(Introduction)
Перевод: Yarlan Zey (yarlan[at]pisem.net)
Эта книга содержит исчерпывающие сведения об информационной безопасности и социальной инженерии. Чтобы помочь вам, здесь даны основные элементы структуры книги:
В первой части я покажу самое слабое звено в безопасности и объясню, почему вы и ваша компания подвержены риску атак социальных инженеров.
Во второй части вы увидите, как социальные инженеры используют вашу доверчивость, ваше желание быть полезным, вашу симпатию и ваше человеческое легковерие, чтобы получить то, что они хотят. Вымышленные истории о типичных атаках продемонстрируют, что социальные инженеры могут носить множество шляп и множество лиц. Если вы думаете, что вы никогда с ними не сталкивались, возможно, вы ошибаетесь. Вполне возможно в этих историях вы узнаете сценарии, которые уже испытали на себе, и удивитесь, если окажется, что вы сталкивались с социальной инженерией. Но, прочитав главы со второй по девятую, вы будете знать что делать, когда услышите телефонный звонок следующего социального инженера.
Третья часть - это часть, в которой вы увидите, как социальный инженер достигает своей цели. В вымышленных историях показывается, как он может проникнуть в ваше корпоративное здание, украсть секреты, от которых зависит ваша компания, и обойти все ваши высокотехнологичные меры безопасности. Из сценариев этого раздела вы узнаете, что угрозы, могут варьироваться от простой мести служащего до кибертерроризма. Если вы цените информацию, которая держит ваш бизнес на плаву, и секретность ваших данных, вы захотите прочитать главы с десятой по четырнадцатую от начала до конца.
Важно отметить, что если это не оговорено специально, все истории из книги полностью вымышлены.
В четвёртой части я читаю корпоративную лекцию, как предотвратить успешные атаки социальных инженеров на вашу организацию. Глава 15 содержит макет эффективной программы по обучению безопасности. И Глава 16, возможно, спасёт вашу шею - это последовательная политика безопасности, которую вы можете настроить для вашей организации и сразу же применить для защиты компании и информации.
Наконец, я предоставил раздел "Защищайтесь сразу", который включает в себя контрольные списки, таблицы и диаграммы. Они объединяют ключевую информацию, которую вы можете использовать на работе, чтобы помочь вашим служащим отражать атаки социальных инженеров.
Повсюду в книге вы также найдёте несколько полезных элементов: ссылки lingo, которые расшифровывают определения и терминологию хакеров и социальных инженеров, Сообщения Митника, короткие ценные заметки, которые помогут усилить вашу стратегию безопасности, и примечания, дающие дополнительную информацию.
Часть 1: За сценой
(Part 1 Behind the Scenes)
Глава 1: Самое слабое звено в безопасности
(Chapter 1 Security's Weakest Link)
Перевод: Yarlan Zey (yarlan[at]pisem.net)
Компания может приобрести лучшие технологии по безопасности, какие только можно купить за деньги, натренировать своих людей так, что они станут прятать все свои секреты, прежде чем пойти ночью домой, и нанять охранников в лучшей охранной фирме на рынке.
Но эта компания всё ещё остаётся полностью Уязвимой.
Сами люди могут полностью следовать лучшей практике по безопасности, рекомендованной экспертами, по-рабски устанавливать каждый вновь появившийся рекомендованный программный продукт по безопасности и тщательно следить за конфигурацией своей системы и следить за выпуском патчей.
Но и они всё равно полностью уязвимы.
Человеческий фактор
Не так давно, давая показания перед Конгрессом, я объяснял, что часто я получал пароли и другие кусочки секретной информации компаний, просто притворяясь кем-нибудь и спрашивая о них.
Это естественно - стремиться к абсолютной безопасности, но это желание заставляет многих людей соглашаться с ложным чувством защищённости. Рассмотрим ответственного и любящего отца семейства, у которого есть Medico - надёжный замок в парадной двери, который ограждает его жену и детей и его дом. Сейчас он спокоен, так как сделал свою семью гораздо более защищённой от вторжений. Но как насчёт грабителя, который разбивает окно или взламывает код у замка на двери гаража? Тогда нужно установить охранную систему? Неплохо, но всё же недостаточно. Независимо от того, насколько дороги замки, домовладелец остаётся уязвим.
Почему? Потому что человеческий фактор по-настоящему самое слабое звено в безопасности.
Безопасность слишком часто просто иллюзия и иногда иллюзия может быть даже хуже легковерия, наивности или невежества. Самый знаменитый в мире учёный 20 века Альберт Эйнштейн говорил: "Можно быть уверенным только в двух вещах: существовании вселенной и человеческой глупости, и я не совсем уверен насчёт первой". В конце концов, атаки социальных инженеров успешны, когда люди глупы или, гораздо чаще, просто неосведомлены о хороших мерах безопасности. Аналогично нашему домовладельцу, многие профессионалы в информационных технологиях (ИТ) придерживаются неправильных представлений, будто они сделали свои компании в значительной степени неуязвимыми к атакам, потому что они используют стандартные продукты по безопасности: файрволлы, системы для обнаружения вторжений (IDS) или серьёзные устройства для аутентификации, такие как биометрические смарт-карты или time-based tokens. Любой, кто думает, что одни только эти продукты по безопасности предоставляют достаточную защиту, соглашается на иллюзию защиты. Это как жить в мире фантазий - неизбежно, рано или поздно он столкнётся с инцидентом, связанным с безопасностью.
Как заметил консультант по безопасности Брюс Шнайер: "Безопасность - это не продукт, это процесс". Кроме того, безопасность - это не технологическая проблема, это проблема людей и управления.
Пока разработчики непрерывно изобретают всё лучшие и лучшие технологии защиты, делая всё более трудным возможность использовать технические уязвимости, атакующие всё чаще используют человеческий фактор. Зачастую очень просто взломать человеческий файрволл, все затраты не превышают стоимости одного телефонного звонка и атакующий подвержен минимальному риску.
Классический случай обмана
Какая самая большая угроза безопасности ваших деловых активов? Ответ прост - это социальный инженер - нечестный фокусник, который заставляет вас смотреть на его левую руку, пока правой ворует ваши секреты. Этот персонаж часто так дружелюбен и любезен, что вы благодарны за то, что с ним столкнулись.
Далее рассмотрим пример социальной инженерии. Немногие люди сегодня всё ещё помнят молодого человека по имени Стенли Марк Рифкин и его маленькое приключение с ныне уже несуществующим Тихоокеанским Национальным Банком в Лос-Анджелесе. Подробности его авантюры противоречивы и Рифкин (как и я) никогда не рассказывал свою историю, поэтому следующее основано только на печатных источниках.