L'image stéréotypée créée par la plupart des personnes quand elles entendent le terme "intrus" est celle d'un recluse pâlot et atrophié cloîtré dans une chambre à coucher humide, dont a repèré le teint est indiquée seulement par la lueur sublime d'une boîte de Linux utilisée pour le balayage gauche avec le Perl. Ce mirage pourrait être placé au loin par autre a imaginé des dispositifs, tels que les piles poussiéreuses de cachots et le savoir de dragons des années 80, vide des bidons de kola de secousse, et la musique japonaise de techno coulant du filet.
|
|
Cependant, bien que la compétence d'ordinateur soit centrale à la profession d'un intrus, il y a beaucoup de facettes additionnelles qu'il doit maîtriser. En fait, si tous que vous pouvez faire est se diriger et cliquer, vous sont un kiddie de manuscrit, pas un intrus. Un vrai intrus doit également compter sur physique et les qualifications interpersonnelles telles que la technologie sociale et autre "mouillent le travail" qui implique l'interaction humaine. Cependant, parce que la plupart des personnes ont un stéréotype faux des intrus, elles ne se rendent pas compte que la personne qu'elles causent avec ou parler à au téléphone pourrait en fait être un intrus dans le déguisement. En fait, ce malentendu commun est l'un des plus grands capitaux des intrus.
La technologie sociale n'est pas unique à entailler. En fait, beaucoup de gens emploient ce type de supercherie chaque jour, criminel et professionnellement. S'il marchande pour un prix inférieur sur une tondeuse à gazon à une brocante à domicile, ou convainque votre conjoint que vous avez besoin vraiment de ce nouvel jouet ou équipement, vous manoeuvrez la "cible." Bien que vos motifs pourraient être bénins, vous êtes coupable de machiner socialement l'autre partie.
Un exemple de la technologie sociale au lequel les directeurs de technologie de l'information font face sur une base hebdomadaire est sollicitation des fournisseurs. Une forme hostile de ventes prend la forme de télemarketing légèrement déguisé. Vaguant loin des normes morales de technique de ventes, de tels fournisseurs essayeront de vous duper dans leur fournir l'information ainsi ils peuvent mettre votre nom de compagnie sur une liste d'expédition.
Voici une telle tentative qui nous obtenons régulièrement :
"bonjour, c'est la compagnie de réparation de copieur. Nous devons obtenir le modèle de votre copieur pour nos disques de service. Pouvez vous obtenir cela pour nous?"
Maintenant, ceci semble assez innocent, et il y a probablement beaucoup qui tombent pour cette tactique. Cependant, ils essayent simplement de vous duper dans fournir des informations sensibles—de l'information qu'ils n'ont vraiment aucun savoir d'affaires.
Comme l'artiste de scam, un intrus emploie souvent les techniques semblables. Une méthode populaire que l'utilisation d'intrus feint pour être une compagnie d'aperçu. Un intrus peut appeler et demander toutes sortes de questions sur les logiciels d'exploitation de réseau, des systèmes de détection d'intrusion (IDSs), des murs à l'épreuve du feu, et plus sous le couvert d'un chercheur. Si l'intrus était vraiment malveillant, elle pourrait même offrir une récompense d'argent comptant pendant le temps où elle a pris pour que l'administrateur de réseau réponde aux questions. Malheureusement, la plupart des personnes tombent pour l'amorce et indiquent l'information sensible de réseau.
Un des buts de mostcommon d'un intrus est d'obtenir un compte et un mot de passe valides d'utilisateur. En fait, parfois c'est la seule manière que un intrus peut dévier des mesures de sécurité. Si une compagnie emploie des murs à l'épreuve du feu, des systèmes de détection d'intrusion, et plus, un intrus devra emprunter un vrai compte jusqu'à ce qu'il puisse obtenir l'accès de racine et installer un nouveau se explique. Cependant, comment un intrus peut-il obtenir cette information ? Une des manières les plus faciles doit duper quelqu'un dans la leur donner.
Par exemple, beaucoup d'organismes emploient un réseau privé virtuel (VPN) qui permet aux employés à distance de se relier au réseau de la maison et de devenir essentiellement une partie du réseau local. C'est une méthode très populaire de permettre à des personnes de travailler de la maison, mais est également une tache faible potentielle dans n'importe quel périmètre de sécurité. Car VPNs sont installés et maintenus par LE département, les intrus souvent personnifieront un employé réel et lui demanderont à un de personnel le mot de passe en feignant pour avoir perdu les arrangements. S'IL employé croit la personne, il volontairement et remet souvent heureusement les clefs. Voila ! L'intrus maintenant peut se relier n'importe où dessus de l'Internet et employer un compte autorisé pour travailler sa manière plus profonde dans le réseau. Imaginez si vous étiez le modeste IL personne de personnel à l'appel et le Président vous sonnait vers le haut à 10:30 P.M. furieux au sujet d'un mot de passe perdu. Voudriez-vous lui refuser l'accès, risquant la perte de votre travail ? Probablement pas, qui fait à ce type de crainte le meilleur ami d'un intrus.
Si vous êtes un utilisateur à la maison et pensez vous n'avez rien à craindre de ce type de personnification, pensez qu'encore—vous êtes réellement visé plus souvent par des scammers et des intrus de même. C'est parce que beaucoup de nouveaux venus d'Internet (internautes novice) croire que n'importe quoi quelqu'un qui semble être le personnel de soutien de technologie de leur ISP leur dit. Par exemple, les intrus enverront souvent les messages de masse pour peuple, ou reposez-vous dans des chambres de causerie et attendez un internaute novice pour venir le long. Ils alors installeront un compte faux ou emploieront des tours simples pour le faire être évident comme si un employé d'AOL cause avec eux. Ce que les internautes novice ne réalisent pas est qu'ils parlent réellement avec un intrus dans le déguisement. Ainsi, ils remettent volontairement tout des cartes de degré de solvabilité aux noms et aux mots de passe d'utilisateur.
Comme vous pouvez voir, à un débutant il s'avère qu'un administrateur d'AOL est de l'autre côté de cette conversation. Cependant, si vous regardez étroitement, vous verrez un blanc comme après le Hckr-nom :. Pour le faire apparaître comme s'un interface gestionnaire d'AOL parle, nous avons ajouté une ligne des caractères d'espace au commencement du texte pour laisser tomber l'interface gestionnaire d'AOL : à la prochaine ligne. Bien que le nom original apparaisse, il ne serait pas difficile que un intrus installe un compte en utilisant une date ou le nom de compagnie pour déguiser le fait le compte était un simplement autre username.
Remarquer social est le processus d'"employer l'observation pour acquérir l'information." Bien que la technologie sociale puisse fournir à un intrus l'information cruciale, de petites entreprises mieux sont protégées contre la technologie sociale parce que beaucoup de gens aux compagnies très petites se connaissent. Par exemple, si un de IL personnel recevait un appel d'un intrus feignant pour être un Président affligé, il identifierait probablement la voix comme n'appartenant pas au vrai Président. Dans ce cas-ci, remarquer social devient plus important.
Pour illustrer une des manières non techniques remarquer que social peut être employé, considérez combien de personnes manipulent des cartes d'atmosphère. Par exemple, cachez-vous votre GOUPILLE quand vous enlevez l'argent à l'atmosphère ? Notez la façon dont les gens protègent leur GOUPILLE la prochaine fois que vous êtes alignée en à l'atmosphère. Vous noterez probablement la plupart des personnes ne vous inquiétez pas. Les la plupart fouetteront hors de leur carte et poinçonneront les nombres sans soin pour qui pourrait observer. Si la personne fausse apprenait par coeur la GOUPILLE, il ferait requis toute l'information pour accéder aux fonds dans le compte, s'il pourrait d'abord obtenir ses mains sur la carte d'atmosphère. Ainsi, une bourse-snatcher obtiendrait non seulement le juste d'argent retiré d'une atmosphère, mais a pu facilement retourner et retirer la limite du jour entier.
De même, les intrus remarquent socialement sur des utilisateurs pendant qu'ils entrent des mots de passe. Une "livraison de fleur" à 8:00 heure du matin le matin donnerait à un intrus l'excuse nécessaire pour flâner en passant par un bâtiment de bureau. Bien qu'elle semble rechercher le destinataire des fleurs, elle pourrait observer pour des mots de passe entrants de personnes ou toute autre information sensible.
En plus de snooping sur des personnes car ils dactylographient activement leur information d'utilisateur, la plupart des bureaux ont au moins plusieurs personnes qui sont coupables de signaler leur mot de passe dessus ou s'approchent de leur moniteur d'ordinateur. Ce type de négligence flagrante pour la sécurité est le plus mauvais cauchemar de chaque administrateur de réseau. Indépendamment des notes répétées, visites personnelles, et les avertissements, certains semblent trouver toujours une excuse pour signaler leur mot de passe de réseau juste dans la vue plate. Même si quelques personnes sont au moins assez sécurité-conscientes pour le cacher leur Poteau- des notes dans un endroit discret, cela prend toujours seulement quelques secondes à soulèvent vers le haut un clavier ou tirent ouvert un tiroir de bureau.
Si vous ne croyez pas ceci, faites un tour rapide autour et voyez juste combien de violations potentielles de sécurité sont dans votre secteur de bureau. Vous pourriez très être étonnée de voir au juste quel type d'information est là pour la prise !
Avez-vous jamais gâché un rapport de carte de degré de solvabilité sans le déchiqueter ? Si oui, vous êtes une cible potentielle. Bien que vous pourriez considérer comme étant votre détritus le territoire sacré que personne n'entre dans parce qu'il est sale, votre détritus, et le détritus de votre compagnie, est souvent une mine d'or. Pêchant par des ordures pour trouver des mots de passe, également connus sous le nom de plongée de décharge, peut fournir à un intrus l'information cruciale requise pour assurer votre réseau.
Considérons un scénario. Si vous êtes un administrateur de réseau et vous recevez un bout anonyme que les gens signalent des mots de passe tout autour du bureau, que feriez-vous ? La plupart des administrateurs immédiatement étudieraient et enverraient une note à chacun à la compagnie déclarant que cette activité n'est pas permise, et que des violations seront traitées durement. Bien que ceci pourrait obtenir chacun pour le prendre temporairement vers le bas leur Poteau- des mots de passe, le problème a été seulement aggravé, parce que tous ces mots de passe sont maintenant dirigés bien au visiteur anonyme qui attend au décharge.
En plus des mots de passe, les intrus peuvent trouver des notes, des rapports sensibles, des disquettes, de vieilles commandes dures, et plus dans le détritus. Imaginez que la valeur une vieille commande dure de caisse enregistreuse pourrait doit un intrus recherchant une manière d'accéder à la base de données de carte du degré de solvabilité d'une compagnie. Dans beaucoup de cas, une commande dure peut simplement être installée sur un autre ordinateur et être recherchée utilisant (ou libérer) les outils peu coûteux de médecines légales.
Online: 532 users browsing the articles directory
|
|