ISO, менеджмент, консалтингпользователи сайтаRSSФОРУМСТАНДАРТЫГОСТ РСЛОВАРЬНАВИГАТОРКОНСУЛЬТАНТЫ 
Логин : Пароль:   
       [регистрация] [напомнить пароль]
 

ФОРУМ
• Re: методики описания БП 
 23. Окт 08:43 от PrilipkoAI
• ISO 22000:2018 
 10. Сент 23:29 от GurbanovR
• HACCP vs FSMS 
 23. Авг 10:52 от PrilipkoAI
• Re: план контроля качества 
 13. Авг 12:07 от Facebook



Психология на службе хакеров

Автор Алексей Лукацкий
см. тематический раздел: обзоры и интервью / Интернет и маркетинг



Мне уже приходилось писать об атаках “social engineering” (см. статью “Инженеры человеческих душ”, PC Week/RE, № 5/2002, с. 18) и о том, как хакеры используют человеческие слабости для достижения своих целей.

И вновь я хочу вернуться к этой теме и рассказать о новых методах хакеров, использующих знание человеческой натуры. Статистика поможет нам понять, почему эти методы так эффективны.

По данным Content Security, 86% компаний сталкиваются с проблемой доступа сотрудников к порнографическим материалам в Интернете. Это подтверждается исследованиями сайта SexTracker, согласно которым 70% всего порнотрафика фиксируется с 9 утра до 5 вечера, т. е. в рабочее время.

Исследовательская компания eMarketer сообщает, что мужчины пользуются материалами этой категории в 20 раз чаще женщин. eMarketer также утверждает, что сотрудники с высоким уровнем зарплаты делают это в два раза чаще, чем низкооплачиваемые.

Отсюда следует, что главными потребителями материалов сексуальной направленности являются мужчины-руководящие. А в какой организации основной контингент составляют мужчины, да еще и занимающие все высшие посты? Первое, что приходит на ум — Министерство Обороны. Хотя и в других не менее серьезных ведомствах и компаниях все руководящие посты заняты представителям сильной половины человечества. И этим умело пользуются хакеры для проникновения в корпоративные сети.

Делается это довольно просто. В сети регистрируется Web-сервер, который наполняется соответствующими картинками и материалами. Это не требует больших затрат, так как существует масса способов зарегистрировать домен второго уровня не совсем законными методами (взлом, оплата регистрации с помощью украденной кредитной картой и т. п.).

После этого проводится обычная рекламная компания сайта в Интернете, привлекающая посетителей отсутствием платы за доступ к “клубничке”. Однако страничка открывается только после регистрации, в результате которой злоумышленник получает узнает имя (идентификатор) и пароль пользователя.

Сделаем небольшое отступление. Ответьте на простой вопрос: “Сколько паролей вы используете для доступа к компьютеру, зашифрованным файлам, Интернету и т. п.?” Вряд ли ошибусь, если скажу, что всего один. И это естественно, так как запомнить разные пароли, да еще и выбираемые по всем правилам, задача не из легких. Вот и оказывается, что посетитель порносайта в момент регистрации вводит хорошо известный и не требующий дополнительного запоминания пароль, используемый для доступа ко всем ресурсам корпоративной сети.

А теперь вернемся к нашей теме. Определив пароль, хакер может попытаться обратиться к нужным ему ресурсам, используя полученные через порносайт данные. Узнать место работы любителя “клубнички” довольно просто, учитывая, что Web-сервер в своих журналах регистрации фиксирует адрес узла, с которого осуществлялся доступ. А узнать, что за организация скрывается за таким, непонятным на первый взгляд адресом, как 123.34.56.78, не составляет большого труда, обратившись к одному из множества сетевых информационных центров (NIC).

Но даже если пользователь выходит на порносайт со своего домашнего компьютера, то и это не является серьезным препятствием. Более того, для проникновения в корпоративную сеть через домашний компьютер хакеру понадобится куда меньше усилий, чем при попытке влезть в сеть непосредственно через межсетевой экран и иные средства защиты периметра. Это происходит потому, что обычно пользователь, работая из дома, подключается к сети своей организации через VPN-соединение, а требования безопасности к такому подключению существенно слабее, чем для обычного Интернет-соединения.

Вся опасность заключается не только в том, что злоумышленник может проникнуть в корпоративную сеть, а в том, что он маскируется под пользователя, чей пароль украден. Это позволяет хакеру остаться незамеченным для системы защиты, которая воспримет его, как “своего родного” при чем в случае нанесения корпоративной сети какого-либо ущерба все шишки свалятся именно на того сотрудника, под которого маскировался хакер. Надо заметить, что такая маскировка может осуществляться и целенаправленно с целью подставы какого-либо из пользователей атакуемой сети.

Все это не голословные утверждения — уже известны случаи проникновения хакеров на сайты Министерства обороны США, используя специально созданные для такого случая порносайты. Схожая проблема присуща не только военному ведомству, но и главному финансовому органу США. 4 февраля 2003 года счетная палата Конгресса США опубликовала отчет, гласящий, что компьютеры Министерства финансов, оперирующие триллионами долларов налогов и социальных выплат, остаются легко уязвимыми для хакерских атак.

В представленном широкой общественности докладе говорится, что миллиарды долларов платежей и сборов подвержены существенному риску пропаж и махинаций, а финансовые транзакции могут быть прерваны и даже изменены. Мало того, за пять лет до этого, в 1997 году, счетная палата уже проводила аналогичное обследование Минфина, но ситуация так и не сдвинулась с мертвой точки. Самыми уязвимыми местами системы защиты этого ведомства оказались именно пароли.


Добавлено:  21 Января 2003 г.
хиты: 6356
Страница: 1/2
   Следующее (2/2) Следующее

оценка читателей: 251 из 557 считают этот обзор полезным
А вы считаете его полезным?
да  нет
[ оглавление ]


менеджмент качества ( процессы | школа качества | нормирование | управление качеством | хассп)
книги: стандарты | качество | ХАССП | маркетинг | торговля
управленческий консалтинг ( планирование и контроль | конфликтменеджмент)
новости и события: пресс-релизы | новые стандарты | новости партнеров | новости | архив новостей, статей
новая торговля (автоматизация | магазиностроение | маркетинг и экономика)
интернет-маркетинг (создание сайта | интернет - бизнес)
финансы & страхование (страхование | бизнес-школа)
обзоры и интервью: маркетинг | консалтинг | торговля | управление качеством )
энциклопедия: это интересно | глоссарий | о семье | менеджмент семьи | каталог ресурсов