Обманутые эксперты
Обманутые эксперты
Хьюстонская фирма Comsec одурачила экспертов по безопасности вычислительных систем.
Хьюстон. Консультанты по вопросам безопасности компьютерных систем должны по идее знать свое дело лучше всех, однако не так давно как минимум шестерым экспертам пришлось признать, что их обвели вокруг пальца. Они явились, по их же словам, жертвой «социальных происков» новой хьюстонской фирмы Comsec Data Services, Inc, предоставляющей консультационные услуги в сфере безопасности вычислительных систем.
Comsec прикинулась потенциальным клиентом под именем Landmark Graphics, крупной корпорации — издателя программных продуктов, расположенной в районе Хьюстона, чтобы собрать информацию о методах подготовки деловых предложений, проведения аудиторских проверок систем защиты информации, а также по другим вопросам в этой сфере бизнеса.
Трое из четверых учредителей Comsec — самоучки и бывшие члены «Легиона смерти» — одной из самых печально знаменитых в стране хакерских групп, сведения о которых стали известны из источников федеральных правоохранительных органов.
«В своем пресс-релизе они утверждают, что их фирма применяет уникальную стратегию в сфере сбыта, — сказал один из обманутых экспертов, попросивший по понятным причинам не упоминать его имени. — Что ж, махинации — это действительно уникальная стратегия в сфере сбыта».
Специальные происки — метод, которым часто пользуются хакеры, добывая через любезных, но наивных служащих фирм полезную информацию, необходимую им для несанкционированного проникновения в информационные системы. «Они просто мальчишки, которые не имеют понятия о том, как вести дела, и пытаются раздобыть необходимые сведения с миру по нитке», — сказал Рэнди Марч, директор отдела консультационных услуг фирмы Computer Security Consultants, Inc. в Риджфилде (штат Коннектикут).
По словам экспертов, получение информации под личиной возможного клиента довольно распространено, однако Comsec нарушила общепринятые нормы деловой этики, выступив под именем реальной компании. «Представляться чужим именем — это весьма серьезное нарушение деловой этики, — отметил Харди Морган, начальник финансовой службы фирмы Landmark Graphics. — Они, быть может, уже и не являются хакерами, но действуют прежними методами».
Старая история…
По словам Моргана, в его компанию позвонили семь или восемь обманутых экспертов по поводу информации, предоставленной ими некоему «Карлу Стивенсу», якобы вице-президенту фирмы. Все они поведали Моргану одну и ту же историю: «Стивенс» связался с ними и сообщил, что намеревается пригласить их провести аудиторскую проверку системы безопасности, принятой в фирме, и чтобы убедить руководство в необходимости такой проверки, ему требуется дополнительная информация. С этой целью он просил подготовить подробный план с детализацией этапов проведения мероприятий, указать их стоимость и дать другую аналогичную информацию. Подготовленный материал эксперты должны были направлять срочной почтой по неким адресам в Хьюстоне, впоследствии оказавшимся домашними адресами двух соучредителей Comsec. В ряде случаев звонивший оставлял номер телефона, который, когда по нему звонили, всегда был занят, поскольку принадлежал службе технического тестирования телефонной компании.
Как сообщает Морган, у «Стивенса» была подробная информация о вычислительных системах компании Landmark, доступная только узкому кругу сотрудников. И хотя нет никаких признаков несанкционированного доступа к компьютерам фирмы извне, она принимает меры к «задраиванию» люков в своей системе безопасности.
«Добывать информацию о конкурентах, представляясь потенциальным клиентом, — довольно обычная вещь в мире бизнеса, — доказывал один из соучредителей Comsec Крис Гоганс, звавшийся когда-то Эрик-Кровавый топор. — И будь это не мы, а кто-нибудь другой, то все осталось бы без последствий».
По словам адвоката Майкла Кэша, представляющего интересы Comsec, его подопечные подтверждают, что «звонили некоторым из своих конкурентов. То, что они выступали от имени Landmark Graphics, было ошибкой, но это название просто случайно подвернулось. И уж во всяком случае никаких незаконных действий против Landmark совершено не было».