Д. Рэдклифф Социальный инжиниринг

Все чаще «крэкеры» (то есть хакеры, руковод­ствующиеся исключительно дурными намерени­ями), устроившись на временную работу, ис­пользуют это для сбора секретных сведений. «Зачастую их приглашают для периодических "профилактических" работ, а иногда в качестве "разовых" программистов с доступом к систе­ме», — рассказывает хакер из Техаса по прозви­щу Simple Nomad («Простак-бродяга»). С ним согласен и редактор совместного обзора Инсти­тута компьютерной безопасности и ФБР Ричард Пауэр: «С контрактниками не все так просто — они получают доступ в систему, как и постоян­ные сотрудники; при этом, в отличие от осталь­ных, они не проходят проверку, не подписыва­ют бумаг о неразглашении и не получают стра­тегических директив».

Временная работа — лишь одна из возможнос­тей проникнуть в здание, чтобы переписать данные на диск или поставить в сети свои про­граммки. Чаще всего выбирается способ попро­ще: социальный инжиниринг. По мнению Радлоффа, эти уловки неплохо сра­батывают и в отношении сотрудников отделов технической поддержки, которые готовы расши-

биться в лепешку, чтобы помочь клиентам, «за­бывшим» пароли. Для защиты от этого введе­ны соответствующие правила, например: персо­нал страховой компании American Credit Indemnity обязан задавать владельцам полисов специальные вопросы с целью идентификации личности перед тем, как предоставить по теле-

фону какую-либо информацию. Если звонивший оказывается не в состоянии правильно ответить на вопрос, то инцидент считается попыткой не­санкционированного доступа. Если попытка социального инжиниринга прова­ливается, хакеры пускают в ход другой план: поиск незакрытого мусорного бака, в котором можно найти бумажку с паролем или информа­цией о конфигурации сети.

администратором системы, которую использует данная организация, чтоб получить пароли и другую информацию, необходимую для входа в систему.

Социальная инженерия в Интернет занимается тем, что разрабатывает сш собы установления эффективного контакта между людьми в корыстных цел$ (если ее приемы используются для несанкционированного проникновения Сеть), прежде всего для получения секретной информации, которую законнь ми способами получить нельзя. Собственно социальная инженерия, как и ее циальный инжиниринг, заключается в знании основ человеческой психологи и использовании различных психологических техник общения ради обмана манипуляции поведением. Для начала необходимо узнать координаты и л№ ные данные (как можно больше) о тех людях, кто имеет отношение к этой иь формации. Если вы знаете хотя бы домашний телефон одного сотрудника, i можно по справочнику узнать фамилию, иногда имя и отчество. Если вы это у; нали, то вы можете попробовать узнать через этого человека всю информаци! о компании. Поскольку социальная инженерия связана не только с психолог ей поведения людей, но и письменным текстом, передаваемым по сетям Иь тернет, ее относят также к эмпирической социологии журналистики ^шз.

Социальный инжиниринг в Интернет так быстро развивается, что к мне гочисленным приемам, новым вирусным программам постоянно добавля ются новые термины, в совокупности составляющие некий субкультурны сленг. Вот некоторые термины социального инжиниринга:

Аутентификация — процедура проверки является ли человек тем, за ког он себя выдал при идентификации.

Если перед хакером встала задача проникнуть в компанию, он сможет легко миновать охрану под видом курьера. Можно совершить вторже­ние ночью. Остается лишь подключить ноутбук к локальной сети Ethernet и ждать, пока сервер не снабдит его без всяких вопросов IP-адресом. Впрочем, иногда коса находит на камень. По­пытка пробраться таким образом в сеть отдела

интерактивных игр Heat.net компании SegaSo закончилась неудачей: внутренние серверы н дали компьютеру никаких прав доступа. «Серверы должны пускать в сеть только опре деленные, знакомые им машины», — коммен™ рует Шипли.

Источник: Computer Security Institute: http:/ www.osp.interline.ru/cw/1998/23/34.htm

Подсчитываем убытки

В какую сумму в среднем компаниям обходятся компьютерные преступления и нарушения защиты*

 

Неавторизованный доступ сотрудников компании	181 437 долл.	2,81 млн долл.
Краживнутренней информации	954 666 долл.	1,67 млн долл.
Диверсия вотношении данных или сети	164 840 долл.	86тыс. долл.
I 'роникновение всистему со стороны	132250 долл.	86 тыс. долл.
.^злоупотребление доступом в Internetco стороны сотрудников компании	18 304долл.	56 тыс. долл.
_Ьирусы	75 746 долл.	55 тыс. долл.

В том числе потеря интеллектуальной собственности, оплата работы сотрудников и затраты н; расследование инцидента.

По результатам опроса 241 специалиста по защите. Источник: FBI и Computer Security Institute

Иващенко Г.В. Философские проблемы теории журналистики как область исследований // http:/ credo.osu.ru/016/004.shtml

Врата сортировки — характеристика бессознательного восприятия челове­ком, которой/которыми обладает каждый индивидуум и с помощью которых можно расположить человека к себе.

Идентификация — процедура опознавания человека объектом информати­зации.

Лога сервера — файл(ы) на компьютере, в которых фиксируются события указанные по критериям оценки опасности этих событий. Часто применя­ется при обнаружении попыток взлома сервера.

Метамодель (метапрограмма) — базовые фильтры восприятия человека, на которых держится его мировосприятие.

Принцип уподобления — метод, при котором социальный инженер «упо­добляется» жертве. Т.е. зеркально копирует все вербальные и невербальные жесты и позы жертвы, начинает «управлять» позами и, соответственно, рас­положенностью жертвы.

asynchronous (асинхронный) — название множественных программ или про­цессов, которые перекрывают друг друга в использовании и, возможно, в па­мяти. Асинхронная атака на систему заключается в том, что одна программа пытается изменить те параметры, которые другая программа проверила на достоверность с положительным результатом, но еще не использовала.

boffin (боффин) — термин, использовавшийся во времена второй мировой войны для обозначения людей, подобных хакерам, которые стремились по­нять, как устроен этот мир, и использовали свои знания на благо этого мира.

Buffer Overflow — самый популярный вид ошибки в программах UNIX, ко­торые позволяют при некоторых характеристиках (suid-флаг и т.п.) получить права доступа высшей категории.

Brute-force атака — вид перебора пароля, который заключается в переборе всевозможных паролей. При достаточной скорости и недостаточной защищен­ности криптоалгоритма, brute-force атака может быстро узнать пароль аккаунта.

С (Си) — язык программирования, с которым, равно как и Си++, должен быть знаком каждый хакер. На Си написана UNIX.

cracker (кракер) — человек, злонамеренно взламывающий средства конт­роля доступа к компьютерным системам.

daemon (Disk and Execution Monitor) — «даемон», программа, которая не запускается пользователем или программой пользователя, но дожидается оп­ределенных условий, после чего запускается сама.

Denial-of-Service (DoS) — общий вид атаки на сервер в Интернет, главной целью которой является остановка обслуживания или искажение обслужи­вания этим сервером своих пользователей. Этого добиваются путем переза­грузки сервера, «зависания» сервера, прекращение его работы и т.п.

Exploit (эксплоит) — небольшая программа, часто написанная на языке С с использованием ассемблера (если она под UNIX), которая, используя за­ранее известный недочет в другой программе, позволяет получить какую-либо привилегию.

hacker — компьютерный хулиган, проникающий в чужие информацион­ные системы с целью овладения информацией или введения в них ложных данных.

Human Denial-of-Service (HDoS) — вид атаки на человека с общими прин­ципами как у DoS-атаки, когда главной целью становится остановка реаги­рования или искажение реагирования человека на определенные факторы.

iron box — ловушка для неосторожных хакеров.

parser (анализатор) — программа, считывающая введенный текст и анали­зирующая его значение.

passive computing (пассивное электронное считывание данных) — тайное наблюдение за компьютерным экраном, например, с помощью прибора Ван Эйка.

phreak (фрик) — человек, взламывающий телефонные системы.

piggybacking — проникновение в закрытое здание, следуя по пятам за тем, кто имеет право туда войти.

post — опубликование письма, статьи, рассказа и т.д. путем его пересыл­ки в область сообщений.

reverse social engineering (обратная социальная инженерия) — тактика, при которой системный пользователь обращается к хакеру за советом.

salami technique (техника «салями») — метод краж больших сумм в течение длительного промежутка времени.

scavenging (копание в мусоре) — проверка мусорных контейнеров в поис­ках информации.

script (сценарий) — командный файл, автоматически запускающийся после квитирования коммуникационным программным обеспечением вызывающего.

security through obscurity (безопасность посредством неясности) — обеспе­чение безопасности системы путем ее маскировки.

simulation (модель программы) — программа, устанавливаемая хакером, имитирующая открытую часть системы.

social engineering (социальная инженерия) — использование обмана, мошен­ничества, своего актерского мастерства и владения словом для выманивания улегального пользователя системных секретов.

trapdoor (лазейка) — недокументированный способ получения доступа в компьютерную систему.

vandal (вандал) — кракер, уничтожающий файлы, разрушающий системы и т.п.

worm («червь») — программа, целью которой является бесконечное само­размножение — пока хватает места на диске¹⁰⁴.

Западные компании уже организуют специальные курсы по социальной инженерии для своего персонала, где обучают элементарным навыкам ин­формационной защиты. В цепочке компьютер—Интернет—человек самым слабым звеном оказался последний. Зная человеческие слабости, опытный хакер способен выведать самые секретные сведения о компании и нанести ей значительный вред.

Подробнее см.: http://www.chris-master.narod.ru/almanach/golosar.htm; http://jorjmesh.narod.ru/faq/ glossary.html

СОЦИАЛЬНАЯ РАБОТА: ИСТОРИЯ, ТЕОРИЯ, ПРАКТИКА'

Социальная работа — это систематическое усилие облегчить неудачное при­способление человека к обществу. Она отличается от филантропии, благо­творительности и похожих видов деятельности своей ориентацией на стрем­ление помочь не только в решении повседневных проблем, но развить у нуж­дающихся технику преодоления трудностей и навыки самопомощи. Такая помощь наиболее эффективна, если она оказывается не разрознен­ными одиночками, а мощными профессиональными организациями (ком­мерческими и некоммерческими), поддерживаемыми государством и об­щественным мнением. Помощь социальным аутсайдерам — престарелым, инвалидам, одиноким, малоимущим и т.д. — показатель высокой культуры и цивилизованности общества. Как правило, она встречает сочувствие и уважение всего населения, поэтому пользуется высочайшим авторитетом, хотя известно, что оплата труда социальных работников не столь велика. Так, что же из себя представляет деятельность, которую с одинаковым правом можно назвать религиозным долгом, социальным призванием, профессией или бизнесом? Кто и как ей занимается, как ей обучаются, как она оплачивается и как организована, какова ее история и содержа­ние? Одним словом, что такое социальная работа?