Уроки Митника.
Кевин Митник - самый известный компьютерный хакер современности. Его поимка в феврале 1995 года компьютерным ученым Цутому Шимомура стала предметом трех чрезвычайно популярных книг. После своего освобождения из тюрьмы 21 января 2000 года Митник взял на себя роль «выдающегося хакера-реформатора».
Человек, который стремится исправить нанесенный им ущерб, обучая корпоративную Америку защищаться от атак социальной инженерии (при этом зарабатывая при этом немалые деньги).
В этом месяце Митник выпускает свою первую книгу «Искусство обмана». Он наполнен историями о том, как предприимчивый социальный инженер может перехитрить офисных работников, обойти технологии безопасности и вообще высмеять наши попытки защитить компьютеры и сети. Идея Митника проста: люди - самое слабое звено в любой системе безопасности. Компаниям необходимо уделять больше времени обучению своих сотрудников тому, как противостоять таким атакам.
Это все правда, и неудивительно, что якобы реформированный аферист стал консультантом по безопасности. (Практически по всем оценкам именно способность Митника обманывать людей, а не его компьютерные навыки позволили ему проникнуть во многие организации.) Тем не менее, систематическое преуменьшение Митником технологии и ее ценности для защиты конфиденциальной информации все еще еще один акт обмана, который может нанести гораздо больший ущерб, чем любые другие его подвиги на сегодняшний день.
Осведомленность - это еще не все
Безусловно, многим организациям необходимо повысить безопасность своего «человеческого фактора». Социальные инженеры используют внутренние номера телефонов, знание процедур и даже отраслевой жаргон, чтобы завоевать доверие своих предполагаемых жертв.
Один анекдот Митника: бесстрашный социальный инженер звонит в центр управления сетью сотовой компании во время метели. Подружившись с операторами, он спрашивает их: «Я оставил свою карту SecureID на столе. Вы принесете ее мне?» он спрашивает. Конечно, сетевые операторы слишком заняты для этого, поэтому они делают следующее лучшее: они считывают постоянно меняющийся код на своем собственном токене, позволяя хакеру взломать и украсть исходный код компании. В этом примере вызывающий абонент может «подтвердить» свою личность, сообщив операторам сети номер своего офиса, отдел, в котором он работал, и имя своего руководителя - всю информацию, которую злоумышленник получил из предыдущих телефонных звонков в компанию. Сообщение Митника состоит в том, что организациям необходимо обращаться со списками телефонов, организационными диаграммами,
Увы, попытки сохранить конфиденциальность такой информации в конечном итоге проигрывают: компании просто не могут предположить, что эта информация не попадет к конкурентам, рекрутерам и потенциальным злоумышленникам. По крайней мере, сотрудники обязательно возьмут эту информацию с собой при смене работы. Годы усилий также показали трудности в обучении людей противостоять атакам социальной инженерии.эти атаки настолько редки, что войскам просто не хватает практики.
Вместо этого компаниям необходимо применять как процедуры, так и технологии, чтобы минимизировать влияние, которое может иметь такая потеря конфиденциальной информации.и для создания систем и организаций, устойчивых к атакам социальной инженерии.
Например, многие из недостатков в книге Митника вращаются вокруг кражи кредитной карты или номера социального страхования. В одном случае социальный инженер, который притворяется менеджером одного видеомагазина, подружился по телефону с продавцом в магазине-партнере на другом конце города. Затем однажды инженер звонит клерку, заявляет, что его компьютер не работает, и говорит: «У меня здесь есть ваш клиент, который хочет арендовать Крестного отца II и не имеет с собой карты ... вы проверяете его информацию для меня? " Пытаясь помочь, подруженный клерк раскрывает имя, адрес, номер кредитной карты целевого клиента и его недавнюю аренду.
Важно научить клерков не разглашать такую информацию по телефону. Но есть и техническое решение: терминалы и прикладные программы, используемые представителями службы поддержки клиентов, никогда не должны отображать номер кредитной карты клиента. Это не новая идея; многие фирмы, включая VoiceStream и Amazon.com, уже внедрили такую технологию. У этих компаний есть компьютерные системы, которые хранят номера кредитных карт клиентов для автоматического выставления счетов за будущие покупки, но системы не раскрывают сохраненный номер кредитной карты ни клиенту, ни представителю службы поддержки клиентов.
Простые шаги
Многие из самых изобретательных компьютерных хакерских атак в «Искусство обмана» на удивление просты: раз за разом рассказчик просто убеждает невиновного офисного работника запустить на своем офисном ПК программу удаленного управления, такую как Netbus или Back Orifice. После установки программы хакер может проникнуть за брандмауэр компании и исследовать конфиденциальные файлы Microsoft Word, проверить электронную почту, календарь встреч и т. д. Эта атака особенно эффективна, когда она проводится против секретаря какого-нибудь высокопоставленного должностного лица.
Вероятное нападение? Определенно. Но опыт показывает, что разумно используемая технология может предотвратить запуск подавляющего большинства вредоносного программного обеспечения конторским персоналом. Большинство хакеров неспособны писать собственные так называемые троянские программы; вместо этого они используют вредоносное ПО, которое уже находится в обращениии это уже признано современными антивирусными системами. Хорошие антивирусные системы не позволят загрузить троян через Интернет или по электронной почте, они не позволят скопировать его на жесткий диск пользователя с дискеты, а если программное обеспечение будет загружено, антивирус не позволит он бежит.
Конечно, более радикальное техническое решение - просто отказаться от использования продуктов Microsoft. Хотя Митник никогда этого не говорит, социальные инженеры, вирусописатели и компьютерные злоумышленники всех мастей извлекли огромную пользу из вычислительной монокультуры, которую большая часть корпоративной Америки создала на настольных компьютерах. Компании с компьютерами Mac или Linux просто не имеют проблем с вирусами и другим вредоносным кодом, который преследует большинство магазинов Microsoft.
Большинство компаний не знают, когда их взломали. Социальному инженеру слишком легко стереть файл журнала или заставить сотрудника невольно отправить файл по электронной почте в «офигительный» почтовый ящик где-нибудь за пределами страны. Опять же, это работа для технологий: за несколько сотен долларов большинство компаний могут развернуть серверы журналов - специальные компьютеры, которые получают и записывают события журнала из других источников в вашей сети, но не разрешают удаленный доступ. Брандмауэры можно настроить для регистрации всех файлов, которые передаются в организацию или из нее. Возможно, вы не сможете помешать сотруднику отправить по электронной почте важный файл шпиону, но вам не нужно держать себя в неведении об этом.
Не поймите меня неправильно: лекции, тренинги и информационные брифинги имеют свое место. Но они зашли так далеко. Вероятно, лучший способ научить сотрудников методам противодействия социальной инженерии - это неоднократно наносить им настоящие атаки социальной инженерии. То есть, ОГО должны «тестировать на проникновение» сотрудников, так же как мы тестируем на проникновение серверы, межсетевые экраны и телекоммуникационные системы.
Все компании должны иметь политику сообщения о попытках инцидентов социальной инженерии группе корпоративной безопасности. Затем компании должны случайным образом позвонить сотрудникам, попытаться взломать их и посмотреть, что будет сообщено. Новые сотрудники чрезвычайно уязвимы для атак; по этой причине новые сотрудники должны подвергаться нескольким атакам социальной инженерии в течение испытательного срока, а затем регулярно на протяжении всей своей карьеры.
Факт или вымысел?
Легко представить, что многие ОГО будут отвергнуты мыслью о покупке книги у осужденного компьютерного преступника. Конечно, обществу нехорошо, когда хакеров-преступников вознаграждают за свои проступки.
Оказывается, суды согласны. Митнику, по условиям его освобождения под надзором суда, запрещено продавать свою историю до 2010 года. Вот почему все анекдоты в «Искусстве обмана» рассказываются через завесу вымысла. Каждому аферисту и жертве дается вымышленное имя, история, мотивация и так далее. Хотя эта уловка приводит к тому, что книга становится несфокусированной и часто повторяющейся, иногда в обложках книги содержатся драгоценные камни.например, когда Митник объясняет, как можно подделать идентификатор вызывающего абонента и почему так важно защищать ленты с резервными копиями.
В каком-то смысле жаль, что «Искусство обмана» не рассказывает историю Митника. На мой взгляд, многое из того, что было сказано о Митнике на протяжении многих лет, было откровенной ложью правительственных чиновников и других лиц клеветать на рабочие места, побочным эффектом которых было увеличение бюджетов борцов с киберпреступностью. На самом деле Митник - человек, история которого заслуживает того, чтобы ее рассказать. С другой стороны, есть большая разница между прочтением слов реформированного хакера и наймом его для аудита ваших внутренних систем. Прочтите, что говорит Митник, но держите его и ему подобных подальше от ваших клавиатур.
Кевин Митник - самый известный компьютерный хакер современности. Его поимка в феврале 1995 года компьютерным ученым Цутому Шимомура стала предметом трех чрезвычайно популярных книг. После своего освобождения из тюрьмы 21 января 2000 года Митник взял на себя роль «выдающегося хакера-реформатора».
Человек, который стремится исправить нанесенный им ущерб, обучая корпоративную Америку защищаться от атак социальной инженерии (при этом зарабатывая при этом немалые деньги).
В этом месяце Митник выпускает свою первую книгу «Искусство обмана». Он наполнен историями о том, как предприимчивый социальный инженер может перехитрить офисных работников, обойти технологии безопасности и вообще высмеять наши попытки защитить компьютеры и сети. Идея Митника проста: люди - самое слабое звено в любой системе безопасности. Компаниям необходимо уделять больше времени обучению своих сотрудников тому, как противостоять таким атакам.
Это все правда, и неудивительно, что якобы реформированный аферист стал консультантом по безопасности. (Практически по всем оценкам именно способность Митника обманывать людей, а не его компьютерные навыки позволили ему проникнуть во многие организации.) Тем не менее, систематическое преуменьшение Митником технологии и ее ценности для защиты конфиденциальной информации все еще еще один акт обмана, который может нанести гораздо больший ущерб, чем любые другие его подвиги на сегодняшний день.
Осведомленность - это еще не все
Безусловно, многим организациям необходимо повысить безопасность своего «человеческого фактора». Социальные инженеры используют внутренние номера телефонов, знание процедур и даже отраслевой жаргон, чтобы завоевать доверие своих предполагаемых жертв.
Один анекдот Митника: бесстрашный социальный инженер звонит в центр управления сетью сотовой компании во время метели. Подружившись с операторами, он спрашивает их: «Я оставил свою карту SecureID на столе. Вы принесете ее мне?» он спрашивает. Конечно, сетевые операторы слишком заняты для этого, поэтому они делают следующее лучшее: они считывают постоянно меняющийся код на своем собственном токене, позволяя хакеру взломать и украсть исходный код компании. В этом примере вызывающий абонент может «подтвердить» свою личность, сообщив операторам сети номер своего офиса, отдел, в котором он работал, и имя своего руководителя - всю информацию, которую злоумышленник получил из предыдущих телефонных звонков в компанию. Сообщение Митника состоит в том, что организациям необходимо обращаться со списками телефонов, организационными диаграммами,
Увы, попытки сохранить конфиденциальность такой информации в конечном итоге проигрывают: компании просто не могут предположить, что эта информация не попадет к конкурентам, рекрутерам и потенциальным злоумышленникам. По крайней мере, сотрудники обязательно возьмут эту информацию с собой при смене работы. Годы усилий также показали трудности в обучении людей противостоять атакам социальной инженерии.эти атаки настолько редки, что войскам просто не хватает практики.
Вместо этого компаниям необходимо применять как процедуры, так и технологии, чтобы минимизировать влияние, которое может иметь такая потеря конфиденциальной информации.и для создания систем и организаций, устойчивых к атакам социальной инженерии.
Например, многие из недостатков в книге Митника вращаются вокруг кражи кредитной карты или номера социального страхования. В одном случае социальный инженер, который притворяется менеджером одного видеомагазина, подружился по телефону с продавцом в магазине-партнере на другом конце города. Затем однажды инженер звонит клерку, заявляет, что его компьютер не работает, и говорит: «У меня здесь есть ваш клиент, который хочет арендовать Крестного отца II и не имеет с собой карты ... вы проверяете его информацию для меня? " Пытаясь помочь, подруженный клерк раскрывает имя, адрес, номер кредитной карты целевого клиента и его недавнюю аренду.
Важно научить клерков не разглашать такую информацию по телефону. Но есть и техническое решение: терминалы и прикладные программы, используемые представителями службы поддержки клиентов, никогда не должны отображать номер кредитной карты клиента. Это не новая идея; многие фирмы, включая VoiceStream и Amazon.com, уже внедрили такую технологию. У этих компаний есть компьютерные системы, которые хранят номера кредитных карт клиентов для автоматического выставления счетов за будущие покупки, но системы не раскрывают сохраненный номер кредитной карты ни клиенту, ни представителю службы поддержки клиентов.
Простые шаги
Многие из самых изобретательных компьютерных хакерских атак в «Искусство обмана» на удивление просты: раз за разом рассказчик просто убеждает невиновного офисного работника запустить на своем офисном ПК программу удаленного управления, такую как Netbus или Back Orifice. После установки программы хакер может проникнуть за брандмауэр компании и исследовать конфиденциальные файлы Microsoft Word, проверить электронную почту, календарь встреч и т. д. Эта атака особенно эффективна, когда она проводится против секретаря какого-нибудь высокопоставленного должностного лица.
Вероятное нападение? Определенно. Но опыт показывает, что разумно используемая технология может предотвратить запуск подавляющего большинства вредоносного программного обеспечения конторским персоналом. Большинство хакеров неспособны писать собственные так называемые троянские программы; вместо этого они используют вредоносное ПО, которое уже находится в обращениии это уже признано современными антивирусными системами. Хорошие антивирусные системы не позволят загрузить троян через Интернет или по электронной почте, они не позволят скопировать его на жесткий диск пользователя с дискеты, а если программное обеспечение будет загружено, антивирус не позволит он бежит.
Конечно, более радикальное техническое решение - просто отказаться от использования продуктов Microsoft. Хотя Митник никогда этого не говорит, социальные инженеры, вирусописатели и компьютерные злоумышленники всех мастей извлекли огромную пользу из вычислительной монокультуры, которую большая часть корпоративной Америки создала на настольных компьютерах. Компании с компьютерами Mac или Linux просто не имеют проблем с вирусами и другим вредоносным кодом, который преследует большинство магазинов Microsoft.
Большинство компаний не знают, когда их взломали. Социальному инженеру слишком легко стереть файл журнала или заставить сотрудника невольно отправить файл по электронной почте в «офигительный» почтовый ящик где-нибудь за пределами страны. Опять же, это работа для технологий: за несколько сотен долларов большинство компаний могут развернуть серверы журналов - специальные компьютеры, которые получают и записывают события журнала из других источников в вашей сети, но не разрешают удаленный доступ. Брандмауэры можно настроить для регистрации всех файлов, которые передаются в организацию или из нее. Возможно, вы не сможете помешать сотруднику отправить по электронной почте важный файл шпиону, но вам не нужно держать себя в неведении об этом.
Не поймите меня неправильно: лекции, тренинги и информационные брифинги имеют свое место. Но они зашли так далеко. Вероятно, лучший способ научить сотрудников методам противодействия социальной инженерии - это неоднократно наносить им настоящие атаки социальной инженерии. То есть, ОГО должны «тестировать на проникновение» сотрудников, так же как мы тестируем на проникновение серверы, межсетевые экраны и телекоммуникационные системы.
Все компании должны иметь политику сообщения о попытках инцидентов социальной инженерии группе корпоративной безопасности. Затем компании должны случайным образом позвонить сотрудникам, попытаться взломать их и посмотреть, что будет сообщено. Новые сотрудники чрезвычайно уязвимы для атак; по этой причине новые сотрудники должны подвергаться нескольким атакам социальной инженерии в течение испытательного срока, а затем регулярно на протяжении всей своей карьеры.
Факт или вымысел?
Легко представить, что многие ОГО будут отвергнуты мыслью о покупке книги у осужденного компьютерного преступника. Конечно, обществу нехорошо, когда хакеров-преступников вознаграждают за свои проступки.
Оказывается, суды согласны. Митнику, по условиям его освобождения под надзором суда, запрещено продавать свою историю до 2010 года. Вот почему все анекдоты в «Искусстве обмана» рассказываются через завесу вымысла. Каждому аферисту и жертве дается вымышленное имя, история, мотивация и так далее. Хотя эта уловка приводит к тому, что книга становится несфокусированной и часто повторяющейся, иногда в обложках книги содержатся драгоценные камни.например, когда Митник объясняет, как можно подделать идентификатор вызывающего абонента и почему так важно защищать ленты с резервными копиями.
В каком-то смысле жаль, что «Искусство обмана» не рассказывает историю Митника. На мой взгляд, многое из того, что было сказано о Митнике на протяжении многих лет, было откровенной ложью правительственных чиновников и других лиц клеветать на рабочие места, побочным эффектом которых было увеличение бюджетов борцов с киберпреступностью. На самом деле Митник - человек, история которого заслуживает того, чтобы ее рассказать. С другой стороны, есть большая разница между прочтением слов реформированного хакера и наймом его для аудита ваших внутренних систем. Прочтите, что говорит Митник, но держите его и ему подобных подальше от ваших клавиатур.
