рефераты конспекты курсовые дипломные лекции шпоры

Реферат Курсовая Конспект

Искусство обмана

Искусство обмана - раздел Информатика, Искусство Обмана ...

Искусство обмана

Содержание

Неопубликованная глава (Unprinted Chapter 1)
Введение (Foreword)
Предисловие (Preface)
Вступление (Introduction)

Часть 1: За сценой (Part 1 Behind the Scenes)
Глава 1: Самое слабое звено в безопасности (Chapter 1 Security's Weakest Link)

Часть 2:Искусство атакующего (Part 2 The Art of the Attacker)
Глава 2: Когда безвредная информация опасна (Chapter 2 When Innocuous Information Isn't)
Глава 3: Прямая атака: просто попроси (Chapter 3 The Direct Attack: Just Asking for it)
Глава 4: Внушая доверие (Chapter 4 Building Trust)
Глава 5: "Разрешите Вам помочь" (Chapter 5 "Let Me Help You")
Глава 6: "Не могли бы Вы помочь?" (Chapter 6 "Can You Help Me?")
Глава 7: Фальшивые сайты и опасные приложения (Chapter 7 "Phony Sites and Dangerous Attachments")
Глава 8: Используя чувство симпатии, вины и запугивание (Chapter 8 Using Sympathy, Guilt and Intimidation)
Глава 9: Ответный удар (Chapter 9 The Reverse Sting)

Часть 3: Угроза вторжения (Part 3 Intruder Alert)
Глава 10: Проникновение на территорию (Chapter 10 Entering the Premises) Увы, не переведено
Глава 11: Сочетая технологию и социальную инженерию (Chapter 11 Combining Technology and Social Engineering)
Глава 12: Атака на служащего низшего звена (Chapter 12 Attacks on the Entry-Level Employee)
Глава 13: Умные мошенники (Chapter 13 Clever Cons)
Глава 14: Промышленный шпионаж (Chapter 14 Industrial Espionage)

Часть 4: Обход препятствий (Part 4 Raising the Bar)
Глава 15: Знание об информационной безопасности и тренировки (Chapter 15 Information Security Awareness and Training)
Глава 16: Рекомендуемая политика корпоративной информационной безопасности (Chapter 16 Recommended Corporate Information Security Policies) Тоже не переведено

Краткое описание безопасности в организации (Security at a Glance)
Библиография (Sources)
Посвящения (Acknowledgments)

+Бонус! Статья по СИ!

 

Неопубликованная глава

(Unprinted Chapter 1)

Перевод: Yarlan Zey (yarlan[at]pisem.net)
(Это оригинальная глава, значительно сокращенная в опубликованной версии книги.)

Я неохотно писал этот раздел, потому что я был уверен, что он будет звучать эгоистично. Ну, хорошо, он эгоистичен. Но со мной связывались буквально сотни людей, которые хотели знать "кто такой Кевин Митник?". Если вам безразлично, обратитесь к Главе 2. Для всех остальных, кого это ещё волнует, вот мой рассказ.

Рассказ Кевина

Что касается моего права на быстрое испытание? Каждые шесть месяцев втечение нескольких лет я стоял перед выбором: подписать бумагу об отказе от… Одной из моих любимейших шуток был захват неавторизованного доступа к… Я изучал всё, что касается телефонов - не только электронику, коммутаторы и компьютеры, но также организацию…

Джон Марков (John Markoff) - медиа-мошенник

Самый разыскиваемый в киберпространстве

"... Кажется, силы правопорядка не способны поймать его ...", писал Марков. Статья специально представляла меня как Общественного Врага… В чём была моя выгода от участия? Ни в чём. Я не видел причины рассказывать им… Я приближался к концу моего условного заключения за взлом корпоративной сети Digital Equipment Corporation (DEC). Тем…

Финальные выводы

Несмотря на клеветническое и возмутительное описание Джона Маркова, мои преступления были простыми преступлениями в хакинге и фрикинге. С момента ареста все действия по отношению ко мне были незаконны, включая вмешательство в личную жизнь. Предположения, сделанные в статье Маркова без суждений, причин или доказательств, что я лишил кого-то денег, повредил компьютеры или мошенничал, были полностью лживы и не подтверждены свидетельствами. Мои преступления мотивировались любопытством: я хотел знать столько, сколько мог знать о работе телефонных сетей и о входах и выходах в компьютерной безопасности. Из ребёнка, который любил совершать магические уловки, я стал самым печально известным хакером в мире, которого боялись корпорации и правительство. Оглядываясь на последние 30 лет моей жизни, я допускаю, что, опираясь на моё любопытство, желание изучать технологию и хороший интеллектуальный вызов, я сделал несколько чрезвычайно плохих решений. Сейчас я стал другим человеком. Я обратил свои таланты и обширное знание, которое я собрал о безопасности и тактике социальной инженерии, на помощь правительству, компаниям и индивидуумам, чтобы обнаруживать и отвечать на угрозы информационной безопасности. Эта книга - ещё одна возможность использовать мой опыт, чтобы помочь другим избежать злонамеренных информационных воров. Думаю, что истории будут приятными, предупреждающими и поучительными.

Введение

(Foreword)

Перевод: Minux (marianna_owen[at]pochta.ru)

Мы, люди, рождены со внутренним двигателем для изучения окружения. Будучи молодыми, Кевин Митник и я серьезно интересовались миром и страстно стремились самоутвердиться. Мы нередко были вознаграждены за наши попытки изучать новые вещи, решать загадки, а также побеждать в играх. Но в тоже самое время мир со своими правилами ограничивал свободу наших исследований. Для наших самых смелых ученых и технологических предпринимателей, а также людей подобных Кевину Митнику, следующих внутреннему зову ,предоставляют нам величайшие потрясения, позволяя нам завершить вещи, которые другим казались невозможными.

Кевин Митник - один из самых хороших людей, которых я знаю. Спросите его, и он откровенно скажет вам, что то, чем он занимался - социальная инженерия - включает в себя обман людей. Но Кевин уже не социальный инженер. И даже когда он им был, его целью никогда не было стать богатым или же нанести вред другим. Но это не говорит о том, что нет опасных и разрушительных преступников, которые используют социальную инженерию для нанесения вреда другим. Фактически, это то из-за чего Кевин и написал эту книгу - чтобы предупредить вас о них.

"Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров. В этой сознательно-безопасной эре мы тратим огромные деньги на технологии защиты наших компьютерных сетей и данных. Эта книга показывает, как легко можно обманывать посвященных лиц и всю эту
технологическую защиту.

Работаете ли вы в правительстве или же занимаетесь бизнесом, эта книга снабдит вас качественным планом, поможет вам понять, как социальные инженеры работают, и что вы можете сделать, чтобы помешать им. Используя придуманные истории, которые одновременно развлекают и просвещают, Кевин и его соавтор Билл Симон воплотили в жизнь
технику социальной инженерии. После каждой истории они предлагают практические указания, чтобы помочь защититься нарушений и угроз, которые они описывают.

Технологические меры безопасности оставляют большие пробелы, которые люди, как Кевин, помогут вам закрыть. Прочитав эту книгу, вы поймете, что нам всем надо следовать советам Митника.

- Стив Возняк

Предисловие

(Preface)

Перевод: Yarlan Zey (yarlan[at]pisem.net)

Некоторые хакеры стирают файлы или целые жёсткие диски - их называют кракерами или вандалами. Некоторые хакеры-новички не заботятся об изучении технологии, а просто скачивают хакерский инструментарий для взлома компьютерных систем - их называют скрипт-кидди. Более опытные хакеры с навыками в программировании разрабатывают хакерские программы и рассылают их по сетям и ББС. И ещё, есть индивиды, которые не интересуются технологией, но используют компьютер просто как средство для хищения денег, товаров и услуг.

Не смотря на созданный средствами массовой информации миф о Кевине Митнике, я - не злонамеренный хакер.

Но я начну всё по порядку.

С чего всё начиналось

Возможно, мой жизненный путь сложился ещё с раннего детства. Я был счастливым ребёнком, но меня мучала скука. После того как от нас ушёл отец, когда мне было три года, моя мать стала работать официанткой, чтобы прокормить нас. Тогда меня воспитывала одна мать, которая и так почти весь день тратила на изматывающую работу с сумасшедшим графиком, и я почти всё свободное время был предоставлен сам себе. Я сам был своей сиделкой.

Проживание в долине Сан-Фернандо открывало мне возможность для исследования всего Лос-Анджелеса, и к 12 годам я обнаружил способ, как можно путешествовать по огромной равнине Л.А. бесплатно. Однажды во время поездки в автобусе я понял, что вся защита купленных мной автобусных билетиков от подделки основывалась на уникальной модели бумажного дырокола, которым водитель отмечал на билете день, время и маршрут. Знакомый водитель, отвечая на мои тщательно сформулированные вопросы, сказал мне, где можно достать этот дырокол.

Предполагается, что со своим билетом вы можете пересесть на другой автобус и продолжить поездку в том же направлении, но я выработал метод, как можно проехать куда угодно совершенно бесплатно. Для начала я отправился в автобусный парк за чистыми билетами.

Мусорные корзины у автобусного терминала всегда переполнены книгами с целой половиной неиспользованных билетов, которые водители выкидывали в конце маршрута. При помощи дырокола я мог наделать из чистых билетов своих собственных маршрутов и отправиться путешествовать в любую точку, куда ходили автобусы Л.А. Вскоре я помнил почти все расписания автобусов всей системы. (Это был первый пример моей удивительной памяти запоминать специфическую информацию. Сейчас я всё ещё помню телефонные номера, пароли и другие по-видимому, тривиальные вещи столь же далёкие как и моё детство).

Другим моим увлечением, также обнаруженным в раннем возрасте, была практическая магия (фокусы). Узнав, как действует та или иная уловка, я отрабатывал её много раз, пока не достигал совершенства. В какой-то степени именно через фокусы я открыл удовольствие от получения секретных знаний.

От телефонного фрикинга к хакингу

Это было моё вступление в социальную инженерию, так сказать. Мой друг и ещё один телефонный фрикер, которого я повстречал немного позднее, давали… Итак, мой жизненный путь на ближайшие 15 лет был предначертан. В средней школе… Я стал жадно поглощать всё, что мог узнать о телефонах: не только об электронике, коммутаторах и компьютерах, но также…

Становление социальным инженером

Для меня не было ничего сложного стать профессионалом в социальной инженерии. Мои предки со стороны отца были потомственными торговцами, поэтому… Возможно, вы скажете, что искусству обмана соответствуют две рабочих… Я работал над развитием навыков в моём ремесле, если я могу называть это ремеслом, следующим образом - я выбирал…

Финальные выводы

После ареста я подтвердил, что мои действия были незаконны, и что я совершал вторжения в личную жизнь.

Мои преступления мотивировались любопытством. Я хотел знать столько, сколько мог о том, как работают телефонные сети и входы-выходы в компьютерной безопасности. Из ребёнка, который любил показывать магические фокусы, я превратился в самого печально известного хакера в мире, которого боялись корпорации и правительство. Бросая взгляд на свою жизнь за последние 30 лет, я признаю, что, идя на поводу у любопытства, желания изучать технологию и интеллектуального вызова, я принял несколько чрезвычайно плохих решений,

Сейчас я изменился. Я обратил свои таланты и обширные знания об информационной безопасности и тактике социальной инженерии на помощь правительству, бизнесу и индивидам, чтобы помочь им предотвращать, обнаруживать и отвечать на угрозы информационной безопасности.

Эта книга - ещё одна возможность использовать мой опыт, чтобы помочь другим людям избежать злонамеренных информационных воров. Я надеюсь, вы найдёте истории приятными и поучительными.

Вступление

Перевод: Yarlan Zey (yarlan[at]pisem.net) Эта книга содержит исчерпывающие сведения об информационной безопасности и… В первой части я покажу самое слабое звено в безопасности и объясню, почему вы и ваша компания подвержены риску атак…

Взлом кода

Он работал с этой компанией по контракту и занимался разработкой системы для резервного копирования данных из этого помещения на случай, если… В телеграфном помещении работали некоторые служащие, которые не утруждали себя… Зайдя в комнату, он немного повозился со своей работой, удостоверившись, что система резервного копирования правильно…

Заслуживая скрытность

Стенли Рифкин использовал искусство обмана - навыки и технику, которая сегодня зовётся социальной инженерией. Скрупулёзный план и хорошо подвешенный… И это то, о чём эта книга - о технике социальной инженерии (в которой ваш… Характер угрозы

Растущее беспокойство

Мой собственный опыт подсказывает мне, что числа в отчётах вроде этих несколько раздуты. Я с подозрением отношусь к людям, которые делают обзор. Но… Коммерческие продукты по безопасности, применяемые в большинстве компаний,… Технологии, вроде устройств для аутентификации (для проверки идентичности), контроля доступа (для управления доступом…

Наш национальный характер

Мы знаем, что не все люди добрые и честные, но слишком часто мы поступаем таким образом, будто это неправда. Эта прекрасная невинность - образ жизни… Большинство людей думают, что их никто не обманет, опираясь на веру, что…

Организационная невинность

Но когда Интернет стал использоваться для электронной коммерции, опасность слабой безопасности электронного мира стала драматична. При этом,… Напимер, посмотрите на наши аэропорты сегодня. Безопасность стала… Та же проблема существует в правительственных, бизнес - и образовательных учреждениях по всему миру. Не смотря на…

Анализ обмана

Первая банковская служащая подтвердила термин для описания номера идентификации, используемого для звонков в CreditChex: Merchant ID. Вторая выдала… Всё это было положено в основу для третьего звонка. У Грейса было всё… Помимо хороших навыков в краже информации, которыми обладает любой хороший карманник, Грейс обладал талантом незаметно…

Сообщение от Митника

Подобно кусочкам паззла, каждый кусок информации может быть несущественным сам по себе. Однако когда эти куски соединяются вместе, появляется ясная картина. В данном случае картиной, которую увидел социальный инженер, была полная внутренняя структура компании.

Анализ обмана

И ещё один инструмент, существенный элемент, который нелегко достаётся – навыки социального инженера в манипулировании, появляющиеся после обширной… Ещё одна «ничего не стоящая» информация Помимо номера расчётного центра и внутренних номеров, какая еще, по-видимому, бесполезная информация может быть…

Телефонный звонок Питера Абеля

Питер любезно сказал свой номер. А почему нет? Он пишет его почти на каждой персональной форме, когда их заполняет, многие люди в компании имеют к… Ответ нетрудно предсказать. Два или три куска информации - это иногда всё, что… Если бы вчера позвонил кто-нибудь и сказал, что он был из другого отдела вашей компании, и, учитывая вероятную…

Сообщение от Митника

Предотвращение обмана Ваша компания ответственна за то, чтобы предупредить работников насколько… Примите к сведению эти шаги для защиты вашей компании от распространения кажущейся безвредной информации: Отдел…

Сообщение от Митника

Как показано в историях в этой главе, кажущаяся безвредной информация может быть ключом к самым существенным секретам компании. Глава 3: Прямая атака: просто попроси (Chapter 3 The Direct Attack: Just Asking for it)

Номер, пожалуйста

«Это Пол Энтони, кабельный монтер. Послушайте, здесь загорелась распределительная коробка. Полицейские считают, кто-то пытался поджечь собственный…

Сообщение от Митника

В человеческой натуре заложено доверять, особенно когда просьба кажется обоснованной. Социальные инженеры используют это, чтобы эксплуатировать свои жертвы и достичь своих целей.

Анализ обмана

Юноша в бегах Человек, которого мы назовем Фрэнк Парсонс, был в бегах долгие годы, находясь…

Сообщение от Митника

Это было все, что нужно было знать Фрэнку. На него не было записей в этом штате, поэтому он заполнил анкету, был принят на работу, и никто не… На пороге Несмотря на миф о безбумажном офисе, компании продолжают печатать стопки бумаг каждый день. Печатная информация в в…

Обман с номерами обратного вызова

Сообщение от Митника

Обучение безопасности в рамках политики компании по защите информации должно проводиться для всех сотрудников, а не только для служащих, у которых есть электронный или физический доступ к ИТ-активам компании.

Афера Стива

Тихим осенним вечером в южной Калифорнии, парень, которого я назову Стив, звонит в центральный офис небольшой телефонной компании, здание, от… Заговаривание зубов (Отвлекающая болтовня) Не только активы компании находятся под угрозой сценария социальной инженерии. Иногда жертвами являются клиенты…

История Дженни Эктон

Проект Арт Сили

Со мной связался человек, который писал книгу о кабинете министров в годы правления Никсона. Он искал того, кто мог бы найти сенсационную новость о…

Сообщение от Митника

Анализ обмана

Предотвращение обмана

Глава 4: Внушая доверие (Chapter 4 Building Trust) Перевод: (Теневой Георг, Whitewoolf[at]ukr.net, ICQ 118145).

История Долли Лоннеган.

Люди не выписывают чеки, чтобы покрыть их долги, когда им не везет или они поступают глупо за игрой в покер. Каждый знает это. Почему эти старые… Этот парень не имел денег, так что они взяли чек. Я спрашиваю вас! Надо было… Естественно, он обманул. Чего вы еще ожидали? Потом они позвонили мне; могу ли я помочь? Я не закрываю двери перед…

Анализ обмана

И почему она помогла ему – она уже знала его. Она только познакомилась с ним через телефон, но они установили деловую дружбу, которая является…

Сообщение от Митника

Вариации по теме: Сбор кредитных карт Строя доверие не обязательно требуется делать целую серию звонков, как в…

Сюрприз для Папы

«Единственное место, где я сделал это, была Видео Студия», - сказал мистер Конклин, назвав ту самую сеть видео магазинов. "Но я проверяю мои… “Уверен", сказал Генри, "но как только у них появится твой номер,… “Ты имеешь в виду плохого служащего”?

Анализ обмана

Что менее очевидно - то, что мы судим людей по телефону точно так же, как и обычно. Говорит ли этот человек так, как будто пытается продать мне…

Сообщение от Митника

Когда мы были детьми, наши родители учили нас не верить незнакомцам. Может быть, нам всем следовало бы придерживаться этому вековому принципу в… В работе, люди просят нас все время о чем-то. Вы имеете электронный адрес… И как можно догадаться: иногда люди, которые просят о чем-либо, являются людьми, которых вы не знаете лично, к…

Анализ обмана

Взлом федералов Люди часто не думают, какие материалы их организации доступны через Интернет.… Руководство является справочником для агентств силовых ведомств, который дает коды для поиска информации о…

Подключение к системе

Если социального инженера есть такие коды, то получение информации для него - легкий процесс. В этом примере, он мог начать со звонка служащему… Служащий на другом конце телефона узнает по жаргону, что звонящий знаком с… После того, как служащий подтвердит, что система работает хорошо, разговор мог быть приблизительно таким:

Анализ обмана

LINGO SOSH - сленг правоохранительных органов для номера социального страхования. Вы могли удивиться, не рискованно ли позвонить полицейский участок, офис… Ответ - нет... и по особой причине. Служители закона, подобно военным, имеют укоренившееся в них из первого дня в…

Защитите ваших клиентов

Если Вам приходится сохранять номера кредитных карточек в файле, то это должно сопровождаться мерами безопасности, которые включают шифрование или…

Сообщение от Митника

Все должны быть осведомлены о методах действия социальных инженеров: собрать как можно больше информации о цели, и использовать, эту информацию, чтобы приобрести доверие как будто он свой человек. А затем перейти в нападение!

Разумное доверие

Создавая основы, нужно начать с обследования предприятия - доступ к банкам информации, уделяя внимание каждому важному, критическому аспекту, ценным… Когда кто-то незнакомый вам лично просит некоторую информацию или материал,… Мы не хотим прожить жизнь, подозревая каждого нового человека, которого мы встречаем. Но чем больше мы доверчивы, тем…

История атакующего

А возможно, клиент не хотел говорить Бобби истинную причину потому, что если он узнает, насколько ценна информация, он, скорее всего, попросит… *** Существует множество способов взломать самые секретные файлы компании. Бобби провел несколько дней, обдумывая…

Анализ обмана

Организация этого вида атаки особенно привлекательна для атакующего. Из-за того, что все было спланировано заранее, когда "цель" узнает,… LINGO Удаленная командная строка - Неграфический интерфейс, который принимает… Сообщение от Митника

Доброжелательная Андреа

Когда Алекс позвонил где-то в 4:30, Андреа уже подготовила список и прочла ему имена и номера отделений.

Сообщение для Розмери

"Вы Розмери Морган?" "Да" "Здравствуй, Розмери, это Билл Джордай, отдел безопасности информации". "Чем могу быть… Номера у нее не было. Он сказал ей номер, и она его аккуратно записала, и…

Анализ обмана

Сообщение от Митника

Не так безопасно, как думаешь "Компания, которая не прикладывает усилий для защиты важной информации…

История Стива Крэмера

Некоторые люди могут подумать, что работа Стива по созданию новых устройств для GeminiMed Medical Products была скучной; Стив же знал, что он… Было почти 11-30 в эту субботу, и Стив был раздражен потому, что он еще не… Анна появилась из-за двери. Ее голова была покрыта красным ковбойским платком, который она надевала, когда…

История Крэйга Коборна

Это было срочное задание. Мне кажется, оно займет немного времени и прибыли хватит, чтобы поехать на Гавайи. А может быть, Таити. Парень, который нанял меня, не сказал, конечно, кто клиент, но понятно, что… Мой клиент послал мне факс, вырезку из медицинского журнала, в котором говорилось, что GeminiMed работают над сердцем…

Проникая вовнутрь

Во-первых. номер дозвона на инженерный сервер извне. Я позвонил в GeminiMed опять, и попросил соединить с отделом IT, с кем-нибудь, кто помогает с… Эта процедура была обычной, но я с нетерпением разрешил ему рассказать все, и… Так что теперь я преодолел препятствие подключения к сети. Я дозвонился и обнаружил, что они настроили терминальный…

Анализ обмана

Большинство его работы было не сложнее, чем поймать дождевые капли в ведро. Он начал с того, что представился кем-то из почтового отдела и добавил… Она даже не заподозрила ничего, когда Крэйг попросил отправить список по факсу… Крэйг избежал риска физического проникновения в здание, просто отправив факс секретарше, зная, что она скорее всего…

Сообщение от Митника

Крэйг смог с легкостью подключиться, используя стандартный пароль, который никогда не менялся, один из бросающихся в глаза, широко-открытых… Коборн смог убедить осторожного, подозрительного мужчину ("Какая там у… А что если Стив Крэмер продолжил чувствовать нечто подозрительное насчет звонка Крэйга? Это маловероятно, что он решит…

Учиться, учиться и еще раз учиться

Все в организации должны быть обучены проявлять некоторую долю подозрения при общении с людьми, которых они не знают лично, особенно когда кто-либо… Безопасность - не "один размер на всех". Персонал в бизнесе обычно…

Безопасное хранение важной информации

Когда к людям подходит незнакомец и предлагает свою помощь, как описано в историях в этой главе, работники должны опираться на технику безопасности компании, которая создана в соответствии с нуждами бизнеса, размером и видом вашей компании.

Заметка

Никогда не сотрудничайте с незнакомцем, который просит вас посмотреть информацию, набрать незнакомые команды на компьютере, изменить настройки ПО,… Есть некоторые процедуры, о которых, независимо от качества нашего обучения,… Часто возникают достоверные ситуации, когда это необходимо, а возможно даже важно дать кому-либо конфиденциальную…

Учитывай источник

В высокобезопасных ситуациях, единственные просьбы, которые можно выполнять - это те, которые получены лично или с серьезным подтверждением, к… Процедуры классификации данных должны предусматривать, что никакая информация…

Заметка

Так как же разобраться со звучащей вполне законно просьбой об информации от другого сотрудника компании, вроде списка имен и адресов электронной…

Ни о ком не забывайте

Корпоративная безопасность должна четко выработать единый вид контактов, вроде центральной "расчётной палаты" для сотрудников, которым… Глава 6: "Не могли бы Вы помочь?" (Chapter 6 "Can You Help Me?")

Наравне с Джонсами

Взломщик позвонил в офис в Чикаго и попросил соединить с мистером Джонсом. Секретарь в приемной спросила, знает ли он имя мистера Джонса; он…

Командировка

Сообщение от Митника

«О.К., - сказал системный администратор, - ты убедил меня». Это было просто. Системный администратор проверил имя "Джозеф Джонс",…

Анализ обмана

Lingo «Слабая безопасность» (candy security) - термин, введенный Белловином и Чесвиком из Bell Labs для описания сценария безопасности, где внешняя… «Прозрачная» безопасность (Speakeasy security) В дни существования – ночных клубов (speakeasies), где разливался джин – потенциальный клиент получал доступ, найдя…

Я видел это в фильмах

Тернер повторно соединяется и набирает другой номер звонок! звонок! Затем: Женский голос (фрагмент). Служба имен и адресов (CNA – Customer Name and… Можете вы осознать случившееся, не обращая внимания на то, что сценарист…

Обман телефонной компании

Lingo SECURITY THROUGH OBSCURITY - неэффективный метод компьютерной безопасности, основанный на содержании в тайне деталей работы системы… Сообщение от Митника Безопасность, основанная на незнании, не приносит никакой… Не нужно было подтверждать свою личность, сообщать свой номер, ежедневно изменяемый пароль. Если вы знали номер и…

Настройка (на радиоволну)

Дэнни-перехватчик

Lingo Аутентификация по двум условиям - использование двух разных типов аутентификации для идентификации. Например, человек может идентифицировать… Затем служащий выбирает элемент отображаемых о вас данных - чаще всего номер…

Штурм крепости

Работа изнутри

Анализ обмана

Сообщение от Митника

Эта история показывает, что синхронизируемые жетоны и простые формы аутентификации не может быть защитой против коварного социального инженера.
Может что-то подобное случиться в вашей компании? Случилось ли уже?

Предотвращение обмана

Глава 7: Фальшивые сайты и опасные приложения (Chapter 7 Phony Sites and Dangerous Attachments) Перевод: c0Un2_z3r0

Это пришло в письме

Или, может быть, вы получаете сообщение с темой "Дон, я соскучилась" или "Анна, почему ты мне не пишешь" или "Привет Тим,… Все эти действия - закачка программы, о которой вы узнали в рекламном письме,… Умышленная отправка вредоносного кода на ваш компьютер - это всего лишь малая часть атаки. Атакующий должен, прежде…

Заметка

Наиболее опасные формы вредоносного кода-это черви типа LoveLetter,SirCam и Anna Kournikova,все они основаны на технике социального инжиниринга и… Это поразительно, как много людей попадается на эти уловки, даже будучи…

Определение вредоносных программ.

Существует два других типа вредоносных программ, которые могут шокировать вас. Программа первого типа может отправлять взломщику каждое сказанное… LINGO Malware- на сленге: вредоносные программы, такие как вирус, червь,…

Сообщение от Митника

Хакер со злобным чувством юмора может внедрить вам маленькую программку, которая доставит много хлопот вашему компьютеру. Например, она может… Сообщение от друга Сценарий может развиваться еще хуже, несмотря на ваши предосторожности. Представьте себе: Вы решили не давать…

Сообщение от Митника

Печально, что, несмотря на высокий уровень развития современных технологий, вы можете получить письмо от кого-то, близкого вам, и все еще думать, а… Вариации по теме В эту эру Интернета, существует вид мошенничества, который перенаправляет вас совсем не на тот вэб-сайт, который вы…

С Новым Годом...

Отставной страховой агент по имени Эдгар получил письмо от PayPal, компании, которая предоставляла быстрый и удобный путь совершения он-лайн покупок. Этот вид сервиса очень удобен, когда человек из одной части страны (или мира) покупает что-либо у человека, с которым он не знаком. PayPal снимает деньги с кредитки покупателя и переводит деньги прямо на счет продавца. Будучи коллекционером антикварных стеклянных кружек, Эдгар совершил множество сделок через он-лайн торги eBay. Он часто пользовался PayPal, иногда несколько раз в неделю. В общем, Эдгар был заинтересован в получении письма на выходных 2001 года, которое, казалось, было отправлено от кого-то PayPal, предлагающего ему награду за обновления своего PayPal счета. В письме было написано:

Сезонные поздравления нашим дорогим клиентам PayPal;

В честь прихода Нового Года PayPal желает добавить 5$ на ваш счет!

Все, что вам требуется, чтобы получить в подарок 5$-обновить вашу информацию на защищенном сайте PayPal к 1Января,2002.Год приносит много изменений и, обновив вашу информацию, вы позволите нам продолжать предоставлять вам и другим дорогим клиентам сервис отличный сервис и, между тем, неуклонно придерживайтесь нашей инструкции!

Чтобы обновить вашу информацию прямо сейчас и получить 5$ на ваш PayPal аккаунт, щелкните по этой ссылке: http://www.paypal-secure.com/cgi-bin

Благодарим вас за использование PayPal.com и помощь в дальнейшем развитии нашей компании!

От всего сердца желаем вам счастливого Нового Года!

команда PayPal

________________________________________________________________

Заметка о коммерческих веб сайтах

Эти зашифрованные файлы могут быть вскрыты кем-то лишь при достаточном наличии времени и ресурсов. Но реально, какой дурак пойдет на все это, чтобы… С другой стороны, те же самые люди, которые не делают покупки через Интернет,… Существуют несколько опасностей в совершении покупок он-лайн, но, возможно, это так же безопасно, как и в обычных…

Анализ обмана

Эдгар попался на трюк, в котором обманщики зарегистрировали веб сайт с именем "paypal-secure.com"-который звучит так, будто бы это…

Сообщение от Митника

Вариации по вариации Как много других путей существует, чтобы ввести в заблуждение пользователей…

Несуществующая ссылка

http://www.paypai.com/ В принципе, это выглядит так, будто речь идет о PayPal. Даже если жертва… http://www.paypa1.com/

Заметка

Компании пытаются бороться против такого копирования их адресов, но представьте, с чем они сталкиваются. General Motors подала иск против компании,…

Будьте бдительны

Как много ваших знакомых могут рассказать вам, какой из используемых ими сайтов отвечает всем требованиям безопасности? Как много работников в вашей… Каждый, кто использует Интернет, должен знать о маленьком символе, который… Тем не менее, атакующий, обладающий администраторскими привилегиями в компьютерной системе компании, может изменить…

Подобающее понимание вирусов

Будучи владельцем антивирусного программного обеспечения, не стоит забывать о еще одной важной процедуре: своевременном обновлении антивирусных баз.… LINGO SSL (Secure Socket Layer) -Протокол, разработанный Netscape,… Просто представьте, вы все еще уязвимы, несмотря на регулярное обновление антивирусных баз, и также, вы все еще не…

Телефонный звонок

Дороти засмеялась. "Вам следует поговорить с отделом безопасности. Наберите 7,а потом… Они посмеялись над этой фразой и завершили телефонный разговор.

История Дэвида Гарольда

Я купил экземпляр Лос-Анджелес Таймс и читал колонку развлечений на ближайшие пару дней, записывая имена продюсеров различных студий. Я решил… Но эта Дороти, ее голос напоминал человека, который обязательно подберет… Конечно, я в любом случае планировал использовать имя Дороти. И это даже лучше. Ведь Лорен даже не побеспокоится,…

Анализ обмана

Мы слишком просто позволяем чужакам пробраться в наши компании и офисы. Даже с охранниками на входе и входными процедурами для не служащих компании,… Позволяя чужакам беспрепятственно разгуливать по вашим сооружениям, вы… "Сделайте это сейчас"

История Дуга

Будучи джентльменом, я вежливо объяснил, что она должна съехать от меня, и помог упаковать ее вещи, даже разрешил прихватить пару дисков, которые…

История Линды

Это не заставило долго себя ждать. Там была другая девчонка, иначе он не стал бы с такой скоростью паковать мои вещи. Так что я подождала немного и… Я дождалась следующих выходных и позвонила в 11 часов вечера в субботу. Только… Я стала перебирать бумаги, которые забрала с работы домой, когда ушла из телефонной компании. И там это было - я…

Сообщение от Митника

Дуг так много сделал, чтобы спрятаться от меня за неопубликованным номером. Веселье только начиналось.

Анализ обмана

"Мистер Бигг хочет это" Популярная и высоко эффективная форма запугивания - популярна в больших… Даже просто имя помощника в офисе CEO может быть ценным. Частные сыщики делают это все время. Они позвонят оператору…

История Скотта

"Скотт, это Кристофер Далбридж. Я только что разговаривал по телефону с мистером Бигли, и надо сказать, что он больше, чем невесел. Он говорит,… "Исследование степени интеграции рынка? Никто не говорил мне об этом. В… "Он нанял нашу консультационную фирму, и мы уже перед сдачей работы".

Анализ обмана

Социальный инженер также знает, что лучший путь использования данного трюка - использовать имя кого-то более вышестоящего, чем босс жертвы. И данный… Сообщение от Митника Запугивание может вызвать страх перед наказанием, который заставит людей сотрудничать. Также запугивание может…

История Кейт Картер

Но есть, разумеется, и исключения. Некоторые ЧС создают алиби для парней, замешанных в криминальных историях. Эти парни известны на рынке как… Между тем, ЧС уровнем выше среднего - те, кто работают не в шикарных костюмах… Парень, которого мы назовем Кейт Картер, был не обременен нормами этики.

Анализ обмана

Общественная незащищенность Администрация общественной безопасности разместила копию их полного справочника действий в сети, в котором много… Вы хотите знать больше об Администрации общественной безопасности? Просто… Атакующий не сможет добиться успеха в добыче информации у служащего, который отвечает на звонки всех людей. Тип атаки,…

История Питера

Но его отказ помочь не удивил ее очень сильно. Она говорила, что отсутствует гарантия, что он выполнит ее просьбу, но это было как приключение. И… Элис заключила контакт с маркетинговой фирмой на должность консультанта, но… Вот то, как Питер рассказывает эту историю.

Сообщение от Митника

Это удивительно, как многого может добиться социальный инженер, правильно составляя свой запрос. Основная предпосылка-привлечение человека автоматически к ответу, базируясь на психологических принципах, и способность положиться на ментальные особенности человека, принимающего звонящего за своего союзника.

Анализ обмана

Так что у Мэри не было основания предполагать, что ее обманули. Это дело прошло успешно благодаря трем тактикам. Первое, он сыграл на чувству… Не позволяя ей произнести новый пароль вслух, даже ему, Питер укрепил ее во мнении, что безопасность компьютерной…

Ордер на обыск, пожалуйста

Он разбудил соседей и выяснил, что в здании был совершен полицейский рейд. Но они заставили всех жильцов выйти на улицу, и никто не знал, в чьей… Артуро проверил свою квартиру. Плохой новостью было уведомление из полиции,… Артуро растворился в ночи, оставшись ночевать у своего друга. Но неизвестность мучила его. Как полиция все узнала?…

Обдуривая полицию

Затем он позвонил в адвокатскую контору и запросил отдел по записям. Когда его соединили, он представился следователем округа Lake и заявил, что ему… "Это я", - ответила женщина. "О, отлично", - сказал он.… "Мы располагаем информацию по адресу", - ответила она ему.

Заметка

Сокрытие его пути Артуро также предстояло предпринять еще пару шагов. Всегда была возможность,… Затем он позвонил в другой магазин и использовал уловку по теме "как он благодарен за предоставление работы и ему…

Анализ обмана

Люди, которые напрямую работают в каких-либо поверенных офисах, в любом случае, находятся в прямом контакте с исполнителями закона - отвечают на вопросы, делают договоренности, получают сообщения. Кто-нибудь достаточно храбрый, чтобы назваться полицейским, представителем шерифа или кем-то еще, может добиться многого. Разумеется, если он не владеет терминологией или спотыкается через каждое слово от страха, никто не ответит на его запрос.

Сообщение от Митника

Получение необходимого дебетного кода было решено с помощью обыкновенного телефонного звонка. Затем Артуро сыграл на симпатии собеседника с помощью… Затем, используя не один, а два магазина, Артуро обезопасил себя от ареста во… Переводя стрелки

Получение диплома без почета

Составляя план дальше, он понял, что может достичь своей цели, посмотрев, нет ли выпускников с его фамилией, получивших степень компьютерных наук в…

Включаясь к проблеме

"Что значит сервер?" - спросили его. "К какому компьютеру вы присоединяетесь, когда хотите получить… Ответ admin.rnu.edu дал ему имя компьютера, в котором хранились записи о студентах. Это был первый кусочек…

Полезный секретарь

Первым шагом в решении этой проблемы было найти человека, который провел бы его через все ужасы поиска студенческой базы данных. Он вновь позвонил в… Немного позже он уже разговаривал с администратором базы данных и успешно… К тому времени, как они закончили разговор, Майкл загрузил вводный лист выпускников с необходимым дипломом за те года.…

Анализ обмана

Атакующий использовал одну уловку, о которой я раньше не упоминал: Атакующий попросил администратора провести его через весь процесс шаг за шагом. Достаточно сильное и эффективное действо, аналогичное тому, как если бы вы попросили владельца магазина помочь вынести вам предметы, которые вы только что из него украли.

Сообщение от Митника

Предупреждение обмана Симпатия, вина и запугивание-это три очень популярных психологических трюка,…

Защита информации

Службе безопасности компании необходимо выстроить схему, обеспечивающую безопасность при пересылке важной информации какому-то незнакомому лично… Вот некоторые способы, которые следует обдумать: Установите, насколько …

О паролях

Занятия по безопасности должны включать в себя тему паролей и быть сфокусированы на процессе смены пароля, установки приемлемого пароля и…

Заметка

Именно на паролях сосредоточены атаки социальных инженеров, которые мы рассмотрели в отдельной секции в главе 16, где вы также найдете особые рекомендации по данной теме.

Группа по отчетам

Ваша служба безопасности должна предоставить человека или группу, сформированную, как орган, в который поступали бы отчеты о подозрительной деятельности, направленной на атаку вашей организации. Все рабочие должны знать, куда обратиться в случае подозрения на электронное или физическое вторжение. Телефонный номер такого места всегда должен быть на виду, чтобы служащим не приходилось разгребать кучи бумаг в поисках его, во время попытки атаки.

Защитите вашу сеть

В частности, люди, такие как администраторы баз данных, которые работают с программным обеспечением, принадлежат к категории людей, которые… Люди, которые регулярно предоставляют помощь в компьютерной сфере, должны… Намного хуже осознавать, что в вышеупомянутой ситуации, атакующий подпадал под критерий законности: он звонил из…

Тренировочные советы

Для корпораций необходимо проведение фундаментальной подготовки к такого рода ситуациям, но существует также необходимость напоминать людям об их… Используйте яркие заставки, которые будут появляться при включении компьютера… Другой подход, который я могу посоветовать - это начать серию напоминаний о безопасности. Частые сообщения с…

Звонок Анжеле

Анжела Висновски ответила на телефонный звонок человека, который вот-вот должен был получить приличное наследство и интересовался различными… Ей даже удалось достигнуть определенных успехов в этом вопросе, когда он…

Звонок Льюису

Место: то же Время: 12:48 того же дня Льюис Халпберн (Louis Halpburn) работал как ни в чем ни бывало, когда днем… Казалось у звонившего был не самый удачный день.

Звонок Уолтеру

- Да не вопрос. Какой код С? - За моим компьютером сейчас другой сотрудник, - сказал звонивший, - Но я…

Звонок Донне Плейс

Сын уличного полицейского из Спокана ( США, штат Вашингтон – прим. переводчика) Винс с ранних лет знал, что не собирается надрываться часами и… В глубине души Винс знал, что они правы. Единственное, что у него получалось… И только одного никогда не понимали одногруппники Винса: Если у кого-то из них что-то было, скажем новый складной нож,…

Сообщение Митника

Полицейские - жертвы обмана Для не слишком чистого на руку частного детектива или социального инженера… Исключая кражу бумажника или подсматривание через плечо при удобной возможности, выяснение номера водительского…

Хитрость Эрика

- Это А1. Я набирал 503-555-5753, - ответил Эрик. Номер основывался частично на предположении, частично был взять с потолка: совершенно очевидно,… В телетайпную не звонят «с улицы», а звонивший уже знал большую часть номера.… - Номер 503-555-6127, - сказал офицер.

Коммутатор

Технику он сказал, что из Центра Поддержки Технических Специалистов Нортела в Техасе, и объяснил, что они создают базу данных для обновления всех… Все это звучало полностью правдоподобно, и техник дал Эрик номер. Теперь Эрик… Для предотвращения проникновения извне, коммерческие коммутаторы этого типа защищены паролем, как и любая…

Звонок в управление

И даже не один коп, а несколько, один за другим. Однажды Эрик обедал в ресторане с друзьями, экспромтом отвечая на звонки примерно каждые пять… Общение с полицейскими ничуть не беспокоит подготовленного соц. инженера. По… "Мне нужно Soundex по водительскому удостоверению 005602789, - мог спросить полицейский, используя знакомый…

Анализируя обман

Затем кто-то на телефонном узле сделал то же самое, веря, что Эрик из компании-производителя оборудования, и сообщил ему номер телефона для дозвона… Эрик имел широкие возможности для взлома коммутатора из-за слабой политики… Имея доступ к коммутатору, он настроил переадресацию вызова для одной из телефонных линий управления транспорта на…

Сообщение Митника

Любой компании, использующий устные защитные коды, необходимо ясно и четко объяснить сотрудникам, когда и как эти коды используются. Правильно… Инструкции по безопасности должны включать в себя описание действий служащего,… Наконец, служащий должен записывать фамилию звонившего, телефон и название офиса или подразделения, прежде чем…

История об охраннике

Хотя это вряд ли можно было считать разминкой для человека, который раньше был правым блокирующим полузащитником в футбольной команде школы. Но,… Он повернул за юго-западный угол и направился по галерее, осматривая… Лерой направился к лестнице, по которой затем спустился на тот этаж сборочного цеха, где находилась пара, но они не…

Рассказ Джо Харпера

* * * Мой друг Кенни собирается стать пилотом вертолета. Поэтому он попросил меня… Ясно, что вы не можете просто взять и прийти на завод или в офисное здание. Это процесс необходимо обдумать,…

Анализируя обман

Это вторжение для них было всего лишь забавой, только для того, чтобы убедиться, что они смогут сделать это. Но, если это было так легко для пары… Как могли трое опытных охранников так просто взять и отпустить этих двоих… Сначала у Лероя возникли основания для подозрения. Он действовал правильно, проводив их в отдел охраны, расспросив…

Деньги за мусор

Уборщики снова отказались и сдали ее полиции. Ведущий онлайновый журналист Деклан МакКулла по аналогии с литературным…

Анализируя обман

Ответ, я думаю, в том, что риск при этом равен нулю, а выгода может быть значительна. Если вы хотите подкупить уборщиков, ваши шансы, может быть,… Естественно, для социального инженера копание в мусоре имеет свою выгоду. Он… Марк Джозеф Эдвардс в своей книге «Интернет-безопасность в системе Windows NT» говорит о том, что «целые отчеты и…

Сообщение Митника

Ваши мусорные корзины могут оказаться сокровищем для ваших врагов. Мы не придаем большого значения документам и материалам, которые мы выбрасываем дома, так зачем надеяться, что на работе люди будут относиться по-другому к выбрасываемым материалам. Все это говорит о необходимости пояснения людям об опасности (недобросовестные люди, копающиеся в поисках важной информации) и уязвимости (конфиденциальная информация, которая не была уничтожена в шредере или стерта).

Униженный начальник

Через два дня случилась ужасная история, которая распространилась по всему управлению подобно пожару. Половина людей, которые услышали ее, говорили,… В конце концов, Джордж Адамсон был добрейшей и сочувствующей личностью, лучшим… Проблемы начались, когда вечером в пятницу Джордж вызвал Харлана в свой кабинет, и сказал ему настолько тактично, как…

Бомба

Дэвид зашел к нему вечером после ужина. Они сели возле компьютера Харлана, и в течение нескольких минут парень через модем получил доступ к рабочему компьютеру Джорджа Адамсона. Это было совсем несложно, потому что Джордж никогда не придавал значения таким мерам безопасности, как смена паролей, и всегда просил того или иного человека помочь ему загрузить или отправить файл по электронной почте. Поэтому, все в офисе знали его пароль.

Целью их охоты являлся файл BudgetSlides2002.ppt, который парень загрузил на компьютер Харлана. Затем Харлан сказал парню отправляться домой, и вернуться через пару часов.

Когда Дэвид вернулся, Харлан попросил его еще раз подключиться к локальной сети Автодорожного управления и перезаписать этот файл обратно, затерев старую версию. Харлан показал Дэвиду игровую приставку, и пообещал, что, если все пройдет нормально, он получит ее на следующий день.

«Сюрприз» Джорджа

Вы, наверное, думаете, что нет более скучного занятия, чем слушание по бюджету, но зал заседаний в Совете округа был заполнен журналистами,
представителями различных групп по интересам, другими заинтересованными лицами, и даже двумя командами теленовостей.

Джордж всегда чувствовал, что для него на подобных заседаниях многое поставлено на карту. Совет округа распоряжался бюджетом, и, если Джордж не представит убедительную презентацию, финансирование Автомобильного управления может быть урезано. Тогда каждый начнет жаловаться на плохие дороги, слишком частые светофоры и опасные перекрестки, и все обвинения будут направлены в сторону Джорджа; тогда жизнь не покажется ему сладкой на весь предстоящий год. Но в тот вечер он чувствовал себя очень уверенно. Он работал целых шесть недель над этой презентацией и визуализацией ее в PowerPoint, которую он опробовал на своей жене, своих заместителях, и близких друзьях. Все согласились, что за все время это была самая лучшая его презентация.

Первые три изображения в презентации были удачными и привлекли внимание всех членов Совета. Он очень успешно начал свою презентацию.

Но затем все пошло непредсказуемым образом. Четвертой картинкой в презентации должно было быть изображение заката на новой автомагистрали, открытой в прошлом году. Вместо этого появилось что-то другое, что всех привело в замешательство. Фотография из журнала типа «Penthouse». Он услышал возгласы удивления в аудитории и быстро нажал кнопку на его ноутбуке, чтобы перейти к следующему изображению.

Оно было еще хуже.

Он все еще пытался переключиться на другие картинки, когда кто-то в аудитории отключил проектор из розетки, и председатель собрания громко ударил молотком и еще громче прокричал, что собрание отложено.

Анализируя обман

Подключившись при помощи модема и телефонной линии к одному из офисных компьютеров, молодой хакер смог войти в сеть извне. Парень настроил программу… Учитывая время, затраченное на сканирование изображений из журнала, вся…

Сообщение Митника

В ожидании встречи Приятным осенним утром Питер Милтон зашел в офис регионального… "Как вы умудряетесь делать так много дел одновременно?" сказал Питер, когда очередь дошла до него. Она мило…

Рассказ Энтони

Чем может торговать его магазин? Ответ не заставил себя ждать. Он разбирался в машинах и ремонте, значит, это будет магазин автозапчастей. А как добиться гарантии успеха? Ответ был для него словно вспышка: необходимо… Естественно, по своему желанию они никогда не сделают этого. Но Энтони умел обманывать людей, а его друг Микки знал,…

Анализируя обман

Он оделся так, как обычно одеваются менеджеры, зарабатывающие неплохие деньги. Костюм и галстук, ухоженные и прекрасно уложенные волосы – кажется,… На основании своего опыта я убедился, насколько предсказуемым является… Атакующий воспользовался вторым своим психологическим оружием, когда заметил, насколько умело идут дела у секретарши.…

Анализируя обман

Одной из мер предосторожности может стать фиксация любых попыток доступа к секретным данным, например, таким, как платежные ведомости. Конечно,… Предотвращение обмана Запустив руки в ваш мусор, чтобы обмануть охрану или секретарей, социальные инженеры могут вторгнуться в ваши…

Защита в нерабочее время

В компаниях или определенных помещениях или отделах компаний, где соблюдение высокого уровня безопасности не является необходимым, не обязательно… Политика безопасности компании должна предусматривать штрафные санкции для тех… В дополнение, если существует необходимость защиты секретной информации, компания должна выработать процедуры для…

Надлежащее обращение с мусором

При увольнении сотрудников

Еще один момент, зачастую игнорируемый: когда увольняется сотрудник, имевший права доступа к резервным копиям данных, необходимо незамедлительно… В Главе 16 представлены подробные рекомендации по этой жизненно важной теме,… Некоторые дальнейшие действия покажутся излишними или слишком затратными для одних компаний, но они могут быть…

Не забывайте ни о ком

Для посетителей, не являющихся сотрудниками компании, правила должны устанавливать требование предъявления каких-либо удостоверений личности с… В некоторых компаниях правилами принято провожать посетителей из вестибюля на… Перед тем, как допустить внешнего сотрудника, не работающего непосредственно в этом представительстве компании, в…

Гарантии безопасности IT

В некоторых компаниях существует даже возможность того, что сотрудники департамента IT или финансового департамента могут увеличить себе размер… Конечно, и для этой проблемы существуют приемлемые решения. Наиболее важные… Если ваша компания поняла всю серьезность данной проблемы и выработала соответствующие рычаги управления доступом к…

Поиск Гондорффа

Он решил позвонить в тюрьму другого города - Майами, но любой другой бы подошел, и сказал, что он звонит из Нью-йоркской тюрьмы. Он попросил… Когда человек подошел к телефону, Джонни заговорил на своем Бруклиновском… "Нет, он не здесь," - сказал парень через несколько секунд. "Он в исправительном центре в…

Синхронизируй свои часы

Джонни позвонил в тюрьму, используя "официально - звучащий" голос, представился как сотрудник, и попросил, чтобы его соединили с… Джонни слышал, как охранник кричит через комнату. Через несколько нетерпеливых… Джонни сказал ему: "не говори ничего, пока я не объясню тебе, что я задумал". Он рассказал все предисловие…

Анализ обмана

Первая сотрудница телефонной компании думала, что отдает информацию из гособслуживания. Следующая сотрудница телефонной компании знала, что она не должна изменять… Для мужчины из исправительной колонии в Майами, просьба помочь другому федеральному учреждению, у которого проблемы с…

Сообщение от Митника

  Легкие деньги Когда а впервые познакомился с компьютерами в старших классах школы, нам приходилось подключаться к одному…

Деньги на линии

Мы направились прямо к стенду Lock-11, и обнаружили, что руководят там разработчики проекта; я узнал их, и они узнали меня - даже в юности у меня… Когда Винни и я подошли, это вызвало интерес у обеих сторон. С их стороны был… Lock-11 был спроектирован по признанному принципу, полагавшемуся на два уровня безопасности. У пользователя должен был…

Вызов принят

Тем временем, Винни, вне поля ее зрения, приступил к работе, используя навыки, которые мы развивали. Помимо очарованности взломом компьютеров и… Винни, как и я, тренировался вскрывать замки до тех пор, пока у нас не стало… В выставочном зале, я продолжал отвлекать девушку, пока Винни подполз сзади будки, вскрыл замок в кабинет, где стоял…

Сообщение от Митника

Они заплатили. Мы с Винни ходили по выставке оставшуюся часть дня со стодолларовыми чеками, прикрепленными к нашим значкам конференции. Каждый, что… Конечно, мы с Винни не победили их программу, и если разработчики установили… Позже, я узнал, что команде разработчиков пришлось зайти в банк, чтобы получить наличные: эти стодолларовые чеки - все…

Атака паролями

Когда атакующий пытается использовать хакерские инструменты для паролей, работающих удаленно, может понадобится оставаться подключенным к сети… В качестве начального этапа Иван решил сделать подбор пароля, который покажет… LINGO Enumeration - Процесс, показывающий сервисы, работающие на системе, операционную систему и список имен аккаунтов…

Быстрее, чем ты думаешь

Пока работала эта атака, Иван запустил похожую атаку на другом компьютере, нацеленную на другой сервер, используемый группой разработчиков, ATM6.… С паролем в руке, Иван смог подключиться к серверу ATM6, используя… Для нашего атакующего была хорошая и плохая новости. Хорошая новость - у взломанного аккаунта были администраторские…

Анализ обмана

Он использовал программу, чтобы узнать имена пользователей аккаунтов каждого, у кого был аккаунт на сервере разработчиков. Потом он провел две… Так как коммерчесие и общественные программы для взлома могут быть получены… Важность этой угрозы не может быть переоценена. По данным журнала Computer World, исследования в Oppenhiemer Funds в…

Сообщение от Митника

Предотвращение обмана Атаки социальных инженеров могут стать еще более деструктивными, когда… Просто скажи "Нет"

Уборка

Для любой фирмы, у которой нет охранников круглосуточно, план, где атакующий получает доступ к офису на несколько часов - трудность. Уборщики обычно относятся с с уважением к каждому, кто кажется членом компании и не выглядит подозрительно. Все-таки, этот человек может вызвать у них неприятности или уволить. По этой причине уборщики, как сотрудники фирмы так и работающие по контракту из внешнего агентства, должны быть обучены технике безопасности.

Уборочная работа не требует образования в колледже и даже умения говорить по-английски, и даже если требует обучения, то не по безопасности, а только по использованию разных очистительных средств для разных назначений. Обычно эти люди даже не получают указаний вроде: "если кто-нибудь попросит вас впустить их после рабочего времени, вы должны проверить у них пропуск, позвонить в офис уборочной компании, объяснить ситуацию и подождать разрешения".

Организации нужно заранее спланировать, что делать в конкретной ситуации, как эта, прежде чем она произойдет и соответственно обучить людей. По моему опыту, я узнал что большинство, если не весь частный бизнес неточен в этой части физической безопасности. Вы можете попробовать подойти к проблеме с другой стороны, возложив бремя на сотрудников своей компании. Компании без круглосуточной охраны должны сообщать сотрудникам, что если им понадобится войти после рабочего дня, им придется воспользоваться собственными ключами или электронными картами, и не должны ставить уборщиков в положение выбора, кого можно пропустить. Сообщите уборочной компании, что их люди должны быть обучены не впускать кого-либо в помещение в любое время. Это простое правило - никому не открывайте дверь. Если нужно, то это может быть включено в контракт с уборочной компанией.

Также уборщики должны знать о технике "piggyback"(посторонние люди следуют за уполномоченным человеком через безопасный вход). Они должны быть обучены не разрешать другим людям входить в здание только потому, что он выглядит как сотрудник.

Примерно три или четыре раза в год устраивайте тест на проникновение или оценку уязвимости. Попросите кого-нибудь подойти к двери, когда работают уборщики, и попробуйте проникнуть в здание. Но лучше не используйте для этого собственных сотрудников, а наймите сотрудников фирмы, специализирующейся на этом виде тестов на проникновение.

Передай другому: Защити свои пароли

Организации становятся все более и более бдительными, усиливая технику безопасности техническими методами, например, конфигурируя операционную систему усложнять технику безопасности паролей и ограничить число неверных вводов перед блокированием аккаунта. На самом деле, такое свойство встроено в платформы Microsoft Windows, которые предназначены для бизнеса. Но, зная как раздражают покупателей свойства, которые требуют лишних усилий, продукты обычно поставляются с отключенными функциями. Уже пора бы разработчикам прекратить поставлять продукты с отключенными по умолчанию функциями безопасности, когда все должно быть наоборот( я подозреваю, что в скором времени они догадаются).

Конечно, правила безопасности корпорации должны разрешать системным администраторам дополнять эти правила техническими методами, когда возможно, с учетом того, что людям свойственно ошибаться. Понятно, что если вы, к примеру, ограничите число неверных попыток входа через конкретный аккаунт, то вы сможете сделать жизнь атакующего более тяжелой.

Каждая организация сталкивается с нелегким выбором между мощной безопасностью и продуктивностью сотрудников, что заставляет некоторых сотрудников пренебрегать правилами безопасности, не понимая, насколько они необходимы для защиты целостности секретной компьютерной информации.

Если правила безопасности не будут конкретно указывать возможные проблемы при пренебрежении ими, сотрудники могут пойти по пути наименьшего сопротивления, и сделать что-либо, что облегчит их работу. Некоторые сотрудники могут открыто пренебрегать безопасными привычками. Вы могли встречать сотрудников, кто следует правилам о длине и сложности пароля, но записывает пароль на листок бумаги и клеит его к монитору.

Жизненно-важная часть защиты организации - использование сложно угадываемых паролей в сочетании с мощными настройками безопасности в технике.

Подробное обсуждене рекомендованной техники безопасности паролей описано в главе 16.

Глава 12: Атака на служащего низшего звена

(Chapter 12 Attacks on the Entry-Level Employee)

Перевод: Artem (artem_sib[at]inbox.ru)

Как показывают истории в этой книге, опытный социальный инженер часто выбирает в качестве своей цели служащих нижнего звена в организационной иерархии. Можно легко манипулировать этими людьми, заставляя сообщить информацию, кажущуюся невинной, которую использует атакующий, чтобы стать на шаг ближе к получению секретной информации корпорации.
Атакующий нацеливается на служащих нижнего звена потому, что они по большей части не знают о ценности специфичной информации о компании, или о возможных последствиях их действий. Также, на них легко повлиять наиболее распространенными социально-инженерными подходами: звонящий, который упоминает начальство; человек, кажущийся дружелюбным и приятным; человек, который знает сотрудников компании, которые известны жертве; просьба, которая, по словам атакующего является срочной - или любой другой способ повлиять, при котором жертве будет оказана услуга или жертва узнает кого-либо из звонящих.
Далее показаны атаки на служащих низшего звена в действии.

Любезный охранник

Мошенники надеются найти жадного человека, потому что его проще всего обмануть. Социальные инженеры, выбирая кого-нибудь вроде уборщика или охранника, надеются найти кого-нибудь дружелюбного и доверчивого. Они с наибольшей вероятностью захотят помочь. Именно об этом думал атакующий в следующей истории

С точки зрения Элиота
Дата/Время:
Вторник, 3:36 утра в феврале 1998 года.
Место: Предприятие Marchland Microsystems, Nashua, New Hampshire

Элиот Стенли знал, что не должен покидать свой пост во время работы. Но ведь тогда была середина ночи, и он не видел ни одного человека за смену. И почти подходила к концу его смена. А бедный парень по телефону говорил так, как будто ему действительно была нужна помощь. Человек начинает чувствовать себя лучше, если он может хоть немного кому-нибудь помочь.

Рассказ Билла

Осталось всего два года, и ему стало отчетливо понятно, что за 24 месяца он не сможет заработать свое состояние, будь он отличный бизнесменом или… Девушка Билла, Анна-Мария, работала в M&A на большой Бостонский банк.… Они предупредили ее, что сценарии очень часто крадут, и заставили поклясться, что она никому не скажет.

Анализ обмана

Также, когда социальный инжинер атакует кого-либо, кто знает цену информации, он должен придумать очень убедительные и весомые аргументы для того,… Новая девушка К какой информации, хранящейся в файлах вашей компании, атакующий может захотеть получить доступ? Иногда это то, что…

Звонок Анне

“Как я рад, что нашел хоть кого-то, кто работает допоздна. Это Рон Витарро, я издатель в отделении бизнеса. Не думаю, что мы раньше встречались.… “О, спасибо” “Анна, я сейчас в Лос-Анжелесе и у меня проблема. Мне нужно 10 минут вашего времени.”

История Курта Диллона

Курт создал бесплатный сайт на Geocities на имя Рона Витарро и загрузил шпионскую программу на новый сайт. Он изменил имя программы на… Затем его подруга позвонила секретарше Витарро. Следуя указания,она сказала… К тому времени,как двое закончили сверять расписания,подруга имела достаточно информации для атакующего о днях работы…

Обман неосторожного

Работники не должны помогать людям, которых они не знают персонально, даже если человек, делающий запрос,представляется администратором. Как только… Каждая компания должна иметь правила и установленные процедуры для обработки… Помните,что каждый работник, имеющий физический, либо удаленный доступ к компьютеру или части компьютерного…

Звонок Линды

Телефон Линды Хилл зазвонил когда она записывала заметку для босса. Она взглянула на дисплей caller ID, который показывал что звонок исходил из… Она подумала дождаться пока звонок переключится на автоответчик, так что ей не… Она попросила его электронный адрес, но он сказал что у него проблема с получением электронной почты и над этим…

История Джека

Его текущее назначение взывало его получать информацию о квартальном доходе, издержках и финансовом потоке компании до того как эти данные… Люди удивляются когда обнаруживают как мало времени требуется социальному… В терминах, близких людям, знающим телефонные системы, PBX был подключен к цифровой телефонной службе известной как…

Ширли атакует

Она звонит в службу поддержки потребителей компании. “Я из отдела Финансовых Сборов, в Кливлендском офисе,” говорит она, а потом пускается в уже … Она остается занятой поручениями на остаток утра, а потом проверяет голосовую… Воровство личности, самое быстро растущее преступление в Америке, “входящее” преступление нового века, почти…

Анализ обмана

Остальное было просто делом предъявления разумного оправдания о компьютерной проблеме, требованием нужной информации, и запросом оставить ответ на…

Сообщение от Митника

Полезный секретарь Взломщик Роберт Джордэй регулярно вламывался в компьютерные сети компании… Роберт позвонил в Центр Сетевых Операций, позируя адвокатом из Юридического Отдела и сказал, что у него неприятности с…

Сообщение от Митника

Суд по делам дорожного движения Наверное каждый, кто получал квитанцию штрафа за превышение скорости, наиву…

Жулик

Хотя я бы и не рекемомендовал пробовать этот метод аннулирования квитанции за превышение скорости (по ходу разговора, не пробуйте это в домашних условиях), все же это хороший пример того, как искусство обмана может быть использовано а помощь социальному инженеру.

Давайте будем звать этого нарушителя трафика Полом Дьюриа.

Первые шаги

Муниципальный суд, Стойка Пристава

Муниципальный Суд, Комната для судебных заседаний номер шесть

Судья: “М-р Дьюреа, вы понимаете права, объясненные Вам в этот полдень?” Пол: “Да, Ваша честь.” Судья: “Вы хотите использовать возможность посещения школы дорожного движения? Ваше дело будет отменено после…

Муниципальный Суд, Комната для судебных заседаний номер четыре

Пол прибыл в суд 8-го числа рано. Когда судья вошел, пристав дал ему список дел, на которые офицер не явился. Судья вызвал ответчиков, включая Пола, и сказал им что их дела расформированы.

Анализ обмана

Офицеры,занимающиеся привлечением к ответственности перед законом, вызываются в суд регулярно; это зависит от территории. Когда окружному адвокату… Обычно в таких беседах адвокат спрашивает, будет ли офицер доступен в такую-то… Когда он впервые пришел в здание суда, почему Пол просто не сказал судебному приставу какая дата ему нужна? Проще…

Расплата

Она побывала в офисе молодого м-ра Джоэнссена буквально через день после того, как он имел доступ(залогинивался) к корпоративной сети. Не… В ее плане все начинало сходиться. Была записка которую она, как она… КОМУ: К. Пелтон, отдел Информационных Технологий ОТ: Л. Кэтрайт, отдел Разработок Мартин Джоэнссен будет работать в…

Анализ обмана

И спустя несколько дней, у журналиста из журнала по торговле есть большой ковш со спецификациями и маркетинговыми планами нового горячего продукта,… Естественно, журнал никогда не расскажет, где они взяли зацепку. Предотвращение обмана

Вариации по плану

Коллективный иск

Уильям ("Билли") Чейни из Нью-Йоркской юридической фирмы, которая вела процесс, располагает показаниями двух врачей из «Фармомедик». Оба… Поэтому он нанимает фирму, с которой работал ранее: «Андрисон и сыновья»,… Для Андрисона подобное задание это то, что он называет нелегальной работой. Первое правило: юридические фирмы и…

Атака Пита

Его люди открывают замок используя отмычку, заказанную на www.suthord.com. Около трех часов ночи за несколько минут они проникают в офис фирмы и… Они также скопировали файл со списком авторизации на дискету, следуя… На следующий день один из них позвонил в компанию, занимающуюся хранением резервных копий, используя имя, добавленное…

Сообщение Митника

Анализ обмана

Благодаря слабой физической защите злоумышленники легко могли взломать замок компании, получить доступ к компьютеру и внести изменения в базу данных со списком людей, имеющих доступ в хранилище. Добавленное имя позволило мошенникам получить ленты с резервными копиями, не взламывая хранилище фирмы. Они [злоумышленники] располагали информацией, потому что большинство фирм не шифруют резервные копии данных.

Новый бизнес-партнер

У социальных инженеров есть большое преимущество перед обычными мошенниками - расстояние. Обычный мошенник может обмануть вас только в вашем присутствии, давая возможность описать его или даже позвонить в полицию, если вы вовремя обнаружите обман.

Социальные инженеры обычно избегают такого риска как чумы. Хотя иногда риск необходим и оправдывается возможной наградой.

История Джессики

Случилось так, что Рик Дэгот войдя в приемную компании во вторник августовским утром, поймал сверкающую улыбку Джессики. Его дорогой костюм от… «Привет! – сказал он, – Я Рик Дэгот, и у меня назначена встреча с Ларри». Улыбка Джессики померкла. «Ларри? – спросила она, – Ларри в отпуске на этой неделе».

История Сэмми Санфорда

У большинства людей не хватило бы мужества делать того, что делаю я. Попробуйте обмануть людей по телефону или через Интернет, и никто даже не… Но вы не можете ходить вслепую, вам нужно сначала оценить ситуацию. Уличный… Работа с компанией похожа на то, что мы называем большой обман. Вы должны настроиться. Выясните, как ими можно…

Анализ обмана

Точно так же и с промышленным шпионажем. Атака может потребовать костюм, галстук и дорогой портфель, если шпион выдает себя за должностное лицо… Человек, назвавшийся Риком Дэготом, знал: чтобы просочиться в компанию, нужно… Нетрудно было заблаговременно получить необходимую информацию. Он придумал несложную уловку, чтобы выяснить, когда…

Сообщение Митника

Как насчет визиток с тестовым номером телефонной компании? На телевидении показывали сериал («The Rockford Files») о частном сыщике,…

Заметка

Что заставляет умных мужчин и женщин поверить обманщику? Мы оцениваем достоверный образ, мы обычно готовы потерять бдительность. Правдоподобный… Спросите себя: насколько я уверен, что никогда не попаду в историю, подобную с…

Подтасовка

Гарри Тарди возвращался домой обозленным. Морские войска были для него большой отдушиной, пока он не был признан негодным в учебном лагере. Теперь… Наконец у него появился план. За кружкой пива, с парнем из его класса, он… Новый приятель, Карл Александр, сказал, что «знает некоторые приемы» и расскажет Гарри, как успешно провернуть дело.

Подготовка

В этот момент Гарри готов был звонить в заграничный Центр разработок. Здесь нужна была просьба о помощи: «О, у меня неприятность, мне нужна помощь,… То, что сказал Гарри при помощи Карла, звучало примерно так: «Я звоню из Миннеаполиса, отдел исследования и разработки. Червь с нашего сервера инфицировал все подразделение. Нам…

LINGO

GZIP –упаковать файлы в один сжатый файл, используя (одноименную) утилиту Linux.

 

Он согласился упаковать и отправить их. Шаг за шагом, рядом с Карлом, Гарри проинструктировал собеседника, начиная с процедуры сжатия объемного исходного кода в один компактный файл. Он также сказал ему, как назвать сжатый файл – «newdata» («новые данные»), объяснив, что такое имя поможет избежать путаницы со старыми, поврежденными файлами.

Карлу понадобилось дважды объяснить следующий шаг, прежде чем Гарри усвоил его, но это было главным в маленькой игре подтасовки, задуманной Карлом. Гарри должен был позвонить в отдел исследования и разработки в Миннеаполисе и сказать кому-нибудь: «Я хочу отправить вам файл, а затем вам нужно прислать его мне», – конечно, все следовало замаскировать причинами, которые внушали бы доверие. Гарри смутило то, что ему нужно было сказать: «Я хочу отправить вам файл», в то время как сам он вовсе не собирался делать этого. Он должен был заставить парня из Центра исследования и разработки думать, что файл придет от него, в то время как Центру предстояло получить файл с патентованным исходным кодом из Европы. «Почему я должен сказать, что это придет от меня, хотя на самом деле придет из-за границы?» – хотел знать Гарри.

«Парень из Центра – исполнитель, – объяснил Карл, – Он будет думать, что сделает одолжение для коллеги из Соединенных Штатов, получив файл от тебя и перенаправив его тебе».

Гарри наконец понял. Он позвонил в Центр, попросил соединить его с оператором компьютерного центра. На связи был парень примерно такого же возраста, как Гарри. Гарри поздоровался, объяснил, что он звонит из производственного отделения компании в Чикаго, и что он пытался отправить файл одному из партнеров, работающих над проектом, но, сказал он: «У нас проблема с маршрутизатором, их сеть недоступна. Я бы хотел отправить файл вам, а после того, как вы получите его, я позвоню вам, чтобы рассказать, как отправить его партнерам».

Пока все хорошо. Гарри затем спросил юношу, есть ли анонимный доступ к FTP-серверу (схема, которая позволяет любому записывать файлы и читать файлы из каталога, где не требуется пароль). Да, у них есть анонимный FTP, и он сообщил Гарри его внутренний IP-адрес.

LINGO

ANONYMOUS FTP –программа, предоставляющая доступ к удаленному компьютеру по протоколу FTP (File Transfer Protocol – протокол передачи файлов) даже при отсутствии учетной записи. Хотя доступ к анонимному FTP возможен без пароля, права пользователей на доступ к определенным каталогам ограничены.

 

Располагая такой информацией, Гарри снова позвонил в заграничный Центр разработок. Теперь сжатый файл был готов, и Гарри дал инструкции по передаче файла на анонимный FTP. Меньше, чем за пять минут файл с исходным кодом был отправлен парню в Центр исследования и разработок.

Подготовка жертвы

Второй шаг давал решение другой сложной проблемы. Ясно, что они не могли просить человека из Центра исследований и разработки отправить файл на… Пришло время звонить оператору из центра R&D. Гарри позвал его к телефону… Да, он пришел. Гарри затем попросил его переправить файл и дал ему IP-адрес. Он оставался на линии, пока юноша…

Анализ обмана

Второй решающий момент: человека, знавшего цену файла, попросили отправить его на внутренний адрес компании. И третья часть головоломки: оператор мог убедиться в том, что файл отправлен… А как насчет другого названия сжатого файла? Казалось бы, незначительный, но важный пункт. Атакующий не мог допустить,…

Сообщение Митника

В заключение, вы поняли, что делает эта история в главе о промышленном шпионаже? Если нет, то вот ответ: то, что двое студентов сделали как злую… Насколько легко могла быть выполнена такая атака на вашу компанию?

Предотвращение обмана

Безопасный оффлайн (Safety Off-Site ) Что могло помочь компании, столкнувшейся с проблемой хранения ? Опасности… Всегда есть опасность того, что ключи шифрования будут утеряны или что единственный человек, знающий ключи, попадет…

Авторитетность

Примеры атак: Социнженер пытается выдать себя за авторитетное лицо из IT департамента или должностное лицо, выполняющее задание компании.

Умение расположить к себе

Примеры атак: В разговоре атакующий пытается выяснить увлечения и интересы жертвы, а потом с… Взаимность

Ответственность

Примеры атак: Атакующий связывается с подходящим новым сотрудником и советует ознакомиться с…

Социальная принадлежность к авторизованным

Примеры атак: Звонящий говорит, что он проверяющий и называет имена других людей из… Ограниченное количество «бесплатного сыра»

Цели

Основным направлением, которого следует придерживаться при разработке программы по тренингу и защите информации, является фокусировка на мысли, что они могут подвергнуться нападению в любое время. Они должны заучить свою роль в защите от любой попытки проникновения в компьютерную систему или кражи важных данных.
Так как многие аспекты информационной безопасности являются «вовлекающей» технологией, то сотрудникам легко представить, что проблема обнаружится файерволом или другими средствами защиты. Главная цель здесь – заставить находящихся на ответственных местах сотрудников осознать, как усилить информационную «броню» организации.
Тренинг по безопасности должен быть более важной целью, чем простые правила для ознакомления. Создатель тренинга должен признать сильное желание части сотрудников, которые под давлением желания окончить работу не обратят внимание или проигнорируют обязанности по обеспечению защиты. Знание тактик и приемов социнженерии и пути их предотвращения безусловно важны, но они будут бесполезны без фокусирования создателя тренинга на мотивации работников использовать эти знания.
Компания может считать цель достигнутой, если все ее сотрудники свыкнуться с мыслью, что защита информации – часть их работы.
Сотрудники должны прийти к серьезному убеждению, что атаки социальной инженерии реальны, что потеря важной корпоративной информации может угрожать не только компании, но персонально каждому из них, их работе и благосостоянию. Не заботиться об информационной безопасности эквивалентно не заботиться о своем PIN-коде или номере кредитной карты. Эту аналогию можно использовать, чтобы вызвать энтузиазм в тренинге со стороны подчиненных.

Учреждение обучающего тренинга

Заметка: Для тех компаний, которые не имеют средств для самостоятельной разработки программы информационной безопасности существуют компании,… Истории в этой книге представляют собой огромное количество материала для…

Структура тренинга

Содержание тренировочной программы

В своей основе все атаки социнженеров опираются на обман. Жертва руководствуется верой в то, что атакующий – сотрудник или вышестоящий чиновник, авторизованный для получения важной информации, или человек, который вправе инструктировать жертву по работе с компьютером или сопутствующим оборудованием. Почти все эти атаки срываются, если жертва просто делает 2 шага:

  • Идентификация личности делающего запрос: действительно ли он тот, за кого себя выдает?
  • Авторизован ли этот человек: знает ли он необходимую дополнительную информацию и соответствует ли его уровень доступа сделанному запросу?

Заметка:
Так как одних тренировок недостаточно, используйте технологии безопасности, где только возможно, чтобы создать надежно защищенную систему. Это подразумевает, что безопасность, обеспечиваемая технологиями, измеряется, скорее, действиями отдельно взятых рабочих. Например, когда операционная система настроена на предотвращение закачек программ из Интернета, или когда выбирается короткий, легко отгадываемый пароль.

Если занятия по повышению осведомленности и общего уровня безопасности могут изменить поведение каждого сотрудника, что они будут тщательно проверять каждый запрос, исходя из положений программы. Следовательно, риск подвергнуться атаке социнженера резко падает.
Практическая информация тренинга по безопасности, описывающего черты человеческого характера и связанные с ними аспекты социнженерии, должна включать:

  • Описание того, как атакующий использует навыки социнженерии для обмана людей.
  • Описание методов, используемых социнженером для достижения цели.
  • Как предупреждать возможные атаки с использованием социальной инженерии.
  • Процедуру обработки подозрительных запросов.
  • Куда сообщать о попытках или удачных атаках.
  • Важность проверки того, кто делает подозрительный запрос, не считаясь с должностью или важностью.
  • Факт в том, что сотрудники не должны безоговорочно верить кому-то без надлежащей проверки, даже если первым побуждением будет сразу дать ответ.
  • Важность идентификации и проверки авторизованности кого-либо, кто делает запрос для получения информации или выполнения какого-либо действия с вашей стороны (см. «Процедуры проверки и авторизации», гл. 16, для способов проверки личности).
  • Процедуры защиты важной информации, включая любые данные для о системе ее хранения.
  • Положение политик и процедур безопасности компании и их важность в защите информации и корпоративной информационной системы.
  • Аннотация ключевых политик безопасности и их назначение. Например, каждый работник должен быть проинструктирован, как выбирать сложные для подбора взломщиком пароли.
  • Обязанности каждого работника следовать политикам и важность «несговорчивости».

Социальная инженерия по определению включает в себя некоторые виды человеческого взаимодействия. Атакующий будет очень часто использовать разные коммуникационные методы и технологии, чтобы достичь цели. По этой причине полноценная программа осведомленности должна включать в себя:

  • Политики безопасности для паролей компьютеров и голосовой почты.
  • Процедуры предоставления важной информации и материалов.
  • Политику использования электронной почты, включая защиту от удаленных атак с помощью вирусов, червей и «троянов».
  • Ношение бейджей как метод физической защиты.
  • Специальные меры в отношении людей, не носящих визиток-бейджей.
  • Практику использования голосовой почты наиболее безопасным образом.
  • Классификацию информации и меры для защиты особенно важной.

Установление оптимального уровня защиты для важных документов и медиа-данных, которые ее содержат, а также материалов, содержавших важную, но уже не актуальную, информацию, т.е. архивы.

Также, если компания планирует использовать тестирование с инсценированным проникновением, чтобы проверить свои сильные и слабые места во время атак с использованием социнженерии, то об этом следует предупредить сотрудников заранее. Дайте им знать, что в любое время может поступить телефонный звонок или запрос любым иным способом, используемым атакующим, который является частью теста. Используйте результаты этого теста не для паники, а для усиления слабых мест в защите.
Детали каждого из этих пунктов будут рассмотрены в главе 16.

Тестирование

Ваша компания может захотеть проверить уровень подготовки сотрудников, приобретенный благодаря тренировочной программе по повышению осведомленности, до того, как их допустят к работе с компьютерной системой. Если тест выстроен последовательно, то множество программ, оценивающих действия сотрудников, помогут выявить и усилить бреши в защите.
Также ваша компания может ввести сертификацию при прохождении данного теста, что будет являться дополнительным и наглядным стимулом для рабочих.
На обязательном завершающем этапе программы следует получить подпись в соглашении следовать установленным политикам и принципам поведения от каждого служащего. Ответственность, которую каждый берет на себя, подписав соглашение, помогает избегать в работе сомнений – поступить, как просят, или как установлено политикой безопасности.

Поддержание бдительности

Большинство людей знает, что интерес к обучению даже важным навыкам потухает со временем, разгораясь периодически. Поэтому жизненно важно поддерживать интерес сотрудников к изучению предмета безопасности и защиты от атак постоянно.
Один из методов сохранять безопасность основой мышления работника заключается в том, чтобы сделать информационную безопасность своеобразной работой, обязанностью каждого на производстве. Это ободряет сотрудника, потому что он чувствует себя одной из частей слаженного механизма безопасности компании. С другой стороны здесь существует сильная тенденция «безопасность – не моя работа, мне за нее не платят».
Если основная ответственность за информационную программу безопасности, обычно лежит на сотруднике отдела безопасности или отдела информационных технологий, то разработку такой системы лучше вести совместно со специальным отделом проведения тренинга.
Программа по поддержанию бдительности должна быть как можно более интерактивной и использовать любые доступные каналы для передачи сообщений, помогающих сотрудникам постоянно помнить о хороших привычках безопасности. Методы должны использовать все доступные традиционные каналы + особенные способы, которые разработчики программ только смогут придумать. К примеру, реклама, юмор и вредные советы – традиционные способы. Использование различных слов и написаний одних и тех же сообщений-напоминаний предохраняет их от назойливости и последующего игнорирования.
Список возможных действий для выполнения этой программы может включать:

  • Предоставление копий этой книги всем сотрудникам.
  • Информационные статьи, рассылки, напоминания, календари и даже комиксы.
  • Публикацию наиболее надежного работника месяца.
  • Специальные плакаты в рабочих помещениях.
  • Доски объявлений.
  • Печатные вкладыши в конвертах с зарплатой.
  • Рассылки с напоминаниями по электронной почте.
  • Хранители экрана и экранные заставки с напоминаниями.
  • Вещание напоминаний через голосовую почту.
  • Специальные наклейки на телефонах. Например: «Звонящий действительно тот, за кого себя выдает?»
  • Системные сообщения в компьютерной сети. Пример: при входе в систему под своим логином пользователь видит сообщение: «Если Вы пересылаете конфиденциальную информация по Email, не забудьте зашифровать ее!»
    Постановку вопроса безопасности одним из постоянных на собраниях, пятиминутках и т.д.
  • Использование локальной сети для напоминаний в картинках, анекдотах и в виде любой другой информации, которая сможет заинтересовать пользователя и прочитать текст.
  • Электронные табло в общественных местах, например, в кафетерии, с часто обновляемой информацией о положениях политик безопасности.
    Распространение буклетов и брошюр.
  • Изобретение трюков, таких как печения с предсказаниями с напоминаниями о безопасности вместо загадочных слов о будущем.

Вывод: напоминания должны быть своевременными и постоянными.

«Зачем мне все это?»

Для расширения тренинга я рекомендую активную яркую программу вознаграждений. Вы должны объявлять сотрудникам, кто отличился, выявив и предотвратив атаку социнженера или добился большого успеха в освоении программы безопасности и осведомленности. Существование такой программы поощрения должно подчеркиваться на каждом мероприятии, посвященном тренингу, а взломы должны быть широко освещены и разобраны внутри компании.
Но есть и другая сторона монеты: люди должны понимать, что нарушение политик безопасности и установленных процедур, халатность наказуемы. Все мы делаем ошибки, но взломы не должны повторяться.

Глава 16: Рекомендуемая политика корпоративной информационной безопасности

(Chapter 16 Recommended Corporate Information Security Policies)

Перевод выполнялся по частям:

1 - c0Un2_z3r0
2 - madpr
3 - Artem
4 - Daughter of the Night
5 - Artem
6 - madpr
7 - Artem
8 - Artem
9 - titov
10 - Vedmak

{1-я часть}

Рекомендуемые политики корпоративной безопасности

В принципе, не существует статистики по атакам вида социальной инженерии, но если бы была, цифры были бы ошибочными; в большинстве случаев в… Против почти всех видов атак социальной инженерии существуют защитные меры.… Фактически, с совершенствованием уровня технической защиты против атак, использование людей с помощью социальной…

Пути к развитию программы

Первичная цель в определении риска заключается в определении, какая информация нуждается в сиюминутной защите и насколько эффективна будет защита с… Само собой, что высшее руководство компании должно поддерживать идею развития… Человек, который будет заниматься составлением правил, должен понимать, что документ должен быть написан в стиле,…

Как использовать эти правила

Авторы норм для корпораций должны выбрать лишь те, которые подходят компании. Каждая организация имеет разный микроклимат и специфику, в том числе и… В то же время необходимо решить, насколько строгими будут нормы в каждой…

Классификация информации.

Нормальная ситуация в большинстве нынешних компаний - отсутствие классификации. Обычно работники принимают решения на основе субъективных факторов,… Классификация позволяет разделить всю информацию на несколько уровней, в… Каждый работник должен пройти специальную тренировку, даже тот, кто обычно не пользуется компьютерами или…

Категории классификации и определения

Конфиденциальная.Эта группа наиболее важна. Такая информация предназначается для использования лишь внутри организации. В большинстве случаев, она… Частная. К этой категории относятся данные личного рода, призванные к…  

Заметка

  Внутренняя. Эта информация может предоставляться любому человеку, работающему… Соглашение о конфиденциальности должно быть подписано раньше, чем внутренняя информация может быть раскрыта третьим…

Терминология классификации данных

Доверенное лицо - это человек, которого вы встречали лично, кто является текущим работником/ клиентом/ консультантом компании с необходимым уровнем… При поручительстве третьих лиц, доверенное лицо предоставляет подтверждение… Привилегированный аккаунт - это компьютер, либо другой аккаунт, требующий разрешений на доступ сверх базового…

Процедуры проверки и разрешения.

Процедуры, указанные в этой главе, призваны помочь работнику, получившему запрос по любому средстве коммуникации, например, по телефону, электронной…

Запросы от доверенного человека

Запрос информации или действия от доверенного лица может потребовать:

  • Проверка его текущей занятости в компании, требующей доступа к указанной категории информации. Это поможет отсеять уволенных рабочих, торговцев и других, кто больше не работает в компании.
  • Проверка надобности в информации и прав на нее.

Запросы от непроверенного человека

Это важно, чтобы процесс не был настолько громоздким, что стоил бы много денег, либо работники игнорировали его. Как показано ниже, процесс проверки включает в себя три ступени: … Шаг первый: подтверждение личности

Заметка

  Получение разрешения от менеджера.Работник связывается со своим менеджером или… Получение разрешения от информационного владельца, либо назначенного должностного лица.Первый решает, получит ли…

Политика руководства

Политики руководства и управления можно разделить на политику Организации информации, политику Раскрытия информации, политику Управления телефонными узлами, и Прочие политики. Обратите внимание, что каждая из этих категорий использует уникальную нумерацию для того, чтобы было проще найти отдельные правила и решения.

Правила организации информации

Правила организации информации определяют то, как ваша компания классифицирует информацию по степени важности и секретности, а также лиц, имеющих доступ к этой информации.

1-1 Организация информации в классы

Пояснения/заметки: Непосредственный владелец (или уполномоченное лицо) распределяет в классы любую информацию, широко использующуюся для достижения… Владелец также контролирует список тех, кто может получить доступ к этой… Любая информация, если иное явно не указано, должна быть классифицирована как чувствительная.

1-2 Процедуры контроля публикации и распространения

Политика:Компания должна разработать процедуры управления выдачей информации любой категории.

Пояснения/заметки:После того, как вся информация распределена в классы, должны быть разработаны процедуры выдачи ее сотрудникам и третьим лицам, как описано в разделе Процедуры проверки и идентификации ранее в этой главе.

1-3 Нанести пометки на каждый документ

Пояснения/заметки:Печатные документы должны иметь титульный лист, с отчетливой отметкой о принадлежности к тому или иному классу. Кроме того,… Все электронные документы, файлы и т. д, которые невозможно просто пометить… Все компьютерные носители, такие как дискеты, диски и магнитные ленты должны быть помечены в соответствии с высочайшей…

Публикация информации

Публикация информации подразумевает выдачу ее различным сторонам, с учетом степени полезности этой информации для них, и их личности (положения в компании).

2-1 Процедура проверки служащих

Пояснения/заметки: Где это оправдано размерами компании и требованиями к безопасности, следует использовать продвинутые технологии для подтверждения…

2-2 Раскрытие информации третьим лицам

Пояснения/заметки:В основном, подобные процедуры распространения должны использоваться для: Информации, распространяемой внутри компании…

2-3 Распространение Конфиденциальной информации

Пояснения/заметки: Конфиденциальная информация в материальной форме (например, печатная копия или сменный носитель информации) может быть… Конфиденциальная информация в электронной форме (компьютерные файлы, файлы баз… Конфиденциальная информация подлежит обсуждению лично; по внутреннему телефону; по внешнему телефону, в случае если…

2-4 Распространение личной информации

Пояснения/заметки: Личная информация в материальной форме (например, печатная копия или сменный носитель информации) может быть передана: Лично. По…

2-5 Распространение личной информации

Политика: Внутренняя информация, т.е. информация, подлежащая распространению только в пределах компании или другим лицам подписавшим Договор о неразглашении информации. Вы должны разработать инструкцию по распространению внутренней информации.

Объяснение/Заметки: Внутренняя информация может передаваться в любой форме, включая внутреннюю электронную почту, но не может быть передана за пределы компании в незашифрованном виде.

2-6 Обсуждение Чувствительной информации по телефону

Пояснения/заметки: Если голос собеседника вам не знаком, вызовите его по внутреннему телефонному номеру для проверки его валидности с помощью…

2-7 Процедуры обмена информацией для сотрудников приемных.

Пояснения/заметки: Данное правило также распространяется на всю исходящую корреспонденцию и почтовые отправления в любой сервис доставки (FedEx,…

2-8 Передача программного обеспечения третьим лицам.

Пояснения/заметки: Выдача программного обеспечения может производиться на основании выводов о том, является ли оно необходимым для работы…

2-9 Процедуры обмена информацией для сотрудников отделов Маркетинга и Продаж.

Пояснения/заметки:Довольно широко применяется тактика, используемая многими промышленными шпионами: связаться с представителем отдела маркетинга…

2-10 Передача файлов (данных).

Пояснения/заметки:Социальный инженер может с легкостью одурачить сотрудника убедительной просьбой скопировать Чувствительную информацию на диск,… {3-я часть}

Телефонное администрирование

Политика управления телефонными разговорами гарантирует, что служащие могут проверить личность звонящего и защитить свою контактную информацию от тех людей, которые звонят в компанию.

3-1 Переадресация коммутируемых линий и факсов

Пояснения/заметки: Опытные атакующие могут обманным путем заставить персонал телефонной компании или штатных связистов компании переадресовать…

3-2 Caller ID

Политика:Корпоративная телефонная система должна отображать caller ID на внутренних телефонах компании, и по возможности, использовать другой звонок (мелодию) в случае звонков извне.

Пояснения/заметки: Если служащие могут проверить подлинность внешних телефонных звонков, это поможет им предотвратить атаку или опознать (установить личность) атакующего и сообщить о нем в службу безопасности.

3-3 Визитные телефоны

Пояснения/заметки: Если для внутренних звонков отображается только номер, то для звонков из приемной (вестибюля) и любых общедоступных мест должно…

3-4 Пароли телефонных станций (офисных АТС) по умолчанию

Политика:Администратор голосовой почты перед использованием телефонной системы должен сменить все пароли, заданные производителем по умолчанию.

Пояснения/заметки:Социальные инженеры могут получить от производителей списки паролей по умолчанию и получить доступ с правами администратора.

3-5 Голосовая почта подразделений

Политика:Создайте публичный голосовой ящик для каждого подразделения

Пояснения/заметки: Первый шаг социальной инженерии включает в себя сбор информации о компании и ее персонале. Ограничив доступность имен и телефонов служащих, компания усложняет для социального инженера выбор жертвы, а также использование имен служащих с целью обмана других работников.

3-6 Проверка поставщика телефонной системы

Политика:Специалисты, не сертифицированные (рекомендованные) производителем, не получат удаленный доступ к телефонной системе компании без проверки и права производить работы.

Пояснения/заметки:Компьютерные взломщики, у которых есть доступ к корпоративной телефонной системе, получают возможность создавать голосовые почтовые ящики, перехватывать сообщения для других пользователей или делать телефонные звонки за счет компании.

3-7 Конфигурация телефонной системы

Политика:Администратор голосовой почты выполнит требования безопасности, настроив соответствующие параметры безопасности телефонной системы.

Пояснения/заметки:Телефонные системы могут быть настроены с той или иной степенью безопасности для голосовых сообщений. Администратор должен быть осведомлен о политике безопасности компании и настроить совместно со службой безопасности телефонную систему для защиты конфиденциальных данных.

3-8 Отслеживание звонков

Пояснения/заметки:Следует обучить служащих, как и в каких случаях отслеживать звонок. Отслеживание звонка должно использоваться, когда налицо…

3-9 Автоматизированные телефонные системы (АТС)

Пояснения/заметки:Атакующие могут использовать АТС компании для определения телефонных номеров служащих. Зная телефонные номера, атакующие могут… 3-10 Блокировка голосовых ящиков после попыток несанкционированного доступа… Пояснения/заметки: Администратор голосовой почты должен блокировать голосовой ящик после пяти неудачных попыток входа.…

3-11 Запрещенные номера

Пояснения/заметки:Хотя такая политика блокирует большинство попыток социальных инженеров, следует заметить, что опытный атакующий может уговорить…

Разное

4-1 Дизайн значка (бэджика) служащего

Пояснения/заметки:Фотография на обычных корпоративных значках, с точки зрения безопасности, только немного лучше, чем ничего. Расстояние между…

4-2 Пересмотр прав доступа после смены должности или ответственности

Пояснения/заметки:Управление правами доступа персонала необходимо для ограничения доступа к защищенной информации. Правило наименьшей привилегии…

4-3 Особая идентификация для сторонних лиц

Пояснения/заметки: Те, кто регулярно входит в здание (например, чтобы доставить еду или напитки в кафетерий, или отремонтировать копировальный…

4-4 Отключение (блокирование) учетных записей временных служащих

Пояснения/заметки: Когда работа служащего прекращается, существует опасность, что он или она использует свои знания систем и порядков компании для…

4-5 Структура, работающая с отчетами об инцидентах

Пояснения/заметки:Централизованные отчеты об ожидаемых инцидентах безопасности помогут обнаружить атаку, которая могла бы остаться незамеченной. В…

4-6 Горячая линия инцидентов

Пояснения/заметки: Когда служащие подозревают, что они являются целью атаки социальной инженерии, у них должна быть возможность немедленно известить…

4-7 Секретные области должны быть защищены

Пояснения/заметки:Одна форма аутентификации использует электронный замок, который требует, чтобы служащий приложил свой значок и набрал код доступа.…

4-8 Шкафы с сетевым и телефонным оборудованием

Пояснения/заметки: Только авторизованный персонал должен иметь доступ к телефонным и сетевым шкафам. Любой внешний обслуживающий персонал должен…

4-9 Ящики внутренней почты

Пояснения/заметки:Промышленные шпионы или компьютерные взломщики, у которых есть доступ к любым точкам сбора почты внутри компании, могут отправить…

4-10 Доски объявлений компании

Пояснения/заметки:Во многих компаниях есть доски объявлений где размещается конфиденциальная информация, доступная всем. Объявления о найме, списки…

4-11 Вход в компьютерный центр

Политика: Машинный зал или хранилище данных должно быть всегда закрыто, и персонал должен проходить проверку личности перед входом.

Пояснения/заметки:Корпоративная безопасность должна предусматривать применение электронных жетонов или устройств считывания карт доступа, так чтобы все входы фиксировались и проверялись.

4-12 Учетные записи пользователей у поставщиков услуг

Пояснения/заметки: Многие поставщики разрешают пользователям задавать пароль по требованию; компания должна задать пароли для всех поставщиков…

4-13 Контактное лицо подразделения

Политика:Ваша компания может ввести программу, по которой каждое подразделение или рабочая группа назначит контактным лицом служащего, таким образом, любой работник может легко проверить личность неизвестного человека, утверждающего, что он из этого подразделения. Например, отдел технической поддержки может связаться с контактным лицом, чтобы проверить личность служащего, запросившего поддержку.

Пояснения/заметки:Этот метод проверки личности уменьшает число служащих, авторизованных ручаться за работников их подразделения, когда такие служащие делают запрос в службу поддержки по поводу сброса пароля или по другому вопросу, связанному с учетными записями. Атаки социальной инженерии отчасти успешны, потому что персонал техподдержки работает в условиях дефицита времени и не проверяет соответствующим образом личность людей, сделавших запрос.

4-14 Пароли пользователей

Пояснения/заметки: Социальные инженеры часто звонят в сервисную службу и под благовидным предлогом пытаются получить сведения об аутентификации…

4-15 Поиск уязвимостей

Пояснения/заметки: Без предупреждения о попытках вторжения методами социальной инженерии персонал компании может испытывать неудобство, гнев или…

4-16 Отображение конфиденциальной информации компании

Политика: Информация компании, не предназначенная для огласки, не должна отображаться в общедоступных местах.

Пояснения/заметки: Не только конфиденциальная информация о продукте или распорядке, но и внутренняя контактная информация, такая как внутренние телефоны, списки служащих или , которая содержит список управляющего персонала каждого подразделения компании, должна храниться втайне.

4-17 Обучение безопасности

Пояснения/заметки:Многие организации пренебрегают обучением конечных пользователей. только 30% обследованных организаций потратили деньги на…

4-18 Курс безопасности для получения доступа к компьютерам

Пояснения/заметки: Социальные инженеры часто охотятся за новыми служащими, зная, что обычно это люди, наименее осведомленные о политиках…

4-19 Значок служащего должен быть закодирован цветом (использовать цветовое обозначение)

Пояснения/заметки: Цвет значка – отличный способ для определения статуса человека на расстоянии. Альтернативой может быть использование больших букв… {4-я часть}

Политика информационной безопасности

В любой фирме, отдел IT особо нуждается в правилах, которые помогут защитить данные фирмы. Чтобы отразить типичную структуру операций, связанных с информационными технологиями, я разделил их на "Основные", "Техническая поддержка", "Администрирование компьютеров" и "Компьютерные операции".

Основные

5-1 Контактные данные сотрудников отдела IT

Пояснения/заметки:Это правило предотвращает эксплуатацию контактных данных социальным инженером. Запретив доступ к контактным телефонам или…

5-2 Просьбы о технической поддержке

Пояснения/заметки: Социальные инженеры могут попробовать атаковать сотрудников IT, которые обычно не занимаются технической поддержкой, и могут не…

Техническая поддержка

6-1 Процедуры удаленного доступа

Звонящий не подтвержден как человек, имеющий право получать внутрикорпоративные данные, и Звонящим не разрешено подключаться к корпоративной сети как внешнему… Пояснения/заметки:Корпоративная техническая поддержка нередко является главной целью социального инженера из-за того,…

6-2 Смена пароля

Пояснения/заметки:Один из наиболее часто используемых социальными инженерами сценариев - заставить кого-либо сменить пароль другого пользователя.…

6-3 Изменение прав доступа

Пояснения/заметки:Как только взломщик получил стандартный пользовательский аккаунт, следующим шагом будет увеличение привилегий, и атакующий…

6-4 Добавление нового аккаунта

Пояснения/заметки:Поскольку пароли и другая информация, необходимая для взлома является мишенью для воров, желающих получить доступ, необходимы…

6-5 Получение новых паролей

Пояснения/заметки:Можно также использовать внутрикорпоративную почту, но рекомендуется отправлять пароли в конвертах, через которые не…

6-6 Блокирование аккаунта

Пояснения/заметки: Цель этого правила - предотвратить подделку атакующим просьбу на блокирование аккаунта, а затем позвонить пользователю и…

6-7 Отключение сетевых портов или устройств

Пояснения/заметки:цель этого правила - предотвращение подделки атакующим просьбы отключить сетевой порт, а затем позвонить сотруднику с целью…

6-8 Разглашение процедур беспроводного доступа

Политика:Никто не должен разглашать процедуры доступа к корпоративной информации с помощью компьютерных сетей лицам, которым не разрешено подключаться к беспроводной сети.

Пояснения/заметки:Всегда проверяйте, разрешено ли звонящему подключаться к корпоративной сети , прежде чем предоставить ему информацию. Смотрите процедуры верификации и авторизации.

6-9 Сведения о неисправностях пользователей

Пояснения/заметки: Используя типичный метод атаки, социальный инженер позвонит в отдел технической поддержки и попросит список имен людей, которые…

6-10 Выполнение команд или запуск программ

Пояснения/заметки:Типичный метод установки трояна или вредоносного ПО - изменить имя файла на имя существующей программы, и позвонить в техническую… Это правило противодействует этой тактике, требуя от персонала проверять,… {5-я часть}

Администрирование компьютеров

7-1 Изменение глобальных прав доступа

Политика: Запрос на изменение глобальных прав доступа должен быть одобрен группой, ответственной за управление правами доступа в корпоративной сети.

Пояснения/заметки:Авторизованный персонал проанализирует каждый такой запрос, чтобы определить, не повлечет ли изменение за собой угрозу информационной безопасности. Если угроза существует, ответственный служащий сообщит о полученных выводах просителю, и они совместно примут решение о необходимых изменениях.

7-2 Запросы на удаленный доступ

Пояснения/заметки:Определение необходимости доступа в корпоративную сеть извне авторизованным персоналом и предоставление доступа только тем, кому…

7-3 Сброс паролей привилегированных учетных записей

Политика: Просьба сбросить пароль привилегированной учетной записи должна быть одобрена системным администратором, ответственным за компьютер, на котором существует эта учетная запись. Новый пароль должен быть отправлен по внутренней почте или передан лично.

Пояснения/заметки:Привилегированные учетные записи имеют доступ ко всем системным ресурсам и файлам, хранимым в компьютерной системе. Естественно, эти учетные записи должны быть наиболее защищенными.

7-4 Удаленный доступ персонала внешней поддержки

Пояснения/заметки:Компьютерные взломщики могут представиться поставщиками, чтобы получить доступ к корпоративной сети. Следовательно, в дополнение к…

7-5 Сложная аутентификация для удаленного доступа к корпоративным системам

Пояснения/заметки:Многие организации используют статические пароли как средство аутентификации удаленных пользователей. Эта практика опасна, так как… Таким образом, любая точка удаленного доступа должна быть защищена с…

7-6 Конфигурация операционной системы

Пояснения/заметки: Основной шаг к снижению риска – разработка и распространение политик безопасности, но в большинстве случаев необходимо их…

7-7 Обязательное окончание срока действия учетных записей

Пояснения/заметки: Цель данной политики – уменьшить количество неиспользуемых учетных записей, поскольку компьютерные взломщики обычно используют…

7-8 Общие адреса электронной почты

Пояснения/заметки:Общий адрес электронной почты может быть сообщен общественности секретарем по телефону или указан на веб-сайте компании. В…

7-9 Контактная информация для регистрации домена

Пояснения/заметки:Цель данной политики – предотвратить злоупотребление контактной информацией со стороны компьютерных взломщиков. Когда указаны…

7-10 Установка обновлений безопасности и обновлений операционной системы

Пояснения/заметки: Как только была обнаружена уязвимость, следует немедленно связаться с разработчиком программного обеспечения, чтобы выяснить,… Множество уязвимостей безопасности обнаруживаются, и сведения о них…

7-11 Контактная информация на веб-сайтах

Пояснения/заметки:Информация о корпоративной структуре, как то организационные диаграммы, иерархические диаграммы, списки служащих или…

7-12 Создание привилегированных учетных записей

Пояснения/заметки: Компьютерные взломщики часто представляются поставщиками аппаратного или программного обеспечения, обманным путем заставляя…

7-13 Гостевые учетные записи

Пояснения/заметки:Гостевые учетные записи служат для предоставления временного доступа людям, которым не нужны собственные учетные записи. В…

7-14 Шифрование резервных копий

Политика: Любые данные компании, которые хранятся на стороне, должны быть зашифрованы, чтобы предотвратить несанкционированный доступ.

Пояснения/заметки: Оперативный персонал должен убедиться в том, что все данные могут быть восстановлены в случае необходимости. Это требует регулярной проверки возможности расшифровки выборочного набора файлов. Кроме того, ключи, используемые для шифрования, должны храниться у доверенного менеджера на случай потери ключей.

7-15 Доступ посетителей к сетевым соединениям

Пояснения/заметки:Цель данной политики – предотвратить подключение посторонних лиц к внутренней сети. Трафик от розеток Ethernet, установленных в…

7-16 Модемы для входящих соединений

Пояснения/заметки:Как показано в фильме «Военные игры», хакеры используют способ, называемый «war dialing», чтобы обнаружить телефонные линии, к…

7-17 Антивирусные программы

Пояснения/заметки: На предприятиях, где антивирус на рабочих станциях не обновляется автоматически, отдельные пользователи должны отвечать за…

7-18 Вложения входящей почты (высокие требования безопасности)

Политика: В организации с высокими требованиями безопасности корпоративный межсетевой экран должен фильтровать все вложения электронной почты.

Пояснения/заметки: Данная политика относится только к организациям с высокими требованиями безопасности или к тем компаниям, которым не требуется получение вложений электронной почты.

7-19 Проверка программного обеспечения

Пояснения/заметки: Программное обеспечение, упоминаемое в данной политике, включает в себя компоненты операционной системы, прикладные программы или… Обратите внимание на то, что опытный атакующий может узнать, что ваша…

7-20 Пароли по умолчанию

Политика:У всех операционных систем и устройств пароль по умолчанию должен быть сброшен в соответствии с политикой паролей компании.

Пояснения/заметки: Некоторые операционные системы и компьютерные устройства поставляются с паролями по умолчанию, то есть такой же пароль установлен на каждом проданном экземпляре. Во время атаки взломщик в первую очередь использует пароль по умолчанию.

7-21 Блокировка неудачных попыток доступа (с уровень безопасности от низкого до среднего)

Пояснения/заметки: Все рабочие станции и серверы компании должны ограничивать число неудачных попыток входа. Данная политика необходима для…

7-22 Отключение учетной записи после неудачных попыток входа (высокий уровень безопасности)

Пояснения/заметки: Все рабочие станции и серверы компании должны ограничивать число неудачных попыток входа. Данная политика необходима для…

7-23 Периодическая смена паролей привилегированных учетных записей

Политика: Все владельцы привилегированных учетных записей должны менять свои пароли по крайней мере через каждые тридцать дней.

Пояснения/заметки: В зависимости от ограничений операционной системы, системный администратор должен осуществить данную политику настройкой параметров безопасности.

7-24 Периодическая смена паролей пользователей

Политика:Все владельцы учетных записей должны менять свои пароли по крайней мере через каждые шестьдесят дней.

Пояснения/заметки:Системные администраторы должны осуществить данную политику настройкой параметров безопасности операционных систем, имеющих такую возможность.

7-25 Установка паролей новых учетных записей

Политика: Для новых учетных записей следует задавать начальный пароль, который требуется сменить при первом входе в систему.

Пояснения/заметки:Данное требование гарантирует, что только владелец учетной записи будет знать свой пароль.

7-26 Загрузочные пароли

Политика: Все компьютерные системы должны быть настроены так, чтобы требовать пароль при загрузке.

Пояснения/заметки: Компьютеры должны быть настроены так, чтобы требовать пароль после включения, до загрузки операционной системы. Это предотвращает несанкционированное использование компьютеров посторонними лицами. Данная политика применяется ко всем компьютерам компании.

7-27 Требования к паролям привилегированных учетных записей

Пояснения/заметки: В большинстве случаев компьютерные взломщики выбирают учетные записи с системными привилегиями. Иногда атакующий использует…

7-28 Беспроводные точки доступа

Пояснения/заметки:Беспроводные сети атакуются с помощью новой технологии «war driving». Данная технология заключается в том, что беспроводная сеть…

7-29 Обновление антивирусных баз

Политика:На каждом компьютере антивирусные базы должны обновляться автоматически.

Пояснения/заметки:Такие обновления должны выполняться, по крайней мере, еженедельно. В организациях, где служащие оставляют свои компьютеры включенными, рекомендуется обновлять антивирусные базы ночью. Антивирусные программы неэффективны, если не обновляются. Важно, чтобы антивирусные программы своевременно обновлялись, иначе существенно возрастает угроза

{6-я часть}

Операции с компьютером

8-1 Ввод команд и запуск программ

Пояснения/заметки:Персонал, работающий с компьютером – излюбленная мишень социальных инженеров, поскольку для их работы обычно требуются…

8-2 Сотрудники, имеющие привилегированное положение

Пояснения/заметки:Социальные инженеры часто используют сотрудников с привилегированным доступом. Назначение данного правила - научить таких…

8-3 Информация о внутренней системе

Пояснения/заметки:Взломщики часто обращаются к системным администраторам чтобы получить ценную информацию, такую как процедуры входа в систему,… Запросы к персоналу компании о внутреннем устройстве корпоративной… В некоторых случаях сотрудники внешних компаний-поставщиков могут обращаться к персоналу, имеющему доступ к…

8-4 Предоставление паролей

Пояснения/заметки: Другими словами, передача паролей кому-либо строго запрещена (за исключением чрезвычайных ситуаций, когда это необходимо) Для большей безопасности, ответственность за разглашение учетной информации…

8-5 Электронные носители

Политика:Все электронные носители, содержащие информацию, не предназначенную для публичного доступа, должны находиться в физически защищенном помещении.

Пояснения/заметки: Цель этой политики – предотвратить физическое хищение носителей с ценной информацией.

8-6 Резервные копии

Пояснения/заметки:Резервные копии – еще одна основная цель компьютерных взломщиков. Атакующий не будет тратить время на анализ уязвимой компьютерной…

Правила для всех сотрудников

В независимости от подразделения компании, в котором работает тот или иной сотрудник, он должен быть ознакомлен с рядом правил. Эти правила подразделяются на Общие, По пользованию компьютером, Электронной почтой, правила для телеоператоров, правила пользования телефоном, факсом, голосовой почтой и паролями.

Общие правила

9-1 Сообщения о подозрительных вызовах

Пояснения/заметки: Когда социнженеру не удается заставить атакуемого выполнить необходимые действия, он всегда попытается обратиться к кому-нибудь…

9-2 Документирование подозрительных вызовов

Политика:В процессе телефонного разговора, который, по мнению сотрудника является подозрительным, он может попытаться разговорить собеседника так что тот раскроет информацию, позволяющую сделать выводы о целях, которые он пытается достигнуть, и сделать соответствующие пометки в журнале.

Пояснения/заметки:Собранные таким образом сведения могут помочь группе оперативного реагирования установить мотив взлома или личность атакующего.

9-3 Предоставление номеров телефонов модемного пула

Пояснения/заметки:Номера телефонов модемного доступа должны расцениваться как Внутренняя информация, которая может быть доступна только сотрудникам,… Социальные инженеры часто нацеливаются на наименее защищенных сотрудников и…

9-4 Корпоративные идентификаторы (badges)

Политика: Кроме случаев, когда сотрудники находятся непосредственно в зоне своего рабочего места, они должны иметь при себе корпоративные идентификаторы.

Пояснения/заметки:Все сотрудники, включая управляющий персонал и директоров, должны понимать, что ношение идентификационных бейджев обязательно везде, кроме общественных мест и зоны работы сотрудника.

9-5 Отслеживание нарушений, связанных с ношением идентификаторов

Пояснения/заметки:Вряд ли какая-либо компания желает создать такую корпоративную культуру, когда каждый сотрудник ищет любой способ уличить своего…

9-6 Проникновение через защитные системы

Пояснения/заметки:Сотрудники компании должны понимать, что не является грубостью требовать от неизвестных людей удостоверения их личности перед тем,… Социальные инженеры часто пользуются техникой, известной как piggybacking,…

9-7 Уничтожение важных документов

Пояснения/заметки:Обычные уничтожители некачественно выполняют свою работу, в то время как перекрестные (cross-shredders) превращают документы в… Промышленные шпионы и компьютерные взломщики часто обнаруживают ценную…

9-8 Персональные идентификаторы

Пояснения/заметки:Социальный инженер может добыть персональную информацию за деньги. На самом деле, несмотря на всеобщее мнение, любой человек с…

9-9 Схема предприятия

Политика: Детали, показанные на схеме внутреннего устройства компании не должны предоставляться никому, кроме сотрудников.

Пояснения/заметки:Информация о корпоративной структуре включает схемы предприятия, иерархические диаграммы, списки сотрудников, отчетные структуры, внутренние телефонные номера, номера сотрудников, и др.

На первом этапе социнженерной атаки целью является собрать информацию о структуре атакуемой компании. Эта информация затем используется для составления плана и стратегии атаки. Атакующий может также проанализировать эту информацию чтобы определить кто из сотрудников с наибольшей вероятностью владеет необходимой ему информацией. В процессе проведения атаки подобная информация позволяет атакующему выдать себя за действительного сотрудника, повышая свои шансы на успех.

9-10 Частная информация о сотрудниках

Политика:Любая просьба касающаяся личной информации сотрудника должна быть перенаправлена в отдел кадров

Пояснения/заметки:Исключением может быть только номер телефона сотрудника, с которым надо немедленно связаться по делу. Но предпочтительнее узнать номер звонящего, и попросить сотрудника ему перезвонить.

{7-я часть}

Использование компьютера

10-1 Ввод команд

Пояснения/заметки: Один из распространенных способов социальных инженеров – просьба ввести команду, которая меняет конфигурацию системы, позволяет…

10-2 Соглашения о внутренних наименованиях

Пояснения/заметки:Социальные инженеры иногда пытаются узнать имена компьютеров компании; как только имена станут известны, атакующий звонит в…

10-3 Просьбы запустить программы

Пояснения/заметки:Любой просьбе запустить программы, приложения или выполнить любое действие на компьютере следует отказать, если проситель не… Компьютерные взломщики обманом заставляют людей запускать программы, дающие…

10-4 Загрузка или установка программ

Пояснения/заметки: Служащих должна насторожить необычная просьба, связанная с любым видом компьютерных действий. Социальные инженеры часто обманным…

10-5 Пароли в текстовом виде и электронная почта

Политика:По электронной почте следует отправлять пароли только в зашифрованном виде.

Пояснения/заметки:Хотя это не рекомендуется, данная политика может не использоваться сайтами электронной коммерции в определенных случаях: при отправке паролей пользователям, зарегистрировавшимся на сайте; при отправке паролей пользователям, которые потеряли или забыли свои пароли.

10-6 Защитные программы

Политика: Персоналу компании не следует удалять или отключать антивирусы, сетевые экраны или другие защитные программы без одобрения IT-отдела.

Пояснения/заметки:Пользователи иногда отключают защитные программы без веских оснований, считая, что это повысит производительность компьютера. Социальный инженер может попытаться обманным путем заставить служащего отключить или удалить программу, необходимую для защиты.

10-7 Установка модемов

Пояснения/заметки: Важно осознать, что модемы на рабочем месте представляют серьезную угрозу безопасности, особенно в корпоративной сети.… Хакеры используют способ, называемый «war dialing», чтобы обнаружить активные…

10-8 Настройки автоответчика модема

Политика: На компьютерах с модемами, подключенными с согласия IT-отдела, должна быть отключена возможность автоответчика для предотвращения наборного доступа к компьютеру.

Пояснения/заметки: По возможности, IT-отдел должен развернуть модемный пул для служащих, которым нужно звонить во внешние компьютерные системы с помощью модема.

10-9 Средства взлома

Пояснения/заметки: В Интернете множество сайтов со средствами для взлома условно-бесплатных и коммерческих программных продуктов. Использование этих…

10-10 Размещение информации компании онлайн

Пояснения/заметки:Любое сообщение, размещенное в Usenet, на форумах, досках объявлений или в рассылках, можно найти, собирая информацию о целевой… Этой проблемы можно избежать внедрением политики, которая разрешает служащим…

10-11 Дискеты и другие электронные носители

Пояснения/заметки: Один из методов, применяемых атакующими для установки вредоносного кода, – поместить программы на дискету или компакт-диск и…

10-12 Уничтожение электронных носителей

Пояснения/заметки:Хотя сегодня наиболее распространено уничтожение твердых копий документов, работники компании могут не придавать значения угрозе…

10-13 Хранители экрана, защищенные паролем

Политика: Все пользователи должны установить пароль хранителя экрана и время бездействия по истечении которого компьютер блокируется.

Пояснения/заметки: Все служащие обязаны установить пароль хранителя экрана время бездействия не более 10 минут. Цель данной политики – не допустить использование компьютера неавторизованным лицом. Кроме того, данная политика защищает компьютерные системы компании доступа посторонних людей, проникших в здание.

10-14 Положение о неразглашении паролей

Политика:Перед созданием новой учетной записи служащий или наемный работник должен письменно подтвердить, что он или она не будет сообщать пароль кому-либо и что он или она согласен следовать этой политике.

Пояснения/заметки:Соглашение также должно содержать предупреждение о том, что нарушение соглашения может привести к дисциплинарному взысканию, вплоть до увольнения.

Использование электронной почты

11-1 Вложения электронной почты

Пояснения/заметки:Все вложения должны быть досконально изучены. Вы можете потребовать от доверенного лица уведомления об отправке, прежде чем… Один из методов компрометации компьютерной системы заставляет служащего…

11-2 Автоматическая переадресация на внешние адреса

Пояснения/заметки:Цель данной политики – предотвратить получение посторонним лицом электронной почты, отправленной на внутренний адрес. Служащие…

11-3 Пересылка электронной почты

Политика:Любая просьба от неизвестного человека переслать электронное сообщение другому неизвестному человеку требует подтверждения личности просителя.

11-4 Проверка электронной почты

Пояснения/заметки:Атакующий легко может подделать электронное письмо и его заголовок, чтобы оно появилось как письмо, отправленное с другого адреса.… {8-я часть}

Использование телефонов

12-1. Участие в телефонных опросах

Пояснения/заметки:Социальные инженеры для получения ценной информации звонят служащим под предлогом телефонного опроса. Удивительно, как много людей…

12-2. Разглашение внутренних телефонов

Политика:Если неизвестный человек спрашивает у служащего его телефонный номер, то служащий может принять разумное решение, нужно ли это для бизнеса компании.

Пояснения/заметки: Цель данной политики – потребовать от служащих принятия обоснованных решений о необходимости сообщать свой телефонный номер. Когда дело связано с людьми, у которых нет реальной необходимости знать номер, безопаснее всего сообщить главный телефон компании, с которого переведут звонок.

12-3. Пароли голосовых почтовых ящиков

Политика: Запрещается оставлять в голосовых ящиках сообщения со сведениями о пароле.

Пояснения/заметки: Социальный инженер часто может получить доступ к голосовому ящику служащего, потому что тот защищен легко угадываемым кодом доступа. Один из типов атаки позволяет опытному взломщику создать собственный ящик и уговорить служащего оставить сообщение со сведениями о пароле. Данная политика исключает такой обман.

Использование факсов

13-1. Перенаправление факсов

Пояснения/заметки: Похитители информации могут обманным путем заставить доверенных служащих отправить конфиденциальную информацию на факс,…

13-2. Проверка авторизации факса

Пояснения/заметки:Служащие должны проявлять бдительность, когда поступают необычные запросы по факсу, такие как просьба ввести компьютерные команды…

13-3. Отправка конфиденциальной информации факсом

Пояснения/заметки: Этот процесс квитирования показывает отправителю, что физическое присутствие получателя на приемной стороне. Более того, данный…

13-4. Передача паролей факсом запрещается

Политика: Пароли не должны отправляться факсом ни при каких обстоятельствах.

Пояснения/заметки:Отправка сведений об аутентификации факсом небезопасна. Большинство факсов доступны многим служащим. Кроме того, они подключены к телефонной сети общего пользования, в которой можно выполнить переадресацию, так что на самом деле факс будет отправлен на другой номер атакующему.

Использование голосовой почты

14-1. Пароли голосовой почты

Политика: Пароли голосовой почты не следует сообщать никому ни под каким предлогом. Кроме того, пароли должны меняться не реже, чем каждые девяносто дней.

Пояснения/заметки:В сообщениях голосовой почты может содержаться конфиденциальная информация. Служащие должны регулярно менять свои пароли и не разглашать их, чтобы защитить эту информацию. Кроме того, пользователи голосовой почты не должны использовать одинаковые пароли в течение года.

14-2. Пароли в различных системах

Политика:Пользователи голосовой почты не должны использовать такие же пароли для другой телефонной или компьютерной системы, как внутренней, так и внешней.

Пояснения/заметки:Использование одинаковых или похожих паролей для различных устройств, таких как голосовая почта и компьютер, позволяет социальному инженеру узнать все пароли после того, как станет известен один из них.

14-3. Задание паролей голосовой почты

Политика: Пользователи и администраторы голосовой почты должны задать сложные пароли. Они не должны иметь никакого отношения к человеку или компании и не должны содержать предсказуемый шаблон, который легко отгадать.

Пояснения/заметки:Пароли не должны содержать последовательные или повторяющиеся цифры (например, 1111, 1234, 1010), не должны быть такими же как номер телефона или основанными на нем, и не должны быть связаны с адресами, почтовым индексом, днем рождения, номером автомобиля, весом и другими предсказуемыми персональными сведениями.

14-4. Голосовые сообщения, помеченные как старые

Пояснения/заметки: Социальные инженеры могут получить доступ к голосовому ящику множеством способов. Служащий, узнавший о непрослушанных сообщениях,…

14-5. Внешние приветствия голосовой почты

Политика: Работники компании должны ограничить оглашение информации в своем внешнем приветствии голосовой почты. Не следует раскрывать обычные сведения, связанные с распорядком рабочего дня или графиком поездки.

Пояснения/заметки:Внешнее приветствие (проигрываемое для внешних звонков) не должно содержать фамилию, номер телефона или причину отсутствия (поездка, отпуск). Атакующий может использовать эту информацию при попытке обмана других служащих.

14-6. Шаблоны паролей голосовой почты

Политика: Пользователи голосовой почты не должны задавать пароль с фиксированной частью, когда другая часть меняется по предсказуемому шаблону.

Пояснения/заметки: Например, не используйте такие пароли как 743501, 743502, 743503 и т.д., где две последние цифры соответствуют текущему месяцу .

14-7. Конфиденциальная или частная информация

Пояснения/заметки:Корпоративная телефонная система обычно более уязвима по сравнению с компьютерной системой. Пароли обычно представляют собой набор… {9-я часть}

Пароли

15-1 Телефонная безопасность

Политика:Пароли никогда не должны передаваться по телефону.

Пояснения/Заметки: Атакующие могут найти способ подслушивать телефонные переговоры, лично или при помощи специального устройства.

15-2 Раскрытие компьютерных паролей

Политика:Ни при каких обстоятельствах пользователи не должны сообщать свой пароль кому-либо ни для каких целей без письменного согласия ответственного IT-менеджера.

Пояснения/Заметки:Цель многих атак в социальной инженерии включает в себя получение обманным путем имен пользователей и паролей. Эта политика – ключевой шаг в снижении риска успешных атак против предприятия. Соответственно, этому правилу должны религиозно следовать во всей компании

15-3 Пароли в интернете

Пояснения/Заметки:Злоумышленники могут создать веб-сайт, на котором предлагается какая-либо ценность или возможность выиграть приз. Для регистрации…

15-4 Пароли на разных системах

Пояснения/Заметки:Атакующие полагаются на человеческую природу для взлома вычислительных систем и сетей. Они знают, что для избежания трудностей,…

15-5 Повторное использование паролей

Политика: Ни один пользователь не должен использовать одинаковые или похожие пароли в течение восемнадцатимесячного периода.

Пояснение/заметки:Если атакующий узнает пользовательский пароль, частая смена пароля позволяет минимизировать возможный ущерб. Создание нового пароля отличным от предыдущего создает атакующему сложности для его угадывания.

15-6 Шаблоны паролей

Политика:Сотрудники не должны использовать пароли, в которых одна часть остается постоянной, а другая изменяется предсказуемым образом.

Пояснения/Заметки:Например, нельзя использовать пароли Kevin01, Kevin02, Kevin03, и т.д.

15-7 Выбор паролей

Быть как минимум восемь символов в длину для пользовательских учетных записей и как минимум двенадцать символов в длину для привилегированных… Содержать минимум одну цифру, минимум один специальный символ (как $, -, |,… Не быть словом в каком-либо языке; словом, имеющим отношение к семье сотрудника, хобби, автомобилю, работе, номерному…

15-8 Записывание паролей

Политика: Сотрудники должны записывать пароли только если они хранятся в защищенном месте вдали от компьютера или другого защищенного паролем устройства.

Пояснения/Заметки:Не рекомендуется вообще записывать пароли. При некоторых обстоятельствах это может быть необходимо, например, когда сотрудник имеет доступ к различным системам. Ни при каких обстоятельствах пароль не может быть записан под клавиатурой или прикреплен к монитору.

15-9 Пароли в файлах

Политика:Пароли не могут сохраняться в каких-либо компьютерных файлах. Кода требуется, пароли могут быть сохранены при помощи шифровальной программы, утвержденной техническим директором или руководителем IT-отдела во избежании несанкционированного раскрытия паролей.

Пояснения/Заметки: Пароли могут быть восстановлены атакующим, если они хранятся в незашифрованном виде в компьютерных файлах или различных программах.

Правила для надомных рабочих

Надомные работники находятся вне корпоративной и сети и таким образом более уязвимы для атаки. Эти политики помогут вам предотвратить использование надомников социальными инженерами в качестве средства доступа к вашим данным.

16-1 Тонкие клиенты

Пояснения/Заметки:Когда атакующий выбирает стратегию атаки, он или она попытаются идентифицировать пользователей, которые имеют доступ к… Любой компьютер, который соединяется с доверенной сетью может быть оснащен…

16-2 Безопасность программного обеспечения надомных работников

Пояснения/Заметки:Обычно надомные работники не имеют опыта в вопросах безопасности и могут непреднамеренно или халатно оставить их компьютерную… {10-я часть}

Правила для сотрудников отдела кадров

Кадровые подразделения несут особую ответственность за защиту сотрудников от попыток кражи их персональной информации через рабочие места. Профессиональные кадровики также несут ответственность за защиту компании от возможных злонамеренных действий бывших сотрудников, недовольных своим увольнением.

17-1 Увольнение сотрудников

1. Удалить данные о сотруднике из актуального телефонного справочника компании и заблокировать его голосовую почту, 2. Уведомить об увольнении дежурных у входа в здание компании, 3. Добавить ФИО сотрудника в увольнительный лист, который необходимо рассылать всем сотрудникам компании не реже…

17-2 Уведомление IT подразделений

Политика: Всякий раз, когда сотрудник уходит или его увольняют, кадровое подразделение должно немедленно уведомить отдел информационных технологий заблокировать учетные записи бывшего работника, включая учетные записи для доступа к базам данных, а также заблокировать возможности удаленного доступа к корпоративным информационным системам.

Пояснения/Заметки: Весьма важно исключить любую возможность доступа бывших сотрудников к компьютерным системам, сетевым устройствам, базам данных и к любым другим компьютерным устройствам сразу после увольнения. В противном случае в компьютерной системе компании образуется опасная лазейка, через которую недовольный сотрудник может нанести существенный ущерб.

17-3 Использование конфиденциальной информации при приеме на работу

Пояснения/Заметки: Количество разглашаемой менеджерами информации о корпоративном аппаратном и программном обеспечении должно быть продиктовано… Злоумышленники читают газеты и пресс-релизы компаний, посещают Интернет-сайты…

17-4 Персональные данные сотрудников

Пояснения/Заметки: Хед-хантеры, частные детективы и похитители чужих «личностей» охотятся за частной информацией сотрудников компании, такой как…

17-5 Проверки послужного списка сотрудников

Пояснения/Заметки: Из стоимостных соображений требование детальной проверки послужного списка может быть ограничено рядом ответственных постов. Тем… Компьютерные взломщики иногда даже пытаются устроиться на работу в компанию,…

Политики для службы безопасности

Несмотря на то, что социальные инженеры, как правило, избегают показываться лично в помещениях компаний-мишеней, бывают ситуации, когда они прибегают к таким методам. Эти политики помогут Вам уберечь свое физическое имущество от подобных угроз.

18-1 Идентификация людей, не являющихся сотрудниками

Пояснения/Заметки: Лица, не являющиеся постоянными сотрудниками, которым необходимо регулярно входить в здание (например, привозить еду и напитки в…

18-2 Идентификация посетителей

Пояснения/Заметки: Сотруднику службы безопасности или секретарю следует сделать копию удостоверения личности перед тем, как выдать посетителю… Социальный инженер, пытаясь проникнуть в здание, всегда запишет фальшивую…

18-3 Сопровождение посетителей

Пояснения/Заметки: Популярная уловка социальных инженеров состоит в том, чтобы договориться о встречи со служащим компании (например, представиться…

18-4 Временные пропуска

Политика: Сотрудники компании из других офисов, не имеющие с собой пропусков, должны предъявить удостоверение личности с фотографией для получения временного пропуска.

Пояснения/Заметки: Злоумышленники часто представляются служащими других офисов или подразделений компании для входа в здание.

18-5 Аварийная эвакуация

Пояснения/Заметки: Служба безопасности должна проверить все рабочие помещения и комнаты отдыха на предмет наличия там отставших или не оповещенных… Промышленные шпионы и изощренные компьютерные взломщики могут организовать…

18-6 Посторонние в почтовом отделе

Политика: Посетителям нельзя находиться одним в почтовом отделе.

Пояснения/Заметки: Цель этой политики – предотвратить возможность подмены, отправки или кражи внутрикорпоративной почты посторонними лицами.

18-7 Номера транспортных средств

Политика: Если у компании есть охраняемая автостоянка, служба безопасности должна вести журнал учета номеров всех транспортных средств, въезжающих на стоянку.

18-8 Свалки мусора

Пояснения/Заметки: Компьютерные злоумышленники и промышленные шпионы могут добыть ценную информацию в мусорном баке. По закону, свалки мусора…

Политики для секретарей

Секретари часто оказываются на переднем крае обороны от атак социальных инженеров, в то же время они редко обладают достаточной подготовкой, чтобы распознать и остановить захватчика. Используйте приведенные ниже рекомендации, чтобы помочь секретарям лучше защищать вашу компанию и ее информацию.

19-1 Внутренний телефонный справочник

Пояснения/Заметки: Все названия должностей, имена, телефонные номера и почтовые адреса, содержащиеся в телефонном справочнике компании должны… Кроме того, каждый звонящий должен знать имя или внутренний телефон абонента,…

19-2 Телефонные номера специальных отделов

Пояснения/Заметки: Хотя некоторые организации сочтут эти меры слишком жесткими, такая политика затруднит для социального инженера возможность…

19-3 Передача информации

Пояснения/Заметки: Социальному инженеру ничего не стоит обманом заставить служащих непреднамеренно подтвердить личность злоумышленника. Вот,…

19-4 Предметы на вынос

Пояснения/Заметки: Одна из тактик социально инженера заключается в том, чтобы обманом заставить одного сотрудника передать конфиденциальную…

Политики для группы оповещения о внештатных ситуациях

Каждая компания должна сформировать централизованную группу, которая должна быть в курсе при любой попытке проведения в отношении компании хакерской атаки. Ниже приведен ряд рекомендаций по созданию и функционированию подобной группы.

20-1 Группа оповещения о внештатных ситуациях

Пояснения/Заметки: Работники должны понимать, как распознать угрозу безопасности и должны быть обучены сообщать группе оповещения об любой угрозе.…

20-2 В время атаки

Пояснения/Заметки: Группе оповещения или ответственному представителю следует также принять решение о том, чтобы поднять в компании общую тревогу.…  

Краткое описание безопасности в организации

Перевод: Daughter of the Night (admin[at]mitnick.com.ru) Следующие списки и таблицы предоставят сжатую памятку методов, используемых… Определение атаки

Типичные методы действий социальных инженеров

Предупреждающие знаки атаки

  • Отказ назвать номер
  • Необычная просьба
  • Утверждение, что звонящий - руководитель
  • Срочность
  • Угроза негативными последствиями в случае невыполнения
  • Испытывает дискомфорт при опросе
  • Называет знакомые имена
  • Делает комплименты
  • Флиртует

 

Типичные цели атакующих

Факторы, делающие компанию более уязвимой к атакам

Эти таблицы и списки помогут вам ответить на просьбы или действия, которые могут быть атакой социального инженера.

Подтверждение личности

Проверка, работает ли еще сотрудник

ДЕЙСТВИЕ ОПИСАНИЕ
Проверка в списке сотрудников Проверьте, что сотрудник находится в списке.
Менеджер просителя Позвонить менеджеру просителя используя телефон, указанный в базе данных компании.
Отдел или группа просителя Позвонить в отдел просителя и узнать, работает ли он еще там.

 

Процедура, позволяющая узнать, может ли просителя получить информацию

Классификация информации КЛАССИФИКАЦИЯ ОПИСАНИЕ ПРОЦЕДУРА Публичная Может быть свободно доступна для…    

Библиография

(Sources)

Перевод: (Теневой Георг, Whitewoolf[at]ukr.net, ICQ 118145).

ГЛАВА 1

Блумбекер, Бак. 1990. Грандиозные Компьютерные Преступления: Чем Они Являлись и Как Они cтоили американскому бизнесу пол Миллиарда Долларов в Год. Издание Dar. Irwin Professional.

Литтман, Джонатан. 1997. Беглая Игра: на проводе с Кевином Митником. Little Brown & Co.

Пенненберг Адам Л. 19 апреля 1999 г. «Демоинзация хакера». Forbes

ГЛАВА 2

Рассказ Стенли Риффлдна основывается в следующем отчете:

Институт Компьютерной Безопасности. Недатированное. "Финансовые убытки из-за вторжений в Интернет, торговля ворованными секретами и другие кибер преступлений учащаются. Сообщение для печати. Эпштейн, Эдвард Джей. Неопубликованное. "Алмазное Изобретение." Холвик, Рев. Дэвид. Неопубликованный отчет.

Мистер Рифкин любезно в признался, что его аккаунты отличаются поскольку он защитил свою анонимность отклоняя опросы.

ГЛАВА 16

Чалдини, Роберт Б. 2000. Влияние: Наука и Практика, 4-е издание. Allyn and Bacon.

Чалдини, Роберт Б. Февраль. 2001 " Наука Убеждения." Scientific American. 284:2.

ГЛАВА 17

Некоторые политики в этой главе основываются в идеях выложеных в: Вуд, Чарльз Крейсон. 1999. "Политика Информационной Безопасности слала легче" Базовое Программное Обеспечение.

Благодарности

(Acknowledgments)

перевод: c0Un2_z3r0

От Кевина Митника

Эта книга посвящается с любовью моему дорогому другу Джэку Белио, чья недавняя смерть от рака вскоре после окончания книги оставила мне огромное… Эта книга не была бы возможна без любви и поддержки моей семьи. Моя мать,… Как бы я хотел, чтобы мой отец, Алан Митник, и мой брат, Адам Митник, прожили достаточно долго, чтобы раскупорить со…

От Билла Симона

Во время написания этой книги я положился на группу преданных мне друзей, которые давали уверенность, что Кевин и я достигли своей цели в… Особая благодарность Джону Лусичу, президенту Network Security Group, который… Иногда в жизни, друзья зарабатывают особое положение, когда знакомят вас с людьми, которые становятся вашими хорошими…

Опыт и примеры

Крупные аферы с хостингами (статья)

Крупные аферы с хостингами Цель: получить доступ к информации на сайте. В данном примере на сайтах… Эта идея пришла сразу после того, как на странице перечня услуг одного из хостингов нашлась неприметная строчка о том,…

– Конец работы –

Используемые теги: искусство, обмана0.041

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Искусство обмана

Что будем делать с полученным материалом:

Если этот материал оказался полезным для Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Еще рефераты, курсовые, дипломные работы на эту тему:

Соколов Г.И. Искусство этрусков. — М.: Искусство, 1990. — 319 с., ил. — Очерки истории и теории изобразит. искусств
ВВЕДЕНИЕ... с Искусство этрусков живших в первом тысячелетии до н э конец VIII I вв до н э на территории Апеннинского...

Искусство Зарубежной России
Обзор отечественной культуры был бы неполным без рассмотрения огромного... Изучение культурного наследия российской эмиграции имеет давние традиции на Западе На родине напротив об этом...

Дзэн и искусство ухода за мотоциклом
На сайте allrefs.net читайте: Дзэн и искусство ухода за мотоциклом...

Эстетическое сознание, его роль и функции в практике человека. Эстетическое сознание и искусство, их развитие.
На сайте allrefs.net читайте: Эстетическое сознание, его роль и функции в практике человека. Эстетическое сознание и искусство, их развитие....

Русское зарубежье. Искусство зарубежной России
На сайте allrefs.net читайте: "Русское зарубежье. Искусство зарубежной России"

Ораторское искусство Древней Греции
На сайте allrefs.net читайте: "Ораторское искусство Древней Греции"

ИСКУССТВО ПЛОВОВАРЕНИЯ
О плове ТАЙНА КАЖДОЙ БУКВЫ Привычное для уха россиянина слово плов имеет узбекские корни В плов...

Твоя новая дата рождения! Или искусство точного наведения на подлинные цели в жизни
Специалисты Международного Института Социальной Экологии называют это явление хрональной энцефалопатией или другими словами деструктивным... Так что реальный астрологический прогноз хорош только тогда когда отражает... Человек одухотвор нный Показательна паника неизбежно сопровождавшая...

Психология лжи. Обмани меня, если сможешь
Психология лжи Обмани меня если сможешь... Пол Экман...

Психология лжи. Обмани меня, если сможешь
Психология лжи Обмани меня если сможешь...

0.028
Хотите получать на электронную почту самые свежие новости?
Education Insider Sample
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Реклама
Соответствующий теме материал
  • Похожее
  • По категориям
  • По работам