Характер угрозы, Кевин Митник

Характер угрозы

История Рифкина прекрасно описывает, насколько мы можем заблуждаться в своём ощущении безопасности. Инциденты вроде этого – хорошо, может быть стоимостью не в $10 миллионов, но, тем не менее, болезненные инциденты – случаются каждый день . Возможно, прямо сейчас вы тоже теряете свои деньги или кто‑то сейчас ворует планы касательно новой продукции, и вы об этом даже не подозреваете. Если это ещё не случилось с вашей компанией, под вопросом остается только: не случится ли это вообще, а когда именно .

Растущее беспокойство

В своём обзоре по компьютерным преступлениям за 2001 год Институт Компьютерной Безопасности сообщил, что 85% опрашиваемых организаций сталкивались с нарушениями компьютерной безопасности за последние 12 месяцев. Это поразительные данные: только 15 организаций из 100 смогли ответить, что у них не было нарушений безопасности в течение года. Столь же поразительным было число организаций, которые ответили, что имели финансовые потери из‑за компьютерных нарушений: 64%. Более половины организаций понесли финансовые потери. И всего за один год .

Мой собственный опыт подсказывает мне, что числа в отчётах вроде этих несколько раздуты. Я с подозрением отношусь к людям, которые делают обзор. Но это не повод говорить, что ущерб не обширен, он на самом деле огромен. Тот, кто не предвидит инцидента с безопасностью, думает заранее неверно.

Коммерческие продукты по безопасности, применяемые в большинстве компаний, главным образом нацелены на защиту от любительского компьютерного вторжения, вроде тех, совершаемых юнцами, известными как скрипт‑кидди. Фактически, эти дети, скачивающие программное обеспечение и мечтающие стать хакерами, в большинстве случаев просто неприятность. Гораздо большие потери и реальные угрозы происходят от корыстных налётчиков, у которых есть чётко сформулированные цели, и которые мотивируются финансовой выгодой. Эти люди фокусируются на одной цели, в отличие от любителей, которые пытаются просканировать как можно больше систем. В то время как компьютерный налётчик‑любитель работает над количеством, профессионал целится в информацию в зависимости от её ценности и качества.

Технологии, вроде устройств для аутентификации (для проверки идентичности), контроля доступа (для управления доступом к файлам и системным ресурсам), и системы для обнаружения вторжений (электронный эквивалент сигнализации) необходимы для программы корпоративной безопасности. И всё же, на сегодняшний день для компании типичнее потратить больше денег на кофе, чем на развёртывание контрмер для защиты организации против атак на безопасность.

Точно так же, как мозг преступника не может сопротивляться искушению, мозг хакера стремится найти окружной путь вокруг мощных технологических средств защиты. И во многих случаях они этого достигают, целясь в людей, которые пользуются технологиями.

Методы введения в заблуждение

Есть популярное высказывание, что безопасный компьютер это тот, который выключен. Умно, но неверно: преступник может просто попросить кого‑нибудь зайти в офис и включить этот компьютер. Если противник захочет получить вашу информацию, он это сделает, обычно любым из нескольких возможных способов. Это только вопрос времени, терпения, индивидуальных черт и упорства. Вот когда искусство обмана вступает в силу.

Для того, чтобы обойти средства безопасности, налётчик, захватчик или социальный инженер должен найти способ обмануть доверенного пользователя, раскрыть информацию или незаметно заставить неподозревающего человека дать ему доступ. Поскольку возможны ситуации, когда доверенный пользователь обманут, подвержен влиянию, то есть его спровоцировали выдать секретную информацию или выполнить действия, создающие уязвимость в безопасности, в которую нападающий мог бы проскользнуть, то во всём мире не найдется таких технологий, которые могли бы защитить бизнес. Так же как криптоанализ может иногда расшифровать текст закодированного сообщения путём обнаружения слабого места в технологии шифрования, социальные инженеры могут использовать обман против ваших работников, чтобы обойти технологии защиты.