Организационная невинность - раздел Информатика, Искусство обмана Эта Невинность - Часть Нашего Национального Характера, Очевидно, Оказала Боль...
Эта невинность - часть нашего национального характера, очевидно, оказала большое влияние, когда компьютеры впервые стали соединяться между собой. Вспомните, что сеть ARPANet (Сеть Агентства Перспективных Исследований Департамента Обороны) предшественник Интернета, была разработана как средство для обмена исследовательской информацией между правительственными, исследовательскими и образовательными учреждениями. Целью была свобода информации, так же как и технологический прорыв. Поэтому многие образовательные учреждения устанавливали свои первые компьютерные системы с минимальной или даже вовсе с отсутствующей безопасностью. Один известный либертарианец программного обеспечения Ричард Залман даже отказывался защищать свой аккаунт паролем.
Но когда Интернет стал использоваться для электронной коммерции, опасность слабой безопасности электронного мира стала драматична. При этом, применение всё более усложняющихся технологий не решит проблему человеческой безопасности.
Напимер, посмотрите на наши аэропорты сегодня. Безопасность стала первостепенной, все же СМИ рассказывают нам о пассажирах, которые смогли обойти защиту и пронести потенциальное оружие через контрольные точки. Как это стало возможным в то время, когда наши аэропорты находятся в состоянии повышенного внимания? Неужели металло-детекторы ошиблись? Нет. Проблема не в машинах. Проблема - человеческий фактор: в людях, дополняющих машины. Должностные лица аэропорта могут сажать на каждый самолёт специальных маршаллов из национальной гвардии и установить металло-детекторы и системы по распознаванию лиц, но обучение сотрудников из службы безопасности у линии фронта как правильно обыскивать пассажиров могло бы помочь гораздо лучше.
Та же проблема существует в правительственных, бизнес - и образовательных учреждениях по всему миру. Не смотря на усилия профессионалов из безопасности, информация повсеместно остаётся уязвимой, и будет оставаться целью налётчиков с навыками в социальной инженерии до тех пор, пока не будет усилено самое слабое звено в безопасности - человеческое звено.
Сейчас больше, чем когда-либо, мы должны научиться перестать думать самонадеянно и побольше узнать о методах, которые пробуют использовать те, кто совершает атаки на конфиденциальность, целостность и работоспособность наших компьютерных систем и сетей.
Угроза взлома, который нарушит секретность вашей жизни или информационной системы вашей компании может казаться не настолько реальной, пока это не произойдёт однажды. Чтобы избежать столь дорогостоящей дозы действительности, нам нужно стать осведомлёнными, образованными, бдительными и настойчиво защищать наши информационные активы, нашу собственную персональную информацию и наши национальные критичные инфраструктуры. И мы должны научиться этому уже сегодня.
Террористы и обман
Конечно, обман это не эксклюзивное оружие социального инженера. Физический терроризм выходит на повестку дня и сейчас мы должны признать как никогда, что мир это опасное место. Цивилизация, в конце концов, только тонкая фанера.
Атаки на Нью-Йорк и Вашингтон, Округ Колумбия, в сентябре 2001 вселили печаль и страх в сердце каждого из нас - не только американцев, но и людей всех наций. Сейчас мы столкнулись с реальностью и знаем, что в любой точке планеты есть одержимые террористы, хорошо обученные и только ожидающие возможности начать атаку против нас.
Недавние усилия нашего правительства повысили уровень нашего осознания безопасности. Нам нужно оставаться на взводе, начеку против любых форм терроризма. Нам нужно понять, как террористы предательски изготавливают ложные удостоверения, играют роль студентов или соседей и проникают в толпу. Они скрывают свои истинные взгляды, устраивая против нас заговор - осуществляя фокусы с обманом, похожие на те, о которых вы прочитаете на этих страницах.
И пока, насколько я знаю, террористы ещё не использовали уловки социальной инженерии для проникновения в корпорации, плотины, электростанции или другие жизненные компоненты нашей национальной инфраструктуры, их возможность всё равно остаётся. Понимание безопасности и правила безопасности, я надеюсь, благодаря этой книге, будут достаточно скоро приняты к месту и взяты на вооружение главными управляющими структурами.
Об этой книге
Корпоративная безопасность - это вопрос баланса. Слишком низкая безопасность делает вашу компанию уязвимой, но излишний упор на безопасность приводит замедлению роста и процветания компании. Задача состоит в нахождении баланса между защищённостью и эффективностью.
Другие книги по корпоративной безопасности фокусируются на технологиях аппаратного и программного обеспечения и, соответственно, недостаточно широко охватывают главную угрозу безопасности: обман человека. Цель этой книги, по сравнению с ними, заключается в том, чтобы помочь вам понять как вами, вашими сослуживцами и другими людьми из вашей компании могут манипулировать, и избежать риска стать жертвой. В основном книга концентрируется на нетехнических методах, которые враждебные налётчики используют для воровства информации, компрометации целостности информации, которая на первый взгляд безопасна, но на самом деле таковой не является, или уничтожения рабочего продукта компании.
Моя задача гораздо сложнее. Это сразу понятно из следующего: каждый читатель будет подвержен манипулированию со стороны величайших экспертов всех времён в социальной инженерии - их родителям. Они найдут любые способы заставить вас сделать "для вашего же блага" то, что они сами считают лучшим. Родители становятся столь убедительными так же, как социальные инженеры умело выдумывают вероятные истории, причины и суждения для достижений своих целей. Да, каждого из нас наши родители обводили вокруг пальца: доброжелательные (и иногда не столь доброжелательные) социальные инженеры.
Выросшие в этих условиях, мы становимся уязвимыми к манипулированию. Нам жилось бы очень тяжело, если бы мы всё время стояли начеку, были недоверчивыми к другим, уверенными, что кто-нибудь может нас обмануть, чтобы нас провести. В идеальном мире мы бы слепо верили друг другу, верили, что люди, с которыми мы сталкиваемся, собираются быть честными и правдивыми. Но мы живём не в идеальном мире, и поэтому мы должны быть бдительны, чтобы отразить попытки противников ввести нас в заблуждение.
Основные части это книги, - части 2 и 3, - составлены из вымышленных историй, которые покажут вам социальных инженеров в действии. В этих разделах вы прочитаете о следующем:
- Что телефонные фрикеры обнаружили несколько лет назад - гибкий метод получения неизвестных телефонных номеров у телефонной компании.
- О нескольких различных методах, используемых нападающими, и не вызывающих тревоги даже у подозрительных служащих во время выдачи их компьютерных имён и паролей.
- Как менеджер операционного центра сотрудничал с налётчиком, позволив ему украсть самую секретную информацию о продукте компании.
- Методах налётчика, который обманул даму, заставив ее скачать и установить программное обеспечение, которое шпионит за набираемыми клавишами и отсылает ему по е-мейлу различные детали.
- Как частные сыщики получают информацию о вашей компании и вашу персональную информацию. Это, я могу гарантировать, вызовет у вас мурашки на спине.
Возможно, вы подумаете, читая некоторые из историй во второй и третьей частях, что они нереальны, но ещё никто не смог преуспеть в противодействии лжи, грязным уловкам и схемам, описанным на этих страницах. Действительность состоит в том, что в каждом случае эти истории изображают события, которые могут и на самом деле происходят; многие из них каждый день происходят где-нибудь на планете, возможно даже с вашим собственным бизнесом, пока вы читаете эту книгу.
Материал в этой книге будет действительно разоблачительным, когда он станет защищать ваш бизнес, но также защитит вас лично от попыток социального инженера нарушить целостность информации в вашей частной жизни.
В четвёртой части книги я сменил тему. Здесь моя цель помочь вам разработать необходимые бизнес-правила и тренинги, чтобы минимизировать риски ваших работников быть обманутыми социальным инженером. Понимание стратегии, методов и тактики социального инженера поможет вам подготовиться к применению разумных средств управления для охраны ваших ИТ активов без подрыва эффективности вашей компании.
Короче говоря, я написал эту книгу, чтобы повысить вашу осведомлённость о серьёзности угроз, исходящих от социальной инженерии, и помочь вам стать уверенней, что ваша компания и работники в меньшей степени будут подвержены угрозе с этой стороны.
Или, возможно, я должен сказать, гораздо меньше будут подвержены снова.
Часть 2: Искусство атакующего
(Part 2: The Art of the Attacker)
Глава 2: Когда безвредная информация опасна
(Chapter 2 When Innocuous Information Isn't)
Перевод: Yarlan Zey (yarlan[at]pisem.net)
Что большинство людей считает настоящей угрозой, исходящей от социальных инженеров? Что вам следует делать, чтобы быть на страже?
Если целью является получение какого-нибудь очень ценного приза – скажем, важного компонента интеллектуальной собственности компании, тогда, возможно, всё что нужно – это просто более недоступное хранилище и более тяжело вооруженные охранники. Правильно?
Но в жизни проникновение плохого парня через защиту компании часто начинается с получения какого-нибудь фрагмента информации или какого-нибудь документа, которые кажутся такими безвредными, такими обычными и незначительными, что большинство людей в организации не нашли бы причин почему им следовало бы её защищать и ограничивать к ней доступ.
Скрытая ценность информации
Многое из кажущейся безвредной информации, находящейся во владении компании, ценно для социального инженера, потому что может сыграть существенную роль в его попытке прикрыться плащом правдоподобности.
На страницах этой главы я буду вам показывать, что делают социальные инженеры, чтобы добиться успеха. Вы станете «свидетелем» атак, сможете, время от времени наблюдать действие с точки зрения атакуемой жертвы и, становясь на их место, оценить как бы вы (или, может быть, один из ваших работников или сослуживцев) сами могли себя повести. Во многих случаях вы также увидите эти же события с перспективы социального инженера.
В первой истории речь пойдёт об уязвимости в финансовой индустрии.
CREDITCHEX
В течение долгого времени британцы имели дело с очень консервативной банковской системой. Вы как обычный добропорядочный гражданин не могли просто зайти с улицы и открыть банковский счёт. Нет, банк не рассматривал вас в качестве своего клиента, пока какой-нибудь уже хорошо зарекомендовавший себя клиент не даст вам своё рекомендательное письмо.
Несомненно, это очень сильно отличается от сегодняшнего банковского мира. И наша современная лёгкость в совершении сделок нигде так не развита, как в дружелюбной, демократичной Америке, где почти кто угодно может зайти в банк и легко открыть расчётный счёт, правильно? Да, но не совсем. На самом деле, банки не желают открывать счёт для кого-нибудь, кто может иметь за собой ситуации с неоплаченными счетами – это всё равно, что соглашаться на грабёж. Поэтому для многих банков стала стандартной практика быстрой оценки перспектив нового клиента.
Одной из больших компаний, которые предоставляют банкам такую информацию, является CreditChex (все названия изменены). Они предоставляют своим клиентам ценную услугу, но, как и многие компании, также могут, не подозревая об этом, стать источником информации для социальных инженеров.
Первый звонок: Ким Эндрюс
«Национальный Банк, это Ким. Вы хотели открыть сегодня счёт?»
«Привет, Ким. У меня есть к вам вопрос. Вы пользуетесь CreditChex?»
«Да.»
«Когда вы звоните в CreditChex, номер, который вы им даёте – это «Merchant ID»?»
Пауза. Она взвешивала вопрос, удивляясь, к чему это всё, и следует ли ей отвечать.
Звонивший быстро продолжил, не теряя времени:
«Потому что, Ким, я работаю над книгой. Это касается частных исследований.»
«Да», сказала она, отвечая на вопрос под воздействием новых обстоятельств, польщённая тем, что помогает писателю.
«Итак, это называется Merchant ID, правильно?»
«Эээ, ага.»
«ОК, отлично. Я хотел убедиться, что примечание в книге правильно. Спасибо за помощь. До свидания, Ким.»
Второй звонок: Крис Тэлберт
«Национальный банк, новые счета, это Крис.»
«Привет, Крис. Это Алекс», ответил звонивший. «Я из отдела обслуживания клиентов CreditChex. Мы делаем обзор по улучшению нашей службы. У вас есть для меня пара минут?»
Она была рада помочь, и звонивший продолжил:
«ОК, в какие часы ваш отдел открыт?» Она ответила и продолжала отвечать на его список вопросов.
«Сколько служащих в вашем отделении пользуются нашей службой?»
«Как часто вы звоните нам с запросами?»
«Какой из наших номеров 800- вы используете для звонков?»
«Наши представители всегда были вежливы?»
«Сколько времени занимает наш ответ?»
«Как давно вы работаете в банке?»
«Какой Merchant ID вы сейчас используете?»
«Вы когда-нибудь обнаруживали неточности в информации, которую мы вам предоставляем?»
«Есть ли у вас советы по улучшению нашей службы?»
И:
«Вы не могли бы заполнить наши периодические анкеты с вопросами, которые мы пришлём в ваш отдел?»
Она согласилась, они ещё немного поболтали, незнакомец повесил трубку, и Крис вернулась к работе.
Третий звонок: Генри МакКинси
«CreditChex, это Генри МакКинси, чем могу вам помочь?»
Звонивший сказал, что он из Национального Банка. Он назвал текущий Merchant ID и имя и номер социального страхования человека, о котором он искал информацию. Генри спросил дату рождения и звонивший сказал её тоже.
Через несколько секунд Генри прочитал список с экрана компьютера.
«Уэллс Фарго - есть сообщения о NSF однажды в 1998-м, в $2 066.» NSF – это недостаточные фонды – типичный банковский термин, касающийся чеков, которые были выписаны, когда на счету не хватало денег, чтобы их покрыть.
«Что-нибудь ещё после этого?»
«Ничего.»
«Были ли ещё какие-нибудь запросы?»
«Сейчас посмотрю. Да, два, оба в прошлом месяце. Третий Объединённый Кредитный Союз Чикаго.» Он наткнулся на следующее имя, Взаимные Инвестиции Шенектеди. «Это в штате Нью-Йорк», добавил он.
Частный сыщик в действии
Все три из этих звонков были сделаны одним человеком – частным сыщиком, которого мы будем называть Оскар Грейс. У Грейса появился новый клиент, один из первых. Ещё несколько месяцев назад он был полицейским. Он обнаружил, что кое-что в его новой работе добывалось обычным путём, но некоторая часть бросала вызов его ресурсами и изобретательности.
Популярные писатели любовных романов Сэм Спейдс и Филипп Марлоус проводили длинные ночи, сидя в машинах и следя за нечестными супругами. Частные сыщики в реальной жизни делают то же самое. Они также делают более обыденные, но не менее важные слежки за враждующими супругами. Большей частью они основываются на навыках в социальной инженерии, чем на борьбе с бессонницей с прибором ночного видения.
Новым клиентом Грейса была леди, и по виду своего платья и ожерелья довольно обеспеченная. Однажды она зашла в его офис и села в кожаное кресло, единственное, на котором не было сложенной кипы газет. Она поставила на стол свою сумочку от Гуччи, повернув логотипом в его направлении, и заявила, что хочет сказать своему мужу о том, что хочет развода, но есть «только одна маленькая проблема».
Кажется, её муженёк был на шаг впереди. Он уже снял все наличные с их сберегательного счёта и даже гораздо большую сумму с их брокерского счёта. Она хотела знать, куда подевались их активы, и сказала, что её адвокат по разводу не смог вообще ничем помочь. Грейс предположил, что адвокат был одним из тех юристов, которые сидят на верхних этажах небоскрёбов и не желают пачкать свои руки ни в чём грязном, например, разбираясь, куда исчезли её деньги.
Не мог бы Грейс помочь?
Он уверил её, что это будет непросто, назвал примерную цену, накладные расходы и получил чек в качестве аванса.
Затем он столкнулся с проблемой. Что вы делаете, если вам никогда прежде не поручали подобную работу и даже не знаете с чего начать искать денежный след? Вы как ребёнок делаете первые шаги. Вот история Грейса согласно нашему источнику.
Я знал о CreditChex, и как банки им пользуются – моя бывшая жена работала в банке. Но я не знал терминов и процедур, и спрашивать её об этом было бы пустой тратой времени.
Шаг первый: Разузнать о терминологии и выяснить, как сделать запрос так, чтобы он звучал, как будто я знаю, о чём говорю. Первая молодая леди Ким в банке, в который я позвонил, была настроена подозрительно, когда я спросил, как они идентифицируют себя, когда звонят в CreditChex. Она колебалась, она не знала, стоит ли мне это говорить. Было ли это моим поражением? Нисколько. Фактически, колебание дало мне важный знак, что я должен сообщить причину, которой бы она поверила. Когда я обманул её, сказав, что провожу исследования для книги, это уменьшило её подозрения. Скажите, что вы писатель или сценарист и вам любой откроется.
У неё была информация, которая могла бы помочь – вроде необходимых данных, которые требует CreditChex относительно человека, о котором вы делаете запрос; о чём вы можете спрашивать; и главное, банковский номер Merchant ID Ким.
LINGO
Сжигать источник – считается, что нападающий сжигает источник, когда он даёт жертве понять, что атака имела место. Как только жертва узнаёт об этом и сообщает другим служащим или руководству о попытке, становится невероятно сложно использовать тот же источник для будущих атак.
Вы вынуждены опираться только на инстинкт, чутко вслушиваясь, что и как жертва говорит. Эта леди звучала достаточно настороженно и могла что-нибудь заподозрить, если бы я задавал много необычных вопросов. Даже притом, что она не знала, кто я и с какого номера я звоню, нельзя вызывать подозрительности, потому что вы вряд ли захотите сжигать источник – возможно, вы захотите позвонить в этот офис в другой раз.
Я всегда слежу за маленькими знаками, которые дают понять, насколько человек поддаётся сотрудничеству. Это может варьироваться от «Вы располагаете к себе, и я верю всему, что вы говорите» до «Вызвать полицию, поднять Национальную Гвардию, этот парень замышляет что-то нехорошее».
Я понял, что Ким находится на грани последнего, поэтому я просто позвонил кому-нибудь из другого отдела. Мой следующий звонок свёл меня с Крис, с ней уловка сработала. В этот раз тактика заключалась в том, чтобы спрятать важные вопросы среди несущественных, которые служат, чтобы вызвать чувство доверия. Прежде чем я задал вопрос о номере Merchant ID в CreditChex, я провел небольшой тест, задав ей личный вопрос о том, как долго она работает в банке.
Личный вопрос – это как скрытая мина, некоторые люди переступают через него, не замечая; для других она взрывается и взывает в защите. Поэтому если я задаю личный вопрос и она отвечает, и тон её голоса не меняется, это означает, что, возможно, она не относится подозрительно к природе вопроса. После этого я могу спокойно задать нужный вопрос, не вызывая у неё подозрений, и она скорее всего даст мне необходимый ответ.
Есть ещё одна вещь, о которой знают частные сыщики: никогда не заканчивать разговор сразу после получения нужной информации. Ещё два-три вопроса, немного болтовни и только тогда можно прощаться. Позже, если жертва вспомнит о чём вы спрашивали, это скорее всего будет пара последних вопросов. Остальные обычно забываются.
Итак, Крис дала мне её номер Merchant ID и телефонный номер, по которому они делают запросы. Я хотел задать ещё несколько вопросов, чтобы узнать, как много информации можно узнать от CreditChex. Но лучше было не рисковать.
Теперь я мог в любое время позвонить в CreditChex и получить информацию. При таком повороте событий служащий CreditChex был счастлив поделиться со мной точной информацией касающихся двух мест, в которых муж моей клиентки недавно открыл счета. Итак, куда же подевались деньги, которые разыскивала его потенциальная бывшая жена? Ещё куда-нибудь, кроме банковских учреждений, о которых сообщил парень из CreditChex?
Все темы данного раздела:
Рассказ Кевина
Некоторые хакеры стирают чужие файлы или целые жёсткие диски; их называют кракерами или вандалами. Некоторые из хакеров-новичков не заботятся об изучении технологии, они просто скачивают хакерский
Джон Марков (John Markoff) - медиа-мошенник
"Кевин Митник - взбесившийся компьютерный программист, использующий техническое колдовство и старое как мир мошенничество" (Нью-Йорк Таймс, 7/4/94). Используя старое как мир желание получ
Самый разыскиваемый в киберпространстве
Безусловно, статья Маркова в Таймс была специально написана, чтобы получить контракт на книгу об истории моей жизни. Я никогда не встречался с Марковым, всё же он буквально стал миллионером, благод
От телефонного фрикинга к хакингу
Впервые я столкнулся с тем, что позднее стал называть социальной инженерией, в средней школе, когда встретил другого школьника, также увлечённого хобби под названием телефонный фрикинг.
Становление социальным инженером
Некоторые люди просыпаются каждое утро, боясь своей каждодневной рутины. Мне повезло - я наслаждался своей работой. Вы не можете себе представить вызов, награду и удовольствие, которые я испытывал,
Вступление
(Introduction)
Перевод: Yarlan Zey (yarlan[at]pisem.net)
Эта книга содержит исчерпывающие сведения об информационной безопасности и социальной инженерии. Чтобы помочь вам, здесь д
Взлом кода
Однажды в 1978 году Рифкин заглянул в помещение банка для телеграфных переводов с табличкой "только для авторизованного персонала", в котором служащие каждый день получали и отправляли тр
Заслуживая скрытность
Несколькими днями позже Рифкин прилетел в Швейцарию, забрал свои деньги и обменял в российском агентстве более $8 миллионов на горстку алмазов. Затем он улетел обратно, прошёл через таможню США, сп
Растущее беспокойство
В своём обзоре по компьютерным преступлениям за 2001 год Институт Компьютерной Безопасности сообщил, что 85% опрашиваемых организаций сталкивались с нарушениями компьютерной безопасности за последн
Наш национальный характер
Никто из нас не задумывается об угрозе, особенно в западном мире. В Соединённых Штатах в особенности, нас никогда не учили подозревать друг друга. Нас учили "любить соседей" и доверять и
Анализ обмана
Весь этот фокус основывался на единственной фундаментальной тактике социальной инженерии: получение доступа к информации, которую работники компании считают безвредной, когда на самом деле она опас
Анализ обмана
Эту атаку социального инженера Диди начала с получения телефонных номеров трёх отделов в компании. Это было легко, потому что спрашиваемые номера не были секретны, особенно для служащих. Социальный
Телефонный звонок Питера Абеля
«Привет», сказал человек на другом конце линии. «Это Том из Parkhurst Travel. Ваш билет в Сан-Франциско готов. Вы хотите, чтобы Вам его доставили или Вы хотите забрать его сами?» «Сан-Франциско
Сообщение от Митника
Мораль этой истории такова: не выдавайте никакую личную или внутрикорпоративную информацию или идентификаторы любому, если вы не узнаёте его или её голос.
Предотвращение об
Сообщение от Митника
Согласно старой пословице: даже у настоящих параноиков, возможно, есть враги. Мы должны согласиться, что у любого бизнеса тоже есть враги – атакующие, которые целятся в инфраструктуру сети, чтобы с
Номер, пожалуйста
Атакующий позвонил по неофициальному номеру телефонной компании, в механизированный центр назначения линий (Mechanized Line Assignment Center). Он сказал женщине, поднявшей трубку:
«Это По
Анализ обмана
Вы заметите, что в этих историях знание терминологии компании, ее структуры – различных офисов и подразделений, что делает каждое из них и какой информацией владеет – часть ценного багажа приемов у
Сообщение от Митника
Сообразительные похитители информации не стесняются звонить должностным лицам из органов штата, федеральных и местных органов, чтобы узнать о процедурах правоприменения. Располагая такой информацие
Обман с номерами обратного вызова
Каждый год телефонная компания издает справочник тестовых номеров (или по крайней мере издавали, но, поскольку я все еще нахожусь под надзором, то не собираюсь спрашивать об этом). Этот документ вы
Афера Стива
Конечно, телефонные компании не допускают свободного распространения этих книг, поэтому фрикерам приходится быть изобретательными. Как они делают это? Энергичный подросток, разыскивающий справочник
История Дженни Эктон
Дженни Эктон более трех лет работала в службе клиентов компании «Hometown Electric Power» в Вашингтоне, округ Колумбия. Она считалась одним из лучших служащих, проворной и добросовестной. Была
Проект Арт Сили
Арт Сили отказался от работы свободного редактора, когда открыл, что мог заработать больше денег, делая исследования для писателей и коммерческих фирм. Он вскоре понял, что гонорар растет пропорцио
Сообщение от Митника
Никогда не думайте, что все атаки социальной инженерии нуждаются в тщательной разработке, такой сложной, что они могут быть опознаны до их окончания. Некоторые из них снаружи и изнутри, наступают и
Анализ обмана
Конечно, Дженни знала, что информация о клиенте конфиденциальна. Она никогда не говорила об учетной записи одного клиента с другим клиентом и не распространяла частную информацию. Но, естествен
Предотвращение обмана
В обучение безопасности следует включить следующий момент: звонящий или посетитель не является тем, за кого он себя выдает только потому, что он знает имена некоторых людей в компании или знает кор
История Долли Лоннеган.
Лоннеган – это не тот молодой человек, которого вы хотели бы увидеть, когда открываете входную дверь. Бывший сборщик долгов в азартных играх, он все еще делает это иногда. В этом случае, ему предла
Анализ обмана
Звонки Томми к Джинни были просто для построения доверия. Когда время пришло для атаки, она потеряла бдительность и осторожность и сообщила Томми о том, про кого он спросил, так как он - менеджер в
Сообщение от Митника
Техника построения доверия является одной из наиболее эффективных тактик социальной инженерии. Вы должны подумать, хорошо ли вы знаете человека, с которым вы говорите. В некоторых редких случаях, ч
Сюрприз для Папы
Я один раз сидел за столом в ресторане с Генри и его отцом. В ходе разговора, Генри упрекал отца в раздаче номера его кредитной карточки как если бы, это был его номер телефона. "Конечно, ты д
Анализ обмана
Думайте что говорите, когда кто-то неизвестный вам спрашивает о чем-то. Если грязный незнакомец постучит в вашу дверь, вы вряд ли позволите ему войти, а если незнакомец постучит в вашу дверь хорошо
Сообщение от Митника
Человеку свойственно думать, что вряд ли его обманут именно в этой конкретной сделке, по крайней мере, пока нет причин предполагать обратное. Мы взвешиваем риски и затем, в большинстве случаев, дов
Анализ обмана
Людям естественно доверять в более высокой степени коллеге, который что-то просит, и знает процедуры компании, жаргон. Социальный инженер в этом рассказе воспользовался преимуществом, узнав детали
Подключение к системе
Принцип использования такой информации для обмана кого-то в государственной или коммерческой организации тот же: поскольку социальный инженер знает, как получить доступ к специальным базам данных и
Анализ обмана
Совершенный социальный инженер не остановится ни на минуту, чтобы обдумывать пути взлома базы данных NCIC. А зачем задумываться, когда он просто позвонил в местный полицейский отдел, спокойно говор
Защитите ваших клиентов
В наш электронный век многие компании, продающие что-то потребителю, сохраняют кредитные карты в файле. На то есть причины: он облегчает клиенту работу, обеспечивая информацией о кредитной карточке
Разумное доверие
Не только люди, имеющие доступ к важной информации – разработчики программного обеспечения, сотрудники в научно-исследовательских и опытно-конструкторских работ, должны быть защищены от атаки. Почт
История атакующего
Бобби Уоллас считал, что это смешно, когда он находил хорошее задание, вроде этого, и его клиент увиливал от неприкрытого, но очевидного вопроса - зачем ему нужна эта информация. В данном случае он
Анализ обмана
Атакующий плетет сети для того, чтобы убедить жертву, что у него есть проблема, которая на самом деле не существует. Или, как в данном случае, проблема, которой пока нет, но атакующий знает, что он
Доброжелательная Андреа
"Отдел кадров, говорит Андреа Калхун". "Андреа! Привет, это Алекс, отдел безопасности корпорации". "Да". "Как твои дела сегодня"? "Все О
Сообщение для Розмери
Розмери Морган была очень рада получить эту работу. Она никогда раньше не работала в издательстве, и все казались ей гораздо более дружелюбными, чем она ожидала, что удивительно, учитывая бесконечн
Анализ обмана
Эта история затрагивает основную тему, которая упоминается на протяжении всей книги: чаще всего, информация, которую социальный инженер хочет получить от работника, не знающего о его конечной цели,
Сообщение от Митника
Прежде, чем новым сотрудникам будет разрешено получить доступ к компьютерным системам, они должны быть обучены правилам безопасности, в особенности правилам о нераскрывании паролей.
История Стива Крэмера
Эта не была большая лужайка, из тех, с дорогими саженцами. И она явно не была достаточно большой, чтобы дать повод для нанимания косильщика на постоянную работу, что его вполне устраивало, потому ч
История Крэйга Коборна
Крэйг Коборн был продавцом в одной высокотехнологичной компании, и делал свою работу очень хорошо. Через некоторое время он начал осознавать, что у него есть навык ощущения покупателя, понимание, г
Проникая вовнутрь
Так, значит мне пришлось поговорить с тремя или четырьмя разными людьми всего за несколько часов, и уже приблизиться к компьютерам на огромный шаг. Но мне понадобятся еще пару фактов, и все будет с
Анализ обмана
Для мужчины, которого мы называем Крэйгом Коборном, или кого-нибудь вроде него, также с опытом в воровском-но-не-всегда-незаконном искусстве социальной инженерии, испытание, представленное здесь, б
Сообщение от Митника
Главная задача каждого сотрудника - сделать свою работу. Под этим давлением, безопасность переходит на второй план и игнорируется. Социальные инженеры рассчитывают на это, когда занимаются своим ис
Учиться, учиться и еще раз учиться
Есть старая история о туристе в Нью-Йорке, который остановил мужчину на улице и спросил: "Как пройти к Carnegie hall"? Мужчина ответил: "Тренироваться, тренироваться, тренироваться&q
Заметка
Лично я не считаю, что бизнес должен разрешать любой обмен паролями. Гораздо проще выработать жесткое правило, которое запретит персоналу использовать общий пароль или обмениваться ими. Так безопас
Учитывай источник
Во многих организациях должно существовать правило, что любая информация, которая может причинить вред компании или сотруднику, может быть выдана только тому, с которым сотрудник, владеющий информа
Заметка
Удивительно, но даже если проверить имя и телефон звонящего в базе данных о сотрудниках компании и перезвонить ему, не будет гарантии, что социальный инженер не добавил имя в базу данных компании и
Ни о ком не забывайте
Кто угодно может быстро назвать отделы в своей компании, которые нуждаются в высокой степени защиты от вредоносных атак. Но мы часто не обращаем внимание на другие места, которые менее очевидны, но
Наравне с Джонсами
В Силиконовой долине есть некая мировая компания, название которой упоминаться не будет. Отделы сбыта и другие подразделения, расположенные по всему миру, соединены со штаб-квартирой компании посре
Командировка
Почти сразу после этого позвонили системному администратору в отдел сбыта в Остине, Техас. «Это Джозеф Джонс, - представился звонивший. - Я из отдела развития бизнеса. Я буду в отеле Дрискил (D
Сообщение от Митника
Не надейтесь, что сетевая защита и брандмауэры защитят вашу информацию. Следите за самым уязвимым местом. В большинстве случаев вы обнаружите, что уязвимость заключается в ваших людях.
«О.
Анализ обмана
С помощью пары звонков и 15 минут атакующий получил доступ к глобальной сети компании. В этой компании, как и во многих организациях, было то, что я называю «слабой безопасностью» (candy s
Я видел это в фильмах
Вот пример из известного фильма, который многие люди помнят. В "Трех днях Кондора" главный герой Тернер (роль играет Роберт Рэдфорд) работает с небольшой исследовательской фирмой
Обман телефонной компании
В реальной жизни номер службы имен и адресов - тщательно охраняемая тайна. Хотя телефонные компании в наши дни не так легко предоставляют информацию, в то же время они используют разновидность «про
Настройка (на радиоволну)
Очень давно было занятное время для многих людей, которые настраивали радиоприемник на частоты местной полиции или пожарного отделения, слушая разговоры об ограблении банка, пожаре в административн
Дэнни-перехватчик
Энтузиаст сканирования и искусный хакер, которого мы будем звать Дэнни, решил выяснить, не может ли он получить исходный код сверхсекретной программы-шифратора одного из ведущих производителей защи
Штурм крепости
Дэнни начал с тщательной подготовки. Вскоре он собрал вместе достаточно сведений, чтобы выдать себя за настоящего служащего. У него было имя, подразделение, телефонный номер служащего, а также имя
Работа изнутри
Он был внутри компьютерной системы компании, что дальше? Как Дэнни найти сервер с нужной ему программой? Для этого он уже подготовился. Компьютерные пользователи знакомы с телеконференциями, ра
Анализ обмана
Как и в предыдущей истории, уловка сработала только потому, что один из работников компании слишком охотно принял, что звонящий был действительно служащим, которым он представился. Стремление помоч
Предотвращение обмана
Может показаться, что один элемент часто упоминается в этих историях – атакующий приспосабливается звонить в компьютерную сеть компании снаружи, минуя служащего, который помогал бы ему, удостоверив
Это пришло в письме
Скорей всего, вы каждый день получаете нежданные письма, которые содержат в себе рекламные объявления или предложения чего-либо, в чем вы не только не нуждаетесь, но и не хотите. Думаю, вы знакомы
Заметка
Одним из типов программ, хорошо известных в компьютерном подполье, является утилита удаленного администрирования или троян, который дает взломщику полный контроль над вашим компьютером, как будто о
Определение вредоносных программ.
Другой вид malware - вредоносное программное обеспечение, которое добавляет на ваш компьютер программу, работающую без вашего ведома или согласия, или выполняющую задание без предупреждени
Сообщение от Митника
Бойтесь греков, дары приносящих, иначе вашу компанию может постичь участь города Трои. Если у вас есть сомнения, то лучший способ избежать заражения - использовать защиту.
Хакер со зл
Сообщение от Митника
Человечество изобрело много замечательных вещей, которые перевернули мир и нашу жизнь. Но на каждое нормальное пользование технологиями, будь то компьютер, телефон или Интернет, кто-то всегда найде
Заметка о коммерческих веб сайтах
Возможно, вы знаете людей, вынужденных покупать товары он-лайн, даже у таких брендовых компаний, как Amazon и eBay или веб сайтах Old Navy, Target или Nike. По сути дела, они имеют право быть подоз
Анализ обмана
Эдгар попался на довольно банальный в Интернете трюк. Это трюк, который можно использовать довольно разнообразно. Один из видов (описан в Главе 9) включает в себя макет формы авторизации, созданный
Сообщение от Митника
Пока отсутствует полная защищенность, всякий раз, когда вы посещаете сайт, который требует информацию, которую вы считаете личной, убедитесь, что соединение подлинно и зашифровано. И еще более важн
Несуществующая ссылка
Один трюк используется регулярно. Отправляется письмо с соблазнительной причиной посетить сайт и предоставляется прямая ссылка на него. Кроме этого, ссылка не доставляет вас на сайт, который вы ожи
Заметка
Почему людям позволяют регистрировать вводящие в заблуждение и неподходящие домены? Потому что, в соответствии с нынешним законом и он-лайн политикой, любой может зарегистрировать любые имена сайто
Будьте бдительны
Будучи отдельными пользователями Интернета, нам нужно быть бдительными, принимая сознательное решение, когда безопасно вводить персональную информацию, пароли, номера аккаунтов, пины и т.д.
Подобающее понимание вирусов
Особая заметка по поводу вирусов: это необходимо как для корпоративной сети, так и для каждого работника, использующего компьютер. Сверх обычной инсталляции антивирусных программ на компьютеры, пол
Телефонный звонок
""Офис Рона Хилларда. Это Дороти" "Привет Дороти. Меня зовут Кайл Беллами. Я только что приступил к работе в отделе Анимации в компании Брайана Глассмана. Вы, ребята, занима
История Дэвида Гарольда
Я люблю фильмы, и когда я переехал в Лос-Анджелес, думал, что повстречаю много людей, работающих в кино - индустрии и они проведут меня на вечеринки и ланчи в студиях. Я был там где-то год, мне исп
Анализ обмана
Все когда-то были вновь пришедшими служащими. Все мы помним, что было в первый день, особенно когда мы были молодыми и неопытными. Так что, когда новичок просит о помощи, он может ожидать, что мног
История Дуга
У нас с Линдой все шло не так уж хорошо, так что, когда я встретил Айрин, я знал, что она предназначена для меня. Линда, как... немного... в общем, относится к типу не особо неуравновешенных людей,
История Линды
Я была готова уехать, но еще не наметила дату. Но никто не любит чувствовать себя отброшенным. Вопросом было лишь то, как дать ему понять, какое он ничтожество.
Это не заставило долго себя
Сообщение от Митника
Если однажды социальный инженер узнает, как вещи работают внутри целевой компании, становится очень просто использовать это знание, чтобы наладить связь с законными служащими. Компаниям необходимо
Анализ обмана
Молодая леди в этой истории смогла достать информацию, которая была необходима для осуществления мщения, потому что она владела знанием внутренней работы: телефонные номера, процедуры и жаргон теле
История Скотта
"Скотт Абрамс."
"Скотт, это Кристофер Далбридж. Я только что разговаривал по телефону с мистером Бигли, и надо сказать, что он больше, чем невесел. Он говорит, что десять дн
Анализ обмана
Уловка с использованием запугивания со ссылкой на авторитет работает особенно хорошо в том случае, если другой человек имеет достаточно низкий статус в компании. Использование важного человеческого
История Кейт Картер
Если судить по фильмам и хорошо продающимся криминальным новеллам, частные сыщики отлично разбираются в том, как выудить факты у людей. Они делают это, используя совершенно нелегальные методы. Но,
Анализ обмана
Что сделало его попытку эффективной, так это умелая игра на симпатии работника к нему после рассказа истории о занятом компьютере и о том, что "мой босс недоволен мной". Люди не проявляют
История Питера
Вокруг Питера ходили определенные слухи - когда он еще учился в школе, его товарищи знали, что он был кем-то вроде компьютерного мага, который мог достать любую информацию. Когда Элис Конрад обрати
Анализ обмана
Звонок Питера в маркетинговую компанию представляет собой наиболее основную форму социальной инженерии - простой запрос, который требует небольшой подготовки, базирующийся на первом подходе и заним
Ордер на обыск, пожалуйста
Придя поздно ночью домой, он еще издалека заметил, что окна в его квартире не горят, хотя в одном из них он оставлял свет.
Он разбудил соседей и выяснил, что в здании был совершен полицейс
Обдуривая полицию
Артуро удовлетворил свою потребность в информации следующим способом: для начала, он нашел номер ближайшего магазина видео-проката, позвонил им и узнал номер их факса.
Затем он позвонил в
Заметка
Откуда социальный инженер знает детали многих операций-полицейских департаментов, офисов прокуратуры, деятельности телефонных компаний, специфических организаций, чья деятельность связана с телеком
Сообщение от Митника
Вся правда заключается в том, что никто не застрахован от обмана со стороны социального инженера. Из-за темпа нашей повседневной жизни нам не хватает времени, чтобы задуматься над принятием какого-
Получение диплома без почета
Он мог вломиться в компьютерную систему государственного университета, найти записи того, кто получил диплом с оценками "хорошо" и "отлично", скопировать их, вписать свое имя и
Включаясь к проблеме
Как найти Майкла Паркера в университетских записях? Он представлял себе это так: пойти в главную библиотеку в университетском кампусе, сесть за компьютерный терминал, выйти в интернет и получить до
Полезный секретарь
Теперь Майкл знал, к какой системе необходимо получить доступ, имел логин и пароль. Но какими командами ему надо пользоваться, чтобы найти файлы с необходимой информацией, верным именем и датой? Ст
Сообщение от Митника
Пользователи компьютера даже не подозревают о наличии угроз и уязвимостей, связанных с социальным инжинирингом, который существует в нашем мире высоких технологий. Они имеют доступ к информации, не
Защита информации
Некоторые истории в этой главе показывают опасность отправки файла кому-то незнакомому, даже человеку, который представляется работником вашей компании, а файл отправляется по внутренней сети
О паролях
Все сотрудники, которые имеют доступ к важной информации, а в наше время это все, кто имеют доступ к компьютеру, должны понимать, что даже такая простая процедура, как смена пароля, может привести
Защитите вашу сеть
Служащие должны осознавать, что имя сервера или компьютера в сети это не пустяковая информация, а важная настолько, что может дать атакующему знание своей цели.
В частности, люди, такие ка
Тренировочные советы
Большинство атак такого плана очень просто отразить для человека, знающего, чего ожидать.
Для корпораций необходимо проведение фундаментальной подготовки к такого рода ситуациям, но сущест
Звонок Анжеле
Место: Valley branch, Industrial Federal Bank. Время: 11:27
Анжела Висновски ответила на телефонный звонок человека, который вот-вот должен был получи
Звонок Льюису
Крупные банки используют защитные коды для внутреннего пользования, которые меняются каждый день. Когда кому-то из сотрудников требуется информация из другого подразделения, он подтверждает свои пр
Звонок Уолтеру
- Государственный индустриальный банк, это Уолтер. - Привет, Уолтер, это Боб Грабовски (Bob Grabowski), Студио Сити (Studio City), 38-е отделение, мне нужно, чтобы Вы нашли образец подписи клие
Звонок Донне Плейс
- Здравствуйте, это мр. Ансельмо. - Чем я могу Вам помочь на этот раз? - Какой номер на 800 мне надо набрать, когда я хочу проверить кредитован ли уже вклад? - Вы клиент банка? - Да
Сообщение Митника
Устные защитные коды эквивалентны паролям в обеспечении удобных и надежных средств защиты информации. Но сотрудники должны быть осведомлены об уловках, применяемых социальными инженерами, и обучены
Хитрость Эрика
Сначала он позвонил в справочную и спросил номер телефона центрального офиса Управления Транспорта в столице штата. Ему дали номер 503-555-5000. Естественно, это был номер для обычных звонков насел
Коммутатор
Чтобы осуществить задуманное, ему нужно было получить доступ к телефонному коммутатору, который управлял телефонной связью между полицией и УТ. Он позвонил на телефонный узел и представился сотрудн
Звонок в управление
Незадолго до восьми утра зазвонил сотовый телефон. Это самая лучшая часть, просто прелесть. Здесь Эрик, соц. инженер, разговаривает с полицейским, человеком, наделенным властью прийти и арестовать
Анализируя обман
Давайте взглянем еще раз на хитрости, с помощью которых Эрику удалось обмануть стольких людей. На первом шаге он заставил помощника шерифа в телетайпной ему конфиденциальный номер телефона управлен
Сообщение Митника
Если в вашей компании используется телефонный коммутатор, что будет делать ответственный сотрудник, если ему позвонить производитель оборудования с просьбой сообщить номер для дозвона на коммутатор
История об охраннике
Для Лероя Грина было гораздо приятнее слушать гул своих каблуков в совсем недавно опустевших цехах завода, чем сидеть всю ночь перед видеомониторами в отделе охраны. Хотя ему не дозволено было
Рассказ Джо Харпера
Просто так, ради развлечения, семнадцатилетний Джо Харпер уже более года проникал в различные здания, иногда в дневное время, иногда по ночам. Сын музыканта и официантки из бара, которые работали п
Анализируя обман
Тот факт, что в реальной истории, на которой основан этот рассказ, злоумышленниками являлись действительно подростки, не имеет большого значения.
Это вторжение для них было всего лишь заба
Деньги за мусор
Корпорации тоже играют в игры с «разгребанием мусора». В июне 2000 газеты писали о том, что корпорация Оракл (Oracle) (президент которой, Ларри Эллисон, является самым известным и откровенным проти
Анализируя обман
Исходя из описанного мной моего опыта и опыта компании Оракл, вы могли бы подумать, зачем кому-то, подвергая себя риску, красть чьи-то мусорные корзины.
Ответ, я думаю, в том, что риск при
Униженный начальник
Никто не предал значения тому, что Харлан Фортис пришел как обычно утром в понедельник на работу в Управление автомагистралей округа, и сказал, что в спешке забыл свой бейдж дома. Женщина-охранник
Анализируя обман
Воспользовавшись помощью хакера-подростка, оскорбленный сотрудник получил доступ в компьютер руководителя своего управления, скачал очень важную презентацию PowerPoint, и заменил некоторые из слайд
Сообщение Митника
Основное число работников, которых перевели, уволили или понизили в должности, не представляют проблемы. Однако всегда может найтись один человек, который заставит понять руководство компании, каки
Рассказ Энтони
Я думаю, что Энтони Лэйка можно назвать ленивым бизнесменом. Он не хотел работать на других, решив, что будет работать на себя; он хотел открыть магазин, где он мог бы сидеть на одном месте целый д
Анализируя обман
Мошенник, представившийся Питером Милтоном, воспользовался двумя психологическими методами – один был спланирован заранее, другой был сымпровизирован по ходу действия.
Он оделся так, как о
Анализируя обман
Эта история освещает интересную проблему. Данные платежных ведомостей доступны людям, отвечающим за обслуживание компьютерных систем компании. Отсюда следует вывод: при подборе персонала необходимо
Защита в нерабочее время
Все сотрудники, приходящие на работу без бейджей, должны получать временный пропуск на день в отделе охраны. Инцидент, описанный в первой истории этой главы, имел бы совершенно иной итог, если бы о
Надлежащее обращение с мусором
История с копанием в мусоре вскрыла проблему потенциальной опасности использования мошенниками выброшенных документов. Здесь приведены восемь правил, которые необходимо учитывать при обращении с му
При увольнении сотрудников
Ранее на этих страницах уже указывалась необходимость ужесточения процедур доступа к секретной информации, паролям, номерам дозвона на серверы компании, и т.п. Процедуры информационной безопасности
Не забывайте ни о ком
Правила безопасности имеют тенденцию упускать из виду сотрудников низкого уровня, людей, подобно служащих приемной, которые не оперируют секретной корпоративной информацией. Мы видим повсюду, что с
Гарантии безопасности IT
Разумное утверждение: в вашей компании, возможно, любой сотрудник департамента IT знает или может выяснить очень быстро, сколько вы зарабатываете, какие суммы получает Президент компании, и кто пол
Поиск Гондорффа
Теперь ему надо было узнать, в каком отделении находится Гондорфф. Это информация, которую люди, содержащие места заключения и тюрьмы, точно не захотят предоставить посторонним. Снова Джонни должен
Синхронизируй свои часы
Теперь надо передать сообщение Гондорффу, когда ему надо поднять трубку, подключенную к Офису Общественных Защитников. Это было проще, чем может показаться.
Джонни позвонил в тюрьму, испол
Анализ обмана
Этот эпизод показывает основной пример того, как социальный инженер может сделать то, что кажется невозможным, обманывая нескольких людей, каждый из которых делает нечто, кажущееся непоследовательн
Сообщение от Митника
Промышленные шпионы и компьютерные взломщики иногда физически проникают в цель. Они не используют лом, чтобы пройти, социальные инженеры используют искусство обмана, чтобы повлиять на человека с др
Деньги на линии
Мы пришли и обнаружили большой переполох в толпе около презентации Lock-11. Похоже, что разработчики ставили деньги на то, что никто не сможет взломать их продукт. Звучит как вызов, перед которым я
Вызов принят
Мы с Винни уходили и говорили о конкурсе, и я придумал план. Мы невинно ходили вокруг, поглядывая на стенд с расстояния. Во время обеда, когда толпа разошлась, и трое разработчиков решили воспользо
Сообщение от Митника
Вот еще один пример того, как умные люди недооценивают противника. А как насчет вас - вы уверены, что можно поставить $300 на ваши охранные системы, против взломщика? Иногда обход вокруг технологич
Атака паролями
В этом месте Иван использовал технический подход для получения удостоверяющей информации. Первый шаг в большинстве технических взломов систем, предоставляющих удаленный доступ - найти аккаунт со сл
Быстрее, чем ты думаешь
Когда Иван решил, какой список слов использовать, и начал атаку, программное обеспечение заработало на автопилоте. Он смог обратить свое внимание на другие вещи. А вот и удивительная часть: вы дума
Анализ обмана
В этой атаке, основывавшейся на технических и человеческих уязвимостях, атакующий начал с предварительного звонка, чтобы узнать местоположение и имена серверов разработчиков, на которых была частна
Сообщение от Митника
Если воспользоваться терминологией игры "Монополия", если вы используете словарное слово в качестве пароля - отправляйтесь сразу в тюрьму. Не проходите поле "Вперед", вы не полу
Рассказ Билла
У Билла Гудрока была простая цель, к которой он неизменно следовал с 12 лет: уйти на пенсию в 24 года, не трогая ни цента из денег своего отца. Чтобы показать отцу, могущественному и беспощадному б
Анализ обмана
Конечно, действительно могли позвонить поставщики базы данных. Но тогда история не была бы помощена в эту книгу. Социальный инженер в этой истории заставил жертву испугаться потери важных данны
Звонок Анне
“Финансовый отдел, Анна слушает.”
“Как я рад, что нашел хоть кого-то, кто работает допоздна. Это Рон Витарро, я издатель в отделении бизнеса. Не думаю, что мы раньше встречались. Добро пожа
История Курта Диллона
В издательстве Миллард-Фентон не могли нарадоваться на своего нового автора, CEO компании Fortune 500, только что ушедшего в отставку. Его направили к бизнес менеджеру, чтобы согласовать контракт.
Обман неосторожного
Ранее я отметил необходимость обучения работников,чтобы они неследовали инструкциям незнакомцев. Все работники должны понимать опасность запросов,содержащих в себе необходимость работы с чужим ПК.
Звонок Линды
День/время: Вторник, 23 июля, 15:12 Место: “Офисы Финансового Отдела, Авиакомпания Starbeat”
Телефон Линды Хилл зазвонил когда она записывала заметку
История Джека
Джек Доукинс начал свою “профессиональную” карьеру в раннем возрасте в качестве карманного вора, промышляя на спортивных играх на стадионе команды Янки в оживленных помещениях под трибунами и среди
Ширли атакует
До этих пор все это было легким маневром. Теперь же она готова использовать искусство обмана.
Она звонит в службу поддержки потребителей компании. “Я из отдела Финансовых Сборов, в Кливлен
Анализ обмана
В этой уловке атакующая сначала одурачила администратора голосовой почты компании, заставляя поверить что она сотрудник компании, так что он установил временный ящик для голосовой почты. Если бы он
Сообщение от Митника
Попробуйте изредка названивать на вашу собственную голосовую почту; если вы услышите исходящее сообщение и оно не ваше, может вы только что наткнулись на вашего первого социального инженера.
Сообщение от Митника
Искусный социальный инженер очень умен в побуждении других людей делать ему одолжения. Получение факса и перенаправление его в другое место выглядит настолько безобидно, что все это слишком просто
Первые шаги
“Полиция Лос Анжелеса, подраздездение Холлэнбек.” “Здравствуйте, я бы хотел поговорить с отделом Управления по повесткам в суд.” “Я судебный пристав.” “Хорошо. Это адвокат Джон Лилэнд,
Муниципальный суд, Стойка Пристава
Пол: “Я бы хотел наметить дату суда по этой квитанции за превышение скорости.” Пристав: “О’кей. Я могу дать вам 26-е следующего месяца.” “Ну я бы хотел зап
Муниципальный Суд, Комната для судебных заседаний номер шесть
Дата: Четверг, 13:45 Пристав: “М-р Дьюреа, пожалуйста займите место на скамье.”
Судья: “М-р Дьюреа, вы понимаете права, объясненные В
Анализ обмана
Когда офицер выписывает билет, он подписывает его своим именем и символическим номером(или каким угодно еще, как зовется его персональный номер в его агентсве). Звонка ассистенту справочной с указа
Расплата
Ей потребовалась около недели чтобы выяснить как она собирается им отплатить. Месяцем ранее парень из журнала индустриальной торговли попытался запасть на нее когда пришел на запуск нового продукта
Анализ обмана
Недовольный сотрудник, поиск среди файлов, быстрая операция вырезки-вставки-и-коррекции, немного творческого копировая, и факс. И, вуаля! – у нее есть доступ к конфиденциальным спецификациям на мар
Коллективный иск
Представьте себе коллективный иск против фармацевтической компании «Фармомедик». Известно, что одно из распространенных лекарств обладает разрушающим эффектом, который становится очевидным только ч
Атака Пита
Пит подключает пару своих людей и через несколько дней узнает, что компания «Дженкинс и Петри» делает резервные копии. И знает, что в компании, занимающейся хранением резервных копий, есть список л
Сообщение Митника
Ценная информация должна быть защищена независимо от того, в какой форме и где она размещается. Список клиентов компании имеет одинаковую ценность в твердой копии, электронном виде или в хранилище.
История Джессики
Джесскика Эндовер была рада получить работу в робототехнической компании. Конечно, это было начало и платили не очень много, но она испытывала волнение, зная, что в дальнейшем она станет богатой. К
История Сэмми Санфорда
Достаточно умный для того, чтобы получать большое жалование законным путем, но довольно нечестный, чтобы предпочесть жизнь мошенника, Сэмми Санфорд выгодно поступил для себя. В то время, когда он п
Анализ обмана
Любой, кто работает с непосредственным обманом (лицом к лицу), должен скрывать себя под видом, приемлемым с точки зрения жертвы. Он будет представлять себя одним способом при появлении на ипподроме
Сообщение Митника
Хотя большинство атак социальных инженеров происходит по телефону или электронной почте, не думайте, что уверенный атакующий никогда не появится как человек в вашем бизнесе. В большинстве случаев о
Заметка
Джон Ле Карре, автор книг «Шпион, который вернулся из холода», «Настоящий шпион», вырос в семье "бизнесмена", склонного к мошшеничеству. Юный Ле Карре был поражен открытием: удачно обманы
Подтасовка
Внимание: следующая история не связана с промышленным шпионажем. После ее прочтения подумайте, почему я решил поместить ее в эту главу!
Гарри Тарди возвращался домой обозленным. Морские во
Подготовка
Небольшая разведка Гарри показала, что программа был создана в Центре разработок, расположенном в зарубежной штаб-квартире производителя КПК. В Соединенных Штатах также существовало подразделение и
Подготовка жертвы
На полпути к цели. Теперь, прежде чем продолжать, Гарри и Карл должны были дождаться, пока прибудет файл. Во время ожидания они прошли к столу инструктора и сделали еще два шага. Сначала они устано
Анализ обмана
Хотя потребовался комбинация ряда элементов, чтобы выходка заработала, она не была бы успешной без некоторой умелой игры с просьбой о помощи: мой босс накричал на меня, руководство в панике, и т.д.
Сообщение Митника
Базовое правило, которое должен запомнить каждый служащий: без согласия руководства не передавайте файлы людям, которых вы не знаете, даже если место назначения находится во внутренней сети компани
Предотвращение обмана
Промышленный шпионаж, который долгое время был проблемой для бизнеса, стал хлебом для обычных шпионов, сосредоточившихся на добыче секретов компании за деньги, теперь, когда холодная война закончил
Авторитетность
Людям свойственно желание услужить (удовлетворить запрос) человеку с авторитетом (властью). Как говорилось раньше, человек получит нужный ответ, если сотрудник уверен, что спрашивающий имеет власть
Умение расположить к себе
Люди имеют привычку удовлетворить запрос располагающего к себе человека, или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами.
Примеры атак:
Ответственность
Люди меют привычку исполнять обещанное. Раз пообещав, мы сделаем все, потому что не хотим казаться не заслуживающими доверия. Мы будем стремиться преодолеть любые препятствия для того, чтобы сдержа
Социальная принадлежность к авторизованным
Людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения. Иначе говоря, "если так делают другие, я тоже должен действовать та
Учреждение обучающего тренинга
Ответственный за разработку программы информационной безопасности должен свыкнуться с мыслью, что это не проект «один размер на всех». В некоторой степени данный тренинг нуждается в выработке специ
Структура тренинга
В своей основе обучающая программа должна быть спроектирована таким образом, чтобы посещалась всеми сотрудниками. Новые служащие должны посещать тренинг как часть первоначального ознакомления и зна
Рекомендуемые политики корпоративной безопасности
Девять из десяти крупных корпораций и государственных структур подвергались атакам со стороны взломщиков, если судить по результатам исследования, проведенного ФБР и размещенных результатах в апрел
Пути к развитию программы
Наиболее всесторонняя программа по информационной безопасности начинается с изучения степени риска путем определения:
Какая корпоративная информация нуждается в защите? Как
Как использовать эти правила
Детальное описание норм, представленное в этой главе, является лишь небольшой частью всех возможных, но именно такой, какая поможет смягчить риск для вашей компании. Само собой, указанный здесь спи
Классификация информации.
Нормы по классификации информации являются основными в защите информационных активов компании. Документ предоставляет схему для защиты, путем информирования всех рабочих об уровне важности каждого
Категории классификации и определения
Информация должна быть разделена на различные уровни, в зависимости от ее важности. Будучи однажды установленной системой, повторная классификация потребует финансовых и временных затрат. В нашем п
Заметка
Категорию внутренней информации в мире компьютерной безопасности обычно называют чувствительной. Я вынужден использовать термин "внутренняя", так как он говорит сам за себя.
&nbs
Терминология классификации данных
Базируясь на классификации, данные должны распределяться между определенными категориями людей. Некоторые нормы, приведенные в этой главе, относятся к непроверенным личностям. Непроверенная личн
Процедуры проверки и разрешения.
Информационные воры обычно используют обманные методы получения информации, притворяясь работниками компании, торговцами или деловыми партнерами. Чтобы добиться хорошего уровня безопасности, работн
Запросы от непроверенного человека
Когда запрос совершается от непроверенного человека, процесс проверки должен привести к полной идентификации личности, особенно если запрос относится к информации, связанной с компьютерным оборудов
Заметка
Важно заметить, что такие списки являются своеобразным приглашением атакующему. Если человек понимает, что компания предпринимает попытке к защите своей информации, его мотивация в получении копии
Организация информации в классы
Политика: Вся ценная, чувствительная или критически-важная деловая информация должна организовываться в классы непосредственным Владельцем или уполномоченным лицом.
Нанести пометки на каждый документ
Политика: Отчетливо отмечать как печатные материалы, так и цифровые носители, содержащие Конфиденциальную, Личную, или Внутреннюю информацию.
Пояснения/заметки:
Процедура проверки служащих
Политика: Компания должна разработать всеобъемлющие процедуры для проверки личности, статуса занятости, и разрешения на получение информации каждого, кто захочет получить доступ к
Раскрытие информации третьим лицам
Политика: Набор рекомендуемых процедур раскрытия информации третьим лицам должен быть доступен для всех сотрудников, которые должны быть обучены их проведению.
Поя
Распространение Конфиденциальной информации
Политика:Конфиденциальная информация, т.е. информация, способная нанести существенный ущерб, если она получена несанкционированным лицом, может быть доставлена только Доверенному л
Распространение личной информации
Политика: Личная информация, т.е. информация о работнике (работниках), которая, будучи получена несанкционированным лицом, может быть использована для нанесения вреда работникам ил
Обсуждение Чувствительной информации по телефону
Политика: Перед раскрытием любой информации, не помеченной как Публичная, по телефону, раскрывающий сотрудник должен знать собеседника по голосу, или телефонная система компании до
Процедуры обмена информацией для сотрудников приемных.
Политика:Работники приемной должны осуществить проверку подлинности любого запрашивающего информацию/ пакет/ посылку лица по фотографии, если это лицо не является известным сотрудн
Передача программного обеспечения третьим лицам.
Политика:Перед передачей любого программного обеспечения, или инструкции (документации) к программному обеспечению, личность запрашивающего лица должна быть установлена и осуществл
Процедуры обмена информацией для сотрудников отделов Маркетинга и Продаж.
Политика: Работники отделов продаж и маркетинга должны оценить реальную необходимость в сообщении потенциальным клиентам номеров внутренних телефонов сотрудников, планов компании о
Передача файлов (данных).
Политика:Файлы не должны копироваться на любые сменные носители, за исключением случая, когда запрашивающее лицо является доверенным, и его личность была установлена в соответствии
Переадресация коммутируемых линий и факсов
Политика: Службы перенаправления, которые позволяют переадресовать звонки на внешние телефонные номера, не следует включать на телефонных линиях модемов или факсов компании.
Визитные телефоны
Политика:Чтобы посетители (гости) не могли выдать себя за работников компании, каждый телефон должен понятно отображать местонахождение звонящего (например, «приемная»).
Отслеживание звонков
Политика: В зависимости от ограничений поставщика услуг связи, может быть доступна возможность выявления вызывающего абонента, когда есть подозрение на атаку.
Пояс
Автоматизированные телефонные системы (АТС)
Политика: Если компания использует автоответчик, то система должна быть запрограммирована так, чтобы телефонные номера не назывались в случае передачи звонка служащему или подразде
Запрещенные номера
Политика:Все внутренние номера подразделений, которым обычно не звонят извне (help desk, машинный зал, техподдержка служащих), должны быть запрограммированы на прием исключительно
Дизайн значка (бэджика) служащего
Политика:Значок служащего должен включать в себя крупную фотографию, которую можно разглядеть на расстоянии.
Пояснения/заметки:Фотография на обычных корпо
Пересмотр прав доступа после смены должности или ответственности
Политика: Всякий раз, когда меняется должность или мера ответственности служащего компании, его руководитель должен известить об этом IT-отдел для внесения соответствующих изменени
Особая идентификация для сторонних лиц
Политика:Ваша компания предусмотреть специальный значок для курьеров и тех людей, которые не являются служащими, но кому нужен регулярный доступ в компанию.
Поясне
Отключение (блокирование) учетных записей временных служащих
Политика: Всякий раз, когда временный служащий, для которого была создана учетная запись, выполнил свое задание, или когда срок действия контракта закончился, ответственный руковод
Структура, работающая с отчетами об инцидентах
Политика:Для работы с отчетами об инцидентах должна быть выделена структура, а в маленьких компаниях – отдельный человек, которые будут получать и распределять предупреждения, каса
Горячая линия инцидентов
Политика:Для структуры или человека, которые работают с инцидентами безопасности, должна быть выделена горячая линия с легко запоминающимся телефонным номером.
Поя
Секретные области должны быть защищены
Политика: Охранник должен наблюдать за секретными участками и требовать две формы аутентификации.
Пояснения/заметки:Одна форма аутентификации использует э
Шкафы с сетевым и телефонным оборудованием
Политика:Шкафы или комнаты с сетевыми и телефонными кабелями, точки доступа к сети должны защищаться всегда.
Пояснения/заметки: Только авторизованный перс
Ящики внутренней почты
Политика:Ящики внутренней почты не должны находиться в общедоступных местах.
Пояснения/заметки:Промышленные шпионы или компьютерные взломщики, у которых ес
Доски объявлений компании
Политика:Доски объявлений работников компании не должны находиться в общедоступных местах.
Пояснения/заметки:Во многих компаниях есть доски объявлений где
Учетные записи пользователей у поставщиков услуг
Политика:Персонал компании, размещающий заказы у поставщиков критичных сервисов, должен иметь учетные записи с паролями, чтобы предотвратить размещение заказов на стороне компании
Пароли пользователей
Политика: У представителей сервисной службы не должно быть возможности узнать пароли пользователей.
Пояснения/заметки: Социальные инженеры часто звонят в
Поиск уязвимостей
Политика: Во время обучения по безопасности требуется предупреждать о том, что компания использует тактики социальной инженерии для поиска уязвимостей.
Пояснения/з
Обучение безопасности
Политика:Все работники, нанятые компанией, должны пройти курс по безопасности во время периода адаптации (освоения). Кроме того, каждый служащий должен периодически проходить допол
Курс безопасности для получения доступа к компьютерам
Политика:Персонал должен посещать и успешно сдавать курс по защите информации перед получением доступа к любой корпоративной компьютерной системе.
Пояснения/заметк
Значок служащего должен быть закодирован цветом (использовать цветовое обозначение)
Политика:Идентификационные знаки должны быть обозначены цветом, чтобы показать, что их обладатель является служащим, временным работником, поставщиком, консультантом, посетителем и
Контактные данные сотрудников отдела IT
Политика:Телефонные номера и адреса e-mail сотрудников отдела IT не должны быть сообщены тем, кого их не надо знать.
Пояснения/заметки:Это правило предотв
Просьбы о технической поддержке
Политика: Все просьбы о технической поддержке должны быть переданы отделу, который занимается такими просьбами.
Пояснения/заметки: Социальные инженеры мог
Процедуры удаленного доступа
Политика: Персонал технической поддержки не должен раскрывать подробности или инструкции удаленного доступа, включая точки доступа в локальную сеть и номера модемного пула, если:
Смена пароля
Политика:Пароль к пользовательскому аккаунту может быть изменен только по просьбе владельца аккаунта.
Пояснения/заметки:Один из наиболее часто используемы
Изменение прав доступа
Политика:Все просьбы по увеличению привилегий пользователя или прав доступа должны быть подтверждены в письменной форме менеджером владельца аккаунта. После произведения изменения,
Добавление нового аккаунта
Политика: Просьба, касающаяся создания нового аккаунта для сотрудника или другого авторизованного человека должна быть сделана в письменной форме и подписана менеджером сотрудника,
Получение новых паролей
Политика:К новым паролям следует обращаться как к конфиденциальной информации компании, и должны быть доставлены безопасными методами, к примеру лично, или службой доставки вроде U
Блокирование аккаунта
Политика: Прежде чем отключить аккаунт пользователя нужно удостовериться, что просьба была сделана авторизованным персоналом.
Пояснения/заметки: Цель этог
Отключение сетевых портов или устройств
Политика:Ни один сотрудник не должен отключать сетевое устройство или порт по просьбе неверифицированного сотрудника технической поддержки.
Пояснения/заметки:
Сведения о неисправностях пользователей
Политика: Имена сотрудников, сообщивших о проблемах, связанных с компьютерами, не должны быть разглашены за пределами IT-отдела.
Пояснения/заметки: Исполь
Выполнение команд или запуск программ
Политика:Персонал IT-отдела, имеющий привилегированные аккаунты, не должен выполнять команды или запускать приложения по просьбе любого человека, не знакомого лично.
Запросы на удаленный доступ
Политика:Удаленный доступ должен предоставляться только тому персоналу, у которого есть доказанная необходимость в доступе к корпоративной сети извне. Запрос должен быть сделан рук
Удаленный доступ персонала внешней поддержки
Политика:Не следует предоставлять информацию, относящуюся к удаленному доступу, или право удаленного доступа к компьютерным системам работникам внешней службы поддержки (например,
Сложная аутентификация для удаленного доступа к корпоративным системам
Политика: Все точки входа в корпоративную сеть извне должны быть защищены с использованием сложной аутентификации, такой как динамические пароли или биометрические характеристики.
Конфигурация операционной системы
Политика:Системные администраторы должны обеспечить конфигурацию операционной системы в соответствии с политикой безопасности.
Пояснения/заметки: Основной
Обязательное окончание срока действия учетных записей
Политика: Все учетные записи должны иметь срок действия один год.
Пояснения/заметки: Цель данной политики – уменьшить количество неиспользуемых учетных за
Общие адреса электронной почты
Политика: IT-отдел должен каждому подразделению организации выделить общий адрес электронной почты для связи с общественностью.
Пояснения/заметки:Общий ад
Контактная информация для регистрации домена
Политика: При регистрации диапазона адресов или имен контактная информация не должна содержать данные конкретного служащего. Вместо этого следует указать общий адрес электронной по
Установка обновлений безопасности и обновлений операционной системы
Политика: Все обновления безопасности операционной системы и приложений следует устанавливать сразу после их появления. Если эта политика конфликтует с ответственными системами, та
Контактная информация на веб-сайтах
Политика: Внешний веб-сайт компании не должен открывать детали корпоративной структуры или содержать имена служащих.
Пояснения/заметки:Информация о корпор
Создание привилегированных учетных записей
Политика:Не следует создавать привилегированные учетные записи или давать системные привилегии учетным записям без санкции системного администратора.
Пояснения/зам
Гостевые учетные записи
Политика: Гостевые учетные записи следует заблокировать или удалить на всех компьютерах и сетевых устройствах, за исключением FTP-серверов, на которых разрешен анонимный доступ.
Доступ посетителей к сетевым соединениям
Политика: Все публичные точки доступа Ethernet должны находиться в сегментированной сети для предотвращения несанкционированного доступа во внутреннюю сеть.
Поясне
Модемы для входящих соединений
Политика:Модемы, используемые для входящих соединений, следует настроить на ответ не ранее, чем после четвертого звонка.
Пояснения/заметки:Как показано в
Антивирусные программы
Политика: На каждом компьютере должна быть установлена и задействована современная версия антивируса.
Пояснения/заметки: На предприятиях, где антивирус на
Проверка программного обеспечения
Политика:Все новые программы или обновления программ, на физических носителях или полученные через Интернет, должны пройти проверку подлинности перед установкой. Данная политика ос
Блокировка неудачных попыток доступа (с уровень безопасности от низкого до среднего)
Политика:В организациях с уровнем безопасности от низкого до среднего учетная запись должна блокироваться на некоторое время после заданного числа неудачных попыток входа.
Отключение учетной записи после неудачных попыток входа (высокий уровень безопасности)
Политика:В организации с высоким уровнем безопасности учетная запись должна отключаться после заданного числа неудачных попыток входа до ее восстановления группой, ответственной за
Требования к паролям привилегированных учетных записей
Политика:Привилегированные учетные записи М1 должны иметь сложные пароли:
пароль не должен быть словом, которое можно найти в словаре на каком-либо языке; п
Беспроводные точки доступа
Политика:Все пользователи беспроводной сети должны использовать технологию VPN (Virtual Private Network – виртуальная частная сеть) для защиты корпоративной сети.
Ввод команд и запуск программ
Политика: Сотрудники, работающие с компьютером не должны запускать программы или вводить команды по просьбе неизвестных людей. В случае если неизвестное лицо имеет вескую причину д
Сотрудники, имеющие привилегированное положение
Политика: Сотрудники, имеющие привилегированный аккаунт не должны давать справок и выполнять просьбы неизвестных лиц. В частности это относится к оказании помощи при работе с компь
Информация о внутренней системе
Политика: Персонал, работающий с компьютером не должен разглашать информацию, связанную с используемым в компании оборудованием, топологию сети и т. д. без предварительной проверки
Предоставление паролей
Политика:Сотрудники не должны сообщать кому-либо свои пароли, или другие пароли, доверенные им, без соответствующего разрешения управляющего.
Пояснения/заметки:
Резервные копии
Политика: Резервные носители должны храниться в сейфе компании или другом защищенном месте.
Пояснения/заметки:Резервные копии – еще одна основная цель ком
Сообщения о подозрительных вызовах
Политика:Сотрудники, подозревающие факт нарушения политики безопасности, включая любые подозрительные просьбы о предоставлении информации или выполнении действий на компьютере, дол
Предоставление номеров телефонов модемного пула
Политика: Персонал компании не должен сообщать номера модемных пулов удаленного доступа, но должен всегда направлять такие запросы в центр технической поддержки.
П
Отслеживание нарушений, связанных с ношением идентификаторов
Политика: Все сотрудники должны немедленно сообщать о незнакомых людях, находящихся на территории компании без корпоративного идентификатора или карточки посетителя.
Проникновение через защитные системы
Политика: Сотрудники, проходящие в защищенное помещение не должны позволять неизвестным людям проходить следом за ними, в случае если для проникновения в помещение используется клю
Уничтожение важных документов
Политика:Важная документация, утратившая необходимость должна быть измельчена в уничтожителе; другие носители информации, включая жесткие диски, когда либо содержащие важную информ
Персональные идентификаторы
Политика: Персональные данные, такие как табельный номер, номер социального страхования, номер водительского удостоверения сотрудника, дата и место его рождения и даже девичья фами
Ввод команд
Политика:Персонал компании не должен вводить команды в компьютер или компьютерное оборудование по просьбе другого человека, если проситель не подтвердил, что он является служащим I
Соглашения о внутренних наименованиях
Политика: Служащие не должны раскрывать внутренние имена компьютеров или баз данных, не проверив, что проситель работает на компанию.
Пояснения/заметки:Со
Просьбы запустить программы
Политика: Персонал компании не должен запускать никакие компьютерные приложения или программы по просьбе другого человека, если проситель не подтвердил, что он является служащим IT
Загрузка или установка программ
Политика:Персонал компании не должен загружать или устанавливать программы по запросу другого человека, если проситель не подтвердил, что он является служащим IT-отдела.
Установка модемов
Политика:Не следует подключать модем к компьютеру без одобрения IT-отдела.
Пояснения/заметки: Важно осознать, что модемы на рабочем месте представляют сер
Средства взлома
Политика: Служащим не следует загружать или использовать средства для взлома защиты программного обеспечения.
Пояснения/заметки: В Интернете множество сай
Размещение информации компании онлайн
Политика:Служащим не следует размещать в телеконференциях, на форумах, досках объявлений подробности, касающиеся аппаратного или программного обеспечения компании, а также публиков
Дискеты и другие электронные носители
Политика:Не следует вставлять в любую компьютерную систему электронные носители, дискеты или компакт-диски, которые оставлены на рабочем месте или на столе служащего, а их источник
Уничтожение электронных носителей
Политика: Перед выбросом любого электронного носителя, содержавшего секретную информацию компании, его следует размагнитить или повредить без возможности восстановления, даже если
Вложения электронной почты
Политика: Вложения электронной почты не следует открывать, если они не требовались для работы или не были посланы доверенным лицом.
Пояснения/заметки:Все
Автоматическая переадресация на внешние адреса
Политика: Автоматическая переадресация входящей почты на внешние электронные адреса запрещается.
Пояснения/заметки:Цель данной политики – предотвратить по
Проверка электронной почты
Политика: Электронное сообщение, появившееся от доверенного лица и содержащее просьбу предоставить конфиденциальную информацию или выполнить действие на любом компьютерном оборудов
Участие в телефонных опросах
Политика:Служащие не должны участвовать в телефонных опросах, отвечая на вопросы сторонней организации или человека.Подобные запросы следует направлять в отдел по связям с обществе
Перенаправление факсов
Политика:Никакой полученный факс не может быть перенаправлен сторонним лицам без проверки личности просителя.
Пояснения/заметки: Похитители информации мог
Проверка авторизации факса
Политика: Прежде чем выполнять какие-либо инструкции, полученные по факсу, следует убедиться, что отправитель является служащим или другим доверенным лицом. Обычно достаточно звонк
Отправка конфиденциальной информации факсом
Политика:Перед отправкой конфиденциальной информации факсом в место нахождения другого персонала, отправитель должен отправить обложку. Получатель отправляет страницу в ответ, пока
Голосовые сообщения, помеченные как старые
Политика: Следует уведомить администратора голосовой почты о возможном нарушении безопасности и немедленно сменить пароль, если есть непрослушанные сообщения, которые не отмечены к
Конфиденциальная или частная информация
Политика:В сообщении голосовой почты не должно быть конфиденциальной или частной информации.
Пояснения/заметки:Корпоративная телефонная система обычно бол
Пароли в интернете
Политика: Сотрудники никогда не должны использовать на интернет-сайтах пароли похожие на используемые в корпоративных системах, или совпадающие с ними.
Пояснения/З
Пароли на разных системах
Политика: Сотрудники компании никогда не должны использовать одинаковые или похожие пароли на разных системах. Эта политика относится к различным типам устройств (компьютеры, голос
Выбор паролей
Политика:Пользователи должны выбирать пароли, которые соответствуют следующим требованиям:
Быть как минимум восемь символов в длину для пользовательских учетных записей и
Тонкие клиенты
Политика:Весь персонал, который может соединяться с корпоративной сетью удаленно должен использовать тонкие клиенты.
Пояснения/Заметки:Когда атакующий выб
Безопасность программного обеспечения надомных работников
Политика: Любая внешняя вычислительная система, используемая для подключения к корпоративной сети должна иметь антивирусное программное обеспечение и персональный межсетевой экран.
Увольнение сотрудников
Политика: Всякий раз, когда сотрудник уходит или его увольняют, кадровое подразделение должно немедленно сделать следующее:
1. Удалить данные о сотруднике из актуального т
Использование конфиденциальной информации при приеме на работу
Политика: Объявления о приеме на работу и другие формы привлечения новых сотрудников не должны, по возможности, содержать названий используемого в компании аппаратного и программно
Персональные данные сотрудников
Политика: Персонал отдела кадров никогда не должны разглашать персональные данные о любом работающем или бывшем служащем, подрядчике, консультанте, временном работнике или стажере,
Проверки послужного списка сотрудников
Политика: Проверка послужного списка необходима в отношении всех новых служащих, подрядчиков, консультантов, временных работников и стажеров ДО предложения им работы или заключения
Идентификация людей, не являющихся сотрудниками
Политика: Почтальоны и другие лица, не являющиеся служащими, которым регулярно необходимо входить в служебные помещения должны носить специальный значок или другой элемент идентифи
Идентификация посетителей
Политика: Все посетители при входе в здание должны предъявлять удостоверение личности с фотографией.
Пояснения/Заметки: Сотруднику службы безопасности или
Сопровождение посетителей
Политика: Посетители, находясь на территории компании, всегда должны сопровождаться кем-то из сотрудников.
Пояснения/Заметки: Популярная уловка социальных
Аварийная эвакуация
Политика: При возникновении реальной аварийной ситуации или при тренировках персонал службы безопасности должен убедиться в отсутствии людей во всех помещениях компании.
Свалки мусора
Политика: Свалки мусора должны располагаться на территории компании и быть недоступны извне.
Пояснения/Заметки: Компьютерные злоумышленники и промышленные
Внутренний телефонный справочник
Политика: Сообщение информации из внутреннего телефонного справочника возможно только сотрудникам компании.
Пояснения/Заметки: Все названия должностей, им
Телефонные номера специальных отделов
Политика: Служащие не должны давать телефонные номера службы тех. поддержки, отдела телекоммуникаций, системных администраторов и т.д. не убедившись, что звонящий имеет право конта
Передача информации
Политика: Телефонные операторы и секретари не должны принимать сообщения или передавать информацию никаким людям кроме тех, которых они ЛИЧНО знают как действующих сотрудников комп
Предметы на вынос
Политика: Перед выдачей любого предмета курьеру или другому неустановленному лицу секретарь или сотрудник охраны должны получить удостоверение личности с фотографией и записать дан
Группа оповещения о внештатных ситуациях
Политика: Должен быть назначен человек или группа людей и сотрудники должны быть проинструктированы сообщать им обо всех подобных ситуациях. Все служащие компании должны быть обесп
В время атаки
Политика: Всякий раз, когда группа оповещения о внештатных ситуациях получает сигнал об атаке, она должна немедленно начать процедуры оповещения всех сотрудников атакованного подра
Краткое описание безопасности в организации
(Security at a Glance)
Перевод: Daughter of the Night (admin[at]mitnick.com.ru)
Следующие списки и таблицы предоставят сжатую памятку методов, используемых социальными инженерами,
Типичные методы действий социальных инженеров
Представляться другом-сотрудником Представляться сотрудником поставщика, партнерской компании, представителем закона Представляться кем-либо из руководства Предс
Типичные цели атакующих
ТИП ЖЕРТВЫ
ПРИМЕРЫ
Незнающая о ценности информации
Секретари, телефонистки, помощники администрации, охрана.
Факторы, делающие компанию более уязвимой к атакам
Большое количество работников Множество филиалов Информация о местонахождении сотрудников на автоответчике Информация о внутренних телефонах общедоступна
Подтверждение личности
ДЕЙСТВИЕ
ОПИСАНИЕ
Идентификационный номер звонящего
Убедитесь, что звонок - внутренний, и название отдела соответствует личности зво
Процедура, позволяющая узнать, может ли просителя получить информацию
ДЕЙСТВИЕ
ОПИСАНИЕ
Смотреть список должностей / отделов / обязанностей
Проверить списки, где сказано, каким сотрудникам разрешено пол
От Кевина Митника
Настоящую дружбу можно охарактеризовать, как один ум на два тела; не так много людей в чьей-то жизни могут назваться настоящими друзьями. Джэк Белио был любящим и заботливым человеком, который выск
От Билла Симона
В этой записке мне хочется сказать, что каждому из нас предназначен "наш" человек; к сожалению, не всем людям повезло найти их мистера или миссис "мой человек". Другим, наоборот
Крупные аферы с хостингами (статья)
"... - В борье с таким противником надо превращать свои недостатки в преимущества, - как например?, - когда они велики, а ты мал, то ты проворнее и мобильней, а они медлительны, ты бье
Новости и инфо для студентов