Читаем Искусство обмана полностью

С помощью пары звонков и 15 минут атакующий получил доступ к глобальной сети компании. В этой компании, как и во многих организациях, было то, что я называю «слабой безопасностью » (candy security), термином впервые использованным двумя исследователями из Bell Labs, Стивом Белловином (Steve Bellovin)и Стивеном Чесвиком (Steven Cheswick). Они описывали такую безопасность как «крепкая оболочка со слабым центром», похожую на конфеты M&M. Белловин и Чесвик доказывали, что внешней оболочки, брандмауэра, недостаточно для защиты, потому что взломщик способен обойти ее, а внутренние компьютерные системы защищены слабо. В большинстве случаев они защищаются недостаточно надежно.

Данная история подходит под определение. Имея номер для удаленного доступа и учетную запись, атакующему даже не надо было беспокоиться о проникновении через брандмауэр Интернет, и, будучи внутри, он легко мог скомпрометировать большинство систем во внутренней сети.

По моим данным, эта хитрость сработала с одним из крупнейших производителей компьютерных программ. Вы подумаете, что системных администраторов таких компаний, вероятно, учат обнаруживать уловки такого типа. Мой опыт подсказывает, что никто полностью не защищен от способного и убедительного социального инженера.

Lingo

«Слабая безопасность» (candy security) — термин, введенный Белловином и Чесвиком из Bell Labs для описания сценария безопасности, где внешняя граница, такая как брандмауэр, прочна, но инфраструктура, расположенная за ним, слаба.

Speakeasy security — «прозрачная» безопасность, которая основана на знании, где находится нужная информация, и использовании слова или имени для доступа к информации или компьютерной системе.

«Прозрачная» безопасность (Speakeasy security)

В дни существования — ночных клубов (speakeasies), где разливался джин — потенциальный клиент получал доступ, найдя дверь и постучав в нее. Через несколько минут , открывалось маленькое окошко и показывалось устрашающее бандитское лицо. Если посетитель был «своим», он называл имя завсегдатая (часто было достаточно сказать: «меня отправил Джо»), после чего вышибала открывал дверь и разрешал войти.

Хитрость была в том, что нужно было знать, где находится заведение, так как дверь ничем не выделялась, и хозяева не размещали вывеску, указывающую на свое присутствие.

Я видел это в фильмах

Вот пример из известного фильма, который многие люди помнят. В "Трех днях Кондора " главный герой Тернер (роль играет Роберт Рэдфорд) работает с небольшой исследовательской фирмой по контракту с ЦРУ. Однажды он возвращается с обеда и обнаруживает, что всех его сотрудников застрелили. Ему нужно было выяснить, кто это сделал и почему, зная, что в это время те плохие парни разыскивают его.

Позже он сумел узнать телефонный номер одного из парней. Но кто он такой и как найти его? Ему повезло: сценарист, Дэвид Рэйфил, к счастью, снабдил его опытом, который включает подготовку в войсках связи, дающую ему представление о работе телефонных компаний. Располагая номером парня, Тернер точно знает, что нужно делать дальше. В фильме сцена выглядит таким образом:

Тернер повторно соединяется и набирает другой номер

звонок! звонок! Затем:

Женский голос (фрагмент). Служба имен и адресов (CNA — Customer Name and Address bureau). Миссис Колеман.

Тернер. Миссис Колеман, это Гарольд Томас, абонентская служба. Имя и адрес абонента, пожалуйста, для 202-555-7389.

Женский голос (фрагмент). Одну минуту.

(почти сразу)

Леонард Этвуд, Маккенси Лэйн, 765, Мэриленд. (Leonard Atwood, 765 MacKensie Lane, Chevy Chase, Maryland).

Можете вы осознать случившееся, не обращая внимания на то, что сценарист ошибочно использует междугородный код Вашингтона, округ Колумбия, для адреса в Мэриленде?

Тернер, благодаря опыту линейного монтера, знает, по какому номеру надо звонить в офис компании, которая называется «Служба имен и адресов». Служба имен и адресов абонентов предназначена для удобства монтажников и другого персонала компании. Монтажник может позвонить в службу и назвать номер. Служащий сообщит имя и адрес человека, которому принадлежит телефон.

Обман телефонной компании

В реальной жизни номер службы имен и адресов — тщательно охраняемая тайна. Хотя телефонные компании в наши дни не так легко предоставляют информацию, в то же время они используют разновидность «прозрачной» безопасности, которую специалисты по безопасности называют«security through obscurity» ( безопасность, основанная на незнании). Предполагается, что любой, кто позвонил в службу имен и адресов и владеет соответствующей терминологией (например, «имя и адрес для 555-1234, пожалуйста»), является человеком, имеющим право на получение информации.

Lingo