рефераты конспекты курсовые дипломные лекции шпоры

Реферат Курсовая Конспект

Сообщение от Митника

Сообщение от Митника - раздел Информатика, Искусство обмана Промышленные Шпионы И Компьютерные Взломщики Иногда Физически Проникают В Цел...

Промышленные шпионы и компьютерные взломщики иногда физически проникают в цель. Они не используют лом, чтобы пройти, социальные инженеры используют искусство обмана, чтобы повлиять на человека с другой стороны двери, который откроет дверь для него.

 

Легкие деньги

Когда а впервые познакомился с компьютерами в старших классах школы, нам приходилось подключаться к одному центральному миникомпьютеру DEC PDP 11, расположенному в пригороде Лос-Анджелеса, который использовали все школы Л.А. Операционная система на компьютере называлась RSTS/E, и эта была первая операционная система, с которой я научился работать.

В то время, в 1981 году, DEC устраивали ежегодную конференцию для своих пользователей, и в этом году конференция пройдет в Л.А. В популярном журнале для пользователей этой операционной системы было объявление о новой разработке по безопасности, Lock-11. Этот продукт продвигали с хорошей рекламной кампанией, где говорилось нечто вроде: "Сейчас 3:30 утра, и Джонни с другого конца улицы нашел ваш номер дозвона, 555-0336, с 336й попытки. Он внутри, а вы в пролете. Покупайте Lock-11". Продукт, как говорилось в рекламе, был "хакероустойчивым". И его собирались показать на конференции.

Я жаждал посмотреть на разработку. Друг старшеклассник, Винни, являвшийся моим партнером по хакингу в течение нескольких лет, впоследствии ставший государственным информатором против меня, разделял мой интерес к новому продукту DEC, и воодушевил меня на поход на конференцию с ним.

– Конец работы –

Эта тема принадлежит разделу:

Искусство обмана

На сайте allrefs.net читайте: "Искусство обмана"

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Сообщение от Митника

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

Рассказ Кевина
Некоторые хакеры стирают чужие файлы или целые жёсткие диски; их называют кракерами или вандалами. Некоторые из хакеров-новичков не заботятся об изучении технологии, они просто скачивают хакерский

Джон Марков (John Markoff) - медиа-мошенник
"Кевин Митник - взбесившийся компьютерный программист, использующий техническое колдовство и старое как мир мошенничество" (Нью-Йорк Таймс, 7/4/94). Используя старое как мир желание получ

Самый разыскиваемый в киберпространстве
Безусловно, статья Маркова в Таймс была специально написана, чтобы получить контракт на книгу об истории моей жизни. Я никогда не встречался с Марковым, всё же он буквально стал миллионером, благод

От телефонного фрикинга к хакингу
Впервые я столкнулся с тем, что позднее стал называть социальной инженерией, в средней школе, когда встретил другого школьника, также увлечённого хобби под названием телефонный фрикинг.

Становление социальным инженером
Некоторые люди просыпаются каждое утро, боясь своей каждодневной рутины. Мне повезло - я наслаждался своей работой. Вы не можете себе представить вызов, награду и удовольствие, которые я испытывал,

Вступление
(Introduction) Перевод: Yarlan Zey (yarlan[at]pisem.net) Эта книга содержит исчерпывающие сведения об информационной безопасности и социальной инженерии. Чтобы помочь вам, здесь д

Взлом кода
Однажды в 1978 году Рифкин заглянул в помещение банка для телеграфных переводов с табличкой "только для авторизованного персонала", в котором служащие каждый день получали и отправляли тр

Заслуживая скрытность
Несколькими днями позже Рифкин прилетел в Швейцарию, забрал свои деньги и обменял в российском агентстве более $8 миллионов на горстку алмазов. Затем он улетел обратно, прошёл через таможню США, сп

Растущее беспокойство
В своём обзоре по компьютерным преступлениям за 2001 год Институт Компьютерной Безопасности сообщил, что 85% опрашиваемых организаций сталкивались с нарушениями компьютерной безопасности за последн

Наш национальный характер
Никто из нас не задумывается об угрозе, особенно в западном мире. В Соединённых Штатах в особенности, нас никогда не учили подозревать друг друга. Нас учили "любить соседей" и доверять и

Организационная невинность
Эта невинность - часть нашего национального характера, очевидно, оказала большое влияние, когда компьютеры впервые стали соединяться между собой. Вспомните, что сеть ARPANet (Сеть Агентства Перспек

Анализ обмана
Весь этот фокус основывался на единственной фундаментальной тактике социальной инженерии: получение доступа к информации, которую работники компании считают безвредной, когда на самом деле она опас

Анализ обмана
Эту атаку социального инженера Диди начала с получения телефонных номеров трёх отделов в компании. Это было легко, потому что спрашиваемые номера не были секретны, особенно для служащих. Социальный

Телефонный звонок Питера Абеля
«Привет», сказал человек на другом конце линии. «Это Том из Parkhurst Travel. Ваш билет в Сан-Франциско готов. Вы хотите, чтобы Вам его доставили или Вы хотите забрать его сами?» «Сан-Франциско

Сообщение от Митника
Мораль этой истории такова: не выдавайте никакую личную или внутрикорпоративную информацию или идентификаторы любому, если вы не узнаёте его или её голос. Предотвращение об

Сообщение от Митника
Согласно старой пословице: даже у настоящих параноиков, возможно, есть враги. Мы должны согласиться, что у любого бизнеса тоже есть враги – атакующие, которые целятся в инфраструктуру сети, чтобы с

Номер, пожалуйста
Атакующий позвонил по неофициальному номеру телефонной компании, в механизированный центр назначения линий (Mechanized Line Assignment Center). Он сказал женщине, поднявшей трубку: «Это По

Анализ обмана
Вы заметите, что в этих историях знание терминологии компании, ее структуры – различных офисов и подразделений, что делает каждое из них и какой информацией владеет – часть ценного багажа приемов у

Сообщение от Митника
Сообразительные похитители информации не стесняются звонить должностным лицам из органов штата, федеральных и местных органов, чтобы узнать о процедурах правоприменения. Располагая такой информацие

Обман с номерами обратного вызова
Каждый год телефонная компания издает справочник тестовых номеров (или по крайней мере издавали, но, поскольку я все еще нахожусь под надзором, то не собираюсь спрашивать об этом). Этот документ вы

Афера Стива
Конечно, телефонные компании не допускают свободного распространения этих книг, поэтому фрикерам приходится быть изобретательными. Как они делают это? Энергичный подросток, разыскивающий справочник

История Дженни Эктон
Дженни Эктон более трех лет работала в службе клиентов компании «Hometown Electric Power» в Вашингтоне, округ Колумбия. Она считалась одним из лучших служащих, проворной и добросовестной. Была

Проект Арт Сили
Арт Сили отказался от работы свободного редактора, когда открыл, что мог заработать больше денег, делая исследования для писателей и коммерческих фирм. Он вскоре понял, что гонорар растет пропорцио

Сообщение от Митника
Никогда не думайте, что все атаки социальной инженерии нуждаются в тщательной разработке, такой сложной, что они могут быть опознаны до их окончания. Некоторые из них снаружи и изнутри, наступают и

Анализ обмана
Конечно, Дженни знала, что информация о клиенте конфиденциальна. Она никогда не говорила об учетной записи одного клиента с другим клиентом и не распространяла частную информацию. Но, естествен

Предотвращение обмана
В обучение безопасности следует включить следующий момент: звонящий или посетитель не является тем, за кого он себя выдает только потому, что он знает имена некоторых людей в компании или знает кор

История Долли Лоннеган.
Лоннеган – это не тот молодой человек, которого вы хотели бы увидеть, когда открываете входную дверь. Бывший сборщик долгов в азартных играх, он все еще делает это иногда. В этом случае, ему предла

Анализ обмана
Звонки Томми к Джинни были просто для построения доверия. Когда время пришло для атаки, она потеряла бдительность и осторожность и сообщила Томми о том, про кого он спросил, так как он - менеджер в

Сообщение от Митника
Техника построения доверия является одной из наиболее эффективных тактик социальной инженерии. Вы должны подумать, хорошо ли вы знаете человека, с которым вы говорите. В некоторых редких случаях, ч

Сюрприз для Папы
Я один раз сидел за столом в ресторане с Генри и его отцом. В ходе разговора, Генри упрекал отца в раздаче номера его кредитной карточки как если бы, это был его номер телефона. "Конечно, ты д

Анализ обмана
Думайте что говорите, когда кто-то неизвестный вам спрашивает о чем-то. Если грязный незнакомец постучит в вашу дверь, вы вряд ли позволите ему войти, а если незнакомец постучит в вашу дверь хорошо

Сообщение от Митника
Человеку свойственно думать, что вряд ли его обманут именно в этой конкретной сделке, по крайней мере, пока нет причин предполагать обратное. Мы взвешиваем риски и затем, в большинстве случаев, дов

Анализ обмана
Людям естественно доверять в более высокой степени коллеге, который что-то просит, и знает процедуры компании, жаргон. Социальный инженер в этом рассказе воспользовался преимуществом, узнав детали

Подключение к системе
Принцип использования такой информации для обмана кого-то в государственной или коммерческой организации тот же: поскольку социальный инженер знает, как получить доступ к специальным базам данных и

Анализ обмана
Совершенный социальный инженер не остановится ни на минуту, чтобы обдумывать пути взлома базы данных NCIC. А зачем задумываться, когда он просто позвонил в местный полицейский отдел, спокойно говор

Защитите ваших клиентов
В наш электронный век многие компании, продающие что-то потребителю, сохраняют кредитные карты в файле. На то есть причины: он облегчает клиенту работу, обеспечивая информацией о кредитной карточке

Разумное доверие
Не только люди, имеющие доступ к важной информации – разработчики программного обеспечения, сотрудники в научно-исследовательских и опытно-конструкторских работ, должны быть защищены от атаки. Почт

История атакующего
Бобби Уоллас считал, что это смешно, когда он находил хорошее задание, вроде этого, и его клиент увиливал от неприкрытого, но очевидного вопроса - зачем ему нужна эта информация. В данном случае он

Анализ обмана
Атакующий плетет сети для того, чтобы убедить жертву, что у него есть проблема, которая на самом деле не существует. Или, как в данном случае, проблема, которой пока нет, но атакующий знает, что он

Доброжелательная Андреа
"Отдел кадров, говорит Андреа Калхун". "Андреа! Привет, это Алекс, отдел безопасности корпорации". "Да". "Как твои дела сегодня"? "Все О

Сообщение для Розмери
Розмери Морган была очень рада получить эту работу. Она никогда раньше не работала в издательстве, и все казались ей гораздо более дружелюбными, чем она ожидала, что удивительно, учитывая бесконечн

Анализ обмана
Эта история затрагивает основную тему, которая упоминается на протяжении всей книги: чаще всего, информация, которую социальный инженер хочет получить от работника, не знающего о его конечной цели,

Сообщение от Митника
Прежде, чем новым сотрудникам будет разрешено получить доступ к компьютерным системам, они должны быть обучены правилам безопасности, в особенности правилам о нераскрывании паролей.

История Стива Крэмера
Эта не была большая лужайка, из тех, с дорогими саженцами. И она явно не была достаточно большой, чтобы дать повод для нанимания косильщика на постоянную работу, что его вполне устраивало, потому ч

История Крэйга Коборна
Крэйг Коборн был продавцом в одной высокотехнологичной компании, и делал свою работу очень хорошо. Через некоторое время он начал осознавать, что у него есть навык ощущения покупателя, понимание, г

Проникая вовнутрь
Так, значит мне пришлось поговорить с тремя или четырьмя разными людьми всего за несколько часов, и уже приблизиться к компьютерам на огромный шаг. Но мне понадобятся еще пару фактов, и все будет с

Анализ обмана
Для мужчины, которого мы называем Крэйгом Коборном, или кого-нибудь вроде него, также с опытом в воровском-но-не-всегда-незаконном искусстве социальной инженерии, испытание, представленное здесь, б

Сообщение от Митника
Главная задача каждого сотрудника - сделать свою работу. Под этим давлением, безопасность переходит на второй план и игнорируется. Социальные инженеры рассчитывают на это, когда занимаются своим ис

Учиться, учиться и еще раз учиться
Есть старая история о туристе в Нью-Йорке, который остановил мужчину на улице и спросил: "Как пройти к Carnegie hall"? Мужчина ответил: "Тренироваться, тренироваться, тренироваться&q

Заметка
Лично я не считаю, что бизнес должен разрешать любой обмен паролями. Гораздо проще выработать жесткое правило, которое запретит персоналу использовать общий пароль или обмениваться ими. Так безопас

Учитывай источник
Во многих организациях должно существовать правило, что любая информация, которая может причинить вред компании или сотруднику, может быть выдана только тому, с которым сотрудник, владеющий информа

Заметка
Удивительно, но даже если проверить имя и телефон звонящего в базе данных о сотрудниках компании и перезвонить ему, не будет гарантии, что социальный инженер не добавил имя в базу данных компании и

Ни о ком не забывайте
Кто угодно может быстро назвать отделы в своей компании, которые нуждаются в высокой степени защиты от вредоносных атак. Но мы часто не обращаем внимание на другие места, которые менее очевидны, но

Наравне с Джонсами
В Силиконовой долине есть некая мировая компания, название которой упоминаться не будет. Отделы сбыта и другие подразделения, расположенные по всему миру, соединены со штаб-квартирой компании посре

Командировка
Почти сразу после этого позвонили системному администратору в отдел сбыта в Остине, Техас. «Это Джозеф Джонс, - представился звонивший. - Я из отдела развития бизнеса. Я буду в отеле Дрискил (D

Сообщение от Митника
Не надейтесь, что сетевая защита и брандмауэры защитят вашу информацию. Следите за самым уязвимым местом. В большинстве случаев вы обнаружите, что уязвимость заключается в ваших людях. «О.

Анализ обмана
С помощью пары звонков и 15 минут атакующий получил доступ к глобальной сети компании. В этой компании, как и во многих организациях, было то, что я называю «слабой безопасностью» (candy s

Я видел это в фильмах
Вот пример из известного фильма, который многие люди помнят. В "Трех днях Кондора" главный герой Тернер (роль играет Роберт Рэдфорд) работает с небольшой исследовательской фирмой

Обман телефонной компании
В реальной жизни номер службы имен и адресов - тщательно охраняемая тайна. Хотя телефонные компании в наши дни не так легко предоставляют информацию, в то же время они используют разновидность «про

Настройка (на радиоволну)
Очень давно было занятное время для многих людей, которые настраивали радиоприемник на частоты местной полиции или пожарного отделения, слушая разговоры об ограблении банка, пожаре в административн

Дэнни-перехватчик
Энтузиаст сканирования и искусный хакер, которого мы будем звать Дэнни, решил выяснить, не может ли он получить исходный код сверхсекретной программы-шифратора одного из ведущих производителей защи

Штурм крепости
Дэнни начал с тщательной подготовки. Вскоре он собрал вместе достаточно сведений, чтобы выдать себя за настоящего служащего. У него было имя, подразделение, телефонный номер служащего, а также имя

Работа изнутри
Он был внутри компьютерной системы компании, что дальше? Как Дэнни найти сервер с нужной ему программой? Для этого он уже подготовился. Компьютерные пользователи знакомы с телеконференциями, ра

Анализ обмана
Как и в предыдущей истории, уловка сработала только потому, что один из работников компании слишком охотно принял, что звонящий был действительно служащим, которым он представился. Стремление помоч

Предотвращение обмана
Может показаться, что один элемент часто упоминается в этих историях – атакующий приспосабливается звонить в компьютерную сеть компании снаружи, минуя служащего, который помогал бы ему, удостоверив

Это пришло в письме
Скорей всего, вы каждый день получаете нежданные письма, которые содержат в себе рекламные объявления или предложения чего-либо, в чем вы не только не нуждаетесь, но и не хотите. Думаю, вы знакомы

Заметка
Одним из типов программ, хорошо известных в компьютерном подполье, является утилита удаленного администрирования или троян, который дает взломщику полный контроль над вашим компьютером, как будто о

Определение вредоносных программ.
Другой вид malware - вредоносное программное обеспечение, которое добавляет на ваш компьютер программу, работающую без вашего ведома или согласия, или выполняющую задание без предупреждени

Сообщение от Митника
Бойтесь греков, дары приносящих, иначе вашу компанию может постичь участь города Трои. Если у вас есть сомнения, то лучший способ избежать заражения - использовать защиту. Хакер со зл

Сообщение от Митника
Человечество изобрело много замечательных вещей, которые перевернули мир и нашу жизнь. Но на каждое нормальное пользование технологиями, будь то компьютер, телефон или Интернет, кто-то всегда найде

Заметка о коммерческих веб сайтах
Возможно, вы знаете людей, вынужденных покупать товары он-лайн, даже у таких брендовых компаний, как Amazon и eBay или веб сайтах Old Navy, Target или Nike. По сути дела, они имеют право быть подоз

Анализ обмана
Эдгар попался на довольно банальный в Интернете трюк. Это трюк, который можно использовать довольно разнообразно. Один из видов (описан в Главе 9) включает в себя макет формы авторизации, созданный

Сообщение от Митника
Пока отсутствует полная защищенность, всякий раз, когда вы посещаете сайт, который требует информацию, которую вы считаете личной, убедитесь, что соединение подлинно и зашифровано. И еще более важн

Несуществующая ссылка
Один трюк используется регулярно. Отправляется письмо с соблазнительной причиной посетить сайт и предоставляется прямая ссылка на него. Кроме этого, ссылка не доставляет вас на сайт, который вы ожи

Заметка
Почему людям позволяют регистрировать вводящие в заблуждение и неподходящие домены? Потому что, в соответствии с нынешним законом и он-лайн политикой, любой может зарегистрировать любые имена сайто

Будьте бдительны
Будучи отдельными пользователями Интернета, нам нужно быть бдительными, принимая сознательное решение, когда безопасно вводить персональную информацию, пароли, номера аккаунтов, пины и т.д.

Подобающее понимание вирусов
Особая заметка по поводу вирусов: это необходимо как для корпоративной сети, так и для каждого работника, использующего компьютер. Сверх обычной инсталляции антивирусных программ на компьютеры, пол

Телефонный звонок
""Офис Рона Хилларда. Это Дороти" "Привет Дороти. Меня зовут Кайл Беллами. Я только что приступил к работе в отделе Анимации в компании Брайана Глассмана. Вы, ребята, занима

История Дэвида Гарольда
Я люблю фильмы, и когда я переехал в Лос-Анджелес, думал, что повстречаю много людей, работающих в кино - индустрии и они проведут меня на вечеринки и ланчи в студиях. Я был там где-то год, мне исп

Анализ обмана
Все когда-то были вновь пришедшими служащими. Все мы помним, что было в первый день, особенно когда мы были молодыми и неопытными. Так что, когда новичок просит о помощи, он может ожидать, что мног

История Дуга
У нас с Линдой все шло не так уж хорошо, так что, когда я встретил Айрин, я знал, что она предназначена для меня. Линда, как... немного... в общем, относится к типу не особо неуравновешенных людей,

История Линды
Я была готова уехать, но еще не наметила дату. Но никто не любит чувствовать себя отброшенным. Вопросом было лишь то, как дать ему понять, какое он ничтожество. Это не заставило долго себя

Сообщение от Митника
Если однажды социальный инженер узнает, как вещи работают внутри целевой компании, становится очень просто использовать это знание, чтобы наладить связь с законными служащими. Компаниям необходимо

Анализ обмана
Молодая леди в этой истории смогла достать информацию, которая была необходима для осуществления мщения, потому что она владела знанием внутренней работы: телефонные номера, процедуры и жаргон теле

История Скотта
"Скотт Абрамс." "Скотт, это Кристофер Далбридж. Я только что разговаривал по телефону с мистером Бигли, и надо сказать, что он больше, чем невесел. Он говорит, что десять дн

Анализ обмана
Уловка с использованием запугивания со ссылкой на авторитет работает особенно хорошо в том случае, если другой человек имеет достаточно низкий статус в компании. Использование важного человеческого

История Кейт Картер
Если судить по фильмам и хорошо продающимся криминальным новеллам, частные сыщики отлично разбираются в том, как выудить факты у людей. Они делают это, используя совершенно нелегальные методы. Но,

Анализ обмана
Что сделало его попытку эффективной, так это умелая игра на симпатии работника к нему после рассказа истории о занятом компьютере и о том, что "мой босс недоволен мной". Люди не проявляют

История Питера
Вокруг Питера ходили определенные слухи - когда он еще учился в школе, его товарищи знали, что он был кем-то вроде компьютерного мага, который мог достать любую информацию. Когда Элис Конрад обрати

Анализ обмана
Звонок Питера в маркетинговую компанию представляет собой наиболее основную форму социальной инженерии - простой запрос, который требует небольшой подготовки, базирующийся на первом подходе и заним

Ордер на обыск, пожалуйста
Придя поздно ночью домой, он еще издалека заметил, что окна в его квартире не горят, хотя в одном из них он оставлял свет. Он разбудил соседей и выяснил, что в здании был совершен полицейс

Обдуривая полицию
Артуро удовлетворил свою потребность в информации следующим способом: для начала, он нашел номер ближайшего магазина видео-проката, позвонил им и узнал номер их факса. Затем он позвонил в

Заметка
Откуда социальный инженер знает детали многих операций-полицейских департаментов, офисов прокуратуры, деятельности телефонных компаний, специфических организаций, чья деятельность связана с телеком

Сообщение от Митника
Вся правда заключается в том, что никто не застрахован от обмана со стороны социального инженера. Из-за темпа нашей повседневной жизни нам не хватает времени, чтобы задуматься над принятием какого-

Получение диплома без почета
Он мог вломиться в компьютерную систему государственного университета, найти записи того, кто получил диплом с оценками "хорошо" и "отлично", скопировать их, вписать свое имя и

Включаясь к проблеме
Как найти Майкла Паркера в университетских записях? Он представлял себе это так: пойти в главную библиотеку в университетском кампусе, сесть за компьютерный терминал, выйти в интернет и получить до

Полезный секретарь
Теперь Майкл знал, к какой системе необходимо получить доступ, имел логин и пароль. Но какими командами ему надо пользоваться, чтобы найти файлы с необходимой информацией, верным именем и датой? Ст

Сообщение от Митника
Пользователи компьютера даже не подозревают о наличии угроз и уязвимостей, связанных с социальным инжинирингом, который существует в нашем мире высоких технологий. Они имеют доступ к информации, не

Защита информации
Некоторые истории в этой главе показывают опасность отправки файла кому-то незнакомому, даже человеку, который представляется работником вашей компании, а файл отправляется по внутренней сети

О паролях
Все сотрудники, которые имеют доступ к важной информации, а в наше время это все, кто имеют доступ к компьютеру, должны понимать, что даже такая простая процедура, как смена пароля, может привести

Защитите вашу сеть
Служащие должны осознавать, что имя сервера или компьютера в сети это не пустяковая информация, а важная настолько, что может дать атакующему знание своей цели. В частности, люди, такие ка

Тренировочные советы
Большинство атак такого плана очень просто отразить для человека, знающего, чего ожидать. Для корпораций необходимо проведение фундаментальной подготовки к такого рода ситуациям, но сущест

Звонок Анжеле
Место: Valley branch, Industrial Federal Bank. Время: 11:27 Анжела Висновски ответила на телефонный звонок человека, который вот-вот должен был получи

Звонок Льюису
Крупные банки используют защитные коды для внутреннего пользования, которые меняются каждый день. Когда кому-то из сотрудников требуется информация из другого подразделения, он подтверждает свои пр

Звонок Уолтеру
- Государственный индустриальный банк, это Уолтер. - Привет, Уолтер, это Боб Грабовски (Bob Grabowski), Студио Сити (Studio City), 38-е отделение, мне нужно, чтобы Вы нашли образец подписи клие

Звонок Донне Плейс
- Здравствуйте, это мр. Ансельмо. - Чем я могу Вам помочь на этот раз? - Какой номер на 800 мне надо набрать, когда я хочу проверить кредитован ли уже вклад? - Вы клиент банка? - Да

Сообщение Митника
Устные защитные коды эквивалентны паролям в обеспечении удобных и надежных средств защиты информации. Но сотрудники должны быть осведомлены об уловках, применяемых социальными инженерами, и обучены

Хитрость Эрика
Сначала он позвонил в справочную и спросил номер телефона центрального офиса Управления Транспорта в столице штата. Ему дали номер 503-555-5000. Естественно, это был номер для обычных звонков насел

Коммутатор
Чтобы осуществить задуманное, ему нужно было получить доступ к телефонному коммутатору, который управлял телефонной связью между полицией и УТ. Он позвонил на телефонный узел и представился сотрудн

Звонок в управление
Незадолго до восьми утра зазвонил сотовый телефон. Это самая лучшая часть, просто прелесть. Здесь Эрик, соц. инженер, разговаривает с полицейским, человеком, наделенным властью прийти и арестовать

Анализируя обман
Давайте взглянем еще раз на хитрости, с помощью которых Эрику удалось обмануть стольких людей. На первом шаге он заставил помощника шерифа в телетайпной ему конфиденциальный номер телефона управлен

Сообщение Митника
Если в вашей компании используется телефонный коммутатор, что будет делать ответственный сотрудник, если ему позвонить производитель оборудования с просьбой сообщить номер для дозвона на коммутатор

История об охраннике
Для Лероя Грина было гораздо приятнее слушать гул своих каблуков в совсем недавно опустевших цехах завода, чем сидеть всю ночь перед видеомониторами в отделе охраны. Хотя ему не дозволено было

Рассказ Джо Харпера
Просто так, ради развлечения, семнадцатилетний Джо Харпер уже более года проникал в различные здания, иногда в дневное время, иногда по ночам. Сын музыканта и официантки из бара, которые работали п

Анализируя обман
Тот факт, что в реальной истории, на которой основан этот рассказ, злоумышленниками являлись действительно подростки, не имеет большого значения. Это вторжение для них было всего лишь заба

Деньги за мусор
Корпорации тоже играют в игры с «разгребанием мусора». В июне 2000 газеты писали о том, что корпорация Оракл (Oracle) (президент которой, Ларри Эллисон, является самым известным и откровенным проти

Анализируя обман
Исходя из описанного мной моего опыта и опыта компании Оракл, вы могли бы подумать, зачем кому-то, подвергая себя риску, красть чьи-то мусорные корзины. Ответ, я думаю, в том, что риск при

Униженный начальник
Никто не предал значения тому, что Харлан Фортис пришел как обычно утром в понедельник на работу в Управление автомагистралей округа, и сказал, что в спешке забыл свой бейдж дома. Женщина-охранник

Анализируя обман
Воспользовавшись помощью хакера-подростка, оскорбленный сотрудник получил доступ в компьютер руководителя своего управления, скачал очень важную презентацию PowerPoint, и заменил некоторые из слайд

Сообщение Митника
Основное число работников, которых перевели, уволили или понизили в должности, не представляют проблемы. Однако всегда может найтись один человек, который заставит понять руководство компании, каки

Рассказ Энтони
Я думаю, что Энтони Лэйка можно назвать ленивым бизнесменом. Он не хотел работать на других, решив, что будет работать на себя; он хотел открыть магазин, где он мог бы сидеть на одном месте целый д

Анализируя обман
Мошенник, представившийся Питером Милтоном, воспользовался двумя психологическими методами – один был спланирован заранее, другой был сымпровизирован по ходу действия. Он оделся так, как о

Анализируя обман
Эта история освещает интересную проблему. Данные платежных ведомостей доступны людям, отвечающим за обслуживание компьютерных систем компании. Отсюда следует вывод: при подборе персонала необходимо

Защита в нерабочее время
Все сотрудники, приходящие на работу без бейджей, должны получать временный пропуск на день в отделе охраны. Инцидент, описанный в первой истории этой главы, имел бы совершенно иной итог, если бы о

Надлежащее обращение с мусором
История с копанием в мусоре вскрыла проблему потенциальной опасности использования мошенниками выброшенных документов. Здесь приведены восемь правил, которые необходимо учитывать при обращении с му

При увольнении сотрудников
Ранее на этих страницах уже указывалась необходимость ужесточения процедур доступа к секретной информации, паролям, номерам дозвона на серверы компании, и т.п. Процедуры информационной безопасности

Не забывайте ни о ком
Правила безопасности имеют тенденцию упускать из виду сотрудников низкого уровня, людей, подобно служащих приемной, которые не оперируют секретной корпоративной информацией. Мы видим повсюду, что с

Гарантии безопасности IT
Разумное утверждение: в вашей компании, возможно, любой сотрудник департамента IT знает или может выяснить очень быстро, сколько вы зарабатываете, какие суммы получает Президент компании, и кто пол

Поиск Гондорффа
Теперь ему надо было узнать, в каком отделении находится Гондорфф. Это информация, которую люди, содержащие места заключения и тюрьмы, точно не захотят предоставить посторонним. Снова Джонни должен

Синхронизируй свои часы
Теперь надо передать сообщение Гондорффу, когда ему надо поднять трубку, подключенную к Офису Общественных Защитников. Это было проще, чем может показаться. Джонни позвонил в тюрьму, испол

Анализ обмана
Этот эпизод показывает основной пример того, как социальный инженер может сделать то, что кажется невозможным, обманывая нескольких людей, каждый из которых делает нечто, кажущееся непоследовательн

Деньги на линии
Мы пришли и обнаружили большой переполох в толпе около презентации Lock-11. Похоже, что разработчики ставили деньги на то, что никто не сможет взломать их продукт. Звучит как вызов, перед которым я

Вызов принят
Мы с Винни уходили и говорили о конкурсе, и я придумал план. Мы невинно ходили вокруг, поглядывая на стенд с расстояния. Во время обеда, когда толпа разошлась, и трое разработчиков решили воспользо

Сообщение от Митника
Вот еще один пример того, как умные люди недооценивают противника. А как насчет вас - вы уверены, что можно поставить $300 на ваши охранные системы, против взломщика? Иногда обход вокруг технологич

Атака паролями
В этом месте Иван использовал технический подход для получения удостоверяющей информации. Первый шаг в большинстве технических взломов систем, предоставляющих удаленный доступ - найти аккаунт со сл

Быстрее, чем ты думаешь
Когда Иван решил, какой список слов использовать, и начал атаку, программное обеспечение заработало на автопилоте. Он смог обратить свое внимание на другие вещи. А вот и удивительная часть: вы дума

Анализ обмана
В этой атаке, основывавшейся на технических и человеческих уязвимостях, атакующий начал с предварительного звонка, чтобы узнать местоположение и имена серверов разработчиков, на которых была частна

Сообщение от Митника
Если воспользоваться терминологией игры "Монополия", если вы используете словарное слово в качестве пароля - отправляйтесь сразу в тюрьму. Не проходите поле "Вперед", вы не полу

Рассказ Билла
У Билла Гудрока была простая цель, к которой он неизменно следовал с 12 лет: уйти на пенсию в 24 года, не трогая ни цента из денег своего отца. Чтобы показать отцу, могущественному и беспощадному б

Анализ обмана
Конечно, действительно могли позвонить поставщики базы данных. Но тогда история не была бы помощена в эту книгу. Социальный инженер в этой истории заставил жертву испугаться потери важных данны

Звонок Анне
“Финансовый отдел, Анна слушает.” “Как я рад, что нашел хоть кого-то, кто работает допоздна. Это Рон Витарро, я издатель в отделении бизнеса. Не думаю, что мы раньше встречались. Добро пожа

История Курта Диллона
В издательстве Миллард-Фентон не могли нарадоваться на своего нового автора, CEO компании Fortune 500, только что ушедшего в отставку. Его направили к бизнес менеджеру, чтобы согласовать контракт.

Обман неосторожного
Ранее я отметил необходимость обучения работников,чтобы они неследовали инструкциям незнакомцев. Все работники должны понимать опасность запросов,содержащих в себе необходимость работы с чужим ПК.

Звонок Линды
День/время: Вторник, 23 июля, 15:12 Место: “Офисы Финансового Отдела, Авиакомпания Starbeat” Телефон Линды Хилл зазвонил когда она записывала заметку

История Джека
Джек Доукинс начал свою “профессиональную” карьеру в раннем возрасте в качестве карманного вора, промышляя на спортивных играх на стадионе команды Янки в оживленных помещениях под трибунами и среди

Ширли атакует
До этих пор все это было легким маневром. Теперь же она готова использовать искусство обмана. Она звонит в службу поддержки потребителей компании. “Я из отдела Финансовых Сборов, в Кливлен

Анализ обмана
В этой уловке атакующая сначала одурачила администратора голосовой почты компании, заставляя поверить что она сотрудник компании, так что он установил временный ящик для голосовой почты. Если бы он

Сообщение от Митника
Попробуйте изредка названивать на вашу собственную голосовую почту; если вы услышите исходящее сообщение и оно не ваше, может вы только что наткнулись на вашего первого социального инженера.

Сообщение от Митника
Искусный социальный инженер очень умен в побуждении других людей делать ему одолжения. Получение факса и перенаправление его в другое место выглядит настолько безобидно, что все это слишком просто

Первые шаги
“Полиция Лос Анжелеса, подраздездение Холлэнбек.” “Здравствуйте, я бы хотел поговорить с отделом Управления по повесткам в суд.” “Я судебный пристав.” “Хорошо. Это адвокат Джон Лилэнд,

Муниципальный суд, Стойка Пристава
Пол: “Я бы хотел наметить дату суда по этой квитанции за превышение скорости.” Пристав: “О’кей. Я могу дать вам 26-е следующего месяца.” “Ну я бы хотел зап

Муниципальный Суд, Комната для судебных заседаний номер шесть
Дата: Четверг, 13:45 Пристав: “М-р Дьюреа, пожалуйста займите место на скамье.” Судья: “М-р Дьюреа, вы понимаете права, объясненные В

Анализ обмана
Когда офицер выписывает билет, он подписывает его своим именем и символическим номером(или каким угодно еще, как зовется его персональный номер в его агентсве). Звонка ассистенту справочной с указа

Расплата
Ей потребовалась около недели чтобы выяснить как она собирается им отплатить. Месяцем ранее парень из журнала индустриальной торговли попытался запасть на нее когда пришел на запуск нового продукта

Анализ обмана
Недовольный сотрудник, поиск среди файлов, быстрая операция вырезки-вставки-и-коррекции, немного творческого копировая, и факс. И, вуаля! – у нее есть доступ к конфиденциальным спецификациям на мар

Коллективный иск
Представьте себе коллективный иск против фармацевтической компании «Фармомедик». Известно, что одно из распространенных лекарств обладает разрушающим эффектом, который становится очевидным только ч

Атака Пита
Пит подключает пару своих людей и через несколько дней узнает, что компания «Дженкинс и Петри» делает резервные копии. И знает, что в компании, занимающейся хранением резервных копий, есть список л

Сообщение Митника
Ценная информация должна быть защищена независимо от того, в какой форме и где она размещается. Список клиентов компании имеет одинаковую ценность в твердой копии, электронном виде или в хранилище.

История Джессики
Джесскика Эндовер была рада получить работу в робототехнической компании. Конечно, это было начало и платили не очень много, но она испытывала волнение, зная, что в дальнейшем она станет богатой. К

История Сэмми Санфорда
Достаточно умный для того, чтобы получать большое жалование законным путем, но довольно нечестный, чтобы предпочесть жизнь мошенника, Сэмми Санфорд выгодно поступил для себя. В то время, когда он п

Анализ обмана
Любой, кто работает с непосредственным обманом (лицом к лицу), должен скрывать себя под видом, приемлемым с точки зрения жертвы. Он будет представлять себя одним способом при появлении на ипподроме

Сообщение Митника
Хотя большинство атак социальных инженеров происходит по телефону или электронной почте, не думайте, что уверенный атакующий никогда не появится как человек в вашем бизнесе. В большинстве случаев о

Заметка
Джон Ле Карре, автор книг «Шпион, который вернулся из холода», «Настоящий шпион», вырос в семье "бизнесмена", склонного к мошшеничеству. Юный Ле Карре был поражен открытием: удачно обманы

Подтасовка
Внимание: следующая история не связана с промышленным шпионажем. После ее прочтения подумайте, почему я решил поместить ее в эту главу! Гарри Тарди возвращался домой обозленным. Морские во

Подготовка
Небольшая разведка Гарри показала, что программа был создана в Центре разработок, расположенном в зарубежной штаб-квартире производителя КПК. В Соединенных Штатах также существовало подразделение и

Подготовка жертвы
На полпути к цели. Теперь, прежде чем продолжать, Гарри и Карл должны были дождаться, пока прибудет файл. Во время ожидания они прошли к столу инструктора и сделали еще два шага. Сначала они устано

Анализ обмана
Хотя потребовался комбинация ряда элементов, чтобы выходка заработала, она не была бы успешной без некоторой умелой игры с просьбой о помощи: мой босс накричал на меня, руководство в панике, и т.д.

Сообщение Митника
Базовое правило, которое должен запомнить каждый служащий: без согласия руководства не передавайте файлы людям, которых вы не знаете, даже если место назначения находится во внутренней сети компани

Предотвращение обмана
Промышленный шпионаж, который долгое время был проблемой для бизнеса, стал хлебом для обычных шпионов, сосредоточившихся на добыче секретов компании за деньги, теперь, когда холодная война закончил

Авторитетность
Людям свойственно желание услужить (удовлетворить запрос) человеку с авторитетом (властью). Как говорилось раньше, человек получит нужный ответ, если сотрудник уверен, что спрашивающий имеет власть

Умение расположить к себе
Люди имеют привычку удовлетворить запрос располагающего к себе человека, или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами. Примеры атак:

Ответственность
Люди меют привычку исполнять обещанное. Раз пообещав, мы сделаем все, потому что не хотим казаться не заслуживающими доверия. Мы будем стремиться преодолеть любые препятствия для того, чтобы сдержа

Социальная принадлежность к авторизованным
Людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения. Иначе говоря, "если так делают другие, я тоже должен действовать та

Учреждение обучающего тренинга
Ответственный за разработку программы информационной безопасности должен свыкнуться с мыслью, что это не проект «один размер на всех». В некоторой степени данный тренинг нуждается в выработке специ

Структура тренинга
В своей основе обучающая программа должна быть спроектирована таким образом, чтобы посещалась всеми сотрудниками. Новые служащие должны посещать тренинг как часть первоначального ознакомления и зна

Рекомендуемые политики корпоративной безопасности
Девять из десяти крупных корпораций и государственных структур подвергались атакам со стороны взломщиков, если судить по результатам исследования, проведенного ФБР и размещенных результатах в апрел

Пути к развитию программы
Наиболее всесторонняя программа по информационной безопасности начинается с изучения степени риска путем определения: Какая корпоративная информация нуждается в защите? Как

Как использовать эти правила
Детальное описание норм, представленное в этой главе, является лишь небольшой частью всех возможных, но именно такой, какая поможет смягчить риск для вашей компании. Само собой, указанный здесь спи

Классификация информации.
Нормы по классификации информации являются основными в защите информационных активов компании. Документ предоставляет схему для защиты, путем информирования всех рабочих об уровне важности каждого

Категории классификации и определения
Информация должна быть разделена на различные уровни, в зависимости от ее важности. Будучи однажды установленной системой, повторная классификация потребует финансовых и временных затрат. В нашем п

Заметка
Категорию внутренней информации в мире компьютерной безопасности обычно называют чувствительной. Я вынужден использовать термин "внутренняя", так как он говорит сам за себя. &nbs

Терминология классификации данных
Базируясь на классификации, данные должны распределяться между определенными категориями людей. Некоторые нормы, приведенные в этой главе, относятся к непроверенным личностям. Непроверенная личн

Процедуры проверки и разрешения.
Информационные воры обычно используют обманные методы получения информации, притворяясь работниками компании, торговцами или деловыми партнерами. Чтобы добиться хорошего уровня безопасности, работн

Запросы от непроверенного человека
Когда запрос совершается от непроверенного человека, процесс проверки должен привести к полной идентификации личности, особенно если запрос относится к информации, связанной с компьютерным оборудов

Заметка
Важно заметить, что такие списки являются своеобразным приглашением атакующему. Если человек понимает, что компания предпринимает попытке к защите своей информации, его мотивация в получении копии

Организация информации в классы
Политика: Вся ценная, чувствительная или критически-важная деловая информация должна организовываться в классы непосредственным Владельцем или уполномоченным лицом.

Нанести пометки на каждый документ
Политика: Отчетливо отмечать как печатные материалы, так и цифровые носители, содержащие Конфиденциальную, Личную, или Внутреннюю информацию. Пояснения/заметки:

Процедура проверки служащих
Политика: Компания должна разработать всеобъемлющие процедуры для проверки личности, статуса занятости, и разрешения на получение информации каждого, кто захочет получить доступ к

Раскрытие информации третьим лицам
Политика: Набор рекомендуемых процедур раскрытия информации третьим лицам должен быть доступен для всех сотрудников, которые должны быть обучены их проведению. Поя

Распространение Конфиденциальной информации
Политика:Конфиденциальная информация, т.е. информация, способная нанести существенный ущерб, если она получена несанкционированным лицом, может быть доставлена только Доверенному л

Распространение личной информации
Политика: Личная информация, т.е. информация о работнике (работниках), которая, будучи получена несанкционированным лицом, может быть использована для нанесения вреда работникам ил

Обсуждение Чувствительной информации по телефону
Политика: Перед раскрытием любой информации, не помеченной как Публичная, по телефону, раскрывающий сотрудник должен знать собеседника по голосу, или телефонная система компании до

Процедуры обмена информацией для сотрудников приемных.
Политика:Работники приемной должны осуществить проверку подлинности любого запрашивающего информацию/ пакет/ посылку лица по фотографии, если это лицо не является известным сотрудн

Передача программного обеспечения третьим лицам.
Политика:Перед передачей любого программного обеспечения, или инструкции (документации) к программному обеспечению, личность запрашивающего лица должна быть установлена и осуществл

Процедуры обмена информацией для сотрудников отделов Маркетинга и Продаж.
Политика: Работники отделов продаж и маркетинга должны оценить реальную необходимость в сообщении потенциальным клиентам номеров внутренних телефонов сотрудников, планов компании о

Передача файлов (данных).
Политика:Файлы не должны копироваться на любые сменные носители, за исключением случая, когда запрашивающее лицо является доверенным, и его личность была установлена в соответствии

Переадресация коммутируемых линий и факсов
Политика: Службы перенаправления, которые позволяют переадресовать звонки на внешние телефонные номера, не следует включать на телефонных линиях модемов или факсов компании.

Визитные телефоны
Политика:Чтобы посетители (гости) не могли выдать себя за работников компании, каждый телефон должен понятно отображать местонахождение звонящего (например, «приемная»).

Отслеживание звонков
Политика: В зависимости от ограничений поставщика услуг связи, может быть доступна возможность выявления вызывающего абонента, когда есть подозрение на атаку. Пояс

Автоматизированные телефонные системы (АТС)
Политика: Если компания использует автоответчик, то система должна быть запрограммирована так, чтобы телефонные номера не назывались в случае передачи звонка служащему или подразде

Запрещенные номера
Политика:Все внутренние номера подразделений, которым обычно не звонят извне (help desk, машинный зал, техподдержка служащих), должны быть запрограммированы на прием исключительно

Дизайн значка (бэджика) служащего
Политика:Значок служащего должен включать в себя крупную фотографию, которую можно разглядеть на расстоянии. Пояснения/заметки:Фотография на обычных корпо

Пересмотр прав доступа после смены должности или ответственности
Политика: Всякий раз, когда меняется должность или мера ответственности служащего компании, его руководитель должен известить об этом IT-отдел для внесения соответствующих изменени

Особая идентификация для сторонних лиц
Политика:Ваша компания предусмотреть специальный значок для курьеров и тех людей, которые не являются служащими, но кому нужен регулярный доступ в компанию. Поясне

Отключение (блокирование) учетных записей временных служащих
Политика: Всякий раз, когда временный служащий, для которого была создана учетная запись, выполнил свое задание, или когда срок действия контракта закончился, ответственный руковод

Структура, работающая с отчетами об инцидентах
Политика:Для работы с отчетами об инцидентах должна быть выделена структура, а в маленьких компаниях – отдельный человек, которые будут получать и распределять предупреждения, каса

Горячая линия инцидентов
Политика:Для структуры или человека, которые работают с инцидентами безопасности, должна быть выделена горячая линия с легко запоминающимся телефонным номером. Поя

Секретные области должны быть защищены
Политика: Охранник должен наблюдать за секретными участками и требовать две формы аутентификации. Пояснения/заметки:Одна форма аутентификации использует э

Шкафы с сетевым и телефонным оборудованием
Политика:Шкафы или комнаты с сетевыми и телефонными кабелями, точки доступа к сети должны защищаться всегда. Пояснения/заметки: Только авторизованный перс

Ящики внутренней почты
Политика:Ящики внутренней почты не должны находиться в общедоступных местах. Пояснения/заметки:Промышленные шпионы или компьютерные взломщики, у которых ес

Доски объявлений компании
Политика:Доски объявлений работников компании не должны находиться в общедоступных местах. Пояснения/заметки:Во многих компаниях есть доски объявлений где

Учетные записи пользователей у поставщиков услуг
Политика:Персонал компании, размещающий заказы у поставщиков критичных сервисов, должен иметь учетные записи с паролями, чтобы предотвратить размещение заказов на стороне компании

Пароли пользователей
Политика: У представителей сервисной службы не должно быть возможности узнать пароли пользователей. Пояснения/заметки: Социальные инженеры часто звонят в

Поиск уязвимостей
Политика: Во время обучения по безопасности требуется предупреждать о том, что компания использует тактики социальной инженерии для поиска уязвимостей. Пояснения/з

Обучение безопасности
Политика:Все работники, нанятые компанией, должны пройти курс по безопасности во время периода адаптации (освоения). Кроме того, каждый служащий должен периодически проходить допол

Курс безопасности для получения доступа к компьютерам
Политика:Персонал должен посещать и успешно сдавать курс по защите информации перед получением доступа к любой корпоративной компьютерной системе. Пояснения/заметк

Значок служащего должен быть закодирован цветом (использовать цветовое обозначение)
Политика:Идентификационные знаки должны быть обозначены цветом, чтобы показать, что их обладатель является служащим, временным работником, поставщиком, консультантом, посетителем и

Контактные данные сотрудников отдела IT
Политика:Телефонные номера и адреса e-mail сотрудников отдела IT не должны быть сообщены тем, кого их не надо знать. Пояснения/заметки:Это правило предотв

Просьбы о технической поддержке
Политика: Все просьбы о технической поддержке должны быть переданы отделу, который занимается такими просьбами. Пояснения/заметки: Социальные инженеры мог

Процедуры удаленного доступа
Политика: Персонал технической поддержки не должен раскрывать подробности или инструкции удаленного доступа, включая точки доступа в локальную сеть и номера модемного пула, если:

Смена пароля
Политика:Пароль к пользовательскому аккаунту может быть изменен только по просьбе владельца аккаунта. Пояснения/заметки:Один из наиболее часто используемы

Изменение прав доступа
Политика:Все просьбы по увеличению привилегий пользователя или прав доступа должны быть подтверждены в письменной форме менеджером владельца аккаунта. После произведения изменения,

Добавление нового аккаунта
Политика: Просьба, касающаяся создания нового аккаунта для сотрудника или другого авторизованного человека должна быть сделана в письменной форме и подписана менеджером сотрудника,

Получение новых паролей
Политика:К новым паролям следует обращаться как к конфиденциальной информации компании, и должны быть доставлены безопасными методами, к примеру лично, или службой доставки вроде U

Блокирование аккаунта
Политика: Прежде чем отключить аккаунт пользователя нужно удостовериться, что просьба была сделана авторизованным персоналом. Пояснения/заметки: Цель этог

Отключение сетевых портов или устройств
Политика:Ни один сотрудник не должен отключать сетевое устройство или порт по просьбе неверифицированного сотрудника технической поддержки. Пояснения/заметки:

Сведения о неисправностях пользователей
Политика: Имена сотрудников, сообщивших о проблемах, связанных с компьютерами, не должны быть разглашены за пределами IT-отдела. Пояснения/заметки: Исполь

Выполнение команд или запуск программ
Политика:Персонал IT-отдела, имеющий привилегированные аккаунты, не должен выполнять команды или запускать приложения по просьбе любого человека, не знакомого лично.

Запросы на удаленный доступ
Политика:Удаленный доступ должен предоставляться только тому персоналу, у которого есть доказанная необходимость в доступе к корпоративной сети извне. Запрос должен быть сделан рук

Удаленный доступ персонала внешней поддержки
Политика:Не следует предоставлять информацию, относящуюся к удаленному доступу, или право удаленного доступа к компьютерным системам работникам внешней службы поддержки (например,

Сложная аутентификация для удаленного доступа к корпоративным системам
Политика: Все точки входа в корпоративную сеть извне должны быть защищены с использованием сложной аутентификации, такой как динамические пароли или биометрические характеристики.

Конфигурация операционной системы
Политика:Системные администраторы должны обеспечить конфигурацию операционной системы в соответствии с политикой безопасности. Пояснения/заметки: Основной

Обязательное окончание срока действия учетных записей
Политика: Все учетные записи должны иметь срок действия один год. Пояснения/заметки: Цель данной политики – уменьшить количество неиспользуемых учетных за

Общие адреса электронной почты
Политика: IT-отдел должен каждому подразделению организации выделить общий адрес электронной почты для связи с общественностью. Пояснения/заметки:Общий ад

Контактная информация для регистрации домена
Политика: При регистрации диапазона адресов или имен контактная информация не должна содержать данные конкретного служащего. Вместо этого следует указать общий адрес электронной по

Установка обновлений безопасности и обновлений операционной системы
Политика: Все обновления безопасности операционной системы и приложений следует устанавливать сразу после их появления. Если эта политика конфликтует с ответственными системами, та

Контактная информация на веб-сайтах
Политика: Внешний веб-сайт компании не должен открывать детали корпоративной структуры или содержать имена служащих. Пояснения/заметки:Информация о корпор

Создание привилегированных учетных записей
Политика:Не следует создавать привилегированные учетные записи или давать системные привилегии учетным записям без санкции системного администратора. Пояснения/зам

Гостевые учетные записи
Политика: Гостевые учетные записи следует заблокировать или удалить на всех компьютерах и сетевых устройствах, за исключением FTP-серверов, на которых разрешен анонимный доступ.

Доступ посетителей к сетевым соединениям
Политика: Все публичные точки доступа Ethernet должны находиться в сегментированной сети для предотвращения несанкционированного доступа во внутреннюю сеть. Поясне

Модемы для входящих соединений
Политика:Модемы, используемые для входящих соединений, следует настроить на ответ не ранее, чем после четвертого звонка. Пояснения/заметки:Как показано в

Антивирусные программы
Политика: На каждом компьютере должна быть установлена и задействована современная версия антивируса. Пояснения/заметки: На предприятиях, где антивирус на

Проверка программного обеспечения
Политика:Все новые программы или обновления программ, на физических носителях или полученные через Интернет, должны пройти проверку подлинности перед установкой. Данная политика ос

Блокировка неудачных попыток доступа (с уровень безопасности от низкого до среднего)
Политика:В организациях с уровнем безопасности от низкого до среднего учетная запись должна блокироваться на некоторое время после заданного числа неудачных попыток входа.

Отключение учетной записи после неудачных попыток входа (высокий уровень безопасности)
Политика:В организации с высоким уровнем безопасности учетная запись должна отключаться после заданного числа неудачных попыток входа до ее восстановления группой, ответственной за

Требования к паролям привилегированных учетных записей
Политика:Привилегированные учетные записи М1 должны иметь сложные пароли: пароль не должен быть словом, которое можно найти в словаре на каком-либо языке; п

Беспроводные точки доступа
Политика:Все пользователи беспроводной сети должны использовать технологию VPN (Virtual Private Network – виртуальная частная сеть) для защиты корпоративной сети.

Ввод команд и запуск программ
Политика: Сотрудники, работающие с компьютером не должны запускать программы или вводить команды по просьбе неизвестных людей. В случае если неизвестное лицо имеет вескую причину д

Сотрудники, имеющие привилегированное положение
Политика: Сотрудники, имеющие привилегированный аккаунт не должны давать справок и выполнять просьбы неизвестных лиц. В частности это относится к оказании помощи при работе с компь

Информация о внутренней системе
Политика: Персонал, работающий с компьютером не должен разглашать информацию, связанную с используемым в компании оборудованием, топологию сети и т. д. без предварительной проверки

Предоставление паролей
Политика:Сотрудники не должны сообщать кому-либо свои пароли, или другие пароли, доверенные им, без соответствующего разрешения управляющего. Пояснения/заметки:

Резервные копии
Политика: Резервные носители должны храниться в сейфе компании или другом защищенном месте. Пояснения/заметки:Резервные копии – еще одна основная цель ком

Сообщения о подозрительных вызовах
Политика:Сотрудники, подозревающие факт нарушения политики безопасности, включая любые подозрительные просьбы о предоставлении информации или выполнении действий на компьютере, дол

Предоставление номеров телефонов модемного пула
Политика: Персонал компании не должен сообщать номера модемных пулов удаленного доступа, но должен всегда направлять такие запросы в центр технической поддержки. П

Отслеживание нарушений, связанных с ношением идентификаторов
Политика: Все сотрудники должны немедленно сообщать о незнакомых людях, находящихся на территории компании без корпоративного идентификатора или карточки посетителя.

Проникновение через защитные системы
Политика: Сотрудники, проходящие в защищенное помещение не должны позволять неизвестным людям проходить следом за ними, в случае если для проникновения в помещение используется клю

Уничтожение важных документов
Политика:Важная документация, утратившая необходимость должна быть измельчена в уничтожителе; другие носители информации, включая жесткие диски, когда либо содержащие важную информ

Персональные идентификаторы
Политика: Персональные данные, такие как табельный номер, номер социального страхования, номер водительского удостоверения сотрудника, дата и место его рождения и даже девичья фами

Ввод команд
Политика:Персонал компании не должен вводить команды в компьютер или компьютерное оборудование по просьбе другого человека, если проситель не подтвердил, что он является служащим I

Соглашения о внутренних наименованиях
Политика: Служащие не должны раскрывать внутренние имена компьютеров или баз данных, не проверив, что проситель работает на компанию. Пояснения/заметки:Со

Просьбы запустить программы
Политика: Персонал компании не должен запускать никакие компьютерные приложения или программы по просьбе другого человека, если проситель не подтвердил, что он является служащим IT

Загрузка или установка программ
Политика:Персонал компании не должен загружать или устанавливать программы по запросу другого человека, если проситель не подтвердил, что он является служащим IT-отдела.

Установка модемов
Политика:Не следует подключать модем к компьютеру без одобрения IT-отдела. Пояснения/заметки: Важно осознать, что модемы на рабочем месте представляют сер

Средства взлома
Политика: Служащим не следует загружать или использовать средства для взлома защиты программного обеспечения. Пояснения/заметки: В Интернете множество сай

Размещение информации компании онлайн
Политика:Служащим не следует размещать в телеконференциях, на форумах, досках объявлений подробности, касающиеся аппаратного или программного обеспечения компании, а также публиков

Дискеты и другие электронные носители
Политика:Не следует вставлять в любую компьютерную систему электронные носители, дискеты или компакт-диски, которые оставлены на рабочем месте или на столе служащего, а их источник

Уничтожение электронных носителей
Политика: Перед выбросом любого электронного носителя, содержавшего секретную информацию компании, его следует размагнитить или повредить без возможности восстановления, даже если

Вложения электронной почты
Политика: Вложения электронной почты не следует открывать, если они не требовались для работы или не были посланы доверенным лицом. Пояснения/заметки:Все

Автоматическая переадресация на внешние адреса
Политика: Автоматическая переадресация входящей почты на внешние электронные адреса запрещается. Пояснения/заметки:Цель данной политики – предотвратить по

Проверка электронной почты
Политика: Электронное сообщение, появившееся от доверенного лица и содержащее просьбу предоставить конфиденциальную информацию или выполнить действие на любом компьютерном оборудов

Участие в телефонных опросах
Политика:Служащие не должны участвовать в телефонных опросах, отвечая на вопросы сторонней организации или человека.Подобные запросы следует направлять в отдел по связям с обществе

Перенаправление факсов
Политика:Никакой полученный факс не может быть перенаправлен сторонним лицам без проверки личности просителя. Пояснения/заметки: Похитители информации мог

Проверка авторизации факса
Политика: Прежде чем выполнять какие-либо инструкции, полученные по факсу, следует убедиться, что отправитель является служащим или другим доверенным лицом. Обычно достаточно звонк

Отправка конфиденциальной информации факсом
Политика:Перед отправкой конфиденциальной информации факсом в место нахождения другого персонала, отправитель должен отправить обложку. Получатель отправляет страницу в ответ, пока

Голосовые сообщения, помеченные как старые
Политика: Следует уведомить администратора голосовой почты о возможном нарушении безопасности и немедленно сменить пароль, если есть непрослушанные сообщения, которые не отмечены к

Конфиденциальная или частная информация
Политика:В сообщении голосовой почты не должно быть конфиденциальной или частной информации. Пояснения/заметки:Корпоративная телефонная система обычно бол

Пароли в интернете
Политика: Сотрудники никогда не должны использовать на интернет-сайтах пароли похожие на используемые в корпоративных системах, или совпадающие с ними. Пояснения/З

Пароли на разных системах
Политика: Сотрудники компании никогда не должны использовать одинаковые или похожие пароли на разных системах. Эта политика относится к различным типам устройств (компьютеры, голос

Выбор паролей
Политика:Пользователи должны выбирать пароли, которые соответствуют следующим требованиям: Быть как минимум восемь символов в длину для пользовательских учетных записей и

Тонкие клиенты
Политика:Весь персонал, который может соединяться с корпоративной сетью удаленно должен использовать тонкие клиенты. Пояснения/Заметки:Когда атакующий выб

Безопасность программного обеспечения надомных работников
Политика: Любая внешняя вычислительная система, используемая для подключения к корпоративной сети должна иметь антивирусное программное обеспечение и персональный межсетевой экран.

Увольнение сотрудников
Политика: Всякий раз, когда сотрудник уходит или его увольняют, кадровое подразделение должно немедленно сделать следующее: 1. Удалить данные о сотруднике из актуального т

Использование конфиденциальной информации при приеме на работу
Политика: Объявления о приеме на работу и другие формы привлечения новых сотрудников не должны, по возможности, содержать названий используемого в компании аппаратного и программно

Персональные данные сотрудников
Политика: Персонал отдела кадров никогда не должны разглашать персональные данные о любом работающем или бывшем служащем, подрядчике, консультанте, временном работнике или стажере,

Проверки послужного списка сотрудников
Политика: Проверка послужного списка необходима в отношении всех новых служащих, подрядчиков, консультантов, временных работников и стажеров ДО предложения им работы или заключения

Идентификация людей, не являющихся сотрудниками
Политика: Почтальоны и другие лица, не являющиеся служащими, которым регулярно необходимо входить в служебные помещения должны носить специальный значок или другой элемент идентифи

Идентификация посетителей
Политика: Все посетители при входе в здание должны предъявлять удостоверение личности с фотографией. Пояснения/Заметки: Сотруднику службы безопасности или

Сопровождение посетителей
Политика: Посетители, находясь на территории компании, всегда должны сопровождаться кем-то из сотрудников. Пояснения/Заметки: Популярная уловка социальных

Аварийная эвакуация
Политика: При возникновении реальной аварийной ситуации или при тренировках персонал службы безопасности должен убедиться в отсутствии людей во всех помещениях компании.

Свалки мусора
Политика: Свалки мусора должны располагаться на территории компании и быть недоступны извне. Пояснения/Заметки: Компьютерные злоумышленники и промышленные

Внутренний телефонный справочник
Политика: Сообщение информации из внутреннего телефонного справочника возможно только сотрудникам компании. Пояснения/Заметки: Все названия должностей, им

Телефонные номера специальных отделов
Политика: Служащие не должны давать телефонные номера службы тех. поддержки, отдела телекоммуникаций, системных администраторов и т.д. не убедившись, что звонящий имеет право конта

Передача информации
Политика: Телефонные операторы и секретари не должны принимать сообщения или передавать информацию никаким людям кроме тех, которых они ЛИЧНО знают как действующих сотрудников комп

Предметы на вынос
Политика: Перед выдачей любого предмета курьеру или другому неустановленному лицу секретарь или сотрудник охраны должны получить удостоверение личности с фотографией и записать дан

Группа оповещения о внештатных ситуациях
Политика: Должен быть назначен человек или группа людей и сотрудники должны быть проинструктированы сообщать им обо всех подобных ситуациях. Все служащие компании должны быть обесп

В время атаки
Политика: Всякий раз, когда группа оповещения о внештатных ситуациях получает сигнал об атаке, она должна немедленно начать процедуры оповещения всех сотрудников атакованного подра

Краткое описание безопасности в организации
(Security at a Glance) Перевод: Daughter of the Night (admin[at]mitnick.com.ru) Следующие списки и таблицы предоставят сжатую памятку методов, используемых социальными инженерами,

Типичные методы действий социальных инженеров
Представляться другом-сотрудником Представляться сотрудником поставщика, партнерской компании, представителем закона Представляться кем-либо из руководства Предс

Типичные цели атакующих
ТИП ЖЕРТВЫ ПРИМЕРЫ Незнающая о ценности информации Секретари, телефонистки, помощники администрации, охрана.

Факторы, делающие компанию более уязвимой к атакам
Большое количество работников Множество филиалов Информация о местонахождении сотрудников на автоответчике Информация о внутренних телефонах общедоступна

Подтверждение личности
ДЕЙСТВИЕ ОПИСАНИЕ Идентификационный номер звонящего Убедитесь, что звонок - внутренний, и название отдела соответствует личности зво

Процедура, позволяющая узнать, может ли просителя получить информацию
ДЕЙСТВИЕ ОПИСАНИЕ Смотреть список должностей / отделов / обязанностей Проверить списки, где сказано, каким сотрудникам разрешено пол

От Кевина Митника
Настоящую дружбу можно охарактеризовать, как один ум на два тела; не так много людей в чьей-то жизни могут назваться настоящими друзьями. Джэк Белио был любящим и заботливым человеком, который выск

От Билла Симона
В этой записке мне хочется сказать, что каждому из нас предназначен "наш" человек; к сожалению, не всем людям повезло найти их мистера или миссис "мой человек". Другим, наоборот

Крупные аферы с хостингами (статья)
"... - В борье с таким противником надо превращать свои недостатки в преимущества, - как например?, - когда они велики, а ты мал, то ты проворнее и мобильней, а они медлительны, ты бье

Хотите получать на электронную почту самые свежие новости?
Education Insider Sample
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Реклама
Соответствующий теме материал
  • Похожее
  • Популярное
  • Облако тегов
  • Здесь
  • Временно
  • Пусто
Теги