4. Паранойя - это хорошо!
Многие люди не знают того, что большое число злоумышленников использует специальное средство для проникновения в компьютерные системы - социальную инженерию. Большинство людей почему-то думает, что проникновения в компьютерные системы - это результат использования злоумышленниками технических ошибок в компьютерных системах. На самом же деле социальная инженерия играет большую роль в проникновениях и оказывает серьезную помощь атакующему в просачивании сквозь барьеры защиты.
Социальную инженерию в контексте данной публикации можно определить как действия, результатом которых является вхождение в доверие к легальным пользователям компьютерной системы до такой степени, что они раскрывают секреты компьютерной системы или неумышленно помогают кому-либо получить неавторизованный доступ к этой системе. Используя социальную инженерию, атакующий может узнать важную информацию или получить помощь, которая поможет ему легко обойти имеющиеся средства защиты в системе. Опытные социальные инженеры могут казаться вполне искренними, хотя на самом деле они - отпетые лжецы.
Большую часть времени атакующие, использующие социальную инженерию, проводят у телефона. Он не только позволяет атакующему скрыть свою личность, но также делает эту работу легче, так как атакующий может заявить, что он такой-то и у него будет больше шансов на успех.
Существует несколько типов социальной инженерии. Вот только несколько примеров часто используемых приемов:
- Атакующий может заявлять, что он легальный конечный пользователь, который является новичком в этой компьютерной системе или не очень знаком с компьютерами. В этом случае атакующий часто просит системных администраторов и других конечных пользователей помочь ему. Этот "пользователь" может говорить, что он потерял пароль, или что он не может войти в систему, хотя ему срочно нужен доступ к ней. Атакующий также часто говорит, что он какое-либо важное лицо в организации, и начинает кричать на администраторов, чтобы получить то, что он хочет. В этих случаях администратор (или конечный пользователь) может испугаться важной персоны и сделать все, что от него хотят.
- Атакующий, работающий с помощью телефона, может до этого никогда не видеть типичного экрана вашей компьютерной системы. В этом случае он пытается говорить в общем, расплывчато указывая детали, и пытается выудить из пользователя как можно больше информации о системе. Атакующий может так реалистично делать вид, что он жутко расстроен, что у пользователя может создаться впечатление, что он спасает недотепу, которому обязательно нужно помочь. Пользователи легче раскрывают секреты, когда их чувство бдительности притуплено.
- Атакующий также может использовать имеющиеся в компьютерной системе проблемы, о которых он узнал. Оказание пользователю помощи - это эффективный способ войти к нему в доверие. Пользователь, раздраженный проблемами, с которыми он столкнулся, будет более чем счастлив, когда кто-то поможет ему. Атакующий может представляться системным администратором или оператором сервис-центра. Часто таким образом атакующий получает важную информацию, так как пользователь думает, что нет ничего страшного в том, что он сообщает какие-либо секреты техническому персоналу. Посещение атакующим организации может быть опасным для него, так как он не сможет в случае раскрытия легко убежать, но этот риск может принести атакующему хорошие результаты, если с помощью наивных пользователей он получит прямой доступ к компьютерной системе.
- Иногда атакующий может получить доступ к системе, не зная до этого ничего о ней, и не имея до этого к ней терминального доступа. Аналогично тому, что нельзя поддаваться на чьи-либо просьбы пронести сумку через таможню, пользователи не должны вводить никакие команды по просьбе кого-либо. Бойтесь атакующих, которые используют пользователей как свои пальцы на удаленной клавиатуре, заставляя пользователей выполнять команды, которые могут нанести вред системе. Эти атакующие могут использовать ошибки в системных программах, даже не имея прямого доступа к системе. Обычно команды, которые выполняют пользователи, наносят какой-либо ущерб системе, делают учетную запись пользователя доступной для атакующего или создают дыру в защите компьютерной системы, которая впоследствии позволит атакующему получить доступ в систему. Если вы не уверены в том, что понимаете смысл команд, которые вас просят выполнить, просто ничего не делайте. Вы никогда не знаете, к чему это может привести . . .
Чтобы не стать жертвой социальной инженерии, важно помнить, что пароли нужно хранить в тайне. Пароль для доступа к вашей личной учетной записи в системе должен быть известен ТОЛЬКО ВАМ. Системным администраторам, которым нужно что-то сделать с вашей учетной записью, не требуется знать ваш пароль. Будучи администраторами, они обладают такими привилегиями, которые позволяют им сделать все, что нужно, с вашей учетной записью, не спрашивая у вас пароль. Администратор не должен спрашивать у вас ваш пароль.
Большая часть работ по сервисному обслуживанию требует специальных привилегий, которыми обычные пользователи не обладают. Пользователи должны соблюдать осторожность при попытке кого-либо из сервис-центра воспользоваться их учетной записью, и всячески противиться этому. Учетные записи не должны использоваться несколькими людьми, даже если это системные администраторы или другой обслуживающий технический персонал. У системных администраторов есть свои учетные записи для выполнения всех этих работ и им не нужен доступ к системе с помощью учетной записи пользователя.
Технические специалисты, приходящие в организацию для выполнения сервисного обслуживания, должны сопровождаться кем-то из системных администраторов (тем, кого в ылично знаете). Если этот системный администратор незнаком вам, или если технический специлист пришел один, рекомендуется позвонить вашему системному администратору, чтобы проверить, правда ли то, к вам должен прийти технический специалист. Многие люди не делают этого, так как считают это слишком параноидальным и боятся того, что это покажет, что они не доверяют визитеру.
Если вы не уверены в том, что человек, с которым вы разговариваете, действительно тот, за кого он себя выдает, ни в коем случае нельзя раскрывать ему какой-либо секретной информации. Иногда атакующие умеют подделываться под голоса знакомых вам людей при разговоре по телефону. Лучше всего перепроверить личность человека, с которым вы разговариваете. Если же вы не можете это сделать, не раскрывайте ему никаких секретов. Если вы системный администратор, то у вас должен иметься определенный порядок выдачи и смены паролей для пользователей, и вы должны соблюдать его. Если вы - конечный пользователь, то нет никакой необходимости раскрывать какие-либо секреты кому-либо. Некоторые организации создают специальную учетную запись для общего пользования. Если вы оказались в группе пользователей, работающих с помощью такой учетной записи, удостоверьтесь, что знаете всех членов этой группы, чтобы вы смогли распознать правду ли говорит человек, когда заявляет, что он тоже член этой группы.
Назад |
Содержание |
Вперед