Общественное предназначение и границы влияния социальной инжинерии на реальные процессы

1. Гращенков В.Н. Рафаэль. М., 2005.
2. Делакруа Э. Рафаэль. Мысли об искусстве. М., 2003.
3. Джевелегов А.К. Творцы итальянского Возрождения. В 2-х тт. М., 2001.
4. Жуковский В.А. Рафаэлева Мадонна. СПб, 2004.
5. Капретти Е. Мастера живописи. Рафаэль. М., 2000.
6. Краснова О.Б. Энциклопедия искусства Средних веков и Возрождения М., 2002.
7. Культура эпохи Возрождения. СПб., 2006.
8. Лебедянский М.С. Великие мастера прошлого. Рафаэль Портреты Рафаэля. М., 2004.
9. Пашут Л. Рафаэль. СПб., 2001.
10. Стам С.М. Флорентийские Мадонны Рафаэля. Саратов, 2002.
11. Стародубова В.В. Рафаэль. М., 2007.

Общественное предназначение и границы влияния социальной инжинерии на реальные процессы

Социальная инженерия представляет собой метод несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод социальной инженерии основан на использовании слабых сторон человеческого фактора и считается очень разрушительным. Основные цели использования социальной инженерии - это сбор информации и давление на пользователя. Последнее предполагает, что пользователь сделает то, что нужно взломщику. Данные цели достигаются с опорой на психологию пользователя.
Основным психологическим приемом социальной инженерии является манипуляция людьми. Субъект социальной инженерии апеллирует к таким человеческим слабостям, как гордость, тщеславие, страх, милосердие. При этом побудительные силы, заставляющие жертву поддаваться на провокации, находятся внутри самой жертвы.
Наиболее простым средством осуществления социальной инженерии является телефон. Это связано с тем, что в крупных компаниях лица, ответственные за систему, не знают всех сотрудников, поэтому появляется возможность манипулировать действиями администратора. Телефон облегчает задачу, так как администратор не видит абонента, который может звонить даже из другого города или страны.
Для осуществления взлома злоумышленнику достаточно обладать телефоном, автоматическим определителем номера, устройством для изменения голоса, а также возможностью использовать чужую телефонную линию.
Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Взломщик может позвонить работнику компании, например, под видом технической службы, и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Основными средствами воздействия в данном случае являются приятный голос и актёрские способности. Злоумышленник под видом служащего компании звонит в службу технической поддержки. Представившись от имени служащего, хакер просит напомнить свой пароль, либо меняет его на новый, сославшись на забывчивость. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.). Дальше дело техники. Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусора организаций, виртуальных мусорных корзин, кража портативного компьютера или носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.
Все техники социальной инженерии основаны на особенностях принятия решений людьми, которые называются когнитивным базисом. Такая техника, как претекстинг представляет собой действие, отработанное по заранее составленному сценарию, или претексту. В результате цель должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, получение информации о персональных данных человека: дата рождения, сумма последнего счёта и др.) для того, чтобы обеспечить его доверие.
Одной из распространенных техник социальной инженерии является фишинг. Она направлена на получение конфиденциальной информации. Нередко злоумышленник отправляет потенциальной жертве e-mail, подделанный под официальное письмо - от банка или платёжной системы - требующее «проверки» определённой информации или совершения определённых действий. Это письмо обычно содержит линк на фальшивую веб-страницу, имитирующую официальную, с корпоративным логотипом и контентом, и содержащую форму, требующую ввести конфиденциальную информацию - от домашнего адреса до пин-кода банковской карты.
Другая группа техник в рамках социальной инженерии – троянские программы. Они эксплуатируют любопытство, а также алчность жертвы. Злоумышленник отправляет e-mail, содержащий во вложении потенциально привлекательный («клевый», «сексуальный») скрин-сейвер, важный апгрейд антивируса, или даже свежий компромат на сотрудника. Эффективность подобных техник подкрепляется тем, что пользователи невнимательно относятся к любым вложениям и открывают их, пренебрегая правилами безопасности.
Метод атаки, известный в социальной инженерии как «дорожное яблоко», представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или флэш в общественное место, где носитель может быть легко найден -туалет, лифт, парковка. Носитель подделывается под официальный, и сопровождается подписью, вызывающей у человека любопытство. Например, может быть подброшен CD, снабжённый корпоративным логотипом и ссылкой на официальный сайт компании цели. При этом предмет будет содержать надпись «Заработная плата руководящего состава Q1 2007». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство, или просто добрый самаритянин отнесёт диск в компанию.
Известен также такой способ социальной инженерии, как «Кви про кво». В этом случае злоумышленник звонит по случайному номеру в компанию и представляется сотрудником технической поддержки, проводящим опрос на наличие каких-либо технических проблем. В случае, если такие проблемы имеются, «сотрудник технической поддержки» начинает решать их. Жертва вводит команды, позволяющие хакеру запустить вредоносное программное обеспечение.
Итак, классический вид социальной инженерии в рамках информационных технологий заключается в звонках по телефону с целью получения конфиденциальной информации, например, паролей. Подобные действия достигаются через выдачу себя за другое лицо5.
Распространенность социальной инженерии в сфере информационных технологий обусловлена возможностью для злоумышленника оставаться невидимым, поскольку, общаясь в Интернете, пользователь не видит и не слышит своего собеседника. Взломщик может находиться в любой точке мира, что значительно усложняет его поиск и доказательство причастности к атаке. Вероятно поэтому социальная инженерия получила особое распространение среди молодежи6.
Значительная часть взломщиков действует по схожим шаблонам, поэтому изучение приемов их воздействия позволяет распознать обман и не стать жертвой обманщиков.
Основным компонентом социальной инженерии является введение в заблуждение, или обман. Он включает в себя ряд таких техник, как выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и другие. Целью обмана в данном случае является отъем денег, получение несанкционированного доступа к конфиденциальной информации, уход от ответственности путем перевода подозрений на постороннее лицо.
Нередко злоумышленники в качестве метода воздействия используют игру на чувствах. Пользуясь близкими отношениями с человеком, взломщик может уговорить его пойти на хищение конфиденциальных документов. В этом случае особую роль играют романтические отношения, а также алчность, желание отомстить руководству или попытка самоутвердиться.
В качестве рекомендации компаниям исследователи рекомендуют вводить запреты на пользование ICQ и электронной почтой всему персоналу.
Таким образом, социальная инженерия в информационных технологиях представляет собой разностороннюю проблему. Противостоять воздействию взломщиков может только дисциплина и ответственное отношение сотрудников к своим обязанностям.
2. Границы влияния социальной инженерии на реальные процессы
Особое место в социальном поведении занимают социальные действия. Они имеют общественное значение. Субъектом социальных действий являются личности, социальные группы. Эти действия совершаются в определенной ситуации, предполагают общественно детерминированную мотивацию, намерения, отношения. Социальные действия различаются в зависимости от разрешаемых общественных задач (экономических, социальных, развития духовной жизни). В этом смысле они выступают как форма и способ разрешения социальных проблем и противоречий, в основе которых лежит столкновение интересов и потребностей основных социальных сил данного общества. Для психологической характеристики социальных действий особое значение имеет их мотивация, отношение к «Я» как источнику и субъекту действий, соотношение смысла и значения действий, рационального и иррационального, сознательного и бессознательного в их мотивации. Важен субъективный смысл совершаемых личностью действий. Социально-психологическая специфика социального действия определяется рядом феноменов: восприятием социального действия ближайшего окружения; ролью этого восприятия в мотивации социального действия; осознанием личностью принадлежности к определенной группе как фактором мотивации; ролью референтной группы.
Поступок определяется как социально оцениваемый акт поведения, побуждаемый осознанными мотивами. В отличие от импульсивных действии поступок, совершается в соответствии с принятым намерением. Поступок как элемент поведения подчинен мотивам и целям человека. В нем проявляется личность человека — его ведущие потребности, отношение к окружающей действительности, характер, темперамент.
Совокупность поступков составляет деяние. В деянии как элементе социального поведения личности реализуется активность, имеющая высокую социальную значимость. Ответственность за эту активность несет сам субъект даже в том случае, если она выходит за пределы его намерений. Ответственность личности выражается в ее способности предвидеть социальные и психологические последствия собственной активности.
Цель социального поведения личности состоит в конечном итоге в преобразовании окружающей действительности, осуществлении изменений в обществе, а также личностных преобразований самого человека.
Результатом социального поведения являются, в широком смысле слова, формирование и развитие взаимодействий и взаимоотношений личности с другими людьми, с общностями разного масштаба. В достижении этих результатов исключительная роль принадлежит общению. Недаром некоторые авторы называют общение атрибутом поведения.
Личность - явление социальное. Многообразие форм социальных связей и отношений личности обусловливает виды ее социального поведения. Классификация этих видов осуществляется по разным основаниям. Самым широким основанием классификации видов социального поведения является сфера бытия, в которой оно проявляется. Среди них - природа, общество, человек. Эти сферы бытия существуют в разных формах, главными из которых являются материальное производство, или труд, духовное производство - философия, наука, культура, право, мораль, религия, а также быт, досуг, семья. В этих сферах жизни возникают, формируются, развиваются соответствующие виды поведения: производственное, трудовое, общественно-политическое, религиозное, культурное, бытовое, досуговое, семейное.