| ФОРУМ
| |
Психология на службе хакеров• Автор Алексей Лукацкий • см. тематический раздел: обзоры и интервью / Интернет и маркетинг
Мне уже приходилось писать об атаках “social engineering” (см. статью “Инженеры человеческих душ”, PC Week/RE, № 5/2002, с. 18) и о том, как хакеры используют человеческие слабости для достижения своих целей. И вновь я хочу вернуться к этой теме и рассказать о новых методах хакеров, использующих знание человеческой натуры. Статистика поможет нам понять, почему эти методы так эффективны. По данным Content Security, 86% компаний сталкиваются с проблемой доступа сотрудников к порнографическим материалам в Интернете. Это подтверждается исследованиями сайта SexTracker, согласно которым 70% всего порнотрафика фиксируется с 9 утра до 5 вечера, т. е. в рабочее время. Исследовательская компания eMarketer сообщает, что мужчины пользуются материалами этой категории в 20 раз чаще женщин. eMarketer также утверждает, что сотрудники с высоким уровнем зарплаты делают это в два раза чаще, чем низкооплачиваемые. Отсюда следует, что главными потребителями материалов сексуальной направленности являются мужчины-руководящие. А в какой организации основной контингент составляют мужчины, да еще и занимающие все высшие посты? Первое, что приходит на ум — Министерство Обороны. Хотя и в других не менее серьезных ведомствах и компаниях все руководящие посты заняты представителям сильной половины человечества. И этим умело пользуются хакеры для проникновения в корпоративные сети. Делается это довольно просто. В сети регистрируется Web-сервер, который наполняется соответствующими картинками и материалами. Это не требует больших затрат, так как существует масса способов зарегистрировать домен второго уровня не совсем законными методами (взлом, оплата регистрации с помощью украденной кредитной картой и т. п.). После этого проводится обычная рекламная компания сайта в Интернете, привлекающая посетителей отсутствием платы за доступ к “клубничке”. Однако страничка открывается только после регистрации, в результате которой злоумышленник получает узнает имя (идентификатор) и пароль пользователя. Сделаем небольшое отступление. Ответьте на простой вопрос: “Сколько паролей вы используете для доступа к компьютеру, зашифрованным файлам, Интернету и т. п.?” Вряд ли ошибусь, если скажу, что всего один. И это естественно, так как запомнить разные пароли, да еще и выбираемые по всем правилам, задача не из легких. Вот и оказывается, что посетитель порносайта в момент регистрации вводит хорошо известный и не требующий дополнительного запоминания пароль, используемый для доступа ко всем ресурсам корпоративной сети. А теперь вернемся к нашей теме. Определив пароль, хакер может попытаться обратиться к нужным ему ресурсам, используя полученные через порносайт данные. Узнать место работы любителя “клубнички” довольно просто, учитывая, что Web-сервер в своих журналах регистрации фиксирует адрес узла, с которого осуществлялся доступ. А узнать, что за организация скрывается за таким, непонятным на первый взгляд адресом, как 123.34.56.78, не составляет большого труда, обратившись к одному из множества сетевых информационных центров (NIC). Но даже если пользователь выходит на порносайт со своего домашнего компьютера, то и это не является серьезным препятствием. Более того, для проникновения в корпоративную сеть через домашний компьютер хакеру понадобится куда меньше усилий, чем при попытке влезть в сеть непосредственно через межсетевой экран и иные средства защиты периметра. Это происходит потому, что обычно пользователь, работая из дома, подключается к сети своей организации через VPN-соединение, а требования безопасности к такому подключению существенно слабее, чем для обычного Интернет-соединения. Вся опасность заключается не только в том, что злоумышленник может проникнуть в корпоративную сеть, а в том, что он маскируется под пользователя, чей пароль украден. Это позволяет хакеру остаться незамеченным для системы защиты, которая воспримет его, как “своего родного” при чем в случае нанесения корпоративной сети какого-либо ущерба все шишки свалятся именно на того сотрудника, под которого маскировался хакер. Надо заметить, что такая маскировка может осуществляться и целенаправленно с целью подставы какого-либо из пользователей атакуемой сети. Все это не голословные утверждения — уже известны случаи проникновения хакеров на сайты Министерства обороны США, используя специально созданные для такого случая порносайты. Схожая проблема присуща не только военному ведомству, но и главному финансовому органу США. 4 февраля 2003 года счетная палата Конгресса США опубликовала отчет, гласящий, что компьютеры Министерства финансов, оперирующие триллионами долларов налогов и социальных выплат, остаются легко уязвимыми для хакерских атак. В представленном широкой общественности докладе говорится, что миллиарды долларов платежей и сборов подвержены существенному риску пропаж и махинаций, а финансовые транзакции могут быть прерваны и даже изменены. Мало того, за пять лет до этого, в 1997 году, счетная палата уже проводила аналогичное обследование Минфина, но ситуация так и не сдвинулась с мертвой точки. Самыми уязвимыми местами системы защиты этого ведомства оказались именно пароли.
Добавлено: 21 Января 2003 г. хиты: 6356 Страница: 1/2 Следующее (2/2)
оценка читателей: 251 из 557 считают этот обзор полезным |