Профессор физики моего колледжа однажды поставил классу такую задачу: придумать возможно больше способов измерить высоту здания с помощью барометра. Помимо очевидного измерения разницы давлений воздуха вверху и внизу наша мозговая атака, подкрепленная некими химическими стимуляторами, произвела на свет и другие способы: ски­нуть барометр с крыши и замерить время его падения, измерить изменение его веса при удалении от центра массы Земли и т. д. Но самый про­стой и точный способ из всех нами придуманных был следующим: пойти к владельцу здания и предложить ему назвать его высоту в обмен на ис­правный новый барометр.

Часто этот способ взлома системы оказывается простейшим — просто мило поговорить с пользователем. В то же время это самая большая опас­ность, с которой сталкиваются производители программного обеспечения, потому что все их ухищрения оказываются напрасными. Искусство взло­ма системы защиты путем деликатных разговоров называется психологи­ческой атакой, или социальной инженерией (social engineering). Просто удивительно, как часто этот способ приводит к успеху.

Суперхакер Кевин Митник (Kevin Mitnick), приговоренный к тюрем­ному заключению за взлом компьютерных систем, свидетельствовал пе­ред Конгрессом США в 2000 году: «Психологические методы были на­столько успешны, что мне редко приходилось прибегать к техническим… Можно впустую потратить миллионы долларов на технические средства защиты, потому что можно просто позвонить кому-нибудь по телефону и уговорить сделать на компьютере что-то такое, благодаря чему ослабится его защита или вскроется информация, которую мы разыскиваем». В своей книге «The Art of Deception: Controlling the Human Element of Security» (Искусство обмана), Wiley, 2002 он описывает ряд своих излюбленных приемов.

Допустим, к примеру, что у взломщика в руках оказались телефонный справочник и организационная структура вашей компании — скажем, в результате просеивания ваших мусорных баков (это занятие называется «dumpster diving»). После этого вам звонит некая женщина (женщинам всегда верят больше, чем мужчинам) и говорит: «Привет, Боб, это Сара (замените на имя вашего администратора, взятое из организационной схе­мы). Я работаю у мистера Франклина (начальник начальника вашего на­чальника, опять взято из схемы). Кажется, нас знакомили на последней новогодней вечеринке. (Не было этого, но разве вспомнишь, да и кто ста­нет возражать, особенно если у звонящего такой приятный голос?) Мы в офисе того нового клиента (в результате предшествующего звонка вы­яснилось, что этой шишки нет на месте), и нам нужна твоя помощь. Мне отсюда никак не войти в систему компании, а нам очень нужен файл по (крупный и важный проект). Ты не мог бы послать его электронной поч­той на — (голос в сторону) Мистер Франклин, не повторите этот адрес? (снова в трубку) — thisguy@seemsplausible.com. Спасибо, ты нам очень помог. Обязательно сообщу мистеру Франклину. Пока».

Ну кто сможет устоять? Очевидно, звонившая знает компанию и чем она занимается. Она, очевидно, допущена к делам. Можно помечтать о грядущем повышении и результатах, последовавших бы за отказом со­трудничать. Это и есть психологическая атака. Скажете, что это не имеет никакого отношения к компьютерной безопасности? Но весь eai тяжкий труд по защите своей информации оказался бессмысленным из-за этого милого короткого разговора. Вот оно — самое слабое звено в цепи, и пока вы его не укрепите, вся ваша замечательная технология бесполезна.

Вы потрясены? Напрасно. Не стоит недооценивать пределы человече­ской глупости. Какими-то аналогичными методами можно украсть ID пользователя и его пароль. «Послушайте, Платт! — вскричите вы. — Я никогда этого не сделаю. Что я — идиот?» Но нет ничего сверхъестест­венного в том, чтобы передать кому-то свой ID пользователя и пароль. Вы же делаете это при каждой регистрации. Все, что требуется от злоумышленника, это создать такую ситуацию, чтобы вы думали, будто это закон­ный запрос ваших данных авторизации, хотя на самом деле это не так.

Еще одно сообщение, которое несколько лет назад часто можно было получить по электронной почте. Оно якобы исходит от Pay­Pal.com, службы переводов электронных денег, но в действительности от­правлено жуликом. Как видите, в поле From: указан адрес PayPal.com. Большинство пользователей не сознает, что этот адрес не указывает на реального отправителя письма. В поле From: можно поместить все, что угодно, так же как написать любой адрес отправителя на конверте с обыч­ным письмом. Обычно вы пишете там верный адрес, чтобы заблудившие­ся письма возвращались обратно, но здесь иной случай. Действительный путь к отправителю, так сказать почтовый штемпель, таится в почтовых заголовках, которые эта программа не показывает. Формат письма соот­ветствует обычному внешнему виду PayPal, поскольку злоумышленник просто скопировал его с сайта PayPal.com. Все ссылки, за исключением «click here», указывают на настоящие страницы PayPal.com. Если же вы щелкнете по этой ссылке, то попадете на сайт с именем, похожим на Pay­Pal (eBay-PayPal.com, если мне не изменяет память), но принадлежащим злоумышленнику. Подобные психологические атаки объединены на­званием фишинг (phishing) — кража идентификационных данных. Изготовитель программного обеспечения почти беззащитен перед та­кими приемами. Пользователи должны знать, что нельзя доверять ссыл­кам в случайных письмах. Но и тогда они могут выполнить инструкцию, предлагающую ввести строку «eBay-PayPal.com» в броузере и попасть на сайт злоумышленника. Даже могущественный Citibank (подлинный адрес citibank.com) уязвим для веб-адресов, которые на первый взгляд кажутся похожими, таких как citibank.biz.

Чтобы украсть пароль, злоумышленнику может и не потребоваться маскарад. Можно потратить сотню долларов на покупку какого-нибудь контента — музыки, видео, порно и т. п. — или просто украсть его. Затем организуется веб-сайт, который кидает что-нибудь пользователям на за­куску, а потом извещает их, что для доступа к остальному контенту необ­ходимо открыть бесплатный счет. При этом пользователю дается (лжи­вое) обещание, что его личные данные нигде не будут использованы, а для придания пущей убедительности может даже добавляться контрольный вопрос на случай потери пароля. Выбранные пользователем ID и пароль проверяются злоумышленником на других сайтах, скажем Amazon или eBay. Или на сайтах инвестиционных фондов. Если пользователь указал те же ID и пароль, которые установлены им на других сайтах, а это проис­ходит очень часто, то вся его защищенность утрачена.

Поскольку так легко украсть пароль, вы поймете, почему я столь не­одобрительно отношусь к биометрической аутентификации (о ней расска­зывается в главе 4), хотя устройства чтения отпечатков пальцев начинают встраивать в клавиатуры обычных пользователей. Если ваш отпечаток пальца будет украден, вы не сможете заменить его новым. Злоумышлен­нику даже не нужно добывать стакан, из которого вы пили, или проявлять отпечатки на вашей дверной ручке. Ему достаточно попросить вас идентифицировать себя с помощью устройства чтения отпечатков и послать ему файл с результатом сканирования. С психологическими атаками край­не трудно бороться с помощью технологии. Купите книгу Митника, и по­сле ее прочтения несколько бессонных ночей вам гарантированы. Послед­ней книгой, оказавшей на меня такое воздействие, была «The Coming Plague: Newly Emerging Diseases in a World Out of Balance» (Грядущая чума: новые болезни в нестабильном мире), Laurie Garrett (Лори Гаррет), Penguin, 1995. Похоже, что взлом защиты компьютеров и геморрагиче­ская лихорадка имеют между собой больше общего, чем мне представлялось ранее.