NetBIOS


netbios-2_2.png

Если вы хотите, чтобы никто не влез в ваш компьютер через «доступ к файлам и принтерам» (File and Print Sharing), то проверьте опции этого режима и деактивируйте их.

Ступайте в «Мой компьютер» (My Computer), откройте папку «Панель управления» (Contol Panel), дважды кликните по «Сети» (Network), затем по кнопке «Доступ к файлам и принтерам» (File and Print Sharing) и убедитесь, что указанные опции не отмечены галочками. Если они не отмечены, то все так и оставьте. Просто кликните ОК.

Защита портов

Для защиты портов установите Firewall. Эта программа не позволяет хакерам просматривать содержимое вашего компьютера, подключаться к нему и хозяйничать в нем.

Существуют две формы Firewall-ов: халявные и за деньги (пара тысяч долларов, не меньше). Я предпочитаю первый вариант. Для Windows годятся продукты ZoneLabs — например, ZoneAlarm. Эту программу можно скачать на www.download.com .

Обновление программ

Всегда следите за появлением последних версий софта и всегда старайтесь скачивать обновления для Windows через Windows Update, предлагаемый компанией Microsoft. Также советую вам заглядывать в BugTraq-архив на сайте www.SecurityFocus.com, потому что там находится список всех известных «багов» и уязвимых мест Windows и других программ.

Такие вещи нужно знать!

Сидят два хакера, и в комнату заходит кот. Один хакер спрашивает:

— Твой кот?

— Да, мой. Зюхёль зовут!

— Почему Зюхель?

— Вот смотри.

Социальная инженерия — это искусство принуждать людей к действиям, которые они не стали бы совершать, если бы знали о ваших истинных намерениях. Не нужно считать социальную инженерию разновидностью гипноза. Я назвал бы ее формой хакинга, так как она сочетает в себе основные элементы хакерских техник: предварительную подготовку, сбор информации и эффективную атаку.

Социальная инженерия направлена на слабейшее звено в цепочке компьютерной безопасности. Она направлена на человека. Любая компьютерная система нашей прекрасной планеты зависит не только от платформы, софта и умных системных администраторов. Вокруг нее крутятся уборщицы, охранники, техники, секретари, пользователи локальных сетей… Да кого там только нет! И если вам удастся уговорить кого-то из них совершить некоторые действия, то даже самый мощный компьютер упадет к вашим ногам, как поверженный колосс.

Давайте рассмотрим пример. Я предлагаю вам прочитать стенограмму телефонного разговора, повлекшего за собой «взлом» центрального сервера северо-западной энергосистемы США (из материалов расследования ФБР по факту хакерской атаки на NWES, совершенной осенью 2001 года).

Стенограмма телефонного разговора между хакером и секретаршей директора энергетической станции:

— Алло? Это Джози Басс. Чем могу помочь?

— Привет. Это Мартин Уайт из компьютерного центра. Мы думаем, что кто-то взломал наш сервер. Я могу поговорить с дежурным техником?

— Милый, сегодня же пятница. Конец рабочей недели. Все уже разбежались.

— Так ты одна там скучаешь? Как вообще дела?

— Нормально. А у тебя?

— Все путем. Одна беда: сегодня пятница, а мне придется разгребать кучу папок с документами. Слушай, твой логин в сети «джи-басс»?

-Да.

— Я смотрю, им кто-то пользовался. Странные подключения.

— Какие подключения?

— Сейчас скажу.

(Шелест бумаг.)

— Черт! Боюсь, плохие парни могут поменять кое-какие данные на нашем сервере. Это приведет к отключению станции. Джоз, ты можешь изменить пароль?

— Я не знаю, как это делать!

— Вот же невезуха! Подожди, я сейчас посмотрю… Ага! Какой у тебя пароль?

— Олеандр и две тройки. Через дефис.

— Нет, этот не годится. А у шефа какой пароль?

— Коди, дефис, двойка, тридцать три, дефис, кот.

— То, что нужно. Спасибо, Джози. С меня кофе.

NetBIOS

— Приятных выходных.

— Тебе того же.

«Мартин Уайт» действительно провел приятные выходные: он взломал сервер одной из основных энергостанций США и обесточил на 56 часов три штата весьма могучей державы.

Итак, вы уже поняли, что социальная инженерия — это нетехнический аспект IT (информационных технологий). Основной ее чертой является обман жертвы и получение секретной информации. Для кражи сведений используются два фундаментальных метода:

1) простое требование, когда жертву просят выполнить конкретное действие. Вы представляетесь авторитетной персоной (преподавателем, крутым начальником, инспектором государственной службы) и отдаете приказ. Это самый легкий метод, но он имеет множество недостатков и очень редко приводит к успешным результатам.

2) Создание иллюзорной ситуации, в которую включается жертва.

В данном случае хакер задействует множество второстепенных факторов, которые помогают ему склонить жертву к сотрудничеству. Примерами могут служить:

Звонок второстепенному сотруднику, введение его в смущенное состояние и просьба назвать пароль для срочной замены иЗш спасения ценных данных;

Звонок от нового системного администратора, который обвиняет чиновника в нарушении трафика и требует доступ к его файлам;

Визит посетителя, который задает вопросы и «случайно» подсматривает, как жертва печатает свои пароли;

Звонок или письмо от «техника компьютерного центра», который просит жертву напечатать несколько команд и ввести их в систему;

Появление новой уборщицы, которая роется в корзинах для бумаг.

Естественно, от хакера требуется не только дар убеждения, но и некоторые сведения о жертве. Придуманная вами ситуация должна быть основана на легко проверяемых фактах.

Чем меньше неправды, тем лучше. Кроме того, необходимы навыки в НЛП (нейро-лингвистического программирования) — теории, которая Описывает шаблоны человеческого мышления. Вся электронная коммерция построена на предсказуемости нашего поведения. Люди, как собаки Павлова, реагируют на определенные стимулы в строго предсказуемой манере.

Теперь подойдите с этим листом к товарищу, подруге или родителю и попросите их пройти небольшой тест. Сложите лист пополам, чтобы они не видели цифр. Скажите испытуемым, что покажете им столбик цифр, которые нужно сложить в уме. Подбодрите их тем, что цифры легко складываются. Попросите их называть вам суммы вслух (обязательно вслух — четко и громко).

Затем откройте первую строку (только первую) и попросите назвать цифру. Ну, допустим, вашим испытуемым буду я: «Тысяча!» Вы открываете вторую строку и просите меня назвать сумму. Я отвечаю: «Тысяча сорок».

Вы открываете третью строку. Я говорю: «Две тысячи сорок», И так далее. Но когда вы откроете последнюю строку, я вместо «четырех тысяч ста» скажу вам «пять тысяч». И любой другой человек скажет вам «пять тысяч»! Потому что так работают наши мозги.

Мы создали ситуацию, в которой сформировался шаблон по- I ведения. Ваш испытуемый все время повторял одно и то же: «тысяча»… «тысяча»… «тысяча»…

Комментарии

справка в бассейн 200 руб с доставкой Выставочная