Искусство обмана


Жаргон


Конфетная безопасность (candy security) – термин, придуманный Белловином и Чесвиком из Bell Labs

для описания сценария безопасности, в котором внешний периметр, такой как брандмауэр, сильный, но внутренняя структура слабая. Этот термин произошел из-за сравнения с карамелью M&M, имеющей твердую внешнюю оболочку и мягкий центр.


Speakeasy-безопасность – безопасность, которая основывается на знании места, где находится желаемая информация и использовании ключевого слова или имени для получения доступа к данным или компьютерной системе.




Безопасность через незаметность (Security through obscurity) – неэффективный метод обеспечения компьютерной безопасности в котором надеются на сохранение в секрете подробностей того, как функционирует система (протоколы, алгоритмы и внутренние системы). Security through obscurity полагается на неверное предположение, что никто, кроме человека из доверенной группы, не сможет проникнуть в систему.




Двухфакторная идентификация (two-factor authentication) – использование двух различных типов идентификации для проверки личности. Например, лицо может идентифицировать себя, позвонив из заранее определенного места и знать определенный пароль.

Возвращаясь к нашей истории, в компании, производящей радиосистемы безопасности, каждый работник для доступа к компьютеру и сети, имеет свой логин и пароль, а также дополнительное электронное устройство – Secure ID. Это, так называемый, временной жетон или жетон безопасности. Такие жетоны бывают двух типов: одни размером с половину кредитной карты, но немного толще; другие достаточно маленькие, в виде брелока, который человек может просто повесить на цепочку с ключами.

Пришедшее из мира криптографии, это особое приспособление – временной жетон безопасности – имеет маленькое окошко, в котором высвечивается набор из шести цифр. Каждые шестьдесят секунд содержимое дисплея меняется и на экран выводится другое шестизначное число. Когда уполномоченному лицу нужен доступ из внешней сети, он должен сначала идентифицировать себя, набрав личный PIN-код и затем шесть цифр с этого устройства-жетона. После проверки внутренней системой, сотрудник затем идентифицирует себя с помощью имени пользователя и пароля.

И вот, для того, чтобы молодой хакер Дэнни получил желанные исходные коды, он должен не только вскрыть информацию о некоторых именах пользователей и паролях, но также перехитрить временной жетон.

Преодолеть двухфакторную идентификацию временного жетона совместно с секретным PIN-кодом пользователя звучит подобно требованию назвать пароль в фильме Миссия невыполнима (Mission Impossible). Но для социоинженеров, такое требование подобно раскрыванию игральной карты игроком в покер, который обычно умеет расколоть своего противника. Когда он садится за игорный стол, то знает, что с помощью маленькой удачи он, вероятно, уйдет с большой кучей чужих денег.



Содержание раздела