Сочинение на тему Исследование навыков людей во время социальной инженерии эпохи цифровых технологий и владения коробкой

Социальная инженерия и владение коробкой

Однажды я работал охранником в Quebecor World в Линкольне, штат Северная Каролина. Ничего обаятельного ни в коем случае, но уникального в том, что моя работа 5,75-часового охранника потребовала от меня прохождения 1-месячной проверки биографических данных, кредитной истории и криминального прошлого, интервью с государственным патрулем и несколько запросов в мою предыдущую историю занятости. Почему это необходимо для такой мирской работы? Кого волнует криминальное прошлое охранника в третьей смене у принтера?

Квебекор печатает, среди прочего, компакт-диски AOL и предварительно одобренные приложения для кредитных карт и в любое время имеет несколько сотен тысяч имен, адресов, телефонных номеров, номеров кредитных карт и номеров социального страхования в (относительно) простом виде. Мусорные контейнеры заперты снаружи. Специальный измельчитель разлагает макулатуру на кусочки конфетти, меньшие, чем на кончике маленького ногтя младенца, а затем снова их измельчает. Не то, чтобы эти меры предосторожности не были хорошим началом, но примерно через 10 минут сотрудник внутри с обидой или кто-то, имеющий доступ к некоторым деньгам, может заручиться помощью коммерческой компании, чтобы преобразовать бумажные клочки в видимость оригинального документа или просто выйдите из объекта прямо с личной жизнью тысяч людей в их руках. Заметили что-нибудь необычное в вашем кредитном отчете в последнее время?

В этой статье я исследовал социальную инженерию. Я изучаю немного его истории, определяю его как нетехническое средство получения информации и, в конечном счете, ввода в компьютерную информационную систему, я смотрел на двух выдающихся социальных инженеров «старой школы». Затем я опишу некоторые основные меры предосторожности, которые действуют независимо от того, какой уровень информационной системы используется.

Социальная инженерия и связанный с ней тип информационной атаки «мусорное погружение» – это сленг ИТ для использования нетехнических средств для взлома информационной системы. Это один из самых интересных аспектов безопасности компьютерных сетей и наиболее эффективный способ вторжения, потому что человеческий элемент вычислений никогда не исчезнет. Кто-то должен спроектировать системы, внедрить, обучить и в конечном итоге использовать их. Даже при том, что научно-фантастические ужасные истории о компьютерах сошли с ума, у нас всегда будут где-то люди на терминалах; Таким образом, любая компьютерная информация уязвима для психологической атаки. Сценарий «серого дурака» Эрика Дрекслера (известного тем, что говорят, что «умные микроскопические компьютеры могут захватить Землю»), хотя в будущем это невозможно, из-за текущих технологических ограничений. Сам автор также отошел от своей исторической теории середины 80-х годов, заявив, что хотел бы, чтобы он никогда не делал этого заявления из-за огромного влияния, которое оно оказало на удушение новых исследований в области компьютерной миниатюризации.

Социальная инженерия не является новой техникой вторжения. CERT / CC опубликовал предупреждение, описывающее увеличение числа попыток несанкционированного доступа к компьютерным системам в 1991 году. Взрыв Интернета среди тех бывших некомпьютерных пользователей сделал все более вероятными успешные попытки, проблема безопасности, которая все еще возникает каждый день, несмотря на более чем десять лет знакомства. До появления Интернета социальная инженерия была обнаружена в результате взлома телефонной системы с коробками генератора красного и синего тонов, позволяющих пользователю совершать звонки в другие регионы (в том числе на разные континенты), при этом взимая плату с другого внутреннего абонента. Иногда звонки оплачивались самой телефонной компанией как способ засунуть руку в учреждение. Сами тональные блоки и их использование не требовали какого-либо личного контакта, так как они могли быть построены из планов, которые были свободно доступны в злоумышленниках, таких как 2600 (названных в честь частоты 2600 Гц, необходимой для генерации тона приема вызова в ранних телефонных системах AT & T) и Фрак.

Создатели тональных ящиков должны были иметь глубокие знания о телефонной системе и о том, как она работает, на местных станциях и во всей большой сети. Эти знания были получены, когда это возможно, из погружения в мусорное ведро (использование личной информации не обязательно является преступлением даже сегодня, если оно получено из брошенных руководств, квитанций, внутренних записок и других фирменных документов, которые были утилизированы и находятся за пределами объекта) и по телефону операторы или инженеры и выдавая себя за члена какой-то другой части сети, утверждая, что ему нужна какая-то информация.

У некоторых известных ранних фрикеров не было стереотипной личности взломщиков / хакеров, которая, кажется, распространена сегодня в СМИ, технически талантливых кочевых одиночек или социальной несправедливости, склонной к некоторому виду хактивизма. Большинство из них были чрезвычайно умными людьми, и немногие могли поделиться своими знаниями. Некоторые были обучены нашим правительством для военного времени и обнаружили, что их навыки дали им значительное, хотя и не очень уважаемое преимущество перед нетехническими людьми, как в случае с Джоном Дрэйпером, так называемым Cap’n Crunch.

Дрэпер получил свое имя благодаря использованию игрушечного свистка, обнаруженного в коробке с хлопьями, который генерировал звук 2600 Гц, необходимый для обмана телефонной системы. Джон популяризировал использование этого свистка и стал известен хакерской ручкой «Cap’n Crunch». Джон стал печально известным и был арестован в мае 1972 года за незаконное использование системы телефонной компании. Он получил испытательный срок, а затем был снова арестован в 1976 году, осужден по обвинению в мошенничестве с использованием проводов, поскольку не было никаких других действующих законов, по которым он мог бы предстать перед судом, и провел четыре месяца в федеральной тюрьме Ломпок в Калифорнии. С тех пор он занимал различные должности и давал интервью о своем опыте в первые дни хакерских атак на большие расстояния. К его чести, Дрейпер не в одиночку обнаружил уязвимость в системе и не использовал ее для личной выгоды, кроме телефонных звонков. Однако были некоторые фрикеры, которые пытались использовать эту технологию, сырую в то время, чтобы разыгрывать розыгрыши, которые могли бы привести к серьезным последствиям для Национальной безопасности. Одним из таких рекламируемых фрик был телефонный звонок в бомбоубежище тогдашнего президента Никсона в Вирджинии; другим был (якобы) звонок Папе Римскому от Стива Возняка.

Это было все возможно, потому что телефонная система в конце 60-х и начале 70-х была настроена таким образом, чтобы передача голоса и данные сигнала передавались по одной линии. Чтобы сэкономить деньги, AT & T настроила всю сеть на этот стандарт 2600 Гц. По мере распространения знаний растущее число телефонных фрик стало самостоятельной культурой. Они могли тренировать свои уши, чтобы определить, как длинные очереди маршрутизируют их звонки. Сочувствующие (или просто социальные инженеры) сотрудники телефонной компании дали им различные коды маршрутизации для использования международных спутников и различных магистральных линий, таких как опытные операторы. Инженерная информация телефонной компании была также свободно доступна в большинстве крупных университетов в справочном разделе, поскольку инженерные отделы использовали эту информацию в партнерстве с компаниями, чтобы помочь в подготовке новых инженеров. Как только телефонная компания выяснила, что происходит, она сразу же пошла в крупные университеты, пометила их технические руководства и изъяла их из обращения. Однако информация уже была доступна, и до тех пор, пока AT & T не обновила свою технологию коммутации и не перешла к фрикерам, вызвавшим обвинения в мошенничестве с проволокой, она время от времени продолжалась в начале 80-х годов.

Другой хорошо знает, что социальный инженер почти не нуждается в представлении. Арестованный в феврале 1995 года по обвинению в краже исходного кода у компаний-жертв на 300 миллионов долларов, его обвинения в конечном итоге были снижены до 2-х обвинений в компьютерном мошенничестве, мошенничестве с использованием проводов, олицетворении и злоупотреблении. Что бы ни думали о хакерах / взломщиках, во время захвата Митника судебная система была не готова бороться с кражами интеллектуальной собственности. В результате Митник содержался в федеральной тюрьме 4,5 года, 8 месяцев – в одиночном заключении, потому что утверждалось, что он был вооруженным федеральным преступником. («… Вооруженный клавиатурой, он представлял опасность для сообщества».) Загруженный им исходный код был вскоре предоставлен любому пользователю, который запросил его у SUN, поэтому их заявление о потерях в НИОКР было сочтено неприемлемым.

Путь Кевина Митника через криминальную систему в лучшем случае обескураживает любого пользователя компьютера, который хочет продолжить карьеру в области компьютерной безопасности или обнаружения и реагирования на вторжения, поскольку многие инструменты, используемые для отслеживания такой деятельности, могут использоваться по незаконным причинам. В правительственном деле против него первоначально были перечислены 10 жертв и 27 пунктов. Среди этих жертв – Novell, Nokia и SUN Microsystems – компании, которые не понесли убытков, но поскольку у мистера Митника были сотовые телефоны этих провайдеров в разное время и поскольку у него была программа Novell на его компьютере, они перечислены в одном и том же весе. СОЛНЦЕ. Ни одна из 10 компаний, перечисленных в его обвинительном заключении, никогда не подавала отчеты об убытках акционерам в Комиссию по ценным бумагам и биржам.