1. Главная
  2. Книги
  3. Ферри Денис
  4. Секреты супер хакера
  5. Страница 23
Выбрать главу

Диверсия - это первый краткий контакт с определенным компьютером, во время которого хакер создает какую-либо неполадку, требующую устранения.

Реклама - информирование пользователя о том, что вы разбираетесь в вопросах из области компьютеров.

Помошь - общение с пользователем, в процессе которого вы решаете проблемы пользователя, а тот, сам того не ведая, решает ваши.

Прежде чем я начну объяснять, как применять этот метод и что он может дать, вам следует уяснить для себя, почему лучше, когда пользователь обращается к вам за помошью, а не наоборот. Давайте рассмотрим по пунктам список недостатков социальной инженерии, приведенный в предыдущей главе, чтобы показать, как обратная социальная инженерия преодолевает эти препятствия.

Преодоление недостатков социальной инженерии

Пользователь может быть предупрежден об утечках информации или знать о тактике СИ

Пытаясь подвергнуть социальной инженерии того, кто о ней знает, особенно квалифицированных программистов и других хакеров, вы вряд ли многого добьетесь. Даже если собеседник не знает о СИ как таковой, он (или она) может достаточно серьезно относиться к предупреждениям "Храните в тайне свой пароль", чтобы не купиться на вашу болтовню. Социальная инженерия рассчитана на наивных пользователей. Но ведь не все являются таковыми.

В случае ОСИ легальный пользователь обращается к вам за советом. Следовательно, он считает вас человеком, которому можно доверять, - членом компании или ее доверенным лицом, то есть тем, кто уже и так знает все пароли и протоколы. Так что у него нет причин не давать вам такую информацию. У него даже мысли подобной не возникнет - ведь ему так или иначе придется, обратившись за помошью, выложить всю подноготную.

Следует отметить, что обратная социальная инженерия не является социальной инженерией. Она подходит к проблеме разговора с пользователем с другой стороны, и пользователь, знакомый с обычными ха-керскими уловками, вряд ли сможет ее раскусить. Более того, даже если ваша жертва достаточно умна, чтобы распознать ОСИ, этот человек будет настолько озабочен возникшей у него проблемой, что не заметит происходящего. Ему (или ей) нужна ваша помощь, чтобы устранить неполадку; он понимает, что, если он не договорится с вами, вы ему не поможете.

Пользователь может не поверить, или знать, что вы не тот, за кого себя выдаете

Уязвимое место социальной инженерии в том, что вы являетесь для собеседника темной лошадкой, поскольку он не знаком с вами лично. Кроме того, если человек на другом конце провода узнал о том, что вы не тот, за кого себя выдаете, возможно, воспользовался ID, или телефоном с определителем номера, то в этом случае, пароли могут и не появиться, как по волшебству, перед "таинственными техниками" и "растерянными пользователями" с "испорченными" модемами. НО! При обратной СИ у тех, кто знает волшебные слова, нет причин подозревать или обманывать вас - ведь это они обращаются к вам за советом. Это вы помогаете им в их несчастье. В самом деле, когда они звонят вам, вы вправе спросить, кто они, собственно, такие. Безопасность прежде всего.

Пользователь не имеет причин помогать вам, или может дать неверную,ошибочную информацию

Что прежде всего заботит человека, которого вы подвергли социальной инженерии, независимо от того, помог он вам, или нет?

Если бы я, не покладая рук, трудился в какой-нибудь конторе, или был секретарем, я просто пришел бы в ярость, если бы посередине хлопотного дня какой-то идиот позвонил мне по телефону и попросил уделить ему несколько минут моего драгоценного времени и сообщить некую информацию, которую он, скорее всего, вообще не должен знать! Я мог бы просто брякнуть в трубку, что на ум взбредет, только бы отделаться. При обратной же инженерии вы знаете, что ваши собеседники нуждаются в вашей помощи. Даже самый великий гуру из числа знающих пользователей обратился бы к вам, зная, что вы сможете быстро и эффективно определить суть проблемы и разрешить ее, не тратя времени зря. Этот пользователь знает, что ключ к решению задачи находится у вас, и если он его получит, в следующий раз сможет справиться с такой проблемой самостоятельно.

Пользователь может сообщить о вашем звонке менеджеру по безопасности

Опытный пользователь мгновенно догадается, если вы попытаетесь подвергнуть его социальной инженерии. Он может пойти и рассказать остальным, что вы пытались выманить у него пароль. "Остальные" - коллеги, боссы, менеджеры по компьютерам, человек, роль которого вы пытались сыграть, охранники либо офицеры безопасности. Ни один из них не станет помогать вам в дальнейшем, даже если вас не поймают сразу или не сведут к нулю ваши шансы на взлом. Разоблачение, конечно, совсем не подарок. Но при обратной инженерии вы неизменно приобретаете друзей. Когда вы помогаете людям преодолеть какие-то затруднения, они радостно пустят слух о вашей любезности и отзывчивости - а это означает еще больше звонков и паролей.

Предшествующие разъяснения преследуют три цели. Я хочу, чтобы вы поняли, почему такое мощное средство, как классическая СИ, может случайно провалиться, и как ОСИ может избежать этих ошибок. Я утверждаю следующее: социальная инженерия не может больше оставаться главным оружием в арсенале современного хакера без предупреждения обычных пользователей. Обычные пользователи проявляют все большую осторожность и благоразумие, когда дело касается таких интимных вещей, как пароли и компьютерная безопасность. Обычные пользователи стали больше читать о том, как хакеры взламывают системы. Они посещают лекции по компьютерной безопасности, которые устраивают их компании, колледжи и местные полицейские подразделения. В системы стали включать предупреждения о недопустимости разглашения любой информации; об этом твердят их работодатели и их собственный рассудок. И я сам - даже я! - говорю им о том, что существуют злоумышленники, мечтающие испортить их файлы. Я весьма сомневаюсь в том, что наступит такое время, когда все компьютерные пользователи будут достаточно осведомлены, чтобы держать язык за зубами. Возможно, через несколько лег предприятия поставят на свои телефоны задержку времени и подключат их к голосовым мониторам. Тогда запрещенные к произнесению слова будут обнаруживаться и уничтожаться прежде, чем электроны, составляющие сигнал, покинут пределы находящихся внутри здания проводов. Даже если подобная вещь станет повсеместной, или если 95% людей, общающихся с компьютерами, захотят покончить с социальной инженерией, все же останутся пять процентов, останутся сотни других хакерских уловок, новых и старых, и останется Обратная Социальная Инженерия, помогающая хакеру в его нелегком деле.

Диверсионные методы обратной социальной инженерии

Первый шаг ОСИ - создать неполадку в избранном вами компьютере или сделать так, чтобы пользователь не смог на нем работать. Обычно это означает создание такой неполадки на рабочей станции, терминале или компьютере, чтобы пользователь не мог войти в систему так, как положено. Неполадку должно быть трудно обнаружить, но легко исправить. Вот список из пяти общих идей, расположенных в порядке возрастания затрачиваемого на них времени и степени вашего знакомства с системой: Изменение какого-либо параметра, неизвестного новичкам или такого, о котором они не подумают. Например: устанавливаемые по умолчанию порты принтера, цвета экрана, макросы, скрытые коды принтера, периферийные технические установки. Установить файлы в режим "только для чтения", или переименовать их, или сделать невидимыми в их директориях. Пример: если рабочий файл текстового процессора называется WP.EXE, переименуйте его в WP.$A$. Вмешательство в аппаратное обеспечение. Например: переключить цветной монитор в монохромный режим; поменять дисководы; отключить клавиатуру, выташить из компьютера предохранитель. Инсталлировать большие резидентные программы, занимающие уйму памяти. Пользователь не поймет, почему ему не удается запустить программу. Запустить модель программы, подобную модели операционной системы, которая станет выдавать кучу ужасных сообщений об ошибках.

~ 23 ~