СИ

[nons]

давайте поговрим о СИ, но не о языке программирования ;) а о таком очень эффективном методе взлома, как Социальная Инженерия,
кто что о нем думает, кто как и когда применял ;) высказываемся

[Vanda]

Большая часть взломов осуществляется при участии СИ. Средства применения СИ таковы:
-телефон
-электронная почта
-обычная почта
-личная встреча
-общение в инете в режиме реального времени
При общении в инете в режиме реального времени можно отправить пользователю файл или какую-либо ссылку, причем очень многие люди даже не задумываются, что это может быть вирус, а если и задумываются - то все равно любопытство берет свое.
При СИ посредством электронной почты можно отправить письмо абсолютно с любого адреса, даже будь то president@us.gov. Это несложно сделать посредством Telnet или специальной программы.
СИ очень хорошо описана в книге К.Митника "Искусство обмана".
СИ очень эффективна при проверки политики безопасности организации. Если с точки зрения аппаратного и программного обеспечения все в порядке, надо также учитывать и человеческий фактор, т.к. службы поддержки часто выдают важную информацию.
СИ - это искусство, которое можно довести до совершенства:rolleyes: Я этим не увлекаюсь - не люблю людей обманывать;)
Парочка примеров телефонного обмана. Взято из книги "Атака на Internet" Медведовский И.Д., Семьянов П.В., Леонов Д.Г.:

Взломщик: Алло, это приемная?
Жертва: Да. В.: Это администрация сети. Мы сейчас меняли сетевую систему защиты. Необходимо проверить, все ли у вас нормально работает. Как вы обычно регистрируетесь в системе?
Ж.: Ввожу свои имя и пароль.
В.: Хорошо... Так... (Пауза) Какое имя?
Ж.: anna.
В.: Анна... (Пауза) Так... какой у вас раньше был пароль?
Ж.: ienb48.
В.: Та-а-а-ак... Хорошо. Попробуйте сейчас перерегистрироваться.
Ж.: (Пауза) Все нормально. Работает.
В.: Отлично. Спасибо!

***
Хакер: Здравствуйте, вы администратор?
Администратор: Да.
X.: Извините, что отвлекаю. Не могли бы вы мне помочь?
А.: (Ну что еще ему надо?) Да, конечно.
X.: Я не могу в своем каталоге выполнить команду ls.
А.: (Как будто ему это надо!) В каком каталоге?
X.: /home/anatoly.
А.: (Вот ведь глупый юзер!) Сейчас посмотрю. (Заходит в этот каталог и набирает команду ls, которая успешно выполняется и показывает наличие нормальных прав на каталог.)
А.: Все у вас должно работать!
X.: Хммм... Подождите... О! А теперь работает... Странно...
А.: (Рррррр!!!) Да? Хорошо!
X.: Спасибо огромное. Еще раз извиняюсь, что помешал.
А.: (Ну наконец!) Да не за что. (Отстань, противный!) До свидания. Конец разговора.

[[Fk]]

Гоп-стоп это тоже вид социальной инженерии?

[nons]

расскажу про свой "опыт" СИ
как то в самом начале своего "программирования" напсиал прстого мыльного "коника" , писал на дельфях, поэтому и размер был ~250кб , но упаковав простым SFX архивом с заменой иконкой и спец сценарием своего троя вместе с флеш-роликом, размер троя стал не так заметен, а далее отправляя с помощью своей же программы с адреса flash@mail.ru с текстом, что это бесплатная рассылка флеш роликов молодой и перспективной студии флеш дизайна спокойно осуществлял рассылку.....
были годы

[LiS]

А у меня был следующий интересный опыт :
где-то около 1,5 года захотел проверить влияние психологического фактора, который заставляет человека запускать неизвестный файл... Масштабы были конечно не глобальные... Вообщем стояла у меня (как и щас) сетка НСП, юзеров уже насчитывалось за 100-ку... Написал я простенькую прогу (писал я тогда ещё на VB), которая открывает ФТП доступ на тот комп, на котором была запушена... Методом распростронение выбрал очень хитрую схему с геометрической распростроняемость... У того юзера, который запускает прогу, мгновенно расшариваеться папка с заманивающем названием (выбор был случайный: "Только для взрослых", "I Love you", "Маленьким не смотреть", "только для девушек".... и такого плана, все не помню). Другой заходит к нему, запускает.. и понеслось.. успех был ошеломляющий... за неделю почти 70% сети Жаль правда, что я эту прогу запустил в свет раньше времени.:( она оказалась глючная... и фтп сервер не работал :(