Социальная инженерия и социальные хакеры - Игорь Симдянов

Примечание

Подробнее о том, как выведывается информация на презентациях – в главе 2.

…К сожалению, многие люди крайне беспечны, и не хотят заботиться о сохранности информации. Причем часто даже в очень крупных организациях это "не хотение" простирается от самых рядовых сотрудников до генерального директора. И при таком раскладе один системный администратор или начальник службы безопасности, будь они даже полными параноиками, помешанными на защите информации, ситуацию не спасут. Потому что на данный момент, увы, даже те из руководителей, которые понимают, что информацию защищать надо, не всегда осознают еще одну вещь: что защита информации должна быть системной, т. е. проводится по всем возможным каналам утечки. Вы можете сколько угодно защищать компьютерную сеть, но если люди получают низкую зарплату и ненавидят предприятие, на котором они работают, хлеще, чем советский народ гитлеровских оккупантов, то на эту защиту можно даже не тратить денег. Другой пример несистемности можно нередко наблюдать, ожидая приема у дверей какого-нибудь директора. Очень нередки случаи, когда те, кто конструирует систему безопасности, не учитывают такую вещь: директора имеют свойство говорить громко, иногда срываясь на крик. Двери же в кабинет генерального директора часто настолько звукопроницаемы, что совещающихся в "генеральском" кабинете можно слушать, совершенно не напрягаясь, даже если они говорят шепотом. Как-то я[1] приехал в Москву к одному "близкому к телу" директору проконсультироваться с ним на предмет, что же ожидает дальше нашу отрасль. А у него как раз случилось важное незапланированное совещание, и меня попросили подождать. Посидев 15 минут у его кабинета, я понял, что узнал гораздо больше того, что хотел узнать, и в принципе можно уезжать. Остался только из приличия. Пикантность ситуации в том, что когда дошла очередь до меня, на мои вопросы директор почти не ответил, говоря, что, мол, сам понимаешь, очень конфиденциально, я и сам пока не очень-то в курсе… И так далее. Тем не менее, я его очень горячо и любезно поблагодарил.

…Возвращаясь к базам данных, содержащих конфиденциальные сведения, следует отметить, что после вышенаписанного полностью понятно, кто и как их крадет. Обыкновенные люди их крадут. Очень часто – сами же сотрудники предприятий. Недавно вот осудили таможенника в чине подполковника, который снабжал рынок таможенными базами данных. В соседнем регионе поймали за руку начальника отдела налоговой инспекции, который за умеренную плату сливал данные местным криминальным браткам. И так далее.

Для чего их воруют и кому это нужно? Нужно это многим. От млада до велика. Нужно как рядовым гражданам, так и "финансовым акулам". Если начать с граждан, то не вдаваясь в глубинные рассуждения об особенностях русского менталитета, скажем лишь, что пока в справочных службах наших "телекомов" сидят крикливые и всем недовольные барышни, то даже самому законопослушному и честному человеку гораздо проще для своих нервов пойти и купить эту базу номеров телефонов организаций на рынке пиратского ПО, чем позвонить на справочную службу.

Это по понятным причинам нужно всем тем, кто занимается конкурентной разведкой.

Это нужно криминалитету. К примеру, каждый уважающий себя угонщик автомобилей имеет базу ГИБДД. Криминалу также немаловажно знать, не обделяют ли его те, кого он "крышует". Домушники находят себе жертв с помощью баз данных.

Это нужно финансовым гигантам, практикующим практику рейдерских наездов.

Примечание

Рейдерские наезды – это такая практика в новой российской истории, при которой, грубо говоря, большая компания прибирает к рукам те компании, которые меньше с помощью так называемых рейдеров. Допустим, некая большая компания захотела купить какую-то другую компанию, которая поменьше. Для этого она делает заказ рейдерам, – людям, которые построят план захвата компании и его исполнят. Подробно о рейдерах рассказано в главе 2.

…Продолжать можно долго. В общем, рынок обширен и спрос на продукцию есть. А спрос всегда рождает предложение. Это один из основных законов экономики. Если есть спрос, обязательно, рано или поздно, дорогое или дешевое, но предложение будет. Каким бы этот спрос не был. Даже если этот спрос очень кощунственный, к примеру, спрос на детские органы. Страшнее спрос сложно придумать. А все равно предложение есть. Что уж тут говорить про какие-то базы данных.

Примечание

В настоящее время цена вопроса на воровство одной базы данных крупного предприятия составляет около $2000.

Можно ли вообще прекратить воровство баз данных? На государственном уровне это можно сделать, наверное, только ужесточив наказание за данное преступление. Хотелось бы посмотреть на того, кто осмелился бы своровать какую-то базу в советские времена. Правда, "ужесточив", это не совсем тот термин: дело в том, что сейчас базы данных можно красть практически безнаказанно. Ну чего стоит любому сотруднику практически любой структуры вынести эту самую базу? Правильно – ничего не стоит. В худшем случае уволят. Но это еще надо умудриться попасться. Дошло до того, что согласно публикации в "Комсомольской правде" от 03.03.06 базами данных приторговывает даже Московский центр экономической безопасности, который, судя из названия, должен эти самые базы охранять. Поэтому, как всегда, на государство, конечно, стоит уповать, но рассчитывать на него не стоит. И некоторые компании сами, не дожидаясь государства, пошли другими путями. К примеру, по пути дискредитации этого рынка и тех, кто на нем работает. Проще говоря, сливают обыкновенную "дезу", действуя по принципу, если государство не может нас защитить, то приходится самим учиться играть в шпионские игры. И многие неплохо учатся. Я знаю случай, когда одна компания, узнав, что ее "заказали", сама подготовила всю необходимую информацию, которую и украл злоумышленник. Когда "заказчик" понял, в чем дело, он, говорят, был вне себя. А цена вопроса была высока. История умалчивает, что было с теми, кто эту информацию добывал, но, по слухам, после этого случая количество желающих, в том числе и сотрудников, добывать конфиденциальную информацию о деятельности этой компании резко уменьшилось.

Кстати, хотя и говорят, что нет подзаконных актов, направленных на то, чтобы прекратить воровство баз данных, дело, зачастую, совсем не в них. Да, с подзаконными актами действительно проблема. Но в большинстве краж, как мы уже говорили ранее, виноваты сами организации. Кстати, в судах практически нет обращений от организаций, у которых крадут информацию. Что объясняется одной простой вещью: никто не хочет выносить сор из избы. Что, в общем-то, понятно, но, с другой стороны, очень сильно упрощает дело злоумышленникам. Дело еще и в том, что даже в том случае, когда фирме точно известно, что ее сотрудник похитил информацию, и она желает подать на этого сотрудника в суд, вероятность того, что фирма выиграет дело очень мала. По причине все той же беспечности: очень минимальное количество фирм оформляет договоры с сотрудниками должным образом, т. е. так, чтобы в нем было прописано, что сотрудник ознакомлен с тем, что имеет дело с конфиденциальной информацией и что ему будет за то, если он эту информацию разгласит.

Основные отличия социальной инженерии от социального программирования

Кроме социальной инженерии, мы будем еще употреблять термин "социальное программирование", которое, хотя и кажется на первый взгляд похожим на социальную инженерию, на самом деле от нее очень отличается. Тому, чтобы прекратить эту путаницу в терминах, и посвящен этот раздел.

Социальную инженерию можно определить как манипулирование человеком или группой людей с целью взлома систем безопасности и похищения важной информации. Социальное программирование же может применяться безотносительно от какого-либо взлома, а для чего угодно, к примеру, для обуздания агрессивной толпы или обеспечения победы какого-либо кандидата на очередных выборах, или наоборот, для очернения кандидата и для того, чтобы миролюбивую толпу сделать агрессивной. Важно то, что здесь уже речи о той или иной ЭВМ нет и в помине. Таким образом, термин социальная инженерия мы будем употреблять тогда, когда речь идет об атаке на человека, который является частью компьютерной системы, как это показано на рис. 1.1.

Примечание

Иногда кроме термина социальная инженерия употребляется также термин обратная социальная инженерия. Суть в том, что при обратной социальной инженерии вы человека напрямую ни к чему не принуждаете, а создаете такие условия, что он сам к вам обращается. К примеру, если вам нужно прийти в организацию под видом телефонного мастера, вы можете просто прийти и начать проверять телефонные коробки. Это в данной терминологии – социальная инженерия. А можно поступить и по-другому. Вы создаете такую ситуацию, при которой в какой-то конкретной организации вас знают как телефонного мастера. После этого вы ждете, когда что-то случиться с телефонами, или сами делаете с ними что-то, и спокойно ждете, когда вам позвонят и попросят прийти. Это и есть обратная социальная инженерия. Таким образом, не вы сами куда-то ни с того ни с сего приходите, а вас просят прийти. Конечно, второй случай намного предпочтительнее, т. к. снимает с вас вообще все подозрения. Грамотные социоинженерные подходы именно так и строятся, поэтому этот термин мы считаем излишним, и его употреблять не будем.