При поддержке
Тарио

Человеческий фактор

Известно, что стабильность системы равна стабильности слабого звена системы. Если компания предприняла невероятные усилия, чтобы приобрести и внедрить самые совершенные системы защиты информации, но при этом не позаботилась о разъяснительных работах для людей, которые будут управлять этими системами, можно считать, что расходы были напрасными.

Сколько раз приходилось слышать, что та или иная компания создают «совершенную» систему информационной безопасности, проникнуть в которую невозможно. Однако проходит некоторое время, и кто-то проникает в систему. Не обязательно, что компания будет знать об этом проникновении — всё зависит от целей взломщика.

Если он преследует тщеславные цели, то о взломе станет известно. Если же незваный гость занимается промышленным шпионажем, то никто и никогда не узнает о способе проникновения. И действительно, зачем говорить, как ты проник в систему? Ведь может понадобиться проникнуть в ту же систему повторно.

При взаимодействии с объектом атаки, хакеры уже давно не действуют наобум. Проникнуть в систему им помогают совершенно реальные люди. Для того, чтобы заполучить себе во временные «союзники» сотрудников фирмы-цели, хакер использует знания из области социального инжиниринга.

Если злоумышленник хочет проникнуть в систему атакуемой компании, ему не обязательно лично приходить в офисы компании. И совсем не обязательно созваниваться с кем-то. Иногда бывает достаточно составить грамотное электронное письмо, и разослать его по нужным адресам.

Некоторые примеры удачной рассылки становятся легендами. Например, сотрудники компании получают письмо якобы от директора ИТ-службы, в котором говорится, что в связи с участившимися случаями подбора паролей к серверам, всем сотрудникам, которые имеют доступ к серверам, необходимо изменить пароль на «12345».

Что делают сотрудники? Они не перезванивают директору ИТ-службы, чтобы уточнить информацию даже несмотря на то, что сделать это несложно. Вместо этого они изменяют пароли доступа к серверам на «12345». Если хакеру достаточно было проникнуть на серверы всего один раз, то можно считать, что ему это удалось.

Очевидно, что если злоумышленник хотел бы получить постоянную «дорожку» к серверам, он бы действовал более изощренно. Скорее всего, он выбрал бы в качестве жертвы одного сотрудника. После чего «обработал» бы его (или её), и получил бы «пожизненный» пропуск к серверам.

Итак, какие техники используют хакеры для совершения своих намерений? На самом деле этих техник существуют великое множество: социальный инжиниринг не стоит на месте и постоянно развивается. Однако практически всегда злоумышленники используют определённый набор психоинструментов. К основным можно отнести:

  • Страх;
  • Доверчивость;
  • Любопытство;
  • Жадность;
  • Великодушие.

Пожалуй, самым распространенным психооружием хакера является страх. Сколько раз злоумышленник проникал в компьютерные системы жертвы благодаря действиям сотрудника, который боялся потерять свою работу или задержаться на работе позднее положенного времени? Руководители компаний не обращают внимания на данный вид психооружия, поэтому, можно предположить, в ближайшее время не прекратятся атаки с его использованием.

Следующий тип психооружия хакера — это доверчивость. Данным типом оружия пользовался, например, злоумышленник, разославший письмо, в котором просил поменять пароль доступа к серверам на «12345». С доверием, в принципе, можно бороться, заставляя сотрудников компании с подозрением относиться абсолютно ко всему. Однако отсутствие доверия будет значительно тормозить работу компании, поэтому нужно найти оптимальное сочетание по поговорке «доверяй, но проверяй».

Любопытство также является одним из любимых коньков злоумышленников. Этим видом оружия особенно любят пользоваться вирусописатели. Практически каждое письмо с вирусом содержит файл-вложение, которое нужно открыть и запустить. Для того, чтобы заставить пользователи совершить эти действия, злоумышленник использует любопытство. Он может написать, что в файле находятся пикантные снимки какой-то знаменитости. Иногда этого достаточно, чтобы пользователь, забыв обо всем, запустил файл. Или, напротив, злоумышленник может ничего не писать, а просто указать веб-адрес страницы в расчёте на категорию чересчур любопытных.

Жадность также является действенным оружием хакера. Поскольку каждый из нас живой человек, нет ничего удивительного в том, что мы хотим большего. Этим и пользуются злоумышленники, делая предложения, от которых нельзя отказаться.

Ещё одним из любимых типов психооружия хакера является великодушие. Не откажитесь же вы помочь новой сотруднице, которой руководство поручило подготовить очень сложный и объёмный доклад. А вам всего лишь нужно посмотреть презентацию и составить свои отзывы. Вы открываете файл и… Что будет дальше — известно.

В заключении хотелось бы отметить, что по мере усложнения аппаратных и программных средств защиты информации, человеческий фактор будет приобретать все более весомое значение. Именно поэтому в стремлении защитить себя от вторжений необходимо уделять большее внимание людям, как одной из важных и хрупких цепей существования системы.

Роман Боровко / CNews Analytics

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2005 г.

Toolbar | КПК-версия | Подписка на новости  | RSS