РЕЦЕНЗИИ
Kevin. D. Mitnick, Willam L. Simon. The Art of Deception. Wiley Publishing, USA. 2002. - 352 p. (Кевин Митник, Вильям Саймон. Искусство обмана. ХХХ, Россия, 2003) Думаю, не ошибусь, предположив, что книга Кевина Митника скоро появится в русском переводе в каком-нибудь расторопном (обозначим его ХХХ) издательстве. Мне же недавно ее с автографом автора переслали из Америки друзья.
Посвящена она малоизвестному в России предмету, именуемому social engineering ("социальная инженерия", или СИ, - тактика злонамеренного проникновения, состоящая в том, что взломщик путем "уговоров" обманывает пользователей либо администратора, например представляясь новым сотрудником, и добивается значимой информации о компании и ее компьютерных системах, чтобы получить несанкционированный доступ к сети).
Безусловно, автор прав, утверждая, что фирма может приобрести самое лучшее ПО, которое только можно купить за деньги, натренировать людей и службу безопасности офиса, но она все равно будет уязвимой, поскольку самая большая уязвимость системы - это персонал. Есть и другая крайность: тратить на безопасность меньше, чем на кофе для персонала. Встречал в Москве фирмы, молодые сотрудники которых остаются вечером поиграть в сетевую игру, а к ним присоединяется еще десяток случайных игроков из Интернета.
В предисловии Кевин пытается развеять созданный о нем прессой образ злонамеренного хакера. Он описывает свое безотцовское американское детство в бедной семье, страсть к путешествиям по Калифорнии, ради чего он научился легко подделывать автобусные билеты. Потом "нехорошие" друзья из старших классов школы научили его бесплатно звонить по междугородному телефону, используя секретные номера, предназначенные для тестирования линий связи. Самое интересное, что биллинговые системы телефонных компаний записывали эти звонки на корпоративные счета некоторых фирм. О хакерской деятельности Митника написано немало (см., например PC Week/RE, N1/2003, с. 26). Затем была тюрьма, и там Кевин осознал, что может применить свой талант и знания с гораздо большей пользой для государства, бизнеса и людей. (Возможно, ему помогли это осознать:) Структурно эта книга, написанная хорошо читаемым американским английским, состоит из четырех частей, содержащих 16 глав.
Кевин Митник (справа) с обозревателем PC Week/RE Павлом Лившицем
В первой части, включающей всего одну главу, дается развернутое введение в предмет СИ; во второй, названной "Искусство атакующего", - в нее входит восемь глав - на примерах показаны типичные приемы социальной инженерии. Третья часть (пять глав) посвящена проблемам прорыва атакующих в корпоративные системы. В одной из них рассматриваются вопросы, связанные с промышленным шпионажем. И наконец, в двух главах четвертой части даются рекомендации по усилению политики корпоративной информационной безопасности против методов СИ. Кроме того, по всей книге разбросаны советы автора по повышению уровня безопасности. Конечно, издания, подобные "Искусству обмана", с одной стороны, помогают повысить уровень безопасности компаний, а с другой - и криминал снабжают пищей для размышлений. Но "предупрежден - значит вооружен".
Заголовок рецензии далеко не случаен. Существует множество способов выуживания человеческих тайн. От каких-то существует защита, от каких-то обезопасить себя крайне сложно. Область, которую рассматривает Митник, чем-то напоминает мне борьбу с вирусами: нужно тщательно соблюдать компьютерную гигиену, и тогда в 99,99% случаев никаких тяжелых последствий не будет. Так же и в СИ: следует иметь четко прописанные непротиворечивые правила предоставления доступа в систему и добиваться от персонала их автоматического выполнения.
Однажды в Нью-Йорке я стоял в очереди к пункту досмотра перед подъемом на смотровую площадку небоскреба Эмпайр Стейт Билдинг. На лице полицейского, осуществлявшего эту процедуру, вероятно, после хорошо проведенной ночи, была написана жуткая тоска и отвращение к работе. Тем не менее все операции проверки он проделывал полностью и совершенно автоматически. Очередь была длинной, и я мог долго наблюдать его титаническую борьбу с самим собой. Он ни разу не позволил себе упростить ту или иную операцию или кого-то пропустить без досмотра. Правда, в Москве я однажды видел человека, запросто прошедшего в наш институт без документов через два поста охраны. Думаю, что и мимо нашего героя он прошел бы так же спокойно. Но такие люди встречаются редко - говорят, один на сто тысяч. И не каждый из них знает о своих способностях :).
Следует отметить, что сейчас в американской прессе влиянию человеческого фактора на информационную безопасность уделяется очень много внимания. Сам Митник часто получал пароли для входа в систему, выдавая себя за кого-то и просто спрашивая людей. Нельзя сказать, что такие вещи не случаются у нас в стране, хотя сценарии, безусловно, различаются и сильно зависят от национального характера, ментальности общества и коллектива фирмы. Индейская доверчивость американцев - очевидно, индуцированная геоэнергетическими факторами среды обитания :) - заметно облегчала Митнику его задачу. В наших условиях ему, вероятно, пришлось бы играть либо роль героя-любовника, либо своего в доску парня, с которым приятно провести вечер в пивной.
Выводы из книги довольно простые: безопасность - это не технологическая проблема, это проблема человеческих коммуникаций и проблема системы управления. Конечно, как обычно, американцы здесь несколько перегибают - технологические факторы сбрасывать со счетов тоже нельзя. В связи с совершенствованием системы защиты уязвимости, на мой взгляд, все больше уходят в глубь фирмы (а потому возрастает роль СИ) и на уровни силовых структур (государство в новой экономике становится не только инструментом маркетинга, но и оружием конкуренции).
"Возможно, вы найдете описанные в книге случаи забавными, неожиданными и поучительными" - так в предисловии говорит сам автор, и с ним нельзя не согласиться. Со своей стороны, настоятельно рекомендую всем прочитать "Искусство обмана" на любом доступном вам языке.