Изпрати e-mail

от  
до
email адреси разделени със запетая
ИЛИ
Файл с email адреси:
( email адреси разделени със запетая )
Тема
Съобщение
Най-слабото звено

Дори и най-защитените мрежи са уязвими, ако служителите непреднамерено издават важна информация.

Леон Ерлангер
Коя е най-слабата връзка в инфраструктурата на вашата мрежа: вашите защитни стени, антивирусните системи или преносимите компютри на често пътуващите ви служители? Ето един съвет: застанете пред огледалото и се вгледайте в себе си. Повечето експерти по сигурността са единодушни, че един интелигентен кракер може да проникне в почти всяка мрежа, като просто поиска от подходящите потребители нужната му информация. Разпространени са разнообразни техники за манипулиране - известни под общото наименование “социално инженерство”. При тях се използва естественото желание на човека да вярва и помага на другите или да получи нещо, без да даде нищо в замяна. Кракерите могат да научават потребителски имена, пароли и друга информация, която им дава възможност да проникват в мрежи - дори и в тези, защитени с най-съвременни технологии.
Ако ви е трудно да повярвате в това, прочетете карето “Пет трика, които кракерите използват срещу вас” и си помислете как бихте реагирали в подобни ситуации. Но техниките, за които говорим там, са само част от стотиците, които кракерите използват, за да се сдобият с ценната за тях информация.
Всъщност кракерите може да се докопат до много информация, без да говорят с който и да било, просто като сърфират в Web сайтовете на компанията и търсят имената и длъжностите на ръководителите й, финансова информация, организационни схеми и електронните адреси и телефонните номера на служителите. Освен това те се ровят в боклука на компанията в търсене на организационни схеми, указания за служители, ръководства за системи и приложения, планове за маркетинг, паметни записки, формуляри на компанията, ръководства за наемане на човешки ресурси, разпечатки на финансови отчети и др.Кракерите използват тази информация, за да извоюват доверието на други чрез телефонни обаждания и електронни съобщения, маскирайки се често като служители, клиенти или консултанти и убеждавайки работещите в компанията да осигурят информация, която би могла, малко по малко, да им даде достъп до локалните мрежи на компанията.
Техниките за извличане на информация от работещите в дадена компания са същите, които се използват от всеки изнудвач. Те включват:

  • затрупване на набелязания служител с купища разнообразна информация и странни въпроси или използване на необикновени и объркващи аргументи, които го затрудняват да проумее какво всъщност става;
  • помощ на служителя при възникване на някой технически проблем, най-вероятно, създаден от самия кракер. Това често се нарича “обратно социално инженерство”;
  • изявления, които предизвикват силни емоции или използване на техники за заблуждение;
  • в случай на съпротива, кракерът се съгласява и отстъпва по един или няколко несъществени въпроси. След известно време жертвата се чувства уверена, че в отговор може да направи отстъпки на други молби;
  • споделяне на информация и технологично ноу-хау през известно време, без искане на нищо в замяна - поне за момента. Когато дойде време кракерът да поиска информация, жертвата се чувства задължена да му услужи;
  • кракерът се преструва, че има същите интереси, като жертвата - вероятно благодарение на информация, получена от потребителски групи;
  • кракерът се преструва, че жертвата може да помогне на свой близък колега да изпълни важен ангажимент, поет от него;
  • поддържане на невинно наглед приятелство с жертвата, по време на което хакерът научава, малко по малко, жаргона на компанията и имената на най-важните служители, сървъри и приложения.
    Не забравяйте, че много голям процент нарушения на сигурността водят началото си вътрешно, от някой недоволен служител или от външни за компанията лица - консултанти, партньори и т.н. - които имат достъп до системата. Хората рядко поставят под въпрос действията на “вътрешните лица”.
http://www.sagabg.net/PCMagazine/articles.php3?article_id=3403#top