Искусство вторжения - Кевин Митник

Один из способов снизить вероятность проникновения в помещения компании — это изменить то, что социальные психологи называют нормами вежливости. При помощи специальных тренировок надо научить сотрудников компании преодолевать психологический дискомфорт, который большинство из нас чувствует, спрашивая незнакомого человека без бейджа на территории компании, что он здесь делает и кто он такой. Сотрудников надо просто научить, как задавать подобные вопросы вежливо, особенно в тех случаях, когда ясно, что человек старается прорваться внутрь охраняемого помещения, Правило должно быть очень простым: если у человека нет бейджа, то отправляйте его к секьюрити, но никогда не позволяйте подобным типам проникнуть на территорию компании.

Изготовление фальшивых бейджей компании — очень простой способ для проникновения в помещение компании, которое считается защищенным. Даже охранники далеко не всегда рассматривают бейдж достаточно пристально, чтобы успеть разобраться — настоящий он или поддельный. Подделывать их станет труднее, если в компании будет введено правило (и будет отслеживаться его соблюдение!), что все сотрудники, работающие постоянно и по контракту, будут прятать свои бейджи, покидая помещение компании, лишая потенциальных злоумышленников возможности изучить их в подробностях.

Мы прекрасно знаем, что охранники никогда не будут изучать бейджи сотрудников слишком внимательно (что, кроме всего прочего, просто невозможно, когда в начале и в конце рабочего дня у проходной выстраивается вереница сотрудников). Поэтому нужны другие методы защиты от нежелательных пришельцев. Более высокую степень защиты обеспечивают электронные считыватели карточек. Но охранника надо научить задавать вежливые вопросы тем, чья карточка не распознается этим считывателем. Как произошло в только что рассказанной истории, проблемой может быть не ошибка считывателя, а попытка атакующего проникнуть в охраняемое помещение.

Тренировки сотрудников компании в области безопасности становятся все популярнее, но им не хватает последовательности. Даже в компаниях с очень обширными подобными программами недооценивается необходимость специальной подготовки менеджеров для контроля над всеми их подчиненными. Компании, где сотрудники не проходят специальных тренировок — это компании со слабой безопасностью.

ПОСЛЕСЛОВИЕ

Не так часто читателям предоставляется возможность заглянуть в «творческие лаборатории» тех, кто внес значительный вклад в арсенал хакерских средств. Имена Mudge и l0phtCrack начертаны на скрижалях истории.

С точки зрения Дастина Дюкса из Callisma компании, которые просят провести у них проверку безопасности, часто идут наперекор своим собственным интересам. Вы никогда не узнаете, насколько уязвима ваша компания, пока не разрешите провести у вас полномасштабную проверку безо всяких ограничений, включая методы социальной инженерии и физического проникновения в сочетании с техническими атаками.

Глава 7.

Вы уверены, что ваш банк безопасен, не правда ли?

Если вы хотите защитить вашу систему от «дурака», то всегда найдется один такой, изобретательность которого вы и предвидеть не могли.

Юхан

Даже зная о том, что многие организации не предпринимают необходимых мер по обеспечению своей безопасности, чтобы закрыть все двери перед хакерами, мы склонны думать, что уж наши-то деньги находятся в безопасном месте, так что никто не может добраться до нашего банковского счета или даже (совсем уж жуткий бред!) перевести деньги с него себе в карман.

Плохая новость заключается в том, что безопасность во многих банках и других финансовых организациях не так хороша, как думают об этом люди, ответственные за нее. Следующие истории иллюстрируют это утверждение.

В ДАЛЕКОЙ ЭСТОНИИ

Мы расскажем о том, что любой человек, даже не хакер, может проникнуть в банк. Это плохая новость как для банков, т а к и для любого из нас.

Я никогда не был в Эстонии, может даже никогда и не попаду туда. Это название ассоциируется у нас с древними замками, окруженными темными лесами и колоритными крестьянами — в общем, с такими местами, куда путешественнику не следует отправляться без достаточного запаса осиновых колов и серебряных пуль. Это невежественное представление (укрепившееся благодаря малобюджетным фильмам ужасов, снятым в лесах и замках Восточной Эстонии) совсем не соответствует действительности.

На самом деле все обстоит иначе. Эстония гораздо более современная страна, чем я представлял себе. Я узнал это от хакера по имени Юхан. который живет там. Двадцатитрехлетний Юхан живет в центре города, один в просторной четырехкомнатной квартире с «действительно высокими потолками и красивыми стенами».

Эстония, как я узнал, — совсем небольшая страна с населением 1,3 миллиона человек (это примерно население такого города, как Филадельфия), расположенная между Россией и Финским заливом. Таллинн, столицу Эстонии, до сих пор уродуют унылые коробки многоквартирных домов, неряшливые памятники тому, как канувшая в Лету Советская империя пыталась дать своим гражданам максимально экономичное жилье.

Юхан жаловался: «Когда люди хотят узнать что-то об Эстонии, они иногда спрашивают: „Есть ли у вас врачи? Есть ли у вас университет?“ А ведь 1 мая 2004 года Эстония стала членом Евросоюза». Многие эстонцы, по его словам, работают изо всех сил, чтобы перебраться из старых квартир советских времен в небольшие собственные коттеджи в тихом пригороде. Они мечтают о том моменте, когда смогут сесть за руль «надежной иномарки». На самом деле, у многих уже есть автомобили и все больше людей перебираются в собственные дома, «ситуация улучшается каждый год». И в технологическом смысле страна также не является отсталой, как объясняет Юхан.

«Еще в начале девяностых годов Эстония начала внедрять у себя инфраструктуру электронных банков, ATM и Интернет-банкинг. Это очень современные технологии. На самом деле эстонские компании предоставляют компьютерные технологии и услуги другим европейским странам».

Вы, может, вообразили себе некий хакерский рай — повсеместный Интернет и неадекватное отношение к безопасности? По словам Юхана, дело обстоит совсем не так.

«Что касается Интернет-безопасности, то здесь все обстоит хорошо, благодаря тому, что размеры страны и коммуникаций невелики. Для поставщиков услуг здесь очень удобно внедрять новые технологии. Что касается финансового сектора, я думаю, что на возможность налаживания связей с Америкой повлиял и тот факт, что здесь никогда не было традиции использования банковских чеков, с помощью которых вы привыкли расплачиваться в магазинах».

По его словам, очень мало эстонцев вообще имело представление о том, что это такое: «большинство людей имеют счета, но не представляют себе, как выглядит банковский чек». Совсем не потому, что их не интересуют финансовые проблемы, а потому, что, по крайней мере, в этой сфере они находятся впереди Америки, объясняет Юхан.

«У нас никогда не было развитой банковской инфраструктуры. Уже в начале девяностых годов мы начали внедрять электронный и Интернет-банкинг. Подавляющее большинство населения и предпринимателей переводят деньги друг другу при помощи Интернет-банкинга».

По европейской терминологии, они пользуются кредитными или банковскими карточками.

«Гораздо удобнее расплачиваться при помощи банковской карточки или Интернет-банкинга, поэтому у людей нет причин пользоваться чеками. В отличие от Америки, почти каждый здесь использует Интернет для осуществления банковских операций и оплаты своих счетов».

БАНК PEROGIE

Юхан серьезно занимается компьютерами, начиная с десяти лет, но он не считает себя хакером, а лишь офисным работником, серьезно думающим о безопасности. Общаться с ним очень легко: английский язык он начал учить со второго класса школы. Ему посчастливилось много путешествовать и учиться за рубежом, что дало ему возможность и дальше совершенствовать свой английский.

Не так давно в Эстонии была очень суровая зима, почти с полярной погодой: всюду намело сугробы, температура опускалась до минус 25 градусов по Цельсию. Стояли такие морозы, что даже местные жители, которые привыкли к холодным зимам, не выходили из дома без особой необходимости. Для любителей компьютеров это был прекрасный повод безвылазно сидеть перед своими мониторами в поисках чего-нибудь поистине достойного их внимания.

Одним из них был Юхан, Он набрел на Интернет-сайт, который мы будет называть банком Perogie. Этот сайт выглядел вполне достойной мишенью.

«Я зашел в интерактивный раздел часто задаваемых вопросов и ответов — F A Q — в котором можно было задавать вопросы. У меня е с т ь привычка листать страницы Интернет-сайтов — без особой цели, просто ради любопытства».