Читаем Секреты супер хакера полностью

И еще: прежде чем приступать к атаке с помощью грубой силы, обзаведитесь модемом с самой высокой скоростью передачи, какой вам только удастся найти, даже если для этого придется одолжить его у друзей. Разница всего в несколько бодов значительно увеличивает скорость передачи. отражение атаки

Однажды, когда я был еще подростком, мы всей семьей отправились ужинать в ресторанчик "Попробуйте все". На самом деле я решил принять участие в походе, чтобы выяснить, сколько же я смогу съесть, но к третьему заказу нас начали утомлять удлиняющиеся периоды ожидания при неуклонно уменьшающихся порциях. Мой отец объяснил это следующим образом:

"Видишь ли, они делают так, чтобы ты не смог съесть слишком много. Ждать еды приходится все дольше и дольше, а самой еды становится все меньше и меньше." Не знаю, прав ли он был, но немного погодя мы и вправду решили, что не стоит ждать сорок минут, чтобы получить еще одну тарелку с едой.

Для отражения силовых атак специалисты используют тот же самый принцип, что и вышеупомянутый ресторан. Как я уже говорил, при достаточной настойчивости угадать легальную комбинацию имя-пароль, или открыть ее случайно - всего лишь дело времени. Отсюда следует, что предотвратить успешное завершение такой атаки можно, построив системные приглашения так, чтобы хакер устал и бросил свое дело, не доведя его до конца.

Наиболее распространенный способ зашиты - прерывание связи после нескольких неудачных попыток пользователя войти в систему. После этого компьютер может не давать разрешения на повторную связь в течение определенного промежутка времени. Недостаток этого способа в том, что он может причинить неудобство легальным пользователям - хотя уж лучше подождать несколько минут, чем войти в систему и обнаружить, что твои файлы испортил какой-то кракер.

Впервые услышав о социальной инженерии, большинство людей бывают слегка шокированы. Во всяком случае, я был шокирован. При слове "хакер" люди обычно представляют себе страждущего очкарика, который упорно и неустанно просиживает ночами за своим компьютером, в надежде наконец-то найти то самое единственное слово, которое откроет перед ним все технические секреты вселенной. Именно так и обстояли дела в недавнем прошлом, но потом это стало непрактичным. Конечно, грубые методы, вроде метода угадывания паролей путем перебора, представляют собой определенную ценность - ведь они являются основной частью арсенала любого хорошо экипированного хакера. Но пароль можно получить и другими путями; например, с помощью социальной инженерии.

"Социальная инженерия" - это попытка выведать у легального пользователя системы информацию, необходимую для прохождения защитного барьера данной системы. Этот метод еще называют "заболтать оператора". Социальная инженерия (СИ) может принимать различные формы и обличья. Здесь я приведу некоторые из них. Как вам вскоре станет ясно, для каждого способа существует уйма хитрых уловок и приемов. Некоторые приемы я подвергну рассмотрению, остальные можете додумывать самостоятельно.

Благородный метод

Хакеры, которым совесть не позволяет вызнавать пароли с помощью хитростей, все же могут безболезненно прибегать к одному из методов социальной инженерии - вежливо просить: "Ну, пожалуйста..." Лично до меня ни разу не доходила достоверная информация о том, что этот метод сработал, хотя поговаривают о хакерах, которым якобы удавалось узнать пароли, просто попросив об этом системных пользователей. По слухам, в подобных случаях системный оператор обычно получает по телефону или по электронной почте сообщение типа: "Я - хакер. Дайте мне пароль для нижнего уровня доступа, и я постараюсь использовать все свое мастерство, чтобы указать вам на недостатки вашей системы. Тогда вы сможете их исправить и уже не бояться злоумышленников - кракеров".

Другая разновидность этого метода - позвонить кому-нибудь (кому угодно, хотя бы той же секретарше в офисе), и просто спросить:

- Ой, а что вы набираете по утрам на компьютере, прежде чем приступить к работе?

Может ли это сработать? Что ж, вам потребуется определенная доля везения, чтобы напасть на такого (или такую), кто сыт по горло собственной работой и не особо осведомлен насчет правил безопасности. Минусы этого приема заключаются в том, что обман не всегда удается, а неудача может в дальнейшем осложнить вашу задачу. Лучше призвать на помощь свою актерскую жилку и попробовать разыграть по телефону роль кретина.

Хакер в роли неофита

В данном случае вы играете роль нового пользователя. Допустим, вы пытаетесь проникнуть в компьютерную систему какой-либо компании. На часах 8.55 утра. Вы звоните в их компьютерный отдел (из дома, или откуда-нибудь еще) и беседуете с неким сотрудником, представившись ему новым пользователем из другого отдела той же компании.

ЧЕЛОВЕК НА ДРУГОМ KOHЦE ПРОВОДА: Хэлло; компьютерный отдел, Ажек Чиппер у телефона.

ВЫ: Хэлло, Ажек, это Гари Харрис из отдела исследований. Не могли бы вы помочь мне с одной проблемой?

ДЖЕК: Не исключено... А в чем дело?