номеру, им включали следующую запись: "Добро пожаловать в программу сво-
бодного шестимесячного участия в сети X! Послушайте, какие потрясающие
веши можно проделывать в нашей сети!.." После этого один из хакеров за-
давал звонившему несколько вопросов: "Где вы услышали о нашей програм-
ме?", "Не присоединялись ли вы ранее к сети X?", "Какими еще платными
BBS или компьютерными сетями вы пользуетесь?", "Под каким именем вы хо-
тели бы входить в сеть X?", "А каков будет ваш секретный пароль?", "А вы
уверены, что сможете запомнить такой пароль? Может быть, выберете дру-
гой?". Действуя по этой схеме, они получили десяток имен для входа в
компьютеры, и парочку паролей. Если вы живете в небольшом городке, тако-
го улова у вас не наберется, но попробовать все равно стоит.
Можно также вклеить напечатанную карточку с рекламой прямо в журнал
или поместить рекламу на BBS. Подобная же уловка заключается в распрост-
ранении вашего номера в качестве локального переключателя звонков. Это
может весьма пригодиться, если в ваших краях пока отсутствует связь
Telenet или Tymnet. При загрузке пользователи увидят обычный открываю-
щийся экран, хотя на самом деле это будет ваша модель программы. Занима-
ясь хакерством, вы, видимо, узнали адреса различных сетей, и сможете
программно смоделировать любой подходящий входной экран. В противном
случае отвечайте сообщениями вроде: "Линия занята" либо "Не удается ус-
тановить связь". В этой ситуации важным бывает правильно установить тай-
мерные задержки, соответствующие обычным задержкам в сети.
После "соединения" с компьютером или сетью моделирующая программа
продолжает работать: она запрашивает у пользователя имя и пароль, а за-
тем "вылетает" из-за помех на линии или какой-либо другой неприятности.
Если пользователь пытается тут же вызвать ее снова, можно сделать для
него сообщение, что, дескать, пути передачи данных подвергаются перепро-
верке, или любую подобную чепуху.
Требование информации
А теперь давайте вернемся к чистой социальной инженерии, проводимой
по электронной почте... Не ленитесь просматривать все компьютерные газе-
ты и журналы, даже самые никудышные, в поисках информации о недостатках
программных продуктов и лазеек в их безопасности. Журналистский кодекс
чести вообще-то запрещает публикацию опасных секретов, так что точного
описания ошибок в обеспечении безопасности систем вы не найдете. Вам бу-
дут попадаться заметки типа: "Вчера были пойманы четыре хакера, нашедшие
лазейку в программе Х на машине Y военной базы Z". Или: "Компания Y
опубликовала предупреждение о недостатках выпушенного ею элемента Z, ко-
торый создавался для зашиты системы от проникновения в нее нелегальных
пользователей..." Вы можете сделать следующее: отпечатайте некое псевдо-
официальное заявление и отправьте его по электронной почте той самой
компании, а ответ не заставит себя ждать. Содержание может быть прибли-
зительно таким:
Уважаемый м-р Абель Джонс! До меня дошли сведения о серьезных недос-
татках вашей продукции, а именно элемента Z. Я веду свои дела, полагаясь
на то, что наши данные находятся в полной безопасности благодаря элемен-
ту Z.
Увидев, как мы обманывались в течение шести лет, я хотел бы получить
от вас следующее: подробное описание изъянов, делающих ненадежным ис-
пользование элемента Z, либо компенсацию за шестилетнюю эксплуатацию
двенадцати непригодных элементов Z, что составит 14 000 $.
Жду вашего скорейшего ответа.
Заявление может также быть выполнено в духе "давайте поработаем вмес-
те, чтобы улучшить этот мир":
Уважаемый м-р Абель Джонс!
Я был весьма огорчен, увидев в номере "Computer Magazine" за пятницу
информацию о дефектах, обнаруженных в вашем элементе Z.
На моем предприятии используется двенадцать таких устройств, и мне бы
очень не хотелось потерять наши данные из-за их непригодности. Пожалуйс-
та, вышлите в заклеенном конверте объяснение данной проблемы, чтобы мои
техники могли устранить неполадки как можно скорее. Спасибо за помошь.
Искренне ваш...
Одно из этих посланий написано угрожающим тоном, другое - нет. С од-
ной стороны, вам не хочется, чтобы ваше письмо посчитали липовым. С дру-
гой - данная компания наверняка получит множество писем подобного содер-
жания, большинство которых будут отнюдь не подделками. Чтобы у вас не
возникло проблем, напечатайте письмо на качественной бумаге, с настоящим
или выдуманным бланком наверху.
Для пущего эффекта напечатайте адрес на конверте, а вместо того, что-
бы наклеивать марку, пропустите конверт через почтовый счетчик. Можно
дополнительно вложить визитку собственного сочинения - их можно недорого
заказать. Если компания отказывается помогать вам без подтверждения сде-
ланной у них покупки, - что ж, вы ничего не теряете. Вы всегда можете
попытаться подвергнуть социальной инженерии техников данной компании,
дабы выведать у них секреты безопасности. Вдобавок существует много ас-
социаций и организаций по компьютерной безопасности, которым известны
подробности допущенных ошибок. Можно попытаться узнать детали, написав в
тот журнал, который напечатал статью об "элементе Z". Постарайтесь
встретиться с автором этой статьи. Журналистов и газетчиков обычно на
удивление просто поймать по телефону, но заполучить их для разговора -
это другое дело!
послание свыше
Уважаемый пользователь! Я вынужден сообщить вам неприятную новость.
Являясь директором PinkyLink, самой крупной информационной службы Амери-
ки, работающей в режиме онлайн, я был шокирован, узнав о том, что шесто-
го июля сего года имело место незаконное хищение нескольких файлов с
именами пользователей. После нелегального копирования оригиналы были
уничтожены. Одна из записей содержала, помимо всего прочего, закрытые
личные данные небольшого количества наших клиентов. Хотя, к счастью, ва-
шего имени не оказалось на похищенных файлах, все же определенная опас-
ность для вас существует. На данный момент мы не можем сказать, содержа-
лись ли в похищенных файлах данные о каких-либо пользователях с програм-
мистским уровнем доступа, или нет. Таким образом, мы предлагаем вам за-
полнить приложенную анкету и незамедлительно выслать обратно по почте
конверте. Мы берем на себя все ваши почтовые издержки. Оплаченный кон-
верт с нашим адресом прилагается.
Заполнив анкету, верните ее, пожалуйста, как можно скорее. При полу-
чении мы создадим вам новый секретный ID.
Спасибо за поддержку.
В качестве компенсации за причиненные неудобства мы вычтем 75% из ва-
шего счета за август.
Имя ______________________
Адрес ______________________
Индекс
Рабочий телефон Домашний телефон Старый (непригодный) пароль Новый
(измененный) пароль
PinkyLink, самая большая информационная служба Америки, гарантирует,
что вновь присланные личные данные будут введены не позднее 19-го сен-
тября сего года. Конфиденциальность гарантируется до и после означенного
срока. Просьба сохранить для себя копию или оригинал данного сообщения.
Представьте себе абстрактного пользователя, получающего по электрон-
ной почте такое вот послание. Выглядит послание настоящим, имеет logo и
бланк соответствующей службы, пришло в запечатанном конверте. Но поверит
ли пользователь, что послание сие ему действительно отправила служба
PinkyLink? Складывается совершенно абсурдная ситуация! Любая настоящая
компьютерная служба, у которой возникли
проблемы с паролями, станет осуществлять обновление всех паролей в
режиме онлайн. Ведь это самый простой и дешевый способ обновить сотни
или даже тысячи файлов с пользовательской информацией. Тем не менее,
глядя на письмо, получивший его пользователь осознает, что он сам не на-
ходится в непосредственной опасности, в отличие от тех несчастных, чьи
пароли были украдены; ему не придется получать по электронной почте гро-
мадные счета за кого-то, кто нелегально подключится к его, пользователя,
бюджету. А как насчет упомянутых в конце 75%? Узнав про них, пользова-
тель ответит на письмо в два раза быстрее. Он почувствует себя обязанным
не только вновь сделать свой бюджет безопасным, но и обязанным перед ба-
зой данных: если уж они так любезно предупреждают его об опасности, да
еще и платят, надо же хоть чем-то их отблагодарить. А оплаченный конверт
с обратным адресом! Конечно, PinkyLink, скорее всего, меняет пароли
пользователей и в режиме онлайн, но упоминать об этом в письме вовсе не-
обязательно. Помните, что в посланиях подобного рода стиль имеет большее
значение, нежели содержание. Прежде чем отправлять подобное письмо, пот-
рудитесь взглянуть на экземпляры настоящей корреспонденции PinkyLink,
чтобы получить представление о том, какую бумагу, шрифт и т. д. лучше
использовать. На эту удочку обычно попадается довольно много народа,
особенно если ваши адресаты - абсолютные новички. Позднее мы еще погово-
рим о том, как можно с пользой понаблюдать за BBS.
неприятности в раю
Ведя переговоры с крупной корпорацией, или заставляя людей посылать
вам по электронной почте
свои пароли, вы можете нарваться на крупные неприятности. Почтовое
министерство расценивает подобную деятельность как почтовое мошенничест-
во, даже если вы всего-навсего собирались пошутить. Я привел здесь эти
идеи лишь для того, чтобы стимулировать ваше воображению, вовсе не соби-
раясь провоцировать вас на незаконные действия.
При занятиях социальной инженерией существует множество причин, по
которым ваш собеседник может отказаться снабдить вас секретными данными.
Он может: быть предупрежден об утечках информации; знать о тактике соци-
альной инженерии; не поверить, что вы тот, за кого себя выдаете; знать,
что вы не тот, за кого себя выдаете; не иметь причин помогать вам, и
дать вам неверную или вводяшую в заблуждение информацию; доложить о вас
менеджеру по безопасности. По любой из перечисленных причин человек, у
которого вы пытаетесь выудить данные, может не суметь или не захотеть
сообщить вам пароли и другую нужную вам информацию. А вы сами, прочитав
все вышесказанное, стали бы выбалтывать секретные сведения неизвестному
по телефону? Вот в чем проблема. Каково же ее решение?
обратная социалогия инженерия
Обратная социальная инженерия (или просто ОСИ, или даже ОИ) является
довольно рискованным предприятием с переменной эффективностью и пригод-
ностью в различных ситуациях. Впрочем, результаты, которые дает ОСИ, бы-
вают настолько потрясающими, -
а порой столь же забавными - что данный способ ярко выделяется среди
остальных методов взлома зашиты систем. Дело в том, что, хотя социальная
инженерия представляет собой признанный и проверенный метод получения
нужной информации, она имеет свои недостатки. Не бывает совершенных сис-
тем, и список в конце предыдущей главы наглядно показывает, что соци-
альная инженерия срабатывает не всегда. ОСИ по многим критериям предпоч-
тительнее СИ. Впрочем, применять обратную СИ можно лишь в некоторых си-
туациях, после длительной подготовки и предварительных исследований.
Вдобавок, настоящая обратная инженерия может с успехом применяться
только самыми хитроумными (и легкими на подъем) хакерами. Не думайте,
что эта техника станет вашим основным методом сразу, как только вы нач-
нете знакомиться с миром компьютерных правонарушений. Обратная СИ в сво-
их наиболее совершенных проявлениях требует информации, которой вы пока
не располагаете, и уловок, с которыми вы пока что не знакомы. Вот срав-
нительный список, показывающий некоторые "за" и "против" обоих методов.
Социальная инженерия: вы совершаете звонок, зависите от собеседника.
Обратная социальная инженерия: собеседник совершает звонок и находит-
ся в зависимости от вас.
Социальная инженерия: вы чувствуете себя в долгу перед ним, либо он
