Можно написать статью про самый современный компьютер. А через год-два она будет устаревшей макулатурой. Как и книги типа “Секреты Windows XP”. Техника устаревает так быстро, что писать книги по ней не имеет смысла – они становятся неактуальными ещё до того, как будут напечатаны.
Но все 50 лет с момента появления компьютера у него есть один элемент, прошивки которого ни разу не обновлялись. Это такая небольшая прокладка между стулом и клавиатурой. То есть человек. Его эволюция и адаптация к окружающей среде происходит очень медленно – за тысячелетия.
Поэтому человек – самое слабое звено в любой компьютерной системе. И всё, что известно о законах работы этого биокомпьютера, всё баги и фичи его “железа” и “микропрограмм”, можно успешно использовать для взлома современных ИТ систем. Обновления в эту биопрокладку подгрузить невозможно, поэтому мои посты по приёмам социальной инженерии не устареют в ближайшие 100 лет – точно.
Впрочем, если посмотреть то, что пишут на тему социальной инженерии, то складывается впечатление, что всё это из области «не знал и забыл». Дорогие читатели, если вам говорят, что соц инженерия — это лазанье по мусорным корзинам, то не верьте. Никакого отношения СИ к мусорным корзинам не имеет, а мусор в основном в головах тех, кто так думает.
Для начала предлагаю послушать мой доклад на конференции “Информационная безопасность бизнеса – взгляд изнутри компании”. Доклад называется: “Социальная инженерия и информационная безопасность“. Слайдики презентации загрузить отсюда. А потом слушать сам доклад отсюда и в такт словам самостоятельно листать слайдики. И наступит озарение с прозрением вместе, что такое социальная инженерия. И будущее информационной безопасности станет ясным, как никогда ранее…
Я как-то написал серию заметочек по соц инженерии – что это на самом деле такое. Так, вкратце. Для затравки. Прочитайте, подумайте. Попробуйте применять. А если надо подробнее, поучить по-взрослому – пишите. И обрящете.
А пока – вот они:
“Почему успешны 80% кибератак” – ваше мировосприятие искажено рекламой. Тренинги для персонала по противодействию социальной инженерии стоят в 100 раз дешевле, чем очередная DLP система. Поэтому их никто не рекламирует, — на них ничего не заработаешь. Хотя они бы решили 80% проблем с информационной безопасностью вашей компании.
Социальная инженерия как наука – определение, что это такое на самом деле.
Каждый хакер желает знать… – Большинство хакерских атак начинается не с поиска уязвимостей в информационной системе – это слишком долго и дорого, а хакер – существо с ограниченными ресурсами, в том числе и интеллектуальными. Инцидент в ИБ начинается с социальной инженерии. (27.09.2015)
Социальная инженерия 2: Прием первый – Чтобы человек сделал то, что вам нужно, а ему нет, в первую очередь необходимо отключить у него способность рассуждать критически.
По улице слона водили… – говорят: «Потерял голову от…» — страха, радости, гнева и так далее. На самом деле, основная эмоция только одна – это сигнал «тревога». Он вырабатывается в мозжечковой миндалине, которая отключает «соображалку» (которая не нужна в момент опасности) и мобилизует тело – посылает сигналы периферической нервной системе (ПНС).
“Level 1: Human brain hardware” – рефлексы периферийной нервной системы — это «железо» человеческого существа. Оно не может быть перепрограммировано на уровне воспитания, тренировок — это «железо» формировалось в процессе эволюции миллионы лет.
“Инструмент №2: Human buffer overflow” – Это прием, который используется для отключения способности человека критически воспринимать поступающую информацию. Он основан на том, что мы мыслим и говорим с разной скоростью. Скорость мышления – 150 слов в минуту, скорость разговора – 50 слов в минуту максимум. (18.10.2015)
Социальная инженерия: уровень «Firmware» – уровень, который условно назовём «Firmware» — то есть то, что можно переделать, но с большим трудом, и в массе этого не случается. Так же, как большинство пользователей не обновляют BIOS у своего компьютера – и даже не знают этого слова.
Социальная инженерия: что такое Авторитет – В первобытной стае, если ты не мог стать вожаком – то тогда, чтобы выжить, надо было безоговорочно подчиняться вожаку. Отключить мозг и повиноваться без рассуждений. Кстати, почему только в первобытной? В современной стае обществе то же самое. (23.10.2015)
А кто хочет узнать про социальную инженерию на профессиональном уровне – смотрите сюда.