Не имеет смысла тратить миллионы долларов на информационную безопасность, если при этом сотрудники компании будут разглашать идентификационные данные для входа в системы. Такое мнение высказал бывший американский хакер Кевин Митник в ходе конференции в Сиднее, сообщает сайт ZDNet.
Эффективным средством защиты конфиденциальной информации компаний может стать департамент, сотрудники которого будут реагировать на подозрительные запросы, считает Митник. По его словам, сотрудники департамента должны иметь хорошую подготовку в области социальной инженерии, уметь расследовать состоявшиеся и несостоявшиеся хакерские атаки и эффективно бороться с ними.
Митник, который в настоящее время возглавляет собственное консалтинговое агентство Mitnick Security Consulting (прежнее название — Defensive Thinking) призывает компании инструктировать собственный персонал и укреплять так называемые «человеческие межсетевые экраны».
Вместе со своим бизнес-партнером Алексом Касперавичусом Митник рассказал о некоторых методах, с помощью которых социальные инженеры обходят сложную техническую защиту компьютерных систем: «Хакер ищет слабое место, через которое получает доступ к информации. Программа защиты создается при участии людей, процессов и технологий. Ваша компания может быть сильна, например, в технологии, но люди при этом могут не знать, чего ждать от преступников. Преступники будут искать самые легкие места для вторжения».
В качестве примера одного из самых простых источников информации Митник и Касперавичус назвали мусорные корзины. Они заявили, что перед полетом в Сидней побывали в офисе одной звезды шоу-бизнеса. Наряду с коробками из-под пиццы и пустыми банками, Митник и Касперавичус обнаружили в корзинах массу факсов, телефонных счетов, зарплатные листки и другие документы. Найденные предметы были предложены участникам конференции для исследования, которые сумели найти в «учебном материале» домашние и мобильные телефоны поп-звезд, в том числе Кристины Агилеры. Кроме того, в мусоре оказались адрес администраторской зоны сайта телевезионного реалити-шоу, логин и пароль администратора.
«В мусоре можно найти расписания, названия проектов, распечатки программного кода, счета. Компании могут вести корпоративную разведку, не прибегая к хакерским атакам и промышленному шпионажу», — заявил Митник.
Митник ищет ключи к системам в мусорных корзинах