информационная безопасность
без паники и всерьез
 подробно о проекте
Где водятся OGRыSpanning Tree Protocol: недокументированное применениеПортрет посетителя Rambler's Top100
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Tailscale окончательно забанила... 
 Прекращение работы антивируса Касперского... 
 Microsoft Authenticator теряет... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / книги / the art of deception / проникновение на территорию
THE ART OF DECEPTION
главная
от переводчиков
unprinted chapter
введение
предисловие
вступление
самое слабое звено в безопасности
когда безвредная информация опасна
прямая атака: просто попроси
внушая доверие
"разрешите вам помочь"
"не могли бы вы помочь?"
фальшивые сайты и опасные приложения
используя чувство симпатии, вины и запугивание
ответный удар
проникновение на территорию
сочетая технологию и социальную инженерию
aтака на служащего низшего звена
умные мошенники
знание об информационной безопасности и тренировки
краткое описание безопасности в организации
библиография
благодарности




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Глава 10: Проникновение на территорию

(Chapter 10 Entering the Premises)

Перевод: Александр (forout[at]pochta.ru)

Почему постороннему человеку так легко выдать себя за сотрудника компании и сыграть эту роль настолько убедительно, что на этот обман купятся даже люди, очень хорошо осведомленные в вопросах безопасности? Как возможно ввести в заблуждение людей, знакомых с процедурами системы безопасности, защищающих интересы компании, относящихся с подозрением к людям, с которыми они не знакомы лично?
Подумайте над этим, пока будете читать истории, приведенные в этой главе.

Растерявшийся охранник

Дата/Время: вторник, 17 октября, 2:16 ночи
Место: Скайуотчер Эйвиэйшн, Инк., завод по производству авиатехники на окраине Таксона, штат Аризона.

История об охраннике

Для Лероя Грина было гораздо приятнее слушать гул своих каблуков в совсем недавно опустевших цехах завода, чем сидеть всю ночь перед
видеомониторами в отделе охраны. Хотя ему не дозволено было делать ничего, кроме как сидеть, уставившись в экраны, на которых даже не менялось изображение – нельзя было даже почитать журнал или его Библию в кожаном переплете. Но, прогуливаясь по цехам, он хотя бы разминал ноги, и когда он не забывал подвигать руками и плечами, это тоже было для него небольшой разминкой.

Хотя это вряд ли можно было считать разминкой для человека, который раньше был правым блокирующим полузащитником в футбольной команде школы. Но, думал он, работа есть работа.

Он повернул за юго-западный угол и направился по галерее, осматривая производственный цех длиной в полмили. Он бросил взгляд вниз и увидел двух людей, прогуливающихся вдоль ряда частично собранных вертолетов. Они остановились, и, казалось, показывали что-то друг другу. Странный осмотр в это время суток. «Лучше проверить», подумал он.

Лерой направился к лестнице, по которой затем спустился на тот этаж сборочного цеха, где находилась пара, но они не заметили его приближения, пока он не очутился рядом с ними. "Доброе утро. Покажите, пожалуйста, ваши бейджи", - попросил он. Лерой всегда в подобных случаях старался говорить мягко; он знал, что его грозный вид может напугать кого угодно.

"Привет, Лерой", - сказал один из них, прочитав его имя на бейдже. "Я Том Стилтон из Департамента маркетинга в отделении корпорации в Фениксе. Я приехал подписать кое-какие документы, и хотел показать моему другу, как собираются самые большие в мире вертолеты".

"Да, сэр. Ваш бейдж, пожалуйста", сказал еще раз Лерой. Он не мог не заметить, насколько молодо они выглядели. Парень из маркетинга, казалось, только что окончил школу, а другой, с волосами до плеч, вообще выглядел на пятнадцать лет.

Первый парень полез в карман за удостоверением, затем начал обшаривать все свои карманы. У Лероя внезапно появились плохие предчувствия. "Черт", - сказал парень. "Должно быть, я забыл его в машине. Я могу принести его, это займет десять минут, чтобы дойти до стоянки и вернуться."

"Как, вы сказали, ваше имя, сэр?" – доставая блокнот, спросил Лерой, и аккуратно записал ответ. Затем он потребовал пройти с ним в отдел охраны. В лифте Том рассказал, что работает в компании только шесть месяцев, и надеется, что у него не будет неприятностей из-за этого случая.

В комнате мониторинга к Лерою присоединились два других охранника из его смены, и стали расспрашивать пару. Стилтон назвал свой номер телефона, и сказал, что его руководителем является Джуди Андервуд, также назвав ее номер телефона; эта информация была проверена по компьютеру. Лерой отозвал в сторону двух других охранников, и они стали обсуждать, что делать дальше. Никто не хотел оказаться виноватым; они решили, что лучше всего будет позвонить руководителю этого парня, несмотря на то, что ее придется поднять среди ночи.

Лерой сам позвонил миссис Андервуд, представившись и спросив, действительно ли Том Стилтон работает в ее отделе? Казалось, что она еще находится в состоянии сна. "Да", - сказала она.

"Видите ли, мы обнаружили его в сборочном цехе в 2:30 утра, и он не имел при себе удостоверения".

"Дайте мне его к трубке", - сказала миссис Андервуд.

Стилтон взял трубку и сказал:
"Джуди, мне действительно очень жаль, что эти люди разбудили вас посреди ночи. Я надеюсь, вы не будете держать на меня зла?" Выслушав ответ, он продолжил:
"Мне в любом случае нужно быть здесь с утра, на собрании по поводу нового пресс-релиза. Да, кстати, вы получили Е-мэйл насчет сделки с Томпсоном? Нам необходимо будет встретиться с Джимом в понедельник утром, чтобы обсудить детали. А во вторник мы вместе обедаем, не забыли?"

Он послушал еще немного, попрощался и повесил трубку.

Это было сюрпризом для Лероя; он думал, что возьмет трубку, и женщина подтвердит ему, что все в порядке. Сначала он подумал, что, может быть, стоит перезвонить ей и спросить, но затем решил, что лучше этого не делать. Он уже потревожил ее, разбудив своим звонком среди ночи; если он позвонит второй раз, она может возмутиться и пожаловаться его боссу. «Зачем поднимать бурю?» - подумал он.

"Можно, я продолжу показывать моему другу производственный конвейер?" – спросил у Лероя Стилтон. "Вы хотите пойти с нами, продолжая наблюдать?"

"Продолжайте", - ответил Лерой. "Только будьте осторожны, смотрите по сторонам. И не забудьте ваш бейдж в следующий раз. И еще: необходимо уведомлять охрану, если вы собираетесь находиться в цехах завода в нерабочее время – это правило."

"Я запомню это, Лерой", – сказал Стилтон, и они ушли.

Не прошло и десяти минут, как в отделе охраны зазвонил телефон. Звонила миссис Андервуд. «Кто был тот парень?!» - хотела она знать. Она сказала, что пыталась задать ему вопросы, но он просто продолжал говорить по поводу обеда с ней, и она не знает, кто он вообще такой.

Охранники позвонили в приемную и на охрану на выезде с автостоянки. В обоих местах им сказали, что два молодых человека ушли пару минут назад.

Рассказ Джо Харпера

Просто так, ради развлечения, семнадцатилетний Джо Харпер уже более года проникал в различные здания, иногда в дневное время, иногда по ночам. Сын музыканта и официантки из бара, которые работали по ночам, Джо почти все время был предоставлен сам себе. Его рассказ проливает свет на только что описанный инцидент.

* * *

Мой друг Кенни собирается стать пилотом вертолета. Поэтому он попросил меня провести его в цеха завода Скайуотчер, чтобы посмотреть, как собираются вертолеты. Он знает, что я раньше уже проникал в подобные места. Это выглядит очень захватывающе и вызывает приток адреналина, когда вы попадаете в места, где вам не разрешено находиться.

Ясно, что вы не можете просто взять и прийти на завод или в офисное здание. Это процесс необходимо обдумать, спланировать, провести полное исследование целевого объекта. Выяснить на Интернет-странице компании имена и должности, структуру и телефоны. Прочесть газетные вырезки и журнальные статьи. Тщательное исследование – это моя собственная гарантия безопасности, поэтому я могу разговаривать с любым человеком, который засомневается во мне, так как я обладаю таким же объемом знаний, что и любой сотрудник компании.

Итак, с чего начать? Сначала я воспользовался Интернетом, чтобы узнать, где расположены офисы компании, и увидел, что штаб-квартира корпорации расположена в Фениксе. Отлично. Я позвонил и попросил соединить меня с департаментом маркетинга; в любой компании есть подобный департамент. Ответившей женщине я сказал, что представляю компанию «Блю Пенсил Графикс», и хочу узнать, можем ли мы заинтересовать их своими услугами, и с кем я могу поговорить об этом. Она сказала, что с Томом Стилтоном. Я спросил его телефон, и она ответила, что они не дают подобную информацию, но она может меня переключить на него. Звонок был переключен на автоответчик, в сообщении говорилось: «Это Том Стилтон, добавочный номер 3147, оставьте, пожалуйста, сообщение». Конечно, они не дают внутренние номера телефонов, а этот парень оставляет его прямо в сообщении автоответчика. Здорово, теперь у меня есть имя и добавочный номер.

Еще один звонок, в тот же офис. «Здравствуйте, мне нужен был Том Стилтон, но его нет на месте. Я бы хотел кое-что узнать у его руководителя». Руководителя тоже не оказалось в офисе, но к тому времени, как я закончил разговор, я уже знал имя руководителя. И она также любезно оставила свой внутренний номер в сообщении автоответчика.

Теперь мы, возможно, могли пройти через пост охраны без проблем, но я собирался приехать на завод на машине, и мне нужно было подумать еще об одном препятствии на заводской парковке. Этим препятствием являлся охранник, проверяющий документы на въезде. А ночью, возможно, они записывали номера автомобилей, поэтому мне пришлось купить старые автомобильные номера на барахолке.

Но сначала мне нужно было узнать номер телефона на посту охраны. Я подождал какое-то время, чтобы, если я нарвусь опять на того же оператора, когда буду звонить в офис, она не узнала мой голос. Я позвонил и сказал: «К нам поступила жалоба, что телефон на посту охраны Ридж Роуд работает с перебоями – проблема еще не разрешена?» Она ответила, что не знает, но может соединить меня.

"Пост Ридж Роуд, Райан слушает", ответил парень. "Здравствуйте, Райан, это Бен. У вас были проблемы с телефонной связью?" – спросил я. Он был всего лишь охранником на низкооплачиваемой должности, но, вероятно, очень хорошо обученным, потому что он сразу спросил: "Какой Бен – назовите вашу фамилию".

Я продолжал, сделав вид, что не слышал его вопроса: "Кто-то нам позвонил и сказал, что у вас проблемы с телефоном".

Я слышал в трубку, как он спросил своих коллег: «Эй, Брюс, Роджер, у нас были проблемы с телефоном?» Он снова взял трубку и сказал:
"Нет, у нас все в порядке".

"Сколько телефонных линий у вас на посту?"
"Две", - сказал он, забыв о моей фамилии.
"По которой вы сейчас со мной разговариваете?"
"3140".
Есть! "И оба телефона работают нормально?"
"Вроде да."
"ОК", - сказал я. "Послушайте, Том, если у вас будут проблемы со связью, звоните нам в Телеком в любое время. Это наша работа".

Мы с приятелем решили посетить завод следующей же ночью. Позже, во второй половине дня, я позвонил на охрану, представившись именем того парня из маркетинга. Я сказал: "Здравствуйте, это Том Стилтон из Маркетинга. Мы горим со сроками проекта, поэтому должны приехать два парня, чтобы нам помочь. Они приедут приблизительно в час или два ночи. Вы еще будете на смене?"

Он был счастлив сказать, что нет, он сменяется в полночь.

Я попросил его: "Хорошо, тогда оставьте сообщение для сменщика. Когда появятся два парня и скажут, что они приехали к Тому Стилтону, просто пропустите их, ОК?"

"Хорошо", ответил он. То, что мне было нужно. Он записал мое имя, департамент, внутренний номер и сказал, что позаботится об этом.

Мы подъехали к воротам сразу после двух, я назвал имя Тома Стилтона, и сонный охранник открыл ворота и сказал, где нам нужно припарковаться.

Когда мы вошли в здание, на проходной был еще один пост охраны, с книгой регистрации посещений во внерабочее время. Я сказал охраннику, что к утру мне срочно нужно подготовить отчет, а это мой друг, который хотел осмотреть завод. "Он помешан на вертолетах", сказал я. "Собирается учиться на пилота".
Он спросил мое удостоверение. Я полез в карман, затем стал шарить по другим, и сказал, что, возможно, забыл его в машине, пойду, возьму его, и что это займет десять минут. Он сказал, что, ладно, можно без удостоверения, нужно тогда расписаться в книге регистрации посещений.

Вы можете себе представить, каким развлечением для нас была прогулка по сборочному цеху. До тех пор, пока нас не остановил Лерой и потребовал пойти с ним в отдел охраны.

Когда дело оборачивается таким образом, я делаю вид, что очень раздражен и возмущен. Как будто я действительно являюсь тем, кем представился, и меня раздражает, что они мне не верят.

Когда они сказали, что, может быть, стоит позвонить той женщине – моему «руководителю» - и стали искать ее домашний телефон в базе данных сотрудников, я стоял и думал: «Самое время, чтобы смыться отсюда». Но ведь был еще пост охраны на въезде: даже если мы выберемся из здания, они закроют ворота, и мы не сможем выйти с территории.

Когда Лерой позвонил женщине, которая являлась боссом Стилтона, и передал мне трубку, женщина стала возмущенно кричать: «Кто это, кто вы?!» А я продолжал говорить, как будто у нас был обычный спокойный разговор, а потом повесил трубку.

Сколько может уйти времени на то, чтобы найти человека, который даст вам номер телефона компании среди ночи? Я прикинул, что у нас есть пятнадцать минут, чтобы убраться отсюда до того, как эта женщина узнает номер телефона поста охраны и позвонит сюда.

Мы вышли отсюда настолько быстро, насколько могли, не подавая виду, что мы очень торопимся. Естественно, мы обрадовались, когда охранник на воротах пропустил нас без всяких допросов.

Анализируя обман

Тот факт, что в реальной истории, на которой основан этот рассказ, злоумышленниками являлись действительно подростки, не имеет большого значения.

Это вторжение для них было всего лишь забавой, только для того, чтобы убедиться, что они смогут сделать это. Но, если это было так легко для пары подростков, это могло бы быть гораздо проще для взрослых воров, промышленных шпионов или террористов.

Как могли трое опытных охранников так просто взять и отпустить этих двоих нарушителей? И не просто каких-то нарушителей, а таких молодых, что у каждого здравомыслящего человека возникли бы подозрения на счет их?

Сначала у Лероя возникли основания для подозрения. Он действовал правильно, проводив их в отдел охраны, расспросив парня, который назвался Томом Стилтоном, и, проверив имена и телефоны, которые он назвал. Он также действовал правильно, когда позвонил руководителю этого парня.

Но, в конце концов, его смутило самоуверенное и возмущенное поведение этого молодого человека. Его поведение было не похоже на то, которое можно ожидать от грабителя или вторгшегося злоумышленника – так может вести себя только действительный работник… или тот, кто выдает себя за такового.

Лерой должен был быть обучен полагаться на основательную проверку личностей, а не на собственные ощущения или домыслы.
Почему он не стал более подозрителен, когда молодой человек по окончании разговора с руководителем повесил трубку, вместо того, чтобы передать ее обратно Лерою, чтобы он мог услышать подтверждение непосредственно от Джуди Андервуд, и ее заверения относительно причин, которые заставили находиться этого парня на заводе поздней ночью?

Обман, на который попался Лерой, был настолько очевиден, что он должен был бы это заметить. Но посмотрите на происшедшее с его точки зрения: человек без высшего образования, крайне заинтересованный в этой работе, сомневающийся, не нарвется ли он на неприятности, если второй раз среди ночи побеспокоит своим звонком менеджера компании. Если бы вы были на его месте, стали бы вы звонить еще раз?

Но, конечно, второй звонок не был единственным возможным действием с его стороны. Что еще мог сделать в данном случае этот охранник? Еще до того, как звонить менеджеру, он мог бы попросить у этих парней какой-либо удостоверяющий личность документ с фотографией; они приехали на завод на машине, значит, по крайней мере, у одного из них должно быть водительское удостоверение. Сразу бы стало понятно, что изначально они представились фальшивыми именами (профессиональный жулик ради такого случая позаботился бы о фальшивом удостоверении личности, но эти подростки не подумали об этом). В любом случае, Лерой должен был бы проверить их удостоверения и зафиксировать данные на бумаге. Если они настаивали, что у них нет с собой удостоверения, он должен был проводить их до машины, чтобы проверить наличие бейджа компании, который «Том Стилтон» якобы оставил в машине.

После телефонного звонка один из охранников должен был бы все время быть рядом с этой парой, пока они не вышли из здания. Затем пройти с ними до машины и записать ее номер. Если бы он был достаточно внимателен, то заметил бы, что на номере (который этот мошенник купил на барахолке) отсутствует регистрационная наклейка – и это могло послужить достаточным основанием, чтобы задержать парней для дальнейшего расследования.

Сообщение Митника

Люди, способные манипулировать поведением других людей, обычно являются привлекающими внимание личностями. Они энергичны и обладают хорошо поставленной речью. социальные инженеры также обладают способностью отвлекать внимание людей от их мыслительного процесса и заставлять их сотрудничать. Думать, что какой-то конкретный человек не способен попасть под влияние подобных манипуляций – значит, недооценивать способности и природную интуицию социального инженера.

Профессиональный социальный инженер же, в свою очередь, всегда очень хорошо рассчитывает свои возможности оказания влияния на противника.

Разгребание мусора

Термин «разгребание мусора» описывает процесс поиска ценной информации в мусорных корзинах компании. Объем информации, помогающий вам изучить жертву (человека или компанию), добытый таким способом, способен поразить воображение.

Большинство людей не задумываются о тех вещах, которые они выбрасывают дома: телефонные счета, выписки со счетов кредитных карт, банковских счетов, материалов, имеющих отношение к работе, и т.д.

Соответственно, на работе сотрудники должны быть предупреждены, что на самом деле люди могут рыться в мусорных корзинах, чтобы выудить оттуда полезную и выгодную для них информацию.

Когда я учился в старших классах, я иногда копался в мусорных баках, которые стояли на заднем дворе местной телефонной компании – часто один, но иногда с друзьями, которые разделяли мой интерес в изучении информации о телефонной компании. Вы становитесь опытным «мусорщиком», когда познаете несколько вещей, например, что нужно сделать, чтобы избегать контакта с пакетами из уборных, или о необходимости пользоваться перчатками.

Это занятие не из приятных, но результат был более чем редкостным – телефонный справочник внутренних номеров компании, инструкции по работе с компьютерами, списки сотрудников, выброшенные распечатки, в которых объяснялось, как настраивать оборудование коммутаторов, и многое другое.

Я совместил график своих ночных посещений со временем выхода новых инструкций и справочников, так как в мусорных контейнерах было полно старых справочников, которые бездумно выбрасывались. Но и в другое время я их тоже проверял, пытаясь найти какие-либо записки, письма, отчеты, и все такое прочее, что могло бы представлять какую-либо ценность.

По прибытии я находил несколько картонных упаковочных коробок, доставал их и ставил рядом. Если кто-то обнаруживал меня, что иногда случалось, я говорил, что мой друг переезжает, и я собираю картонные коробки, чтобы помочь ему упаковать вещи. Охранники никогда не замечали, что в коробках, которые я относил домой, лежат документы. Иногда охранник требовал меня убираться прочь, поэтому я просто перемещался к офису другой телефонной компании.

Я не знаю, как дела обстоят сегодня, но тогда было легко определить, в каких мешках могла содержаться интересная информация. Мусор, скапливающийся после уборки помещений, и отходы из кафетерия были упакованы в большие мешки, в то время как офисные отходы были собраны в одноразовых мешках, которые уборщики по отдельности вытаскивали из офисных корзин и плотно перевязывали.

Однажды, когда мы с друзьями копались в контейнерах, то наткнулись на листы бумаги, разорванной вручную. И не просто разорванные: кто-то
постарался порвать их на маленькие кусочки, которые, к счастью, находились в одном пакете. Мы забрали этот пакет, высыпали все это на стол, иначали собирать их по частям.

Мы все были любителями паззлов-головоломок, так что для нас было просто собрать эту мозаику в единое целое. И мы получили больше, чем просто вознаграждение детского любопытства. По окончании перед нами предстал полный список учетных записей и паролей к одной из важнейших компьютерных сетей компании.

Стоили ли наши действия того риска и усилий? Вы скажете, конечно. Но больше, чем вы думаете, потому что риск был равен нулю. Это было правдой тогда, и в наши дни все еще действует правило: если вы не наносите никому ущерба, копание в чьем-то мусоре является на 100 процентов легальным.

Конечно, не только телефонные мошенники и хакеры копаются в мусорных баках. Этим повсеместно и регулярно занимается полиция, поэтому очень много преступников, от главарей мафии до мелких воришек были осуждены благодаря уликам, найденным в их мусоре. К этому методу также в течение многих лет прибегают различные разведывательные службы.

Конечно, эти действия не приемлемы для Джеймса Бонда – в кино он предстает этаким героем, обманывающим и наказывающим негодяев, или проводящим свободное время с красавицей в постели, нежели чем стоящим на коленях и копающимся в мусоре. Шпионы в реальной жизни гораздо менее брезгливы, если среди банановых шкурок, обрывков газет и прочего мусора может находиться что-нибудь важное. Особенно, если такой способ добывания информации не подвергает их риску.

LINGO
Разгребание мусора
- способ извлечения злоумышленниками не уничтоженной своевременно конфиденциальной информации из виртуальных мусорных корзин защищенных компьютерных систем или из обычных мусорных контейнеров.

Деньги за мусор

Корпорации тоже играют в игры с «разгребанием мусора». В июне 2000 газеты писали о том, что корпорация Оракл (Oracle) (президент которой, Ларри Эллисон, является самым известным и откровенным противником корпорации Майкрософт) наняла детективное агентство, которая была потом изобличена. По всей вероятности, сыщикам нужен был мусор одной из подведомственных Майкрософту организаций, компании АСТ, но они, естественно, не хотели быть пойманными. Согласно газетным статьям, детективное агентство послало женщину, которая предложила уборщикам 60 долл. за то, чтобы получить бумажный мусор компании АСТ. Они отказались от ее предложения. Тогда она вернулась следующей ночью, повысив ставки и предложив 500 долл. уборщикам и 200 долл. начальнику смены.

Уборщики снова отказались и сдали ее полиции.

Ведущий онлайновый журналист Деклан МакКулла по аналогии с литературным произведением озаглавил статью на новостном сайте Wired News, освещающую этот случай, как «Оракл, которая шпионила за Майкрософт». Журнал Time опубликовал дискредитирующую статью о Президенте корпорации Оракл, назвав ее просто «Любопытный Ларри».

Анализируя обман

Исходя из описанного мной моего опыта и опыта компании Оракл, вы могли бы подумать, зачем кому-то, подвергая себя риску, красть чьи-то мусорные корзины.

Ответ, я думаю, в том, что риск при этом равен нулю, а выгода может быть значительна. Если вы хотите подкупить уборщиков, ваши шансы, может быть, вырастут, но для того, кто не боится немного запачкаться, давать кому-либо взятку совершенно не нужно.

Естественно, для социального инженера копание в мусоре имеет свою выгоду. Он может раскопать достаточно информации, чтобы успешно начать штурм на целевую компанию, включая различные записки, повестки собраний, письма, а также выяснить имена, департаменты, должности, телефоны, и закрепление проектных групп. Также в мусоре можно найти организационные графики и структуру компании, графики командировок, и прочую подобную информацию. Все эти детали могут казаться обыденными и ничего не значащими для работников компании, но для атакующего подобная информация может иметь решающее значение.

Марк Джозеф Эдвардс в своей книге «Интернет-безопасность в системе Windows NT» говорит о том, что «целые отчеты и планы становились
недействительными из-за паролей, записанных на клочках бумаги, сообщений с телефонными номерами, записанных на автоответчиках, украденных папок с документами, дискет и пленок, которые не были своевременно стерты или уничтожены – в общем, всего того, что могло помочь потенциальному злоумышленнику».

Писатель подходит к вопросу: «А кто те люди, которые работают у вас в штате уборщиков? Вы решили, им не будет позволено входить в серверную комнату, но не забывайте про другие мусорные корзины. Если федеральные службы считают необходимым проверять людей, которые имеют доступ к их мусорным корзинам и шредерам, возможно, вам тоже следует так поступить».

Сообщение Митника

Ваши мусорные корзины могут оказаться сокровищем для ваших врагов. Мы не придаем большого значения документам и материалам, которые мы выбрасываем дома, так зачем надеяться, что на работе люди будут относиться по-другому к выбрасываемым материалам. Все это говорит о необходимости пояснения людям об опасности (недобросовестные люди, копающиеся в поисках важной информации) и уязвимости (конфиденциальная информация, которая не была уничтожена в шредере или стерта).

Униженный начальник

Никто не предал значения тому, что Харлан Фортис пришел как обычно утром в понедельник на работу в Управление автомагистралей округа, и сказал, что в спешке забыл свой бейдж дома. Женщина-охранник в течение всех двух лет, что работала здесь, каждый рабочий день видела Харлана. Она выписала ему временный пропуск и пропустила его.

Через два дня случилась ужасная история, которая распространилась по всему управлению подобно пожару. Половина людей, которые услышали ее, говорили, что это не может быть правдой. Остальные не знали, что делать – громко смеяться или жалеть беднягу.

В конце концов, Джордж Адамсон был добрейшей и сочувствующей личностью, лучшим руководителем управления из всех, когда-либо находившихся на этом посту. Он не заслужил того, что с ним произошло.

Проблемы начались, когда вечером в пятницу Джордж вызвал Харлана в свой кабинет, и сказал ему настолько тактично, как мог, что со следующего понедельника Харлан переводиться на другую работу. В Управление санитарного контроля. Для Харлана это было не увольнение. Гораздо хуже: это было оскорбительно. Он не мог просто так смириться с этим.

Тем же вечером он сидел на своем крыльце и наблюдал за движением автомобилей на дороге. В конце концов, он увидел соседского мальчика Дэвида, который увлекался компьютерными играми, едущего на своем мопеде из школы домой. Он остановил Дэвида, предложил ему «Маунтин Дью», который он купил специально для этого, и предложил ему сделку: новейшая игровая приставка и шесть игр взамен на некоторую компьютерную помощь и обещание держать рот на замке.

После того, как Харлан объяснил ему суть, не вдаваясь в подробности, Дэвид согласился. Он объяснил, что нужно сделать Харлану. Ему необходимо было купить модем, придти в офис и подключить этот модем к какому-нибудь компьютеру с ближайшей телефонной розеткой. Если он оставит модем под столом, вряд ли кто это заметит. Далее начиналась рискованная часть задачи. Харлану нужно было установить на этом компьютере программу удаленного доступа и запустить ее. В любой момент мог появиться человек, работающий в этом отделе, или кто-нибудь мог проходить мимо и увидеть его в чужом кабинете. Он был настолько напряжен, что едва мог прочитать инструкции, которые написал ему мальчик. Но он все сделал правильно и вышел из здания незамеченным.

Бомба

Дэвид зашел к нему вечером после ужина. Они сели возле компьютера Харлана, и в течение нескольких минут парень через модем получил доступ к рабочему компьютеру Джорджа Адамсона. Это было совсем несложно, потому что Джордж никогда не придавал значения таким мерам безопасности, как смена паролей, и всегда просил того или иного человека помочь ему загрузить или отправить файл по электронной почте. Поэтому, все в офисе знали его пароль.

Целью их охоты являлся файл BudgetSlides2002.ppt, который парень загрузил на компьютер Харлана. Затем Харлан сказал парню отправляться домой, и вернуться через пару часов.

Когда Дэвид вернулся, Харлан попросил его еще раз подключиться к локальной сети Автодорожного управления и перезаписать этот файл обратно, затерев старую версию. Харлан показал Дэвиду игровую приставку, и пообещал, что, если все пройдет нормально, он получит ее на следующий день.

«Сюрприз» Джорджа

Вы, наверное, думаете, что нет более скучного занятия, чем слушание по бюджету, но зал заседаний в Совете округа был заполнен журналистами,
представителями различных групп по интересам, другими заинтересованными лицами, и даже двумя командами теленовостей.

Джордж всегда чувствовал, что для него на подобных заседаниях многое поставлено на карту. Совет округа распоряжался бюджетом, и, если Джордж не представит убедительную презентацию, финансирование Автомобильного управления может быть урезано. Тогда каждый начнет жаловаться на плохие дороги, слишком частые светофоры и опасные перекрестки, и все обвинения будут направлены в сторону Джорджа; тогда жизнь не покажется ему сладкой на весь предстоящий год. Но в тот вечер он чувствовал себя очень уверенно. Он работал целых шесть недель над этой презентацией и визуализацией ее в PowerPoint, которую он опробовал на своей жене, своих заместителях, и близких друзьях. Все согласились, что за все время это была самая лучшая его презентация.

Первые три изображения в презентации были удачными и привлекли внимание всех членов Совета. Он очень успешно начал свою презентацию.

Но затем все пошло непредсказуемым образом. Четвертой картинкой в презентации должно было быть изображение заката на новой автомагистрали, открытой в прошлом году. Вместо этого появилось что-то другое, что всех привело в замешательство. Фотография из журнала типа «Penthouse». Он услышал возгласы удивления в аудитории и быстро нажал кнопку на его ноутбуке, чтобы перейти к следующему изображению.

Оно было еще хуже.

Он все еще пытался переключиться на другие картинки, когда кто-то в аудитории отключил проектор из розетки, и председатель собрания громко ударил молотком и еще громче прокричал, что собрание отложено.

Анализируя обман

Воспользовавшись помощью хакера-подростка, оскорбленный сотрудник получил доступ в компьютер руководителя своего управления, скачал очень важную презентацию PowerPoint, и заменил некоторые из слайдов изображениями определенного оскорбительного характера. Затем он вернул подправленную презентацию в компьютер руководителю.

Подключившись при помощи модема и телефонной линии к одному из офисных компьютеров, молодой хакер смог войти в сеть извне. Парень настроил программу удаленного доступа таким образом, что, подключившись к компьютеру, он получил полный доступ к любым файлам. Так как этот компьютер был подключен к локальной сети организации, и он знал логин и пароль своего руководителя, он легко смог получить доступ к его файлам.

Учитывая время, затраченное на сканирование изображений из журнала, вся операция заняла всего лишь несколько часов. В результате репутация
порядочного человека была очень сильно подпорчена.

Сообщение Митника

Основное число работников, которых перевели, уволили или понизили в должности, не представляют проблемы. Однако всегда может найтись один человек, который заставит понять руководство компании, какие шаги нужно было предпринять, чтобы избежать неприятностей, но будет уже слишком поздно.
Опыт и статистические данные наглядно показывают, что основную угрозу организации представляют инсайдеры, т.е. люди, работающие в организации. Они обладают детальными знаниями того, где находится значимая корпоративная информация, и куда стоит нанести удар, чтобы причинить компании наибольший ущерб.

В ожидании встречи

Приятным осенним утром Питер Милтон зашел в офис регионального представительства компании «Honorable Auto Parts» в Денвере, крупного
общенационального оптового поставщика запчастей на автомобильном рынке. Он ждал в приемной, пока девушка-секретарь регистрировала посетителя, объясняла звонившему, как доехать до офиса и подписывала бумаги у курьера службы «UPS», причем, все это она делала одновременно.

"Как вы умудряетесь делать так много дел одновременно?" сказал Питер, когда очередь дошла до него. Она мило улыбнулась. Он сказал ей, что работает в департаменте маркетинга в Далласском представительстве компании, и объяснил, что собирается встретиться с Майком Тэлботтом из представительства в Атланте. "Нам нужно вместе сегодня встретиться с одним клиентом", сказал он. "Я подожду его в вестибюле".

"Маркетинг", произнесла она мечтательным голосом, и Питер, улыбнувшись, ждал, что она скажет дальше. "Если бы я поступила в колледж, я выбрала бы это. Я бы хотела работать в службе маркетинга".
"Кайла", сказал он, прочитав ее имя на бейдже, и снова улыбнулся. "У нас в далласском представительстве есть девушка, которая раньше работала секретарем, но потом перевелась в департамент маркетинга. Это было три года назад, а теперь она помощник руководителя департамента маркетинга".
Кайли смотрела на него мечтательно-наивным взглядом. Он продолжал:
"Вы умеете пользоваться компьютером?"
"Конечно", - ответила она.
"Вы хотели бы, чтобы я помог вам получить должность секретаря в департаменте маркетинга"?
Она вся засияла. "Ради такого случая я даже переехала бы в Даллас".
"Вам очень понравится Даллас", сказал он. "Я не обещаю вам это прямо сейчас, но обязательно постараюсь помочь".
Она подумала, что этот приятный мужчина в костюме и галстуке, с аккуратной стрижкой, мог бы действительно ей помочь с получением более интересной работы.

Питер сел напротив ее в вестибюле, открыл свой ноутбук, и начал работать. Через пятнадцать минут он снова подошел к стойке.
"Послушайте", сказал он. "Похоже, Майк задерживается. У вас есть переговорная комната, где я мог бы сесть и проверить свою электронную почту, пока я жду его?"

Кайла позвонила человеку, который координирует график переговорных, и забронировала для него одну из комнат. Следуя примеру компаний Силиконовой Долины (компания Apple, возможно, была первопроходцем), некоторые переговорные комнаты были обозначены именами мультипликационных персонажей, другие – названиями ресторанных сетей, именами кинозвезд или героев комиксов. Девушка записала его, сказала, что ему нужна переговорная «Минни Маус», и объяснила, как ее найти.

Он нашел комнату, расположился там, и подключил свой ноутбук к сетевому порту.

Вам уже стало понятно?

Правильно – мошенник подключился к локальной сети компании, не защищенной внешним брандмауэром.

Рассказ Энтони

Я думаю, что Энтони Лэйка можно назвать ленивым бизнесменом. Он не хотел работать на других, решив, что будет работать на себя; он хотел открыть магазин, где он мог бы сидеть на одном месте целый день, и ему не пришлось бы мотаться по окрестностям. Но только он хотел, естественно, чтобы этот бизнес еще и приносил доходы.

Чем может торговать его магазин? Ответ не заставил себя ждать. Он разбирался в машинах и ремонте, значит, это будет магазин автозапчастей.

А как добиться гарантии успеха? Ответ был для него словно вспышка: необходимо убедить оптового поставщика запчастей, компанию «Honorable Auto Parts», продать ему весь необходимый товар без торговых наценок.

Естественно, по своему желанию они никогда не сделают этого. Но Энтони умел обманывать людей, а его друг Микки знал, как взламывать чужие компьютеры, и вместе они выработали хитрый план.

Он представился Питером Милтоном, сотрудником компании, проник в офис компании и подключил свой ноутбук к локальной сети. Для начала неплохо, но это был лишь первый шаг. То, что ему предстояло сделать, было задачей не из легких, особенно потому, что Энтони установил для себя пятнадцатиминутный лимит – дольше он не мог задерживаться, так как подверг бы себя в таком случае большому риску.

В предварительном звонке он представился сотрудником технической поддержки компании, которая поставляла им компьютерную технику. «Ваша компания подписала двухгодичный контракт на техническую поддержку, поэтому мы заносим вас в нашу базу данных, чтобы сообщить вам, когда выйдут последние обновленные версии программного обеспечения, которым вы пользуетесь. Поэтому мне необходимо знать, в каких приложениях вы работаете». Ему предоставили перечень программ, и его друг-бухгалтер указал ему то приложение, которое ему нужно было – MAS 90, программу, которая содержала перечень поставщиков, а также скидки и условия расчетов с ними.

Располагая этой информацией, он воспользовался программой, которая позволила ему идентифицировать все компьютеры, и ему не составило труда определить сервер финансового департамента. Воспользовавшись арсеналом хакерских программ на своем ноутбуке, он загрузил одну из них, которая помогла ему определить авторизованных пользователей, подключенных к этому серверу. Затем он запустил программу-переборщик распространенных паролей, таких как «blank» (пустой) или «password» (пароль). «Password» подошел. У людей отсутствует воображение, когда им приходится выдумывать пароли.

Прошло только шесть минут, а половина дела была сделана. Он проник в сервер.

Еще три минуты понадобилось, чтобы аккуратно добавить его новую компанию, адрес, телефон и контактное имя в перечень клиентов. А теперь очередь дошла до самого решающего поля, того, ради чего все это затеялось. Энтони указал, что все товары продаются его компании с наценкой всего 1 процент от закупочной стоимости.

Всего десять минут – и дело сделано. Он остановился, чтобы поблагодарить Кайлу за то, что она позволила ему проверить почту. Он также сказал, что дозвонился до Майка Тэлбота, у них изменились планы, и они встретятся в офисе клиента. И что он не забудет порекомендовать ее на должность в департаменте маркетинга.

Сообщение Митника

Объясните своим людям, что нельзя «судить о книге исключительно по внешнему виду - если человек одет в дорогой костюм и ухожен, это не значит, что он автоматически заслуживает большего доверия.

Анализируя обман

Мошенник, представившийся Питером Милтоном, воспользовался двумя психологическими методами – один был спланирован заранее, другой был сымпровизирован по ходу действия.

Он оделся так, как обычно одеваются менеджеры, зарабатывающие неплохие деньги. Костюм и галстук, ухоженные и прекрасно уложенные волосы – кажется, это мелочи, но они способны произвести хорошее впечатление. Однажды я и сам это понял. Когда я работал непродолжительное время программистом в компании «GTE California» - крупной телефонной компании, которой больше не существует – я обнаружил, что, если я приду на работу без бейджа, в аккуратной, но повседневной одежде – скажем, в футболке, джинсах и спортивной обуви – меня обязательно остановят и начнутся расспросы. Где ваш бейдж, кто вы такой, где работаете? В другой раз я прошел в костюме и галстуке, выглядя очень респектабельно, но, опять же, без бейджа. Я применил старый, хорошо известный метод, растворившись в толпе людей, входящих в здание. Я присоединился к группе людей, и сделал вид, что болтаю с ними о чем-то, что я являюсь одним из них. Я, конечно, прошел внутрь, и даже если бы охранники заметили, что у меня не было бейджа, они не стали бы останавливать меня, потому что я выглядел, как человек из администрации, и я был с людьми, у которых были бейджи.

На основании своего опыта я убедился, насколько предсказуемым является поведение охраны. Как и большинство из нас, они судили о людях по их внешнему виду – один из моментов уязвимости, которым так умело пользуются социальные инженеры.

Атакующий воспользовался вторым своим психологическим оружием, когда заметил, насколько умело идут дела у секретарши. Общаясь с несколькими людьми одновременно, она не выглядела раздражительной, напротив, старалась показать каждому, что они находятся под полным ее вниманием. Он принял это как знак того, что она может быть заинтересована в самореализации, в продвижении вверх по служебной лестнице. И когда он сказал, что работает в департаменте маркетинга, он ждал ее реакции, пытаясь увидеть признаки устанавливающегося между ними взаимопонимания. И она подтвердила его догадку. Это был плюс для атакующего, так как теперь он мог манипулировать ею, пообещав, что поможет перевести ее на лучшую работу. (Естественно, если бы она сказала, что хотела бы работать в финансовом департаменте, например, он бы ответил, что у него есть и там контакты, и что он сможет ей помочь устроиться туда).

Мошенникам также нравится другой психологический прием, использованный в этой истории: посторенние доверия при помощи двухэтапной атаки. Сначала он непринужденно поболтал с ней о работе в маркетинге, применив также прием «упоминания имени» - назвав как бы вскользь имя другого реального сотрудника, как и то имя, которым он представился, тоже не было вымышленным.

Теперь он мог бы сразу продолжать разговор просьбой о предоставлении комнаты для переговоров. Но вместо этого, он сел напротив и сделал вид, что работает, ожидая своего коллегу – еще один способ рассеять возможные подозрения, так как он не слонялся по офису. На самом деле, он сидел очень долго; социальные инженеры знают, что лучше остаться на месте преступления дольше, чем это им необходимо.

В качестве примечания: согласно действующему законодательству, Энтони не совершил преступление, когда вошел в вестибюль. Он не совершил преступление, воспользовавшись именем настоящего работника. Он не совершил преступление, когда попросил воспользоваться переговорной комнатой. Он также не совершил преступление, когда подключился к локальной сети компании и искал нужный ему компьютер.

Он преступил закон только в тот момент, когда взломал парольную защиту и вторгся в компьютер финансового департамента.

Сообщение Митника

Разрешение доступа незнакомцу в помещение, где он может подключить свой ноутбук к корпоративной сети, повышает риск нарушения системы безопасности компании. Конечно, для сотрудников, особенно не работающих постоянно в офисе, или из удаленных представительств, не существует причин отказа проверить свою электронную почту в переговорной комнате. Но это можно позволить только тогда, когда посетитель доказал свои полномочия доверенного сотрудника, или корпоративная сеть разделена на сегменты для предотвращения неавторизованных подключений. В противном случае, это может оказаться слабым звеном, позволяющим посторонним получить доступ к корпоративным файлам.

Подглядывание за Кевином

Много лет назад, когда я работал в небольшой организации, я начал замечать, что каждый раз, когда я входил в кабинет, в котором сидели еще три компьютерщика, а все вместе мы составляли департамент IT, один из них (я назову его Джо) тут же переключал монитор своего компьютера на другое приложение. Мне это показалось подозрительным. Когда это произошло еще дважды за один день, я понял, что мне необходимо выяснить, что происходит.Чем таким этот парень занимался, что он не хотел, чтобы я это увидел?

Компьютер Джо являлся сервером, через который осуществлялся доступ к другим рабочим станциям, поэтому я установил программу мониторинга, которая позволяла мне шпионить за тем, что он делал. Эта программа действует подобно телекамере, установленной позади Джо, показывая мне то же самое, что он видел на своем мониторе.

Мой стол стоял рядом с рабочим местом Джо. Я развернул свой монитор так, чтобы он не мог видеть мой экран, но в любой момент он мог повернуть голову и увидеть, что я за ним шпионю. Это не проблема: он был слишком увлечен тем, что он делал, чтобы что-то заметить.

У меня отвисла челюсть, когда я это увидел. Пораженный, я смотрел, как этот ублюдок поднимает данные моей платежной ведомости. Он смотрел мою зарплату!

К тому времени я работал в этой компании всего лишь несколько месяцев, и я решил, что Джо не оставляет в покое мысль, что я могу получать больше, чем он.

Несколько минут спустя я увидел, что он загружал хакерские программы, используемые неопытными хакерами, которые не разбираются в программировании и подстройке этих программ под свои нужды. Это было глупо со стороны Джо, так как он не имел ни малейшего понятия, что рядом с ним сидит один из самых опытнейших хакеров Америки. Меня это развеселило.

Теперь он уже знал размер моей зарплаты, поэтому было слишком поздно его останавливать. Кроме того, любой сотрудник, имеющий доступ к компьютерам Внутренней налоговой службы США или Управления социального обеспечения, мог посмотреть данные по зарплате. Я старался не подать виду, что я знаю, чем он занимается. Профессиональный социальный инженер никогда не рекламирует свои знания и способности. Вы все время хотите, чтобы люди немного недооценивали вас, не видели в вас угрозы для себя.

Я позволил ему продолжать и смеялся про себя о том, что Джо думал, что он знает какие-то секреты про меня, в то время как козыри были у меня на руках: я знал, за что его можно будет привлечь к ответственности.

Тогда я понял, что все трое моих сослуживцев из группы IT от нечего делать развлекали себя, выясняя, какую зарплату уносит домой та или иная миленькая секретарша или (для единственной девушки в группе) симпатичный парень, на которых они остановили свой взгляд. И они могли выяснить зарплату и поощрительные выплаты любому сотруднику, который их заинтересовал, включая руководящий состав компании.

Анализируя обман

Эта история освещает интересную проблему. Данные платежных ведомостей доступны людям, отвечающим за обслуживание компьютерных систем компании. Отсюда следует вывод: при подборе персонала необходимо четко уяснить, кому можно доверять подобную работу. В некоторых ситуациях сотрудники отдела IT не могут отказаться от соблазна сунуть нос в чужие дела. И они имеют возможность сделать это, потому что они наделены полномочиями, позволяющими им преодолеть любой контроль доступа к файлам.

Одной из мер предосторожности может стать фиксация любых попыток доступа к секретным данным, например, таким, как платежные ведомости. Конечно, любой, кто наделен соответствующими полномочиями, может отключить журнал регистраций или стереть записи, указывающие на них, но каждая дополнительная мера защиты может послужить преградой для недобросовестных сотрудников.

Предотвращение обмана

Запустив руки в ваш мусор, чтобы обмануть охрану или секретарей, социальные инженеры могут вторгнуться в ваши корпоративные владения. Но вы обрадуетесь, узнав о превентивных мерах, которые вы можете применить.

Защита в нерабочее время

Все сотрудники, приходящие на работу без бейджей, должны получать временный пропуск на день в отделе охраны. Инцидент, описанный в первой истории этой главы, имел бы совершенно иной итог, если бы охрана имела перечень конкретных шагов, которые необходимо выполнять, столкнувшись с любым человеком, не имеющим при себе удостоверение сотрудника.

В компаниях или определенных помещениях или отделах компаний, где соблюдение высокого уровня безопасности не является необходимым, не обязательно настаивать на том, чтобы каждый сотрудник постоянно держал свой бейдж на видном месте. Но в компаниях с повышенным уровнем безопасности это правило должно быть стандартным, строго обязательным. Сотрудники должны быть обучены и замотивированы останавливать и требовать удостоверения у людей, не имеющих бейджей, а сотрудники управленческого звена должны быть готовы к подобным выяснениям, не приводя в замешательство людей, останавливающих их.

Политика безопасности компании должна предусматривать штрафные санкции для тех сотрудников, которые постоянно нарушают правила ношения бейджей; штрафные санкции могут включать недопущение сотрудника до рабочего места, с не засчитанным и, соответственно, неоплачиваемым рабочим днем, или внесение записи в личную карточку сотрудника. В некоторых компаниях применяются более серьезные штрафные санкции, которые могут включать сообщение о происшествии руководителю этого сотрудника и выдачу официального предупреждения.

В дополнение, если существует необходимость защиты секретной информации, компания должна выработать процедуры для дополнительной авторизации людей, собирающихся работать в нерабочее время. Решение: необходимые разрешения должны выдаваться отделом безопасности организации или другой специальной группой. Работники этой группы должны тщательно проверить личность любого сотрудника, звонящего с просьбой получения допуска в нерабочее время, путем встречного звонка руководителю этого сотрудника, или применением других надежных мер безопасности.

Надлежащее обращение с мусором

История с копанием в мусоре вскрыла проблему потенциальной опасности использования мошенниками выброшенных документов. Здесь приведены восемь правил, которые необходимо учитывать при обращении с мусором:

  • Классифицируйте всю информацию в зависимости от степени важности.
  • Разработайте единые для всей компании правила уничтожения документов с секретной информацией.
  • Настоятельно рекомендуется, чтобы все важные бумаги уничтожались в шредере. Также рекомендуется не пользоваться дешевыми шредерами, превращающими листы бумаги в тонкие полоски, которые решительный мошенник, обладая достаточным терпением, может сложить в единое целое. Необходимо пользоваться такими шредерами, которые превращают листы бумаги в измельченную однородную бумажную массу.
  • Перед утилизацией компьютерных носителей информации, таких как дискеты, Zip-диски, CD и DVD-диски, используемые для хранения файлов, носители на магнитной ленте, старые жесткие диски, и др., их необходимо полностью затереть или привести в такое состояние, при котором ими невозможно будет воспользоваться. Помните, что процесс удаления файлов в действительности не является физическим удалением с носителей; эти файлы можно будет восстановить. Просто бросив ненужные компьютерные носители информации в мусорную корзину, вы тем самым можете привлечь внимание какого-нибудь местного любителя покопаться в чужом мусоре. (В Главе 16 приведены специальные рекомендации по утилизации носителей информации и других компьютерных комплектующих.)
  • Обеспечьте необходимый уровень контроля при наборе персонала в штат уборщиков, при необходимости осуществляя соответствующие проверки биографии претендентов.
  • Периодически напоминайте сотрудникам о том, чтобы они думали, какие материалы они выбрасывают в мусорную корзину.
  • Оградите доступ к вашим мусорным контейнерам.
  • Используйте отдельные уничтожаемые контейнеры для секретной информации, и подпишите контракт с компанией, специализирующейся на утилизации подобных отходов.

При увольнении сотрудников

Ранее на этих страницах уже указывалась необходимость ужесточения процедур доступа к секретной информации, паролям, номерам дозвона на серверы компании, и т.п. Процедуры информационной безопасности должны обеспечить способ учета тех лиц, которые имеют права доступа в различные системы. Для какого-нибудь социального инженера преодоление ваших барьеров безопасности может оказаться трудной задачей, но это легко может сделать бывший сотрудник.

Еще один момент, зачастую игнорируемый: когда увольняется сотрудник, имевший права доступа к резервным копиям данных, необходимо незамедлительно оповещать компанию, осуществляющую резервное хранение ваших данных, для того, чтобы вычеркнуть этого человека из списка авторизованных сотрудников.

В Главе 16 представлены подробные рекомендации по этой жизненно важной теме, поэтому здесь приведены лишь некоторые ключевые моменты, которые должны учитываться для обеспечения безопасности:

  • Полный и исчерпывающий перечень действий, которые должны предприниматься при увольнении сотрудника, включая специальные меры предосторожности при увольнении тех сотрудников, которые имели доступ к секретным данным.
  • Политика незамедлительного аннулирования прав доступа в компьютер уволенного сотрудника – желательно даже раньше, чем сотрудник покинет здание.
  • Обязательное возвращение сотрудником персонального удостоверения или бейджа, ключей и других электронных устройств доступа.
  • Меры предосторожности, позволяющие охранникам сверять личность сотрудника, пришедшего на работу без удостоверения, по фотографии в базе данных, и убедиться, что этот человек находится в списке работающих сотрудников.

Некоторые дальнейшие действия покажутся излишними или слишком затратными для одних компаний, но они могут быть приемлемыми для других. Такими наиболее убедительными методами обеспечения безопасности являются:

  • Электронные идентификационные бейджи наряду со сканирующими устройствами на входах; каждый сотрудник должен приложить бейдж к сканеру (или провести сквозь него, в зависимости от устройства) для немедленного определения того, что этот человек является действующим сотрудником и имеет право входа в здание. (Заметьте, однако, что охранники даже в этом случае должны быть всегда начеку, чтобы предотвратить возможное проникновение посторонних людей вслед за авторизованными сотрудниками).
  • Необходимость того, чтобы все работники той рабочей группы, из которой увольняется сотрудник (а особенно, если его увольняют), сменили свои пароли. (Вам кажется это крайностью? Много лет спустя после того, как я непродолжительное время работал в компании «Дженерал Телефон», я узнал, что люди из отдела безопасности компании «Пасифик Белл», услышав, что «Дженерал Телефон» наняла меня на работу, «катались по полу от смеха». Но, надо отдать должное компании «Дженерал Телефон»: после того, как они узнали, что в их компании работает известный хакер, и уволили меня, было выполнено требование смены паролей всех сотрудников компании!)

Вы, конечно, не хотите, чтобы ваше здание было похоже на тюрьму, но в то же самое время вам необходимо защититься от парня, который был вчера уволен, а сегодня снова пришел, чтобы отомстить и нанести непоправимый ущерб.

Не забывайте ни о ком

Правила безопасности имеют тенденцию упускать из виду сотрудников низкого уровня, людей, подобно служащих приемной, которые не оперируют секретной корпоративной информацией. Мы видим повсюду, что секретари являются наиболее распространенной мишенью для атакующих, а история с проникновением в компанию, торгующую автозапчастями, показывает нам еще один пример: вежливый человек, профессионально одетый и представляющийся работником компании из другого представительства, на самом деле может таковым не являться. Секретари должны быть хорошо обучены правилу вежливо спрашивать удостоверения личности компании, когда это необходимо, и подобное обучение должно проводиться не только с основными секретарями, но и с любыми сотрудниками, являющимися помощниками секретарей во время обеденных перерывов и кофе-брейков.

Для посетителей, не являющихся сотрудниками компании, правила должны устанавливать требование предъявления каких-либо удостоверений личности с фотографией и фиксации информации в специальных журналах регистрации. Хотя совершенно не сложно сделать фальшивое удостоверение, по крайней мере, просьба предъявить удостоверение может усложнить задачу потенциальному атакующему.

В некоторых компаниях правилами принято провожать посетителей из вестибюля на встречу. Правила также должны устанавливать, чтобы сопровождающий сообщил тому сотруднику, к которому пришел посетитель, что этот посетитель является или не является сотрудником компании. Почему это важно? Потому что, как мы видели в предыдущих историях, атакующий часто предстает перед первым человеком в одной маске, а перед вторым представляется совершенно другим именем. Для атакующего является очень простой задачей убедить секретаря в приемной, что у него назначена встреча, скажем, с инженером, и после того, как его проводят в кабинет инженера, он представляется сотрудником компании, которая собирается предложить какой-либо продукт этой компании; а затем, после встречи с инженером, он имеет свободный доступ в помещения здания.

Перед тем, как допустить внешнего сотрудника, не работающего непосредственно в этом представительстве компании, в здание, необходимо выполнить соответствующие процедуры удостоверения личности этого сотрудника; секретари приемной и охрана должны быть знакомы с методами, которыми пользуются атакующие, выдавая себя за сотрудников компании с целью получения доступа в здание.

А как насчет защиты от атакующего, который под каким либо предлогом проникает в здание и подключает свой ноутбук к сетевому порту внутри зоны действия корпоративного брандмауэра? Современные технологии позволяют защититься от этого: в переговорных комнатах, комнатах для проведения обучения и других подобных помещениях сетевые порты должны защищаться локальными брандмауэрами или маршрутизаторами. Но еще лучшим способом защиты в таких случаях является удостоверение личности любого пользователя, подключающегося к локальной сети.

Гарантии безопасности IT

Разумное утверждение: в вашей компании, возможно, любой сотрудник департамента IT знает или может выяснить очень быстро, сколько вы зарабатываете, какие суммы получает Президент компании, и кто пользуется самолетом компании, чтобы полететь в отпуск покататься на лыжах, например.

В некоторых компаниях существует даже возможность того, что сотрудники департамента IT или финансового департамента могут увеличить себе размер зарплаты, провести платежи подставной фирме-поставщику, удалить негативные записи из своих личных карточек в департаменте управления персоналом, и так далее. Иногда только страх быть пойманными удерживает их от этого; но однажды появляется человек, чья жадность или природная нечестность заставляет его (или ее) проигнорировать риск и сделать свое дело, после которого он выйдет сухим из воды.

Конечно, и для этой проблемы существуют приемлемые решения. Наиболее важные файлы могут защищаться соответствующим контролем доступа к ним таким образом, чтобы только авторизованный персонал мог открыть эти файлы. Некоторые операционные системы имеют возможности аудита и контроля доступа, которые могут быть настроены таким образом, чтобы создавать журнал регистрации определенных событий, например таких, как регистрация каждого человека, пытающегося открыть защищенный файл, независимо от того увенчалась его попытка успехом или нет.

Если ваша компания поняла всю серьезность данной проблемы и выработала соответствующие рычаги управления доступом к секретной информации – вы делаете большие успехи в верном направлении.





Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach