Размещено на http://www.allbest.ru/

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

«Владимирский государственный университет имени Александра Григорьевича и Николая Григорьевича Столетовых»

Контрольная работа по дисциплине

«Информационные технологии в психологии»

на тему: «Психологические аспекты информационной безопасности»

Введение

Тема для реферата была выбрана следующая: «Психологические аспекты информационной безопасности» (Понятие о безопасности информационных систем, угрозы безопасности информации, социальная инженерия и ее техники, психологическое обеспечение информационной безопасности). Поначалу данная тема казалась чрезвычайно сложной и непонятной, но прочитав много информации по ней, прояснилось многое, и тема оказалась очень интересной и увлекательной.

Почти вся деятельность человека связанна с компьютерами, каждый день, каждый час, каждую минуты, вокруг нас информационные системы. Мы смотрим фильмы на компьютере, читаем электронные книги, слушаем музыку, общаемся с друзьями через сеть Интернет. Но как обезопасить информацию, которая нам важна и дорога от различных угроз, а главное каких?

В данном реферате будет подробно рассказано о данной проблеме и об обеспечения информационной безопасности в информационных системах.

При рассмотрении безопасности информационных систем обычно выделяют две группы проблем: безопасность компьютера и сетевая безопасность. К безопасности компьютера относят все проблемы защиты данных, хранящихся и обрабатывающихся на компьютере, который рассматривается как автономная система. Эти проблемы решаются средствами операционных систем и приложений, а также встроенными аппаратными средствами компьютера. Под сетевой безопасностью понимают все вопросы, связанные с взаимодействием устройств в сети, это, прежде всего защита данных в момент их передачи по линиям связи и защита от несанкционированного удаленного доступа к компьютеру.

Автономно работающий компьютер можно эффективно защищать от внешних «покушений» разнообразными способами, например просто запереть на замок клавиатуру или снять жесткий накопитель и поместить его в сейф. Компьютер, работающий в сети, по определению не может полностью отгородиться от мира, он должен общаться с другими компьютерами, возможно даже удаленными от него на большие расстояния. Поэтому обеспечение безопасности в сети является задачей значительно более сложной.

Кроме того, угрозы влияют не только на информационные системы, но и на самого пользователя. Этот вид угроз называется социальная инженерия. Именно эта проблема и будет являться главной в реферате.

1. Защита информации в информационных системах

социальная инженерия несанкционированный безопасность

1.1 Понятие о безопасности информационных систем

Информационная система современной организации или предприятия является сложным образованием, построенным в многоуровневой архитектуре клиент-сервер, которое пользуется многочисленными внешними серверами, а также предоставляет во вне-собственные серверы.

Современные информационные системы сложны, а значит, опасны уже сами по себе, даже без учета вмешательства злоумышленников. Постоянно обнаруживаются новые ошибки и уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами.

Под безопасностью ИС понимается защищенность системы, т.е. ее способность противостоять различным воздействиям.

Темпы развития информационных технологий делают весьма актуально проблему защиты информации, ее пользователей, информационных ресурсов и каналов передачи данных, а также требуют постоянного совершенствования механизмов защиты.

Безопасная информационная система - это система, которая, во-первых, защищает данные от несанкционированного доступа, во-вторых, всегда готова предоставить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по определению обладает свойствами:

конфиденциальности;

целостности;

доступности.

Конфиденциальность - гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен.

Целостность - гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким либо образом изменять, модифицировать, разрушать или создавать данные.

Доступность - гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер. К сожалению, законодательная база еще отстает от потребностей практики. Имеющиеся в России законы и указы носят в основном запретный характер.

В то же время следует учитывать, что в нашей стране доминирует зарубежное программно-аппаратное обеспечение. В условиях ограничения на импорт и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие быть абсолютно законопослушными, оказываются по существу в безвыходном положении - у них нет возможности заказать и получить «под ключ» современную систему, имеющую сертификат безопасности.

Любое действие, которое направлено на нарушение конфиденциальности, целостности и доступности информации, а также на нелегальное использование других ресурсов сети, называется угрозой. Реализованная угроза называется атакой. Риск - это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки. Значение риска тем выше, чем более уязвимой является существующая система безопасности и чем выше вероятность реализации атаки.

1.2 Угрозы информации

Угроза - целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой системы информации и приводит к ее случайному или предумышленному изменению или уничтожению.

Угрозы делятся на два вида: неумышленные (случайные) и умышленные (преднамеренные).

Неумышленные (случайные) угрозы:

ошибки обслуживающего персонала и пользователей, что является следствием их низкой квалификации или безответственности.

случайное уничтожение или изменение данных;

сбои оборудования и электропитания;

сбои кабельной системы;

сбои дисковых систем;

сбои систем архивирования данных;

сбои работы серверов, рабочих станций, сетевого оборудования;

некорректная работа программного обеспечения;

заражение системы компьютерными вирусами;

неправильное хранение конфиденциальной информации.

Умышленные (преднамеренные) угрозы:

несанкционированный доступ к информации и сетевым ресурсам;

раскрытие и модификация данных и программ, их копирование;

раскрытие, модификация или подмена трафика вычислительной сети;

разработка и распространение компьютерных вирусов, ввод в программное обеспечение логических бомб;

кража магнитных носителей и технической документации;

разрушение архивной информации или умышленное ее уничтожение;

фальсификация сообщений, отказ от факта получения информации или изменение времени ее приема;

перехват и ознакомление с информацией, передаваемой по каналам связи;

незаконное использование привилегий;

несанкционированное использование информационных ресурсов.

Несанкционированный доступ ( НСД ) - наиболее распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности. Обычно целью злоумышленника является нарушение конфиденциальности данных. Самое сложное - определить, кто и к каким данным может иметь доступ, а кто - нет. Наиболее распространенными путями несанкционированного доступа к информации являются:

применения подслушивающих устройств (закладок);

перехват электронных излучений;

дистанционное фотографирование;

перехват акустических излучений и восстановление текста принтера;

чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

копирование носителей информации с преодолением мер защиты;

маскировка под зарегистрированного пользователя;

маскировка под запросы системы;

использование программных ловушек;

использование недостатков языков программирования;

незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;

злоумышленный вывод из строя механизмов защиты;

информационные инфекции.

Вредоносное программное обеспечение можно разделить на три группы: компьютерные вирусы, хакерское ПО и спам.

Компьютерный вирус - вид вредоносного программного обеспечения, способный создавать копии самого себя и внедрятся в код других программ, системные области памяти, загрузочные секторы, а так же распространять свои копии по разнообразным каналам связи, с целью нарушения работы программно-аппаратных комплексов, удаления файлов, приведения в негодность структур размещения данных, блокирования работы пользователей или же приведение в негодность аппаратных комплексов компьютера.

Основные источники вирусов

Основными источниками вирусов являются:

дискета, на которой находятся зараженные вирусом файлы;

компьютерная сеть, в том числе система электронной почты и Internet;

жесткий диск, на который попал вирус в результате работы с зараженными программами;

вирус, оставшийся в оперативной памяти после предшествующего пользователя.

Вредоносное действие вируса может проявиться в следующем:

появление в процессе работы компьютера неожиданных эффектов (падение символов на экране, неожиданные звуковые эффекты, появление неожиданных картинок и т.п.);

замедление работы компьютера;

сбои и отказы в работе прикладных программ;

порча исчезновение файлов с магнитного диска;

вывод из строя операционной системы;

разрушение файловой системы компьютера;

вывод из строя аппаратуры компьютера.

Исторически сначала появились вирусы , поражающие программные файлы, потом загрузочные вирусы, распространяющиеся через загрузочные области магнитных дисков. Основным средством распространения являются дискеты. Позднее появились макровирусы, распространяющиеся с документами офисных приложений, таких, как MicrosoftЕхсel. Для запуска вирусов этого вида достаточно открыть зараженный документ.

Наряду с совершенствованием механизмов распространения вирусов авторы-вирусописатели улучшали и улучшают скрытность вирусов. Один из способов повышения скрытности вируса, затрудняющий его обнаружение, - это использование шифрования. Шифрующиеся вирусы шифруют собственный код, используя различные ключи и алгоритмы шифрования. В результате каждая новая копия вируса приобретает новый вид. Внедрение ЛВС облегчило процедуру распространения вирусов. Достаточно заразить один компьютер и вирус начнет распространяться по сети, заражая все доступные сетевые диски.

Еще более благоприятную почву для распространения вирусов предоставляют Интернет и электронная почта. Зараженную программу (почтовый вирус) можно получить как приложение к электронному письму. Существуют вирусы, которые могут распространяться через электронную почту без использования приложений, так называемые черви. Для заражения машины не требуется запускать какой-либо приложенный файл, достаточно лишь просмотреть письмо. В его html-коде содержится автоматически запускающийся скрипт, выполняющий вредоносное действие. После активации червь рассылает письмо-ловушку по всем записям, находящимся в адресной книге на зараженном компьютере.

Сеть Интернет предоставляет дополнительные возможности для распространения вирусов. Использование технологии объектов Active Х создает потенциальную угрозу проникновения вирусов. Такой объект размещается на сервере WWW и при обращении к нему загружается в память удаленного компьютера. Объект Active Х представляет собой программу, которая автоматически запускается на компьютере удаленного пользователя и может делать там практически все что угодно. В частности, не исключено, что она может получить доступ к файловой системе и заразить компьютер вирусом.

Программы, составленные на языке Java, не представляют угрозу для распространения вирусов, так как они не имеют доступа к файловой системе удаленного компьютера. Плата за безопасность - меньшая функциональность по сравнению с объектами Active Х.

Хакерское ПО - это инструмент для взлома и хищения конфиденциальных данных. Существуют инструменты для сбора данных о потенциальных жертвах и поиска уязвимостей в компьютерных сетях. К ним относятся программы для сканирования сети с целью определения IР-адресов компьютеров и «открытых» портов. Программы «прослушивания» сетевого трафика незаметно перехватывают IР-пакеты в сети и анализируют их в целях определения адресов отправителей и получателей и, может быть, выявления секретных данных типа имен и паролей, передаваемых в открытом виде. Формат почтовых сообщений является открытым, следовательно, электронное письмо может быть легко прочитано.

Есть инструменты хакеров, предназначенные для взлома компьютеров и сетей. К ним относятся программы подбора паролей, фальсификации IР-пакетов путем подмены адреса отправителя или получателя.

Отдельного рассмотрения требуют программы-трояны, представляющие в настоящее время главную угрозу и занимающие лидирующее положение среди вредоносного ПО.

Название «троян» («троянский конь») возникло из-за того, что вначале вредоносный код маскировался в некоторой полезной или интересной программе, которую пользователь по доброй воле устанавливал на компьютер. Это могла быть какая-либо утилита, повышающая удобство работы на компьютере, или компьютерная игра. Сейчас трояны распространяются и по электронной почте, также их можно загрузить на рабочий компьютер с какого-нибудь сайта, просматривая интересные страницы.

Троян незаметно для пользователя (под «прикрытием» полезной программы или будучи внедренным в операционную систему) выполняет ряд действий в интересах хакера:

соединение с сервером хакера и пересылка на него всех вводимых с клавиатуры данных, адресов электронной почты;

рассылка электронной почты по заданным адресам;

выполнение команд, получаемых с хакерского сервера.

Таким образом, троян «открывает» компьютерную сеть или отдельный компьютер для хакера.

2. Методы и средства защиты информационных систем

Важность и сложность проблемы обеспечения безопасности требует выработки политики информационной безопасности, которая подразумевает ответы на следующие вопросы:

Какую информацию защищать?

Какой ущерб понесет предприятие при потере или при раскрытии тех или иных данных?

Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты?

Какие средства использовать для защиты каждого вида информации?

Организационно-технические подразумевают:

создание на предприятии специальных помещений для размещения компьютеров с ценной информацией;

выполнение работ по защите помещений от электромагнитного излучения с тем, чтобы исключить «съем» данных с мониторов и клавиатуры;

организацию пропускного режима и видеонаблюдения;

создание перечня объектов защиты и регламента доступа к ним;

организацию контроля и регистрацию использования переносных носителей данных и мобильных телефонов и т.п.

Создать эффективную систему безопасности только техническими средствами невозможно. Необходимо применять административно-правовые методы защиты информационных систем. Должен быть разработан набор внутрифирменных регламентирующих документов. Прежде всего - это положение о коммерческой тайне. В этом документе должны найти отражение следующие моменты:

информация, являющаяся коммерческой тайной;

технические носители, на которых размещаются данные, являющиеся коммерческой тайной;

режим коммерческой тайны (порядок доступа, регистрация доступа, права доступа);

ответственность за нарушение режима и разглашение коммерческой тайны;

обязанности лиц, допущенных к коммерческой тайне и отвечающих за защиту коммерческой тайны.

Важно, чтобы в перечень конфиденциальной информации были включены сведения о структуре вычислительной сети, средствах защиты и их конфигурации.

Должен быть разработан документ, регламентирующий работу пользователей информационной системы. Это может быть либо положение о защите информации (информационной безопасности), либо правила эксплуатации информационной системы предприятия. В этом документе должны быть изложены:

порядок установки ПО на компьютеры;

порядок подключения компьютеров к сети;

правила доступа в Интернет;

правила использования электронной почты;

действия в случае нарушения режима информационной безопасности.

Отдельно или в составе этого документа необходимо разработать требования по безопасности к программам.

Программно-технические средства предназначены для предотвращения нарушения конфиденциальности и целостности данных, хранимых и обрабатываемых в информационной системе. Нарушение целостности - это несанкционированное внесение изменений в данные. Разрешение (санкционирование) доступа к данным осуществляется путем идентификации и аутентификации пользователя информационной системы.

Идентификация пользователя - это присвоение ему уникального кода, аутентификация - установление подлинности субъекта.

Каждый пользователь информационной системы должен иметь имя. Имя не является секретным.

Секретной является информация, с помощью которой пользователь удостоверяет свою личность. Обычно это пароль, который пользователь хранит в голове или в своих секретных записях и вводит с клавиатуры.

Для хранения пароля могут применяться специальные устройства: магнитные карты, чип карты, электронные ключи, брелки с USB- интерфейсом и т.д.

Средства зашиты вычислительных сетей предназначены для борьбы с внешними и внутренними угрозами. Для отражения угроз такого рода используют межсетевые экраны или как их еще называют firewall или брандмауэр (brandmauer).

Межсетевой экран - это программная или программно-аппаратная система защиты, обеспечивающая разделение сети на две части.

Суть защиты - пропуск сетевых пакетов с данными из одной части сети в другую в соответствии с установленным набором правил. Межсетевые экраны могут устанавливаться внутри ЛВС предприятия для создания внутренних защищенных сегментов сети. Для защиты сети от внешних угроз межсетевой экран устанавливается на границе между ЛВС и глобальной сетью Интернет. Брандмауэр может быть установлен и на отдельный персональный компьютер или сервер с целью защиты их от несанкционированного доступа со стороны других компьютеров локальной сети или сети Интернет.

В персональном брандмауэре устанавливаются параметры, регулирующие функционирование ПК в сети, например:

какие программы имеют право на выход в сеть;

правила пропуска пакетов из сети;

список доверенных сетевых адресов.

В операционную систему Windows, начиная с ХР, встроен персональный брандмауэр, выполняющий вышеперечисленные функции. Будучи включенным брандмауэр блокирует доступ к компьютеру из сети. Но бывают ситуации, когда для некоторых программ необходимо предоставить возможность доступа к ним из сети, например, программа сетевого общения Skype.

Как правило, межсетевые экраны включают в себя следующие компоненты:

фильтрующий маршрутизатор,

шлюз сетевого уровня,

шлюз прикладного уровня.

Фильтрующий маршрутизатор принимает решение о фильтрации пакетов с данными на основе сведений, содержащихся в IP-заголовке пакета: IP-адрес отправителя, IP-адрес получателя, порт отправителя, порт получателя. Тем самым можно запретить общение с нежелательными сервисами в Интернет. Так как кроме IP-заголовка маршрутизатор ничего не проверяет, то, изменив адрес в заголовке, злоумышленник может преодолеть этот барьер и проникнуть в сеть.

Шлюз сетевого уровня выполняет преобразование внутренних IP-адресов в один внешний IP-адрес, через который и происходит обмен данными с внешней сетью. Внутренняя структура локальной сети, таким образом, скрыта от внешнего мира. При этом шлюз при установке связи проверяет допустимость связи клиента с запрашиваемым ресурсом во внешней сети. Однако, такой шлюз пропускает пакеты в обоих направлениях, не проверяя их содержимого.

Шлюз прикладного уровня исключает прямое взаимодействие компьютера локальной сети и внешнего компьютера и дает возможность фильтрации протокола. Кроме этого шлюз предоставляет возможность регистрировать все попытки доступа извне в локальную сеть и предупреждать о возможных атаках на сеть.

Внешний экран на основе специальных правил (списков доступа) не пропускает внешний трафик, приходящий с «запрещенных» адресов сети Интернет. В список «запрещенных» обычно включают адреса спамеров, порносайтов и т.п.

В демилитаризованной зоне размещаются ресурсы, которые должны быть доступны из внешней сети, такие как WEB-сервер, почтовый сервер и т.п. Компьютеры, на которых расположены эти ресурсы имеют реальные IP-адреса, т.е. они «видны» в сети Интернет и к ним может обратиться любой пользователь, но опасность входящего трафика значительно снижена.

Внутренний экран «маскирует» компьютеры ЛВС, используя механизм трансляции сетевых адресов. В ЛВС используются локальные IP- адреса, которые не могут применяться в глобальной сети Интернет. Эти адреса специально зарезервированы для локальных сетей.

Экран осуществляет отображение пространства внутренних адресов на несколько реальных, имеющихся в распоряжении предприятия. Инициатором межсетевого обмена может выступать только компьютер ЛВС. Произвольный доступ из Интернет к любому компьютеру ЛВС невозможен. Дополнительно в межсетевом экране могут быть установлены правила, регулирующие права пользователей ЛВС на выход в Интернет.

3. Социальная инженерия и ее техники

3.1 Социальная инженерия

Социальная инженерия (СИ) -- это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным, так как злоумышленник получает информацию, например, путем сбора данных о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего.

Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе, и что самое интересное, очень часто этот трюк проходит, ведь, самое сильное оружие в этом случае -- приятный голос и актёрские способности.

Также, злоумышленник под видом служащего компании звонит в службу технической поддержки. Представившись от имени служащего, он просит напомнить свой пароль, либо меняет его на новый, сославшись на забывчивость. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.).

Дальше дело техники. Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа.

3.2 Техники и термины социальной инженерии

Все техники социальной инженерии основаны на особенностях принятия решений людьми, называемых когнитивным базисом. Они также могут быть названы особенностью принятия решения человеческой и социальной психологий. Основанной на том что человек должен кому либо доверять в социальной среде воспитания. Выделяют следующие категории:

Претекстинг -- это действие, отработанное по заранее составленному сценарию (претексту). В результате цель должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: дата рождения, сумма последнего счёта и др.), с тем, чтобы обеспечить доверие цели. К этому же виду относятся атаки и по онлайн мессенджерам, например по icq.

Фишинг-- техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо -- от банка или платёжной системы -- требующее «проверки» определённой информации, или совершения определённых действий. Это письмо обычно содержит линк на фальшивую веб-страницу, имитирующую официальную, с корпоративным логотипом и контентом, и содержащую форму, требующую ввести конфиденциальную информацию -- от домашнего адреса до пин-кода банковской карты.

Троянский конь -- эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении «клёвый» или «сексуальный» скрин-сейвер, важный апгрейд антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

Дорожное яблоко -- этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство. Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2007». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство, или просто «добрый самаритянин» отнесёт диск в компанию.

Кви про кво -- злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют хакеру запустить вредоносное программное обеспечение.

3.3 Введение в заблуждение (обман)

Введение в заблуждение - основной "компонент" социальной инженерии, включающий в себя целый ряд всевозможных техник: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т.д. Конечные цели обмана так же весьма разнообразны. Ниже мы рассмотрим лишь наиболее популярные из них: отъем денег, получение несанкционированного доступа к конфиденциальной информации и уход от ответственности путем перевода подозрений на постороннее лицо.

3.4 Отъем денег

Это только в американских боевиках одетые в маски грабители вламываются в какой-нибудь банк и, угрожая оружием, требуют деньги на бочку. В России же все происходит гораздо проще. Вездесущий бардак и халатное отношение к собственным обязанностям позволяют присвоить чужую зарплату простой росписью в ведомости. Автор этой статьи был до глубины души поражен, когда обнаружил, что многие издательства выплачивают гонорары, не требуя ни паспорта, ни другого удостоверения личности! Просто заходишь в бухгалтерию, говоришь, что ты засеверный олень такой, царапаешь фамилию в ведомости (не обязательно свою и не обязательно ту же самую, что в прошлый раз), получаешь наличные и, не забыв сказать "до свидания", уходишь. Ситуацию серьезно осложняет то обстоятельство, что далеко не всех своих корреспондентов издатель знает в лицо, т.к. многие из них проживают в другом городе или даже стране. Для пресечения обмана все денежные вопросы следует решать не по электронной почте, но телефону, а еще лучше - выплачивать гонорар только после заключения договора. (Договор же можно переслать обычной почтой или, на худой конец, по факсу). Кстати, встречаются и недобросовестные авторы, которые, получив деньги, требуют их снова, мотивируя это тем, что гонорар якобы получил кто-то другой, выдавший себя за них.

3.5 Бесплатное приобретение программных продуктов

Хищение денег - это достаточно рискованный способ мошенничества и, в случае неудачи, он может обернуться лишением свободы на длительный срок. Поэтому, многие предпочитают воровать не деньги, а их материальное воплощение. Предположим, злоумышленнику требуется некоторый программный пакет и/или техническая консультация. Взломать демо-версию или атаковать локальную сеть фирмы-разработчика? Чревато! Лучше, представившись журналистом, попросить один экземпляр программы в обмен на обещание разрекламировать ее в некотором популярном журнале. Какая фирма не клюнет на такую заманчивую перспективу? К тому же вместе с продуктом злоумышленник получит и квалифицированную техническую поддержку непосредственно от самих разработчиков, а не девушек-операторов, обслуживающих рядовых клиентов. Если вы хотите избежать обмана - пересылайте продукт не напрямую, а через издателя. Он-то наверняка знает своих журналистов! Впрочем, вполне "всамомделешний" журналист может продукт взять, а статью не написать. Или написать, но по независящим от него причинам не суметь ее опубликовать... Злоумышленнику придется сложнее, если требуемый ему продукт настолько специфичен, что вообще отсутствует на рынке. Разработка "под ключ" обычно стоит дорого, очень дорого, но если проявить чуточку смекали… Вот на сайте аля www.jobs.ru появляется объявление о высокооплачиваемой работе по Интернету. Прием сотрудников, естественно, происходит на конкурсной основе и каждому кандидату дается тестовое задание, по результатам выполнения которого и судят о его, кандидата, профессионализме. Вы не прошли тест? Не расстраивайтесь! Подучитесь, а потом попробуйте свои силы снова, если, конечно, к тому времени не поймете, кто остался с носом, а кто - с готовым продуктом. Самое печальное, что предъявлять злоумышленнику гражданский иск бессмысленно, поскольку состав преступления отсутствует. Защитить себя от подобных обманов очень трудно, поскольку, аналогичная схема набора сотрудников широко используется и легальными фирмами. Напротив, очень немногие работодатели готовы оплачивать работу "котов в мешке". Поиск хорошей работы - это вообще рулетка и без разочарований здесь не обойтись.

3.6 Несанкционированный доступ. Приемы хищения паролей

Вероятно, самый известный прием похищения пароля - это звонок жертве от имени администратора системы или, напротив, администратору - от имени некоторого пользователя. Просьба в обоих случаях одна, - под каким бы то ни было предлогом сообщить пароль на некоторый ресурс. К счастью, актуальность атак этого типа за последний год значительно снизилась - все-таки жизнь чему-то учит! Однако не стоить питать иллюзий по поводу своей защищенности. Она в большинстве случаев мнимая. Лучший способ выведать пароль - не спрашивать его. Напротив, строго-настрого запретить говорить! Это может выглядеть, например, так: "Ало, здравствуйте! С Вами проводит разъяснительную беседу эксперт по безопасности Вася Пупкин. Помните ли Вы, что никогда, ни при каких обстоятельствах, никому-никому не должны сообщать свой пароль? А помните, что пароль должен состоять из комбинации букв и цифр? Кстати, какой он у Вас?" Поразительно, но многие, пропуская "разъяснительную беседу" мимо ушей, называют свой действительный пароль! Причем, атакующий в случае провала ничем не рискует, т.к. вопрос "какой у Вас пароль" можно понимать двояко - какой именно пароль, и какой пароль вообще (длиннее восьми символов, является ли словарным словом или нет и т.д.).А если пользователи окажутся достаточно сообразительными для того, чтобы не сообщать свой пароль первому встречному? Тогда, учитывая, что очень многие из нас склонны назначать одинаковые пароли на все ресурсы, злоумышленник просто подсунет жертве ресурс, требующий аутентификации (например, предложит подписаться на почтовую рассылку). В крайнем случае, он узнает если не сам пароль, то хотя бы привычки жертвы - выбирает ли она в качестве паролей словарные слова, и если выбирает, то по какому принципу. Разумеется, для подобного анализа придется отследить несколько назначений паролей, но никаких подозрений жертвы (даже самой квалифицированной!) это не вызовет. Поэтому, никогда не назначайте одинаковые или близкие пароли на различные ресурсы!

Для низко квалифицированных пользователей припасена и другая тактика. О том, что свой пароль разглашать ни в коем случае нельзя, их, вероятнее всего, уже предупредили. Но сказали ли им: где этот пароль хранится и как его можно обойти? Злоумышленник может попросить (а от имени начальника и приказать) выполнить некоторые, вполне безобидные с точки зрения жертвы действия, например, переслать PWL файл по такому-то адресу или создать нового пользователя с пустым паролем. (Причем, выполняя по шагам расписанные действия, жертва, возможно, даже не осознает, что она вообще делает). Помните, низко квалифицированный оператор - все равно, что обезьяна с гранатой!

Кстати, постоянная смена паролей - это худший выход из ситуации, создающий проблем больше, чем их решающий. Никто не будет и пытаться запомнить длинные, постоянно меняющиеся да к тому лишенные всякого смысла пароли! Все будут их… записывать! Никакие угрозы администратора ситуацию не исправят, а, напротив, ее усугубят. Поставьте себя на место пользователя, в заветном месте хранящего такую бумажку с паролем. А теперь вообразите, что некий "доброжелатель" из "соседнего отдела" вам звонит и сообщает, что вас ожидает тотальный обыск на предмет поиска парольных бумажек с последующим увольнением всех, у кого такая бумажка обнаружится. Не знаю, сожжете ли Вы свою бумажку или запьете ее молоком, но есть ненулевая вероятность того, что кто-то избавится от изобличающих его улик через окно или мусорную корзину. Злоумышленнику остается лишь хорошо порыться в мусоре или под окнами фирмы. Поэтому, любое приказание и любая служебная инструкция должна составляться осмысленно с учетом реальной ситуации, а не теоретических измышлений. Люди - не компьютеры!

В некоторых, не таких уж редких случаях, злоумышленник имеет принципиальную возможность подсмотреть набираемый на клавиатуре пароль (например, с помощью сильного бинокля, расположившись в соседнем здании). Самое трудное - уследить за быстро набираемым паролем, к тому же частично закрытым руками и другими частями тела. Каким либо образом инициировав смену паролей (например, путем имитации атаки), он существенно упростит свою задачу. Ведь новый пароль уже не наберешь "на автомате"!

Для предотвращения утечки информации компьютеры лучше всего располагать так, чтобы ни монитор, ни клавиатура, ни принтерные распечатки не были видны ни из окон, ни из дверей. Эти несложные меры значительно усложнят хакеру проникновение в систему.

3.7 Атака администратора системы

В том случае, если пароль заполучить не удастся, злоумышленнику ничего не останется, как прибегнуть к атаке на технические средства (т.е. непосредственно на компьютеры). Однако правильно сконфигурированную и хорошо защищенную систему ломать "в лоб" практически бесполезно. Вот если бы в ней была дыра.. Один из нетехнических способов пробивания дыр выглядит приблизительно так: злоумышленник звонит администратору и сообщает, что из достоверных источников ему стало известно о готовящейся (или уже совершенной) атаке. Никаких деталей звонящий, естественно, не сообщает (он ведь не взломщик, а "знакомый" взломщика), но приблизительное местонахождение дырки все же указывает. Существует ненулевая вероятность того, что администратор, пытаясь повысить безопасность своей системы, допустит несколько ошибок, упрощающих атаку. (И эта вероятность тем больше, чем сильнее волнуется администратор). Для отвлечения внимания злоумышленники часто прибегают к имитации атаки, выполняя различные бессмысленные, но целенаправленные действия. Автору этой статьи известно несколько случаев, когда в ответ на мусор, направленный в 80й порт, администраторы просто "срубали" WEB-сервисы, поскольку, будучи предупрежденными об "атаке", считали: лучше на время остаться без WEB'а, чем позволить хакерам проникнуть в локальную сеть и похитить конфиденциальную информацию. Естественно, простой WEB-серверов обернулся внушительными убытками, хотя никакой опасности на самом деле и не было. Так что не стоит шарахаться от каждой тени и любое непонятное действие расценивать как вторжение в систему. Развивая идею дальше, злоумышленники догадались, что выдавать себя за знакомого злоумышленника, согласного за определенное вознаграждение быть осведомителем, гораздо выгоднее, чем атаковать систему. К тому же, "осведомителя" чрезвычайно трудно привлечь к ответственности, поскольку факт обмана практически не доказуем, а имитация атаки, не влекущая несанкционированного доступа к системе (блокирования системы), вообще не наказуема. Причем, для такой "атаки" злоумышленнику не требуется практически никакой квалификации, и стать "хакером" может буквально любой! Поэтому, не спешите оплачивать услуги осведомителя, даже если он согласен "работать" почти задаром, - сначала убедитесь, что это действительно осведомитель, и что вас действительно атакуют, а не создают лишь видимость атаки! Но не забывайте, что упускать из рук настоящего осведомителя (а такие - не редкость среди хакеров) очень глупо.

3.8 Уход от ответственности

Успешно выполнить атаку - означает решить лишь половину задачи. Злоумышленнику еще предстоит замести за собой следы - уйти от ответственности и не попасться. А это, кстати, намного сложнее! Поэтому, матерые мошенники, похитив энную сумму денег, без тени жалости переводят большую ее часть на счет одного из сотрудников фирмы, который в принципе подходит на роль похитителя. Причем, это должен быть жадный, азартный и умственно недалекий человек, который, обнаружив на своем счете "лишние" деньги, с высокой степенью вероятности рискнет прикарманить добро, само идущее к нему в руки, а не побежит в милицию. Затем следует анонимный звонок (письмо) директору фирмы с сообщением: где следует искать пропавшие деньги и… жертве будет чрезвычайно трудно доказать, что она тут ни при чем, и убедить остальных, что ее подставили. Конечно, путь денег - кто именно перевел их жертве - проследить вполне возможно (особенно, если это крупная сумма), но, во-первых, злоумышленник может переводить деньги через подставное лицо. А, во-вторых, даже будучи пойманным, он сможет заявить, что он не главарь, а пешка и вообще не знал, что деньги ворованные. При условии, что злоумышленник оставит себе меньшую часть награбленного, такая легенда будет звучать весьма убедительно. Поэтому, при "разборе полетов" ни в коем случае не хватайте первого попавшегося под руку обвиняемого, - в большинстве случаев он действительно ни в чем не виновен.

Другой способ "перевода стрелок" заключается в психологической обработке лиц, "помешанных" на подражательстве хакерам, но хакерами не являющимися. Сначала их убеждают, что пребывание в тюрьме - явление вполне нормальное для хакера, затем демонстрируют целую серию эффективных "взломов", чем вызывают глубокое уважение к себе. Наконец, когда "клиент" готов, мошенник предлагает ему стать своим учеником, после чего руками ученика осуществляет реальный взлом. В случае раскрытия преступления ученик может и не выдать своего "наставника" (а при правильной психологической обработке и не выдаст, хоть режь его на куски). А, если даже и выдаст, следствию будет не так-то легко уличить злоумышленника, ведь все предыдущие атаки - фикция! "Наставник" без больших трудов сможет представить все это невинной игрой. Он-де, просто забавлялся, не причиняя никому никакого вреда. А о том, кто руководил "учеником" в настоящей атаке, - не имеет ни малейшего представления.

3.9 Маска, я тебя знаю или как злоумышленники выдают себя за другое лицо

Электронная почта, конечно, штука хорошая, но слишком уж небезопасная. Неудивительно, что многие из нас предпочитают все более или менее важные дела решать по телефону (так, по крайне мере, слышен хотя бы голос собеседника). Злоумышленника, выдающего себя за другое лицо, могут серьезно озадачить просьбой оставить свой телефон. Конечно, можно просто подключиться к "лапше" на лестничной площадке или прибегнуть к помощи таксофона (многие таксофоны умеют принимать и входящие звонки). Однако существуют и более изощренные приемы. Рассмотрим два, наиболее популярных, из них.

3.9.1 Захват телефона

Допустим, злоумышленник выдает себя за сотрудника такой-то компании. В телефонном справочнике он находит телефон секретаря этой компании и просит соединить его с охранником, а заодно - сообщить его телефонный номер (зачем - мошеннику придумать большого труда не составит). Если охранник действительно имеет телефон (а, что, встречаются охранники без телефона?), разыгрывается следующая комбинация. Дав жертве телефон секретаря фирмы, и, сообщив "добавочный" охранника (но, умолчав, что это - охранник), злоумышленник под каким-либо предлогом просит жертву позвонить ему в строго определенное время. Незадолго до назначенного срока злоумышленник заходит в фирму, где и встречается с охранником, сидящим у входа. Рассказав какую-нибудь душещипательную историю (типа по ошибке дал своему партнеру по бизнесу ваш телефон), злоумышленник спрашивает: а вот сейчас, когда позвонят и попросят "Васю", нельзя ли будет ему взять трубочку? Поскольку, с точки зрения охранника никакого криминала в этом нет, существует определенная вероятность того, что он исполнит эту просьбу (особенно, если злоумышленник - девушка привлекательной наружности). В результате, жертва будет считать, что злоумышленник действительно работает в этой фирме. В качестве альтернативного варианта злоумышленник может попросить охранника сказать звонящему: "Перезвоните Васе по такому-то телефону". Если охранник не будет вдаваться в подробности, жертва опять-таки подумает, что, раз Васю знают, то он, несомненно, подлинный сотрудник этой фирмы. Конечно, охранник может запомнить внешность злоумышленника (и запомнит наверняка, если он профессионал), но внешность - это не паспортные данные и мошенника еще предстоит найти. К тому же, личная встреча с охранником абсолютно необязательна. Злоумышленник может позвонить по любому телефону и попросить его владельца сообщить звонящему по какому телефону можно найти Васю. Практика показывает, что люди (особенно занятые) редко вдаются в подробности и вместо того, чтобы сказать: "Ах, Вам Васю? А Вася здесь не работает! Он, знаете ли, наш телефон дал Вам по ошибке…" ограничиваются кратким: "Васю? Позвоните по такому-то телефону".. Поэтому, ни в коем случае не стоит считать телефон надежным средством идентификации личности.

3.9.2 Место встречи изменить нельзя

В некоторых случаях возможностей телефонных и компьютерных сетей оказывается недостаточно и злоумышленнику приходится прибегать к встречам "в живую". Как убедительно выдать себя за другое лицо, да так, чтобы у жертвы не возникло и тени сомнения? Ведь, в противном случае она запросто может попросить предъявить документы, а качественно подделать документы очень сложно (во всяком случае, для одиночки).Допустим, злоумышленник выдает себя за сотрудника некоторой фирмы и, чтобы вы окончательно поверили в это, договаривается встретиться с вами в здании фирмы. Чтобы не возиться с выписыванием пропусков, он предлагает подождать вас на проходной. Для усиления эффекта проходящие мимо "сотрудники" могут здороваться со злоумышленником и жать ему руку. Зима, кстати, лучший помощник злоумышленника. Сняв верхнюю одежду и спрятав ее, например, в припаркованной рядом машине, он окончательно развеет ваши сомнении относительно его личности. Техника проникновение на охраняемый объект без использования отмычек. Проникнуть на фирму, пускай у двери стоит хоть десяток охранников, зачастую проще простого. Предъявляем паспорт, говорим: кто мы такие и к кому идем. Причем, названное имя не обязательно должно совпадать с именем в паспорте. Объясняем: тот, к кому мы идем, знает нас под сетевым псевдонимом. Охранник звонит указанному лицу и сообщает, что его хочет видеть такая-то личность. Получив "добро" (а "добро" очень часто дается без уточнения подробностей), охранник дает мошеннику "зеленый свет". Разумеется, злоумышленнику вовсе не обязательно быть сетевым другом одного из сотрудников. Достаточно лишь знать имена его знакомых, выяснить которые не составит никакого труда. (Особенно, если сотрудник злоупотребляет ICQ или Интернет - форумами). На первый взгляд, знание паспортных данных позволяет без труда найти злоумышленника. Это так, но не стоит обольщаться, - доказать его причастность к грамотно спланированной атаке будет очень непросто! Ведь не компьютер же будет выносить в кармане злоумышленник! Вероятнее всего, он постарается подсмотреть набираемый пароль или, обнаружив в пустующем кабинете включенный компьютер, занесет туда шпиона. Для предотвращения подобных инцидентов следует сопровождать всех посторонних лиц от самого входа до места назначения, не позволяя им самостоятельно бродить по помещению.

3.10 СПАМ и все что с ним связано

Массовая рассылка - идеальное средство для поиска простаков. А чужая глупость - отличное средство наживы. В последнее время в сети стало появляться все больше и больше предложений о вложении своих денег в акции. Поразительно, но урок, преподнесенный МММ, так ничему и не научил. Многие по-прежнему обращают внимание лишь на рост котировок, совершенно не интересуясь источником прибыли. А источник-то прост! Фирма, выкинув на биржу акции, через некоторое время сама же скупает их по завышенной цене, чем и привлекает к себе клиентов. Вложения же клиентов идут на очередную закупку акций… Так происходит до тех пор, пока приток клиентов не начинает мельчать, после чего фирма ликвидируется и все акционеры остаются с носом.

Про всевозможные финансовые пирамиды и предложения о заработке огромных куч денег в кратчайшие сроки не стоит и говорить. Если, вовремя продав акции, вы еще можете хоть что-то заполучить, то "сетевой заработок" - просто откровенная «дуриловка», не приносящаяся никакого дохода вообще. Поскольку, это печальное обстоятельство наконец-то стало доходить до любителей халявы, интерес к супер-бизнесу начал мало-помалу ослабевать. Не нужно быть ясновидцем, чтобы предсказать скорого появления сообщений, предлагающих небольшой заработок. На фоне остальных это будет выглядеть весьма убедительно, но, тем не менее, останется той же самой ложью.

Кстати, ни в коем случае не клюйте на объявления о продаже дорогих вещей, пускай по сильно заниженной цене, т.к. этот трюк широко используется мошенниками для поиска богатых людей со всеми вытекающими отсюда последствиями (в лучшем случае просто ограбят, а в худшем же…).Вообще, лучше игнорируйте массовую рассылку, и не отвечайте ни на какие спамерские сообщения. По-настоящему хорошие товары и способы заработка никогда не рекламируются таким дешевым способом.

3.11 Шантаж

Если попытки получить требуемое путем обмана ни к чему не приведут, то злоумышленник может отважиться на прямой шантаж сотрудников фирмы. Статистика показывает, что угроза физической расправы встречается довольно редко, а, если и встречается, то в подавляющем большинстве случаев лишь угрозой и остается.На первом месте лидируют обещания рассказать ревнивому мужу (жене) о супружеской измене, - не важно имела ли она место в действительности или нет. Для этого вовсе не обязательно устанавливать скрытые камеры или заниматься фотомонтажом, - достаточно быть хорошим рассказчиком, умеющим убедить собеседника. Опасаясь за распад семьи, многие из нас идут на мелкие (с нашей точки зрения) должностные преступления, оборачивающиеся, тем не менее, значительными убытками для фирмы.

Второе место занимают угрозы убедить сына (дочь) в том, что вы не настоящие родители. Поскольку, в подростковом возрасте между детьми и родителями часто случаются серьезные конфликты, вероятность того, что ребенок поверит постороннему дяде, чем и нанесет себе тяжелую душевную травму, отнюдь не нулевая!

Способ борьбы с такими шантажистами только один - полное взаимное доверие между членами семьи. Руководители фирм должны осознавать, что семейное благополучие сотрудников - залог их, руководителей, безопасности.

В любом случае - никогда не идите на поводу у шантажиста. Этим вы лишь глубже затягиваете себя в его сети. Напротив, проявив безразличие, вы обезоруживаете мошенника, обессмысливая тем самым шантаж и заставляя его искать другие пути.

Кстати, достаточно широко распространенный способ имитации шантажа для проверки моральной устойчивости сотрудников юридически незаконен. И "подопытный" сотрудник имеет полные основания для подачи иска за нанесенный ему моральный ущерб.

3.12 Игра на чувствах

Поскольку, шантаж - дело наказуемое, злоумышленники по возможности используют более законные пути. Например, покорив сердце некоторой сотрудницы, мошенник в один прекрасный день может заявить, что он-де проигрался в карты и теперь вынужден долгие годы отрабатывать долг батраком в Казахстане. Правда, есть один вариант… если его пассия скопирует такие-то конфиденциальные документы, он сумеет их продать, - тогда никуда уезжать не потребуется и любовный роман продолжится… Впрочем, не обязательно играть именно на любви. Ничуть не хуже толкает на преступление алчность, желание отомстить руководству или попытка самоутвердиться.

...