Искусство обмана


Искусство обмана

Вступительное слово
Предисловие
Начнем с начала
От фрикера к хакеру

Становясь социоинженером
Еще несколько слов
Введение
Глава 16. Корпоративная политика информационной безопасности
Что такое политика безопасности?
Этапы разработки программы безопасности


Как использовать правила безопасности
Классификация данных
Категории данных и определения

Примечание
Терминология классифицированных данных
Процедуры авторизации и удостоверения
Запросы от доверенных лиц
Запросы от неустановленных лиц
Первый этап: Идентификация
Второй этап: удостоверение статуса сотрудника
Третий этап: определение необходимости запроса

Управленческая политика
Правила классификации данных
Категоризирование данных
Обнародование принципов работы с данными
Инвентаризация информационных носителей
Распространение информации
Процедура установления личности сотрудника
Разглашение информации третьим лицам
Распространение конфиденциальной информации

Распространение частной информации
Распространение информации для внутреннего использования
Использование служебной информации в телефонном разговоре
Процедуры для служащих вестибюля и приемной
Передача программного обеспечения третьим лицам
Определение мотивов клиента (для служащих маркетингового отдела и отдела продаж)
Передача файлов данных
Администрирование телефонных систем
Переадресация на номерах факс и dial-up соединений
Автоматическое определение номера

Общедоступные телефонные аппараты
Стандартные пароли доступа к телефонным системам
Голосовая почта отдела
Проверка сотрудника телефонной компании
Настройки телефонных систем
Функция отслеживания звонков
Автоответчик
Блокирование ящика голосовой почты
Ограничение доступа к внутренним номерам
Формат корпоративного бэджа

Пересмотр прав доступа при смене должности или обязанностей
Идентификация лиц, не являющихся сотрудниками
Удаление учетных записей временных служащих
Организация команды чрезвычайного реагирования
Горячая линия оповещения
Охрана служебных помещений
Сетевые и телефонные аппаратные комнаты
Корпоративные почтовые ящики
Корпоративная доска объявлений
Вход в информационный центр компании

Учетные записи потребителей услуг внешних компаний
Контактное лицо отдела
Пароли клиентов
Проверка на уязвимость
Отображение конфиденциальной корпоративной информации
Повышение компетентности в вопросах безопасности
Доступ к компьютерной технике и обучение персонала
Цветовое кодирование корпоративного бэджа
Политика информационных технологий
Контактная информация служащих отдела информационных технологий

Запросы на получение технической поддержки
Регламентация удаленного доступа
Сброс пароля
Изменение прав доступа
Авторизация на создание учетной записи
Предоставление нового пароля
Блокировка учетной записи
Блокировка сетевых портов, служб и устройств
Разглашение информации о беспроводном доступе
Технические проблемы пользователей

Инициация запуска программ или выполнения команд
Изменение глобальных прав доступа
Запрос на получение удаленного доступа
Сброс пароля привилегированной учетной записи
Удаленный доступ для сотрудников внешних организаций
Строгая аутентификация для удаленного доступа к внутренней сети
Конфигурация операционной системы
Время жизни для установок учетной записи
Общий адрес электронной почты
Контактная информация при регистрации домена

Установка обновлений программ и операционной системы
Контактная информация на интернет-сайте
Создание привилегированных учетных записей
Гостевой доступ
Шифрование резервных копий
Доступ посетителей к сетевым соединениям
Dial-in модемы
Антивирусное программное обеспечение
Вложенные файлы входящей электронной почты (высокое требование к безопасности)
Аутентификация программного обеспечения

Пароли по умолчанию
Блокировка серии неудачных попыток доступа (требование среднего уровня)
Отключение учетной записи
Периодическая смена паролей привилегированных учетных записей
Периодическая смена пользовательских паролей
Установка пароля новой учетной записи
Пароль на загрузку компьютера
Требования к паролям привилегированных учетных записей
Точки доступа к беспроводной сети
Обновление баз данных антивирусных программ

Ввод команд или запуск программ
Пользователи привилегированных учетных записей
Информация о внутренних системах
Разглашение пароля
Электронные носители
Носители резервных копий
Правила для всех служащих
Сообщения о подозрительных звонках
Описание подозрительных звонков
Разглашение номеров dial-up

Корпоративные бэджи
Требование о ношении бэджа
Теневое проникновение
Уничтожение служебных документов
Персональная идентификационная информация
Схемы организационной структуры
Частная информация и анкетные данные сотрудников
Ввод команд
Внутренняя адресация и имена компьютеров
Запросы на запуск программ

Загрузка и установка программ
Электронная почта и пароли в открытом виде
Программы, обеспечивающие защиту
Установка модема
Модемы и установки режима автоответа на входящие вызовы
Инструментальные средства взлома (хакерские утилиты)
Использование информации о компании в сети интернет
Гибкие диски и другие электронные носители
Уничтожение съемных дисков
Экранные заставки, защищенные паролем

Разглашение пароля и обмен паролями
Вложенные файлы писем электронной почты
Автоматическая переадресация на внешние адреса
Пересылка электронных сообщений
Проверка достоверности электронного письма
Внесение данных в телефонный справочник
Разглашение номеров внутренних телефонов
Упоминание паролей в сообщениях голосовой почты
Релейная передача факсимиле
Проверка полномочий отправителя факсимиле

Передача ценной информации по факсу
Запрет на передачу паролей по факсу
Парольная защита голосовой почты
Использование одного пароля для доступа к разным системам
Установка пароля голосовой почты

Искусство обмана

Прослушанные сообщения
Приветствие на автоответчике
Шаблонные пароли голосовой почты
Огласка конфиденциальной и частной информации
Телефонный разговор
Огласка паролей доступа к компьютерной технике
Пароли в сети интернет
Использование одного пароля для доступа к разным системам
Повторное использование пароля

Шаблонные пароли
Выбор устойчивого к взлому пароля
Запись пароля
Запись пароля в текстовый файл
Правила для дистанционных пользователей
Тонкие клиенты
ПО, обеспечивающее защищенную работу дистанционных пользователей
Правила для служащих отдела кадров
Увольняющиеся сотрудники
Оповещение отдела информационных технологий

Найм сотрудников и конфиденциальная информация
Личные данные
Фоновые проверки
Правила для службы охраны
Обнаружение посторонних лиц
Идентификация посетителей
Сопровождение посетителей
Временный пропуск (бэдж)
Экстренная эвакуация
Посетители почтового отделения компании

Автомобильные регистрационные номера
Мусорные контейнеры
Правила для секретарей
Внутренний справочник
Телефонные номера определенных отделов или рабочих групп
Отслеживание кочующей информации
Правило передачи предметов
Правила для службы чрезвычайного реагирования
Образование группы чрезвычайного реагирования
Течение атаки

Глава 1. Слабое звено безопасности
Человеческий фактор
Классика жанра
Взлом кода
А вот и счет в швейцарском банке…
Финал
Природа опасности
Есть, о чем беспокоиться
Отвлекающие маневры

Злоупотребление доверием
Наивность человека
Организационная наивность
Терроризм
О книге
Глава 2. О том, как безобидные данные перестают таковыми являться
Скрытая ценность информации
CREDITCHEX
Первый звонок: Ким Эндрюс

Второй звонок: Кристина Талберт
Третий звонок: Генри Мак-Кинси
Частный сыщик за работой
Разбор полетов
Ловушка
Первый звонок: Секретарь
Второй звонок: Пегги

Третий звонок: Спасительное «ошиблась номером»
Четвертый звонок: Барт из отдела маркетинга
И вовсе никчемная информация
Звонок Питеру Абелью на проводе
Предотвращение атаки
Глава 3. Направленная атака: не надо напрашиваться
Блиц-MLAC на скорую руку

Номер, пожалуйста
Бегущий человек
На пороге
Трюк с кольцовкой
Жулик по имени Стив
Пыль в глаза
История Джейн Актон
Исследовательский проектРасследование имени Арта Сили

Предупреждение атаки
Глава 4. Завоевывая доверие
Доверие – ключевой момент лжи
Первый звонок: Андре Лопес
Второй звонок: Джинни
История Дойли Лоннегана
Вариации на тему: пластиковые кражи
Сюрприз, папочка

Сотовый телефон за тридцать копеекодин цент
Первый звонок: Тед
Второй звонок: Кати
Взлом федералов
Внедряясь в систему

Защищайте собственных клиентов
Учитесь доверять с умом
Где заканчивается ваш интранет?
Глава 5. «Разрешите вам помочь»
Падение сети
Первый звонок: Том Де Лей.
Второй звонок: Парень из IT
Третий звонок: Помощь врага
Четвертый звонок: Бинго!
История атакующего

Небольшая помощь новичку
Услужливая Андре
Сообщение для Розмари
Разбор полетов
Все не так надежно, как вам хотелось бы думать
История Стива Крамера

История Крега Когбурна
Проникновение
Учиться, учиться и еще раз учиться...

Содержать ценную информацию в сохранности...
Сверяться с источником...
Никого не забывать...
Глава 6. Вы могли бы помочь мне?
Мы сами не местные
Не отставайте от Джонсов
Деловая поездка
Комментарий Митника
Анализ обмана
Жаргон

Безопасность притона
Я видел это в кино
Надувательство телефонной компании
Беспечный компьютерный менеджер
Настройка
Дэнни-соглядатай

Искусство обмана


Штурм крепости
Кража, совершенная «своим человеком»
Предотвращение обмана
Глава 7. Фальшивые сайты и опасные атачменты
«Не желаете бесплатненького?»

Оно приходит с электронной почтойпо электронной почте
Загрузка вредоносного ПО
Посылка от друга
Вариации на заданную тему
С Новым Годом…
Разнообразные этюды
Ссылки

Будьте бдительны
Становясь вирусоустойчивым
Использование чувств симпатии, вины и страха в своих интересах
Визит в студию
История Дэвида Харольда
Анализируя жульничество
«Сделай это сейчас»
Рассказ Дуга

Рассказ Линды
«Босс велел сделать это»
История Скотта
Что знает о вас служба социального страхования
Телефонный звонок Мей Лин
История Кейта Картера

Социальная небезопасность
Один простой звонок
Телефонный звонок Мэри Х
История Петера
Полицейский рейд
Поищите оправдание, пожалуйста
Проникновение в полицию

Заметая следы
Совет Митника
Переворачивая таблицы
Образование, правда, бесчестным путем
Проблема в подключении
Словарь
Полезный архивный работник

Предотвращая жульничество
Защищая данные
О паролях
Замечание
Центр управления
Защищайте свою сеть
Подготовка к обороне
Двойной обман
Профессиональный жаргон
Искусство дружеского убеждения

Тот, кто звонил Анджеле
Тот, кто звонил Луи
Тот, кто звонил Вальтеру
Тот, кто звонил Донне Плейсер
История Винса Капелли

Полицейские простофили
Афера Эрика
Переключение
Звонок в DMV
Проникновение в помещения
Сбитый с толку охранник
История, рассказанная охранником

История, рассказанная Джо Харпером
Копание в мусоре

Наличные в обмен на мусор
Униженный босс
Установка бомбы
Сюрприз для Джорджа
В желании продвинуться по службе
История, рассказанная Антони

Подглядывание за Кевином
Предотвращая обман
Защита в нерабочее время
Относитесь к мусору с уважением
Прощание с сотрудниками

Никого не забывайте
Безопасные ИТ!
Сочетание технологии и социальной инженерии
Хакерство за решеткой
Позвони телефонистам...
Найти Гондорффа
Сверим часы

Ускоренная загрузка
Легкие деньги
Деньги на линии
Вызов принят
Словарь, как средство атаки

Атака на пароль
Быстрее, чем вы думаете
Просто скажи «Нет»
Уборщики

Будьте осторожны: защищайте ваши пароли
Атака на «низшие чины» в компании
Охранник, всегда готовый помочь
С точки зрения Элиота...
История Билла

Искусство обмана

Срочная «заплатка»
Полезный звонок
Новичок
Звонок Саре
Звонок Анне
История Курта Дилона

Обман неосторожных
Берегитесь шпионского ПО
Антивирус бессилен?
Умные мошенничества
Личность, вводящая в заблуждение
Телефонный звонок Линды
История Джека

Возможноcти: вам звонит президент США
Невидимый сотрудник
Атаки Ширли
Секретарь, готовый помочь

Полицейские штрафы
Жульничество
Первые шаги
Районный суд, офис секретарей
Месть Саманты

Расплата
Промышленный шпионаж
Изменение в схеме
Высокий класс
Атака Пита

Новый партнер по бизнесу
История Джессики
История Сэмми Сандорфа

Чехарда
Делая домашнее задание
Заправка жертвы
Безопасное внешнее хранилище
Кто там?

Глава 15. Компетентность и обучение в области информационной безопасности
Безопасность через технологии, обучение и процедуры
Как атакующие берут превосходство над человеческой природой?
Начальство
Пример атаки:
Симпатия
Чувство благодарности
Консолидация

Социальная оценка
Дефицит
Разработка программы повышения компетентности
Цели программы
Структура тренинга
Содержание учебного курса

Испытания
Программа в действии
А что можно сказать о личном интересе?