BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/library/books/attack/chapter02/

Глава 2. Социальная инженерия и ее применение


Все-таки желательно, гражданин артист,
чтобы вы незамедлительно разоблачили бы
перед зрителями технику ваших фокусов.
М. Булгаков. Мастер и Маргарита

В процессе написания этой части возник вопрос, как можно корректно перевести Social Engineering... В электронном переводчике Socrat мы нашли, что это - "общественное проектирование". Наверное, корректнее сказать "социальное исследование" или "социальная проработка", но оба термина совершенно неблагозвучны. Пожалуй, оставим так - "социальная инженерия" (СИ). Дело в том, что до сих пор этой проблеме в отечественной прессе не уделялось внимания, и потому соответствующего термина не существует.

Итак, что такое социальная инженерия в контексте информационной безопасности? Словарь хакерского жаргона сообщает: "Социальная инженерия - термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель - обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону в организацию для выявления тех, кто имеет необходимую информацию, и затем звонок администратору, эмулируя служащего с неотложной проблемой доступа к системе".

Да, действительно, самое простое средство проведения СИ - телефон. Все исследование основывается на одной маленькой детали: в крупных компаниях лица, ответственные за систему, не знают всех сотрудников, поэтому появляется возможность манипулировать действиями администраторов. Телефон облегчает эту задачу, так как администратор не видит абонента, который может звонить даже из другого города или страны.

В западной прессе часто мелькают сообщения о том, что кто-то где-то что-то взломал. Немалая часть этих взломов как раз и была проведена с помощью СИ. В идеальных условиях у взломщика должны быть:

Все эти вещи необходимы для успешного применения теоретических знаний на практике, но в нашей стране получить сразу все не представляется возможным, так что потенциальным взломщикам приходится довольствоваться простыми подручными средствами. Первый инструмент заменяется обыкновенным шумом в комнате или магнитофонной записью. Второй не составит труда отыскать. Третий - самое сложное. Проблема в том, что качественный аппарат способен преобразовывать голос как угодно: в женский, в детский, в старческий... Такие устройства очень редки, поэтому полностью использовать возможности СИ вряд ли получится. Конечно, ничто не помешает постучать ложкой о тарелку и сделать вид, что люди в офисе обедают. Можно позвать тетю Машу, дать ей шоколадку и попросить позвонить... Об использовании чужой линии, наверное, и заикаться не стоит. Единственное, что сразу приходит в голову, - это телефонная трубка с номеронабирателем и ближайший телефон-автомат. Но тогда придется использовать еще и анти-АОН.


Классификация атак класса СИ
Краткое введение в психологию СИ
Примеры проникновения в систему
Социальная инженерия посредством сети Internet
Возможности защиты от социальной инженерии



  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach