Сергей Мартынов

Каждый хакер желает знать…

… где сидят фазаны! Кто такие фазаны и где они сидят? Зачем они нужны злобному хакеру?

Большинство хакерских атак начинается не с поиска уязвимостей в информационной системе – это слишком долго и дорого, а хакер – существо с ограниченными ресурсами, в том числе и интеллектуальными. Инцидент в ИБ начинается с социальной инженерии. Например, оператор буровой платформы знакомится в социальных сетях с симпатичной девушкой, которая присылает ему фото или песенку. Загрузив и открыв файл, в систему попадает специальная программа, которая берет под контроль системы управления буровой платформой (или заводом). Или сотрудник компании открывает рекламный мэйл с предложением хорошей скидки на турпоездку. Или находит на полу флэшку, и радостно втыкает ее в компьютер. И так далее.

Так что же такое “социальная инженерия” (Social Engineering)? Вокруг этого много путаницы, поэтому я решил уточнить это понятие для не только читающей, но и думающей публики. Вот мое определение: это скрытые манипуляции поведением человека на основе использования социальных навыков и рефлексов человека, персональных особенностей его личности, – с целями, входящими в противоречие с интересами и желаниями объекта манипуляции.

Соответственно, когда мы читаем, что к методам социальной инженерии относится рытье в мусорных корзинах в офисе – не верьте, это не социальная инженерия. Это всего лишь рытье в мусорных корзинах. Так же, как и взламывание замков, проникновение по приставной лестнице на чердак и другие незамысловатые приемы, приписываемые этому искусству. Настоящая социальная инженерия не использует технические и насильственные, равно как и психотропные средства, для вынуждения человека совершать какие-либо действия. Только социальные навыки, особенности личности и рефлексы. Например, как не открыть дверь в офис с кодовым замком человеку, у которого руки заняты огромной коробкой? Социальный навык быть вежливым и помогать просто вынуждает вас сделать это. Сколько раз в своей жизни вы открывали дверь в свой подъезд незнакомому человеку, который нажимал кнопку домофона и ждал ответа?

Именно поэтому социальная инженерия является абсолютным оружием, от которого нет защиты. Чтобы защититься от СИ, нужно отбросить все свои социальные навыки, воспитанные с детства. Но даже если их отбросить (теоретически), станешь невыносимо асоциальным человеком, от которого отвернутся коллеги и знакомые. Можно усовешенствать файерволы и DLP, но усовершенствовать инстинкты человека, созданные тысячелетиями и существующими на уровне сознательных и бессознательных реакций, невозможно.

Вернемся к нашим фазанам. Фазан, как известно, птица полезная, но в то же время недалёкая. Как и наши офисные работники, которые подчас проявляют поразительную наивность, граничащую со слабоумием, доверчивость и беззаботность. Пожалуй, сравнение получилось даже обидным для фазана. Так вот, обитают наши фазаны, как говорят знающие социальные инженеры, где-то ближе к бухгалтерии и близлежащих лугах подразделениях, гда информации побольше и она попитательнее, а сотрудники уж очень консервативны и специализированны.

© 2015 — 2016, Ассоциация экспертов системного менеджмента «МихиКо». Все права защищены.