Comments 82
UFO just landed and posted this here
Ну допустим в реанимации сестры с опытом сразу скажут что это смертельная доза для пациента и не станут выполнять приказ, т.к. много возни с бумагами потом.
UPD. Примером наверное были американские больницы (поликлиники и т.п.), поэтому 95% и были уязвимы.
UPD. Примером наверное были американские больницы (поликлиники и т.п.), поэтому 95% и были уязвимы.
Скорее всего они все знали, что это смертельная доза.
Сестра знала, что делает, но в 95% случаев выполняла команду
Сестра знала, что делает, но в 95% случаев выполняла команду
Нечеткая формулировка. «Знала что делает» формально != «осознавала последствия».
Не по своему опыту конечно, но сёстры (по крайней мере в моей стране) со стандартными процедурами (повторюсь что в реанимации, не могу сказать на счет других отделений) очень осторожны и споры с врачами (даже так) это не редкость. Извиняюсь за странную расстановку слов, но так само получается))
Ну допустим в реанимации сестры с опытом сразу скажут что это смертельная доза для пациента и не станут выполнять приказ, т.к. много возни с бумагами потом.
Ерунду вы говорите. Сестра с опытом должна спросить «а кто ты такой, чтобы мне такое командовать» и отказаться подчиняться хрену с горы.
Речь-то в статье об этом.
Как показывает мировая практика успешно проведённых взломов (успешно для атакующих, разумеется), большая часть проблем связана именно с проблемами с людьми.
Вот еще одна причина почему всех людей надо заменить на роботов.
Здравствуйте. Меня пригласило НЛО провести аудит безопасности хабра приказом от 07.08.13
Всем лицам, имеющим доступ к созданию новых топиков, необходимо в течение 48 часов предъявить свои пароли на проверку соответствия их минимальным критериям безопасности.
Всем лицам, имеющим доступ к созданию новых топиков, необходимо в течение 48 часов предъявить свои пароли на проверку соответствия их минимальным критериям безопасности.
Вам пароли в комментариях оставлять или каким способом передать?)
Без первой цифры (чтобы не взломали аккаунт) — «Jksd_9*)wTds».
Нормально?
Нормально?
Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка… Сорок тысяч обезьян в жопу сунули банан.
(С) надеюсь все знают кто
(С) надеюсь все знают кто
Вот, держите: F{htyDfvFYtVjqGfhjkm
Ну как, соответствует критериям безопасности?
Ну как, соответствует критериям безопасности?
Был свидетелем проверки в супермаркете «Виктория» два простенько одетых мужичка покупали продукты. После того как кассир пробила очередной товар, они попросили сделать копию распечатки и вызвать старшую.
Они наклеили на товар штрих код от другого более дешевого и убедившись, что кассир не сверился с наименованием, пробив в чек пошли «журить» её руководителя.
Они наклеили на товар штрих код от другого более дешевого и убедившись, что кассир не сверился с наименованием, пробив в чек пошли «журить» её руководителя.
А это должна была быть разве вина кассира, а не товароведа, или кто там наклеивает стикеры?
Уязвимость в том, что кассир никак не сверяет информацию, полученную по отсканированному штрих-коду, с характеристиками реально покупаемого товара.
Причем тут товаровед? Русскими же буквами написано:
Они наклеили на товар штрих код от другого более дешевого
Суть в том, что любой человек может наклеить другой штрих-код и кроме как на кассе это никак не отследить. Поэтому кассиров и учат отслеживать то, что они пробивают и в некоторых случаях еще и вес сверять, когда товар весовой а взвешивание сами покупатели проводят.
Суть в том, что в штате супермаркета должна быть служба охраны. И вот это их обязанность — следить, чтобы никто ничего там не лепил. Равно как и контроллировать клиентов идущих в магазин с товарами, аналогичными тем, что имеются в продаже.
Интересно, как?
Что «как»? С помощью видеонаблюдения, в крайнем случае ходить по пятам за подозрительными покупателями.
Посмотрю я, как вы будете с помощью видеонаблюдения следить, чтобы никто не лепил свои штрих-коды на товар.
Вот я -то как раз этим и занимался в своё время! И слабо представляю, как в торговом зале может незаметно попытаться отодрать штрих-код с упаковки и потом налепить свой (который ещё и через кассу должен корректно пройти)…
А как «паровозы» отслеживают — не задумывались? Это когда не весь товар из корзинки выклаыдвается на ленту кассы, а корзина проносится под кассой и затем товар обратно закидывается в неё.
И в любом случае — даже если СБ не может за этим уследить, по-Вашему за этим уследит кассир? Это его обязанность?
А как «паровозы» отслеживают — не задумывались? Это когда не весь товар из корзинки выклаыдвается на ленту кассы, а корзина проносится под кассой и затем товар обратно закидывается в неё.
И в любом случае — даже если СБ не может за этим уследить, по-Вашему за этим уследит кассир? Это его обязанность?
Зачем незаметно отдирать штрих-код, если другой можно налепить поверх?
Рассказываю.
Покупаешь хлеб. Приносишь домой. Аккуратно отрываешь штрих-код, на следующий день идёшь с ним в магазин и лепишь на колбасу поверх того, который там уже есть.
Сам не пробовал ;)
Покупаешь хлеб. Приносишь домой. Аккуратно отрываешь штрих-код, на следующий день идёшь с ним в магазин и лепишь на колбасу поверх того, который там уже есть.
Сам не пробовал ;)
Рассказываю как ещё проще! Только с продуктами даже не стоит морочиться — тут хорошо подходят цифровые супермаркеты. Достаём товары из двух коробок (желательно одного назначения/фирмы производители, но очень разные по цене) и просто меняем коробки. Тут важно оценить, способен ли кассир будет бегло определить несоответствие товара упаковке. Да и умысел тут не пришьёшь — ну перепутал коробки пока смотрел.
P.S. Штрих-код на скотч лепить будете? Обычно он вместе с упаковкой отдирается.
P.S. Штрих-код на скотч лепить будете? Обычно он вместе с упаковкой отдирается.
Вообще много могу рассказать про таких «несунов». Тут прямо учебник по психологии писать можно. Многие это делают не столько ради корысти, сколько ради острых ощущений. И кноечно поло-возрастная структура. Мужчин средних лет меньше всего. Дети, женщины (в том числе и пожилые) — вот основной контингент. Многие на кассе очень нервничают — намётанным взглядом такой клиент сразу опознаётся даже внешне — у некоторых даже ноги трясутся и все прочие атрибуты дикого нервного перевозбуждения. )))))
Ну как бы у кассы есть специально зеркало сверху, в которое отлично видно содержимое тележки. В нормальных магазинах.
Если честно, никогда не видел охранников в торговом зале крупных гипермаркетов. Они всегда стоят на входе в зал и на выходе касс.
А, спасибо, ясно… Тогда да — не «самая разумная тактика», а вообще без вариантов — тормозить очередь, звать старшего продавца/кассира, предложить покупателю сбегать за другой единицей такого же товара.
Ну так стандартная же процедура. Называется «контрольная закупка». Весьма действенный способ проверки торговых точек.
Есть интересная книга Брюса Шнайера «Thinking Sensibly About Security in an Uncertain World» («Взвешенные рассуждения о безопасности в переменчивом мире»). Правда не переведена по-моему.
A few years ago, a colleague of mine was showing off his company’s network security operations center. He was confident his team could respond to any computer intrusion. “What happens if the hacker calls a bomb threat in to this building before attacking your network?” I asked. He hadn’t thought of that. The problem is, attackers do think of these things.
Несколько лет назад один мой коллега хвастал отделом обеспечения сетевой безопасности в его компании. Он был уверен в том, что его команда сможет среагировать на любое проникновение в систему. «Что случится, если злоумышленник до начала атаки позвонит и сообщит об угрозе взрыва в здании?» — спросил я. Он об этом не подумал. Проблема в том, что злоумышленник о таких вещах думает.
Подскажите пожалуйста где купить или скачать?
Ловите:
Beyond Fear: Thinking Sensibly About Security in an Uncertain World
На Хабре, кстати, его достаточно часто упоминают.
Beyond Fear: Thinking Sensibly About Security in an Uncertain World
На Хабре, кстати, его достаточно часто упоминают.
Лучшие ответы лежали в плоскости социального взаимодействия: наклеить стикер с номером техподдержки, пригласить её на свидание и так далее.
пригласить её на свидание
В 2000 я работал в таможенных органах, моя невеста — в РАО ЕЭС. У РАО ЕЭС были какие-то недоплаты пошлин за экспортированную электроэнергию (это всегда бывает), по этому поводу завели какое-то дело, в общем, она попросила меня сходить в соседнее здание и что-то узнать. Я говорил — пусть позвонит по телефону и спросит. В конце концов она уломала меня сходить, меня там спросили кто я, откуда и зачем, и сказали, что ничего не скажут, а то ли ей то ли её начальству потом всё, что надо, сказали по телефону;-) Она даже удивилась. Тогда (вообще-то, ещё до этого) я для себя это объяснял так, что знание такого полуконфиденциального номера рабочего телефона чем-то аналогично знанию логина с паролем и само по себе является в некотором степени «авторизацией» и «допуском».
психологи обзванивали медсестёр в больницах, а затем представлялись врачом и отдавали распоряжение ввести смертельную дозу вещества пациентуНасколько я знаю из бразильских сериалов;-), «выдавать себя за другого», по крайней мере в Бразилии, является само по себе уголовным преступлением. Не знаю, как по этой части в США (там, насколько я знаю, есть другие подобные приколы — отдельным составом преступления является использование телефона и государственной почты для совершения другого преступления и дача ложных показаний и прочий «обман правосудия» является тяжким преступлением уровня государственной измены), но, подозреваю, с криминальной точки зрения такие действия весьма чреваты, и само получение разрешения на такие эксперименты (без которого экспериментаторов просто могли бы посадить на немалый срок) было довольно трудно и с кучей проверок и подписок (а вдруг ассистент споткнётся о порог и не успеет её остановить? тогда ассистентов надо как минимум двое, а лучше трое)…
Да, забыл: ФИО доктора надо ещё откуда-то знать и привязку пациентов к докторам… тоже «конфидняк»…
А разве нельзя исключать наличие знакомой «Любы» с ресепшена больницы у злоумышленника?
Ну, как сказать… Теоретически можно, а практически «на ровном месте» трудноосуществимо. Это, образно говоря, как я как-то давно читал, типа как дорога на один то ли «закрытый» то ли просто «конфиденциальный» принадлежащий КПСС объект (но который официально не хотели числить в списке «закрытых») при СССР: несколько дорожных знаков, запрещающих проезд к «цели»: «кирпичи», единственные разрешённые направления движения, запреты поворотов…
Ниже написал поподробнее, не хочу «боянить».
Думаю, так: если враждебным спецслужбам реально потребуется ликвидировать какого-то определённого человека, они выберут не этот путь.
При предполагаемом вами раскладе злоумышленник должен не особо заботиться об избежании разоблачения и с большой вероятностью иметь с жертвой общих знакомых или вообще быть знакомым с жертвой лично.
Ниже написал поподробнее, не хочу «боянить».
Думаю, так: если враждебным спецслужбам реально потребуется ликвидировать какого-то определённого человека, они выберут не этот путь.
При предполагаемом вами раскладе злоумышленник должен не особо заботиться об избежании разоблачения и с большой вероятностью иметь с жертвой общих знакомых или вообще быть знакомым с жертвой лично.
Да, забыл: ФИО доктора надо ещё откуда-то знать и привязку пациентов к докторам… тоже «конфидняк»…
А меня вот Сидоров лечил, а вас кто?
А ФИО докторов бывает и на дверях кабинетов, и на бейджиках, и даже в расписании приемов, например.
Ну как сказать, больница — в отличие от поликлиники, объект несколько более «режимный», вопрос к неизвестному человеку в явно недомашней одежде «вы к кому, откуда и зачем» со стороны персонала более чем естественен (тем более в США, где стремятся как можно быстрее освободить койко-место ибо просто одно содержание больного в стационаре обходится в копеечку), а лишняя засветка в общем нежелательна, ну опять — привязка больных к докторам нужна… Можно, конечно, завести знакомство с кем-то из персонала, но 1) они скорее всего по должностной инструкции «обо всём подозрительном обязаны докладывать начальству» 2) в Штатах в больнице страраются долго не держать — надо быстро успеть познакомиться, втереться, сделать своё черное дело и как-то разрулить это дальше, чтоб не вызвать подозрения.
в расписании приемовРасписание приёмов бывает в поликлинике, смертельную дозу могут вколоть только в стационаре. В РФ, по крайней мере, это обычно разные учреждения с разным «пропускным режимом».
Ну, про разный пропускной режим, это как повезет. Летом навещал друга в больнице (СПб), охранник на входе даже не спросил меня, кто я такой и куда иду, а ответил на мой вопрос, как пройти в такое-то отделение.
Спасибо за интерес к моему комментарию спустя более чем год;-)
Раз тема оказалась интереснее, чем я думал, решил гуглануть поглубже, по крайней мере насчёт года, когда были проведены исследования… Догуглил вот до чего:
Насчёт собственно вашего комментария — похоже, да, разный режим бывает. В феврале навещал маму в больнице — переписали ФИО с паспорта. Но, скорее всего, система видеонаблюдения с видеозаписью сегодня есть на входе любой больницы, так что анонимность здесь в лучшем случае относительна;-).
Раз тема оказалась интереснее, чем я думал, решил гуглануть поглубже, по крайней мере насчёт года, когда были проведены исследования… Догуглил вот до чего:
He is best known for his 1984 book on persuasion and marketing, Influence: The Psychology of Persuasion. Influence has sold over 2 million copies and has been translated into twenty-six languages.Ну и там же, в списке литературы:
Cialdini, R. B. (1984). Influence: The Psychology of Persuasion (ISBN 0-688-12816-5). Also published as the textbook Influence: Science and Practice (ISBN 0-321-01147-3)В общем, 1984. Эпоха доперестроечная, глубоко до-интернетная и до-АОН-ная. Проверить, кто звонит вам по телефону, было практически нереально. Сейчас это по большей части не так, хотя и сегодня бывает, что кто-то «ведётся»…
Насчёт собственно вашего комментария — похоже, да, разный режим бывает. В феврале навещал маму в больнице — переписали ФИО с паспорта. Но, скорее всего, система видеонаблюдения с видеозаписью сегодня есть на входе любой больницы, так что анонимность здесь в лучшем случае относительна;-).
Ещё про медсестёр: использование внешней телефонной сети для отдачи внутренних жизненно важных распоряжений само по себе является уязвимостью;-)
вся статья одна сплошная социальная инженерия. но читается интересно, да. :)
Картинка навеяла:
[Красноречие, 95% ] Введите Пупкину 5 кубов морфина. Скоро будем выписывать. <Ложь.>
[Красноречие, 95% ] Введите Пупкину 5 кубов морфина. Скоро будем выписывать. <Ложь.>
А вообще слишком громкое название «Социальная инженерия» для всего лишь вариаций на тему эксперимента Милгрэма.
Давайте ещё раз: в примере благодаря грамотной социальной инженерии 95% больниц оказались критически уязвимы.
Думается, что такой высокий показатель связан с полным отсутствием знания у мед. персонала, что подобного рода атаки вообще существуют и возможны. Если дать жесткие инструкции и пару раз в год проводить семинар по безопасности, то можно значительно повысить уровень защиты.
Звучит прямо как «страна непуганых идиотов».
Когда я впервые услышал эти истории [о неразумном корпоративном поведении], я пришёл в недоумение, однако после тщательного анализа я разработал сложную теорию, объясняющую такое странное поведение. Она заключается в следующем: люди – это идиоты.
Включая меня. Идиоты все, не только люди с низкими интеллектуальными показателями. Единственная разница между нами заключается в том, что мы идиоты по отношению к различным вещам в различное время. Неважно, насколько вы остроумны и находчивы, все равно большую часть дня вы проводите как идиот.
© Эдвард Йордан
Интересно, как бы они забегали, если бы медсестра в том эксперименте палату перепутала?
Sign up to leave a comment.
Социальная инженерия: ликбез про метод атаки, который никогда не устаревает