• Strona poczÂątkowa
• 60 5194
• 31 1522

[ Pobierz całość w formacie PDF ]
.Chwilę potem włączył wyszukiwanie i odna-lazł dwóch Michaeli Parkerów.Wybrał jednego z nich i odczytał jego numerubezpieczenia i pozostałe informacje dostępne w bazie na jego temat.Od tej chwili był Michaelem Parkerem z tytułem inżyniera informatyka,zdobytym po ukończeniu z wyróżnieniem studiów w 1998 roku.Analiza oszustwaW ataku tym użyty został jeden podstęp, który nie był jeszcze omawia-ny: napastnik prosi administratora bazy danych o przeprowadzenie go przezproces jej obsługi, którego nie znał.Niezwykle efektywne odwrócenie ról.Totak, jakby poprosić sprzedawcę w sklepie, aby pomógł nam przenieść do na-szego samochodu pudło, w którym znajdują się skradzione ze sklepu towa-ry.Uwaga MitnickaUżytkownicy komputerów często nie mają pojęcia o zagrożeniachzwiązanych ze stosowaniem socjotechniki w świecie technologii.Majądostęp do informacji, jednak nie dysponują wiedzą o zagrożeniachbezpieczeństwa.Socjotechnik wybiera sobie jako ofiarę osobę, która niezna wartości wyszukiwanej informacji.Osoba taka chętniej coś dla naszrobi.Jak zapobiegać?Współczucie, poczucie winy i zastraszenie to emocje często wykorzysty-wane przez socjotechników.Sposób ich wykorzystania demonstrują opisanetu historie.Co można zrobić, aby uniknąć tego typu ataków?Ochrona danychNiektóre historie z tego rozdziału w szczególny sposób pokazują niebez-pieczeństwo związane z wysłaniem plików do osoby, której nie znamy, na-144wet gdy osoba ta jest (lub wydaje się nam, że jest) pracownikiem, a doku-ment jest przesyłany wewnętrznie na adres e-mail należący do domeny fir-my lub faks położony na jej terenie.Polityka bezpieczeństwa firmy musi jednoznacznie definiować środkiochrony podczas udostępniania wartościowych danych osobie, której wysy-łający nie zna osobiście.Muszą zostać ustanowione procedury transferu pli-ków z poufnymi informacjami.Kiedy prośba o dane pochodzi od osoby, któ-rej nie znamy osobiście, należy określić kroki, jakie pracownik musi podjąćw celu weryfikacji tejże osoby, uwzględniające różne poziomy owej weryfi-kacji w zależności od stopnia poufności danych.Oto parę gotowych rozwiązań do rozważenia:" Wprowadz
zasadę udzielania informacji tylko znanym osobom." Przechowuj logi transakcji dla każdej osoby lub działu." Ustal listę osób, które zostały przeszkolone w zakresie proceduri są wyłącznie uprawnione do przesyłania na zewnątrz poufnychinformacji." Jeżeli prośba o dane ma formę pisemną (e-mail, faks lub poczta),podejmuj dodatkowe kroki, aby ustalić, czy prośba ta rzeczywiściepochodzi od określonej osoby.O hasłachPracownicy, którzy mają dostęp do poufnych informacji  w dzisiejszychrealiach są to praktycznie wszystkie osoby z dostępem do komputera  mu-szą uzmysłowić sobie, że nawet chwilowa zmiana hasła może prowadzić dopoważnego zagrożenia bezpieczeństwa.Szkolenie w zakresie bezpieczeństwa musi podejmować temat haseł,a w szczególności tego, kiedy i jak je zmieniać, z czego składa się dopuszczal-ne hasło i jakie ryzyko wiąże się z angażowaniem innych osób w ten pro-ces.Szkolenie musi w szczególności zwracać uwagę na fakt, że każda prośbazwiązana z ich hasłem jest podejrzana.Z pozoru wydaje się, że są to proste do przekazania komunikaty.Samo ichprzekazanie jednak nic nie da, ponieważ, aby pracownik zrozumiał to prze-słanie, musi pojąć, w jaki sposób, na przykład, chwilowa zmiana hasła możedoprowadzić do naruszenia bezpieczeństwa w firmie.Można powiedziećdziecku:  Zawsze rozglądaj się w obie strony, zanim wejdziesz na jezdnię ,145ale dopóki nie zrozumie ono, dlaczego jest to takie ważne, będziemy opieralisię jedynie na ślepym posłuszeństwie.Wszelkie zasady wymagające wyłącz-nie ślepego posłuszeństwa są zwykle ignorowane i zapominane.UwagaHasła są głównym obiektem ataku socjotechników, dlatego poświęconotemu zagadnieniu część rozdziału 16., w której można znalez
ć zalecaneprocedury posługiwania się nimi.Punkt zgłaszania incydentówPolityka bezpieczeństwa powinna wyznaczać osobę lub grupę osób, do któ-rej należy zgłaszać wszelkie podejrzenia prób infiltracji organizacji.Wszyscypracownicy muszą wiedzieć, do kogo zadzwonić w sytuacji, gdy mają po-dejrzenie fizycznego lub elektronicznego włamania.Numer telefonu punktuzgłaszania incydentów powinien zawsze być pod ręką.Ochrona sieciNależy uświadamiać pracownikom, że nazwy serwerów lub podsieci niesą błahą informacją i mogą stanowić dla napastnika ważne dane, pomocnew zdobyciu zaufania i odnalezieniu miejsca przechowywania informacji.W szczególności administratorzy baz danych, którzy dysponują dużą wie-dzą, muszą działać zgodnie ze ścisłymi regułami i weryfikować ludzi, którzydzwonią po informację lub pomoc.Ludzie, którzy stale udzielają pomocy związanej z komputerami, musząbyć dobrze wyszkoleni w kwestii tego, jakie zapytania powinny rodzić podej-rzenie, że ma miejsce atak socjotechniczny.Z drugiej strony, z perspektywy administratora bazy danych przedsta-wionego w ostatniej historii, dzwoniący spełniał wszystkie kryteria wiary-godności: dzwonił z campusu i miał dostęp do strony, która jest zabezpieczo-na hasłem.To tylko jeszcze raz dowodzi, jak istotne jest stosowanie standar-dowych procedur weryfikujących osoby proszące o informacje, szczególnie,jeżeli dzwoniący prosi o pomoc w uzyskaniu dostępu do poufnych danych.146Zalecenia te są szczególnie istotne dla szkól i uczelni.Jak wiadomo, wieluhakerów rekrutuje się spośród studentów.W tej sytuacji należy oczekiwać,że akta studenckie są dla nich łakomym kąskiem [ Pobierz całość w formacie PDF ]