Здавалка
Главная | Обратная связь

Рассказ Джо Харпера



Просто так, ради развлечения, семнадцатилетний Джо Харпер уже более года проникал в различные здания, иногда в дневное время, иногда по ночам. Сын музыканта и официантки из бара, которые работали по ночам, Джо почти все время был предоставлен сам себе. Его рассказ проливает свет на только что описанный инцидент.

* * *

Мой друг Кенни собирается стать пилотом вертолета. Поэтому он попросил меня провести его в цеха завода Скайуотчер, чтобы посмотреть, как собираются вертолеты. Он знает, что я раньше уже проникал в подобные места. Это выглядит очень захватывающе и вызывает приток адреналина, когда вы попадаете в места, где вам не разрешено находиться.

Ясно, что вы не можете просто взять и прийти на завод или в офисное здание. Это процесс необходимо обдумать, спланировать, провести полное исследование целевого объекта. Выяснить на Интернет-странице компании имена и должности, структуру и телефоны. Прочесть газетные вырезки и журнальные статьи. Тщательное исследование – это моя собственная гарантия безопасности, поэтому я могу разговаривать с любым человеком, который засомневается во мне, так как я обладаю таким же объемом знаний, что и любой сотрудник компании.

Итак, с чего начать? Сначала я воспользовался Интернетом, чтобы узнать, где расположены офисы компании, и увидел, что штаб-квартира корпорации расположена в Фениксе. Отлично. Я позвонил и попросил соединить меня с департаментом маркетинга; в любой компании есть подобный департамент. Ответившей женщине я сказал, что представляю компанию «Блю Пенсил Графикс», и хочу узнать, можем ли мы заинтересовать их своими услугами, и с кем я могу поговорить об этом. Она сказала, что с Томом Стилтоном. Я спросил его телефон, и она ответила, что они не дают подобную информацию, но она может меня переключить на него. Звонок был переключен на автоответчик, в сообщении говорилось: «Это Том Стилтон, добавочный номер 3147, оставьте, пожалуйста, сообщение». Конечно, они не дают внутренние номера телефонов, а этот парень оставляет его прямо в сообщении автоответчика. Здорово, теперь у меня есть имя и добавочный номер.

Еще один звонок, в тот же офис. «Здравствуйте, мне нужен был Том Стилтон, но его нет на месте. Я бы хотел кое-что узнать у его руководителя». Руководителя тоже не оказалось в офисе, но к тому времени, как я закончил разговор, я уже знал имя руководителя. И она также любезно оставила свой внутренний номер в сообщении автоответчика.

Теперь мы, возможно, могли пройти через пост охраны без проблем, но я собирался приехать на завод на машине, и мне нужно было подумать еще об одном препятствии на заводской парковке. Этим препятствием являлся охранник, проверяющий документы на въезде. А ночью, возможно, они записывали номера автомобилей, поэтому мне пришлось купить старые автомобильные номера на барахолке.

Но сначала мне нужно было узнать номер телефона на посту охраны. Я подождал какое-то время, чтобы, если я нарвусь опять на того же оператора, когда буду звонить в офис, она не узнала мой голос. Я позвонил и сказал: «К нам поступила жалоба, что телефон на посту охраны Ридж Роуд работает с перебоями – проблема еще не разрешена?» Она ответила, что не знает, но может соединить меня.

"Пост Ридж Роуд, Райан слушает", ответил парень. "Здравствуйте, Райан, это Бен. У вас были проблемы с телефонной связью?" – спросил я. Он был всего лишь охранником на низкооплачиваемой должности, но, вероятно, очень хорошо обученным, потому что он сразу спросил: "Какой Бен – назовите вашу фамилию".

Я продолжал, сделав вид, что не слышал его вопроса: "Кто-то нам позвонил и сказал, что у вас проблемы с телефоном".

Я слышал в трубку, как он спросил своих коллег: «Эй, Брюс, Роджер, у нас были проблемы с телефоном?» Он снова взял трубку и сказал:
"Нет, у нас все в порядке".

"Сколько телефонных линий у вас на посту?"
"Две", - сказал он, забыв о моей фамилии.
"По которой вы сейчас со мной разговариваете?"
"3140".
Есть! "И оба телефона работают нормально?"
"Вроде да."
"ОК", - сказал я. "Послушайте, Том, если у вас будут проблемы со связью, звоните нам в Телеком в любое время. Это наша работа".

Мы с приятелем решили посетить завод следующей же ночью. Позже, во второй половине дня, я позвонил на охрану, представившись именем того парня из маркетинга. Я сказал: "Здравствуйте, это Том Стилтон из Маркетинга. Мы горим со сроками проекта, поэтому должны приехать два парня, чтобы нам помочь. Они приедут приблизительно в час или два ночи. Вы еще будете на смене?"

Он был счастлив сказать, что нет, он сменяется в полночь.

Я попросил его: "Хорошо, тогда оставьте сообщение для сменщика. Когда появятся два парня и скажут, что они приехали к Тому Стилтону, просто пропустите их, ОК?"

"Хорошо", ответил он. То, что мне было нужно. Он записал мое имя, департамент, внутренний номер и сказал, что позаботится об этом.

Мы подъехали к воротам сразу после двух, я назвал имя Тома Стилтона, и сонный охранник открыл ворота и сказал, где нам нужно припарковаться.

Когда мы вошли в здание, на проходной был еще один пост охраны, с книгой регистрации посещений во внерабочее время. Я сказал охраннику, что к утру мне срочно нужно подготовить отчет, а это мой друг, который хотел осмотреть завод. "Он помешан на вертолетах", сказал я. "Собирается учиться на пилота".
Он спросил мое удостоверение. Я полез в карман, затем стал шарить по другим, и сказал, что, возможно, забыл его в машине, пойду, возьму его, и что это займет десять минут. Он сказал, что, ладно, можно без удостоверения, нужно тогда расписаться в книге регистрации посещений.

Вы можете себе представить, каким развлечением для нас была прогулка по сборочному цеху. До тех пор, пока нас не остановил Лерой и потребовал пойти с ним в отдел охраны.

Когда дело оборачивается таким образом, я делаю вид, что очень раздражен и возмущен. Как будто я действительно являюсь тем, кем представился, и меня раздражает, что они мне не верят.

Когда они сказали, что, может быть, стоит позвонить той женщине – моему «руководителю» - и стали искать ее домашний телефон в базе данных сотрудников, я стоял и думал: «Самое время, чтобы смыться отсюда». Но ведь был еще пост охраны на въезде: даже если мы выберемся из здания, они закроют ворота, и мы не сможем выйти с территории.

Когда Лерой позвонил женщине, которая являлась боссом Стилтона, и передал мне трубку, женщина стала возмущенно кричать: «Кто это, кто вы?!» А я продолжал говорить, как будто у нас был обычный спокойный разговор, а потом повесил трубку.

Сколько может уйти времени на то, чтобы найти человека, который даст вам номер телефона компании среди ночи? Я прикинул, что у нас есть пятнадцать минут, чтобы убраться отсюда до того, как эта женщина узнает номер телефона поста охраны и позвонит сюда.

Мы вышли отсюда настолько быстро, насколько могли, не подавая виду, что мы очень торопимся. Естественно, мы обрадовались, когда охранник на воротах пропустил нас без всяких допросов.

Анализируя обман

Тот факт, что в реальной истории, на которой основан этот рассказ, злоумышленниками являлись действительно подростки, не имеет большого значения.

Это вторжение для них было всего лишь забавой, только для того, чтобы убедиться, что они смогут сделать это. Но, если это было так легко для пары подростков, это могло бы быть гораздо проще для взрослых воров, промышленных шпионов или террористов.

Как могли трое опытных охранников так просто взять и отпустить этих двоих нарушителей? И не просто каких-то нарушителей, а таких молодых, что у каждого здравомыслящего человека возникли бы подозрения на счет их?

Сначала у Лероя возникли основания для подозрения. Он действовал правильно, проводив их в отдел охраны, расспросив парня, который назвался Томом Стилтоном, и, проверив имена и телефоны, которые он назвал. Он также действовал правильно, когда позвонил руководителю этого парня.

Но, в конце концов, его смутило самоуверенное и возмущенное поведение этого молодого человека. Его поведение было не похоже на то, которое можно ожидать от грабителя или вторгшегося злоумышленника – так может вести себя только действительный работник… или тот, кто выдает себя за такового.

Лерой должен был быть обучен полагаться на основательную проверку личностей, а не на собственные ощущения или домыслы.
Почему он не стал более подозрителен, когда молодой человек по окончании разговора с руководителем повесил трубку, вместо того, чтобы передать ее обратно Лерою, чтобы он мог услышать подтверждение непосредственно от Джуди Андервуд, и ее заверения относительно причин, которые заставили находиться этого парня на заводе поздней ночью?

Обман, на который попался Лерой, был настолько очевиден, что он должен был бы это заметить. Но посмотрите на происшедшее с его точки зрения: человек без высшего образования, крайне заинтересованный в этой работе, сомневающийся, не нарвется ли он на неприятности, если второй раз среди ночи побеспокоит своим звонком менеджера компании. Если бы вы были на его месте, стали бы вы звонить еще раз?

Но, конечно, второй звонок не был единственным возможным действием с его стороны. Что еще мог сделать в данном случае этот охранник? Еще до того, как звонить менеджеру, он мог бы попросить у этих парней какой-либо удостоверяющий личность документ с фотографией; они приехали на завод на машине, значит, по крайней мере, у одного из них должно быть водительское удостоверение. Сразу бы стало понятно, что изначально они представились фальшивыми именами (профессиональный жулик ради такого случая позаботился бы о фальшивом удостоверении личности, но эти подростки не подумали об этом). В любом случае, Лерой должен был бы проверить их удостоверения и зафиксировать данные на бумаге. Если они настаивали, что у них нет с собой удостоверения, он должен был проводить их до машины, чтобы проверить наличие бейджа компании, который «Том Стилтон» якобы оставил в машине.

После телефонного звонка один из охранников должен был бы все время быть рядом с этой парой, пока они не вышли из здания. Затем пройти с ними до машины и записать ее номер. Если бы он был достаточно внимателен, то заметил бы, что на номере (который этот мошенник купил на барахолке) отсутствует регистрационная наклейка – и это могло послужить достаточным основанием, чтобы задержать парней для дальнейшего расследования.

Сообщение Митника

Люди, способные манипулировать поведением других людей, обычно являются привлекающими внимание личностями. Они энергичны и обладают хорошо поставленной речью. социальные инженеры также обладают способностью отвлекать внимание людей от их мыслительного процесса и заставлять их сотрудничать. Думать, что какой-то конкретный человек не способен попасть под влияние подобных манипуляций – значит, недооценивать способности и природную интуицию социального инженера.

Профессиональный социальный инженер же, в свою очередь, всегда очень хорошо рассчитывает свои возможности оказания влияния на противника.

Разгребание мусора

Термин «разгребание мусора» описывает процесс поиска ценной информации в мусорных корзинах компании. Объем информации, помогающий вам изучить жертву (человека или компанию), добытый таким способом, способен поразить воображение.

Большинство людей не задумываются о тех вещах, которые они выбрасывают дома: телефонные счета, выписки со счетов кредитных карт, банковских счетов, материалов, имеющих отношение к работе, и т.д.

Соответственно, на работе сотрудники должны быть предупреждены, что на самом деле люди могут рыться в мусорных корзинах, чтобы выудить оттуда полезную и выгодную для них информацию.

Когда я учился в старших классах, я иногда копался в мусорных баках, которые стояли на заднем дворе местной телефонной компании – часто один, но иногда с друзьями, которые разделяли мой интерес в изучении информации о телефонной компании. Вы становитесь опытным «мусорщиком», когда познаете несколько вещей, например, что нужно сделать, чтобы избегать контакта с пакетами из уборных, или о необходимости пользоваться перчатками.

Это занятие не из приятных, но результат был более чем редкостным – телефонный справочник внутренних номеров компании, инструкции по работе с компьютерами, списки сотрудников, выброшенные распечатки, в которых объяснялось, как настраивать оборудование коммутаторов, и многое другое.

Я совместил график своих ночных посещений со временем выхода новых инструкций и справочников, так как в мусорных контейнерах было полно старых справочников, которые бездумно выбрасывались. Но и в другое время я их тоже проверял, пытаясь найти какие-либо записки, письма, отчеты, и все такое прочее, что могло бы представлять какую-либо ценность.

По прибытии я находил несколько картонных упаковочных коробок, доставал их и ставил рядом. Если кто-то обнаруживал меня, что иногда случалось, я говорил, что мой друг переезжает, и я собираю картонные коробки, чтобы помочь ему упаковать вещи. Охранники никогда не замечали, что в коробках, которые я относил домой, лежат документы. Иногда охранник требовал меня убираться прочь, поэтому я просто перемещался к офису другой телефонной компании.

Я не знаю, как дела обстоят сегодня, но тогда было легко определить, в каких мешках могла содержаться интересная информация. Мусор, скапливающийся после уборки помещений, и отходы из кафетерия были упакованы в большие мешки, в то время как офисные отходы были собраны в одноразовых мешках, которые уборщики по отдельности вытаскивали из офисных корзин и плотно перевязывали.

Однажды, когда мы с друзьями копались в контейнерах, то наткнулись на листы бумаги, разорванной вручную. И не просто разорванные: кто-то
постарался порвать их на маленькие кусочки, которые, к счастью, находились в одном пакете. Мы забрали этот пакет, высыпали все это на стол, иначали собирать их по частям.

Мы все были любителями паззлов-головоломок, так что для нас было просто собрать эту мозаику в единое целое. И мы получили больше, чем просто вознаграждение детского любопытства. По окончании перед нами предстал полный список учетных записей и паролей к одной из важнейших компьютерных сетей компании.

Стоили ли наши действия того риска и усилий? Вы скажете, конечно. Но больше, чем вы думаете, потому что риск был равен нулю. Это было правдой тогда, и в наши дни все еще действует правило: если вы не наносите никому ущерба, копание в чьем-то мусоре является на 100 процентов легальным.

Конечно, не только телефонные мошенники и хакеры копаются в мусорных баках. Этим повсеместно и регулярно занимается полиция, поэтому очень много преступников, от главарей мафии до мелких воришек были осуждены благодаря уликам, найденным в их мусоре. К этому методу также в течение многих лет прибегают различные разведывательные службы.

Конечно, эти действия не приемлемы для Джеймса Бонда – в кино он предстает этаким героем, обманывающим и наказывающим негодяев, или проводящим свободное время с красавицей в постели, нежели чем стоящим на коленях и копающимся в мусоре. Шпионы в реальной жизни гораздо менее брезгливы, если среди банановых шкурок, обрывков газет и прочего мусора может находиться что-нибудь важное. Особенно, если такой способ добывания информации не подвергает их риску.

LINGO
Разгребание мусора - способ извлечения злоумышленниками не уничтоженной своевременно конфиденциальной информации из виртуальных мусорных корзин защищенных компьютерных систем или из обычных мусорных контейнеров.

Деньги за мусор

Корпорации тоже играют в игры с «разгребанием мусора». В июне 2000 газеты писали о том, что корпорация Оракл (Oracle) (президент которой, Ларри Эллисон, является самым известным и откровенным противником корпорации Майкрософт) наняла детективное агентство, которая была потом изобличена. По всей вероятности, сыщикам нужен был мусор одной из подведомственных Майкрософту организаций, компании АСТ, но они, естественно, не хотели быть пойманными. Согласно газетным статьям, детективное агентство послало женщину, которая предложила уборщикам 60 долл. за то, чтобы получить бумажный мусор компании АСТ. Они отказались от ее предложения. Тогда она вернулась следующей ночью, повысив ставки и предложив 500 долл. уборщикам и 200 долл. начальнику смены.

Уборщики снова отказались и сдали ее полиции.

Ведущий онлайновый журналист Деклан МакКулла по аналогии с литературным произведением озаглавил статью на новостном сайте Wired News, освещающую этот случай, как «Оракл, которая шпионила за Майкрософт». Журнал Time опубликовал дискредитирующую статью о Президенте корпорации Оракл, назвав ее просто «Любопытный Ларри».

Анализируя обман

Исходя из описанного мной моего опыта и опыта компании Оракл, вы могли бы подумать, зачем кому-то, подвергая себя риску, красть чьи-то мусорные корзины.

Ответ, я думаю, в том, что риск при этом равен нулю, а выгода может быть значительна. Если вы хотите подкупить уборщиков, ваши шансы, может быть, вырастут, но для того, кто не боится немного запачкаться, давать кому-либо взятку совершенно не нужно.

Естественно, для социального инженера копание в мусоре имеет свою выгоду. Он может раскопать достаточно информации, чтобы успешно начать штурм на целевую компанию, включая различные записки, повестки собраний, письма, а также выяснить имена, департаменты, должности, телефоны, и закрепление проектных групп. Также в мусоре можно найти организационные графики и структуру компании, графики командировок, и прочую подобную информацию. Все эти детали могут казаться обыденными и ничего не значащими для работников компании, но для атакующего подобная информация может иметь решающее значение.

Марк Джозеф Эдвардс в своей книге «Интернет-безопасность в системе Windows NT» говорит о том, что «целые отчеты и планы становились
недействительными из-за паролей, записанных на клочках бумаги, сообщений с телефонными номерами, записанных на автоответчиках, украденных папок с документами, дискет и пленок, которые не были своевременно стерты или уничтожены – в общем, всего того, что могло помочь потенциальному злоумышленнику».

Писатель подходит к вопросу: «А кто те люди, которые работают у вас в штате уборщиков? Вы решили, им не будет позволено входить в серверную комнату, но не забывайте про другие мусорные корзины. Если федеральные службы считают необходимым проверять людей, которые имеют доступ к их мусорным корзинам и шредерам, возможно, вам тоже следует так поступить».

Сообщение Митника

Ваши мусорные корзины могут оказаться сокровищем для ваших врагов. Мы не придаем большого значения документам и материалам, которые мы выбрасываем дома, так зачем надеяться, что на работе люди будут относиться по-другому к выбрасываемым материалам. Все это говорит о необходимости пояснения людям об опасности (недобросовестные люди, копающиеся в поисках важной информации) и уязвимости (конфиденциальная информация, которая не была уничтожена в шредере или стерта).







©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.