Lingo

Аутентификация по двум условиям — использование двух разных типов аутентификации для идентификации. Например, человек может идентифицировать себя звоня из определенного места и зная пароль.

Затем служащий выбирает элемент отображаемых о вас данных — чаще всего номер (социального обеспечения), дату рождения, девичью фамилию матери — и задает вам вопрос. Если вы даете правильный ответ, это вторая форма аутентификации, основанная на сведениях, которые вы должны знать.

В компании, выпускающей защищенные радиосистемы, у каждого служащего, имеющего доступ к компьютеру, имелись имя и пароль, которые дополнялись небольшим электронным устройством — Secure ID (безопасный идентификатор). Это то, что называют синхронизируемым жетоном. Такие устройства делаются двух типов: одно из них размером с половину кредитной карты, но немного толще; другое настолько мало, что люди могут присоединить его к связке ключей.

В этом устройстве из мира криптографии имеется маленький шестиразрядный дисплей. Каждые 60 секунд на дисплее отображается новое шестизначное число. Когда человеку нужен доступ к сети, сначала он должен идентифицировать себя как зарегистрированного пользователя, введя секретный PIN-код и число, отображаемое его устройством. Пройдя проверку внутренней системы, он затем должен ввести имя и пароль.

Для получения исходного кода, которого так жаждал юный Дэнни, нужно было не только скомпрометировать имя пользователя и пароль одного из служащих (что не представляет особой сложности для опытного социального инженера), но и добраться до синхронизируемого жетона.

Прохождение аутентификации по двум условиям с использованием синхронизируемого жетона в сочетании с секретным PIN-кодом кажется невыполнимой миссией. Для социальных инженеров задача подобна той, когда игрок в покер, который обладает не просто умением «читать» своих противников.

Штурм крепости

Дэнни начал с тщательной подготовки. Вскоре он собрал вместе достаточно сведений, чтобы выдать себя за настоящего служащего. У него было имя, подразделение, телефонный номер служащего, а также имя и номер телефона руководителя.

Теперь было затишье перед штурмом. По составленному плану Дэнни нужна была еще одна вещь перед тем, как сделать следующий шаг, и это было то, чем он не управлял: ему нужна была метель. Ему нужна была помощь Матушки— природы в виде непогоды, которая бы не позволила работникам добраться до офиса. Зимой в Южной Дакоте тому, кто надеялся на плохую погоду, не приходилось ждать очень долго. В пятницу ночью началась метель. снег быстро превратился в град, так что к утру дороги были покрыты слоем льда. Это была отличная возможность для Дэнни.

Он позвонил на завод, попросил соединить с машинным залом и связался с оператором, который представился как Роджер Ковальски.

Назвав имя настоящего служащего, Дэнни сказал: «Это Боб Билингс. Я работаю в группе защищенной связи. Я сейчас дома и не могу приехать из-за метели. Проблема в том, что мне нужен доступ к моему компьютеру и серверу из дома, а я оставил безопасный ID в столе. Не могли бы вы принести его? Или кто-нибудь? А потом прочитать мой код, когда надо будет ввести его? Сроки выполнения у моей группы подходят к концу, и у меня нет другого способа закончить работу. И нет способа попасть в офис — дороги слишком опасны.»

Оператор сказал: «Я не могу оставить вычислительный центр» Дэнни завладел ситуацией: «А у вас есть безопасный ID?»

«В центре есть один, — сказал тот, —Мы храним один для операторов на случай крайней необходимости.»

«Послушайте, — сказал Дэнни, —Вы не могли бы оказать мне большую услугу? Можно позаимствовать ваш безопасный ID, когда мне нужно будет войти в сеть? На время, пока опасно ездить по дорогам?»

—Кто вы? — спросил Ковальски. — Для кого вы делаете работу?

—Для Эда Трентона.

—Ах да, я знаю его.

Когда может возникнуть затруднительное положение, хороший социальный инженер проводит нечто большее, чем простое исследование. «Я работаю на втором этаже, — продолжал Дэнни, — рядом с Роем Такером».

Это имя он тоже знал. Дэнни продолжил обрабатывать его. «Будет проще подойти к моему столу и принести мой безопасный ID.»

Дэнни был уверен, что парень не пойдет на это. Прежде всего, он не оставит свое место посреди рабочей смены ради «прогулки» по коридорам и лестницам в другую часть здания. Он также не захочет шариться в столе на чужом месте. Нет, можно было спорить, что он не сделает этого.

Ковальски не хотел ни отказывать парню, нуждавшемуся в помощи, ни соглашаться и быть втянутым в проблему. Поэтому он отложил решение: «Я должен позвонить моему боссу. Подождите». Он отложил трубку, и Дэнни мог слышать, как тот набирает другой номер, и объясняет просьбу. Затем Ковальски сделал что-то необъяснимое: он по-настоящему ручался за человека, назвавшегося Бобом Билингсом. «Я знаю его, — сказал он своему руководителю, — Он работает для Эда Трентона. Можем мы разрешить ему воспользоваться безопасным ID, который есть в вычислительном центре?» Дэнни, державший трубку, был поражен, услышав о неожиданной поддержке в свою пользу. Он не мог поверить своим ушам.