"Видишь ли, они делают так, чтобы ты не смог съесть слишком много. Ждать еды приходится все дольше и дольше, а самой еды становится все меньше и меньше." Не знаю, прав ли он был, но немного погодя мы и вправду решили, что не стоит ждать сорок минут, чтобы получить еще одну тарелку с едой.
Для отражения силовых атак специалисты используют тот же самый принцип, что и вышеупомянутый ресторан. Как я уже говорил, при достаточной настойчивости угадать легальную комбинацию имя-пароль, или открыть ее случайно - всего лишь дело времени. Отсюда следует, что предотвратить успешное завершение такой атаки можно, построив системные приглашения так, чтобы хакер устал и бросил свое дело, не доведя его до конца.
Наиболее распространенный способ зашиты - прерывание связи после нескольких неудачных попыток пользователя войти в систему. После этого компьютер может не давать разрешения на повторную связь в течение определенного промежутка времени. Недостаток этого способа в том, что он может причинить неудобство легальным пользователям - хотя уж лучше подождать несколько минут, чем войти в систему и обнаружить, что твои файлы испортил какой-то кракер.
Впервые услышав о социальной инженерии, большинство людей бывают слегка шокированы. Во всяком случае, я был шокирован. При слове "хакер" люди обычно представляют себе страждущего очкарика, который упорно и неустанно просиживает ночами за своим компьютером, в надежде наконец-то найти то самое единственное слово, которое откроет перед ним все технические секреты вселенной. Именно так и обстояли дела в недавнем прошлом, но потом это стало непрактичным. Конечно, грубые методы, вроде метода угадывания паролей путем перебора, представляют собой определенную ценность - ведь они являются основной частью арсенала любого хорошо экипированного хакера. Но пароль можно получить и другими путями; например, с помощью социальной инженерии.
"Социальная инженерия" - это попытка выведать у легального пользователя системы информацию, необходимую для прохождения защитного барьера данной системы. Этот метод еще называют "заболтать оператора". Социальная инженерия (СИ) может принимать различные формы и обличья. Здесь я приведу некоторые из них. Как вам вскоре станет ясно, для каждого способа существует уйма хитрых уловок и приемов. Некоторые приемы я подвергну рассмотрению, остальные можете додумывать самостоятельно.
Благородный метод
Хакеры, которым совесть не позволяет вызнавать пароли с помощью хитростей, все же могут безболезненно прибегать к одному из методов социальной инженерии - вежливо просить: "Ну, пожалуйста..." Лично до меня ни разу не доходила достоверная информация о том, что этот метод сработал, хотя поговаривают о хакерах, которым якобы удавалось узнать пароли, просто попросив об этом системных пользователей. По слухам, в подобных случаях системный оператор обычно получает по телефону или по электронной почте сообщение типа: "Я - хакер. Дайте мне пароль для нижнего уровня доступа, и я постараюсь использовать все свое мастерство, чтобы указать вам на недостатки вашей системы. Тогда вы сможете их исправить и уже не бояться злоумышленников - кракеров".
