Максим Кузнецов – Социальная инженерия и социальные хакеры (страница 4)

…Возвращаясь к базам данных, содержащих конфиденциальные сведения, следует отметить, что после вышенаписанного полностью понятно, кто и как их крадет. Обыкновенные люди их крадут. Очень часто – сами же сотрудники предприятий. Недавно вот осудили таможенника в чине подполковника, который снабжал рынок таможенными базами данных. В соседнем регионе поймали за руку начальника отдела налоговой инспекции, который за умеренную плату сливал данные местным криминальным браткам. И так далее.

Для чего их воруют и кому это нужно? Нужно это многим. От млада до велика. Нужно как рядовым гражданам, так и "финансовым акулам". Если начать с граждан, то не вдаваясь в глубинные рассуждения об особенностях русского менталитета, скажем лишь, что пока в справочных службах наших "телекомов" сидят крикливые и всем недовольные барышни, то даже самому законопослушному и честному человеку гораздо проще для своих нервов пойти и купить эту базу номеров телефонов организаций на рынке пиратского ПО, чем позвонить на справочную службу.

Это по понятным причинам нужно всем тем, кто занимается конкурентной разведкой.

Это нужно криминалитету. К примеру, каждый уважающий себя угонщик автомобилей имеет базу ГИБДД. Криминалу также немаловажно знать, не обделяют ли его те, кого он "крышует". Домушники находят себе жертв с помощью баз данных.

Это нужно финансовым гигантам, практикующим практику рейдерских наездов.

Примечание

Рейдерские наезды – это такая практика в новой российской истории, при которой, грубо говоря, большая компания прибирает к рукам те компании, которые меньше с помощью так называемых рейдеров. Допустим, некая большая компания захотела купить какую-то другую компанию, которая поменьше. Для этого она делает заказ рейдерам, – людям, которые построят план захвата компании и его исполнят. Подробно о рейдерах рассказано в главе 2.

…Продолжать можно долго. В общем, рынок обширен и спрос на продукцию есть. А спрос всегда рождает предложение. Это один из основных законов экономики. Если есть спрос, обязательно, рано или поздно, дорогое или дешевое, но предложение будет. Каким бы этот спрос не был. Даже если этот спрос очень кощунственный, к примеру, спрос на детские органы. Страшнее спрос сложно придумать. А все равно предложение есть. Что уж тут говорить про какие-то базы данных.

Примечание

В настоящее время цена вопроса на воровство одной базы данных крупного предприятия составляет около $2000.

Можно ли вообще прекратить воровство баз данных? На государственном уровне это можно сделать, наверное, только ужесточив наказание за данное преступление. Хотелось бы посмотреть на того, кто осмелился бы своровать какую-то базу в советские времена. Правда, "ужесточив", это не совсем тот термин: дело в том, что сейчас базы данных можно красть практически безнаказанно. Ну чего стоит любому сотруднику практически любой структуры вынести эту самую базу? Правильно – ничего не стоит. В худшем случае уволят. Но это еще надо умудриться попасться. Дошло до того, что согласно публикации в "Комсомольской правде" от 03.03.06 базами данных приторговывает даже Московский центр экономической безопасности, который, судя из названия, должен эти самые базы охранять. Поэтому, как всегда, на государство, конечно, стоит уповать, но рассчитывать на него не стоит. И некоторые компании сами, не дожидаясь государства, пошли другими путями. К примеру, по пути дискредитации этого рынка и тех, кто на нем работает. Проще говоря, сливают обыкновенную "дезу", действуя по принципу, если государство не может нас защитить, то приходится самим учиться играть в шпионские игры. И многие неплохо учатся. Я знаю случай, когда одна компания, узнав, что ее "заказали", сама подготовила всю необходимую информацию, которую и украл злоумышленник. Когда "заказчик" понял, в чем дело, он, говорят, был вне себя. А цена вопроса была высока. История умалчивает, что было с теми, кто эту информацию добывал, но, по слухам, после этого случая количество желающих, в том числе и сотрудников, добывать конфиденциальную информацию о деятельности этой компании резко уменьшилось.

Кстати, хотя и говорят, что нет подзаконных актов, направленных на то, чтобы прекратить воровство баз данных, дело, зачастую, совсем не в них. Да, с подзаконными актами действительно проблема. Но в большинстве краж, как мы уже говорили ранее, виноваты сами организации. Кстати, в судах практически нет обращений от организаций, у которых крадут информацию. Что объясняется одной простой вещью: никто не хочет выносить сор из избы. Что, в общем-то, понятно, но, с другой стороны, очень сильно упрощает дело злоумышленникам. Дело еще и в том, что даже в том случае, когда фирме точно известно, что ее сотрудник похитил информацию, и она желает подать на этого сотрудника в суд, вероятность того, что фирма выиграет дело очень мала. По причине все той же беспечности: очень минимальное количество фирм оформляет договоры с сотрудниками должным образом, т. е. так, чтобы в нем было прописано, что сотрудник ознакомлен с тем, что имеет дело с конфиденциальной информацией и что ему будет за то, если он эту информацию разгласит.

Основные отличия социальной инженерии от социального программирования

Кроме социальной инженерии, мы будем еще употреблять термин "социальное программирование", которое, хотя и кажется на первый взгляд похожим на социальную инженерию, на самом деле от нее очень отличается. Тому, чтобы прекратить эту путаницу в терминах, и посвящен этот раздел.

Социальную инженерию можно определить как манипулирование человеком или группой людей с целью взлома систем безопасности и похищения важной информации. Социальное программирование же может применяться безотносительно от какого-либо взлома, а для чего угодно, к примеру, для обуздания агрессивной толпы или обеспечения победы какого-либо кандидата на очередных выборах, или наоборот, для очернения кандидата и для того, чтобы миролюбивую толпу сделать агрессивной. Важно то, что здесь уже речи о той или иной ЭВМ нет и в помине. Таким образом, термин социальная инженерия мы будем употреблять тогда, когда речь идет об атаке на человека, который является частью компьютерной системы, как это показано на рис. 1.1.

Примечание

Иногда кроме термина социальная инженерия употребляется также термин обратная социальная инженерия. Суть в том, что при обратной социальной инженерии вы человека напрямую ни к чему не принуждаете, а создаете такие условия, что он сам к вам обращается. К примеру, если вам нужно прийти в организацию под видом телефонного мастера, вы можете просто прийти и начать проверять телефонные коробки. Это в данной терминологии – социальная инженерия. А можно поступить и по-другому. Вы создаете такую ситуацию, при которой в какой-то конкретной организации вас знают как телефонного мастера. После этого вы ждете, когда что-то случиться с телефонами, или сами делаете с ними что-то, и спокойно ждете, когда вам позвонят и попросят прийти. Это и есть обратная социальная инженерия. Таким образом, не вы сами куда-то ни с того ни с сего приходите, а вас просят прийти. Конечно, второй случай намного предпочтительнее, т. к. снимает с вас вообще все подозрения. Грамотные социоинженерные подходы именно так и строятся, поэтому этот термин мы считаем излишним, и его употреблять не будем.

Социальное программирование можно назвать наукой, которая изучает методы целенаправленного воздействия на человека или группу лиц с целью изменения или удержания их поведения в нужном направлении. Таким образом, по сути, социальный программист ставит перед собой целью овладение искусством управления людьми. Основная концепция социального программирования состоит в том, что многие поступки людей и их реакции на то или иное внешнее воздействие во многих случаях предсказуемы. Вещь, вообще говоря, очень интересная. Но в большинстве своем это действительно так. Общая схема методов работы социальных программистов представлена на рис. 1.3.

Рис. 1.3. Общая схема методов работы социальных программистов

В социальном программировании разработка схемы воздействия идет с конца, т. е. от нужного итога. Приведу один очень простой и очень нехороший пример. Пускай есть некто, к примеру, заместитель, которому ну очень мешает начальник. Допустим, этот заместитель знает, что у его начальника больное сердце и слабые сосуды, и тот, у которого больное сердце, очень любит "приложиться к рюмочке". Родственники, конечно, чуть не по пятам ходят и эту рюмочку отбирают, и это даже действует. А наш зам. начальника теми или иными способами начинает того, у которого больное сердце, целенаправленно спаивать. В конце концов, сосуды не выдерживают. Геморрагический инсульт. Зам. начальника стал начальником. На похоронах рыдал больше всех, да и потом остался самым близким другом семьи. Несмотря на то, что фактически убил главу семейства.

Чем методы социального программирования прекрасны для преступников, что о них либо вообще никто никогда не узнает, как в вышеописанном примере, либо даже если кто-то о чем-то догадывается, привлечь к ответственности такого деятеля очень сложно. Ну нет у нас в уголовном кодексе статьи "Доведение до инсульта". А если б и была – пойди, докажи, что все так и было, ведь "доведенный" все делал сугубо добровольно, будучи дееспособным, в гипноз его никто не вводил, электромагнитными лучами никакими не облучал…