ДЕЛОВЫЕ ЭМИРАТЫ
88 НЕДВИЖИМОСТЬ, БИЗНЕС, ИНВЕСТИЦИИ
IT-ТЕХНОЛОГИИ
или time-based tokens.
Любой, кто думает, что
одни только эти продукты
по безопасности предо-
ставляют достаточную
защиту, соглашается на
иллюзию защиты. Это как
жить в мире фантазий
– неизбежно, рано или
поздно он столкнется с
инцидентом, связанным
с безопасностью. Как
заметилконсультантпобез-
опасностиБрюсШнайер:
«Безопасность–этонепро-
дукт, этопроцесс». Кроме
того, безопасность–этоне
технологическаяпробле-
ма, этопроблемалюдейи
управления».
Зачеммыприводим
этипримеры?Простопом-
ните, чтоневзламываемых
паролейнеможет бытьв
принципе, ноэтосовсем
не значит, чтоихненадо
использовать.
ПРЕДУПРЕЖДЕН,
ЗНАЧИТВООРУЖЕН
Опыт социальной
инженерии сейчас
используется и в техни-
ческих способах взлома
компьютеров. Программы-
взламыватели, к кото-
рымможноотнестии
многие типы вирусов,
используют про-
стые человеческие
факторы. Первое, что
сделает программа
для взлома, это про-
верит самые простые
комбинации, напри-
мер – не совпадает
ли пароль с именем
пользователя, про-
верит многие даты, и
простые, «любимые» ком-
бинации клавиш, такие
как 111, 123, 123321 qqq,
qwerty, asdf, qqqaaazzz
иим подобные. На это
уходит не более несколь-
ких минут. Совершенно
очевидно, чтои про-
граммы для взлома паро-
лейи так называемые
«компьютерные вирусы»
создают люди, которые
тоже знакомы с методами
социальнойинженерии.
Ониосведомленыо том,
чтомы (людиразумные)
любимживотных, смо-
рим телесериалы, как
правило, имеем любимых персонажей в сказках,
мультфильмах, имеем какое-то хобби, увлекаем-
ся спортомиимееммного других привычек и
слабостей. Оставим лирику и перейдем к кон-
кретике. Выведемнесколько правил, исходя из
сегодняшних реалийиопыта.
1.
Лучшесовсемникакогопароля, чемслишком
простойпароль! Доступк учетной записипосети
ккомпьютеруподОСWindowsXPилиVista запре-
щенпо умолчанию, иесликнемунетфизического
доступапосторонними, этодажелучшечемпароль.
2.
Пароль должен быть быстронабираемым
и запоминаемым. Нет смысла в пароле, который
нельзя запомнить. Пароли лучше не хранить в
самом компьютере, даже с использованием спе-
циальных программ. Пароль, темнеменее, имеет
смысл записать, и хранить в надежномместе,
доступ к которому контролируете только вы. Это
поможет вам чувствовать себя комфортнее при
использовании сложных паролей.
3.
Размеримеет значение! И в данном случае
очень большое. Например, пароль из семи сим-
волов с использованием всех возможных сим-
волов ирегистров, нечто вроде P@$w0rDимеет
около восьмимиллиардов вариантов. Пароль,
состоящийиз десяти символов тольконижнего
регистра, имеет около 140 триллионов вариан-
тов, а25-символьныйпароль, созданный толькоиз
буквнижнегорегистра, имеет 26в25степени (или
236,773,830,007,968,000,000,000,000,000,000,000)
возможных комбинаций. Очевидно, лучше созда-
вать более длинные пароли.
4.
Неразумно закрывать
одинаковымипаролями все.
Дажеесли выбранный вами
парольочень сложный. В
случаеполучения кнему
доступа злоумышленник
получает над вамиполный
контроль. Если вы забудете
пароль, то забудете всё.
Разумнее создатьнекое
правило составления
паролей. Кроме того, стоит
менятьпароль, примерно
раз в 3месяца.
Основнаяцель этой статьи–датьинформацию
кразмышлению. Вопросыбезопасности в сфере
IT, сегодняодиниз наиболее важныхмоментов в
обеспечениидальнейшегоразвития этойобласти.
Внаших следующих статьях на эту темумыпоста-
раемсяосветитьнаиболее важныемоменты, такие
как борьба с вирусами, сетевая безопасность, без-
опасноеПОидр. Болееподробныерекомендации
спримерамиможнопосмотреть, напримерна
/
password/create.mspx.
PR
спомощьюобычно-
го телефонного звонка
илипутемпроникнове-
нияворганизациюпод
видомееслужащего.
Злоумышленникможет
позвонитьработникуком-
пании (подвидом техниче-
скойслужбы) ивыведать
пароль, сославшисьна
необходимостьрешения
небольшойпроблемыв
компьютернойсистеме.
Оченьчастоэтот трюкпро-
ходит. Самоесильноеору-
жиевэтомслучае–прият-
ный голосиактерскиеспо-
собности. Злоумышленник
подвидомслужащего
компании звонит вслужбу
техническойподдержки.
Представившисьименем
служащего, онпросит
напомнитьемусвой
пароль, либоменяет его
нановый, сославшись
на забывчивость. Имена
сотрудников тойилииной
компании удается узнать
послечереды звонкови
изученияименруководи-
телейнасайтекомпании
иливдругихисточниках
открытойинформации
(отчетах, рекламеи т.п.).
Дальшедело техники.
Используяреальныеимена
вразговоресослужбой
техническойподдержки,
злоумышленникрассказы-
ваетпридуманнуюисто-
рию, чтонеможетпопасть
наважноесовещаниена
сайтесосвоей учетной
записью удаленногодосту-
па. Другимивспомогатель-
нымисредствами данного
методаявляютсяисследо-
ваниемусораорганизаций,
виртуальныхмусорных
корзин, кражипортативных
компьютеровилиносите-
лейинформации. Данный
методиспользуется, когда
злоумышленникнаметилв
качествежертвыконкрет-
нуюкомпанию.
ПРОЦИТИРУЕМЧАСТЬ
ИЗКНИГИКЕВИНА
МИТНИКА «ИСКУССТВО
ОБМАНА»
Человеческийфактор
«Не так давно,
даваяпоказанияперед
Конгрессом, яобъяс-
нял, чточасто яполучал
паролиидругие кусочки
секретнойинформации
компаний, простопри-
творяясь кем-нибудьи
спрашиваяоних. Почему?
Потому чточеловеческий
факторпо-настоящему
самое слабое звено в
безопасности.
Безопасность слишком
часто – простоиллюзия,
ииногда иллюзияможет
быть даже хуже легкове-
рия, наивностиилиневе-
жества. Самый знаменитый
вмире учёныйXX века
Альберт Эйнштейн гово-
рил: «Можно быть уверен-
ным только в двух вещах:
существовании Вселенной
и человеческой глупости,
и я не совсем уверен
насчет первой». В конце
концов, атаки социаль-
ных инженеров успешны,
когда люди глупыили,
что гораздо чаще, просто
неосведомленыо хоро-
ших мерах безопасности.
Аналогичнонашему
домовладельцу, многие
профессионалы в инфор-
мационных технологиях
придерживаются непра-
вильных представлений,
будтоони сделали свои
компании в значительной
степенинеуязвимыми к
атакам, потому чтоони
используют стандартные
продукты по безопасно-
сти: файрволлы, системы
для обнаружения вторже-
ний (IDS) или серьёзные
устройства для аутенти-
фикации, такие как био-
метрические смарт-карты
ПАРОЛЬДОЛЖЕНБЫТЬБЫСТРОНАБИРАЕМЫМ
ИЗАПОМИНАЕМЫМ.НЕТСМЫСЛАВПАРОЛЕ,
КОТОРЫЙНЕЛЬЗЯЗАПОМНИТЬ
ЕСЛИВЫЗАБУДЕТЕ
ПАРОЛЬ, ТО
ЗАБУДЕТЕВСЁ.
РАЗУМНЕЕСОЗДАТЬ
НЕКОЕПРАВИЛО
СОСТАВЛЕНИЯ
ПАРОЛЕЙ.КРОМЕ
ТОГО, СТОИТМЕНЯТЬ
ПАРОЛЬ,ПРИМЕРНО
РАЗВ3МЕСЯЦА
КАК ЗАМЕТИЛ КОНСУЛЬТАНТ ПОБЕЗОПАСНОСТИ
БРЮСШНАЙЕР: «БЕЗОПАСНОСТЬ– ЭТОНЕ
ПРОДУКТ, ЭТОПРОЦЕСС»
Текст:АЛЕКСАНДРЛОМАДЗЕ,
управляющийдиректоркомпании
WorldBusinessNetworkLLC,Dubai,
тел:042865556
