Униженный начальник
Никто не предал значения тому, что Харлан Фортис пришел как обычно утром в понедельник на работу в Управление автомагистралей округа, и сказал, что в спешке забыл свой бейдж дома. Женщина-охранник в течение всех двух лет, что работала здесь, каждый рабочий день видела Харлана. Она выписала ему временный пропуск и пропустила его. Через два дня случилась ужасная история, которая распространилась по всему управлению подобно пожару. Половина людей, которые услышали ее, говорили, что это не может быть правдой. Остальные не знали, что делать – громко смеяться или жалеть беднягу. В конце концов, Джордж Адамсон был добрейшей и сочувствующей личностью, лучшим руководителем управления из всех, когда-либо находившихся на этом посту. Он не заслужил того, что с ним произошло. Проблемы начались, когда вечером в пятницу Джордж вызвал Харлана в свой кабинет, и сказал ему настолько тактично, как мог, что со следующего понедельника Харлан переводиться на другую работу. В Управление санитарного контроля. Для Харлана это было не увольнение. Гораздо хуже: это было оскорбительно. Он не мог просто так смириться с этим. Тем же вечером он сидел на своем крыльце и наблюдал за движением автомобилей на дороге. В конце концов, он увидел соседского мальчика Дэвида, который увлекался компьютерными играми, едущего на своем мопеде из школы домой. Он остановил Дэвида, предложил ему «Маунтин Дью», который он купил специально для этого, и предложил ему сделку: новейшая игровая приставка и шесть игр взамен на некоторую компьютерную помощь и обещание держать рот на замке. После того, как Харлан объяснил ему суть, не вдаваясь в подробности, Дэвид согласился. Он объяснил, что нужно сделать Харлану. Ему необходимо было купить модем, придти в офис и подключить этот модем к какому-нибудь компьютеру с ближайшей телефонной розеткой. Если он оставит модем под столом, вряд ли кто это заметит. Далее начиналась рискованная часть задачи. Харлану нужно было установить на этом компьютере программу удаленного доступа и запустить ее. В любой момент мог появиться человек, работающий в этом отделе, или кто-нибудь мог проходить мимо и увидеть его в чужом кабинете. Он был настолько напряжен, что едва мог прочитать инструкции, которые написал ему мальчик. Но он все сделал правильно и вышел из здания незамеченным. Бомба Дэвид зашел к нему вечером после ужина. Они сели возле компьютера Харлана, и в течение нескольких минут парень через модем получил доступ к рабочему компьютеру Джорджа Адамсона. Это было совсем несложно, потому что Джордж никогда не придавал значения таким мерам безопасности, как смена паролей, и всегда просил того или иного человека помочь ему загрузить или отправить файл по электронной почте. Поэтому, все в офисе знали его пароль. Целью их охоты являлся файл BudgetSlides2002.ppt, который парень загрузил на компьютер Харлана. Затем Харлан сказал парню отправляться домой, и вернуться через пару часов. Когда Дэвид вернулся, Харлан попросил его еще раз подключиться к локальной сети Автодорожного управления и перезаписать этот файл обратно, затерев старую версию. Харлан показал Дэвиду игровую приставку, и пообещал, что, если все пройдет нормально, он получит ее на следующий день. «Сюрприз» Джорджа Вы, наверное, думаете, что нет более скучного занятия, чем слушание по бюджету, но зал заседаний в Совете округа был заполнен журналистами, Джордж всегда чувствовал, что для него на подобных заседаниях многое поставлено на карту. Совет округа распоряжался бюджетом, и, если Джордж не представит убедительную презентацию, финансирование Автомобильного управления может быть урезано. Тогда каждый начнет жаловаться на плохие дороги, слишком частые светофоры и опасные перекрестки, и все обвинения будут направлены в сторону Джорджа; тогда жизнь не покажется ему сладкой на весь предстоящий год. Но в тот вечер он чувствовал себя очень уверенно. Он работал целых шесть недель над этой презентацией и визуализацией ее в PowerPoint, которую он опробовал на своей жене, своих заместителях, и близких друзьях. Все согласились, что за все время это была самая лучшая его презентация. Первые три изображения в презентации были удачными и привлекли внимание всех членов Совета. Он очень успешно начал свою презентацию. Но затем все пошло непредсказуемым образом. Четвертой картинкой в презентации должно было быть изображение заката на новой автомагистрали, открытой в прошлом году. Вместо этого появилось что-то другое, что всех привело в замешательство. Фотография из журнала типа «Penthouse». Он услышал возгласы удивления в аудитории и быстро нажал кнопку на его ноутбуке, чтобы перейти к следующему изображению. Оно было еще хуже. Он все еще пытался переключиться на другие картинки, когда кто-то в аудитории отключил проектор из розетки, и председатель собрания громко ударил молотком и еще громче прокричал, что собрание отложено. Анализируя обман Воспользовавшись помощью хакера-подростка, оскорбленный сотрудник получил доступ в компьютер руководителя своего управления, скачал очень важную презентацию PowerPoint, и заменил некоторые из слайдов изображениями определенного оскорбительного характера. Затем он вернул подправленную презентацию в компьютер руководителю. Подключившись при помощи модема и телефонной линии к одному из офисных компьютеров, молодой хакер смог войти в сеть извне. Парень настроил программу удаленного доступа таким образом, что, подключившись к компьютеру, он получил полный доступ к любым файлам. Так как этот компьютер был подключен к локальной сети организации, и он знал логин и пароль своего руководителя, он легко смог получить доступ к его файлам. Учитывая время, затраченное на сканирование изображений из журнала, вся операция заняла всего лишь несколько часов. В результате репутация Сообщение Митника Основное число работников, которых перевели, уволили или понизили в должности, не представляют проблемы. Однако всегда может найтись один человек, который заставит понять руководство компании, какие шаги нужно было предпринять, чтобы избежать неприятностей, но будет уже слишком поздно. В ожидании встречи Приятным осенним утром Питер Милтон зашел в офис регионального представительства компании «Honorable Auto Parts» в Денвере, крупного "Как вы умудряетесь делать так много дел одновременно?" сказал Питер, когда очередь дошла до него. Она мило улыбнулась. Он сказал ей, что работает в департаменте маркетинга в Далласском представительстве компании, и объяснил, что собирается встретиться с Майком Тэлботтом из представительства в Атланте. "Нам нужно вместе сегодня встретиться с одним клиентом", сказал он. "Я подожду его в вестибюле". "Маркетинг", произнесла она мечтательным голосом, и Питер, улыбнувшись, ждал, что она скажет дальше. "Если бы я поступила в колледж, я выбрала бы это. Я бы хотела работать в службе маркетинга". Питер сел напротив ее в вестибюле, открыл свой ноутбук, и начал работать. Через пятнадцать минут он снова подошел к стойке. Кайла позвонила человеку, который координирует график переговорных, и забронировала для него одну из комнат. Следуя примеру компаний Силиконовой Долины (компания Apple, возможно, была первопроходцем), некоторые переговорные комнаты были обозначены именами мультипликационных персонажей, другие – названиями ресторанных сетей, именами кинозвезд или героев комиксов. Девушка записала его, сказала, что ему нужна переговорная «Минни Маус», и объяснила, как ее найти. Он нашел комнату, расположился там, и подключил свой ноутбук к сетевому порту. Вам уже стало понятно? Правильно – мошенник подключился к локальной сети компании, не защищенной внешним брандмауэром. Рассказ Энтони Я думаю, что Энтони Лэйка можно назвать ленивым бизнесменом. Он не хотел работать на других, решив, что будет работать на себя; он хотел открыть магазин, где он мог бы сидеть на одном месте целый день, и ему не пришлось бы мотаться по окрестностям. Но только он хотел, естественно, чтобы этот бизнес еще и приносил доходы. Чем может торговать его магазин? Ответ не заставил себя ждать. Он разбирался в машинах и ремонте, значит, это будет магазин автозапчастей. А как добиться гарантии успеха? Ответ был для него словно вспышка: необходимо убедить оптового поставщика запчастей, компанию «Honorable Auto Parts», продать ему весь необходимый товар без торговых наценок. Естественно, по своему желанию они никогда не сделают этого. Но Энтони умел обманывать людей, а его друг Микки знал, как взламывать чужие компьютеры, и вместе они выработали хитрый план. Он представился Питером Милтоном, сотрудником компании, проник в офис компании и подключил свой ноутбук к локальной сети. Для начала неплохо, но это был лишь первый шаг. То, что ему предстояло сделать, было задачей не из легких, особенно потому, что Энтони установил для себя пятнадцатиминутный лимит – дольше он не мог задерживаться, так как подверг бы себя в таком случае большому риску. В предварительном звонке он представился сотрудником технической поддержки компании, которая поставляла им компьютерную технику. «Ваша компания подписала двухгодичный контракт на техническую поддержку, поэтому мы заносим вас в нашу базу данных, чтобы сообщить вам, когда выйдут последние обновленные версии программного обеспечения, которым вы пользуетесь. Поэтому мне необходимо знать, в каких приложениях вы работаете». Ему предоставили перечень программ, и его друг-бухгалтер указал ему то приложение, которое ему нужно было – MAS 90, программу, которая содержала перечень поставщиков, а также скидки и условия расчетов с ними. Располагая этой информацией, он воспользовался программой, которая позволила ему идентифицировать все компьютеры, и ему не составило труда определить сервер финансового департамента. Воспользовавшись арсеналом хакерских программ на своем ноутбуке, он загрузил одну из них, которая помогла ему определить авторизованных пользователей, подключенных к этому серверу. Затем он запустил программу-переборщик распространенных паролей, таких как «blank» (пустой) или «password» (пароль). «Password» подошел. У людей отсутствует воображение, когда им приходится выдумывать пароли. Прошло только шесть минут, а половина дела была сделана. Он проник в сервер. Еще три минуты понадобилось, чтобы аккуратно добавить его новую компанию, адрес, телефон и контактное имя в перечень клиентов. А теперь очередь дошла до самого решающего поля, того, ради чего все это затеялось. Энтони указал, что все товары продаются его компании с наценкой всего 1 процент от закупочной стоимости. Всего десять минут – и дело сделано. Он остановился, чтобы поблагодарить Кайлу за то, что она позволила ему проверить почту. Он также сказал, что дозвонился до Майка Тэлбота, у них изменились планы, и они встретятся в офисе клиента. И что он не забудет порекомендовать ее на должность в департаменте маркетинга. Объясните своим людям, что нельзя «судить о книге исключительно по внешнему виду - если человек одет в дорогой костюм и ухожен, это не значит, что он автоматически заслуживает большего доверия. Анализируя обман Мошенник, представившийся Питером Милтоном, воспользовался двумя психологическими методами – один был спланирован заранее, другой был сымпровизирован по ходу действия. Он оделся так, как обычно одеваются менеджеры, зарабатывающие неплохие деньги. Костюм и галстук, ухоженные и прекрасно уложенные волосы – кажется, это мелочи, но они способны произвести хорошее впечатление. Однажды я и сам это понял. Когда я работал непродолжительное время программистом в компании «GTE California» - крупной телефонной компании, которой больше не существует – я обнаружил, что, если я приду на работу без бейджа, в аккуратной, но повседневной одежде – скажем, в футболке, джинсах и спортивной обуви – меня обязательно остановят и начнутся расспросы. Где ваш бейдж, кто вы такой, где работаете? В другой раз я прошел в костюме и галстуке, выглядя очень респектабельно, но, опять же, без бейджа. Я применил старый, хорошо известный метод, растворившись в толпе людей, входящих в здание. Я присоединился к группе людей, и сделал вид, что болтаю с ними о чем-то, что я являюсь одним из них. Я, конечно, прошел внутрь, и даже если бы охранники заметили, что у меня не было бейджа, они не стали бы останавливать меня, потому что я выглядел, как человек из администрации, и я был с людьми, у которых были бейджи. На основании своего опыта я убедился, насколько предсказуемым является поведение охраны. Как и большинство из нас, они судили о людях по их внешнему виду – один из моментов уязвимости, которым так умело пользуются социальные инженеры. Атакующий воспользовался вторым своим психологическим оружием, когда заметил, насколько умело идут дела у секретарши. Общаясь с несколькими людьми одновременно, она не выглядела раздражительной, напротив, старалась показать каждому, что они находятся под полным ее вниманием. Он принял это как знак того, что она может быть заинтересована в самореализации, в продвижении вверх по служебной лестнице. И когда он сказал, что работает в департаменте маркетинга, он ждал ее реакции, пытаясь увидеть признаки устанавливающегося между ними взаимопонимания. И она подтвердила его догадку. Это был плюс для атакующего, так как теперь он мог манипулировать ею, пообещав, что поможет перевести ее на лучшую работу. (Естественно, если бы она сказала, что хотела бы работать в финансовом департаменте, например, он бы ответил, что у него есть и там контакты, и что он сможет ей помочь устроиться туда). Мошенникам также нравится другой психологический прием, использованный в этой истории: посторенние доверия при помощи двухэтапной атаки. Сначала он непринужденно поболтал с ней о работе в маркетинге, применив также прием «упоминания имени» - назвав как бы вскользь имя другого реального сотрудника, как и то имя, которым он представился, тоже не было вымышленным. Теперь он мог бы сразу продолжать разговор просьбой о предоставлении комнаты для переговоров. Но вместо этого, он сел напротив и сделал вид, что работает, ожидая своего коллегу – еще один способ рассеять возможные подозрения, так как он не слонялся по офису. На самом деле, он сидел очень долго; социальные инженеры знают, что лучше остаться на месте преступления дольше, чем это им необходимо. В качестве примечания: согласно действующему законодательству, Энтони не совершил преступление, когда вошел в вестибюль. Он не совершил преступление, воспользовавшись именем настоящего работника. Он не совершил преступление, когда попросил воспользоваться переговорной комнатой. Он также не совершил преступление, когда подключился к локальной сети компании и искал нужный ему компьютер. Он преступил закон только в тот момент, когда взломал парольную защиту и вторгся в компьютер финансового департамента. Разрешение доступа незнакомцу в помещение, где он может подключить свой ноутбук к корпоративной сети, повышает риск нарушения системы безопасности компании. Конечно, для сотрудников, особенно не работающих постоянно в офисе, или из удаленных представительств, не существует причин отказа проверить свою электронную почту в переговорной комнате. Но это можно позволить только тогда, когда посетитель доказал свои полномочия доверенного сотрудника, или корпоративная сеть разделена на сегменты для предотвращения неавторизованных подключений. В противном случае, это может оказаться слабым звеном, позволяющим посторонним получить доступ к корпоративным файлам. ©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.
|