Социальная инженерия и Кевин Митник

Социальная инженерия — это метод несанкционированного доступа к информационным ресурсам основанный на особенностях психологии человека.^[1]. Основной целью социальных инженеров, как и других хакеров и взломщиков, является получение доступа к защищенным системам с целью кражи информации, паролей, данных о кредитных картах и т.п. Основным отличием от стандартной кибер-атаки является то, что в данном случае в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора, что считается крайне разрушительным, так как злоумышленник получает информацию, например, с помощью обычного телефонного разговора или путем проникновения в организацию под видом ее служащего. Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, понимать, что на самом деле хотят взломщики и своевременно организовывать подходящую политику безопасности

Митник:

По мнению журналистов, считается отцом и родоначальником хакерства, фактически им не является, так как в основном при взломе использовал не машинный фактор, а человеческий. Министерство юстиции США до сих пор называет его «самым разыскиваемым компьютерным преступником во всей истории США. Митник начал свой путь со взлома Лос Анжелесской системы выдачи карт для проезда на автобусах, благодаря чему получил возможность бесплатно на них ездить. Потом, как и Стив Возняк из Apple, Митник пытался заниматься телефонным фрикингом. Впервые Митник был осужден за то, что проник в компьютерную сеть DEC и украл ПО. Позже Митник в течении двух с половиной лет занимался хакерской деятельностью по обеим сторонам континента. Он взламывал компьютеры, пробирался в телефонные сети, воровал корпоративные секреты и проник в национальную систему предупреждения атак. Митник взломал домашний компьютер ведущего американского специалиста по компьютерной безопасности Тсутому Шимомуры. После взлома он прислал Шимомуре звуковое сообщение, где компьютерно-искаженный голос говорил: «Ты - мудак. Моя техника - самая лучшая». И как будто бы второй голос на заднем плане поддакнул: «Точно, босс, твое кунг-фу очень клево» (ехидный намек на национальность Шимомуры).
Обидчивый самурай поклялся отомстить обидчику. Шимомура собрал команду и продолжил работу по поимке Митника. Используя мобильный телефон Митника, они отследили его в международно аэропорту Raleigh-Durham. Совместно с техником из телефонной компании Шимомура воспользовался антенной для частотного определения местонахождения, подсоединенной к лэптопу, для того, чтобы сузить область поиска до жилого комплекса. 15 февраля 1995 года Митник был арестован. Митник провел в заключении заключении 5 лет и 8 месяцев. Выйдя из тюрьмы и, создав собственную фирму «Defensive Thinking», бывший хакер предоставляет услуги в области компьютерной бехопасности

23)Защита конфиденциальных документов

Документы, содержащие сведения, которые составляют негосударственную тайну (служебную, коммерческую, банковскую, тайну фирмы и др.) или содержат персональные данные, именуются конфиденциальными

каналы утраты конфиденциальной документированной информации имеются на всех стадиях и этапах движения документов, при выполнении любых процедур и операций: к ним относятся:

кража (хищение) документа или отдельных его частей (листов, приложений, копий, схем, фотографий и др.), носителя чернового варианта документа или рабочих записей;

несанкционированное копирование бумажных и электронных документов, баз данных, фото-, видео-, аудио-документов, запоминание злоумышленником или его сообщником текста документа;

тайное или разрешенное ознакомление сотрудника фирмы с документом и сообщение информации злоумышленнику лично или по линиям связи, прочтение текста документа по телефону или переговорному устройству, разглашение информации с помощью мимики, жестов, условных сигналов;

подмена документов, носителей и их отдельных частей с целью фальсификации или сокрытия факта утери, хищения;

дистанционный просмотр документов и изображений дисплея с помощью технических средств визуальной разведки;

ошибочные (умышленные или случайные) действия персонала при работе с документами (нарушение разрешительной системы доступа, правил обращения с документами, технологии их обработки и хранения);

случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов;

считывание данных в чужих массивах за счет использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах;

утечка информации по техническим каналам при обсуждении и диктовке текста документа, работе с компьютером и другой офисной техникой;

гибель документов в условиях экстремальных ситуаций.

Для электронных документов угроза утраты конфиденциальной информации особенно опасна, так как факт кражи информации практически трудно обнаружить.

Утрата конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, по мнению ряда специалистов, может быть вызвана следующими факторами:

непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, работников службы конфиденциальной документации (далее - службы КД), системных администраторов и других лиц, обслуживающих информационные системы (самая частая и большая опасность);

кражи и подлоги информации;

угрозы, исходящие от стихийных ситуаций внешней среды;

угрозы заражения вирусами.

В соответствии с указанными угрозами, формируются задачи защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.

Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота, т. е. использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.

Под защищенным документооборотом (документопотоком) понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности, как носителя информации, так и самой информации.

Защищенность документопотоков достигается за счет:

одновременного использования режимных (разрешительных ограничительных) мер и технологических приемов, входящих в систему обработки и хранения конфиденциальных документов;

нанесения отличительной отметки (грифа) на чистый носитель конфиденциальной информации или документ, в том числе сопроводительный, что позволяет выделить их в общем потоке документов;

формирования самостоятельных, изолированных потоков конфиденциальных документов и (часто) дополнительного их разделения на подпотоки в соответствии с уровнем конфиденциальности перемещаемых документов;

использования автономной технологической системы обработки и хранения конфиденциальных документов, не соприкасающейся с системой обработки открытых документов;

регламентации движения документов как внутри фирмы, так и между фирмами, т. е. с момента возникновения мысли о необходимости создания документа и до окончания работы с документом и передачи его в архив;

организации самостоятельного подразделения конфиденциальной документации (службы КД) или аналогичного подразделения, входящего (или не входящего) в состав службы безопасности или аналитической службы.

24)капча

Капча — это автоматически генерируемый тест-проверка, является ли пользователь человеком или компьютером. Представляет собой в подавляющем большинстве случаев искаженную надпись из букв и/или цифр. Они могут быть написаны в различных цветовых сочетаниях с применением шума, искривления, наложения дополнительных линий или произвольных фигур.

Назначение и функция капчи

Для чего нужен ввод капчи, ведь это может отталкивать пользователей?
Например, в любимой всеми социальной сети ВКонтакте ее нужно вводить, если количество действий в определенный промежуток времени превысит допустимый параметр. Грубо говоря, если вы отправите подряд 50 сообщений с интервалом в 1 секунду, то, наверняка, выскочит капча, так как вас заподозрят в спаме. А спамят, как известно, в большинстве своем роботы, которые не смогут (по задумке авторов) ввести текст с рисунка. Соответственно, это вынужденная мера, которая защищает ресурсы от спама и повышенной нагрузки при атаке ботов.

Однако, captcha не всегда помогает, ведь на каждый замок можно найти ключ, иначе этот замок просто сломан и бесполезен. Большинство рисунков можно распознать нейронными сетями, предварительно натаскав их на многочисленных (несколько десятков, а то и сотен тысяч) примерах. Эти примеры подготавливают добровольцы, которые днями напролет за небольшое вознаграждение сидят и вбивают капчи. Дабы не быть голословным, вот пример с habrahabr по взлому капчи яндекса. Также существуют специальные сервисы, такие как antigate, которые предоставляют услгу по распознаванию. Они имеют огромную готовую базу примеров, а те случаи, которых еще нет в базе, распознаются вручную.

Примеры captcha, случаи использования

Может быть можно придумать что-то не такое раздражающее как прыгающий и скачущий текст\цифры? Да, конечно можно придумать. И более того, уже придумали. Сейчас я покажу Вам примеры капчи, которые не так раздражают посетителей. Начнем со стандартной — текстовой.

Теперь перейдем к более интересным примерам. К таковым можно отнести капчу, где нужно выставить вертикально 3 картинки. На мой взгляд, это одна из наиболее удачных вариаций в данной области, просто потому, что она не раздражает, а даже наоборот, увлекает и немного веселит. Это даже не ввод captcha, а просто мини игра.

Далее хотелось бы пару слов сказать про математическую капчу. Она может быть как простой, так и сложной. Лично мне нравится капча, где требуется сложить или вычесть два числа. Это гораздо удобней, чем сидеть и разбирать кривой текст. Однако, если чуть чуть перебрать со сложностью, то могут возникнуть проблемы.

Куки

Cookies (куки) — небольшой фрагмент данных, созданный веб-сервером и хранимый на компьютере пользователя в виде файла, который веб-клиент (обычно веб-браузер) каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта. Применяется для сохранения данных на стороне пользователя, на практике обычно используется для:

·аутентификации пользователя;

·хранения персональных предпочтений и настроек пользователя;

·отслеживания состояния сессии доступа пользователя;

·ведения статистики о пользователях;
Далее приведены ответы на некоторые распространенные вопросы о файлах «cookies»:

1.Для чего используются файлы «cookie»?
Веб-узлы используют файлы «cookie» для индивидуального обслуживания пользователей и сбора сведений о посещаемости веб-узла. Многие веб-узлы также используют эти файлы для сохранения сведений, обеспечивающих взаимосвязь различных разделов узла, например корзины или пользовательских страниц. Файлы «cookie» надежных веб-узлов обеспечивают более удобный просмотр страниц узла благодаря использованию сведений о личных предпочтениях пользователя или возможности автоматического входа на веб-узел. Однако некоторые файлы «cookie», например файлы, сохраненные баннерной рекламой, могут поставить под угрозу конфиденциальность пользователя, отслеживая посещаемые веб-узлы.

26)фишинг

Фишинг - ( англ. phishing от password — пароль и fishing — рыбалка) — ещё один способ мошенничества. Он представляет собой попытку спамеров выманить у получателя письма номера его кредитных карточек или пароли доступа к системам онлайновых платежей. Такое письмо обычно маскируется под официальное сообщение от администрации банка. В нём говорится, что получатель должен подтвердить сведения о себе, иначе его счёт будет заблокирован, и приводится адрес сайта (принадлежащего спамерам) с формой, которую надо заполнить. Среди данных, которые требуется сообщить, присутствуют и те, которые нужны мошенникам. Для того, чтобы жертва не догадалась об обмане, оформление этого сайта также имитирует оформление официального сайта банка.

27)ив в россии

Под информационной безопасностью Российской Федерации понимается состояние защищенности национальных интересов Российской Федерации в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Первое направление – защита информации от утечки – деятельность, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками.

Защита информации от разглашения направлена на предотвращение несанкционированного доведения ее до потребителя, не имеющего права доступа к этой информации.

Защита информации от несанкционированного доступа направлена на предотвращение получения информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может быть: государство; юридическое лицо; группа физических лиц, в том числе общественная организация; отдельное физическое лицо.

Защита информации от технической разведки направлена на предотвращение получения информации разведкой с помощью технических средств.

Второе направление – защита информации от несанкционированного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Третье направление – защита информации от непреднамеренного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате уничтожению или сбою функционирования носителя информации.

Организовать защиту информации – значит создать систему защиты информации, а также разработать мероприятия по защите и контролю эффективности защиты информации (см. рис. 4.2).

 

Рис. 4.2. Основная схема защиты информации

 

Иб в сша

29)иб в европе

30) Защита написанием e-mail на картинке (либо отдельных букв, символов @ и точки).

Достоинства: относительная легкость автоматизации, трудоемкость распознавания роботами (современные спамботы берут количеством, а не качеством, и заниматься OCR им просто не выгодно — лучше на соседнем сайте собрать десяток открытых e-mail).
Недостатки: пользователи с отключенными картинками не смогут увидеть e-mail, а пользователи со включенными картинками не смогут его скопировать. Кроме того, сложности с подгонкой шрифтов/размеров текста на картинке к остальному тексту.
Эффективность: высокая. Опубликованный таким способом e-mail адрес на одном популярном сайте так и остался «нераспечатанным» спамерами.
2. Защита при помощи кодирования e-mail адресов в мнемоники (entitles-символы).
Пример:
adress@mail.ru
Достоинства: легкость автоматизации, независимость от таких параметров, как включенная графика или JS у пользователя.
Недостатки: легкость расшифровки, обход некоторыми современными спамботами.
Эффективность: низкая. Опубликованный таким образом ящик получает около 10-ти писем в день, (очевидно, что некоторые роботы «сломали зубы» о такой способ, т.к. на опубликованный открыто ящик приходит в несколько раз больше писем).
3. Защита при помощи кодирования через JavaScript, с (или без) вынесением частей кода во внешний файл.
Достоинства: относительная легкость автоматизации, трудность распознавания роботами. Опубликованный таким образом адрес без проблем кликается и копируется, а также отображается людям с отключенной графикой.
Недостатки: способ не работает у пользователей с отключенным (по разным причинам) JavaScript (да, такие пользователи есть, и в определенных случаях нужно учитывать и их интересы). Автор был очень удивлен, когда клиент заявил, что не видит на странице контактов e-mail адреса.
Эффективность: высокая. На тестовый адрес спам-писем не пришло.
4. Защита с использованием CSS, комментариев и способа 2.
Пояснения: домен почтового сервера необходимо обязательно «разделять», чтобы не привлекать внимание полуавтоматических сборщиков e-mail. Использовать display:none для «лишних» символов необходимо для снижения эффективности возможных strip_tags функций. Во всех возможных «скрытых» местах (и даже именах CSS-классов) лучше использовать случайные (random) последовательности символов, что затруднит их автоматический парсинг.
Способ работает во всех браузерах, независимо от включенности графики и JavaScript.
Недостаток: в некоторых браузерах адрес придется набрать вручную, поскольку скопируется только первая буква (вопрос как побороть это пока не решен). Если это важно, можно комбинировать этот способ с предыдущим, поместив все это в
Добавлено: mcm69 предложил использовать яваскрипт для правильной работы Ctrl+C на таких текстах.
Эффективность: высокая. Спам-писем не пришло.

1. Построение текста при помощи CSSДля построения e-mail адресов используется CSS-шрифт (буквы составляются из маленьких div-квадратиков).
   Достоинства очевидны.
   Недостатки: не копируется, не отображается в случае неподгруженного CSS (выносить в около 10 кб CSS накладно). Кроме того, некоторые символы такого шрифта не совсем разборчивы.

31) Общие правила защиты от технических средств получения информации:

42. удаление технических средств компании (источников излучения) от границы контроли­руемой территории;

43. по возможности размещение технических средств компании (источников излучения) в подвальных и полуподвальных помещениях;

44. размещение трансформаторных развязок в пределах контролируемой зоны;

· уменьшение параллельных пробегов информационных цепей с цепями электропитания и заземления, установка фильтров в цепях электропитания;

· отключение на период конфиденциальных мероприятий технических средств, имеющих элементы электроакустических преобразователей, от линий связи;

· установка электрических экранов помещений, в которых размещаются тех­нические средства и локальных электромагнитных экранов технических средств (в том числе телефонных аппаратов);

· использовать системы активной защиты (системы пространственного и линейного зашумления);

· увеличение времени решения открытых задач для компьютерных средств;

· использование в качестве линий связи волоконно-оптических систем.

Защита от наблюдения и фотографирования предполагает:

1. выбор оптимального расположения средств документирования, размножения и отображения информации (рабочие места, экраны компьютеров, экраны общего пользования) с целью исключения прямого или дистанционного на­блюдения;

1. выбор помещений, обращенных окнами в контролируемые зоны (направления);

8. использование светонепроницаемых стекол, занавесок, других защитных материалов или устройств;

· использование средств гашения экрана после определенного времени работы.

Защита от подслушивания реализуется:

1. профилактическим поиском закладок (жучков) визуально или с помощью рентгеновской аппаратуры, их обнаружением за счет выявления рабочего сигнала, излучаемого радиозакладкой, или излученного закладкой отклика на спе­циально генерируемый зондирующий сигнал;

2. применением звукопоглощающих облицовок, специальных дополнительных тамбуров дверных проемов, двойных оконных переплетов;

3. использованием средств акустического зашумления объемов и поверхностей (стены, окна, отопление, вентиляционные каналы);

4. закрытием вентиляционных каналов, мест ввода в помещение отопления, электропитания, телефонных и радиокоммуникаций;

5. использованием специальных аттестованных помещений, исключающих появле­ние каналов утечки конфиденциальной информации через технические устройства;

6. прокладыванием экранированных кабелей в защищенных каналах коммуникаций;

7. постановкой активных радиопомех;

8. установкой в телефонную линию специальных технических средств защиты телефонных переговоров;

9. использованием скремблеров;

10. экранированием телефонных аппаратов;

11. запретом на передачу конфиденциальной информации через аппараты связи, не снабженных скремблерами (особенно радиотелефоны);

12. контролем за всеми линиями телефонной коммуникации.