Выбери любимый жанр

Выбрать книгу по жанру

Фантастика и фэнтези

Детективы и триллеры

Проза

Любовные романы

Приключения

Детские

Поэзия и драматургия

Старинная литература

Научно-образовательная

Компьютеры и интернет

Справочная литература

Документальная литература

Религия и духовность

Юмор

Дом и семья

Деловая литература

Жанр не определен

Техника

Прочее

Драматургия

Фольклор

Военное дело

Последние комментарии
оксана2018-11-27
Вообще, я больше люблю новинки литератур
К книге
Professor2018-11-27
Очень понравилась книга. Рекомендую!
К книге
Vera.Li2016-02-21
Миленько и простенько, без всяких интриг
К книге
ст.ст.2018-05-15
 И что это было?
К книге
Наталья222018-11-27
Сюжет захватывающий. Все-таки читать кни
К книге

Искусство обмана - Митник Кевин - Страница 24


24
Изменить размер шрифта:

В дни существования — ночных клубов (speakeasies), где разливался джин — потенциальный клиент получал доступ, найдя дверь и постучав в нее. Через несколько минут , открывалось маленькое окошко и показывалось устрашающее бандитское лицо. Если посетитель был «своим», он называл имя завсегдатая (часто было достаточно сказать: «меня отправил Джо»), после чего вышибала открывал дверь и разрешал войти.

Хитрость была в том, что нужно было знать, где находится заведение, так как дверь ничем не выделялась, и хозяева не размещали вывеску, указывающую на свое присутствие.

Я видел это в фильмах

Вот пример из известного фильма, который многие люди помнят. В "Трех днях Кондора " главный герой Тернер (роль играет Роберт Рэдфорд) работает с небольшой исследовательской фирмой по контракту с ЦРУ. Однажды он возвращается с обеда и обнаруживает, что всех его сотрудников застрелили. Ему нужно было выяснить, кто это сделал и почему, зная, что в это время те плохие парни разыскивают его.

Позже он сумел узнать телефонный номер одного из парней. Но кто он такой и как найти его? Ему повезло: сценарист, Дэвид Рэйфил, к счастью, снабдил его опытом, который включает подготовку в войсках связи, дающую ему представление о работе телефонных компаний. Располагая номером парня, Тернер точно знает, что нужно делать дальше. В фильме сцена выглядит таким образом:

Тернер повторно соединяется и набирает другой номер

звонок! звонок! Затем:

Женский голос (фрагмент). Служба имен и адресов (CNA — Customer Name and Address bureau). Миссис Колеман.

Тернер. Миссис Колеман, это Гарольд Томас, абонентская служба. Имя и адрес абонента, пожалуйста, для 202-555-7389.

Женский голос (фрагмент). Одну минуту.

(почти сразу)

Леонард Этвуд, Маккенси Лэйн, 765, Мэриленд. (Leonard Atwood, 765 MacKensie Lane, Chevy Chase, Maryland).

Можете вы осознать случившееся, не обращая внимания на то, что сценарист ошибочно использует междугородный код Вашингтона, округ Колумбия, для адреса в Мэриленде?

Тернер, благодаря опыту линейного монтера, знает, по какому номеру надо звонить в офис компании, которая называется «Служба имен и адресов». Служба имен и адресов абонентов предназначена для удобства монтажников и другого персонала компании. Монтажник может позвонить в службу и назвать номер. Служащий сообщит имя и адрес человека, которому принадлежит телефон.

Обман телефонной компании

В реальной жизни номер службы имен и адресов — тщательно охраняемая тайна. Хотя телефонные компании в наши дни не так легко предоставляют информацию, в то же время они используют разновидность «прозрачной» безопасности, которую специалисты по безопасности называют«security through obscurity» ( безопасность, основанная на незнании). Предполагается, что любой, кто позвонил в службу имен и адресов и владеет соответствующей терминологией (например, «имя и адрес для 555-1234, пожалуйста»), является человеком, имеющим право на получение информации.

Lingo

SECURITY THROUGH OBSCURITY — неэффективный метод компьютерной безопасности, основанный на содержании в тайне деталей работы системы (протоколы, алгоритмы, внутренние системы). Такая безопасность основана на обманчивом предположении, согласно которому никто за пределами группы посвященных людей не способен обойти систему.

Сообщение от Митника

Безопасность, основанная на незнании, не приносит никакой пользы при отражении атак социальной инженерии. В каждой компьютерной системе в мире есть как минимум один человек, который ее использует. Таким образом, если социальный инженер способен манипулировать людьми, использующими системы, незаметность системы не подходит.

Не нужно было подтверждать свою личность, сообщать свой номер, ежедневно изменяемый пароль. Если вы знали номер и говорили достоверно, то должны получить право на информацию.

Это было не очень основательным предположением со стороны телефонной компании. Единственная мера безопасности, которую они предприняли, — периодическая смена телефонного номера, по крайней мере, раз в год. Несмотря на это, действующий номер в определенный момент времени был широко известен среди фрикеров, использующих этот удобный источник информации в своих кругах. Хитрость со службой имен и адресов абонентов была одной из первых вещей, которые я изучил во время увлечения фрикингом в юношеском возрасте.

В мире бизнеса и правительства все еще преобладает «прозрачная» безопасность. Вероятно, здесь необходимо обладать знаниями о подразделениях, людях, и терминологии. компании. Иногда все, что требуется знать, — это внутренний телефон.

Неосторожный руководитель

Хотя многие служащие организаций беззаботны, не интересуются или не подозревают об угрозах безопасности, вы предполагаете, что руководитель компьютерного центра корпорации, входящей в Fortune 500, хорошо знает правила безопасности, верно?

Вероятно, вы не предполагали, что руководитель компьютерного центра — тот, кто является частью отдела информационных технологий компании — окажется жертвой явной игры социальной инженерии. Особенно трудно это предположить, когда социальный инженер не более чем шутник, едва вышедший из подросткового возраста. Но иногда ваши предположения могут быть неверными.

Настройка (на радиоволну)

Очень давно было занятное время для многих людей, которые настраивали радиоприемник на частоты местной полиции или пожарного отделения, слушая разговоры об ограблении банка, пожаре в административном здании или погоне по ходу событий. Сведения о радиочастотах, используемых правоохранительными органами и пожарными отделениями, можно было найти в книжных магазинах; сегодня информация о радиочастотах местных, государственных, и, в некоторых случаях, даже федеральных органов есть в Интернете, в книге, которую можно купить с помощью Radio Shack.

Конечно, это было не просто любопытство со стороны тех, кто слушал эти частоты. Мошенники, грабящие магазин посреди ночи, могли настроить приемник, чтобы слышать, когда полицейская машина направляется к месту происшествия. Торговцы наркотиками могли контролировать деятельность агентов местных органов. Поджигатель мог усилить свое нездоровое удовольствие, устроив пожар и слушая затем весь поток сообщений по радио, в то время как пожарные боролись с огнем.

За последние годы разработки в компьютерных технологиях позволили шифровать голосовые сообщения. По мере того, как инженеры нашли способы разместить на одном кристалле все больше вычислительных мощностей, они начали создавать зашифрованное радиовещание, лишив плохих парней и любопытных возможности прослушивать его.

Дэнни-перехватчик

Энтузиаст сканирования и искусный хакер, которого мы будем звать Дэнни, решил выяснить, не может ли он получить исходный код сверхсекретной программы-шифратора одного из ведущих производителей защищенных радиосистем. Он надеялся изучить код, который позволил бы ему узнать, как прослушивать разговоры правохранительных органов и, возможно, использовать технологию так, чтобы даже самым влиятельным государственным органам было сложно отследить его разговоры с друзьями.

Дэнни из темного мира хакеров принадлежат к особой категории, которая находится где-то между просто любопытными, но безобидными, и опасными. Они обладают знаниями эксперта, сочетающимися с озорным желанием хакера вторгаться в системы и сети ради интеллектуального вызова и удовлетворения от понимания, как работает технология. Их электронные трюки со взломом и проникновением — всего лишь трюки. Эти люди, эти «белые» хакеры незаконно проникают в системы ради забавы и доказательства того, что они могут сделать это. Они ничего не воруют, не зарабатывают деньги на своих деяниях, не уничтожают файлы, не разрушают сети или компьютерные системы. Сам факт их присутствия, получения копий файлов, подбора паролей за спиной сетевых администраторов, утирает носы людей, ответственных за оборону от злоумышленников. Умение превзойти других составляет значительную часть удовлетворения.