Подглядывание за Кевином
Много лет назад, когда я работал в небольшой организации, я начал замечать, что каждый раз, когда я входил в кабинет, в котором сидели еще три компьютерщика, а все вместе мы составляли департамент IT, один из них (я назову его Джо) тут же переключал монитор своего компьютера на другое приложение. Мне это показалось подозрительным. Когда это произошло еще дважды за один день, я понял, что мне необходимо выяснить, что происходит.Чем таким этот парень занимался, что он не хотел, чтобы я это увидел? Компьютер Джо являлся сервером, через который осуществлялся доступ к другим рабочим станциям, поэтому я установил программу мониторинга, которая позволяла мне шпионить за тем, что он делал. Эта программа действует подобно телекамере, установленной позади Джо, показывая мне то же самое, что он видел на своем мониторе. Мой стол стоял рядом с рабочим местом Джо. Я развернул свой монитор так, чтобы он не мог видеть мой экран, но в любой момент он мог повернуть голову и увидеть, что я за ним шпионю. Это не проблема: он был слишком увлечен тем, что он делал, чтобы что-то заметить. У меня отвисла челюсть, когда я это увидел. Пораженный, я смотрел, как этот ублюдок поднимает данные моей платежной ведомости. Он смотрел мою зарплату! К тому времени я работал в этой компании всего лишь несколько месяцев, и я решил, что Джо не оставляет в покое мысль, что я могу получать больше, чем он. Несколько минут спустя я увидел, что он загружал хакерские программы, используемые неопытными хакерами, которые не разбираются в программировании и подстройке этих программ под свои нужды. Это было глупо со стороны Джо, так как он не имел ни малейшего понятия, что рядом с ним сидит один из самых опытнейших хакеров Америки. Меня это развеселило. Теперь он уже знал размер моей зарплаты, поэтому было слишком поздно его останавливать. Кроме того, любой сотрудник, имеющий доступ к компьютерам Внутренней налоговой службы США или Управления социального обеспечения, мог посмотреть данные по зарплате. Я старался не подать виду, что я знаю, чем он занимается. Профессиональный социальный инженер никогда не рекламирует свои знания и способности. Вы все время хотите, чтобы люди немного недооценивали вас, не видели в вас угрозы для себя. Я позволил ему продолжать и смеялся про себя о том, что Джо думал, что он знает какие-то секреты про меня, в то время как козыри были у меня на руках: я знал, за что его можно будет привлечь к ответственности. Тогда я понял, что все трое моих сослуживцев из группы IT от нечего делать развлекали себя, выясняя, какую зарплату уносит домой та или иная миленькая секретарша или (для единственной девушки в группе) симпатичный парень, на которых они остановили свой взгляд. И они могли выяснить зарплату и поощрительные выплаты любому сотруднику, который их заинтересовал, включая руководящий состав компании. Анализируя обман Эта история освещает интересную проблему. Данные платежных ведомостей доступны людям, отвечающим за обслуживание компьютерных систем компании. Отсюда следует вывод: при подборе персонала необходимо четко уяснить, кому можно доверять подобную работу. В некоторых ситуациях сотрудники отдела IT не могут отказаться от соблазна сунуть нос в чужие дела. И они имеют возможность сделать это, потому что они наделены полномочиями, позволяющими им преодолеть любой контроль доступа к файлам. Одной из мер предосторожности может стать фиксация любых попыток доступа к секретным данным, например, таким, как платежные ведомости. Конечно, любой, кто наделен соответствующими полномочиями, может отключить журнал регистраций или стереть записи, указывающие на них, но каждая дополнительная мера защиты может послужить преградой для недобросовестных сотрудников. ©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.
|