Кевин Митник о том, как защитить свой интернет-бизнес.

Кевин Митник о том, как противостоять мошенникам и защитить свой интернет-бизнесСуперхакер говорит о том, что только многослойная защита может обеспечить безопасность в Интернете.


Помните многочисленные киношные сюжеты о спрятанной бомбе, приведение в действие которой уничтожит кучу людей? Сначала «хорошие парни» должны её найти. Затем они ломают головы над тем, как влезть в неё, что бы обезвредить. И вот когда они практически обезвредили её, выясняется, что ещё нужно обойти хитроумную ловушку. Затем они находят два провода – красный и синий. Герою нужно перерезать синий, но в желтоватом свете оба провода кажётся чёрными. В конце концов, ему везет, и он перерезает синий провод. Сталкиваясь с мошенничеством в Интернете не всем так везёт! По мнению Кевина Митника (Kevin Mitnick), первоклассного хакера, ставшего в последствии гуру в области компьютерной безопасности, для того, что бы оградить свои компьютеры, сети или базы данных от «плохих парней» следует идти тем же путём, что и тот сумасшедший подрывник из фильмов, воздвигая свои барьеры противодействия.

 
Митник, который более чем кто-либо другой разбирается в Интернет безопасности, подчёркивает, что противодействовать «плохим парням» не легко. В этом случае у вас нет кусачек, что бы перерезать провод или же магической пули.
Митник: Система уязвима. Нет универсального решения для обеспечения защиты сети или информации. Необходимо создавать многослойную защиту, делающую доступ к вашей системе максимально сложным для хакеров. Злоумышленники не любят сложных путей. Они не вернутся к тому, на что они убили часы и смогли украсть только 500$.
Сейчас Кевин Митник проводит большую часть своей жизни в разъездах. Мы встретились в его штаб-квартире в Неваде, где он готовился к очередным поездкам в Каракас, Токио, Франкфурт и Словению. Митник, ставший теперь «хорошим парнем» в прошлом самый разыскиваемый суперхакер, которого федералы сумели накрыть только после трёх лет охоты на него. Теперь его феноменальное мастерство и креативность направлены на то, что бы помогать людям противостоять компьютерным мошенникам.
 
Возможно, у вас нет желания читать это, но помните, что люди занятые в Е-коммерции по роду своей деятельности, а также по причине своих ограниченных знаний в области Интернет безопасности, являются уязвимыми для атак мошенников. И слово «атака», в данном случае, является наиболее подходящим.


Митник: Мелкие он-лайн бизнесмены не владеют всем, что касается безопасности хранения данных. Но они должны научиться задавать вопросы своим хостинговым компаниям о том, как хранятся их данные, где хранятся кодированные ключи и кто имеет к ним доступ. В большинстве своём бизнесмены не являются экспертами в этой области, да и не стремятся им стать. И по этой причине они должны довериться программному обеспечению и таким людям, как я, которые являются экспертами по решению такого рода проблем.
 
Мошенничество, кража личных данных и другие кибер-преступления можно разделить на два основных вида. Первый вид обусловлен технической уязвимостью, а второй связан с так называемой социальной уязвимостью.


Митник: Я думаю, обе угрозы одинаковы. Мой опыт и практика показывают, что технически неподкованные люди попросту покупают соответствующие программные продукты и таким образом сводят степень риска практически к нулю. Но затем они становятся жертвами мошенничества по причине так называемого социального воздействия (социальной инженерии). Например, мошенник из числа служащих ворует номера кредитных карт. Или же злоумышленник, в преступных целях завоевав доверие работника, невинными с первого взгляда вопросами выуживает из последнего нужную информацию. Я рекомендую строить систему, принимая во внимание и технологию, и процессы, и людей.
Приёмы социального воздействия существовали всегда – начиная с хитрых торговцев всяческими жульническими снадобьями. Но сейчас эти люди вооружены знаниями – имя пользователя, специальный язык, бизнес подход – они могут опутывать бизнесменов, клиентов или служащих и в итоге получить доступ к ценной информации или системам. Защитить себя от подобной угрозы - это вопрос правильного восприятия.
 
Митник:К сожалению, это личное дело каждого определить, что является приоритетным для него. Но вы должны насторожиться, когда кто-то интересуется у вас информацией, которая может быть важной, например пароли или способ подключения к системе. Обычно люди довольно легко расстаются с информацией, когда им звонит кто-то кажущийся осведомлённым или уверенно разговаривающий о вещах, которыми они пользуются. Но люди должны уметь говорить нет и никому не предоставлять свою информацию без крайней на то надобности.
 
Злоумышленник, например, может позвонить и попросить вас не вешая трубки зайти на какой либо сайт, о котором вы прежде и не слыхали. И когда вы это делаете, сайт внедряет в ваш браузер специальный код и считывает конфиденциальную информацию или же использует ваш браузер в нежелательных для вас целях.
Если вы звоните в компанию, с которой работаете, скажем покупаете принтер, и они интересуются вашей системой, вы вполне можете предоставить им эту информацию. Но если кто-то, в особенности не очень знакомый, звонит вам и начинает задавать вопросы типа «какие у вас компьютеры, где вы находитесь или какую операционную систему используете», лучше ничего не говорить.
 
Опубликованная Митником книга под названием «Искусство обмана» именно о так называемом феномене социальной инженерии. И книга эта слегка пугающая. Большинство из нас даже не представляют, сколько ухищрений используют преступники в попытках обокрасть нас.
 
Митник: В своей книге я описываю различные трюки и аферы, которыми пользуются «плохие парни», что бы завладеть имуществом вашей компании или скажем вашим контакт-листом. Например, обманным путём выудить информацию у вашего менеджера. И это очень просто. Достаточно просто позвонить одному из ваших менеджеров и, представившись системным администратором, попросить его зайти на новый сайт компании. Но этот сайт просто сделан так, что бы выглядеть как сайт компании. И когда работник вводит логин, он попросту предоставляет «плохим парням» имя пользователя и пароль, с которыми они в последствии имеют доступ в вашу систему.
 
Существует очень много «плохих парней» и очень много возможностей для атак. Насколько серьёзна угроза?
 
Митник: Если вы подключены к Интернету, вы постоянно являетесь объектом для атак. Всегда найдутся люди, ищущие ваши уязвимые места. И совсем не обязательно для того, что бы обокрасть вас. Они могут использовать ваш компьютер в качестве хранилища нелегальных программ, или же осуществлять дальнейшие атаки, но уже с вашего компьютера, подвергая вас тем самым риску войти в противоречие с законом.
 
Нанять человека типа Митника для анализа систем и их уязвимых мест это правильное решение для каждого, кто занимается Интернет торговлей. Более того, он предлагает решения, которые помогут уменьшить угрозы.
 
Митник: Можно заключить с хостинговой компанией соглашение, предусматривающее обеспечение с их стороны мер безопасности. По возможности следует делегировать часть рисков хостинговой компании, что бы там тоже чувствовали некоторую ответственность.
 
Во-вторых, следует либо нанять работника, который разбирался бы в вопросах безопасности, либо же осваивать их самому. Или как вариант, нанять консультанта.
 
Безопасность это не та штука, которую можно достать из коробки, установить и забыть об этом. Нужны комплексные меры. Разумеется, файервол необходим. Но не следует полагаться лишь на него. Файервол защищает определённые стороны системы, но есть ещё такие уязвимые места как операционная система сервера, веб-система, корзина для Интернет шоппинга. И всё это требует пристального внимания.
 
В Интернете, да и в компьютерном мире вообще, есть одна постоянная величина – перемены. Возможно это звучит несколько двусмысленно, но имя этой игры – эволюция, и «плохие парни» тратят миллионы часов на изобретение новых всё более изощрённых способов для взламывания кодов.
 
Митник: Однозначно лишь то, что когда мы перекрываем одну лазейку, хакеры находят другую. Необходимо постоянно определять и развивать уязвимые места. Порой «плохим парням» достаточно одного уязвимого места, что бы испортить всю вашу жизнь. Не существует ни одной технологии, которая полностью исключила бы мошенничества с кредитными картами. Необходимо создать многоступенчатую технологию, принимая во внимание все факторы и оценивая все риски и угрозы.
 
Я лично работаю над одним коммерческим Интернет-проектом, и на прошлой встрече мы определили, что являемся отличной мишенью для мошенничеств с кредитными картами. Кто-то спросил меня о наших дальнейших действиях. Я предложил три различные многоступенчатые технологии для предотвращения угроз, которые мы предвидим. Мы хотим сделать так, что бы злоумышленнику было так трудно преодолевать ваши барьеры, что ему не было бы смысла даже браться за это.
 
Нет таких технологий, когда можно нажать на кнопку, и они будут работать. Система уязвима, говорит Митник.
 
Митник: Необходима новая технология, которая запустила бы систему, т.к. система в целом взломана. Принцип, по которому она работает, слишком уязвим. Я имею ввиду, что у вас нет ключа к вашей кредитной карте. Узнав о вас достаточно, можно выдать себя за вас и затем обокрасть вас. Потому как всё основано на информации. Для безопасности операций нам нужно что-то, что не основывалось бы на информации.
 
Митник не уверен, что когда-нибудь мы достигнем этого. Может быть, в будущем нам удастся выйти из этих рамок, но рано или поздно эта технология также может устареть. Наилучший способ это создать вокруг себя многослойную и надёжную защиту.
 
Кевин Митник в прошлом «плохой парень». Он стал самым разыскиваемым ФБР хакером, но, в конечном счете, после 3-х лет беготни был арестован. Сейчас, когда проблемы с законом позади, Митник направил весь свой гениальный талант и знания на защиту закона и порядка. Он руководит компанией, которая оказывает поддержку бизнесу, правительству и частным лицам в защите от мошенничества. Его последняя книга «Искусство обмана» повествует о способах мошенничества посредством социальной инженерии.

4 комментария

avatar
Отличное интервью! Спасибо!
Но ничего конкретного в принципе Митник не сказал. Чисто теоритически, как впрочем и всегда. Это в его духе. :)
avatar
Стоящий пост.
avatar
Кевин Митник — это для очень многих живая легенда и идол! Так что, статья хоть и ни о чём по большому счёту, но для них, в особенности, представляет интерес. Хотя сам почитал с удовольствием! )))
avatar
Я про Митника до этой статьи и не слышал даже! :-))
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.