Все три из этих звонков были сделаны одним человеком – частным сыщиком, которого мы будем называть Оскар Грейс. У Грейса появился новый клиент, один из первых. Ещё несколько месяцев назад он был полицейским. Он обнаружил, что кое‑что в его новой работе добывалось обычным путём, но некоторая часть бросала вызов его ресурсами и изобретательности.

Популярные писатели любовных романов Сэм Спейдс и Филипп Марлоус проводили длинные ночи, сидя в машинах и следя за нечестными супругами. Частные сыщики в реальной жизни делают то же самое. Они также делают более обыденные, но не менее важные слежки за враждующими супругами. Большей частью они основываются на навыках в социальной инженерии, чем на борьбе с бессонницей с прибором ночного видения.

Новым клиентом Грейса была леди, и по виду своего платья и ожерелья довольно обеспеченная. Однажды она зашла в его офис и села в кожаное кресло, единственное, на котором не было сложенной кипы газет. Она поставила на стол свою сумочку от Гуччи, повернув логотипом в его направлении, и заявила, что хочет сказать своему мужу о том, что хочет развода, но есть «только одна маленькая проблема».

В течение долгого времени британцы имели дело с очень консервативной банковской системой. Вы как обычный добропорядочный гражданин не могли просто зайти с улицы и открыть банковский счёт. Нет, банк не рассматривал вас в качестве своего клиента, пока какой‑нибудь уже хорошо зарекомендовавший себя клиент не даст вам своё рекомендательное письмо.

Несомненно, это очень сильно отличается от сегодняшнего банковского мира. И наша современная лёгкость в совершении сделок нигде так не развита, как в дружелюбной, демократичной Америке, где почти кто угодно может зайти в банк и легко открыть расчётный счёт, правильно? Да, но не совсем. На самом деле, банки не желают открывать счёт для кого‑нибудь, кто может иметь за собой ситуации с неоплаченными счетами – это всё равно, что соглашаться на грабёж. Поэтому для многих банков стала стандартной практика быстрой оценки перспектив нового клиента.

Что большинство людей считает настоящей угрозой, исходящей от социальных инженеров? Что вам следует делать, чтобы быть на страже?

Если целью является получение какого‑нибудь очень ценного приза – скажем, важного компонента интеллектуальной собственности компании, тогда, возможно, всё что нужно – это просто более недоступное хранилище и более тяжело вооруженные охранники. Правильно?

Но в жизни проникновение плохого парня через защиту компании часто начинается с получения какого‑нибудь фрагмента информации или какого‑нибудь документа, которые кажутся такими безвредными, такими обычными и незначительными, что большинство людей в организации не нашли бы причин почему им следовало бы её защищать и ограничивать к ней доступ.

Конечно, обман это не эксклюзивное оружие социального инженера. Физический терроризм выходит на повестку дня и сейчас мы должны признать как никогда, что мир это опасное место. Цивилизация, в конце концов, только тонкая фанера.

Атаки на Нью‑Йорк и Вашингтон, Округ Колумбия, в сентябре 2001 вселили печаль и страх в сердце каждого из нас – не только американцев, но и людей всех наций. Сейчас мы столкнулись с реальностью и знаем, что в любой точке планеты есть одержимые террористы, хорошо обученные и только ожидающие возможности начать атаку против нас.

Недавние усилия нашего правительства повысили уровень нашего осознания безопасности. Нам нужно оставаться на взводе, начеку против любых форм терроризма. Нам нужно понять, как террористы предательски изготавливают ложные удостоверения, играют роль студентов или соседей и проникают в толпу. Они скрывают свои истинные взгляды, устраивая против нас заговор – осуществляя фокусы с обманом, похожие на те, о которых вы прочитаете на этих страницах.

И пока, насколько я знаю, террористы ещё не использовали уловки социальной инженерии для проникновения в корпорации, плотины, электростанции или другие жизненные компоненты нашей национальной инфраструктуры, их возможность всё равно остаётся. Понимание безопасности и правила безопасности, я надеюсь, благодаря этой книге, будут достаточно скоро приняты к месту и взяты на вооружение главными управляющими структурами.

Во многих случаях, успешные социальные инженеры обладают сильными человеческими качествами. Они очаровательны, вежливы и просты – социальные качества, необходимые для установления быстрой связи и доверия. Опытный социальный инженер может получить доступ к любой возможной информации, используя стратегию и тактику своего ремесла.

Здравомыслящие технологи кропотливо разработали решения по информационной безопасности для минимизации рисков, связанных с использованием компьютеров, но всё же оставили наиболее значимую уязвимость – человеческий фактор. Несмотря на интеллект, мы люди – вы, я и любой другой – остаёмся самой серьёзной угрозой для любой другой защиты.

История Рифкина прекрасно описывает, насколько мы можем заблуждаться в своём ощущении безопасности. Инциденты вроде этого – хорошо, может быть стоимостью не в $10 миллионов, но, тем не менее, болезненные инциденты – случаются каждый день . Возможно, прямо сейчас вы тоже теряете свои деньги или кто‑то сейчас ворует планы касательно новой продукции, и вы об этом даже не подозреваете. Если это ещё не случилось с вашей компанией, под вопросом остается только: не случится ли это вообще, а когда именно .

Растущее беспокойство

В своём обзоре по компьютерным преступлениям за 2001 год Институт Компьютерной Безопасности сообщил, что 85% опрашиваемых организаций сталкивались с нарушениями компьютерной безопасности за последние 12 месяцев. Это поразительные данные: только 15 организаций из 100 смогли ответить, что у них не было нарушений безопасности в течение года. Столь же поразительным было число организаций, которые ответили, что имели финансовые потери из‑за компьютерных нарушений: 64%. Более половины организаций понесли финансовые потери. И всего за один год .

Какая самая большая угроза безопасности ваших деловых активов? Ответ прост – это социальный инженер – нечестный фокусник, который заставляет вас смотреть на его левую руку, пока правой ворует ваши секреты. Этот персонаж часто так дружелюбен и любезен, что вы благодарны за то, что с ним столкнулись.

Далее рассмотрим пример социальной инженерии. Немногие люди сегодня всё ещё помнят молодого человека по имени Стенли Марк Рифкин и его маленькое приключение с ныне уже несуществующим Тихоокеанским Национальным Банком в Лос‑Анджелесе. Подробности его авантюры противоречивы и Рифкин (как и я) никогда не рассказывал свою историю, поэтому следующее основано только на печатных источниках.

Не так давно, давая показания перед Конгрессом, я объяснял, что часто я получал пароли и другие кусочки секретной информации компаний, просто притворяясь кем‑нибудь и спрашивая о них.

Это естественно – стремиться к абсолютной безопасности, но это желание заставляет многих людей соглашаться с ложным чувством защищённости. Рассмотрим ответственного и любящего отца семейства, у которого есть Medico – надёжный замок в парадной двери, который ограждает его жену и детей и его дом. Сейчас он спокоен, так как сделал свою семью гораздо более защищённой от вторжений. Но как насчёт грабителя, который разбивает окно или взламывает код у замка на двери гаража? Тогда нужно установить охранную систему? Неплохо, но всё же недостаточно. Независимо от того, насколько дороги замки, домовладелец остаётся уязвим.

Компания может приобрести лучшие технологии по безопасности, какие только можно купить за деньги, натренировать своих людей так, что они станут прятать все свои секреты, прежде чем пойти ночью домой, и нанять охранников в лучшей охранной фирме на рынке.

Но эта компания всё ещё остаётся полностью Уязвимой.

Сами люди могут полностью следовать лучшей практике по безопасности, рекомендованной экспертами, по‑рабски устанавливать каждый вновь появившийся рекомендованный программный продукт по безопасности и тщательно следить за конфигурацией своей системы и следить за выпуском патчей.

Но и они всё равно полностью уязвимы.

После ареста я подтвердил, что мои действия были незаконны, и что я совершал вторжения в личную жизнь.

Мои преступления мотивировались любопытством. Я хотел знать столько, сколько мог о том, как работают телефонные сети и входы‑выходы в компьютерной безопасности. Из ребёнка, который любил показывать магические фокусы, я превратился в самого печально известного хакера в мире, которого боялись корпорации и правительство. Бросая взгляд на свою жизнь за последние 30 лет, я признаю, что, идя на поводу у любопытства, желания изучать технологию и интеллектуального вызова, я принял несколько чрезвычайно плохих решений,

Сейчас я изменился. Я обратил свои таланты и обширные знания об информационной безопасности и тактике социальной инженерии на помощь правительству, бизнесу и индивидам, чтобы помочь им предотвращать, обнаруживать и отвечать на угрозы информационной безопасности.

Эта книга – ещё одна возможность использовать мой опыт, чтобы помочь другим людям избежать злонамеренных информационных воров. Я надеюсь, вы найдёте истории приятными и поучительными.