|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
ТелефонСамое простое средство СИ – телефон. Опытные социальные инженеры действуют экспромтом, полагаясь на свое чутье. По наводящим вопросам, по интонации голоса они могут определить комплексы и страхи человека и, мгновенно сориентировавшись, сыграть на них. Если на том конце провода молоденькая, недавно поступившая на работу девушка, – фрикер (человек, специализирующийся на фрикинге, взломе телефонных автоматов и сетей) намекает на возможные неприятности с руководством, если это какой-то самоуверенный специалист – достаточно представиться начинающим пользователем, которому все нужно показать и рассказать. В крупных организациях лица, ответственные за систему безопасности, не знают всех сотрудников, поэтому появляется возможность манипулировать действиями администраторов. К каждому подбирается свой ключ, воздействуя на его эмоции и чувства, которые могут быть разными: в общении человек может испытывать неловкость, дискомфорт, от которых хочется поскорее избавиться; может, напротив, испытывать желание подольше говорить, например, с молодой собеседницей; почувствовать свою значимость и важность в решении вопросов и оказании помощи. Приведем несколько примеров явления из Интернета. Пример 1. То, что по телефону можно воздействовать на эмоции человека, показывает следующий пример. Некоторые в детстве баловались с телефонами, например с такой шуткой: – Алло, это зоопарк? – Нет. – А почему обезьяна у телефона? Безобидный пример издевательства над людьми. А вот еще один подобный, тоже детский, но с элементами СИ: – Алло! Вас беспокоят с телефонной станции. Измерьте, пожалуйста, длину шнура от трубки к телефону. – Метр. – Хорошо, для того, чтобы повеситься, хватит. Следующий звонок. – Алло! Это милиция. Вам сейчас хулиганы не звонили? – Да, да! Звонили! Разберитесь с ними, пожалуйста! – Про трубку и провод спрашивали? – Да! – И он у вас метр? – Да! – А почему до сих пор не висим? Пример 2. Простейший пример СИ для проникновения в систему. Звонок администратору системы. – Здравствуйте, вы администратор? – Да. – Я понимаю, что вы ужасно заняты, извините, что отрываю вас от дел, но я не могу войти в сеть. – (Про себя: Поработать не дают!) А что компьютер говорит по этому поводу? – Как это – «говорит»? – (Ха!) Ну, что там написано? – Написано «вронг пассворд». – (Ну-ну, еще бы...) А-а-а-а... А вы пароль правильно набираете? – Не знаю, я его не совсем помню. – Какое имя пользователя? – Anatoly. – Ладно, ставлю вам пароль... мммм... art 25. Запомнили? (Если опять не войдет – убью!) – Постараюсь... Спасибо. (Вот дурак-то!) Конец разговора. Все! На самом деле это упрощение ситуации, но в некоторых случаях такое может сработать. Какие ошибки допустил администратор? С его точки зрения – никаких. В подобных случаях редко спрашиваются имя, фамилия, должность звонящего. Администраторы часто сталкиваются с забывчивостью пользователей, особенно если сотрудники редко «входят» в систему. В таких случаях ответственное лицо старается быстрее выполнить свою задачу, и ему хватает того, что пользователь знает свое имя входа в систему. Однако в этом случае взломщик уже знал некоторые сведения о своей цели. Пример 3. С первоначальными нулевыми знаниями. Выбирается цель по телефонной книге – организация, где есть телефон секретаря. – Звоним секретарю и узнаем имя персоны, с которой можно проконсультироваться по поводу некоторых проблем с работой системы. – Звоним любому другому человеку, чей номер телефона имеется в книге, предполагая, что он имеет доступ к системе. – Представляемся (вымышленным именем) помощником той персоны, имя которой узнали из первого звонка. Говорим, что в связи с перестановкой системы администратор дал задание поменять пароли всем пользователям. – Узнаем имя входа, прежний пароль, говорим новый пароль. Все! В этом примере есть большая вероятность получения доступа в систему вследствие оперирования в разговоре конкретными именами и должностями. Их возможно получить в различных справочниках, из рекламы, из мусора, который выбрасывается организацией. Иногда получение доступа к системе в виде простого пользователя бывает для целей злоумышленника недостаточным. Однако, используя те же методы СИ можно получить более полные права. Пример 4. Получения привилегий администратора в Unix -системе. Звонок администратору. – Здравствуйте, вы администратор? – Да. – Извините, что отвлекаю. Не могли бы вы мне помочь? – (Ну что еще ему надо?) Да, конечно. – Я не могу в своем каталоге выполнить команду ls (аналог команды dir Windows). – (Как будто ему это надо!) В каком каталоге? – /home/Anatoly. – (Вот ведь глупый юзер!) Сейчас посмотрю. (Заходит в этот каталог и набирает команду ls, которая успешно выполняется и показывает наличие нормальных прав на каталог). – Все у вас должно работать! – Хм... Подождите... О! А теперь работает... Странно... – (Рррррр!!!) Да? Хорошо! – Спасибо огромное. Еще раз извиняюсь, что помешал. – (Ну, наконец!) Да не за что. До свидания. Вроде бы никакого криминала нет. Даже с точки зрения опытного администратора. Что же произошло на самом деле? В каталоге / home / Anatoly среди множества файлов лежал измененный вариант программы ls. Как раз его-то администратор и запустил. При выполнении этой программы у администратора имелись все права на систему, и, соответственно, все программы, которые он запускает, могут делать с системой практически все, что угодно. Что было в этом файле, кроме возможности показывать список файлов в каталоге, теперь только взломщику и известно. Эти случаи годятся для организации со средним уровнем защиты. В банках или военных учреждениях так просто ничего не получится. Там могут спросить имя звонящего, его адрес, номер паспорта или предложат оставить номер телефона для последующего уведомления о смене пароля. В таком случае взломщики обычно заранее собирают информацию о потенциальных жертвах. Пример 5. Пример сбора информации о жертвах. Звонок на совершенно незнакомый номер. – Алло, извините, вас беспокоят с телефонной станции. Это номер такой-то? – Да. – У нас идет перерегистрация абонентов, не могли бы вы сообщить, на кого у вас зарегистрирован телефон? Имя, фамилию и отчество, пожалуйста. – (Сообщает информацию). – Спасибо! Так... секундочку... Хорошо, ничего не изменилось. А место работы? – (С некоторым сомнением называет, а если человек очень подозрительный, то спрашивает, зачем). – Это сведения для новой телефонной книги. По вашему желанию можем внести не одно имя, а всех, кого можно найти по этому телефону. – (Тут с радостью называются имена всех членов семьи с их положением в ней, хотя это и не требовалось). Информации уже достаточно для попытки взлома. Таким же образом становятся известными номера паспортов и т.д. После такого разговора можно звонить сотрудникам хозяина телефона от имени его родственников и получать дальнейшую информацию. Пример 6. Звонок от имени администратора. – Алло, это приемная? – Да. – Это администрация сети. Мы сейчас меняли сетевую систему защиты. Необходимо проверить, все ли у вас нормально работает. Как вы обычно регистрируетесь в системе? – Ввожу свои имя и пароль. – Хорошо... Так... (Пауза) Какое имя? – Anna. – Anna... (Пауза) Так... какой у вас раньше был пароль? – aa 62. – Та-а-а-ак... Хорошо. Попробуйте сейчас перерегистрироваться. – (Пауза) Все нормально. Работает. – Отлично. Спасибо! В маленьких организациях, где все знают администратора, это не сработает, зато в больших есть все шансы. Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.005 сек.) |