На конференции по информационной безопасности, организованной 10 февраля компанией IDC совместно с издательством «Открытые системы», впервые в нашей стране перед широкой общественностью предстал Кевин Митник
Он получил известность как один из самых неуловимых хакеров мира, но так было раньше, а теперь Митник выступает в качестве соучредителя и генерального директора консалтинговой фирмы Mitnik Security Consulting.
Приезда легендарного «злоумышленника» в Москве ждали. И не только потому, что его слава, помноженная на несчетное количество слухов и домыслов, не дает покоя отечественным хакерам. Специалисты в области защиты информации рассчитывали с помощью эксперта по компьютерным взломам получить ответ на вопрос, ставший почти риторическим: как обезопасить свой бизнес от действий злоумышленников?
Но, как и следовало ожидать, Митник не открыл каких-либо страшных тайн. Если они и существуют, то известны лишь ему да некоторым сотрудникам спецслужб. И еще, возможно, доступ к тайным способам проникновения в корпоративные сети получают за определенную плату, причем немалую, клиенты бывшего хакера, а теперешнего консультанта.
С участниками конференции Кевин Митник поделился лишь основными положениями теории социальной инженерии, получившей широкую известность благодаря его хакерской деятельности и выпущенным по ее следам книгам. По словам Митника, подобные методы используют преступники всего мира для получения различных сведений от корпоративных пользователей и манипуляции ими в личных целях.
Особая «прелесть» социальной инженерии состоит в том, что ее применение не требует значительных финансовых вложений и досконального знания компьютерных технологий. Злоумышленнику достаточно обладать живым воображением, быть хорошим психологом и немного актером. В доказательство Митник привел несколько примеров того, как с помощью нехитрых приемов можно проникнуть в базу данных компании, завладеть ее конфиденциальной информацией и нанести этой организации существенный ущерб.
На сегодняшний день одним из самых распространенных видов социальной инженерии является «фишинг», или выведывание информации для доступа к банковским счетам доверчивых пользователей. Он распространен в тех странах, где пользуются популярностью услуги Internet-банкинга. Чаще всего «фишеры» используют поддельные электронные письма, якобы присылаемые банком, с просьбой подтвердить пароль или уведомление о переводе крупной суммы денег.
Оказывается, обманывать людей не так уж сложно. К примеру, позвонив по очереди нескольким сотрудникам компании, злоумышленник получает доступ к закрытым данным. Он может воспользоваться и такой «приманкой», как зараженный вирусами CD-диск, помещенный в яркую коробочку (диск подбрасывается в лифт, где его находят сотрудники организации). Подобные происшествия сегодня случаются ежедневно, но многие из них давно описаны в самой известной книге американского хакера «Искусство обмана».
По мнению Митника, беда состоит в том, что большинство людей слишком доверчивы. Немногие из нас умеют говорить «нет» в ответ на просьбу о помощи, сопровождаемую милой улыбкой или честным проникновенным взглядом. Улыбка, дружеский жест, сказанная к месту шутка могут стать «ключами» к любой надежно защищенной «двери». Поэтому, считает Митник, технические средства и политики безопасности неэффективны в тех случаях, когда за дело берутся социальные инженеры.
Лучшее оружие против их происков — собственные знания и интуиция. Для защиты бизнеса от психологических атак американский специалист предлагает руководителям организаций вести разъяснительную работу среди сотрудников, не только информируя их о деятельности социоинженеров, но и организуя специальные тренинги. Ведь психологические приемы эффективны лишь в тех случаях, если люди о них ничего не знают.
Слушая выступление человека-легенды, многие российские специалисты в области защиты информации только качали головами: мол, для нашей страны эти теории не очень актуальны. В России люди не так доверчивы, как в США, да и говорить «нет» все учатся еще со школьной скамьи.
Однако даже те специалисты, которые сомневаются в необходимости серьезного противостояния социоинженерам, не остались равнодушными к персоне самого Митника. Образ этого приятного человека с мягкой улыбкой и хорошими манерами никак не вязался с его компьютерными преступлениями и тюремным сроком. Неудивительно, что московские журналисты задавали Митнику простые «человеческие» вопросы: кем он хотел стать в детстве, как ему сиделось в тюрьме и т.д.?
Оказалось, что в детстве Кевин мечтал стать ветеринаром или врачом. А когда он все-таки превратился в хакера, все время старался образумиться и пойти в системные администраторы. На вопросы о его нынешней деятельности Митник не дал ни одного прямого ответа, отчего некоторые скептики заподозрили его в надувательстве, в результате которого участникам мероприятия пришлось выслушать вместо ожидавшихся откровений пару веселеньких историй. Если это действительно так, удивляться нечему, ведь г-н Митник в совершенстве владеет методами социоинженерии.