Для вступления в общество новичков и профессионалов домен-индустрии, пожалуйста нажмите здесь ...

   
 Купля-продажа и обсуждение доменных имён
        

  
Вернуться   Форум о доменах > Отдыхаем > Комната отдыха
Регистрация Реноме Правила форума Справка Пользователи Социальные группы Все разделы прочитаны
Комната отдыха В данной категории Вы можете вести речь на любые интересующие Вас темы до тех пор, пока цензура имеет место. Счетчик сообщений отключен.

Ответ
 
Опции темы
Сегодня
от 149р за .RU
Аренда сервера
2x Intel Hexa-Core Xeon E5-2420
Всего 79 евро!

с видеокартой GeForce GTX 1080 Ti
всего 99 евро!

от 149р за .РФ Реклама на DomenForum.net
Старый 03.10.2012, 02:55   #1
 
Аватар для Zegaldis
 
Регистрация: 30.05.2005
Адрес: UA
Сообщений: 1,569
Доменные сделки: 3
Реноме: 2026
Одобрения
Спасибо (Отдано): 78
Спасибо (Получено): 56
Отправить сообщение для Zegaldis с помощью ICQ
Хорошо Конкурентная разведка: «потрошители телефонов» или «социальный инжиниринг»?

Уже на протяжении трех лет в США устраивается одно очень поучительное ежегодное мероприятие — турнир социальных хакеров, на котором, пожалуй, нелишне хотя бы иногда бывать топ-менеджерам и руководителям служб безопасности крупных компаний. Многие сейчас зациклены на вопросах ИТ-безопасности, однако явно недооценивают угрозы утечки конфиденциальных корпоративных сведений при «взломе» с помощью элементарного телефонного звонка.

В профессиональной среде бизнес-разведчиков это принято называть «разведкой по людям» или humint (от английского human intelligence). Именно собственные сотрудники часто оказываются наиболее слабым звеном в системе безопасности, которую выстраивает компания.
Американский турнир социальных хакеров проходит в рамках большой хакерской конференции Defcon в Лас-Вегасе. Общая ее направленность, впрочем, вполне миролюбива: компьютерные хакеры ищут уязвимости в системах ИТ-безопасности, социальные — «взламывают» крупные американские корпорации, «прокачивая» их сотрудников по телефону и выуживая корпоративные секреты.

За всем этим с интересом наблюдают гости, в том числе и весьма статусные — например, высокие чины из ФБР, АНБ, Минобороны и Минюста США. Поучительно, на мой взгляд, то, что социальные хакеры добиваются своей цели гораздо быстрее и эффективнее «айтишных», а часто даже приоткрывают им «дверцу» для эффективной компьютерной атаки на компанию-цель.

Обставлен турнир просто. Организаторы заблаговременно выдают участникам список из десяти произвольно выбранных корпораций, входящих в Fortune 500, а также перечень «флагов» — сведений, которые нужно добыть. Две недели хакеры выбирают цель, изучают ее по открытым источникам, ищут слабое звено и «легендируются». Во время соревнования их усаживают в прозрачную звуконепроницаемую кабинку на сцене, соединяют с нужным телефонным номером, а звонок выводят через динамики в зал, дабы публика могла оценить их мастерство «социального инжиниринга». На все про все хакеру дается 20 минут: за это время он должен взять максимальное количество очков.

Многие эпизоды последнего турнира, прошедшего в июне, можно вносить в хрестоматии по конкурентной разведке. Поначалу уверенно лидировал телефонный хакер по имени Джон Каррутерс, выбравший для атаки магазины сети Target. За отведенное ему время он успел «прокачать» сразу несколько сотрудников ИТ-отделов магазинов в разных уголках страны, представляясь системным администратором центра обработки данных компании в Миннесоте и расспрашивая, почему не установлен важный «патч» в программное обеспечение по работе с поставщиками.

Во время подготовки к «хаку» от внимания Джона Каррутерса не ускользнул тот факт, что при создании своего сайта Target ненароком сделала общедоступной важную информацию ДСП — внутренние номера-идентификаторы магазинов сети. Оказалось, что они видны в командной строке браузера после перехода на страничку конкретного магазина — как часть URL.

Так что стоило кому-либо из собеседников Каррутерса слегка усомниться, что они и в самом деле имеют дело с сисадмином своей компании, тот смело называл номер-идентификатор их магазина — и этого оказывалось достаточно, чтобы корпоративная система опознавания «свой — чужой» срабатывала как нужно и дальнейшее шло уже как по маслу.

Хуже обстояли дела с «прокачкой» у хакеров, которые представлялись аналитиками, проводящими маркетинговое исследование, и журналистами.

Победителем же турнира уже во второй раз стал Шейн Магдугал, который в присутствии почтенной публики красиво разделал под орех магазин Wal-Mart в одном из канадских городков. Шейн позвонил его управляющему, представившись менеджером по логистике из штаб-квартиры Wal-Mart. Сказал, что собирается вскорости приехать в их город, поскольку подбирает «пилотные» магазины для участия в программе по реализации крупного правительственного контракта, который вот-вот может получить Wal-Mart, — однако некоторые детали, связанные с операционной деятельностью его магазина, хочет выяснить по телефону.

После такой преамбулы управляющий легко и без тени сомнения стал сдавать хакеру «флаги» один за другим и даже сболтнул немало того, о чем его не спрашивали: о графике работы смен, операционной системе и антивирусе, установленных на его служебном компьютере, названии компании-подрядчика, оказывающей клининговые услуги, порядке оплаты труда персонала и т. д.

В конце концов Магдугал попросил его зайти на сторонний сайт и заполнить на нем специальный опросный лист («Это поможет мне подготовиться к поездке», — аргументировал Магдугал). Управляющий оказался готов сделать даже это; его остановило только то, что корпоративная ИТ-система заблокировала переход на сайт, указанный хакером.

После успешного «хака» Магдугал сказал журналистам CNNMoney, что его самые любимые «клиенты» — это как раз менеджеры, отвечающие за продажи: «Стоит поманить большими деньгами, как их здравый смысл улетучивается в тот же миг». Из уст хакера-чемпиона прозвучало еще несколько очень важных слов: «Все эти CIO в крупных компаниях готовы тратить огромные деньги на файерволы и прочие вещи, но ни цента — на инструктаж и обучение персонала».

На самом деле социальный хакинг — феномен очень старый, но его «герои» предпочитают обычно оставаться в тени. Участники описанного турнира — скорее исключение. Дело в том, что многие из них профессионально занимаются «аудитом» систем безопасности крупных корпораций, поэтому заинтересованы в том, чтобы демонстрировать на публике свои возможности. Из прославившихся в Америке социальных хакеров прежних времен, не скрывавших своих сомнительных с этической точки зрения методов, можно вспомнить разве что легендарного редактора газеты Chicago’s American Гарри Романоффа.

Почти все сенсации он добывал по телефону, представляясь собеседникам то начальником полиции, то губернатором, то главой пожарного департамента. (В анналы истории вошла «осечка Романоффа», когда он однажды позвонил в дом, где недавно произошло преступление и работала следственная бригада. «Говорит коронер Обайон, сколько там у вас жертв?» — спросил Гарри. И услышал на том конце провода: «Нет, это как раз я коронер Обайон! А ты, черт возьми, кто такой?»)

Бизнес должен понимать, что современным социальным хакерам стало работать гораздо проще: легче наметить подходящего для атаки сотрудника, собрать на него досье, разобраться в служебных и личных связях внутри корпорации, в иерархии ее бизнес-подразделений, корпоративной культуре. К их услугам теперь — социальные сети, где у большинства сотрудников — от мала до велика — обнаруживаются аккаунты. Там же в ходе общения с намечаемым для «прокачки» человеком можно не спеша, загодя поучиться его профессиональному жаргону, чтобы потом говорить с ним на одном языке.

Часто хакеры не действуют «в лоб» и не стараются получить конфиденциальную информацию от самого очевидного источника в компании, располагающего ею. Чтобы выудить сведения о системе ИТ-безопасности, не обязательно «прокачивать» айтишников, а о финансовых показателях — бухгалтера. Классика коммерческого шпионажа — это, например, использование уборщицы, в обязанности которой входит выбрасывать мусор из корзины в кабинете руководителя компании. Такой мусор может оказаться источником важных сведений для конкурентов.

Телефонные звонки — чрезвычайно удобный инструмент для социального хакера. Если полученная информация не используется во вред определенной персоне или самой организации, то никакой уголовной ответственности не предполагается: общение с человеком у нас не запрещено. Свою меру ответственности в данном случае должен осознавать тот, кто находится на другом конце провода. Например, если бухгалтер даже совершенно неосознанно сообщает по телефону сведения, которые потом попадают к конкурентам, это вполне может быть квалифицировано как действие, за которое предполагается в том числе и уголовная ответственность — в соответствии с ФЗ «О коммерческой тайне».

Вполне типичная ситуация: бухгалтеру звонит человек, который представляется сотрудником статистического ведомства и просит ответить на запрос, высланный на электронную почту. Документ не вызывает никаких подозрений, поскольку составлен по всем правилам. Далее события могут развиваться по-разному. Один бухгалтер, вероятно, заполнит запрос и, сам того не подозревая, отправит его конкурентам. Другой — потребует оригинал, перезвонит в ведомство, чтобы узнать, зачем оно рассылает запросы компаниям по электронной почте… Догадайтесь, какой способ — правильный.

Важно понимать: технические меры безопасности — не панацея. Помимо дорогих и сложных ИТ-систем, защищать данные своей компании должны люди, которые в ней работают. И здесь мы уже говорим об административной защите, предполагающей постоянную работу с персоналом.

В любой организации должны быть прописаны регламенты по работе с информацией, которая может иметь конфиденциальный характер, а каждый новый сотрудник при приеме на работу должен подписывать соглашение о неразглашении коммерческой тайны. Хотя бы раз в год необходимо проводить корпоративные тренинги или семинары. Руководителю следует четко указывать, где находится коммерческая тайна и как ее нужно охранять. Такая профилактика утечки данных — преимущественно образовательные мероприятия.

Социальные сети давно превратились в среду, где «черные» хакеры успешно ведут свою «разведку по людям». Уже известны случаи, когда они специально заводят аккаунт от имени генерального директора компании и начинают активно «дружить» с сотрудниками, выуживая интересующие сведения. Разумеется, для подобного «взлома» подбираются в основном компании, руководство которых пребывает на некоторой дистанции от сотрудников — географически или с точки зрения управленческой иерархии.

В таком случае нет риска, что до генерального дойдет информация о его активной «дружбе» с подчиненными в Сети. В компаниях с предусмотрительным руководством аккаунты-клоны игнорируются, потому что до коллектива своевременно доводится реальный аккаунт генерального директора.

Это действительно работает. Но хакер может с большим успехом создать аккаунт жены руководителя, попытаться познакомиться со всеми, кто имеет отношение к компании, и таким образом постепенно разведывать обстановку. Как же уберечься от опасности? Решение проблемы кроется в обеспечении максимальной информативности, чтобы у персонала было общее понимание того, с кем вести переписку и на какие темы разговаривать.

http://antiraid.com.ua/news/15423-ko...hiniringr.html
Zegaldis вне форума   Ответить с цитированием
Старый 03.10.2012, 02:58   #2
 
Аватар для Zegaldis
 
Регистрация: 30.05.2005
Адрес: UA
Сообщений: 1,569
Доменные сделки: 3
Реноме: 2026
Одобрения
Спасибо (Отдано): 78
Спасибо (Получено): 56
Отправить сообщение для Zegaldis с помощью ICQ
Имхо, интересно и познавательно
Zegaldis вне форума   Ответить с цитированием
Старый 04.10.2012, 20:03   #3
 
Аватар для Crazy-Brother
 
Регистрация: 07.01.2008
Адрес: Helsinki
Сообщений: 6,387
Доменные сделки: 64
Реноме: 6781
Одобрения
Спасибо (Отдано): 128
Спасибо (Получено): 711
К сожалению тут только констатация свершившихся фактов. Хотелось бы инструкций и наглядных пособий)
__________________
Take the risk or lose the chance.
Crazy-Brother вне форума   Ответить с цитированием
Старый 04.10.2012, 20:57   #4
 
Аватар для alfer
 
Регистрация: 12.09.2009
Сообщений: 990
Доменные сделки: 8
Реноме: 2933
Одобрения
Спасибо (Отдано): 50
Спасибо (Получено): 66
Отправить сообщение для alfer с помощью ICQ
Сообщение от Crazy-Brother Посмотреть сообщение
Хотелось бы инструкций и наглядных пособий)
а инструкции уже за деньги)
__________________
Не позволяй своим победам занимать твою голову, а своим поражениям - твоё сердце
alfer вне форума   Ответить с цитированием
Старый 04.10.2012, 21:52   #5
 
Аватар для Crazy-Brother
 
Регистрация: 07.01.2008
Адрес: Helsinki
Сообщений: 6,387
Доменные сделки: 64
Реноме: 6781
Одобрения
Спасибо (Отдано): 128
Спасибо (Получено): 711
Сообщение от alfer Посмотреть сообщение
а инструкции уже за деньги)
Вам бы всё деньги... Долой предрассудки, да здравствует коммунизм!)
__________________
Take the risk or lose the chance.
Crazy-Brother вне форума   Ответить с цитированием
Старый 05.10.2012, 18:48   #6
 
Регистрация: 09.03.2011
Сообщений: 403
Доменные сделки: 16
Реноме: 1270
Одобрения
Спасибо (Отдано): 32
Спасибо (Получено): 57
Сообщение от Crazy-Brother Посмотреть сообщение
Вам бы всё деньги... Долой предрассудки, да здравствует коммунизм!)
Сообщение от Crazy-Brother Посмотреть сообщение
Адрес: Helsinki
Как всегда весело.
А статья интересная.
ANK13 вне форума   Ответить с цитированием
Старый 07.10.2012, 16:54   #7
 
Аватар для alfer
 
Регистрация: 12.09.2009
Сообщений: 990
Доменные сделки: 8
Реноме: 2933
Одобрения
Спасибо (Отдано): 50
Спасибо (Получено): 66
Отправить сообщение для alfer с помощью ICQ
Сообщение от Crazy-Brother Посмотреть сообщение
Вам бы всё деньги... Долой предрассудки, да здравствует коммунизм!)
да и при коммунизме бы они не помешали)))
__________________
Не позволяй своим победам занимать твою голову, а своим поражениям - твоё сердце
alfer вне форума   Ответить с цитированием
Ответ



Реклама

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Закладки Добавить Тема в закладки

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 22:21. Часовой пояс GMT +4.