Кевин Митник, самый известный хакер мира, а ныне учредитель и генеральный директор компании Mitnick Security Consulting, впервые посетил Россию. Он выступил на конференции «Информационная безопасность предприятия: как противостоять новым угрозам?», организованной компанией IDC и издательством «Открытые системы». Выступая перед российскими специалистами по ИБ, Кевин познакомил их с искусством обмана, которое на Западе деликатно именуют «социальной инженерией». Этот термин мало известен общественности, но широко используется профессионалами. Еще раньше, в докомпьютерную эпоху, методы «социальной инженерии» взяли на вооружение спецслужбы и промышленные шпионы.

Цель социоинженера — ввести в заблуждение доверчивых людей, чтобы получить от них конфиденциальную информацию, или обманным путем заставить ничего не подозревающую жертву предпринять нужные злоумышленнику действия. «По собственному опыту могу сказать, что в мире огромное число наивных и доверчивых людей», — заявил Кевин и на конкретных примерах продемонстрировал, насколько неэффективными могут оказаться дорогостоящие системы ИБ, если за дело берется настоящий профессионал.

По его словам, проникнуть в корпоративную ИС зачастую не сложнее, чем позвонить по телефону. Под видом сотрудника ИТ-департамента хакер может узнать у работника регистрационное имя и пароль для входа в систему. Как выяснилось, ужасающе высокий процент людей, не задумываясь, сообщает эти сведения. Самые доверчивые, по наблюдениям Митника, американцы и японцы. Особенно подвержены атакам социоинженеров новые сотрудники, которым не успели рассказать о корпоративных правилах в области ИБ и которые мало с кем лично знакомы в компании и потому не знают, кто есть кто. К тому же, новичков отличает повышенная готовность помочь, поскольку им хочется зарекомендовать себя в качестве членов команды. И вряд ли они поинтересуются правами доступа у социоинженера, который выдает себя за другого сотрудника, особенно занимающего более высокое положение в служебной иерархии.

Помимо этого есть много способов манипулировать людьми, отталкиваясь от их любопытства. Однажды в порядке эксперимента ИТ-департамент одной компании разослал сотрудникам сообщение по электронной почте, в котором содержалась просьба не открывать вложенный файл. Подавляющее большинство людей, в основном секретарши, этот файл открыли.

Свой богатый опыт Митник обобщил в книге «Искусство обмана», изданной в США в конце 2002 г. и недавно переведенной на русский язык.

Справедливости ради надо отметить, что Кевин Митник и сам однажды стал жертвой социоинженера. Это случилось накануне выхода его книги: по договоренности с издателем Митник раньше времени не должен был давать никаких интервью, но один ловкий журналист смог убедить его, что действует по заданию издателя, взял интервью и опубликовал в своем журнале.

Выступая на пресс-конференции, Кевин Митник рассказал, что впервые взломал сети нескольких крупных американских компаний, когда ему было 16 лет. «Сегодня мне очень стыдно за свои поступки, и я раскаиваюсь в содеянном, — заявил он. — Сейчас я работаю в совершенно другом амплуа и стараюсь помочь клиентам защитить их системы. Даже если бы тогда мои проделки остались безнаказанными, я все равно пошел бы работать в индустрию ИБ и делал бы то, что делаю сейчас».

Митник добавил, что в детстве мечтал стать врачом, ветеринаром или адвокатом: «Я всегда хотел помогать людям и животным, животных я особенно любил. Но вид крови и внутренностей меня смущал, поэтому карьера врача или ветеринара отпала сама собой».

Еще один любопытный факт биографии Митника — его прадедушка был родом из России, затем эмигрировал в США. «В вашей стране у меня, наверное, остались родственники», — заметил Кевин.

Версия для печати (без изображений)