время Ларри оставил меня, чтобы сделать несколько звонков и з а н я т ь с я своими делами. Предоставленный самому себе, Урли отсканировал сеть и смог проникнуть в несколько компьютеров, работающих как под Windows, так и под Linux, благодаря слабым паролям, а затем провел еще два часа, копируя разнообразную информацию из сети и даже з а п и с ы в а я ее на D V D , «о чем мне не было задано никаких вопросов».
«Завершив все свои дела, я подумал, что будет очень забавно и полезно попытаться сделать еще одну вещь. Я подошел к каждому, с кем мне пришлось общаться, даже к тем, с кем меня видели лишь короткое время, и сказал им такую фразу: „Слушайте, сделайте мне одолжение, Я люблю собирать фото всех мест, где я был, и людей, с которыми работал. Вы не согласитесь сфотографироваться со мной?“ Это бывает удивительно просто».
Некоторые сотрудники даже приглашали соседей из своих офисов, чтобы сфотографироваться вместе с ними.
У него уже было несколько бейджей, сетевых диаграмм и успешных доступов в сеть. Все это он тоже сфотографировал.
Во время заключительной встречи с заказчиками, глава внутреннего аудита пожаловался, что Урли не должен был физически проникать на территорию компании, «он не должен был атаковать таким путем». Урли также было сказано, что его действия граничат с «криминалом» и заказчики не приемлют подобных действий. Он объясняет:
«Почему казино считает мои действия нечестными? Ответ очень простой. Я никогда до этого не работал с казино и совершенно не знал их правил. Мой отчет мог привести к тому, что их компания подверглась бы аудиту Комиссии по играм, что могло привести к серьезным финансовым потерям».
Однако гонорар Урли был выплачен полностью, поэтому он совершенно не огорчился. Он искренне хотел произвести на клиента хорошее впечатление, но чувствовал, что они просто ненавидят его за использованные методы и считают их нечестными по отношению к компании и ее сотрудникам. «Они ясно дали мне понять, что больше не хотят иметь со мной дела».
Такого с ним еще не случалось — обычно клиенты принимали все результаты его проверок и смотрели на них, по его словам, как «на результаты серьезного анализа», что означало, что они вполне удовлетворены его методами проверки, адекватными тем, которые используют хакеры или социальные инженеры в реальной жизни. «Клиентов всегда впечатляли мои результаты. И я радовался и негодовал вместе с ними — до этого случая».
Подводя итог, Урли считает свою работу в Вегасе удачной в плане тестирования и неудачной в плане взаимоотношений с клиентом. «Боюсь, что больше мне в Вегасе не работать» — сожалеет он.
Можно только пожелать Комиссии по играм в дальнейшем иметь дело только с этичными хакерами, использующими исключительно высокоморальные пути проникновения в казино…
АНАЛИЗ
Социальный психолог Бред Сагарин, доктор философии, который специально исследовал технологии убеждения, так описывает арсенал социальных инженеров: «В их действиях нет ничего волшебного. Социальные инженеры используют те же способы убеждения, что и все мы повседневно. Мы играем какие-то роли. Мы стараемся завоевать доверие. Мы призываем к выполнению взаимных обязательств. Но социальный инженер использует все это только для того, чтобы манипулировать людьми, обманывать их самым подлым образом, часто с разрушительным эффектом».
Мы попросили доктора Сагарина описать психологические принципы, лежащие в основе самых распространенных методов социальных инженеров. В некоторых случаях он подкреплял свои объяснения примерами из предыдущей книги Митника и Саймона «Искусство обмана», которые иллюстрируют ту или иную тактику.
Каждый раздел начинается с простого объяснения принципа и наглядного примера.
ВХОЖДЕНИЕ В РОЛЬ
Социальный инженер обычно демонстрирует несколько характерных признаков той роли, которую он разыгрывает. Большинство из нас самостоятельно награждают исполнителя определенной роли дополнительными характеристиками, после того, как нам продемонстрируют некоторые знаковые элементы: мы видим человека в строгом костюме, рубашке и при галстуке, и автоматически предполагаем, что он умен, надежен и работоспособен.
Пример:когда Урли вошел в комнату наблюдения, он был одет в хороший костюм и говорил уверенным командным голосом, и люди в комнате автоматически стали выполнять его указания. Он успешно совершил перехват роли менеджера казино.
Практически каждая атака социального инженера использует вхождение в роль, так что жертва атаки домысливает другие свойства роли и действует соответственно. Такой ролью может быть ИТ-техник, клиент, новый сотрудник или многие другие, которые лучше соответствуют потребностям атакующего.
Чаще всего вхождение в роль включает упоминание имени начальника «мишени», или имен других известных ему сотрудников, или использование местных терминов и жаргона. Для атаки на конкретного человека атакующий старается выбрать соответствующую одежду, аксессуары (значок компании, браслет, дорогую ручку, перстень с символикой престижной школы), стиль прически — все это способствует вхождению в роль, на которую претендует атакующий.
Сила этого метода заключается в том, что если вы посчитали человека кем-то — начальником, клиентом, обычным сотрудником, вы переносите на него и другие характеристики его образа (начальник всегда энергичен и уверен в себе, разработчик программ очень умен, но в социальном плане может выглядеть не слишком блестяще, сотруднику компании всегда можно доверять).
Сколько же нужно приложить усилий, чтобы люди тебе поверили? Не т а к много.
ДОВЕРИЕ
Установление доверительных отношений — это одна из наиболее распространенных атак социальной инженерии, фундамент всего следующего в дальнейшем.
Пример:Урли вынудил Р и ч а р д а — начальника департамента ИТ — предложить ему пообедать вместе, прекрасно понимая, что все те, кто увидят его вместе с Ричардом, проникнутся к нему доверием.
Доктор Сагарин выделяет три метода, используемых в «Искусстве обмана», которые используют социальные инженеры для создания атмосферы доверия. Один из них заключается в том, что атакующий говорит нечто, что якобы работает против его интересов, как, например, в Главе 8 «Искусства обмана» в истории «Один простой звонок», когда атакующий сказал своей жертве: «Теперь напечатайте ваш пароль, но не называйте мне его. Вы никогда и никому не должны называть свой пароль, даже сотрудникам ИТ-персонала». Подобную фразу наверняка может произнести только честный человек.
Второй метод состоит в том, что жертву предупреждают о событии, которое (о чем не подозревает атакуемый) атакующий сам и создает. Например, в истории «Отказ сети», рассказанной в Главе 5 книги «Искусство обмана», где атакующий объясняет, что сетевое соединение может выйти из строя. Затем обманщик делает что-нибудь, что прерывает сетевое соединение жертвы, заставляя ее поверить в его искренность.
Эта тактика предсказания часто используется в сочетании с третьим методом, когда атакующий «доказывает» жертве, что ему можно доверять, устраняя возникшую проблему. Так и произошло в «Отказе сети», когда атакующий сначала предупредил, что сеть может выйти из строя, затем сделал так, что сетевое соединение прервалось, как он и предсказывал, а потом восстановил соединение, утверждая, что он «устранил проблему», вызвав у жертвы чувство доверия и благодарности.
ЖЕРТВУ ЗАСТАВЛЯЮТ ИГРАТЬ ОПРЕДЕЛЕННУЮ РОЛЬ
Социальный инженер часто вынуждает свою мишень играть непривычную роль, например, принуждая ее к подчинению своим агрессивным поведением или взывая к жалости.
Пример:Урли в своем разговоре с Ленорой встал в позицию человека, нуждающегося в помощи (только что расставшегося со своей девушкой, переехавшего в другой город и ищущего работу), чтобы поставить ее в роль помощника.
Чаще всего социальные инженеры стремятся, чтобы их мишень играла роль помощника. После того, как человек взял на себя эту роль, ему очень трудно из нее выйти.
Наиболее хитрый и опытный социальный инженер попытается придумать для жертвы такую роль, в которой та чувствовала бы себя комфортно. Затем он будет вести переговоры так, чтобы использовать жертву в этой роли — Урли сделал именно это с Ленорой и Ме-ган, когда почувствовал, что они с радостью будут помощниками. Люди с удовольствием берут на себя роли с положительным наполнением, которые позволяют им ощущать себя хорошими людьми.
СБИВАНИЕ С МЫСЛИ
Социальные психологи выделяют в процессе восприятия информации человеком два возможных типа — систематический и случайный.
Пример:когда менеджеру пришлось в процессе работы разбираться в непростой ситуации со своей супругой, Урли использовал его эмоциональное состояние и именно в этот момент сделал запрос, который дал ему доступ к бейджам компании.
Доктор Сагарин объясняет: «Если вы думаете в систематическом режиме, то каждый сделанный запрос обдумываете спокойно и не спеша. Когда процесс идет случайным образом, вам приходится принимать решения быстро. Например, к нам может поступить запрос, на который придется отвечать под давлением мысли о том, кто задал этот вопрос, а не реально оценивать важность запрошенной информации. Мы всегда пытаемся работать в режиме систематического обдумывания, когда тема важна для нас. Но недостаток времени, отвлечение внимания или сильная эмоция может переключить нас в случайный режим».
Нам приятно думать, что обычно мы действуем рационально, логически, принимаем решения, основываясь на фактах. А психолог доктор Грегори Нейдерт говорит: «мозг человека находится в неработающем состоянии 90-95% времени». Социальные инженеры стремятся использовать это преимущество, стараясь всеми возможными способами вывести жертву из состояния систематичных размышлений — зная, что люди, размышляющие в случайном режиме, с гораздо меньшей вероятностью могут использовать ресурсы психологической защиты. Чаще всего, они утрачивают подозрительность, не задают вопросы, и не противопоставляют атакующему никаких резонов.
Социальные инженеры стремятся вступить в контакт с мишенями, когда те находятся в случайном режиме размышлений и удерживать их там. Один из способов достичь этого — позвонить жертве минут за пять до окончания рабочего дня, рассчитывая на то, что переключение с рабочих мыслей на домашние и желание уйти с работы вовремя могут заставить человека ответить на вопрос, который в другой ситуации вызвал бы подозрительность.
МОМЕНТ СОГЛАСИЯ
Социальные инженеры создают момент согласия, делая целую серию запросов, начиная с совершенно безобидных.
Пример:доктор Сагарин цитирует историю creditchex, рассказанную в первой главе «Искусства обмана», когда атакующий задает ключевой вопрос о важной информации — идентификационном номере в банке merchant, который используется как пароль для авторизации по телефону — в череде безобидных вопросов. Поскольку начальные вопросы кажутся безобидными, это устанавливает определенный настрой общения, в котором жертва и последующие вопросы рассматривает, как безобидные.
Телевизионный сценарист и продюсер Ричард Левинсон использовал похожую тактику в создании своего самого известного персонажа Коломбо, которого играет актер Петер Фальк. Все зрители прекрасно знают, что когда детектив уже уходит и напряжение спадает, — к радости подозреваемого, что он одурачил детектива, Коломбо оборачивается и задает один последний вопрос, ключевой вопрос, который он готовил все предшествующее время. Социальные инженеры часто используют такую тактику — «а вот еще один вопрос…»
ПОТРЕБНОСТЬ ПОМОГАТЬ
Психологи считают, что люди испытывают позитивные эмоции, когда помогают другим. Помощь кому-то дает ощущение собственного могущества. Это может вывести нас из плохого состояния духа. Это может помочь нам самоутвердиться. Социальные инженеры находят много способов использовать наше стремление помогать другим.
Пример:когда Урли показался у служебного входа в казино, охранник поверил его рассказу о приглашении симпатичной девушки на ужин, выдал ему деньги для этой цели, дал несколько советов, как надо обращаться с женщинами, и не стал требовать показать ему бейдж, когда Ур-ли с т а л удаляться.
Комментарий доктора Сагарина: «Поскольку социальные инженеры часто атакуют людей, которые просто не осознают ценности выдаваемой информации, помощь может рассматриваться, как небольшая расплата за достигнутый психологический комфорт. (Сколько стоит быстрый запрос в базу данных для собеседника на другом конце телефонной линии?)»
ПРИСВОЕНИЕ
Если человек присваивает себе некую роль, другие люди ведут себя по отношению к нему в соответствии с этой ролью. Цель социальной инженерии заключается в том, чтобы атакуемый воспринял атакующего как эксперта, вызывающего доверие, или надежного и правдивого человека.
Пример:доктор Сагарин цитирует историю «Как продвинуться дальше», из главы 10 «Искусства обмана». Атакующий, в поисках доступа к комнате переговоров, какое-то время болтался вокруг да около, и тем самым успокоил подозрения окружающих, потому что люди считают, что злоумышленник не будет слишком долго находится там, где его можно поймать.
Социальный инженер может подойти к охраннику, положить пятидолларовую купюру на его стол и сказать: «Я нашел это на полу.
Может, кто-нибудь говорил вам, что потерял деньги?». Охранник сразу начинает относиться к нему, как к честному человеку, заслуживающему доверия.
Если мы видим человека, который открывает дверь перед пожилой женщиной, мы думаем, что он вежливый: если же женщина молодая и привлекательная, то мы приписываем его поведению совершенно другие мотивы.
СИМПАТИЯ
Социальные инженеры часто используют тот факт, что все люди более охотно говорят «да» в ответ на запрос людей, которые им симпатичны.
Пример:Урли смог получить важную информацию от Леноры, девушки, которую он встретил в фитнес-центре, отчасти благодаря своему умению «читать мысли», вычисляя ее реакцию и постоянно подстраивая свои о т в е т ы под ее реакции. Э т о заставило ее подумать, ч т о у них общие вкусы и интересы («О, и я тоже!»). Ее чувство симпатии к нему сделало ее более открытой и готовой поделиться с ним информацией, которую он хотел получить.
Людям нравятся те, кто похож на них, имеет такие же склонности, аналогичное образование и хобби. Социальный инженер всегда тщательно изучает всю информацию, связанную с мишенью атаки, чтобы выяснить ее личные интересы — теннис, старые самолеты, коллекция антикварных ружей или все, что угодно. Социальный инженер может увеличивать чувство симпатии, используя комплименты или откровенную лесть, а также и собственную внешнюю привлекательность.
Следующая тактика — использование известного имени, которое мишень атаки знает и любит. В этом случае атакующий старается выглядеть членом «группы» внутри компании. Обманщики часто льстят и говорят комплименты, стремясь воздействовать на жертву, которая недавно была вознаграждена за какие-то достижения. Ублажение личных амбиций может способствовать привлечению жертвы на роль помощника.
СТРАХ
Социальный инженер иногда убеждает свою жертву в том, что должны случиться ужасные вещи, — но эту катастрофу можно предотвратить, если действовать так, как предлагает атакующий.
Пример:в истории «Аварийная заплатка», изложенной в главе 12 книги «Искусство обмана», социальный инженер пугает свою жертву, что она потеряет важную информацию, если не согласится установить «аварийную заплатку» на сервер базы данных компании. Страх делает жертву уязвимой и заставляет согласиться с решением, которое предлагает социальный инженер.
Атаки, основанные на использовании более высокого статуса, базируются на чувстве страха. Социальный инженер, замаскировавшись под руководителя компании, может атаковать секретаря или молодого сотрудника своим «срочным» запросом, основываясь на том, что жертва согласится выполнить его запрос, боясь получить взыскание или даже потерять работу.
РЕАКТИВНОСТЬ
Реактивность — это естественный ответ человеческой психики на ситуацию, угрожающую свободе. В реактивном состоянии мы теряем чувство перспективы и все остальное уходит в тень.
Пример:две истории в «Искусстве обмана» иллюстрируют силу реактивности — в первом случае жертве грозили потерей важного приложения, во втором — потерей доступа к сети.
В типичной атаке, использующей реактивность, злоумышленник говорит своей жертве, что доступа к компьютерным файлам не будет в течение какого то срока и называет совершенно неприемлемый период времени. «Вы не сможете получить доступ к своим файлам в течение двух следующих недель, но мы сделаем все возможное, чтобы этот срок не увеличился». Когда атакуемый начинает проявлять свои эмоции, атакующий предлагает восстановить файлы быстрее: все, что нужно для этого — назвать имя пользователя и пароль. Жертва, напуганная возможными потерями, обычно с радостью соглашается.
Другой способ заключается в том, чтобы использовать принцип дефицита или заставить мишень гнаться за обещанной выгодой. Например, вас заманивают на Интернет-сайт, где информация о вашей кредитной карточке может быть украдена. Как вы отреагируете на электронное письмо, которое пообещает новый iPod от Apple всего за 200 долларов, но только первой тысяче обратившихся? Может быть, поспешите на сайт и зарегистрируетесь, чтобы купить один из них? И когда вы зарегистрируетесь, укажете адрес электронной почты, и выберете пароль, признайтесь — это ведь будет тот же самый пароль, который вы используете повсюду?
КОНТРМЕРЫ
Защита от атак социальных инженеров требует целой серии скоординированных усилий, включая и такие:
• разработка четких и ясных протоколов безопасности, согласованно вводимых в масштабах всей компании;
• разработка тренингов по усилению бдительности персонала;
• разработка простых и понятных правил определения важности информации;
• разработка простых и понятных правил, четко определяющих случаи обращения к закрытым данным (взаимодействие с компьютерным оборудованием с неизвестными последствиями для оного), дабы личность пользователя была идентифицирована согласно политике компании;
• разработка грамотной системы классификации данных;
• обучение персонала навыкам сопротивления методам социальной инженерии;
• проверка готовности сотрудников к противостоянию атакам по методу социальной инженерии при помощи специальных проверок.
Наиболее важный аспект программы — установление соответствующих протоколов безопасности и мотивация сотрудников для их выполнения. И в дополнение к этому — установление ключевых точек, где разработанные программы и тренинги противостоят угрозе социальных инженеров.
ПЛАН ТРЕНИНГОВ
Вот некоторые ключевые позиции для тренингов:
• убедите сотрудников в том, что социальные инженеры наверняка будут где-то атаковать компанию, причем многократно. Существует явная недооценка угрозы, которую представляют собой атаки социальных инженеров; часто даже полное незнание того, что такая угроза существует. Обычно люди не ждут обмана и манипуляций, поэтому неосознанно подпадают под атаку социальной инженерии. Многие Интернет-пользователи получают электронную почту из Нигерии с предложением перевести значительные суммы денег в США; в них предлагаются неплохие комиссионные за помощь. Потом вас просят перевести некоторую сумму для того, чтобы начать процедуру передачи денег. Одна леди из Нью-Йорка недавно поверила этим предложениям и заняла сотни тысяч долларов у своего сотрудника, чтобы начать процедуру перевода. И вместо того, чтобы наслаждаться отдыхом на своей яхте, которую она уже видела почти купленной, она стоит перед малоприятной перспективой очутиться на казенной койке в одной из американских тюрем. Люди постоянно покупаются на эти ловушки социальных инженеров, иначе нигерийские «спамеры» перестали бы рассылать свои письма.
• используйте ролевые игры для наглядной демонстрации уязвимости каждого перед технологиями социальных инженеров, обучайте сотрудников, кик им противостоять. Большинство людей работают, пребывая в полной иллюзии собственной неуязвимости, считая себя очень умными для того, чтобы их можно было обмануть, обжулить, манипулировать ими, или влиять на них. Они считают, что так можно поступить только с « г л у —пыми» людьми. Есть два способа помочь сотрудникам понять свою уязвимость и поверить в необходимость защиты. Один из них заключается в демонстрации эффективности социальной инженерии путем «подставы» некоторых сотрудников под такую атаку, а затем разбора случившегося на специальном семинаре по безопасности. Другой состоит в подробном анализе конкретных методов социальной инженерии, с целью демонстрации уязвимости всех и каждого подобным атакам. В каждом случае тренинг должен содержать подробный анализ механизма атаки, причин ее успеха и обсуждения способов распознавания атаки и противостояния ей.
• надо развить в сотрудниках умение чувствовать обман или манипулирование со стороны социальных инженеров. На тренингах надо объяснить сотрудникам их персональную ответственность за защиту важной корпоративной информации. Организаторы таких тренингов обязательно должны учитывать, что мотивация к выполнению некоторых процедур обеспечения безопасности у людей в определенных ситуациях только возрастает, если они хорошо понимают необходимость применения тех или иных протоколов. Во время тренингов преподаватели должны давать наглядные примеры того, как те или иные меры безопасности защищают бизнес, и какой ущерб может быть нанесен компании, если сотрудники будут игнорировать их или выполнять недостаточно тщательно. Очень важно обратить внимание на то, что успешная атака может нанести ущерб персонально сотруднику или его друзьям и знакомым. В базе данных компании может содержаться особо ценная для воров и н ф о р м а ц и я о людях. Но главный мотивационный фактор — это то, что никто не хочет быть обманутым или обмишуленным, или позволить кому-то собой манипулировать. Именно поэтому люди всегда имеют мотивацию противостоять обману и жульничеству, надо просто обратить их внимание на это.
ПРОГРАММЫ ДЛЯ ПРОТИВОСТОЯНИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
Вот несколько основных моментов, которые необходимо учитывать при разработке программ:
• Надо разработать четкий план действий для сотрудников в случае обнаружения атаки социальной инженерии.
Мы отсылаем читателей к обширному списку политик безопасности, приведенных в «Искусстве обмана». Из них надо выбрать те, которые подходят именно вам. После того, как компания выбрала нужные процедуры и внедрила их в жизнь, эта информация должна быть выложена на сайте компании, чтобы она была постоянно доступна для сотрудников. Еще один прекрасный ресурс — это учебный курс Чарльза Крессона Вуда по разработке политик информационной безопасности «Information Security Policies Made Easy» (San Jose, CA: Baseline Software, 2001).
• Надо разработать простые правила для сотрудников, позволяющие определять, какая информация является важной для компании.
Поскольку мы обрабатываем информацию в случайном режиме большую часть времени, нужно разработать простые правила безопасности, которые отслеживают все запросы к важной информации (такой, как конфиденциальная бизнес-информация или индивидуальные пароли). После того, как сотрудник осознал, что произошел запрос о важной информации или о некотором компьютерном действии, он должен свериться с принятым руководством по политике безопасности, чтобы определить верный алгоритм процедуры, которому надо следовать.
Кроме того, важно осознать и донести до сотрудников, что даже информация, которая не считается особенно важной, может быть полезной социальному инженеру, собирающему крупицы информации, внешне бесполезной, но которую он может использовать для создания атмосферы доверия и симпатии. Имя менеджера или название важного проекта компании, место нахождения команды разработчиков, имя сервера, которым пользуются сотрудники, имя, которым назван секретный проект — все это важно, и каждой компании нужно определить необходимую степень защиты от возможных угроз безопасности.
Есть несколько наглядных примеров информации, которая на первый взгляд не является важной, но может использоваться атакующим. В книге «Искусство обмана» описано несколько сценариев, которые могут быть полезны преподавателям для подтверждения этой мысли.
• Надо видоизменить правила вежливости — научиться правильно отвечать «Нет!»
Большинство из нас чувствует себя неловко, когда приходится отвечать «нет» другим людям. (Некоторые современные технологические продукты разработаны в расчете на людей, которые слишком вежливы для того, чтобы отказаться от назойливой телефонной рекламы. Когда рекламный агент звонит, пользователь нажимает на « * » и кладет трубку на рычаг; после этого приятный голос говорит звонящему: «Извините, пожалуйста, но я должен сообщить вам, что мы с большим сожалением отвергаем ваше предложение». Больше всего в этой фразе мне нравятся слова «с большим сожалением». Интересно и то, что множество людей приобретают себе электронное устройство, которое говорит «нет» вместо них. Вы лично согласились бы заплатить некоторую цену за устройство, которое оградит вас от отрицательных эмоций в процессе произнесения слова «нет»?)
Программа компании по противодействию атакам социальной инженерии одной из задач должна ставить изменение норм вежливости. Новое поведение должно состоять в умении вежливо отклонить запрос о важной информации, пока не будет установлена личность запрашивающего и его право на доступ к этой информации. Например, надо научить всех отвечать так: «Как сотрудники нашей компании, мы оба знаем, насколько важно следовать протоколам безопасности. Поэтому мы оба понимаем, что я должен проверить ваш допуск перед тем, как выполнить ваш запрос».
• Разработать процедуры для проверки личности человека и его авторизации.
Для каждого бизнеса должен быть разработан процесс проверки личности и авторизации людей, запрашивающих информацию или требующих каких-то действий от сотрудников компании. Процесс проверки в любой ситуации должен зависеть от важности информации или запрашиваемых действий. При этом нужно увязывать требования безопасности с бизнес-процессами.
Тренинг должен научить сотрудников идентифицировать людей не только самыми простыми методами, вроде взгляда на визитную карточку, — что использовал Урли в нашей истории, но и более серьезные. (Вспоминается один персонаж Джеймса Гарнера в детективной серии «Файлы Рокфорда» девяностых годов, у которого в машине был специальный принтер для визитных карточек, так что он мог снабдить себя любой, какая ему потребуется).
В нашей книге «Искусство обмана» была приведена процедура идентификации. • Получить поддержку руководства кампании
Это звучит почти банально: любая важная инициатива в компании начинается с того, что ее должно активно поддерживать руководство. Есть лишь несколько корпоративных сфер, в которых подобная поддержка так важна, как в области безопасности, и важность последней возрастает еще более оттого, что она непосредственно не влияет на прибыль компании и потому ей часто отводится одно из последних мест в стратегии компании.
В общем, для обеспечения безопасности нужны усилия всей компании, начиная, естественно, с ее руководства.
В специальном документе руководители компании должны высказать два четких положения по этому поводу. Сотрудники никогда не должны получать от руководства указаний обойти протокол безопасности. Ни один сотрудник не должен быть наказан за то, что будет следовать протоколу безопасности, даже если он получил от руководства указание нарушить его.
ПОЗНАКОМЬТЕСЬ С МАНИПУЛЯТОРАМИ В СВОЕЙ СЕМЬЕ — ЭТО ВАШИ ДЕТИ
Почему дети (или большинство из них) так прекрасно манипулируют нами? Ничуть не хуже, чем это делают социальные инженеры. С возрастом это умение теряется. Каждый родитель не раз и не два был мишенью атаки со стороны своих детей. Когда ребенку хочется чего-то, что не разрешено, он может быть настойчив до такой степени, что это не только утомляет, но даже начинает забавлять.
Когда мы с Биллом Саймоном уже заканчивали эту книгу, я был свидетелем полноценной атаки социальной инженерии со стороны ребенка. Моя подружка Дарси и ее девятилетняя дочь Брианна приехали ко мне в Даллас, где я был по делам бизнеса. Вечером в отеле перед тем, как отправиться на вечерний самолет, Брианна испытывала терпение своей мамы, требуя пойти ужинать в выбранный ею ресторан, и проявляя при этом типично детский темперамент. Дарси решила слегка обуздать ее, отобрав у нее Gameboy, и запретив играть в него в течение суток.
Брианна на время утихла, но затем потихоньку начала пробовать другие пути воздействия на свою мать, чтобы получить свою игру обратно, и это продолжалось и тогда, когда я вернулся и присоединился к ним. Постоянное детское нытье было совершенно изнуряющим: потом мы поняли, что она пытается добиться своего типичными методами социального инженера и стали делать заметки.
• «Мне скучно; верните мне мою игру». (Сказано тоном приказа, а не просьбы).
• «Я сведу вас с ума, если не смогу играть в мою игру». (Сопровождается завыванием).
• «Мне нечего будет делать в самолете без моей игры». (Говорится тоном: «Любой идиот это понимает»).
• «Будет ведь очень здорово, если я сыграю хоть разок, правда?» (Обещание, заключенное в вопросе)
• «Я буду очень хорошей, если вы вернете мне мою игру». (С невероятной искренностью).
• «Я хорошо вела себя вчера, почему же я не могу играть в игру сегодня?» (Отчаянная попытка, основанная на запутанной логике).
• «Я никогда не буду больше себя так вести. (Пауза). Можно я поиграю в игру сейчас?» («Никогда не буду это делать» — какими же легковерными она нас считает!)
• «Можно мне получить игру назад, пожалуйста?» (Если обещания не действуют, то можно попробовать выпрашивание…)
• «Завтра мне надо возвращаться в школу, и я хочу поиграть сейчас, потому что потом я долго-долго не буду играть». (Господи, сколько же может быть различных форм социальной инженерии? Может, надо было взять ее соавтором в эту книгу?).
• «Я была не права и очень сожалею об этом. Можно мне поиграть хоть немного?» (Признание очень важно для души, но может не сработать в качестве способа манипуляции).
• «Кевин, позволь мне сделать это». (Я подумал, что только хакер мог так повести себя!)
• «Без игры мне очень грустно». (Если больше ничего не работает, то надо разжалобить или вызвать симпатию).
• «Больше, чем полдня я сижу без моей игры…» (Другими словами: «Не достаточное ли это наказание за мой проступок?»)
• «Это ведь не стоит ни копейки — дать мне поиграть». (Отчаянная попытка отыскать доводы, которые заставляют маму длить наказание так долго. Неправильная догадка).
• «Это же выходные в честь моего дня рождения, и я могу играть в свои игры». (Еще одна попытка добиться симпатии).
А вот, как ее действия продолжались в аэропорту, к чему мы были готовы.
• «Мне будет скучно в аэропорту». (Ошибочно надеясь на то, что детская скука — это такая страшная вещь, которой взрослые будут стремиться избежать любой ценой. Если Брианне станет совсем уж скучно, она может порисовать или почитать книгу).
• «Это будет трехчасовой полет, и мне будет совсем нечего делать!» (Остается надежда, что и в этом случае она может открыть книгу, которая специально была взята с собой).
• «Слишком темно, чтобы читать, и слишком темно, чтобы рисовать. А играть можно, потому что экран светится». (Безнадежная попытка призвать на помощь логику).
• «Могу я по крайне мере воспользоваться Интернетом?» (Должна же быть в ваших сердцах хоть капля жалости?)
• «Ты самая лучшая мама в мире!» (Вот они, комплименты и лесть для достижения своей цели),
• «Это не честно!!!» (Последняя отчаянная попытка).
Если вы хотите усовершенствовать познания в том, как социальные инженеры манипулируют своими мишенями, и как они переводят людей из состояния размышления в чисто эмоциональное состояние …прислушайтесь к своим детям.
ПОСЛЕСЛОВИЕ
В нашей первой совместной книге Билл Саймон и я выделили уязвимость по отношению к социальной инженерии, как «самое слабое звено информационной безопасности».
Что же мы видим через три года? Мы видим, что компания за компанией развертывают у себя технологии безопасности для защиты своих компьютерных ресурсов от технологического вторжения хакеров или индустриальных шпионов и пользуются услугами серьезных охранных фирм для защиты территорий от несанкционированного вторжения.
Но мы видим при этом, какое малое внимание уделяется тому, чтобы противостоять угрозам со стороны социальных инженеров. Очень важно информировать сотрудников об этих угрозах и обучать их тому, как противостоять им и не давать себя использовать в качестве пособника атакующих. Не так-то просто противостоять угрозе вторжения со стороны человека. Защита компании от вторжения хакеров, использующих методы социальной инженерии, должна входить в обязанности всех, и каждого сотрудника в отдельности, — даже тех, кто не пользуется компьютерами по роду своей работы. Уязвимы топ-менеджеры, охранники, девушки в приемной, телефонисты, уборщики, работники гаража, а особенно— недавно принятые на работу сотрудники — все они могут подвергнуться атаке социальных инженеров, в качестве одной из ступенек на пути к конечной цели.
В течение многих лет человеческий фактор был и остается самым слабым звеном в структуре информационной безопасности. Вот вопрос на миллион долларов: хотите ли именно вы быть тем самым слабым звеном, которое использует социальный инженер для проникновения в вашу компанию?