Читаем Искусство вторжения полностью

• укрепите все клиентские системы, которые имеют доступ к важной информации или вычислительным ресурсам. Не забывайте, что опытный хакер в качестве мишеней часто выбирает клиентские системы, чтобы проникнуть в их соединение или из проверенного компьютера связываться с корпоративной сетью;

• используйте устройства для выявления вторжения, чтобы идентифицировать подозрительный трафик или попытки использовать известные лазейки — такие системы могут с равным успехом выявить как недобросовестного сотрудника самой компании, так и атакующего, которому уже удалось проникнуть за внешний периметр безопасности; • постоянно проверяйте работу операционной системы и важнейших приложений, обеспечьте создание записей о работе хостов, где нет большого числа работающих приложений и минимальное число пользователей.

Эта глава отличается от других: мы знакомимся с самым опасным типом атаки, который трудно обнаружить, а еще труднее от него защититься. Социальный инженер, использующий искусство обмана в качестве главного оружия, основывает свои действия на самых лучших человеческих качествах: стремлении помочь ближнему, вежливости, желанию работать в команде, отзывчивости и естественном желании довести дело до конца.

Как и в большинстве угрожающих ситуаций в жизни, первый шаг к обороне — это понимание методик, которыми пользуются наши противники. Поэтому мы расскажем сейчас о целом ряде психологических приемов, которые используют особенности человеческой природы и позволяют социальным инженерам быть столь успешными.

Начнем мы с рассказа о том, как они действуют. Он основан на реальной истории, которая, с одной стороны, увлекательна, а с другой — представляет собой настоящее пособие по социальной инженерии. Мы сочли ее настолько показательной, что включили в книгу, несмотря на некоторые сомнения. — автор либо случайно опустил некоторые детали, поскольку он был занят другим делом, либо он рассказал только часть истории. И все же, даже если кое-что в этом рассказе и выдумано, он прекрасно демонстрирует, как важно защищаться от атак социальных инженеров.

И, как во всех главах этой книги, некоторые детали изменены, чтобы защитить как атакующего, так и атакованную компанию.

СОЦИАЛЬНЫЙ ИНЖЕНЕР ЗА РАБОТОЙ

Летом 2002 года консультант, которого мы будем называть Урли, был нанят компанией казино из Лас-Вегаса для проведения аудита безопасности. Руководство активно занималось перестройкой системы обеспечения безопасности, и наняло его, чтобы он «попытался обмануть всех и вся», надеясь на основании этого опыта укрепить инфраструктуру компании. Урли был хорошим профессионалом, но мало знал о специфике игорного бизнеса.

Посвятив неделю глубокому погружению в исследование культуры стриптиза, — отдав, таким образом, дань Лас-Вегасу, он решил заняться делом. Он обычно приступает к своей миссии до назначенного срока, да и закончить старается тоже до запланированного начала, потому что давно понял, что руководство ничего не говорит своим сотрудникам о проводимой проверке только до тех пор, пока она не началась. «Даже когда они не должны никому ничего говорить, они обычно делают это». Но он легко справлялся с этой проблемой, начиная свою работу за две недели до назначенного срока.

Он приехал и поселился в отеле в девять вечера, после чего отправился в первое казино, находящееся в его списке, чтобы начать разведку на местности. Поскольку раньше он почти не сталкивался с казино, этот визит был для него настоящим открытием. Первое, что противоречило образу казино, созданному в его представлении телеканалом Travel, были сотрудники этого заведения: если на телеэкране они выглядели элитными экспертами в области безопасности, то в реальности они «были либо полусонными, либо совершенно безразличными к своей работе». Поэтому они становились легкой мишенью для простейшей игры на доверии, которая даже и близко не приближалась к тому, что он предварительно планировал.