Сильное звено
АрхивКолонка ЗолотоваРоясь в мусорных корзинах, Кевин Митник сделал фантастическую карьеру. Сегодня знаменитый хакер вновь практикует старые методы, но уже в должности руководителя консалтинговой компании имени себя самого.
Кевин Митник, едва ли не самый известный хакер и фрикер современности, взялся за старое. На этой неделе, перед вылетом в деловую командировку из Лос-Анджелеса в Сидней, Кевин с товарищем, переодевшись в халаты сотрудников по поддержанию чистоты (а попросту - мусорщиков), незаконно проникли в головной офис одной из уважаемых в США медиакомпаний, и унесли с собой несколько мешков мусора. Отфильтровав пустые коробки, одноразовые стаканчики, нераспечатанные письма с просьбой об автографах и прочие отбросы, не представляющие интереса для искателя киберприключений, друзья заодно извлекли на свет божий немало интересных для потенциального злоумышленника вещей. Телефонные номера клиентов (ну, там, мобильный Кристины Агильеры и прочая мелочь в том же духе), распечатки с логинами и паролями, включая те, что предоставляли полный доступ к важным веб-сайтам, и много чего ещё, содержащего ценную информацию о сотрудниках и клиентах компании. К счастью для оставленных в дураках бизнесменов, Кевин не вернулся на тропу войну. Просто ему понадобился практический пример, который он смог бы продемонстрировать участникам небольшой двухдневной конференции, устроенной его компанией в австралийской столице. Конференции со сложным названием Certified Social Engineering Prevention Specialist Workshop, посвящённой простой и вечно актуальной проблеме социальной инженерии.
Кевин терроризировал виртуальный мир на протяжении всех 80-х и первой половины 90-х годов. Побывав на служебных, порой секретных серверах десятков организаций (как вам, к примеру, министерство обороны США?) и компаний с мировыми именами (Pacific Bell, Digital, SCO, Motorola), попутно, как гласит легенда, уничтожив из полицейских баз данных запрос на свой арест, Митник был пойман в 1995 году и на собственном примере продемонстрировал миру истинное лицо "свободы по-американски" - отсидев за решёткой в ожидании предварительных слушаний почти пять лет. Но Митника помнят и ценят не только за его кибернетические похождения и принятые муки. Метод, который использовал он для проникновения на чужую виртуальную территорию двадцать лет назад, отлично работает и сегодня, несмотря на шагнувшую далеко вперёд вычислительную технику: большинством своих взломов Кевин обязан той самой социальной инженерии.
Сам термин social engineering, вопреки расхожему мнению, рождён не устами ИТ-специалиста. Задолго до появления computer sciences его придумали политики: в буквальном переводе с английского, социальная инженерия есть техника искусных манипуляций общественным мнением. Впрочем, со скидкой на масштабы, в информационных технологиях базовые принципы остаются теми же: социальная инженерия применительно к вычислительным системам и сетям - искусство получения закрытой информации от человека, которому выдавать её не следует. Попросту говоря, эксплуатация человеческого фактора. Сегодня, когда компьютерный мир сошёл с ума, ввязавшись вслед за Microsoft в бесконечную гонку "заплаток" и уязвимостей, те, кому про человеческий фактор забывать никак нельзя, вспоминают про него всё реже. Что только на руку злоумышленникам всех сортов. В самом деле, мы сталкиваемся с попытками применения методов социальной инженерии против рядовых пользователей буквально каждый день. Электронное письмо, якобы пришедшее от знакомого человека с предложением запустить прикреплённый файл - social engineering в чистом виде. Сайт, один в один копирующий внешний вид банковского портала, с просьбой ввести номер кредитной карты - то же самое. Для компаний и организаций список возможных вариантов расширяется многократно. Звонок системному администратору от якобы работника, забывшего свой пароль, физическое проникновение на территорию охраняемого объекта под видом действующего сотрудника - всё это тоже социальная инженерия. Примеров бесконечное множество, но вывод всегда один: мастера social engineering давят на самое слабое звено - на человека. Можно ли превратить его в звено сильное?
Митник, за свои успехи в эксплуатации человеческого фактора некогда прозванный самым опасным хакером современности, а сегодня руководящий компьютерной консультацией имени себя самого (DefensiveThinking недавно переименована в Mitnick Security Consulting), отвечает на этот вопрос утвердительно. Конечно, желающим нивелировать слабости своих сотрудников, придётся поработать - но иначе нет смысла и (буквально!) городить огород вообще: никакие самые дорогостоящие технические барьеры в виде сетевых фильтров, систем обнаружения вторжений и прочего, не спасут от проникновения злоумышленника, если не будет того, что сам Митник называет человеческим файрволом. По словам видавшего виды хакера, многие бизнесы сегодня сами ослабляют свою и без того хилую защиту, заставляя персонал практиковать ужасные с точки зрения информационной безопасности методы: постоянные пароли, передача секретной информации через открытые коммуникации (вроде электронной почты), доверие к настройкам, выставленным по умолчанию и т.п. Персонал должен быть обучен правильным приёмам работы с важными данными (причём по-разному, в зависимости от должности) и знать пределы своих полномочий. Параллельно Митник рекомендует создавать в недрах компаний особое подразделение, в которое от рядовых сотрудников стекались бы сведения о всех странных запросах, внутренних и внешних. Служащие такого подразделения должны быть специалистами по социальной инженерии и обладать достаточной властью, чтобы суметь предотвратить проникновение злоумышленников.
В том, что Митник сам обладает необходимыми знаниями и может поведать немало интересного и поучительного из своего криминального прошлого, сомневаться не приходится. Однако вплоть до 2007-го года решением суда ему запрещено использовать свои истории в целях извлечения выгоды. Поэтому пока великий хакер и знаток человеческих душ готовит книгу за книгой, участвуя лишь в роли эксперта по оценке чужих достижений. Совсем недавно в продаже появился второй его труд, "Art of Intrusion" (пока только на английском языке), содержащий реальные истории из жизни настоящих хакеров. Ценители, не пропустите!