информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Страшный баг в WindowsSpanning Tree Protocol: недокументированное применениеПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / книги / атака на internet / социальная инженерия
АТАКА НА INTERNET
обложка
содержание
предисловие
о хакерах и не только
социальная инженерия
атаки на распределенные системы
атаки на хосты internet
методы сканирования
причины успеха удаленных атак
безопасные распределенные системы
как защититься от удаленных атак
сетевые операционные системы
атака через WWW
заключение
приложение
литература
работа над ашипками
рецензии
отзывы




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Глава 2. Социальная инженерия и ее применение


Все-таки желательно, гражданин артист,
чтобы вы незамедлительно разоблачили бы
перед зрителями технику ваших фокусов.
М. Булгаков. Мастер и Маргарита

В процессе написания этой части возник вопрос, как можно корректно перевести Social Engineering... В электронном переводчике Socrat мы нашли, что это - "общественное проектирование". Наверное, корректнее сказать "социальное исследование" или "социальная проработка", но оба термина совершенно неблагозвучны. Пожалуй, оставим так - "социальная инженерия" (СИ). Дело в том, что до сих пор этой проблеме в отечественной прессе не уделялось внимания, и потому соответствующего термина не существует.

Итак, что такое социальная инженерия в контексте информационной безопасности? Словарь хакерского жаргона сообщает: "Социальная инженерия - термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель - обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону в организацию для выявления тех, кто имеет необходимую информацию, и затем звонок администратору, эмулируя служащего с неотложной проблемой доступа к системе".

Да, действительно, самое простое средство проведения СИ - телефон. Все исследование основывается на одной маленькой детали: в крупных компаниях лица, ответственные за систему, не знают всех сотрудников, поэтому появляется возможность манипулировать действиями администраторов. Телефон облегчает эту задачу, так как администратор не видит абонента, который может звонить даже из другого города или страны.

В западной прессе часто мелькают сообщения о том, что кто-то где-то что-то взломал. Немалая часть этих взломов как раз и была проведена с помощью СИ. В идеальных условиях у взломщика должны быть:

  • телефон, воспроизводящий шум офиса;
  • автоопределитель номера;
  • устройство для изменения голоса;
  • возможность использовать чужую телефонную линию.

Все эти вещи необходимы для успешного применения теоретических знаний на практике, но в нашей стране получить сразу все не представляется возможным, так что потенциальным взломщикам приходится довольствоваться простыми подручными средствами. Первый инструмент заменяется обыкновенным шумом в комнате или магнитофонной записью. Второй не составит труда отыскать. Третий - самое сложное. Проблема в том, что качественный аппарат способен преобразовывать голос как угодно: в женский, в детский, в старческий... Такие устройства очень редки, поэтому полностью использовать возможности СИ вряд ли получится. Конечно, ничто не помешает постучать ложкой о тарелку и сделать вид, что люди в офисе обедают. Можно позвать тетю Машу, дать ей шоколадку и попросить позвонить... Об использовании чужой линии, наверное, и заикаться не стоит. Единственное, что сразу приходит в голову, - это телефонная трубка с номеронабирателем и ближайший телефон-автомат. Но тогда придется использовать еще и анти-АОН.


Классификация атак класса СИ
Краткое введение в психологию СИ
Примеры проникновения в систему
Социальная инженерия посредством сети Internet
Возможности защиты от социальной инженерии




Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach