Искусство обмана
Добавить в закладки К обложке
- Неопубликованная глава - Страница 1
- Рассказ Кевина - Страница 2
- Финальные выводы - Страница 7
- Введение - Страница 8
- Предисловие - Страница 9
- С чего всё начиналось - Страница 10
- От телефонного фрикинга к хакингу - Страница 11
- Становление социальным инженером - Страница 12
- Финальные выводы - Страница 13
- Вступление - Страница 14
- Глава 1: Самое слабое звено в безопасности - Страница 15
- Человеческий фактор - Страница 16
- Классический случай обмана - Страница 17
- Характер угрозы - Страница 19
- Злоупотребление доверием - Страница 20
- Террористы и обман - Страница 21
- Об этой книге - Страница 22
- Глава 2: Когда безвредная информация опасна - Страница 23
- Скрытая ценность информации - Страница 24
- CREDITCHEX - Страница 25
- Частный сыщик в действии - Страница 26
- Западня для инженера - Страница 28
- Ещё одна «ничего не стоящая» информация - Страница 30
- Предотвращение обмана - Страница 31
- Глава 3: Прямая атака: просто попроси - Страница 33
- Случай с центром назначения линий - Страница 34
- Юноша в бегах - Страница 35
- На пороге - Страница 36
- Заговаривание зубов (Отвлекающая болтовня) - Страница 37
- Глава 4: Внушая доверие - Страница 39
- Доверие: ключ к обману - Страница 40
- Вариации по теме: Сбор кредитных карт - Страница 42
- Одноцентовый сотовый телефон - Страница 44
- Взлом федералов - Страница 45
- Предотвращение обмана - Страница 47
- Глава 5: «Разрешите Вам помочь» - Страница 48
- Неполадки в сети - Страница 49
- Немного помощи для новенькой девушки. - Страница 52
- Не так безопасно, как думаешь - Страница 54
- Предотвращение обмана - Страница 59
- Глава 6: «Не могли бы Вы помочь?» - Страница 61
- Чужак - Страница 62
- Неосторожный руководитель - Страница 65
- Глава 7: Фальшивые сайты и опасные приложения - Страница 70
- «Не желаете ли вы бесплатно …?» - Страница 71
- Сообщение от друга - Страница 73
- Вариации по теме - Страница 74
- Вариации по вариации - Страница 76
- Глава 8: Используя чувство симпатии, вины и запугивание - Страница 79
- Визит в студию - Страница 80
- «Сделайте это сейчас» - Страница 81
- «Мистер Бигг хочет это» - Страница 83
- Что знает о вас администрация общественной безопасности - Страница 84
- Один простой звонок - Страница 86
- Полицейский набег - Страница 88
- Переводя стрелки - Страница 90
- Предупреждение обмана - Страница 92
- Глава 9: Ответный удар - Страница 94
- Исскуство дружелюбного убеждения - Страница 95
- Глава 11: Сочетая технологию и социальную инженерию - Страница 102
- Взлом решетки - Страница 103
- Быстрое скачивание - Страница 107
- Легкие деньги - Страница 108
- Словарь как орудие атаки - Страница 111
- Предотвращение обмана - Страница 114
- Глава 13: Умные мошенники - Страница 116
- Несоответствующий “Caller ID” - Страница 117
- Вариация: Звонит президент Соединенных Штатов - Страница 119
- Невидимый сотрудник - Страница 121
- Полезный секретарь - Страница 122
- Суд по делам дорожного движения - Страница 123
- Возмездие Саманты - Страница 125
- Предотвращение обмана - Страница 127
- Глава 14: Промышленный шпионаж - Страница 128
- Глава 15: Знание об информационной безопасности и тренировки - Страница 129
- Обеспечение безопасности с помощью технологии, тренировки и процедуры - Страница 130
- Понимание того, как атакующий может воспользоваться человеческой природой - Страница 131
- Создание тренировочных и образовательных программ - Страница 133
- Тестирование - Страница 136
- Поддержание бдительности - Страница 137
- «Зачем мне все это?» - Страница 138
- Краткое описание безопасности в организации - Страница 139
- Определение атаки - Страница 140
- Проверка и классификация информации - Страница 141
Чужак
История в главе 3 показала, как атакующий может служащего сообщить свой (табельный) номер. В этой истории применяется другой подход, чтобы добиться того же результата, и показывает, как атакующий может им воспользоваться.
Наравне с Джонсами
В Силиконовой долине есть некая мировая компания, название которой упоминаться не будет. Отделы сбыта и другие подразделения, расположенные по всему миру, соединены со штаб-квартирой компании посредством глобальной сети (WAN). Взломщик, проворный малый по имени Брайан Аттерби (Brian Atterby), знал, что почти всегда легче проникнуть в сеть в одном из отдаленных мест, где уровень безопасности должен быть ниже, чем в головном офисе.
Взломщик позвонил в офис в Чикаго и попросил соединить с мистером Джонсом. Секретарь в приемной спросила, знает ли он имя мистера Джонса; он ответил: «Оно где-то здесь, я ищу его. Сколько у вас работает Джонсов?». Она сказала: «Три. В каком он подразделении?» Он сказал: «Если вы зачитаете мне имена, может, я вспомню его».
— Барри, Джозеф и Гордон.
— Джо. Я вполне уверен, что это он. И… в каком он подразделении?
— Развития бизнеса
— Отлично. Соедините меня с ним, пожалуйста.
Она соединила его. Когда Джонс взял трубку, атакующий сказал: «Мистер Джонс? Это Тони из отдела (начисления) заработной платы. Мы как раз выполняем ваш запрос о переводе ваших денег на кредитный счет».
— ЧТО?! Вас обманули. Я не делал таких запросов. У меня даже нет счета.
— Проклятие, я уже выполнил запрос.
Джонс был в смятении от мысли, что его деньги могли отправиться на чей-нибудь счет, он начал думать, что парню на том конце провода не следовало торопиться. Прежде чем он успел ответить, атакующий сказал: «Я понимаю, что произошло. Изменения вносятся по номеру служащего. Какой у вас номер?»
Джонс сообщил свой номер. Звонивший сказал: «Действительно, вы не делали запрос».
«Они становятся все более бестолковыми с каждым годом», — подумал Джонс.
«Я внесу исправление прямо сейчас. Не беспокойтесь, вы получите вашу зарплату без проблем», — заверил парень.
Командировка
Почти сразу после этого позвонили системному администратору в отдел сбыта в Остине, Техас.
«Это Джозеф Джонс, — представился звонивший. — Я из отдела развития бизнеса. Я буду в отеле Дрискил (Driskill Hotel) через неделю. Мне нужна временная учетная запись, чтобы я мог получать электронную почту, не делая междугородных звонков».
«Повторите имя и сообщите мне свой номер», — сказал системный администратор. Лже-Джонс дал ему номер и продолжил: «У вас есть высокоскоростные номера?».
«Подожди, приятель. Я должен проверить тебя по базе данных». Через некоторое время он сказал: «О.К., Джо. Скажи мне номер дома».
Атакующий тщательно подготовился и держал ответ наготове.
Сообщение от Митника
Не надейтесь, что сетевая защита и брандмауэры защитят вашу информацию. Следите за самым уязвимым местом. В большинстве случаев вы обнаружите, что уязвимость заключается в ваших людях.
«О.К., — сказал системный администратор, — ты убедил меня».
Это было просто. Системный администратор проверил имя «Джозеф Джонс», подразделение, номер, и « Джо» сообщил ему правильный ответ на тестовый вопрос. "Имя пользователя будет таким же, как и корпоративное, «jbjones», — сказал системный администратор, — и начальный пароль «changeme» («смени меня»).
Анализ обмана
С помощью пары звонков и 15 минут атакующий получил доступ к глобальной сети компании. В этой компании, как и во многих организациях, было то, что я называю «слабой безопасностью » (candy security), термином впервые использованным двумя исследователями из Bell Labs, Стивом Белловином (Steve Bellovin)и Стивеном Чесвиком (Steven Cheswick). Они описывали такую безопасность как «крепкая оболочка со слабым центром», похожую на конфеты M&M. Белловин и Чесвик доказывали, что внешней оболочки, брандмауэра, недостаточно для защиты, потому что взломщик способен обойти ее, а внутренние компьютерные системы защищены слабо. В большинстве случаев они защищаются недостаточно надежно.
Данная история подходит под определение. Имея номер для удаленного доступа и учетную запись, атакующему даже не надо было беспокоиться о проникновении через брандмауэр Интернет, и, будучи внутри, он легко мог скомпрометировать большинство систем во внутренней сети.
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
В конце февраля 2009 года в продаже на Amazon появилось долгожданное устройство для чтения электронных книг Kindle 2. Это событие вызвало бурю негодо
Электронная читалка - вещь очень хрупкая. Если с ней обращаться не правильно - она может сломаться. Чтобы этого не случилось, нужно придерживаться лиш
Большинство книг в сети интернет распространяется в формате FB2 (Fiction Book). Этот формат очень удобен для чтения. Файлы, в нем созданные, отличаютс
Популярность электронных книг у читателей неуклонно растет. Для доказательства этого мы провели маленький эксперимент. Из 10 людей, читающих в метро,
Файлы формата FB2 часто можно увидеть среди огромнейшего разнообразия текстовых форматов. Такая высокая популярность объясняется его предназначением.
Первую версию формата PDF (Portable Document Format) еще в 1993 году разработала фирма Adobe Systems. В 2006 году она уже разработала версию 1.7, а с
Фирма Apple порадовала пользователей iPad, выпустив под него красивую и удобную читалку iBooks.