Кевин Митник? Назовите, пожалуйста, номер вашего телефона

Знаменитый бывший хакер Кевин Митник говорит, что большинство социотехнических атак, совершаемых от чужого имени, о которых ему известно, провалились бы, если бы объект просто поинтересовался номером телефона позвонившего.

Это позволило бы сотрудникам пострадавшей компании, перезвонив по названному номеру, убедиться в том, что это действительно тот, за кого он себя выдает. Если кто-то звонит, чтобы выведать у компании какие-то сведения, это немедленно отпугнет его. Если же это подлинное лицо, оно с готовностью выполнит такую просьбу. «Если бы люди просто перезванивали, это решило бы проблему безопасности на 80%», — заявил Митник участникам форума, организованного сегодня утром в Сиднее компанией Citrix.

Митник рассказал, как сотрудница Motorola, передавшая ему в его бытность хакером секретный исходный код компании, заставила его поволноваться и едва не повесить трубку, когда она взяла паузу, чтобы согласовать некоторые детали со своим менеджером по безопасности. Однако в конечном счете эта попытка все же удалась.

Большинству людей свойственно желание помочь другим, когда кто-то к ним обращается, но служащим следует твердо отклонять вопросы, которые могут нанести ущерб безопасности, сказал Митник. Исправившийся хакер — теперь консультант по безопасности — особо выделил те попытки нарушить безопасность компании, которые относятся к разведке: сбору информации в преддверии атаки. Одним из замечательных объектов для такой разведки, по его словам, является служба технической помощи ИТ-подразделения компании.

«Они всегда готовы помочь», — заверил Митник. Мошенники, позвонившие по номеру сервисной службы, легко могут выяснить, какие контрольные признаки — дата рождения, идентификационный номер сотрудника и т. п. — использует персонал службы для удостоверения личности позвонившего. Затем они могут повесить трубку, провести некоторое исследование и позвонить снова, уже во всеоружии, готовые взломать пользовательский аккаунт.

Хотя социотехнические рекомендации Митника не привязаны ко времени и технологически нейтральны, экс-хакер явно в курсе современных технических приемов. Он отметил, что при помощи одного из устройств Apple AirPort (популярный узел беспроводного доступа) можно моментально создать порт беспроводного доступа в штаб-квартиру любой компании, если подключить его к сетевому порту этой компании. «Достаточно нанести на него логотип компании с пометкой „Отдел ИТ. Не отключать”, и можно бродить по всей сети с автостоянки». А если это устройство USB Bluetooth, оно будет выполнять ту же функцию, если вставить его в порт на задней панели ПК любого сотрудника.

Предыдущие публикации:

2000-01-24		Хакер Митник на свободе
2005-04-27		Пленка скрывает сети Wi-Fi от посторонних глаз

Обсуждение и комментарии

	Гуй Вебовый 21 Jul 2005 2:36 PM
"А вы знаете, что многих дорожно-транспортных происшествий можно было бы избежать, если бы водители и пешеходы просто-напросто соблюдали правила дорожного движения?" Эту потрясающую мысль сообщил шофёр Кузьмич, осуждённый за вождение в нетрезвом состоянии.

	Чр - Чр 21 Jul 2005 2:50 PM
уже не шофер а сотрудник ГИББДД

	Гуй Вебовый 21 Jul 2005 4:10 PM
2 xacid: Так и ГИБДДшник Кузьмич прав насчёт правил дорожного движения. Просто "человеческий фактор" всегда был и будет.

	xacid 21 Jul 2005 5:19 PM
Моисей говорил примерно об этом же имхо и все наверное еще долго будут говорить... а "фактор" как не понимал ничего так и не понимает

	Илья 22 Jul 2005 6:27 AM
Вообще-то в стране, где живет гр-н Митник, номера телефонов НЕ высвечиваются только за отдельные деньги, и спрашивать их нет необходимости. Или он стал советником по безопасности где-нибудь в глухом албанском аиле? Да и потом, я всегда могу сказать, что дело срочное и я звоню с мобилы (своей или шефа), пока у них там телеконференция. В общем, детский лепет.

	RSM 22 Jul 2005 1:06 PM
2Илья: К вашему сведению в стране где живет Митник, запрещено использовать оборудование для определения номера =) Совсем запрещено =) А при учете не однородности телефонной сети (разные компании, разные каналы, разное оборудование) еще и не имеет смысла =)

	Yuri Abele - yuriabelehotmail.com 22 Jul 2005 2:03 PM
Я не знаю про стану Митника, но в Германии ни показ, но прятание телефонного номера ничего не стоят. Достаточно просто сказать в любом пункте Deutsche Telekom-а, чтобы ваш телефон показывался или нет на справке.

	Илья 22 Jul 2005 6:40 PM
2RSM Речь идет о Caller ID, стандартной функции в тел. сетях Северной Америки. Когда вы регистрируете тел. номер, ваше имя или название вашей компании автоматически появляется на телефонах тех, кому вы звоните. Чтобы имя НЕ появлялось, вам нужно обратиться в тел. компанию и сколько-то там заплатить, тогда вместо имени будет высвечиваться "private number". Кстати, скрываются обычно спамеры, и на звонки с "private number" отвечать не принято :-)

	Не Лох 22 Jul 2005 8:16 PM
2 RSM Определители номера запрещены только в гос учреждениях. (борьба с дискриминацией) В частных компаниях ради бога, используй. Частные компании имеют право отказать в сервисе кому угодно без обьяснений. Поэтому определители номера там разрешены.

	z3f 25 Jul 2005 10:09 AM
Вообще то - это просто цитата из старой доброй книги Митника (http://www.fictionbook.ru/ru/author/mitnik_kevin/iskusstvo_ obmana/)... интересно по какой причине ее решили вспомнить? или zdnet просто не нашлось новостей и она решила выкинуть эту пережеванную уже не раз книгу?

	eXOR 14 Aug 2005 4:44 PM
просто митник сейчас - модно.

← июнь 2005

17 18 19 20 21 22 23 24 25

август 2005 →