Если вы хотите, чтобы никто не влез в ваш компьютер через «доступ к файлам и принтерам» (File and Print Sharing), то проверьте опции этого режима и деактивируйте их.
Ступайте в «Мой компьютер» (My Computer), откройте папку «Панель управления» (Contol Panel), дважды кликните по «Сети» (Network), затем по кнопке «Доступ к файлам и принтерам» (File and Print Sharing) и убедитесь, что указанные опции не отмечены галочками. Если они не отмечены, то все так и оставьте. Просто кликните ОК.
Защита портов
Для защиты портов установите Firewall. Эта программа не позволяет хакерам просматривать содержимое вашего компьютера, подключаться к нему и хозяйничать в нем.
Существуют две формы Firewall-ов: халявные и за деньги (пара тысяч долларов, не меньше). Я предпочитаю первый вариант. Для Windows годятся продукты ZoneLabs — например, ZoneAlarm. Эту программу можно скачать на www.download.com .
Обновление программ
Всегда следите за появлением последних версий софта и всегда старайтесь скачивать обновления для Windows через Windows Update, предлагаемый компанией Microsoft. Также советую вам заглядывать в BugTraq-архив на сайте www.SecurityFocus.com, потому что там находится список всех известных «багов» и уязвимых мест Windows и других программ.
Такие вещи нужно знать!
Сидят два хакера, и в комнату заходит кот. Один хакер спрашивает:
— Твой кот?
— Да, мой. Зюхёль зовут!
— Почему Зюхель?
— Вот смотри.
Социальная инженерия — это искусство принуждать людей к действиям, которые они не стали бы совершать, если бы знали о ваших истинных намерениях. Не нужно считать социальную инженерию разновидностью гипноза. Я назвал бы ее формой хакинга, так как она сочетает в себе основные элементы хакерских техник: предварительную подготовку, сбор информации и эффективную атаку.
Социальная инженерия направлена на слабейшее звено в цепочке компьютерной безопасности. Она направлена на человека. Любая компьютерная система нашей прекрасной планеты зависит не только от платформы, софта и умных системных администраторов. Вокруг нее крутятся уборщицы, охранники, техники, секретари, пользователи локальных сетей… Да кого там только нет! И если вам удастся уговорить кого-то из них совершить некоторые действия, то даже самый мощный компьютер упадет к вашим ногам, как поверженный колосс.
Давайте рассмотрим пример. Я предлагаю вам прочитать стенограмму телефонного разговора, повлекшего за собой «взлом» центрального сервера северо-западной энергосистемы США (из материалов расследования ФБР по факту хакерской атаки на NWES, совершенной осенью 2001 года).
Стенограмма телефонного разговора между хакером и секретаршей директора энергетической станции:
— Алло? Это Джози Басс. Чем могу помочь?
— Привет. Это Мартин Уайт из компьютерного центра. Мы думаем, что кто-то взломал наш сервер. Я могу поговорить с дежурным техником?
— Милый, сегодня же пятница. Конец рабочей недели. Все уже разбежались.
— Так ты одна там скучаешь? Как вообще дела?
— Нормально. А у тебя?
— Все путем. Одна беда: сегодня пятница, а мне придется разгребать кучу папок с документами. Слушай, твой логин в сети «джи-басс»?
-Да.
— Я смотрю, им кто-то пользовался. Странные подключения.
— Какие подключения?
— Сейчас скажу.
(Шелест бумаг.)
— Черт! Боюсь, плохие парни могут поменять кое-какие данные на нашем сервере. Это приведет к отключению станции. Джоз, ты можешь изменить пароль?
— Я не знаю, как это делать!
— Вот же невезуха! Подожди, я сейчас посмотрю… Ага! Какой у тебя пароль?
— Олеандр и две тройки. Через дефис.
— Нет, этот не годится. А у шефа какой пароль?
— Коди, дефис, двойка, тридцать три, дефис, кот.
— То, что нужно. Спасибо, Джози. С меня кофе.
— Приятных выходных.
— Тебе того же.
«Мартин Уайт» действительно провел приятные выходные: он взломал сервер одной из основных энергостанций США и обесточил на 56 часов три штата весьма могучей державы.
Итак, вы уже поняли, что социальная инженерия — это нетехнический аспект IT (информационных технологий). Основной ее чертой является обман жертвы и получение секретной информации. Для кражи сведений используются два фундаментальных метода:
1) простое требование, когда жертву просят выполнить конкретное действие. Вы представляетесь авторитетной персоной (преподавателем, крутым начальником, инспектором государственной службы) и отдаете приказ. Это самый легкий метод, но он имеет множество недостатков и очень редко приводит к успешным результатам.
2) Создание иллюзорной ситуации, в которую включается жертва.
В данном случае хакер задействует множество второстепенных факторов, которые помогают ему склонить жертву к сотрудничеству. Примерами могут служить:
Звонок второстепенному сотруднику, введение его в смущенное состояние и просьба назвать пароль для срочной замены иЗш спасения ценных данных;
Звонок от нового системного администратора, который обвиняет чиновника в нарушении трафика и требует доступ к его файлам;
Визит посетителя, который задает вопросы и «случайно» подсматривает, как жертва печатает свои пароли;
Звонок или письмо от «техника компьютерного центра», который просит жертву напечатать несколько команд и ввести их в систему;
Появление новой уборщицы, которая роется в корзинах для бумаг.
Естественно, от хакера требуется не только дар убеждения, но и некоторые сведения о жертве. Придуманная вами ситуация должна быть основана на легко проверяемых фактах.
Чем меньше неправды, тем лучше. Кроме того, необходимы навыки в НЛП (нейро-лингвистического программирования) — теории, которая Описывает шаблоны человеческого мышления. Вся электронная коммерция построена на предсказуемости нашего поведения. Люди, как собаки Павлова, реагируют на определенные стимулы в строго предсказуемой манере.
Теперь подойдите с этим листом к товарищу, подруге или родителю и попросите их пройти небольшой тест. Сложите лист пополам, чтобы они не видели цифр. Скажите испытуемым, что покажете им столбик цифр, которые нужно сложить в уме. Подбодрите их тем, что цифры легко складываются. Попросите их называть вам суммы вслух (обязательно вслух — четко и громко).
Затем откройте первую строку (только первую) и попросите назвать цифру. Ну, допустим, вашим испытуемым буду я: «Тысяча!» Вы открываете вторую строку и просите меня назвать сумму. Я отвечаю: «Тысяча сорок».
Вы открываете третью строку. Я говорю: «Две тысячи сорок», И так далее. Но когда вы откроете последнюю строку, я вместо «четырех тысяч ста» скажу вам «пять тысяч». И любой другой человек скажет вам «пять тысяч»! Потому что так работают наши мозги.
Мы создали ситуацию, в которой сформировался шаблон по- I ведения. Ваш испытуемый все время повторял одно и то же: «тысяча»… «тысяча»… «тысяча»…
Комментарии