«Будьте добры, продиктуйте мне ваш пароль»

«Будьте добры, продиктуйте мне ваш пароль»

«Даже самая лучшая программная защита, установленная в мощнейших корпорациях, не способна обеспечить безопасности данных», — заявил Айра Уинклер (Ira Winkler) из консультационной фирмы Science Application International в своем докладе, представленном на конференции LISA 95, организованной Ассоциацией пользователей UNIX (USENIX) и Гильдией системных администраторов (SAGE).

Тратя сотни тысяч долларов на хитроумные «барьерные средства защиты», серьезные фирмы тем не менее беспомощны перед явлением, которое Уинклер назвал «народной изобретательностью». «Народные умельцы» пользуются не столько техническими средствами, сколько простыми, хорошо испытанными методами обмана или воровства — невнимательностью, доверчивостью людей, их искренним участием.

По словам Уинклера, проводящего по заказам фирм аудиторские проверки соблюдений секретности, во многих организациях служащие смело записывают свои пароли доступа в записные книжки, а то и наклеивают их липкой лентой в уголке монитора. Уинклер рассказал, как ему и его коллегам удалось заполучить секретную информацию о фирме, пользуясь исключительно простодушием служащих.

Сначала опросили тех, кто проходил собеседование для приема на работу, и выяснилось, что каждый отдел фирмы заказывает товары, используя свой конкретный счет. Узнали также, что именно заказывалось в последнее время. Затем позвонили в эту компанию от имени продавца и якобы для проверки потребовали повторить номер счета, с которого будет оплачен товар. Служащие с готовностью его назвали. Далее, выяснив номер счета, «исследователи» связались со снабженцами этой организации (притворившись ее же сотрудниками) и заказали «для такого-то отдела, с оплатой со счета с таким-то номером» секретный справочник компании, где были указаны все телефонные номера, должности и фамилии.

Затем позвонили одному из служащих, назвались именем системного администратора и поинтересовались, работает ли машина. В ходе разговора сумели «расколоть» незадачливого пользователя на его пароль — «чтобы проверить авторизацию доступа с системной консоли».

Надо сказать, что все перечисленные действия удались взломщикам-экспериментаторам с первого же захода, и они без особого труда получили доступ к секретным базам данных фирмы. Как отмечается в докладе, особенно благодушно и открыто настроены вновь принятые на работу сотрудники — по телефону они готовы отвечать буквально на любые вопросы. Уинклеру и его коллегам с легкостью удалось проникнуть в систему, для входа в которую требовалась пластиковая идентификационная карточка. Причем «следопыты» осуществили это из другого города (!): просто позвонили недавно работавшему сотруднику и озабоченным голосом попросили его назвать свой код, пароль и число, напечатанное на карточке, — чтобы установить, «нет ли сбоев в системе…».

Уинклер подчеркивает, что противодействовать хитрецам крайне трудно. И хотя с доверчивостью людей бороться сложно, безопасность фирм может существенно выиграть, если их сотрудникам навязать незамысловатую систему предосторожности, заключающуюся в выполнении некоторых рекомендаций и установок.