Давайте рассмотрим пример. Вот стенограмма телефонного разговора, повлекшего за собой взлом центрального сервера Северо-Западной энергосистемы США (NWES) (из материалов расследования ФБР по факту хакерской атаки на NWES, совершенной осенью 2001 г.).
Звонок на фирму. Трубку берет секретарша.
— Алло? Это Джози Басс. Чем могу помочь?
— Привет. Это Мартин Уайт из компьютерного центра. Мы думаем, что кто-то взломал наш сервер. Я могу поговорить с дежурным техником?
— Милый, сегодня же пятница. Конец рабочей недели. Все уже разбежались.
— Так ты одна там скучаешь? Как вообще дела?
— Нормально. А у тебя?
— Все путем. Одна беда: сегодня пятница, а мне придется разгребать кучу папок с документами. Слушай, твой логин в сети «джи-басс»?
— Да.
— Я смотрю, им кто-то пользовался. Странные подключения.
— Какие подключения?
— Сейчас скажу.
(Шелест бумаг.)
— Черт! Боюсь, плохие парни могут поменять кое-какие данные на нашем сервере. Это приведет к отключению станции. Джоз, ты можешь изменить пароль?
— Я не знаю, как это делать!
— Вот же невезуха! Подожди, я сейчас посмотрю… Ara! Какой у тебя пароль?
— Олеандр и две тройки. Через дефис.
— Нет, этот не годится. А у шефа какой пароль?
— Коди, дефис, двойка, тридцать три, дефис, кот.
— То, что нужно. Спасибо, Джози. С меня кофе.
— Приятных выходных.
— Тебе того же.
«Мартин Уайт» действительно провел приятные выходные: он взломал сервер одной из основных энергостанций США и обесточил на 56 часов три штата этой могучей державы.
Социальная инженерия — это нетехнический аспект информационных технологий. Основной ее чертой является обман жертвы и получение секретной информации. Для кражи сведений используются два фундаментальных метода.
1. Простое требование, когда жертву просят выполнить конкретное действие. Хакер представляется авторитетной персоной (преподавателем, начальником, инспектором государственной службы) и отдает приказ. Это самый легкий метод, но он имеет множество недостатков и очень редко приводит к успешным результатам.
2. Создание иллюзорной ситуации, в которую включается жертва.
В данном случае хакер задействует множество второстепенных факторов, которые помогают ему склонить жертву к сотрудничеству. Примерами могут служить:
• звонок второстепенному сотруднику, введение его в смущенное состояние и просьба назвать пароль для срочной замены или спасения ценных данных;
• звонок от нового системного администратора, который обвиняет чиновника в нарушении трафика и требует доступа к его файлам.
Этикет мобильной связи
С телефоном в кармане можно находиться в таких общественных местах, как ресторан, парикмахерская, магазин, транспорт, но в кинотеатре, театре, музее, на концерте, где он будет несомненной помехой, рекомендуется выключать его совсем либо (если ждете важное сообщение) отключить звонок, оставив вибросигнал. Некоторые крупные операторы в Европе уже начали пропагандистские кампании, направленные на внедрение базовых правил телефонного этикета. Где-то используется электронное табло с бегущей строкой «выключите телефоны», где-то правила пишутся на рекламных плакатах. Англичане выпустили брошюру с забавной просьбой выключать телефон в церкви. Американцы идут своим путем: у них уже образовалась своеобразная когорта знатоков этикета, которые готовы разработать систему правил, но… Пока в основном обвиняют операторов связи в том, что они не предпринимают достаточных усилий в этом направлении.