Пиши и продавай!
Пиши и продавай! |
|
|
4 А если пользователи окажутся достаточно сообразительными для того, чтобы не сообщать свой пароль первому встречному? Тогда, учитывая, что очень многие из нас склонны назначать одинаковые пароли на все ресурсы, злоумышленник просто подсунет жертве ресурс, требующий аутентификации (например, предложит подписаться на почтовую рассылку). В крайнем случае, он узнает если не сам пароль, то хотя бы привычки жертвы – выбирает ли она в качестве паролей словарные слова, и если выбирает, то по какому принципу. Разумеется, для подобного анализа придется отследить несколько назначений паролей, но никаких подозрений жертвы (даже самой квалифицированной!) это не вызовет. Поэтому, никогда не назначайте одинаковые или близкие пароли на различные ресурсы! Для низко квалифицированных пользователей припасена и другая тактика. О том, что свой пароль разглашать ни в коем случае нельзя, их, вероятнее всего, уже предупредили. Но сказали ли им: где этот пароль хранится и как его можно обойти? Злоумышленник может попросить (а от имени начальника и приказать) выполнить некоторые, вполне безобидные с точки зрения жертвы действия, например, переслать PWL файл по такому-то адресу или создать нового пользователя с пустым паролем. (Причем, выполняя по шагам расписанные действия, жертва, возможно, даже не осознает, что она вообще делает). Помните, низко квалифицированный оператор – все равно, что обезьяна с гранатой! Кстати, постоянная смена паролей – это худший выход из ситуации, создающий проблем больше, чем их решающий. Никто не будет и пытаться запомнить длинные, постоянно меняющиеся, да к тому лишенные всякого смысла пароли! Все будут их… записывать! Никакие угрозы администратора ситуацию не исправят, а, напротив, ее усугубят. Поставьте себя на место пользователя, в заветном месте хранящего такую бумажку с паролем. А теперь вообразите, что некий "доброжелатель" из "соседнего отдела" вам звонит и сообщает, что вас ожидает тотальный обыск на предмет поиска парольных бумажек с последующим увольнением всех, у кого такая бумажка обнаружится. Не знаю, сожжете ли Вы свою бумажку или запьете ее молоком, но есть ненулевая вероятность того, что кто-то избавится от изобличающих его улик через окно или мусорную корзину. Злоумышленнику остается лишь хорошо порыться в мусоре или под окнами фирмы. Поэтому, любое приказа ние и любая служебная инструкция должна составляться осмысленно с учетом реаль ной ситуации, а не теоретических измышлений. Люди – не компьютеры! В некоторых, не таких уж редких случаях, злоумышленник имеет принципиальную возможность подсмотреть набираемый на клавиатуре пароль (например, с помощью сильного бинокля, расположившись в соседнем здании). Самое трудное – уследить за быстро набираемым паролем, к тому же частично закрытым руками и другими частями тела. Каким либо образом инициировав смену паролей (например, путем имитации атаки), он существенно упростит свою задачу. Ведь новый пароль уже не наберешь "на автомате"! Для предотвращения утечки информации компьютеры лучше всего располагать так, чтобы ни монитор, ни клавиатура, ни принтерные распечатки не были видны ни из окон, ни из дверей. Эти несложные меры значительно усложнят хакеру проникновение в систему. 5 Атака администратора системы . В том случае, если пароль заполучить не удаст ся, злоумышленнику ничего не останется, как прибегнуть к атаке на технические средства (т.е. непосредственно на компьютеры). Однако правильно сконфигурированную и хорошо защищенную систему ломать "в лоб" практически бесполезно. Вот если бы в ней была дыра… Один из нетехнических способов пробивания дыр выглядит приблизительно так: злоумышленник звонит администратору и сообщает, что из достоверных источников ему стало известно о готовящейся (или уже совершенной) атаке. Никаких деталей звонящий, естественно, не сообщает (он ведь не взломщик, а "знакомый" взломщика), но приблизительное местонахождение дырки все же указывает. Существует ненулевая вероятность того, что администратор, пытаясь повысить безопасность своей системы, допустит несколько ошибок, упрощающих атаку. (И эта вероятность тем больше, чем сильнее волнуется администратор). Для отвлечения внимания злоумышленники часто прибегают к имитации атаки, выполняя различные бессмысленные, но целенаправленные действия. Автору этой статьи известно несколько случаев, когда в ответ на мусор, направленный в 80-й порт, администраторы просто "срубали" WEB-сервисы, поскольку, будучи предупрежденными об "атаке", считали: лучше на время остаться без WEB'а, чем позволить хакерам проникнуть в локальную сеть и похитить конфиденциальную информацию. Естественно, простой WEB-серверов обернулся внушительными убытками, хотя никакой опасности на самом деле и не было . Так что не стоит шарахаться от каждой тени и любое непонятное действие расценивать как вторжение в систему. Развивая идею дальше, злоумышленники догадались, что выдавать себя за знакомого злоумышленника, согласного за определенное вознаграждение быть осведомителем, гораздо выгоднее, чем атаковать систему. К тому же, "осведомителя" чрезвычайно трудно привлечь к ответственности, поскольку факт обмана практически не доказуем, а имитация атаки, не влекущая несанкционированного доступа к системе (блокирования системы), вообще не наказуема. Причем, для такой "атаки" злоумышленнику не требуется практически никакой квалификации, и стать "хакером" может буквально любой! Поэтому, не спешите оплачивать услуги осведомителя, даже если он согласен "работать" почти задаром - сначала убедитесь, что это действительно осведомитель, и что вас действительно атакуют, а не создают лишь видимость атаки! Но не забывайте, что упускать из рук настоящего осведомителя (а такие – не редкость среди хакеров) очень глупо. Уход от ответственности . Успешно выполнить атаку – означает решить лишь по ловину задачи. Злоумышленнику еще предстоит замести за собой следы – уйти от ответственности и не попасться. А это, кстати, намного сложнее! Поэтому, матерые мошенники, похитив энную сумму денег, без тени жалости переводят большую ее часть на счет одного из сотрудников фирмы, который в принципе подходит на роль похитителя. Причем, это должен быть жадный, азартный и умственно недалекий человек, который, обнаружив на своем счете "лишние" деньги, с высокой степенью вероятности рискнет прикарманить добро, само идущее к нему в руки, а не побежит в милицию. Затем следует анонимный звонок (письмо) директору фирмы с сообщением: где следует искать пропавшие деньги и… жертве будет чрезвычайно 6 трудно доказать, что она тут ни при чем, и убедить остальных, что ее подставили. Конечно, путь денег (кто именно перевел их жертве) проследить вполне возможно (особенно, если это крупная сумма), но, во-первых, злоумышленник может переводить деньги через подставное лицо. А, во-вторых, даже будучи пойманным, он сможет заявить, что он не главарь, а пешка и вообще не знал, что деньги ворованные. При условии, что злоумышленник оставит себе меньшую часть награбленного, такая легенда будет звучать весьма убедительно. Поэтому, при "разборе полетов" ни в коем случае не хватайте первого попавшегося под руку обвиняемого – в большинстве случаев он действительно ни в чем не виновен. Другой способ "перевода стрелок" заключается в психологической обработке лиц, "помешанных" на подражательстве хакерам, но хакерами не являющимися. Сначала их убеждают, что пребывание в тюрьме – явление вполне нормальное для хакера, затем демонстрируют целую серию эффективных "взломов", чем вызывают глубокое уважение к себе. Наконец, когда "клиент" готов, мошенник предлагает ему стать своим учеником, после чего руками ученика осуществляет реальный взлом. В случае раскрытия преступления ученик может и не выдать своего "наставника" (а при правильной психологической обработке и не выдаст, хоть режь его на куски). А, если даже и выдаст, следствию будет не так-то легко уличить злоумышленника, ведь все предыдущие атаки – фикция! "Наставник" без больших трудов сможет представить все это невинной игрой. Он-де, просто забавлялся, не причиняя никому никакого вреда. А о том, кто руководил "учеником" в настоящей атаке, – не имеет ни малейшего представления. Впрочем, заставить ученика молчать можно и другими способами, тем же шантажом, скажем, но об этом позже. Маска , я тебя знаю или как злоумышленники выдают себя за другое лицо . Электронная почта, конечно, штука хорошая, но слишком уж небезопасная. Неудивительно, что многие из нас предпочитают все более или менее важные дела решать по телефону (так, по крайне мере, слышен хотя бы голос собеседника). Злоумышленника, выдающего себя за другое лицо, могут серьезно озадачить просьбой оставить свой телефон. Конечно, можно просто подключиться к "лапше" на лестничной площадке или прибегнуть к помощи таксофона (многие таксофоны умеют принимать и входящие звонки). Однако существуют и более изощренные приемы. Рассмотрим два, наиболее популярных, из них. Захват телефона . Допустим, злоумышленник выдает себя за сотрудника такой-то компании. В телефонном справочнике он находит телефон секретаря этой компании и просит соединить его с охранником, а заодно – сообщить его телефонный номер (зачем – мошеннику придумать большого труда не составит). Если охранник действительно имеет телефон (а, что, встречаются охранники без телефона?), разыгрывается следующая комбинация. Дав жертве телефон секретаря фирмы, и, сообщив "добавочный" охранника (но, умолчав, что это – охранник), злоумышленник под каким-либо предлогом просит жертву позвонить ему в строго определенное время. Незадолго до назначенного срока злоумышленник заходит в фирму, где и встречается с охранником, сидящим у входа. Рассказав какую-нибудь душещипательную историю (типа по ошибке дал своему партеру по бизнесу ваш телефон), 7 злоумышленник спрашивает: а вот сейчас, когда позвонят и попросят "Васю", нельзя ли будет ему взять трубочку? Поскольку, с точки зрения охранника никакого криминала в этом нет, существует определенная вероятность того, что он исполнит эту просьбу (особенно, если злоумышленник – девушка привлекательной наружности). В результате, жертва будет считать, что злоумышленник действительно работает в этой фирме. |
|
|
|
|
