Библибоба

Читаем Искусство обмана полностью

Искусство обмана

Вильям Саймон , Кевин Митник

Дэнни из темного мира хакеров принадлежат к особой категории, которая находится где-то между просто любопытными, но безобидными, и опасными. Они обладают знаниями эксперта, сочетающимися с озорным желанием хакера вторгаться в системы и сети ради интеллектуального вызова и удовлетворения от понимания, как работает технология. Их электронные трюки со взломом и проникновением — всего лишь трюки. Эти люди, эти «белые» хакеры незаконно проникают в системы ради забавы и доказательства того, что они могут сделать это. Они ничего не воруют, не зарабатывают деньги на своих деяниях, не уничтожают файлы, не разрушают сети или компьютерные системы. Сам факт их присутствия, получения копий файлов, подбора паролей за спиной сетевых администраторов, утирает носы людей, ответственных за оборону от злоумышленников. Умение превзойти других составляет значительную часть удовлетворения.

Придерживаясь такой направленности, наш Дэнни хотел изучить детали тщательно охраняемого продукта компании только, чтобы удовлетворить жгучее любопытство и удивиться искусным новинкам, которые могли быть внедрены в компании. Излишне говорить о том, что разработка продукта были тщательно охраняемой производственной тайной, такой же ценной и защищенной, как и все, чем владела компания. Дэнни знал это. И нисколько не беспокоился. Как-никак, это была всего лишь некая большая безымянная компания.

Но как получить исходный код программы? Как оказалось, похищение «драгоценностей» из группы защищенной связи было слишком легким, несмотря на то что компания была одной из тех организаций, где используется аутентификация по двум условиям , при которой требуется не один, а два индентификатора для доказательства своей подлинности.

Вот пример, с которым вы уже, возможно, знакомы. Когда к вам приходит новая кредитная карта, вас просят позвонить в компанию-эмитент, чтобы там знали, что карта находится у ее владельца, а не кого-то, кто украл конверт на почте. В наши дни указания на карте, как правило, предписывают звонить вамиз дома . Когда вы звоните, программа в компании анализирует номер, автоматически определенный на телефонном коммутаторе, через который проходят бесплатные звонки. Компьютер в компании-эмитенте сравнивает телефонный номер звонившего с номером в базе данных владельцев кредитных карт. К тому времени, как служащий возьмет трубку, на его дисплее будет отображена информация о клиенте из базы данных. служащий уже знает, что звонок сделан из дома клиента, .

Lingo

Аутентификация по двум условиям — использование двух разных типов аутентификации для идентификации. Например, человек может идентифицировать себя звоня из определенного места и зная пароль.

Затем служащий выбирает элемент отображаемых о вас данных — чаще всего номер (социального обеспечения), дату рождения, девичью фамилию матери — и задает вам вопрос. Если вы даете правильный ответ, это вторая форма аутентификации, основанная на сведениях, которые вы должны знать.

В компании, выпускающей защищенные радиосистемы, у каждого служащего, имеющего доступ к компьютеру, имелись имя и пароль, которые дополнялись небольшим электронным устройством — Secure ID (безопасный идентификатор). Это то, что называют синхронизируемым жетоном. Такие устройства делаются двух типов: одно из них размером с половину кредитной карты, но немного толще; другое настолько мало, что люди могут присоединить его к связке ключей.

В этом устройстве из мира криптографии имеется маленький шестиразрядный дисплей. Каждые 60 секунд на дисплее отображается новое шестизначное число. Когда человеку нужен доступ к сети, сначала он должен идентифицировать себя как зарегистрированного пользователя, введя секретный PIN-код и число, отображаемое его устройством. Пройдя проверку внутренней системы, он затем должен ввести имя и пароль.

Для получения исходного кода, которого так жаждал юный Дэнни, нужно было не только скомпрометировать имя пользователя и пароль одного из служащих (что не представляет особой сложности для опытного социального инженера), но и добраться до синхронизируемого жетона.

Прохождение аутентификации по двум условиям с использованием синхронизируемого жетона в сочетании с секретным PIN-кодом кажется невыполнимой миссией. Для социальных инженеров задача подобна той, когда игрок в покер, который обладает не просто умением «читать» своих противников.

Штурм крепости

Дэнни начал с тщательной подготовки. Вскоре он собрал вместе достаточно сведений, чтобы выдать себя за настоящего служащего. У него было имя, подразделение, телефонный номер служащего, а также имя и номер телефона руководителя.

Перейти на страницу:
Читать далее

Похожие книги

2.Внутреннее устройство Windows (гл. 5-7)
2.Внутреннее устройство Windows (гл. 5-7)

Продолжение книги "Внутреннее устройство Microsoft Windows" — 5 и 7 главы.

Дэвид Соломон , Марк Руссинович

Зарубежная компьютерная, околокомпьютерная литература / Прочая компьютерная литература / Книги по IT
Читать бесплатно
CorelDRAW X4. Начали!
CorelDRAW X4. Начали!

Коротко о главном – такова особенность этого издания, которое может стать настольной книгой для начинающих пользователей CorelDRAW Х4. Лаконично, доступно и популярно излагаются основные сведения о программе: описываются интерфейс, команды, базовые операции.Книга предназначена для тех, кто хочет получить новые знания в области компьютерной графики и научиться решать реальные практические задачи. Издание будет полезно новичкам, желающим быстро освоить инструментарий CorelDRAW, а опытным пользователям книга пригодится в качестве краткого справочника по программе.

Андрей Валентинович Жвалевский , Дмитрий Донцов

Программирование, программы, базы данных / Прочая компьютерная литература / Книги по IT
Без регистрации
От «кирпича» до смартфона
От «кирпича» до смартфона

Перед вами уникальное исследование мира мобильной индустрии, превращенное его автором Эльдаром Муртазиным, ведущим аналитиком Mobile Research Group и главным российским специалистом по мобильным телефонам, в захватывающий бизнес-триллер. Гигантские компании — Nokia, Motorola, Samsung бросают на мобильный фронт колоссальные силы, создают альянсы, охотятся за лучшими специалистами, шпионят друг за другом. Разработки ведутся в обстановке строжайшей секретности. Цель — выпустить на рынок новую, уникальную модель раньше конкурентов или даже полностью изменить наше представление о мобильном телефоне, как это недавно удалось Apple со своим iPhone.Эта книга предназначена для тех, кто видит в мобильном телефоне не просто средство связи, а чудо инженерной мысли, смелое воплощение дизайнерских фантазий, символ нашей эпохи.

Эльдар Викторович Муртазин , Эльдар Муртазин

Справочная литература / Прочая компьютерная литература / Прочая справочная литература / Книги по IT / Словари и Энциклопедии
Полная версия
Восстановление данных на 100%
Восстановление данных на 100%

В книге изложены методы восстановления данных с различных носителей информации – жестких дисков, массивов RAID, CD, DVD, карт флэш-памяти, карт фотоаппаратов и мобильных телефонов. Ремонт поврежденного оборудования рассматривается в издании только как один из аспектов всего процесса извлечения данных. Основная тема – извлечение данных, поврежденных из-за физических или логических нарушений в работе компьютерной системы либо неверных действий пользователя. В книге рассматривается восстановление случайно удаленных файлов, извлечение ценной информации с поломанных жестких дисков; описываются программы и методика восстановления данных с поврежденных массивов RAID, что критически важно для работы корпоративных компьютерных систем.Книга не требует специальной подготовки читателя: простые пошаговые процедуры восстановления данных предваряются описанием принципов их хранения на различных носителях.

Петр Андреевич Ташков

Зарубежная компьютерная, околокомпьютерная литература / Прочая компьютерная литература / Книги по IT
Читать Онлайн
Избранное