Социальная инженерия

Социальная инженерия

Den Spare @darkroombiz


Часть 1.

Психология глазами хакера.

Начнём с хакеров.) Целью хакера является получение несанкционированного доступа для осуществления цели. Упрощённо говоря взлом(далее будем говорить упрощённо))

Вот теперь перейдём к рассмотрению психологии в этом ключе(т.е. исходя из тех же целей и устанавливая аналогии). И так, для начала надо получить некоторое представление о том с чем имеем дело.

При взломе человеков, мы имеем дело с психикой. Это ОС человека. Эта система во многом аналогична компьютерным ОСям, имеет гибридное ядро(подсознание), оболочку(сознание) с утилитами(умения, навыки и тп) и сторонним софтом (модели поведения).

Основаниями гибридного ядра служат наноядро и микроядро(глубинные области бессознательного, между собой имеют довольно сложную взаимосвязь), "поверх которого" лежит модульное ядро(бессознательное и предсознательное).


Далее перейдём непосредственно к взлому системы. Рассмотрим виды взлома.

Тут два основных направления:

мгновенный(он же кидок, мошенничество, обман и т.п.) - единоразовая акция предпринимаемая с конкретной целью

(заполучение чего либо: вещи, денег или информации), при профессиональном исполнении объект

не узнаёт о факте взлома. при ламерском исполнении понимает впоследствии, когда взломщик уже свинтил.

долговременный имеет два подвида: временный и постоянный.

1. временный взлом основан на построение выгодных отношений/налаживание отношений - применяется в областях бизнеса и для продвижения по карьерной лесницы. Состоит в построении отношений и их использовании для получения различных выгод(как правило помощь в чём либо), доступ существуют до тех пор пока сохраняются отношения или взаимная выгода.

2. постоянный взлом (основан на действиии базовых протоколов) - наиболее широкий доступ к информации, сохраняется до дезактивации(смерти) терминала.


Теперь перейдём к принципам взлома. Для осуществления взлома используются:

баги психики, недостатки, общий базовый протокол.

Баги и недостатки относятся к уязвимостям ОС.

Уязвимости психики.

Баги это деффекты системы, они же грехи(отставить панику, никакой религии, чисто прагматический аспект: грех от слова погрешность или деффект), ошибочные программы(модели поведения) компоненты глупости. Все они имеют преимущественно вредоносный характер(по крайней мере на данный момент). Стоит отметить, что в некоторых случаях несут пользу обладателю, но она пренебрижимо мала.

Их происхождение мы сейчас рассматривать не будим, и сразу перейдём к тому как их использовать. К уязвимостям такого рода относятся все неадкватные составляющие мышления. Базовые баги: гордость(в крайнем случае гордыня), тщеславие, зависливость, ревнивость, высокомерие. Комплексные: фанатизм во всех формах(религиозный, политический-патриотизм, националистический, социальный-присущий определённой соц-группе, например футбольный), стыд, жалость, совесть, стеснение, и т.п. Простые: всевозможные мании(маниакальные стремления, они же страсти),: жадность, скупость, расточительность, стремление к богатству, азарт и т.п.

Недостатки психики – это слабые компоненты психики. Сами по себе это полезные утилиты, они являются уязвимостями лишь в силу недостаточного развития. К ним относятся трусость, скованность, разгильдяйство(отсутствие организации), доверчивость, лень, безволие, низкий уровень самообладания, невежество и т.д.

Тут стоит отметить допущенные в общественном мнении ошибки и возможные заблуждения. Трусость в народе противопоставляется смелости – это не верно. В действительности трусость – недостаток, низкий уровень смелости(то-есть характеристика, показатель уровня, а не собственная величина). То же самое со скованностью(низкоразвитость социальных навыков), разгильдяйством, ленью, доверчивостью, невежеством(низкая осведомлённость).

Так же не стоит путать трусость со страхом. Страх чувство которое испытывают все(почти) здоровые люди. Трусость – состояние, когда человеком владеет страх, обусловлено низким уровнем смелости. Смелость – способность контролировать страх.

Использование уязвимостей.

Сейчас повыходило множество околопсихологических книг о манипуляциях, в которых рассматриваются конкретные методики. И продолжают выходить новые. Но все их перечитывать не стоит, более чем достаточно и половины одной из них.

Не стоит их все скрупулёзно перелистывать по следующим причинам:

1.Там рассматриваются конкретные методики. Это значит, что если баг будет несколько другим - данный метод уже не сработает.

2.Помимо того, что багов очень много, они в общем случае встречаются в частичном или изменённом виде.

3.Видоизменение бага, делает методику менее эффективной, а в крайнем случае нерабочей напрочь.

4.Слишком большой объём информации, в котором нет необходимости, загромождает память и затрудняет доступ.

Поэтому эффективнее знать общие принципы и уметь выявлять уязвимости и устанавливать их характеристики, а уж составить методику конкретного взлома - дело техники, надо отметить нехитрое).

Так-что самое главное это знать - что из себя представляет уязвимость и уметь её оценить.